隐私融资
- source: OneTrust 获得 1.5 亿美元融资
- date: 2023-07-25
OneTrust是一家位于佐治亚州亚特兰大的信任智能云平台提供商,筹集了 1.5 亿美元资金,估值为 45 亿美元。
该轮融资由 Generation Investment Management 领投,现有投资者金沙资本 (Sands Capital) 参与,总金额达到 10 亿美元,目前估值为 45 亿美元。
随着组织在隐私、安全、道德和 ESG 方面扩大信任,该公司打算利用这些资金加速平台创新。
OneTrust 在创始人兼首席执行官 Kabir Barday 的领导下,是一家智能云平台提供商,帮助组织负责任地使用数据和人工智能,同时保护个人隐私权,实施和报告其网络安全计划,实现其社会影响目标,并创建直言不讳的信任文化。这得益于数百个司法管辖区的广泛研究和实时监管情报,使公司更容易理解和适应监管要求。
目前有超过 14,000 家客户使用其技术,其中包括全球 2,000 家客户中的一半。 OneTrust 在北美、南美、亚洲、欧洲和澳大利亚地区拥有 2,000 多名员工。 OneTrust 的现有投资者包括 Insight Partners、Coatue、TCV、Sands Capital 和 Franklin Templeton。
隐私法案
- source: 欧盟委员会通过“欧盟-美国数据隐私框架”的充分性决定 - 安全内参 | 决策者的网络安全知识库
- date: 2023-07-11
2023 年 7 月 11 日,欧盟委员会通过了关于“欧盟 - 美国数据隐私框架”的适当性决定。这是继安全港协议、隐私盾协议之后,美欧试图建立稳定的跨大西洋数据流动安排的尝试。公号君翻译了欧盟委员会官方网页上关于“欧盟 - 美国数据隐私框架”的简介,供各位参考。
今日,欧洲委员会批准了其针对欧盟 - 美国数据隐私框架的充分性决定。该决定认为,根据新框架,从欧盟转移至美国公司的个人数据,美国确保了足够的保护水平 —— 可以与欧盟相提并论。基于新的充分性决定,个人数据可以安全地从欧盟流向参与此框架的美国公司,无需实施额外的数据保护措施。
欧盟 - 美国数据隐私框架引入了新的具有约束力的保障措施,以解决欧洲法院提出的所有问题,包括限制美国情报服务对欧盟数据的访问到必要且成比例的程度,以及设立数据保护审查法庭(DPRC),欧盟个人可以访问此法庭。与隐私盾下存在的机制相比,新框架带来了显著的改进。例如,如果 DPRC 发现数据是违反新保障措施收集的,它将可以命令删除该数据。政府访问数据方面的新保障措施将补充美国公司从欧盟导入数据时必须遵守的义务。
欧盟委员会主席乌苏拉·冯·德莱恩表示:“新的欧盟 - 美国数据隐私框架将确保欧洲人的数据流安全,并为大西洋两岸的公司带来法律确定性。我去年与拜登总统达成的原则性协议之后,美国已实施了前所未有的承诺来建立新框架。今天我们迈出了一个重要的步骤,以确保公民相信他们的数据是安全的,深化欧盟与美国之间的经济联系,并同时重申我们的共享价值观。这表明,通过共同努力,我们可以解决最复杂的问题。”
美国公司将能够加入欧盟 - 美国数据隐私框架,通过承诺遵守一套详细的隐私义务,例如当个人数据不再需要用于收集它的目的时,需要删除个人数据,以及在与第三方分享个人数据时确保保护的连续性。
如果欧盟个人的数据被美国公司错误处理,他们将受益于几个救济途径。这包括免费的独立争议解决机制和仲裁小组。
此外,美国的法律框架针对美国公共机构在框架下访问数据,尤其是为了刑事执法和国家安全目的,提供了一系列保障措施。数据的访问受到限制,仅限于保护国家安全所必需和成比例的部分。
欧盟个人将可以访问一个独立公正的救济机制,关于美国情报机构对他们数据的收集和使用,这包括一个新建立的数据保护审查法庭(DPRC)。法院将独立进行调查并解决投诉,包括采取有约束力的救济措施。
美国所采取的保障措施也将更普遍地促进跨大西洋的数据流动,因为这些措施也适用于使用其他工具传输数据的情况,例如标准合同条款和具有约束力的公司规则。
下一步行动
欧盟 - 美国数据隐私框架的运作将受到定期审查,由欧洲委员会与欧洲数据保护机构和美国有权机构的代表共同进行。
充分性决定生效后的一年内,将进行第一次审查,以验证所有相关要素是否已在美国法律框架中得到充分实施,并在实践中有效运作。
