个人资料

不甘示弱 佛罗里达 ,加利福尼亚再次修改了其数据安全违规法,并再次以开创性的方式(至今令人困惑)进行了修订。 2014年9月30日,加利福尼亚州州长布朗签署了一项法案, “ AB 1710” ),这似乎是美国首次要求针对某些数据安全漏洞向消费者提供免费的身份盗窃保护服务。该法律还修订了该州的个人信息保护法和社会安全号(“ SSN”)法。该修订将于2015年1月1日生效。

某些违规行为需要免费的身份盗窃保护服务

最重要的是,AB 1710似乎修订了加利福尼亚的违法行为,要求公司免费提供加利福尼亚居民的“适当的身份盗窃预防和缓解”服务,如果违规行为涉及该人的姓名和SSN,驾照号码或加利福尼亚身份证号码。具体而言,AB 1710在相关部分中规定,如果提供此类违规通知的公司是“违规源”:

提供适当的身份防盗和缓解服务(如果有)的要约,应在不少于12个月的时间内免费向受影响的人提供,以及为要约提供信息的任何人必须利用的所有必要信息可能已被违反。

这项要求的起草工作远非一字不漏,而且可以多次阅读。特别地,可以以多种方式来理解短语“如果有的话”的使用。例如,可以将短语“如果有的话”理解为可修改短语“适当的身份盗用预防和缓解服务”。根据这一解读,如果任何此类服务适当,法律将规定提供免费身份盗用保护服务的义务。但是,可以将短语“如果有的话”理解为修改“要约”本身。根据该备选案文,法律将规定,如果公司打算提供身份盗用保护服务,则这些服务必须对消费者免费。很难知道加利福尼亚州检察长(“ AG”)或加利福尼亚法院将如何解释这种歧义。有一件事很清楚:在股份公司或法院没有判决之前,该标准将一直不清楚。

需求的起草在其他方面也不清楚。例如,该法规未指定哪种类型的服务将被视为“适当的身份盗窃预防和缓解服务”。例如,仅信用监控产品是否足以满足要求?还是法律会要求除了信用监控之外还需要其他东西,例如身份盗窃保险要素?

但是,国有股份公司历来一直鼓励公司在违规后向消费者提供免费的信用监控。此外,即使没有法律要求,免费信用监控也已成为一种普遍做法,尤其是对于涉及SSN的违规行为以及对引人注目的违规行为而言,这种情况越来越多。尽管如此,加州似乎是第一个合法地要求公司针对某些违规行为提供某种类型的免费身份盗窃保护服务的州。

AB 1710的方法尤为著名。首先,只有涉及SSN,驾照或加利福尼亚州身份证号码的违规行为才需要提供免费的身份盗窃保护服务。在这方面,对于涉及其他类型涵盖的个人信息(例如支付卡信息或用户名和密码)的违规行为,将不需要提供免费的身份盗窃保护服务。这种方法认可了许多公司长期以来的立场-仅当违规行为造成新帐户身份盗用的实际风险(与现有帐户的欺诈相对)时,才进行信用监控。另外,提供免费的身份盗窃保护服务只需要一年的时间(而不是例如两年)。提供免费信用监控的期限长久以来一直是一个争论的话题,加利福尼亚州现在已经同意一年提供足够的立场。


继续阅读 破土动工:加州再次修订数据安全违规法

“网络抓取”或“网络收集”(使用自动“机器人”或“蜘蛛”从可公开获得的网站中提取大量数据的做法)占 18%的网站访问者和23%的所有互联网访问量 在2013年。以刮板为目标的网站可能会因以下原因而受到损害:带宽使用量增加,网络崩溃,使用反垃圾邮件和过滤技术的需求,用户投诉,声誉受损以及刮板时可能产生的缓解成本垃圾邮件用户,或更糟糕的是,窃取其个人数据。

