加拿大个人信息保护和电子文件法案(PIPEDA)是一项管理收集的综合性法案, 使用和披露个人信息. 最初, 该法案是在互联网早期为确保对电子商务的信任而提出的机制. 然而, 自2000年4月颁布以来,它一直朝着加强执法和监督的方向发展.1 在加拿大, 隐私专员办公室(OPC)负责通过调查投诉来监督对PIPEDA的遵守情况, 根据联邦法律进行审计和提起诉讼.e.,隐私法,PIPEDA). 概述2019年至2020年向OPC报告的事件有助于更好地了解PIPEDA如何影响私人组织和公众利益.
PIPEDA有10条原则,允许用户控制如何处理他们的个人信息并对收到的投诉进行分类, 将它们与特定的违规行为联系起来(图1).
图1-PIPEDA原理
|
原则 |
定义 |
|
1. 问责制 |
“组织对其控制下的个人信息负责,并应指定一个或多个个人对组织的合规负责。." |
|
2. 识别的目的 |
“组织应在收集个人信息时或之前确定收集个人信息的目的." |
|
3. 同意 |
“收集数据需要征得个人的知情和同意, 使用, 或泄露个人信息, 除非是不合适的." |
|
4. 限制集合 |
“收集个人信息应限于组织确定的目的所必需的信息. 同时,信息的收集应以公平合法的方式进行." |
|
5. 限制使用、披露和保留 |
个人信息不得用于收集目的以外的其他目的, 经个人同意或法律规定的除外. 个人信息将仅保留为实现这些目的所必需的时间." |
|
6. 精度 |
“个人信息应同样准确, 完整的, 并根据其使用目的的需要进行更新." |
|
7. 保障措施 |
“个人信息应受到与信息敏感性相适应的安全措施的保护." |
|
8. 开放 |
“组织应向个人随时提供有关其有关个人信息管理的政策和做法的具体信息." |
|
9. 个人访问 |
”要求, 个人应被告知其存在, 使用, 和披露他或她的个人信息,并应给予访问该信息. 个人应能够质疑信息的准确性和完整性,并要求对其进行适当的修改." |
|
10. 具有挑战性的合规 |
“个人应能够向指定的个人或对组织合规负责的个人解决有关遵守PIPEDA原则的挑战。." |
来源:改编自加拿大政府, 个人信息保护和电子文件法.C. 2000, c. 5), 加拿大国家标准《澳门赌场官方软件》中规定的原则, 可以/ csa - q830 - 96, 表1, 第五节, 2019
OPC通过定义的进程提供PIPEDA的实施.2 当个人或OPC发起投诉时,它就开始了. 然后,投诉通过分类程序,以核实建立调查的理由. 基于收集到的证据或早期的解决方案, 其他的执法机制可用于行政或法律方面的考虑(例如.g.,加拿大联邦法院). 作为一种替代性的争议解决程序, 早期解析过程是PIPEDA的一个显著特征.3 自2004年以来, 在调查过程中不可能达成和解, 早期解决程序允许在正式调查建立之前处理问题.
