什么是 PIPEDA? 您需要了解的一切合规性

已发表: 2022-06-28

数据隐私可以成就或破坏您的业务。

已经制定了许多重要的合规性和标准,以使消费者能够控制他们的数据并保护隐私。 在处理大量消费者数据时,了解各种法规非常重要,包括最新的区块添加、PIPEDA、受影响的各方以及对违规行为的处罚。

以下是对 PIPEDA 的深入探讨,它与 HIPAA 和 GDPR 隐私标准的比较,以及组织如何保持 PIPEDA 合规性。

什么是 PIPEDA?

个人信息保护和电子文件法 (PIPEDA)是一项加拿大法律,于 2000 年 4 月 13 日获得皇家批准,并于 2001 年 1 月 1 日起分阶段生效。该法律于 2004 年 1 月 1 日全面颁布。

PIPEDA 使加拿大企业能够在全球数字经济中竞争,同时减轻对消费者隐私的担忧。 该法律必须每五年进行一次审查,以确保有效的立法和成果,例如保护个人信息。

个人信息是关于可识别个人的任何主观或事实信息。 它包含以下元素:

  • 个人健康信息 (PHI)
  • 就业细节和文件
  • 信用和贷款记录
  • 主观信息,如评估和纪律处分
  • 直接标识符,例如姓名、年龄和身份证号码

PIPEDA 的目的是什么?

PIPEDA隐私条例为受法律约束的公司在开展商业活动时处理个人信息制定了基本规则。 加拿大隐私专员办公室负责监督 PIPEDA 的合规性。 OPC 的职责包括帮助企业优化处理个人信息的方式以及调查来自加拿大公民的隐私投诉。

是什么影响了PIPEDA的发展?

法律的提出和批准是有原因的。 在许多情况下,目标是弥补现有立法中的缺陷或疏忽。

在这种情况下,随着越来越多的客户转向电子商务解决方案,PIPEDA 的推动力是越来越关注公司如何处理电子传输的个人数据。 通过制定商业组织如何管理个人数据的规则,PIPEDA 力求保护消费者与其数据使用相关的权利。

以下是一些重要的 PIPEDA 规定:

  • 该法案旨在平衡个人对其个人信息的隐私权与组织在开展业务时收集和处理信息的需要。
  • 根据 PIPEDA,加拿大人有权了解组织为何收集、使用或披露其个人信息。 消费者可以查看收集的数据并进行更正以解决不准确之处。
  • 企业必须征得同意才能收集、使用或披露个人信息。 当数据有助于调查或在不披露将危及公共安全的紧急情况下,此要求将被暂停。
  • PIPEDA 授予个人向隐私专员投诉组织如何处理其个人信息的权利。 私隐专员会审查和解决投诉。
  • 隐私专员可以向公众发布信息或将此事提交给加拿大联邦法院,这可以迫使组织停止特定做法并向受影响的个人判给损害赔偿。
  • PIPEDA 包含一套基于国际数据保护法和加拿大标准协会的个人信息保护示范隐私守则的公平信息原则。 该代码由公司、消费者协会、政府和其他关注隐私标准的组织共同开发。

