电子商务中的数据保护

2020年12月28日17:14:16 发表评论 39 次浏览

本文概述

电子商务中的数据保护

在电子商务世界中, 每天都有如此多的交易发生。其中许多要求提供者有权访问消费者数据。但是, 许多用户出于充分的理由担心会放弃他们的个人数据。太频繁了高度敏感数据被滥用, 被非法用于广告目的, 甚至被移交给其他第三方。为了避免客户不满意以及可能产生的任何法律后果, 强烈建议公司始终将数据放在首位。任何人如果忽视了复杂的数据安全问题, 都将很快面临违反法律和罚款的危险。

"数据保护"一词最初源自欧洲, 是在提及保护隐私的立法后提出的。另一方面, 在美国, 这通常称为资料私隐。美国的数据隐私权可能会因你所处的州而异。本文概述了国家立法以及国家/地区/特定国家作为在线业务运营商需要遵循的法律和准则。

内容

  1. 数据安全的目的
  2. 个人数据与敏感个人数据
    1. 加利福尼亚的数据保护
      1. 遵循Cookie追踪
    2. 马萨诸塞州的数据隐私
    3. 加拿大的数据安全
  3. 安全漏洞
    1. 如果违反这些规则会怎样?
  4. 电子邮件营销
    1. 关于Google Analytics(分析)和类似内容的注释
  5. 美国的Cookie政策

数据安全的目的

数据保护法律可以帮助你保持在线个人信息安全又可靠。目前, 美国尚无涵盖该确切主题的任何全国性法律或法规。但是, 应该指出的是, 《美国隐私法》, 《安全港法》以及《美国隐私法》等都提供了一定程度的数据保护。健康保险可移植性和责任法案(HIPAA)。话虽如此, 这些都与消费者数据保护领域没有特别的关系。

美国非常重视其宪法的第一个修正案, 即言论自由权。这实际上意味着可以完全阻止或阻止数据保护规则。这就是为什么所谓的"被遗忘的权利"is在观察欧洲, 个人可以要求搜索引擎(例如Google)删除有关它们的新闻报道。这在宪法保护言论自由的大西洋上无法轻易应用, 这意味着人们无法要求将与他们有关的负面信息如此轻易地从网上删除。换句话说, 有没有宪法依据适用于全面的数据隐私法案。简而言之:从技术上讲, 如果个人或企业已努力输入数据, 则即使拥有未经许可就收集数据, 也被视为具有存储和使用数据的权利。

但是, 自2018年5月以来, 已经有了新的欧盟法规, 该法规在一定程度上也影响了美国市场。的通用数据保护条例适用于欧盟内的所有国家/地区, 但更具体地说, 适用于欧盟内的网络用户。这意味着, 如果你的美国网站被欧盟的互联网用户访问, 则也必须遵守这些数据保护法规。因此, 重要的是, 在确保与当地法规保持同步(不同的州可能有不同的法规)的同时, 还应牢记欧盟法规, 并采取正确的措施以防万一你会从欧盟国家/地区获得访客。

个人数据与敏感个人数据

的联邦贸易委员会(FTC)将个人数据定义为可以用来识别一个人甚至与他们联系的信息。这类信息包括IP地址和设备标识符。与智能手机或其他手持设备关联的独特电话号码。敏感的个人数据被视为诸如个人健康数据, 财务数据, 信用评级数据, 学生数据以及任何其他可用于身份欺诈或盗窃的数据。从13岁以下儿童网上收集的任何信息也被视为敏感的个人数据。

通常, 各个州的数据安全违规通知和数据安全法律一定会覆盖人员姓名, 政府ID号, 支付卡号和健康保险数据。与在线企业主特别相关的是某些州法律涵盖了以下事实个人在线帐户的用户名和密码。 

FTC对商业领域的许多企业具有管辖权, 涉及某些问题时, FTC有权在某些行业领域发布和实施隐私法规, 包括商业电子邮件, 儿童隐私, 和电话销售。关于这些领域, FTC旨在防止不公平或具有欺骗性的商业行为。每个州的司法部长都会处理高调的数据安全漏洞。显然, 考虑到相关的法庭剧, 这些都是分散的监管机构或部门;在美国没有官方的国家数据保护机构。

加利福尼亚的数据保护

这导致美国在这方面变得反动而不是预防, 引入了上述某些行为。加利福尼亚是该规则的例外, 该州在隐私权(包括数据隐私权)方面拥有先进且专门的法规。加利福尼亚州宪法第1条第1款概述了其公民享有的不可剥夺的隐私权。一个例子可以用在线隐私保护法(2004);此行为要求网站运营商发布易于识别的网站隐私政策链接(通常称为"你的加利福尼亚隐私权")。这是概述网站收集的信息的类型以及与其他方共享信息的方式。它还必须详细说明用户查看, 甚至更改存储在他们周围的数据的方式。

