跳到主体内容

有哪些关于互联网和数据安全的法律?

什么是互联网法律?

互联网法律有时也称为网络法律,是指监管互联网的使用的法律原则和法规。互联网法律并非总是清晰明了,因为:

  • 相对而言,互联网尚属于新兴事物,并且在不断发展,这意味着,法律框架可能难以跟上这种趋势。
  • 互联网法律通常包含并应用来自不同法律领域的原则(例如隐私法或合同法)这些原则早于互联网并且可作不同解释。
  • 没有单独一种法律用来统一监管在线隐私。相反,目前采用的是彼此拼凑在一起的联邦法和州法。此外,世界各地不同的司法管辖区可能对如何应用互联网隐私法有不同的解释。

欧盟有一项总体数据隐私法,名为 GDPR,即《通用数据保护条例》。相比之下,美国没有中央联邦级别的互联网隐私法。美国有多项以垂直领域为重点的联邦隐私法,此外在不同的州还有一些面向消费者的隐私法。本概述介绍了您应该了解的一些关键互联网安全法律。

美国《1974 年隐私法》

尽管《1974 年隐私法》的问世早于互联网,但它可以说是美国许多涉及数据和互联网隐私的法律的基础。该法案最初通过是为了承认美国政府机构在其计算机数据库中持有的个人数据量。该法案涵盖:

  • 美国公民访问政府机构持有的数据的权利以及获得该数据副本的权利。
  • 公民纠正任何信息错误的权利。
  • 机构的需求(仅收集实现其目的所必需的最少相关信息)。
  • 限制数据访问权限,仅限“需要知情”的人访问。
  • 限制联邦(和非联邦)机构之间的信息共享 - 即,仅在某些条件下允许。

但是,互联网的发明改变了隐私的定义,因此,有必要制定新的有关电子通信的数据安全法。

联邦贸易委员会法

1914 年《联邦贸易委员会法》成立了美国联邦贸易委员会,旨在取缔不公平的竞争方法和影响商业的不公平行为或做法。

如今,虽然 FTC 没有明确规定网站隐私政策中应包含哪些信息,但它会利用其权力发布法规,执行隐私法和保护消费者。例如,FTC 可能会对以下组织采取行动:

  • 未能遵循已发布的隐私政策。
  • 采用并未在隐私政策中适当陈述的方式传输个人信息。
  • 对消费者(以及在隐私政策中)做出不准确的隐私和安全声明。
  • 未实施和维护合理的数据安全措施。
  • 未遵循可能适用于组织所在行业的自律原则。

FTC 在互联网监管中发挥了作用,尤其是,它会审查领先的科技和社交媒体公司对他们收集的消费者数据的隐私性做出的误导性陈述。例如,此前,FTC 调查了用户就客户数据的使用对 Facebook 提出的投诉

《儿童在线隐私保护法》

1998 年颁布的《儿童在线隐私保护法》(也称为 COPPA)是一部美国联邦法律。该法案的目标是让父母可以控制他们的孩子的哪些信息可被他人在网上收集。COPPA 适用于面向 13 岁以下儿童并且会收集个人信息的商业网站和在线服务(包括移动应用程序和物联网设备)运营商。

COPPA 的一些关键要求包括:

  • 面向 13 岁以下儿童的网站、应用程序和在线工具必须在收集儿童信息之前提供通知并获得家长同意。
  • 他们必须有明确而全面的隐私政策。
  • 他们必须妥善保护从儿童处获得的任何信息。

虽然该法律起源于互联网的早期,但在社交媒体和程序化广告当道的时代,这部法律变得尤为重要。COPPA 要考虑的一个关键问题是网站“面向”13 岁以下儿童的程度。在美国,联邦贸易委员会根据各种标准评估网站,包括:

  • 主题
  • 内容
  • 动画角色的使用
  • 面向儿童的活动或奖励的使用
  • 模特年龄
  • 是否存在儿童名人或吸引儿童的名人
  • 网站上针对儿童投放的广告

某些网站或服务按年龄筛选用户,因此他们不必遵守 COPPA 规定。例如,许多社交网络的商业模式基于收集用户数据并利用这些数据来盈利,这些平台将 13 岁作为注册用户的最低年龄。

COPPA 提出的另一个问题是:什么行为构成“收集个人信息”。对于姓名、地址和照片的收集均属于这一类别。但此类别中,不太明显的一种活动是以行为为导向的广告,即跟踪用户在网站和应用程序中的行为并据此投放的广告,这种广告也属于 COPPA 定义的个人信息收集。即使这些以行为为导向的广告由第三方提供商投放,但如果这些广告出现在面向儿童的网站上,网站所有者也要对其负责。鉴于以行为为导向的广告构成了互联网生态系统的很大一部分,这对面向儿童的网站具有重大影响。

The Children’s Online Privacy Protection Act is designed to protect children under 13 from having their personal information collected on the internet. Image shows a young girl using a laptop for remote learning.

