博客
什么是PIPEDA(个人信息保护和电子文件法)?

什么是PIPEDA(个人信息保护和电子文件法)?

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

《个人信息保护和电子文件法》(PIPEDA)是加拿大私营部门组织的联邦隐私立法。 

PIPEDA于2000年4月13日成为法律,旨在促进电子商务中的信任和数据隐私,此后扩展到包括银行,广播和卫生部门等行业。  

该法律的目的是"以承认个人隐私权的方式管理个人信息的收集,使用和披露,以及组织出于合理的人的考虑而收集,使用或披露个人信息的需求在适当的情况下。"

像欧盟'根据PIPEDA的《通用数据保护条例》(GDPR),个人有权访问组织持有的个人信息,知道谁负责收集信息,了解为什么'被收集并挑战其准确性。 

这是PIPEDA的重要方面,因为它向欧盟保证了加拿大隐私法已充分保护了欧洲公民的敏感信息。 PIPEDA的另一个重要方面是它旨在保留加拿大's 数据泄露 通知要求与国家/地区一致'的贸易伙伴,包括欧盟。 

一个沙发 加拿大政府的监管影响分析 在2017年,PIPEDA目前被认为可以为欧盟提供基本上同等水平的隐私保护,从而允许个人信息从欧盟自由流向加拿大组织。 

PIPEDA概述

PIPEDA可以分为两部分,个人的权利和组织的要求。

PIPEDA赋予个人以下权利:

  • 询问组织为什么要收集,使用或披露其组织 个人身份信息(PII)
  • 期望组织仅合理合理地收集,使用或披露个人数据
  • 期望组织不会将收集到的信息用于其同意以外的目的
  • 知道组织中谁负责保护其个人信息
  • 期望组织通过采取适当的安全措施(例如,安全保护)来保护其个人信息。 自动卖方风险评分
  • 期望组织保持个人信息的准确性,完整性和最新性
  • 获取他们的个人信息并在必要时要求更正
  • 投诉组织如果认为自己的隐私权未得到尊重,将如何处理其个人信息

PIPEDA然后要求组织:

  • 获得一个人'同意收集,使用或披露个人信息
  • 向个人提供产品或服务,即使他们拒绝同意收集,使用或披露您的个人信息,除非该信息对交易至关重要
  • 通过公平合法的方式收集信息
  • 制定清晰,可理解且随时可用的个人信息政策

PIPEDA如何实施? 

PIPEDA的实施分三个阶段进行。

2001年,该法律适用于联邦监管的行业(例如航空公司,银行和广播业)。 2002年,法律'范围已扩大到包括卫生部门。到2004年,PIPEDA涵盖了任何在商业活动过程中收集个人信息的组织,但在隐私法方面有类似规定的省份除外。 

截至208年10月,这七个省的隐私法律被认为与PIPEDA基本相似:

  1. 关于保护私营部门个人信息的法令 (Quebec)
  2. 个人信息保护法 (British Columbia)
  3. 个人信息保护法 (Alberta)
  4. 个人健康信息保护法 (Ontario)
  5. 个人健康信息隐私和访问法 (New Brunswick)
  6. 个人健康信息法 (纽芬兰和拉布拉多)
  7. 个人健康信息法 (Nova Scotia)

PIPEDA的十项原则是什么?

PIPEDA的十项原则(称为公平信息原则)代表PIPEDA的基础,并在该法案的附表1中进行了详细说明:

  1. 问责制: 组织应对其控制下的个人信息负责,并应指定一个或多个对组织的合规性负责的个人,包括已转移至 第三方供应商 for processing. 
  2. 确定目的: 收集个人信息的目的应由组织在收集信息之时或之前确定。
  3. 同意: 收集,使用或披露个人信息需要个人的知识和同意,除非适当的情况除外。
  4. 限制收集: 个人信息的收集应限于组织确定的目的所必需的信息。信息应通过公正合法的方式收集。
  5. 限制使用,披露和保留: 除获得个人同意或法律要求外,个人信息不得用于收集目的以外的目的或用于其他目的。仅在实现这些目的所必需的时间内保留个人信息。
  6. 准确性: 个人信息应根据其使用目的而准确,完整和最新。
  7. 保障措施: 个人信息应通过适合其敏感度的安全保护措施加以保护。
  8. 开放性: 组织应向个人提供有关其与个人信息管理有关的政策和惯例的特定信息。 
  9. 个人访问权限: 应要求,应告知个人其个人信息的存在,使用和披露,并应允许其访问该信息。个人应能够对信息的准确性和完整性提出质疑,并对其进行适当的修改。
  10. 具有挑战性的合规性: 个人应能够向指定的一个或多个负责组织合规性的个人应对有关遵守上述原则的挑战。

谁需要遵守PIPEDA?

在加拿大,任何在商业活动过程中收集个人信息的私人组织都必须遵守PIPEDA。 PIPEDA还适用于有关员工个人信息的联邦工程,企业和业务。  

如果不确定您的组织是否受PIPEDA的约束,请使用“找到合适的组织就隐私问题进行联系”工具。

谁不是'是否要遵守PIPEDA?

