甚麽是互聯網法律?
互聯網法律(有時稱為網絡法律)是指管理互聯網使用的法律原則和法規。互聯網法律並不總是清晰明瞭的,因為:
- 互聯網相對較新並且不斷發展,這意味著法律框架可能難以跟上。
- 互聯網法律通常包含並應用來自不同法律領域的原則,例如私隱法或合同法 -- 這些原則早於互聯網出現,可以進行解釋。
- 沒有單一的法律可以用來規範網上私隱。相反,會合拼採用聯邦和州法律。此外,世界各地的不同司法管轄區對如何應用互聯網私隱法律可能有不同的解釋。
歐盟有一套稱為 GDPR(通用資料保護條例)的整體資料私隱法律。相比之下,美國沒有中央聯邦層面的互聯網私隱法律。相反,不同州之間有幾項垂直取向的聯邦私隱法和幾項面向消費者的私隱法。本概述著眼於你應該瞭解的一些關鍵互聯網安全法律。
1974 年美國私隱法案
儘管 1974 年的《私隱法》早於互聯網,但它可以說是美國很多涵蓋資料和互聯網私隱法律的基礎。通過該法案是為了承認美國政府機構在電腦資料庫中所持有的個人資料數量。該法案涵蓋:
- 美國公民有權查看政府機構持有的資料,並有權獲得這些資料的副本。
- 公民有權更正任何資訊錯誤。
- 各機構需要只收集與實現其目的相關的最低限度的必要資訊。
- 在「需要知道」的基礎上限制對資料的存取。
- 限制聯邦(和非聯邦)機構之間分享資訊 -- 即僅在特定條件下允許。
然而,互聯網的發明改變了私隱的定義,因此有必要頒布有關電子通訊的新資料安全法律。
聯邦貿易委員會法案
1914 年的《聯邦貿易委員會法案》確立了美國聯邦貿易委員會及旨在取締不公平的競爭方法和影響商業的不公平行為或做法。
如今,雖然聯邦貿易委員會沒有明確規定網站私隱政策中應包含哪些資訊,但它利用其權力發佈法規、執行私隱法律和保護消費者。例如,聯邦貿易委員會可能會針對以下機構採取行動:
- 沒有遵循已發佈的私隱政策。
- 沒有遵循私隱政策的概述以不正確的方式傳輸個人資訊。
- 向消費者和在私隱政策中作出不準確的私隱和安全聲明。
- 沒有實施和維持合理的資料安全措施。
- 沒有遵循可能適用於機構所屬行業的自我監管原則。
聯邦貿易委員在互聯網監管中發揮重要作用,尤其是它會審查領先科技和社交媒體公司在收集消費者資料上對私隱的誤導性聲明。例如,此前,聯邦貿易委員會曾調查針對 Facebook 使用客戶資料的投訴。
兒童網上私隱保護法案
1998 年《兒童網上私隱保護法案》(也稱為 COPPA)是一項美國聯邦法律。其目標是讓父母控制其幼兒在上網時可被收集哪些資訊。COPPA 適用於商業網站和網上服務(包括流動應用程式和物聯網設備)針對 13 歲以下兒童收集他們的個人資訊。
COPPA 的一些主要規定包括:
- 針對 13 歲以下兒童的網站、應用程式和網上工具在收集兒童資訊之前必須提供通知並獲得父母的同意。
- 他們必須有一個清晰而全面的私隱政策。
- 他們必須確保從兒童獲得的任何資訊的安全。
雖然該法律起源於互聯網的早期,但在社交媒體和程式化廣告盛行的時代,它變得尤為相關。COPPA 的一個關鍵問題是網站在多大程度上「針對」 13 歲以下的兒童。在美國,聯邦貿易委員會根據各種標準對網站進行評估,包括:
- 主題
- 內容
- 使用動畫角色
- 使用以兒童為對象的活動或獎勵
- 模特兒的年齡
- 存在童星或吸引兒童的名人
- 網站上針對兒童的廣告
一些網站或服務按年齡篩選使用者,因此他們不必遵守 COPPA 規定。例如,很多社交網絡的商業模式是以收集用戶資料作盈利目的為基礎,而其註冊使用者的最低年齡設定為 13 歲。
COPPA 提出的另一個問題是,甚麽構成「收集個人資訊」。收集姓名、地址和照片屬於此類別。但不太明顯的是行為定向廣告 -- 即跨網站和應用程式追蹤使用者行為的廣告 -- 根據 COPPA 這也屬於收集個人資訊。即使第三方供應商提供這些行為定向廣告,如果它們出現在針對兒童的網站上,網站擁有者也要對這些廣告負責。由於行為定向廣告構成了互聯網生態系統的重要組成部分,這對針對兒童的網站造成重大影響。
《加州消費者私隱法案》
《加州消費者私隱法案》(CCPA) 於 2018 年簽署成為法律。其目標是透過將消費者私隱保護擴展到互聯網來解決加州居民的消費者私隱問題。CCPA 被認為是美國最全面的以互聯網為中心的資料私隱法例,在聯邦層面沒有同等的法例。
與歐盟的 GDPR 一樣,它賦予消費者查看其資料的權利,以及隨時刪除和選擇不授權處理資料的權利。但是,CCPA 與 GDPR 的不同之處在於,GDPR 授予消費者更正或糾正不正確的個人資料的權利,而 CCPA 則沒有。GDPR 還要求消費者在提供其資料時明確表明同意。相比之下,CCPA 僅規定網站上提供私隱聲明,告知消費者他們有權選擇不提供某些資料。CCPA 的其他功能包括:
- 消費者有權透過資料當事人查看請求查看其資料。
