博客
什么是pipeda(个人信息保护和电子文件法案)?

什么是pipeda(个人信息保护和电子文件法案)?

摘要形状摘要形状

个人信息保护和电子文件法(Pipeda)是加拿大私营部门组织的联邦隐私立法。 

Pipeda于2000年4月13日成为法律,以促进电子商务的信任和数据隐私,并已扩展到包括银行,广播和卫生部门等行业。  

法律的目的是"为了管理个人信息的收集,使用和披露,以确认个人对个人信息的隐私权以及组织需要收集,使用或披露个人信息的方式,以便合理的人会考虑适当的情况。"

像欧盟'普通数据保护条例(GDPR),在Pipeda个人下有权访问组织持有的个人信息,知道谁负责收集它,了解为什么'被收集并挑战其准确性。 

这是Pipeda的一个重要方面,因为它保证了加拿大隐私法充分保护欧洲公民的敏感信息的欧盟。 Pipeda的另一个重要方面是它旨在保持加拿大的事实's 数据泄露 通知要求与该国保持一致'贸易伙伴,包括欧盟。 

一个沙发 加拿大政府的监管影响分析 2017年,Pipeda目前被认为为欧盟提供了基本上等同的隐私保护,这允许从欧盟到加拿大组织的自由流动。 

Pipeda概述

Pipeda可以分为两部分,个人的权利和组织的要求。

Pipeda为个人提供了以下权利:

  • 问为什么组织正在收集,使用或披露他们 个人身份信息(PII)
  • 预计组织仅合理且适当地收集,使用或披露个人数据
  • 预计组织不会使用收集的信息,而不是他们所同意的任何目的
  • 知道组织中的谁负责保护他们的个人信息
  • 期望组织通过采取适当的安全措施,例如,通过采取适当的安全措施来保护其个人信息。 自动供应商风险评分
  • 预计组织可以准确,完整和最新的个人信息
  • 获取对个人信息的访问,并在必要时询问更正
  • 抱怨组织如何处理他们的个人信息,如果他们觉得他们的隐私权没有得到尊重

Pipeda然后需要组织:

  • 获得个人'同意收集,使用或披露个人信息
  • 除非信息对交易至关重要,否则提供具有产品或服务的个人或服务,即使他们拒绝同意,除非信息对交易至关重要
  • 通过公平和合法的手段收集信息
  • 具有清晰,可理解和随时可用的个人信息策略

Pipeda如何实施? 

Pipeda的实施发生在三个阶段。

2001年,法律适用于联邦政府监管的行业(如航空公司,银行和广播)。 2002年,法律'扩大到包括卫生部门。到2004年,在商业活动过程中收集个人信息的任何组织都被Pipeda覆盖,除了具有实质性类似的隐私法的省份。 

截至208年10月,这七个省份有隐私法,被认为与Pipeda大大类似:

  1. 尊重私营部门个人信息保护的法案 (Quebec)
  2. 个人信息保护法案 (British Columbia)
  3. 个人信息保护法案 (Alberta)
  4. 个人健康信息保护法案 (Ontario)
  5. 个人健康信息隐私和访问法案 (New Brunswick)
  6. 个人健康信息法案 (纽芬兰和拉布拉多州)
  7. 个人健康信息法案 (Nova Scotia)

Pipeda的十个原则是什么?

PIPEDA的十个原则称为公平信息原则,代表了PIPEDA的基础,并在该法的第1期详述中详述:

  1. 问责制: 组织负责其控制下的个人信息,并应指定对本组织合规负责的个人或个人,包括已转移到A的信息 第三方供应商 for processing. 
  2. 识别目的: 收集个人信息的目的应在收集信息时或之前的组织或之前识别。
  3. 同意: 除了不合适的地方,个人信息需要个人信息所需的知识和同意。
  4. 限制集合: 个人信息的集合应限于本组织所识别的目的所必需的。信息应通过公平和合法的方式收集。
  5. 限制使用,披露和保留: 除了由个人或法律要求的同意之外,除了收集的目的之外,不得使用或披露个人信息。只有履行这些目的的必要性,才能保留个人信息。
  6. 准确性: 个人信息应准确,完整,最新,因为它需要使用它所必需的。
  7. 保护措施: 个人信息应受适合于信息敏感性的安全保障保护。
  8. 开放性: 组织应随时了解个人有​​关管理个人信息的政策和做法的具体信息。 
  9. 个人访问: 根据要求,应告知个人的个人信息存在,使用和披露,并应予以获得该信息。个人应该能够挑战信息的准确性和完整性,并根据适当的修订。
  10. 挑战遵守: 个人应能够解决关于遵守上述原则的挑战,以对本组织遵从性负责的指定个人或个人。

谁受管道合规性?

加拿大的任何私人组织,在商业活动过程中收集个人信息须缴纳PIPEDA。 PIPEDA也适用于联邦工程,在员工个人信息方面进行企业和业务。  

如果您不确定您的组织是否受管材的影响,请使用“找到合适的组织联系隐私问题“ 工具。

谁是谁'T受管道合规性的影响吗?

Pipeda遵守的主要例外是收集,使用或披露个人信息的组织,这些组织完全在有自己隐私法的省份中,这被认为与联邦法律大大相似。在这种情况下,省级法律将适用代替PIPEDA,尽管PIPEDA将适用于联邦工程,企业或企业,以及互动或国际个人信息转移。

另一个例外是根据“隐私法”,省级或地区政府及其代理人,组织的联邦政府组织'S完全用于新闻,艺术或文学目的,以及严格收集或披露个人信息的个人信息,使用或披露个人信息。

Pipeda下的个人信息是什么?