遵守PIPEDA的主要例外是,组织完全在拥有自己的隐私法的省份内收集,使用或披露个人信息,这些省份被认为与联邦法律基本相似。在这种情况下,省级法律将代替PIPEDA适用,尽管PIPEDA将适用于联邦工程,企业或企业以及跨省或国际转移个人信息。

另一个例外是《隐私法》所列的联邦政府组织,省或地区政府及其代理商,组织'仅出于新闻,艺术或文学目的收集,使用或披露个人信息,以及严格出于个人目的收集,使用或披露个人信息的个人。

PIPEDA下的个人信息是什么?

在PIPEDA中,个人信息被定义为有关可识别个人的信息。这些信息可以单独或与其他数据结合使用,从而将您识别为个人,例如:

  • 名称
  • 年龄
  • 身份证号码
  • 收入
  • 财务信息
  • 种族
  • 国籍
  • 民族血统
  • 婚姻状况
  • 血型
  • 病史
  • 教育史
  • 工作经历
  • 脱氧核糖核酸
  • 社会保险号码
  • 司机's license
  • 意见
  • 评价
  • 评论
  • 社会地位
  • 纪律处分
  • 员工档案
  • 信用记录
  • 贷款记录
  • 病历及其他 受保护的健康信息(PHI)
  • 消费者与商人之间存在争议
  • 意向

什么是'在PIPEDA下的个人信息?

通常不视为个人信息的内容包括:

  • 与人无关的信息,因为与人的联系太弱或距离太远(例如,邮政编码本身覆盖着很多房屋)。
  • 有关组织(例如企业)的信息。
  • 只要无法将数据链接回可识别的人,就已经匿名化了信息。
  • 有关公务员的某些信息,例如其姓名,职位和职务。
  • 一个人的业务联系信息,例如员工'组织收集,使用或披露的姓名,职务,营业地址,电话号码或电子邮件地址,其唯一目的是与该人就其工作,业务或职业进行沟通。
  • 政府信息。有时人们会与政府联系以获取政府信息。这不同于个人信息。
  • 由《隐私法》所列联邦政府组织处理的个人信息。

PIPEDA的数据泄露通知有哪些要求?

自2018年11月1日起,受PIPEDA管辖的组织必须通知加拿大隐私事务专员办公室(OPC)和受影响的个人。 数据泄露 or 数据泄漏 涉及对个人构成重大风险的个人信息。 OPC将危害定义为"身体伤害,屈辱,声誉或人际关系受损,失业,商业或专业机会,财务损失,身份盗窃,对信用记录的负面影响以及财产损失或损失。"

加拿大隐私事务专员办公室还建议组织考虑收集和参与违规行为的个人信息的敏感性以及滥用个人信息的可能性。同样重要的是要考虑是否违反是 网络攻击以及数据是否为 加密的 or anonymized.

这些新规定于2015年作为美国S-4的一部分获得批准'的《数字隐私法》。

这些规定要求组织将所有违反安全保障措施的数据记录保持两年,无论这些泄漏是否已报告给加拿大隐私专员办公室。

根据PIPEDA,违反安全保障措施的定义为"因违反PIPEDA附表1第4.7条提及的组织的安全保护措施或未能建立这些保护措施而导致丢失,未经授权访问或未经授权披露个人信息。"

不像 NIST网络安全框架,PIPEDA不'提供了有关如何保护个人信息的详细指导,但是需要考虑一些常见的事项,例如:  

以及预防常见 网络威胁 and 攻击载体 like:

总体而言,公司需要制定评估框架 网络安全风险 并投资于 防止数据泄露。这意味着发展稳健 信息风险管理供应商风险管理信息安全网络安全 and  数据安全 流程和程序。阻止 数据泄漏,投资工具 连续扫描数据泄露和凭证泄漏

记得PIPEDA也适用于第三方供应商,外包并不限制您的责任。这意味着组织需要投资 供应商风险管理自动化,开发一个 第三方风险管理框架,创建一个 供应商管理政策 and using 供应商风险评估问卷模板 to truly understand 第三方风险 and 第四方风险。并寻找供应商 SOC 2 assurance.

不遵守PIPEDA'的数据泄露通知和记录保存要求可能导致最高100,000加元的罚款。但是,真实的  数据泄露成本 根据Ponemon Institute和IBM Security的研究,这一数字接近392万美元。 

这就是为什么更多的组织投资于 供应商风险管理 and 网络安全评级工具 可以帮助他们自动监视和评估第一方,第三方和第四方的安全状况。 

这些工具可以降低第三方数据泄露和 指数级增加一个人可以监视的第三方供应商的数量.

UpGuard如何防止数据泄露和数据泄漏

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件.

We're experts in 数据泄露 and 数据泄漏, 我们的 研究 已在 纽约时报彭博社华盛顿邮报福布斯路透社 and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状