PIPEDA 的 10 项公平信息原则

PIPEDA 的核心是 10 项公平信息原则,受法律约束并参与处理个人数据的实体必须遵守这些原则。 让我们仔细看看这些原则。

为遵守 PIPEDA,组织必须遵守以下各项公平信息原则。

  1. 问责制:企业需要至少指定一个人来保持 PIPEDA 合规。 此人应具备资格并获得管理支持以履行其职责。 应制定易于理解的隐私政策,概述公平信息原则,并与所有相关利益相关者共享。
  2. 识别目的:企业必须说明收集特定类型数据的原因。 该要求解决了三个隐私问题: 验证个人是否了解收集其数据的原因; 提醒公司,以便他们可以采取行动防止数据的不当使用; 如果公司想将其数据用于新目的,则要求公司获得新的个人同意
  3. 同意:受 PIPEDA 指南约束的公司需要获得有意义的隐含或明确的消费者同意。 受试者不能被强迫同意并且必须理解将其提供给数据收集者的含义。
  4. 限制收集:组织只能收集必要且与其寻求同意的目的一致的信息。
  5. 限制使用、披露和保留:企业需要制定政策,确保客户信息仅用于已获得同意的原因。 数据仅应保留达到数据收集者所述目的所必需的时间,但必须保留足够长的时间以供消费者质疑信息。
  6. 准确性:   企业必须保证所收集的所有个人信息都是准确、完整的,并在必要时为所述目的而更新。
  7. 保障措施:这可能是最关键的 PIPEDA 原则,直接涉及保护收集的个人信息。 组织必须保护收集的数据免遭泄露、盗窃更改、复制和未经授权的访问。 个人数据保护的级别应与其敏感性相对应。
  8. 开放性:企业必须告知用户他们的数据是如何收集、处理、共享和存储的。 必须提供问责原则中指定人员的姓名和联系信息,并告知用户如何访问收集的数据。
  9. 个人访问:公司必须在 30 天内通过向请求者提供有关收集的数据类型及其使用和披露的信息来回应对个人数据的书面请求。 消费者应该能够确定所收集的数据是否准确并进行必要的更正。
  10. 挑战合规性:组织必须制定程序来接收、调查和解决有关不合规和违规行为的投诉。 如果投诉合理,则可能需要更改与个人数据相关的政策。 投诉人必须被告知他们的投诉以及如果他们对回应不满意可以采取的步骤。

PIPEDA 适用于谁?

并非所有在加拿大运营的组织都受 PIPEDA 约束。 该规定适用于:

  • 加拿大任何在从事商业活动时收集、使用或披露个人信息的私营部门组织
  • 受联邦监管的组织,例如银行、电信公司和国际运输公司
  • 加拿大公司跨省和国界传输数据

免于 PIPEDA 的组织:

  • 慈善团体
  • 政党
  • 非营利组织
  • 根据《隐私法》列出的联邦政府组织
  • 为新闻、艺术或文学目的收集、使用或披露个人信息的组织
  • 魁北克、不列颠哥伦比亚省和阿尔伯塔省的实体遵守类似的省级私营部门隐私法

PIPEDA如何保护个人信息?

PIPEDA 规定了三种类型的保护措施来确保个人数据的安全。

  1. 物理:组织实施的物理保护措施应防止未经授权的人员查看机密数据。 措施可能包括监控摄像头、锁定办公室以及在安全的内部或外部数据中心开展 IT 活动。
  2. 组织:这些保护措施是指组织保护个人信息的政策和程序。 培训员工以创建强调隐私的企业文化是组织保障的标准组成部分。 负责处理敏感数据的员工必须经过安全审查,所有内部人员未经授权访问的情况都应进行调查。
  3. 技术:可以采取许多技术措施来保护组织的数据。 关键保护措施包括加密数据、管理和记录用户活动,以及实施强大的防火墙以防止未经授权的用户访问包含敏感信息的网络和系统。

PIPEDA 保护范围内的消费者在使用其数据方面拥有以下权利和期望。

  • 消费者有权查看收集到的关于他们的信息并纠正任何错误。
  • 他们可能会拒绝提供过多或不必要的信息的请求。
  • 所有消费者都应该期望他们的数据将被适当地用于获得同意的特定目的。
  • 公民如果怀疑自己的隐私权受到侵犯,有权提出申诉。

应对数据泄露

如果事件对一名或多名消费者构成严重伤害 (RROSH) 的真正风险,则受 PIPEDA 标准约束的组织需要向 OPC 报告数据泄露。

影响损害程度决定的因素包括受违规影响的信息的敏感性以及恶意行为者滥用信息的可能性。 企业应保留所有数据泄露的记录,无论它们是否构成 RROSH。 这些记录必须至少保存两年。

违规处罚

不遵守可能会导致两种处罚。

  • 经济处罚:根据 2018 年 PIPEDA 修正案,可能会对故意违反安全规定处以罚款。 每次违规可处以最高 100,000 加元的罚款。
  • 负面宣传:影响缺乏足够保障措施的公司。 这会削弱客户的信任,可能会影响公司的业务目标。