不遵守这些规则可能对企业造成巨大的损失。如果在联系后30天内, 网站仍未发布或发现存在隐私权政策违反法律以其他方式, 网站运营商可能会受到法律诉讼。在这种情况下, 无论是有意还是无意, 他们都可能被指控为过失, 甚至可能被罚款。还要注意的是, 这项法律不仅适用于州边界内的公司;加利福尼亚州居民可以轻松访问网站后, 该行为就开始对在线存储/存储信息的公司起作用。

遵循Cookie追踪

到那个时刻饼干和其他类似的跟踪设备, 加利福尼亚州法律要求公司在其隐私权政策中包括有关在较长时间内跨多个网站收集和跟踪的个人身份数据的任何信息。如果情况是他们正在使用这种方法, 那么他们还需要提供详细信息, 说明是否允许访客选择退出此类跟踪系统, 以尊重任何"请勿跟踪"程序。但是, 加利福尼亚州法律不要求网站提供"请勿追踪"选项。

加利福尼亚州的法律确实规定, 如果有任何第三方可以访问与该网站有关的个人消费者数据, 则网站运营商必须在其隐私政策中明确说明。此信息可能来自网站或第三方网页。在加利福尼亚州也不允许广告宣传某些产品和服务。此列表中包括纹身, 枪支, 酒精, 一些饮食补品和紫外线晒黑。

未成年人在加利福尼亚州受到法律的特殊对待-在这种情况下, 未成年人一词是指18岁以下的任何人。未成年人是网站的注册用户, 有权从网站或网络服务中删除他们可能发布并上传的任何内容。这项法律适用于主要针对上述未成年人的网站和在线服务, 或者有意收集和归档未成年人的个人身份信息。

马萨诸塞州的数据隐私

马萨诸塞州有一项法律, 要求任何组织一名或多名负责其信息安全计划的员工。与上述针对加利福尼亚州的法律一样, 该法律涵盖了在马萨诸塞州拥有或许可(敏感或其他方式)个人数据的所有组织, 这意味着该数据超出了州的边界。有类似的全国性法律适用于受HIPAA约束的所有公司和组织(请参见上文), 所有公司和组织都必须任命一名数据保护官和IT安全员。造成这种情况的主要原因之一是, 这些受HIPAA监管的组织期望的数据安全要求更加广泛, 并且有些州对诸如支付卡数据和社会安全号码。

马萨诸塞州法律要求的安全程序要求任何组织或公司等都有书面的信息安全程序。该程序需要全面, 并且必须具备某些最低要求。它需要确保所有有权访问此敏感个人数据的服务提供商都必须遵守这些法规。对以下内容的传输也有加密要求敏感的个人信息通过无线网络和超出组织的物理/物流领域。这同样适用于组织可能拥有的任何笔记本电脑和便携式设备。值得注意的是, 这项法律不仅适用于马萨诸塞州, 而且也适用于内华达州。

加拿大的数据安全

在边界以北, 有一组类似的规则已经根据2000年《个人信息保护和电子文档法》(PIPEDA)。该法律概述了加拿大的组织需要:

  • 当他们收集, 使用或披露其客户的个人信息时, 请征得他们的同意。
  • 使用合法且公平的方法获取和归档信息。
  • 清楚说明他们有关个人信息的政策是什么
  • 如果客户选择退出收集, 使用和披露其数据, 切勿拒绝向其提供产品/服务。

安全漏洞

电子商务行业处理许多非常个人, 敏感和重要的数据。这意味着, 无论实施了多少安全措施, 始终始终存在严重漏洞和此类数据丢失的威胁。目前, 47个州要求在与使用以下一项或多项信息有关的安全受到违反时通知州居民:名称, 信用卡号, 银行帐号, 政府身份证号, 社会保险号等

值得注意的是, 越来越多的州开始意识到税号和登录详细信息(用户名和密码)作为敏感数据。结果, 它们也受到有关违规行为的法律的约束。根据联邦法律, 来自金融机构的信息泄露必须报告给消费者。在某些州, 某些违规行为需要报告给州官员, 在某些情况下, 甚至可能会扩展到特定州的司法部长。

如果违反这些规则会怎样?

