三月初,世界各地的网络安全专业人士填充了旧金山莫斯通会议中心的展示大厅,讨论和了解一切Infosec,从公共键加密到事件响应,来自机器学习家庭暴力

这是2019年的RSA会议,Malwarebytes展示了参加和必威平台APP现在。我们星期三下午会议 - “一个人可以改变世界——GDPR背后的故事“ -探讨了欧盟全面的新数据隐私法最重要的是,保护“个人数据”,这听起来很像“个人身份信息”。

但法律的广泛语言和有限,严重的惩罚 - 留下了挥之不去的问题:究竟是什么个人资料?

答案:它取决于。

欧盟《一般数据保护条例》(General data Protection Regulation)对个人数据的定义,与美国数据保护和网络安全法律定义的“个人身份信息”不同,甚至与加州最近签署的数据隐私法定义的“个人信息”也不一样。此外,在美国,数据保护法律和网络安全法律有各自的目的,同样,对个人数据的定义也略有不同。

复杂物质是公众对个人信息,个人数据和在线隐私的本能方法。对于日常的个人来说,个人信息可能意味着从电话号码到护照信息到邮政法律定义所诅咒的信息。

今天,我们的最新博客网络安全和数据隐私系列,我们讨论无数条件和法律制度,以形成广泛了解个人信息。

企业不应过度考虑这一点。相反,数据隐私律师表示,企业应该关注它们收集了什么信息,以及它们在哪里开展业务,以便更好地理解个人数据保护和合规。

由于Duane Morris LLP知识产权和网络法律伙伴Michelle Donovan说:

“它归结为什么,如果您在中国不开展业务,在中国的规则是无关紧要的。公司需要弄清楚司法管辖区适用,他们收集哪些信息,他们的数据科目在哪里居住,并根据此估算,弄清楚法律适用。“

法律适用于什么?

公司需要保护法律法律变更的个人信息。然而,尽管全球数据保护法以各种方式定义个人信息,但定义本身对每项业务并不重要。

例如,加州的一家小公司在欧盟没有实体存在,也没有协同努力向欧盟居民推销产品,就不必担心GDPR。同样,一家不收集任何加州人数据的日本初创公司也不必担心该州最近签署的数据隐私法。美国以外任何不收集美国个人数据的公司,都不应该忍受遵守50个州的数据泄露通知法的痛苦。

Baker&McKenzie LLP律师Vincent Schroeder,他建议在隐私,数据保护,信息技术和电子商务法方面提出建议,这些规则确定哪些法律适用于哪些业务可以分为三个基本类别:领土规则,个人规则和实质性规则。

领土规则简单 - 他们根据公司在一个国家,州或地区的存在确定法律合规。例如,GDPR适用于在任何欧盟28个成员国的物理运作的公司以及直接市场和向欧盟公民提供产品的公司。第二条直接营销规则类似于日本的另一个数据隐私法,该法适用于专门为日本居民提供产品的任何公司。

“这就是他们所说的‘市场规则’,”施罗德说。“如果你有意识地在这个市场做生意,那么你就会影响那里的个人权利,所以你需要遵守当地的监管法律。”

另一方面,实质规则根据公司的特征确定合规性。For example, the newly-passed California Consumer Privacy Act applies to companies that meet any single one of the following three criteria: pull in annual revenue of $25 million, derive 50 percent or more of that annual revenue from selling consumers’ personal information, or buy, receive, sell, or share the personal information of 50,000 or more consumers, households, or devices.

想要知道哪些个人信息需要法律保护的企业应该首先看看哪些法律适用。施罗德说,只有这样,他们才应该继续前进,因为“个人信息”从来都不是一个东西。

施罗德说:“这是领土、个人和实质性应用范围的不同定义以及个人数据定义的相互作用。”

个人信息 - 包括什么?

个人信息的含义根据您要求谁以及您阅读的法律而变化。下面,我们专注于五个重要的解释。个人信息对公众意味着什么?根据GDPR是什么意思?根据加利福尼亚州的三个国家法律,这是什么意思 - 该国的立法先锋在保护其居民的在线隐私和个人数据方面。

公众

让我们清楚:任何涉及保护个人信息的法律义务的企业都不应开始遵守员工调查,并获得个人意见。

也就是说,公众对个人数据的看法也很重要影响立法者起草新的立法更好地保护在线隐私。

Jovi Umawing, Malwarebytes实验室的资深内容作者,最近编必威平台APP必威官方登录备用写了近4,000名受访者对在线隐私的意见他说,个人信息是任何可以界定一个人与另一个人的东西。

“我的个人信息是关于一个人的相关数据,使他们独特或脱颖而出,”乌爪展写道。“这是一个无形的东西,个人拥有或拥有(与其他信息结合时)返回以非常高或毫无可疑的准确性的人。”

Malwarebytes的恶意软件情报研究员彼得·阿恩茨(Pieter Arntz)提供了类似的观点必威平台APP。他说,他认为“所有可以用来确认我身份或找到关于我的更具体信息的信息都是个人信息。”这包括地址、电话号码、社会安全号码、驾照信息、护照信息,以及“邮政编码之类的信息”,阿恩茨说,对于住在非常小的城市的人来说,这些信息可能会暴露身份。

有趣的是,其中一些定义与当今最流行的一些数据隐私法重叠。

GDP.

