自2014年初以来,美国联邦贸易委员会(Federal Trade Commission)已对至少14家来自时尚,电信等各个行业的美国企业进行指控,理由是它们错误地声称自己参与了美国-欧盟安全港隐私。其中三家公司还被指控犯有类似的美国违法行为-瑞士安全港。安全港条款旨在为美国和欧洲组织提供合法,经济高效的手段,以便在严格遵守数据隐私法的欧洲国家/地区之外传输消费者数据。 2014年6月25日,美国联邦贸易委员会(FTC)报告批准了针对美欧安全港违反这14个实体的最终订单和解费。

鉴于FTC执法活动的增加,FTC可能试图表明它对保护消费者数据很认真,并且违反安全港的行为将继续执行。根据《联邦贸易委员会法》第5条第1款的规定,任何被发现违规的组织每次违规最高可承担16,000美元的费用,如果连续发生违规,则每天最高可承担16,000美元的责任(某些投诉的副本附于下文) )。[1]

所有从事数据共享的公司应通过执行以下步骤来确保其符合FTC法规:

  1. 如果您未通过安全港认证,请查看您的网站内容,尤其是您的隐私政策,并删除任何表达或暗示您公司声称参与并遵守安全港框架的语言,包括安全港印章的图像。这是确保您的公司不会通过虚假陈述参与方而违反FTC法案的唯一保证。
  2. 如果您的公司正在美国–欧盟和/或美国–瑞士安全港,表示或暗示其已通过安全港认证,找出您的认证何时到期,并建立预防措施以确保认证不会失效。请理解,认证公司必须每年重新认证,并应注意确保及时进行认证。
  3. 在欧盟以外的地方传输数据时,获得安全港认证的公司还必须遵守FTC制定的七项隐私原则:通知,选择,继续传输,安全性,数据完整性和执行权。

直接从FTC网站获取的七项隐私原则描述如下:

注意

组织必须通知个人有关收集和使用其信息的目的。他们必须提供有关个人如何进行查询或投诉的组织,信息披露给的第三方类型以及组织为限制其使用和披露而提供的选择和方式的信息。

选择

组织必须给个人提供选择(退出)其个人信息的机会,以决定是否将其个人信息披露给第三方或用于与原始信息收集目的或个人后来授权的目的不符的目的。对于敏感信息,如果要将信息透露给第三方或用于其原始目的或个人随后授权的目的以外的目的,则必须给出肯定或明确(选择加入)的选择。

继续转让(转让给第三方)

要向第三方披露信息,组织必须应用通知和选择原则。如果组织希望将信息传输给充当代理的第三方,则可以确保第三方同意遵守《安全港隐私原则》,或者遵守该指令或其他充分证据。或者,组织可以与该第三方签订书面协议,要求该第三方至少提供与相关原则所要求的相同级别的隐私保护。

访问

个人必须有权访问组织持有的有关自己的个人信息,并且能够在不准确的地方更正,修改或删除该信息,除非提供访问的负担或费用与个人风险不成比例’在有关情况下,或在侵犯个人权利以外的其他人的权利的情况下的隐私权。

安全

组织必须采取合理的预防措施,以防止个人信息丢失,滥用和未经授权的访问,披露,更改和破坏。

数据的完整性

个人信息必须与使用目的相关。组织应采取合理的步骤,以确保数据在预期用途,准确性,完整性和最新性方面都是可靠的。

执法

为了确保遵守安全港原则,必须有:(a)随时可用且负担得起的独立追索机制,以便每个人’可以调查和解决投诉和纠纷,并在适用法律或私营部门举措规定的情况下判给损害赔偿; (b)已经执行了验证公司遵守安全港原则的承诺的程序; (c)对因不遵守原则而引起的问题进行补救的义务。制裁必须足够严格,以确保组织遵守。无法提供年度自我认证信的组织将不再出现在参与者列表中,并且不再保证获得安全港福利。

尽管最近的打击行动围绕虚假声称或暗示合规的公司展开,但人们认为,包括通知,选择(退出)和继续转移原则在内的七项隐私原则将是FTC试图执行的下一个重点。国际安全港合规性。

美国联邦贸易委员会(FTC)对这14项最终订单的批准强烈提醒我们,不参与的公司必须确保网站内容不会明示或暗示地虚假地声明其合规性,并且公司已证明已在美国参与进来。– EU or US –瑞士安全港,他们需要确保其证书是最新的,并遵守七项隐私原则。

 

[1] 美国服装公司, Apperian Inc., 亚特兰大猎鹰足球俱乐部有限责任公司, Baker Tilly Virchow Krause LLP, BitTorrent公司, 查尔斯河实验室国际公司,  DataMotion Inc., DDC实验室公司, 浦发体育有限公司, Fantage.com Inc., Level 3 Communications LLC。, 雷诺消费品公司, 应收管理服务公司田纳西足球公司