- 企業不能在不提供網上通知及給予選擇退出的機會的情況下出售消費者的個人資訊。
- 如果消費者是資料洩露的受害者,他們擁有有限的起訴權。
- 州總檢察長具有代表居民起訴公司的更普遍能力。
CCPA 對個人資訊有一個寬廣的定義:「可識別、涉及、能夠描述、能夠直接或間接與特定消費者或家庭相關聯或可以合理地與特定消費者或家庭相關聯的資訊」。這類似於 GDPR 對個人資料的廣泛看法。
通用資料保護條例
歐盟的《通用資料保護條例》(GDPR)於 2018 年生效。它是一個法律框架,為收集和處理居住在歐盟的個人的私人資訊設定了指引。無論網站位於何處,GDPR 都適用,這意味著所有吸引歐洲訪客的網站都應遵守 GDPR。GDPR 被認為是世界上最嚴格的資料安全法律之一。
GDPR 規定網站必須通知網站使用者網站會收集哪些資料,並且使用者應明確表明同意該等資料的收集。因此,很多網站都有彈出視窗要求使用者同意使用 Cookie -- 即包含個人資訊(如網站設定和偏好)的小檔案。
GDPR 的主要功能包括:
- 消費者有權瞭解他們的資料是如何收集和使用。
- 消費者可以詢問網站收集了哪些關於他們的資訊(無需支付費用)。
- 如果消費者的資料中存在錯誤,他們可以要求更正。
- 消費者可以請求從記錄中刪除他們的資料。
- 消費者有權拒絕處理資料 -- 例如,用於營銷目的。
- 網站必須通知使用者他們的資料是否被入侵或洩露。
歐盟委員會在官方網站上詳細解釋了 GDPR。有些大型公司因違反 GDPR 而受到引人注目的處罰,其中包括 Google 被處以 5700 萬美元的罰款,因為公司在使用者設定新 Android 手機時隱藏了重要資訊,這意味著使用者不知道他們同意哪些資料收集政策,另外,英國航空公司則被罰款 2800 萬美元,因為在一次黑客攻擊中 50 萬份客戶預訂記錄被盜竊。
健康保險可攜與責任法案
1996 年《健康保險可攜與責任法案》(HIPAA) 是一項美國聯邦法律,專注於對健康保險監管,包括資料私隱和安全部分。它可以防止醫療保健提供機構、企業和與他們合作的人在未經消費者批准的情況下披露消費者的健康資訊。
當提及 HIPAA 時,通常指的是 2003 年制定的私隱規則條款。引入這項規則的部分原因是美國國會認識到互聯網更有可能發生健康私隱洩露事件。HIPAA 的私隱規則賦予消費者控制其健康資訊披露的權利,以便他們可以告訴他們的醫療保健機構他們同意分享哪些資料。
但是,HIPAA 僅保護特定類型的醫療保健機構持有的醫療保健資訊。例如,你的健身追蹤器上的醫療保健資料通常不受 HIPAA 保護。你在 Ancestry.com 等網站上輸入的基因資料也不包含在 HIPAA 範圍內。其他法律或協定(例如很多應用程式要求的私隱披露)可能會保護這些資訊,但 HIPAA 不會保護。
格拉姆-里奇-比利雷法案
《格拉姆-利奇-布莱利法案》(GLBA)-- 也稱為 1999 年金融服務現代化法案 -- 是一項包含資料私隱和安全元素的銀行和金融法律。它對個人資訊的保護建立在以前的消費者金融資料法律的基礎上,例如《公平信用報告法》(FCRA)。
從本質上講,GLBA 保護非公開的個人資訊,其定義為「為提供金融產品或服務而收集的有關個人的任何資訊,除非該等資訊屬公開資訊。」而「公開資訊」是指可能屬於公共領域的財產記錄或可在公共領域找到的某些按揭貸款資訊。
GLBA 保護規則要求資料收集者保護個人資訊並建立適當規模的資料安全防護系統。換句話說,大型國家銀行需要有比社區信用合作社等更複雜的保護措施。
該規則要求企業定期進行測試。此外,他們必須在日常運營中實施安全措施,例如進行員工背景調查和制定應對入侵的行動計劃以防發生攻擊。
GLBA 將假託(pretexting)定為非法。假託是指某人以不正當方式存取非公開資訊。這個術語通常與社會工程黑客攻擊相關 -- 例如,有人為了獲得資訊而冒充經理或執法人員。網絡釣魚詐騙有時會涉及建立虛假網站來欺騙人們洩露私人資訊是另一個假託的例子。GLBA 要求金融機構制定防止假托的措施,作為其安全防護計劃的一部分。
互聯網私隱法律:結論
世界各地的不同司法管轄區都有自己的互聯網私隱和資料安全法律。例如,巴西有 Lei Geral de Proteção de Dados(LGPD),而加拿大有消費者私隱保護法(CPPA),這兩者在範圍上與歐盟的 GDPR 或加利福尼亞州的 CCPA 大致相似。
在美國,沒有一項全面的聯邦法律來管理資料私隱。互聯網法規是特定行業和特定媒介法律的複雜組合,包括涉及電訊、健康資訊、信用資訊、金融機構和營銷的法律和法規。
保護你的網上私隱和資料安全的最佳方法之一是使用全面的防毒解決方案。像 Kaspersky Premium 這樣的產品可阻止常見和複雜的威脅,例如病毒、惡意軟件、勒索軟件、間諜應用程式和最新的黑客活動。
推薦產品:
