![万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则的演进]( "万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则的演进")
扫码立即加入学习!
10月9日,美国联邦贸易委员会就多起数据泄露事件对万豪和喜达屋采取行动,要求万豪实施强有力的信息安全计划,以解决因公司未能实施合理的数据安全而导致 2014 年至 2020 年发生三次大规模数据泄露事件、影响全球超过 3.44 亿客户的指控。万豪还同意向49个州和哥伦比亚特区支付5200万美元(近3.7亿人民币)罚款,以解决类似的数据安全指控。详细细节请点点击下面链接阅读:
泄露全球3.44亿人信息,万豪酒店被罚3.6亿余元!附全文及翻译(点击阅读)
万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则
来源:IAPP
作者:Cobun Zweifel-Keegan
整理:何渊
美国联邦贸易委员会的同意令草案确实延续了在隐私和网络安全事务中对数据最小化要求不断细化的稳步进程,这是该机构多年来的一个趋势。邓普西观察到万豪可能面临的一项史无前例的要求,即尊重美国各地消费者的某些删除请求,这也是正确的。除了命令本身的条款外,此次和解因其与万豪和美国50位总检察长之间的一项协调的多州和解同时发布而引人注目。
最大化的数据最小化(Minimization at its maximum)
综合来看,联邦贸易委员会和多州的和解协议重申了监管机构在个人数据整个生命周期中对数据最小化日益增长的关注,并将其作为隐私和网络安全的核心原则。联邦贸易委员会和各州总检察长都热衷于数据最小化,这在33位州总检察长就联邦贸易委员会关于商业监控和数据安全的拟议规则制定的预先通知提交的联合评论中得到了最直接的探讨。
从这个角度来看,和解协议中新颖的删除要求只是朝着为违反美国隐私执法者规定的公司制定明确、细致和规范性数据最小化规则迈出的又一步。作为一个操作概念,数据最小化可能有些宽泛和令人困惑。它涵盖了处理个人数据每一步的数据保护实践,包括收集限制、目的明确、留存政策和强有力的删除机制。万豪的和解协议包括适用于这些阶段中每一个阶段的要求。
正当商业需求(Legitimate business need)
一旦草案命令最终确定,万豪将发现自己承担着一项长达数十年的义务,即建立和维护一个强大的信息安全计划。作为其中一部分,多州和解协议要求万豪“纳入书面政策和程序,并根据需要进行适当修改,以要求在满足合法商业需求或法律要求的最低必要限度内合理地收集、使用、共享和留存个人信息”。从几个方面来看,这种表述似乎比通常的州法律对数据最小化的要求,甚至比之前类似的和解协议更具限制性。
首先,虽然目的限制原则通常要求处理过程要与“商业目的”一致,但在这里公司被要求记录其所述的商业目的是如何“合法”的。增加一个修饰词可能看起来微不足道,但如果立法机构纳入这样的改变,它肯定会标志着对记录数据收集和使用的合理目的的更强标准。
联邦贸易委员会的留存条款有所不同,它要求的是“特定商业需求”。与其他类似的联邦贸易委员会和解协议一样,万豪将被要求在其使用条款或隐私政策中披露收集个人信息的目的以及留存该信息的特定商业需求。
但是联邦贸易委员会也提到“合法商业需求”作为当数据不再符合上述要求时销毁数据这一要求的一个例外。与其他例外情况如法律义务一样,只要公司有“记录在案的合法商业需求,除营销外”,它就不必销毁个人信息。仅营销不能凌驾于公司的留存义务之上。
最低必要限度(Minimum extent necessary)
将个人数据的收集、使用、共享和留存限制在最低必要限度的要求出现在州总检察长的和解协议中,但在联邦贸易委员会的类似协议中没有。据我所知,这是一种新颖的表述。在健康隐私领域存在一个类似的概念。《健康保险可移植性和责任法案》(HIPPA)规则在涵盖实体使用或披露受保护的健康信息时适用“最低必要”标准。这个术语也让人想起州法律的要求,尽管可能比其更具限制性。例如,根据科罗拉多州其全面消费者隐私法的实施条例,公司必须“仔细考虑每个处理目的,并确定对于明确目的而言必要、充分或相关的最低个人数据量”。可以说,要求处理是必要、充分或相关的,提供的选择是单一“必要”术语的三倍。更不用说“必要”和“最低必要限度”之间的差异了。在得出这是处理个人数据的最低替代方案的结论时,处理决策的记录可能需要详细和明确。
在不久的将来的任何时候,任何一家公司都必须尊重来自美国7到20个州之间的消费者删除个人数据的请求。尽管任何联邦隐私提案中都包含类似权利,而且许多公司无论管辖权如何都自愿将这些权利扩展到美国消费者,但仍然没有适用于一般个人信息的联邦删除要求。
根据多州和联邦贸易委员会的同意令,万豪很快将有义务在60天内尊重与电子邮件或奖励号码相关的删除请求。除了一般的数据最小化要求外,万豪的和解协议没有要求公司主动删除消费者的个人信息,这与联邦贸易委员会的一些其他和解协议的要求不同。但是尊重所有美国消费者删除请求的持续义务是一项新颖且值得注意的规则。恰当地说,联邦贸易委员会的同意令将这一要求与其他数据最小化条款放在同一个“数据处理”部分。
你可以把消费者要求的删除看作是一个强大的数据最小化政策的锦上添花——取代任何其他适用的留存政策。删除政策和程序总是需要包括强大的技术机制来实现个人数据的实际删除。但是实际数据删除的困难将不得不成为另一个话题。
个人信息保护合规审计先行计划
DPOHUB数隐咨询深耕个保合规审计,具有丰富的实践经验和落地方法论:
-
牵头发起个保合规审计先行计划,并已完成即刻APP等数家公司的试点工作;
-
参与个保合规审计标准编制工作,并形成一套完善的审计方法;
-
完成首款个保合规审计自动化软件,并获得软件著作权;
-
率先发起个保合规审计认证培训,已在北京、上海举办两期。
不备注不通过
![万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则的演进]( "万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则的演进")
原文始发于微信公众号(数据法盟):万豪3.4亿数据泄露案解读:美国FTC与最低限度必要原则的演进
评论