在Pipeda个人信息下被定义为有关可识别个人的信息。它是根据自己或与其他数据组合的信息,可以将您识别为诸如:

  • 名称
  • 年龄
  • 身份证号码
  • 收入
  • 财务信息
  • 种族
  • 国籍
  • 族裔原产地
  • 婚姻状况
  • 血型
  • 病史
  • 教育历史
  • 工作经历
  • 脱氧核糖核酸
  • 社会保险号码
  • 司机's license
  • 意见
  • 评估
  • 注释
  • 社会地位
  • 纪律处分
  • 员工文件
  • 信用记录
  • 贷款记录
  • 医疗记录和其他 受保护的健康信息(PHI)
  • 存在消费者和商家之间的争议
  • 意图

什么没有'PIPEDA下的个人信息?

通常不被视为个人信息可以包括:

  • 不是关于个人的信息,因为与一个人的联系太弱或删除了(例如,它自己的邮政编码,覆盖着许多房屋的广域)。
  • 有关业务等组织的信息。
  • 只要不可能将该数据链接回可识别的人,就呈现的信息即可呈现匿名。
  • 有关其名称,职位和标题等公务员的某些信息。
  • 一个人的业务联系信息,如员工'组织收集,使用或披露的姓名,标题,商业地址,电话号码或电子邮件地址,以唯一目的是与该人与其就业,业务或专业相关联。
  • 政府信息。偶尔人们会联系政府以获取政府信息。这与个人信息不同。
  • 根据“隐私法”上市的联邦政府组织处理的个人信息。

Pipeda的数据泄露通知要求是什么?

截至2018年11月1日,如果他们意识到任何人,那么对Pipeda的组织必须通知加拿大隐私专员和受影响个人的办公室 数据违规 or 数据泄漏 涉及对个人造成危害的个人信息。 OPC定义了伤害"身体伤害,屈辱,声誉或关系损害,就业,商业或专业机遇,财务损失,身份盗窃,对信用记录和损失或财产损失的负面影响。"

加拿大隐私专员办公室还建议组织考虑收集并涉及违约的个人信息的敏感性,以及个人信息可能被滥用的可能性。考虑违约是否是一个重要的问题也很重要 网络攻击以及数据是否是 加密 or anonymized.

这些新条款于2015年批准,该条款于全国S-4的一部分'S数字隐私法案。

无论在加拿大隐私专员办公室是否报告,这些规定都需要组织保障安全保障措施的所有数据违反安全保障措施的记录。

在Pipeda下,违反安全保障定义为"丧失,未经授权访问或未授权披露个人信息,该信息由违反本组织的安全保障,这些安全保障在Pipeda附表1的第4.7条中提到的,或者从未能建立这些保障措施。"

不像 NIST Cyber​​security Framework.,pipeda没有'T提供有关如何保护个人信息的详细指导,但有一些常见的事情需要考虑,例如:  

以及预防常见 网络威胁 and 攻击向量 like:

总体而言,公司需要制定框架来评估 网络安全风险 并投资方式 防止数据违规。这意味着发展强劲 信息风险管理供应商风险管理信息安全网络安全 and  数据安全 流程和程序。阻止 数据泄漏,投资一个工具 持续扫描数据风险和泄露的凭据

回想一下,Pipeda也适用于第三方供应商,外包不限制您的责任。这意味着组织需要投资 自动化供应商风险管理,开发A. 第三方风险管理框架,创建A. 供应商管理政策 and using 供应商风险评估问卷模板 to truly understand 第三方风险 and 第四方风险。并寻找供应商 SOC 2 assurance.

不符合Pipeda'S数据泄露通知和记录保存要求可能导致最高罚款10万美元。但是,真实的  数据泄露的成本 根据Ponemon Institute和IBM Security的一项研究,较接近392万美元。 

这就是为什么更多组织正在投资的原因 供应商风险管理 and 网络安全评级工具 这可以帮助他们自动监控和评估第一,第三和第四方的安全姿势。 

这些工具可以降低第三方数据漏洞的风险和 指数增加了一个人可以监控的第三方供应商的数量.

upguard如何阻止数据漏洞和数据泄漏

类似的公司 洲际交流泰勒炒纽约证券交易所,IAG,第一州超级,Akamai,Morningstar和NASA使用Upguard来保护他们的数据, 防止数据违规,监控 漏洞 and avoid 恶意软件.

We're experts in 数据违规 and 数据泄漏, 我们的 研究 已被推荐 纽约时报彭博华盛顿邮报福布斯路透社 and TechCrunch。

upguard供应商风险 可以最大限度地减少您的组织花费通过自动化管理第三方关系的时间 供应商问卷 并不断监测您的供应商'安全姿势随着时间的推移,同时基准反对他们的行业。 

每个供应商都是针对50多个标准的评分,例如存在 SSL. and DNSSEC.以及风险 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台用一个人得分 网络安全评级 out of 950. We'如果他们的分数下降,请提醒你。

Upguard Breachsight. 可以帮助监控DMARC,战斗 typosquatting., 避免 数据违规 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全评级 和连续的曝光检测。 

如果你'd想看看你的组织如何堆积, 获取您的自由网络安全评级

今天预订演示。

自由

白色upguard徽标
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:41:12

最近发表