信息技术与伦理/GDPR 合规
通用数据保护条例 (GDPR)
简介
GDPR 是世界上最全面的隐私和安全法律。它由欧盟起草并于 2018 年 5 月 25 日实施。其目标是通过对收集欧盟公民数据的任何地方的组织和义务进行强制执行来保护欧盟公民的数据。违反 GDPR 规定可能导致最高 2000 万欧元的罚款。据《纽约时报》报道,谷歌因未向用户妥善披露其如何在其服务(如谷歌搜索引擎和地图以及 YouTube 等服务)中收集数据而被罚款 5000 万欧元。这笔罚款被认为是欧盟隐私法 (GDPR) 下的最高罚款之一。
处理欧盟公民数据的美国组织必须遵守一些 GDPR 合规性清单。
美国公司 GDPR 合规性清单
● 应该对欧盟个人数据进行信息审计。
● 通知客户处理其数据的理由。
● 评估数据处理活动并改进保护措施
● 数据控制者应确保与供应商之间存在数据处理协议。
● 尤其应由较大的组织任命指定的 数据保护官。
● 非欧盟组织需要在欧盟成员国之一任命一名代表。
● 应在发生数据泄露事件时了解职责。
● 组织应遵守跨境转移法律。
GDPR 原则
1. 合法性
2. 公平和透明度
3. 目的限制
4. 数据最小化
5. 准确性
6. 存储限制
7. 完整性和保密性以及问责制
迄今为止 GDPR 最高罚款
1. Meta
2022 年,Meta 因通过发布电子邮件地址和电话号码而违反儿童隐私而被罚款 4.05 亿欧元。
2. Clearview AI Inc.
2022 年,一家名为 Clearview AI 的美国人工智能公司因收集自拍并将其用于扩展其约 100 亿张面孔的数据库而被罚款 2000 万欧元。该公司随后将其身份验证服务出售给包括执法部门在内的各个行业。
3. 谷歌
西班牙数据保护机构 AEDP 发现谷歌向 Lumen 项目提供了要求删除其数据的欧盟个人信息的访问权限后,对谷歌处以 1000 万欧元的罚款。AEDP 发现谷歌的材料删除表单(个人用来行使被遗忘权的表单)并不明确。
4. Rewe
2022 年,超市连锁店 Rewe 因违反 GDPR 而被罚款 800 万欧元。
- ↑ GDPR. (2023, January). General Data Protection Regulation. Retrieved from gdpr-info.edu: https://gdpr-info.eu/
- ↑ McCarthy, N. (2023, January 31). The Biggest GDPR Fines of 2022. Retrieved from EQS Group: https://www.eqs.com/compliance-blog/biggest-gdpr-fines/