2018年,《一般数据保护条例》生效,赋予欧盟公民访问、传输和删除个人数据的新权利。2019年,企业仍在研究这些个人数据包含哪些内容。

法律文本提供的信息几乎不清楚,而是提供了一种泛海洋的意识形态:“个人数据应该尽可能广泛地解释。”

根据GDPR的说法,公司必须保护的个人数据包括任何可以“直接或间接”的信息,以确定数据所属或描述的人或对象。包括是名称,识别号码,位置数据,在线标识符,如屏幕名称或帐户名称,甚至是描述一个人的物理,生理,遗传,精神,商业,文化或社会形式的特征。“

最后一项可能包括员工的表现记录、病人的医疗诊断历史、用户的特定无政府自由主义政治观点,甚至是一个人的头发颜色和长度,如果这些足以确定一个人的身份的话。

杜安·莫里斯的律师多诺万说,GDPR的定义可能包括关于一个人的任何没有匿名的信息。

多诺万说:“即使这些信息不是通过名字来识别一个人,如果它是通过一个数字来识别的,而且这个数字已知是用来识别那个人的——无论是单独还是组合——它仍然可以与那个人联系在一起。”“你应该假设,如果你有关于个人的任何数据,而这些数据在你得到时没有经过匿名处理,它很可能会被覆盖。”

加利福尼亚州的消费者隐私法案

2018年6月,加利福尼亚州成为国家的第一个州,以回应频繁的在线隐私危机通过全面,州际数据隐私法。加州消费者隐私法或CCPA介绍了收集加州居民个人数据的公司的新规则。

该法律将在2020年生效,称为这种数据“个人信息”。

“个人信息,”根据CCPA,是“识别的信息涉及,涉及,描述能够与特定的消费者或家庭合理地或间接地与特定的消费者或家庭相关联。”

What that includes in practice, however, is a broad array of data points, including a person’s real name, postal address, and online IP address, along with biometric information—like DNA and fingerprint data—and even their browsing history, education history, and what the law vaguely describes as “audio, electronic, visual, thermal, olfactory, or similar information.”

除了保护几种新的数据类型,CCPA还对加州人在法庭上维护其数据隐私权的方式做出了重大改变。有史以来第一次,一项全州范围的数据隐私法详细规定了“法定损害赔偿”,这是立法规定的,个人在对涉嫌违反法律的公司提起私人诉讼时可以要求赔偿的金额。根据CCPA,认为自己的数据隐私权受到侵犯的人可以起诉一家公司,要求最高750美元。

多诺万表示,这是数据隐私法的一个巨大转变。

“这是第一次,有一个真正的隐私法与牙齿,”唐诺万说。

以前,如果个人想起诉一家公司的数据泄露,他们需要证明某种类型的经济损失时,要求金钱赔偿。比如说,如果用窃取的数据创建了一张欺诈性信用卡,然后对那张卡进行欺诈性收费,那么金钱损失可能很容易查明。但事情很少这么简单。

多诺万说:“现在,撇开金钱损失不谈,你可以得到每起事故750美元的法定损失。”

加利福尼亚州的数据泄露通知法和数据保护法

如果我们留在加利福尼亚州,但几年后回去,我们看到了趋势的开始 -加州已经不止一次地成为第一个通过数据保护立法的州

2002年,加州通过了该法案数据泄露通知法。在美国的第一个,法律强迫公司通知加州居民有关未经授权的“个人信息”的访问权限。

我们覆盖了GDPR广泛的个人信息和数据的先前定义,任何事情的方法,以及CCPA纳入迄今为止未想象的“嗅觉”的嗅觉,不适用于这里。

相反,在这项已有17年历史的法律中,个人信息被定义为组合信息类型。必要的组件包括加利福尼亚州的名字和姓氏,或第一个姓名和姓氏,与他们的社会安全号码,驾驶执照号码和信用卡号和信用卡号和相应的安全代码一起配对,以及个人的电子邮件地址和密码。

所以,如果一家公司遭遇了加州居民的姓和名的数据泄露他们的社会安全号码?这些都是个人信息。如果数据泄露泄露了另一位加州居民的名字、姓和过去的医疗保险索赔?同样,根据法律,这些数据被视为个人信息。

2014年,这一定义在某种程度上被纳入了加州的数据保护法。那一年,时任加州州长的杰里·布朗签署了变化到了该州公民CO.为任何拥有,许可或维护加州居民的“个人信息”的任何公司创造了数据保护要求。

According to Assembly Bill No. 1710, “personal information” is, once again, the combination of information that includes a first name and last name (or first initial and last name), plus a Social Security number, driver’s license number, credit card number and corresponding security number, and medical information and health information.

然而,这些定义并不完全相同。与数据泄露通知法不同,加州的数据保护法不包括自动车牌读取器(ALPRs)收集的数据。近期可以不分青红皂白地-有时是不成比例的-记下任何进入他们视野的车辆的车牌号码。

大约一年后,加州通过了一项法律,加强对alpr收集的数据的保护。

个人信息-外带

到目前为止,定义个人信息不是什么可能比定义它是什么更容易(显然,这也有一个法律答案,但我们不讨论细节)。这些不断演变的定义指向了一个不断变化的法律环境,数据受到保护不仅仅是因为它的类型,而是因为它对人们隐私的内在重要性。

正如个人信息没有一刀切的定义一样,个人数据保护合规也没有一刀切的定义。如果一家公司发现自己在考虑应该保护哪些个人数据,我们可以建议我们为本系列的每个博客所做的一件事:向律师咨询。

加入我们的下一篇博文,我们将讨论如何保护消费者的数据泄露和在线隐私侵犯。