隐私法在高等教育机构如何收集、存储、使用和共享学生和员工信息方面发挥着至关重要的作用。 一些适用于美国的关键法律,以及一些适用于国外的法律,都是为了保护个人在学术环境中的隐私权而设计的。 以下是波士顿大学要遵守的一些主要隐私法:
欧洲通用数据保护条例(GDPR)
GDPR is a data protection 和 英国的隐私法 European Union (欧盟)和 European Economic Area (EEA)。
概述
通用数据保护条例(GDPR)是一套规则,为欧盟(EU)和欧洲经济区(EEA)的公民和居民的个人数据建立了广泛的保护。[1] GDPR适用于处理欧盟个人数据或处理与向欧盟个人提供商品或服务相关的个人数据的组织,包括非营利公司。
键定义
根据GDPR的定义:
- “控制者”是指自然人或法人、公共机构、机构或其他团体,他们单独或与他人共同确定处理个人数据的目的和方法; 如果这种处理的目的和手段是由欧盟或成员国法律确定的,控制者或其提名的具体标准可以由欧盟或成员国法律规定
- “个人资料”指与已识别或可识别的自然人(“资料主体”)有关的任何资料; 可识别的自然人是指可以直接或间接识别的自然人,特别是通过诸如姓名、识别号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个因素进行识别
- “处理”是指对个人数据或对个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或销毁
- “处理者”是指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他团体
个人资料的处理
根据GDPR,只有在至少符合以下条件之一的情况下,处理个人数据才是合法的:
-
- 资料当事人已同意为一个或多个特定目的处理他或她的个人资料;
- 为履行数据主体为当事人的合同,或为在订立合同前应数据主体的要求采取步骤,处理是必要的;
- 为了履行控制者所承担的法律义务,处理是必要的;
- 为了保护数据主体或其他自然人的切身利益,有必要进行处理;
- 为履行为公众利益而执行的任务或为行使赋予控制者的官方权力而进行的处理是必要的;
- 处理对于控制者或第三方追求的合法利益是必要的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,特别是当数据主体是儿童时。
学术新濠影汇线上赌场研究是否适用于GDPR?
包括从欧盟参与者那里收集个人数据的新濠影汇线上赌场研究可能属于GDPR,因为新濠影汇线上赌场研究没有一般豁免。 然而,实施适当保护措施(例如数据最小化)的组织可能不受某些要求的约束,例如GDPR的“被遗忘权”(即要求组织删除您的个人数据)。
[1] 欧盟包括以下国家:奥地利、比利时、保加利亚、克罗地亚、塞浦路斯共和国、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙和瑞典。 欧洲经济区包括以下国家:冰岛、列支敦士登和挪威。 为方便起见,我们将上述所有国家统称为“欧盟”。
中国个人信息保护法
概述
2021年11月,中华人民共和国颁布了一项新的、全面的数据隐私法——《个人信息保护法》(PIPL)。 PIPL旨在保护中国公民的个人数据,并解决中国对将个人数据输出到中国境外的担忧。
键定义
根据PIPL的定义:
- “个人信息”是指通过电子或其他方式记录的与已识别或可识别的自然人相关的信息,不包括匿名处理的信息
- “匿名信息”是指经过处理的个人信息,因此无法识别某些自然人,并且无法恢复这种识别
- “个人敏感信息”是指披露或非法使用可能损害数据主体尊严或损害其安全或财产利益的个人信息,包括以下类型的信息:
- 生物识别技术
- 宗教信仰
- 特定的身份
- 医疗卫生
- 金融账户
- 下落
- 14周岁以下未成年人的个人信息
- “处理者”是指独立确定处理信息的目的和方法的个人或组织(类似于GDPR对“控制者”的定义)。
- “处理”是指个人信息的收集、存储、使用、精炼、传输、提供、公开披露或删除(类似于GDPR对“处理”的定义)。
处理个人资料
根据《个人资料保护条例》,必须取得资料当事人的同意,才能以下列方式处理其个人资料:
- 将数据主体的PII传输给云服务提供商、代表处理者处理PII的第三方或国外的接收方; 和
- 处理资料当事人的个人资料(例如分析、内部资料相关评估、潜在的工作机会等)
此外,要处理“个人敏感信息”,必须满足以下条件:
- 处理是实现特定目的所必需的
- 必须采取严格的保护措施
- 数据主体必须被告知处理其敏感个人信息的必要性,以及此类处理可能对其权益产生的影响
- 数据主体必须对其敏感个人信息的处理提供具体的单独同意,以达到披露的目的
PIPL是否为个人提供了任何权利?
是的,根据PIPL,必须向数据主体提供有关处理个人信息的通知,并能够:
- 获取由处理人员处理的任何个人信息的访问权限和副本
- withdraw consent to the processing of personal information where consent was previously provided (does not affect personal information that was previously collected with consent)
- 要求修改或更正所收集的任何个人信息
- 要求限制某些个人信息的使用
- 要求处理者将个人信息传递给其他人
- 要求处理程序删除它们的信息
学术新濠影汇线上赌场研究是否属于PIPL?
PIPL没有对新濠影汇线上赌场研究的一般豁免。 但是,如果新濠影汇线上赌场研究数据被去标识化,则不受PIPL的管辖。
PIPL是否要求进行数据保护影响评估或其他风险评估?
是的,PIPL要求处理者进行数据保护影响评估,如果处理者:
- 处理敏感的个人信息
- 使用个人信息进行自动决策
- 委托个人信息处理、向其他个人信息处理方提供个人信息、公开个人信息
- 提供国外个人信息
- Engages in activities that involve personal data 和 could have a “major influence” on individuals
家庭教育权利和隐私法(FERPA)
家庭教育权利和隐私法案(FERPA)是一部保护学生教育记录隐私的新濠影汇赌场法律。 根据FERPA,波士顿大学不会披露学生教育记录中包含的个人身份信息,除非法律授权。 The Office of the University Registrar 维持FERPA政策.