PIPEDA 与 HIPAA 与 GDPR

加拿大、美国和欧盟 (EU) 已制定法律解决公民对使用其个人信息的担忧。 虽然这些法律都侧重于保护私人个人信息,但它们提供的具体保护以及它们的执行方式差异很大。

以下是 PIPEDA、1996 年美国健康保险流通与责任法案 (HIPAA) 和欧盟通用数据保护条例 (GDPR) 之间的快速比较。

这些隐私法规的相似之处

所有三个隐私法规都保护敏感的个人信息。

  • PIPEDA 保护范围广泛的个人数据,包括健康信息、财务数据和直接标识符。
  • HIPAA 侧重于个人受保护的健康信息 (PHI)。
  • GDPR 保护可直接或间接用于识别活人的数据。 这包括明显的元素,例如姓名、地址、IP 地址和 cookie 数据,它们可以被视为个人数据。 GDPR 还保护有关种族、宗教信仰和 PIPEDA 或 HIPAA 未涵盖的其他内容的信息。

所有三个隐私标准都要求组织实施保护措施来保护收集的个人数据。

  • PIPEDA 鼓励组织实施技术、物理和组织保护,如本文前面所述。
  • HIPAA 法规在保护 PHI 时需要类似的管理、技术和物理保护措施。
  • GDPR 标准包括实施技术和组织措施来保护个人数据。 这些保护措施包括强调限制对敏感数据的未经授权的物理访问。

这些监管举措的差异

这三个数据隐私标准之间存在实质性差异。 违反每个监管标准的罚款结构不同。

  • PIPEDA:每次违规最高 100,000 加元
  • HIPAA:根据违规的严重程度对最严重的疏忽处以每年 1,500,000 美元的最高罚款。
  • GDPR:违规者最高可被处以公司全球年收入的 4% 或 2000 万欧元的罚款,以较高者为准。

个人的权利因所采用的指导方针而异。

  • PIPEDA:消费者有权查看和更正收集到的关于他们的数据。
  • HIPAA:患者有权查看组织收集和存储的 PHI。
  • GDPR:个人可以查看他们的数据并要求将其从组织的数据库中删除。

什么是 PIPEDA 合规性?

PIPEDA 合规性是一套加拿大联邦隐私规则和法规,供企业满足隐私标准。 为了符合 PIPEDA,商业组织需要了解法律的含义并遵循其指导方针。 不遵守可能会导致罚款并降低消费者的信心。

为什么 PIPEDA 合规性至关重要?

电子商务和社交媒体的兴起加强了对包括 PIPEDA 在内的数据隐私法规的遵守。 出于多种原因,法规遵从性对企业及其客户至关重要。

  • 需要保护客户的敏感个人数据免遭未经授权和潜在恶意行为者的滥用或访问。
  • 不遵守 PIPEDA 等监管标准可能会导致巨额罚款。

未能遵守数据保护法规的企业可能会失去可能永远无法恢复的客户信任和公司声誉。

如何获得 PIPEDA 合规性

为了保持对 PIPEDA 的遵守,组织必须实施保护措施来保护个人的个人信息。 需要遵守 PIPEDA 的公司有两种主要选择。

内部与供应商协助的合规性

组织可以选择使用内部资源来实施所需的基础架构和合规系统,或者求助于经验丰富的第三方云合规软件。 每种方法都有优点和缺点。

使用内部资源

  • 使用内部资源构建合规基础架构的公司可以更好地控制他们收集和处理的敏感数据。
  • 购买新硬件来构建环境时,资本成本可能会很高。
  • IT 部门有限的组织可能不具备实施和维护符合 PIPEDA 的环境所需的专业知识或空闲周期。

聘请第三方云合作伙伴

  • 由于云托管提供了计算基础设施,因此降低了资本成本。
  • 信誉良好的提供商的专业知识可降低数据泄露或违反 PIPEDA 中概述的安全预防措施的可能性。
  • 企业可以使用云资源快速扩大或缩小规模,以满足波动或季节性的客户需求。

密切关注您的合规性

PIPEDA 合规性不容忽视。 虽然经济处罚会显着影响公司的底线,但不太明显的影响可能会付出更高的代价。 如果数据泄露危及个人数据,则可能无法恢复客户信任。

需要遵守 PIPEDA 的企业可以通过与信誉良好的网络托管服务提供商合作,显着降低维护合规性的压力和复杂性。 合适的供应商可以提供符合 PIPEDA 标准的基础设施,使公司能够专注于其核心业务目标,确保满足所有监管要求。

好奇在线客户数据的未来会怎样? 了解即将到来的无 cookie 未来会发生什么。