尽管有时很难战斗,但抓地相当容易执行。一个简单的在线搜索将返回大量的抓取程序,两者 所有权开源的, 以及 D.I.Y.教程。当然,在某些情况下刮擦可能是有益的。资源有限的公司可能会使用抓取来访问大量数据,从而刺激创新并允许此类公司识别并满足消费者需求领域。例如, Mint.com 据说 二手筛刮 汇总银行网站上的信息,使用户可以跟踪他们的支出和财务状况。不幸的是,并非所有刮板都能永久发挥其作用。在一种情况下,我们 先前报告,网站的运营商 Jerk.com 据称,他们从Facebook抓取了个人信息,以创建个人资料,将人标记为“混蛋”或“不是混蛋”。根据 联邦贸易委员会 (FTC),包括儿童在内的超过7300万受害者被错误地告知,他们可以通过在网站上支付30美元来修改个人资料。

网站运营商已对刮板提出了各种索赔,包括 版权主张, 侵犯动产索赔合同要求 根据有关刮板违反网站使用条款的指控。但是,本文重点介绍网站运营商用于打击抓取的另一工具:联邦 计算机欺诈和滥用法 (CFAA)。


继续阅读 数据获取:使用计算机欺诈和滥用法打击网络爬虫

  • Facebook的副总顾问描述了该公司的 自去年夏天以来,针对搜查令的全面撤消 由纽约法院发布,以获取不下381个Facebook用户的私人数据。该公司认为认股权证过于笼统,违宪。
  • 旧金山市律师已命令开发新的移动应用

欧洲法院(ECJ)发出了令人惊讶的消息 决定 反对Google,这对跨国公司具有重大影响。

欧洲法院于2014年5月13日发布了一项裁决,该裁决未遵循其辩护律师的理由或结论,而是站在西班牙数据保护局(DPA)的一边,认为:

  • 如果发布的个人信息不充分,不相关或不再相关,个人有权向搜索引擎提供商要求合法地发布在网站上的内容不能按名称进行搜索;
  • Google的搜索功能使Google成为数据保护指令95/46所指的数据控制者,尽管Google并不控制第三方发布者网页上显示的数据;
  • 之所以适用西班牙法律,是因为Google Inc.处理的数据与Google Spain销售广告空间密切相关,即使Google Spain没有处理任何数据也是如此。在这样做时,它放弃了先前的决定,认为服务针对的是西班牙市场,并且为了使该指令的有效性需要如此广泛的应用。

该裁决将对搜索引擎,社交媒体运营商以及在欧洲开展业务的企业产生重大影响。尽管备受争议的“被遗忘权”得到了加强,但该决定可能为居住在欧盟28个国家/地区的人们打开了闸门,要求谷歌和其他搜索引擎运营商从搜索结果中删除链接。问题在于ECJ提到了可能被擦除的各种数据。不仅应删除不正确或非法的数据,而且还应删除所有“不适当,不相关或不再相关”的数据,以及与目的相关的“过多或不及时更新”的数据。他们被处理了。由公司来决定何时将数据归入这些类别。

在这种情况下,该裁决可能会给公司增加新的成本,并可能给成千上万的个人投诉带来负担。而且,在欧盟为用户提供搜索引擎服务的公司将面临艰巨的任务,即评估他们处理的每项投诉,以及个人权利是否凌驾于公众权利之上。在欧盟开展业务的互联网搜索引擎将不得不处理个人的请求,这些个人希望删除链接到包含其个人数据的页面的搜索结果。

也就是说,该裁定的范围仅限于名称搜索。虽然搜索引擎将不得不停用名称搜索,但与其他关键字搜索相关的数据仍然可用。欧洲法院没有对网页内容施加新要求,以维护言论自由,尤其是新闻自由。但这仍将导致大量信息合法发布,仅对有限的受众开放。

下面我们列出该案的事实和该决定的最重要含义,并讨论其对所有运营搜索引擎的公司可能造成的后果。
继续阅读 欧洲法院加强被遗忘权