《加州消费者隐私法》

《加州消费者隐私法》(CCPA) 于 2018 年签署立法。其目标是通过将消费者隐私保护扩展到互联网,从而应对加州居民的消费者隐私问题。CCPA 被认为是美国最全面的、以互联网为重点的数据隐私法,在联邦层面上没有类似的法案。

与欧盟的 GDPR 一样,它赋予消费者访问其数据的权利,以及随时删除和选择退出数据处理的权利。但是,CCPA 与 GDPR 的不同之处在于,GDPR 授予消费者更正或纠正不正确的个人数据的权利,而 CCPA 则没有赋予此权利。GDPR 还要求在消费者提交数据之时获得消费者的明确同意。相比之下,CCPA 仅规定在网站上提供隐私说明,告知消费者他们有权选择退出某些数据收集。CCPA 的其他特点包括:

  • 消费者有权通过数据主体访问请求来访问他们的数据。
  • 企业不得在不提供 Web 通知并给消费者提供选择退出机会的情况下出售消费者的个人信息。
  • 如果消费者成为数据泄露的受害者,则他们拥有有限的诉讼权。
  • 州总检察长有更广泛的能力代表居民向公司提起诉讼。

CCPA 对个人信息有一个广泛的定义:“标识、关联、描述、能够与特定消费者或家庭直接或间接关联或合理关联的信息”。这与 GDPR 对个人数据的广泛看法类似。

《通用数据保护条例》

欧盟的《通用数据保护条例》(GDPR) 于 2018 年生效。这种法律框架针对从居住在欧盟的个人收集和处理个人信息这一过程制定了指导方针。无论网站位于何处,GDPR 都适用,这意味着,所有吸引欧盟访问者的网站都应遵守 GDPR。GDPR 被视为全球最严格的数据安全法之一。

GDPR 规定必须向网站用户告知网站正在收集的数据,并且用户应明确表示同意这种数据收集行为。因此,许多网站都会弹出窗口,要求用户同意网站收集 Cookie - 即包含网站设置和偏好等个人信息的小文件。

GDPR 的要点包括:

  • 消费者有权知道网站如何收集和使用他们的数据。
  • 消费者可以向网站询问,网站收集了有关自己的哪些信息(无需支付费用)。
  • 如果消费者的数据有错,他们可以要求更正。
  • 消费者可以要求将其数据从记录中删除。
  • 消费者有权拒绝数据处理 - 例如,拒绝出于营销目的处理其数据。
  • 如果用户的数据遭到盗用或泄露,网站必须通知用户。

欧盟委员会在其官方网站上详细解释了 GDPR。已有多家大公司因违反 GDPR 而被处以重罚,并引起广泛关注,其中包括 Google 被罚款 5700 万美元,因为在用户设置新的 Android 手机时,该公司隐藏了一些重要信息,造成用户无从得知他们同意了怎样的数据收集政策;另外, 由于 500,000 条客户预订记录在一次攻击中被盗,British Airways 被罚款 2800 万美元。

《医疗保险流通与责任法》

1996 年的《医疗保险流通与责任法》(HIPAA) 是一项美国联邦法律,侧重于医疗保险监管,包括数据隐私和安全部分。它可以防止医疗保健提供商、企业以及与他们合作的人在未经消费者许可的情况下披露消费者的医疗信息。

当人们谈论 HIPAA 时,他们通常指的是 2003 年制定的隐私规则条款。引入这条规则的部分原因在于,美国国会认识到互联网增加了医疗隐私泄露的可能性。HIPAA 的隐私规则赋予消费者控制其医疗信息披露的权利,让消费者可以告诉其医疗保健提供商可以分享哪些信息。

但是,HIPAA 仅保护特定类型的医疗保健提供商持有的医疗保健信息。例如,您的健身追踪器上的医疗保健数据通常不在 HIPAA 涵盖范围内。HIPAA 也不涵盖您在 Ancestry.com 等网站上输入的遗传数据。其他法律或协议(例如许多应用程序要求的隐私披露)可能会保护这些信息,但 HIPAA 不会。

《Gramm-Leach-Bliley 法案》

《Gramm-Leach-Bliley 法案》(GLBA) 又称为《1999 年金融服务现代化法案》,是一部包含数据隐私和安全要素的银行和金融法律。它对个人信息的保护建立在以前的消费者金融数据法的基础上,例如《公平信用报告法》(FCRA)。

从本质上讲,GLBA 保护的是非公开个人信息,其定义为“收集的与提供金融产品或服务有关的个人信息(除非该信息以其他方式公开可用)”。引用的“公开可用”是指可能位于公共领域的财产记录或某些抵押信息。

GLBA 保护规则要求数据收集者保护个人信息并创建适当规模的数据安全系统。换句话说,例如,大型国家级银行需要提供比社区信用合作社更复杂的保障措施。

该规则要求企业定期进行测试。此外,他们必须在日常运营中实施安全措施,例如,对员工进行背景调查,并制定发生攻击时的数据泄露行动计划。

GLBA 将假托定义为非法。假托是指某人以不当方式获取非公开信息。该术语通常与社会工程黑客攻击有关,例如,攻击者冒充经理或执法人员以获取信息。网络钓鱼诈骗有时涉及建立虚假网站以欺骗人们泄露隐私信息,这是假托的另一个示例。GLBA 要求金融机构在安全计划中制定措施以防止假托。

互联网隐私法律:总结

世界各地的不同司法管辖区都有自己的互联网隐私和数据安全法。例如,巴西有《通用数据保护法》(LGPD),加拿大有《消费者隐私保护法》(CPPA),两者的范围与欧盟的 GDPR 或加州的 CCPA 大致相似。

美国并没有一部全面的联邦法律来管理数据隐私。美国的互联网法规由特定于行业和特定于媒介的多部法律拼凑而成,其中包括涉及电信、医疗信息、信用信息、金融机构和营销的法律和法规。

为了保护您的在线隐私和数据安全,最好的办法之一是使用全面的防病毒解决方案。Kaspersky Total Security 这样的产品可以阻止常见和复杂的威胁,例如病毒、恶意软件、勒索软件、间谍应用程序和最新的黑客活动。

相关文章:

有哪些关于互联网和数据安全的法律?

什么是互联网法律?互联网隐私法律和互联网法规包括《儿童在线隐私保护法》、《加州消费者隐私法》等。
Kaspersky logo

相关文章