不可避免地, 这些规则和准则也会偶尔遭到破坏。联邦贸易委员会, 州总检察长甚至相关行业部门的监管机构都将判处民事罚款。此外, 这样违规行为还可能导致诉讼和出庭。不用说, 应该避免这种事情, 因为律师费等的补偿费用可能加起来并使其付出高昂的代价。无法提供足够的个人数据的数据安全性, 例如信用卡详细信息, 容易导致电子商务企业遭到起诉。

电子邮件营销

在美国, 营销传播受到广泛的监管。有联邦法律, 所谓反垃圾邮件法, 它不仅适用于电子邮件, 还适用于所有商业消息-法律将其定义为"任何电子邮件其主要目的是商业广告或商业产品或服务的促销"。法律没有区分企业对客户电子邮件和企业对企业电子邮件。就像提起诉讼一样, 不认真遵守这方面的规则可能会造成巨大的损失。如果发现每封邮件都违反了CAN-SPAM法案, 则可能会受到精细最高$ 40, 654。对于使用这种通讯方式的任何企业来说, 此信息都是非常重要的, 包括新闻通讯, 更新, 博客等。

的反垃圾邮件法在涵盖的问题范围内非常全面。以下是其主要要求的概述:

  1. 标头中没有误导/错误信息–收件人必须易于识别撰写和发送邮件的个人或组织。
     
  2. 没有误导的主题行–该准则应是不言自明的。
     
  3. 披露该消息是广告–尽管有关该特定规则的法律有很多余地
     
  4. 包括地址–每封电子邮件还必须具有实际的邮政地址。
     
  5. 包括退出信息–这应该易于识别并且易于执行。建议为此使用不同类型的字体大小和颜色。在这方面, 返回电子邮件地址或在线链接就足够了。如果你愿意, 可以向收件人显示一个菜单, 他们可以选择退出某些类别的电子邮件, 但是, 你还需要包括一个选项以停止所有通信。最后, 你应该确保来自客户的此类回复不会最终出现在你的垃圾邮件文件夹中–如有必要, 请调整设置。
     
  6. 及时退出–发送企业电子邮件后的30天至关重要, 因为在此期间, 你需要处理任何退订请求。不允许以任何方式使此过程变得复杂;你只能要求他们发送简单的回复或访问多个网页, 而无需其他任何操作。向个人要求身份证明甚至收费都是违法的。发送退出请求后, 你将有10个工作日来处理和执行该请求。必须指出的是, 这样的请求不仅禁止你或你的组织发送电子邮件, 还禁止将电子邮件地址出售或转让给其他公司-例外情况是, 如果你将其转移到的公司实际上是为协助你遵守《反垃圾邮件法》而雇用了我们。
     
  7. 不要回避责任–雇用第三方来管理你的电子邮件营销并不能免除你对发送给收件人的法律责任。你和第三方均应对所采取或未采取的任何行为承担法律责任(视具体情况而定)。

根据联邦法律, 可以故意更改电子邮件的来源或路由, 从而误导用户。

关于Google Analytics(分析)和类似内容的注释

现在, 使用Google Analytics(分析)的网站运营商还必须获得网站访问者的有关跟踪的明确同意, 以便遵守欧盟法律(这种情况伴随法律不确定性和对受影响人群的警告风险)。但是, 还有Google Analytics(分析)的数据保护替代品, 例如Piwik或Chartbeat, 你可以将其用于网络分析。

美国的Cookie政策

除了加利福尼亚州(见上文)外, 在美国没有关于使用Cookie的具体法律或其他类似的在线活动跟踪设备。一项非常重要的立法是儿童在线隐私法案(COPPA)。此行为指的是从针对儿童的网站以及其他网站, 网络甚至是故意从正在使用互联网的13岁以下儿童那里收集信息的插件自动收集的信息。 COPPA还涵盖了针对13岁以下儿童的行为广告。

至关重要的是, 你网站的客户或访问者必须知道存在cookie或其他类似的跟踪设备。如果不告知游客, 可能会面临法律诉讼, 罚款等风险。还有一种称为"数字广告联盟"行为准则。除其他事项外, 它建议包含一个显示图标, 使用户可以轻松决定是否出于行为广告目的而对其进行跟踪。

此外, 由于GDPR生效后欧洲实施了新法规, 因此你还应该意识到, 你的Cookie政策应不仅限于遵循美国法规-除非你只想瞄准美国市场, 否则你将处于这是一个不利条件, 因为你将失去大量潜在的网站访问者。由于有新规定, 你应该意识到, 欧洲原则, 例如通常被不适用于美国站点的被遗忘权, 现在可能是你应该考虑的问题。

正如人们所期望的那样, 如今, 通过智能手机应用程序进行了大量电子商务活动。旅途中购物的增加导致了与以下方面有关的数据隐私问题的广泛辩论位置资料。这就是电信公司参与其中的地方。联邦通信委员会(FCC)规范电信公司对位置信息的收集和披露。

如本文所示, 在电子商务世界中, 数据隐私和安全性并不总是那么简单。为了确保你遵守所有相关的法律准则, 有几个复杂的问题和障碍需要克服。还要注意你所在州的立法。正如我们所看到的, 随着欧洲法规的变更, 这是一个不断变化与发展, 并且可以影响全球的互联网活动-并因此也影响数据保护和数据安全。

请点击这里重要的法律免责声明。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: