11月17日, 2020, 联邦政府在C-11法案中提出了改革联邦隐私制度的建议, 数字宪章实施法案(DCIA). (长标题:《JDB电子》(CPPA)和《JDB电子夺宝》(Personal Information and Data Protection Tribunal Act)的颁布法案,并对其他法案进行相应和相关的修订).
DCIA的第一部分将用拟议的消费者隐私保护法取代个人信息保护和电子文件法案(PIPEDA)的第一部分. DCIA还包括另一个法案, 个人信息和数据保护法庭法案(PIDPTA), 设立一个新的行政审裁处,拥有私隐管辖权.
为什么这对JDB电子很重要
最终形式的C-11法案会, 一旦它通过, 成为加拿大除B以外的所有省份和地区的一般管理JDB电子消费者个人信息(PI)的法律.C.、魁北克和阿尔伯塔省以及所有省内和国际数据流.
该法案保留了一些基本的联邦框架, 但它引入了包括强制隐私计划在内的新元素, 几项新的消费者保护措施,以及包括合规命令在内的更严格的执行框架, 放大器和七国集团最高的隐私罚款. JDB电子应预期,在新制度下,不遵守规定的成本和后果将大大增加.
下文概述了C-11法案中一些比较重要的变化.
需要隐私管理课程
JDB电子现在将被要求拥有足够强大的隐私管理程序,以应对CPPA更严格的隐私和数据保护合规要求. 这是现行规则下的一般情况, 对隐私的考虑将不仅仅局限于JDB电子对“内部PI”的处理.“JDB电子也要对第三方服务提供商代表他们处理PI的方式负责.
加拿大联邦隐私专员办公室(OPC)将有权要求查看JDB电子的隐私计划. OPC还将根据JDB电子的要求提供主动反馈.
罚款,另一个联邦监管机构和私人诉讼权
CPPA将大大改变联邦隐私执法框架. 联邦隐私专员将有权向JDB电子发布侵犯隐私的命令,并建议对其进行重大的行政处罚, 占全球营业额的3%,即1000万美元, 一份有限的关键违规清单.
C-11法案还将设立一个全新的行政法庭, 与私隐专员不同, 获授权实施专业技能计划(专员只能建议专业技能计划). 这个新的法庭还将审理JDB电子的上诉, 还有那些抱怨的人, 联邦隐私专员的决定.
CPPA也包含一项私人诉讼权利. 然而, 这将不适用,直到对CPPA的违反作出裁决,并向新审裁处用尽上诉途径.
此外,还有一些小的关键违规行为. 这些罪行的罚款最高不超过全球营业额的5%或2500万美元,两者以最高金额为准.
加强对消费者个人信息的控制
正如该法案的标题所示,CPPA非常重视对消费者数据的保护. 例如, 现在有一个条款,授权消费者要求JDB电子处置JDB电子对该人的PI, 通常被称为删除权. 还要求识别和记录收集PI的目的, 使用和披露, 将PI处理限制到这些目的, 还有许多其他的保护措施, 既新的,又类似于那些已经存在的.
一些新的罚款和放大器是基于违反这些消费者保护.
隐私政策
CPPA将要求JDB电子在隐私政策中使用通俗易懂的语言,并概述必须包括的信息类型. 这将包括CPPA中几个新的消费者保护信息, 包括同意的例外情况, 自动决策系统的透明度和个人信息处理的要求.
同意和同意的例外
在收集、使用和披露PI时,通常仍需征得同意. 然而, 对于同意,现在有几个例外, 包括标准业务活动的例外情况.
这对JDB电子来说是个好消息, 因为这些例外可能, 在理论上, 减少消费者的同意疲劳. 例如, 在处理与交付和退货等常见业务活动相关的消费者PI时,可能不需要同意. CPPA制定了与这些例外有关的法规. 这样的监管可能会成为一种更加细化的途径, 用例具体说明什么将被视为JDB电子同意的例外.
自动决策系统
CPPA将要求JDB电子分享他们用来处理消费者PI的任何自动化决策系统的更多信息. 该法案将自动化决策系统定义为协助或取代人类决策者判断的任何技术,并列举了各种例子. 在理论上, 该定义可能适用于常见的用例,如自动将客户呼叫路由到正确部门的客户服务系统.
个人将有权要求JDB电子解释自动决策系统是如何做出预测的, 关于他们的建议或决定,以及系统如何获得他们的信息.
数据迁移
CPPA授权消费者要求JDB电子将该消费者的PI发送给另一个组织. CPPA确实, 然而, 考虑商业和技术可行性等因素, 将这一权利限制在数据移动性框架所涵盖的其他组织,并为即将出台的法规作出规定.
De-identification
去识别是一种技术解决方案,通常用于“隐藏”数据集中包含的个人信息. 在概念上, 尽管在现实中并不一定总是考虑到数据分析中使用的技术流程和创新, 反识别技术可以使PI无法识别.
去身份识别通常被认为是将PI从隐私法的范围中移除的一种方法, 基于这样的法律只适用于能够识别某人的信息,而去识别则消除了识别某人的可能性.
CPPA包括去识别的定义和与之相关的规定. 然而, 按照目前的起草, 目前还不清楚通过去识别来“删除”消费者PI的技术解决方案是否仍然可用. 这可能会导致行业实践的重大转变.
进一步的上下文
商业隐私专家继续探索C-11法案的许多细微差别, 零售理事会也通过其私隐委员会和其他途径进行调查. 我们希望在接下来的几个月里分享更多的信息,欢迎JDB电子提出任何问题或见解.
JDB电子评估CPPA对其组织的全面影响, 他们应该记住对方, 加拿大司法管辖区正在进行的私营部门隐私要求的审查和改革(魁北克, B.C. 和安大略,看 RCC的隐私关键问题页面). 所有这些导致的隐私义务可能与C-11法案最终形式的联邦要求一致,也可能不一致.
从法律角度概述C-11法案对商业的影响, 与《JDB电子夺宝》和欧洲GDPR相关, BLG观点的分析.
更多信息:
欲了解更多信息,请通过kskipton@retailcouncil联系凯特·斯基普顿.org.