最新的PIPEDA统计数据4 2019年至2020年报告的事件和进行的调查显示了以下几个趋势(图2):
- 未经授权的访问和意外披露是最常见的隐私事件类型. 此类案例的一个例子包括在加拿大省级和市级政治运动期间提供支持并存储个人信息的组织, 来自加拿大和国外的超过3500万人的加密密钥和登录凭证存放在一个不安全的GitLab存储库中.5
- 主要的投诉类型与个人访问和同意有关. 例如, 最近的一个案例描述了一家房地产澳门赌场官方下载在客户不知情或不同意的情况下,在他们的数字信息亭内嵌入摄像头,并使用面部识别.6
- 受影响的主要行业包括金融、电信、销售和保险. 具体地说, 在电信行业, 加拿大通信法中隐私规则之间的不一致削弱了PIPEDA的执行.7 在金融领域, 关于加拿大犯罪收益(洗钱)和恐怖主义融资法案(PC[ML]TFA)建立的数据收集计划,也引发了隐私与财务披露之间的争论。.8
- 大多数案件在初步调查期间成功地获得了早期解决,而不是进行额外的监管执法. 对OPC, 这意味着完成一个早期解决案件的平均时间约为6个月,而没有证据或证据不足的案件则需要近21个月.e.(“没有充分根据”),而不同司法管辖区之间发生冲突的事件则为28个月.9 管辖权冲突的一个例子发生在2018年,当时一家新西兰澳门赌场官方下载重新利用了4月的社交媒体数据.在未经同意的情况下,Facebook上有500万个加拿大账户. 调查结果必须提交新西兰的OPC作进一步审议.10
图2-OPC管道投诉和调查(2019-2020年)
查看大图
来源:改编自加拿大隐私专员办公室, 2019-2020年《澳门赌场官方软件》和《澳门赌场官方下载》向议会提交的年度报告t, 2020
整体, 在组织或机构违反一项或多项PIPEDA原则的投诉中,78%的投诉被认为是有根据的. 一名保险公司客户在理赔过程中同意检讨其信用评分,但未获清楚告知所收集个人资料的目的及预期用途,这是一个有充分根据的例子. 保险公司利用这些信息来决定赔偿索赔的审查程度.11
结论
世界各地有各种各样的隐私法, 立法的监督和执行是新的挑战. 专门的正式政府机构对于保障个人隐私权至关重要. 加拿大的经验显示了对隐私法规的监督和执行的一些看法,可以为其他国家机构实施和管理类似项目提供支持. 在加拿大模式中, 是否存在要收集的进程, 分析和分类事件可以被认为是对事件进行分类的一个很好的举措, 联合制裁和协调法庭程序. 也, 在考虑可能需要数年时间的普通法院程序之前,OPC的调解作用是减少解决事件所需时间的一个相关方面. 这些方法可以为个人提供更多的可访问性,以行使其保护个人数据的权利, 同时, 允许组织解决有关客户信息的问题和担忧.
尾注
1 加拿大创新、科学和经济发展部加强数字时代的隐私保护2019年5月21日
2 加拿大私隐专员公署, 执行PIPEDA2017年4月20日
3 米勒,年代. A.; "隐私 and Security: Best Practices for Global Security," 国际贸易法律与政策杂志,卷. 5、国际空间站. 1, 2006, p. 36–49
4 加拿大私隐专员公署, 《澳门赌场官方软件》、《澳门赌场官方软件》和《澳门赌场官方软件》向议会提交的年度报告, 2020
5 Catenacci C.; "加拿大隐私专员和不列颠哥伦比亚省信息和隐私专员的联合调查- bc公司未能遵守隐私法,《澳门赌场官方下载》,2019年12月2日
6 加拿大私隐专员公署,"凯迪拉克美景收集了500万购物者的图像《澳门赌场官方软件》,2020年10月29日
7 Geist,米.; "关于互联网:我就加拿大通信法的未来向广播和电信立法审查小组提交的意见书2019年1月14日
8 雷诺兹,M.; A. Laskin; A. Eftekharpour; "The Difficult Position: PIPEDA, PC(ML)TFA, and the Challenges of Dual Compliance," 《澳门赌场官方下载》,卷. 33岁的空间站. 2, 2018, p. 213–225
9 Op cit 加拿大私隐专员公署, 《澳门赌场官方软件》、《澳门赌场官方软件》和《澳门赌场官方软件》向议会提交的年度报告
10 档案经理和管理员协会, OPC称重复使用社交媒体数据违反了PIPEDA," 信息管理杂志,卷. 52岁的空间站. 5, 2018, p. 11
11 Haikola v. 个人保险公司, 2019 ONSC 5982 (CanLII)
Thiago de Oliveira Teodoro, CISA, CDPSE
是专注于治理、风险和遵从性(GRC)的顾问. 他在公共和私营部门的审计和内部控制方面拥有15年的专业经验. 他曾担任ISACA澳门赌场官方软件® 2011年起成为学术倡导者志愿者.