背景
一般数据保护条例(GDPR)第 45(3) 条赋予委员会权力,通过执行法案决定,非欧盟国家能否确保“足够的保护水平”——个人数据的保护水平基本等同于欧盟内部的保护水平。充分性决定的效果是,个人数据可以自由地从欧盟(以及挪威,列支敦士登和冰岛)流向第三国,无需进一步的障碍。
在欧盟法院撤销了之前关于欧盟 - 美国隐私盾的充分性决定后,欧洲委员会和美国政府开始就新框架进行讨论,以解决法院提出的问题。
2022 年 3 月,冯·德莱恩主席和拜登主席宣布,他们在新的跨大西洋数据流框架上达成了原则上的协议,这是在雷纳德斯专员与美国商务部长雷蒙多之间的谈判之后达成的。2022 年 10 月,拜登总统签署了关于“增强美国信号情报活动的保障”的行政命令【白宫《关于加强美国信号情报活动保障措施的行政命令》全文翻译】,美国总检察长加兰德发布的规定对其进行了补充。这两个工具一起实施了原则协议下达成的美国承诺,并补充了欧盟 - 美国数据隐私框架下美国公司的义务。
将这些保障措施写入美国法律框架的一个关键要素是美国的行政命令“增强美国信号情报活动的保障”,该命令解决了欧洲联盟法院在其 2020 年 7 月的 Schrems II 判决中提出的问题。
该框架由美国商务部管理和监督。美国联邦贸易委员会将负责执行美国公司的合规性。
数据泄露
- source: 美国FTC对ChatGPT进行调查:涉及数据泄露和内容不准确性
- date: 2023-07-14
美国联邦贸易委员会(FTC)或就消费者保护问题对聊天机器人 ChatGPT 开发商 OpenAI 展开调查。
当地时间 2023 年 7 月 13 日,据美国 CNN 报道,美国联邦贸易委员会正在调查 OpenAI 是否违反消费者保护法,并要求 OpenAI 提供有关其处理个人数据、向用户提供不准确信息的可能性以及“对消费者造成损害(包括声誉损害)的风险”的大量记录。
英国《金融时报》称,这是美国监管机构首次正式发起对人工智能聊天机器人带来的风险的审查。
一份文件显示,美国联邦贸易委员会本周向 OpenAI 发出了一份长达 20 页的要求,包括“如何获取用于训练大型语言模型的数据”,到描述 ChatGPT 的“生成有关真实个人的虚假陈述的能力” 等,以及要求 OpenAI 提供其收到的任何公众投诉、其涉及的诉讼清单还包括该公司于 2023 年 3 月披露的数据泄露细节的证词,该证词曾暴露了用户的聊天记录和支付数据。
据悉,该文件最早由《华盛顿邮报》曝光,随后,一位知情人士向 CNN 证实了该文件的真实性。
在 OpenAI 推出 ChatGPT 不到一年后就展开了调查,业内人士认为,美国联邦贸易委员会正在对人工智能采取行动速度较快。过去,FTC 通常会在一家公司出现重大公开失误后开始调查,例如在 2018 年有报道称脸书(Facebook)与政治咨询公司剑桥分析(Cambridge Analytica)共享用户数据后,该机构开始对脸书的隐私做法进行调查。
美国联邦贸易委员会主席莉娜·汗(Lina Khan)表示,科技公司应该在技术处于萌芽状态时受到监管,而不是等到技术成熟时才受到监管。莉娜·汗在当地时间周四在国会出席作证时,曾对 AI 表示担忧,称执法者“需要尽早警惕”AI 等变革性工具。
“尽管这些工具很新颖,但它们并不能免除现有规则的约束。”莉娜·汗在五月份《纽约时报》的一篇文章中写道,“虽然这项技术发展迅速,但我们已经看到了一些风险。”
不过,OpenAI 一直坦率地承认其产品的一些局限性。例如,与 GPT 最新版本 GPT-4 相关的白皮书解释说,该模型可能“产生与某些来源相关的无意义或不真实的内容”。OpenAI 还披露了类似的信息,即 GPT 等工具可能导致对少数群体或其他弱势群体的广泛歧视。
“ChatGPT 之父”、OpenAI 联合创始人兼首席执行官山姆·奥特曼(Sam Altman)也表示,快速发展的人工智能行业需要受到监管。今年 5 月,他在国会作证呼吁对人工智能立法,并拜访了数百名立法者,旨在为该技术制定政策议程。当地时间周四,他在推特上表示,OpenAI 技术的安全性“非常重要”。他补充说,“我们有信心遵守法律”并将与该机构合作。
OpenAI 已经面临国际监管压力。今年 3 月,意大利数据保护机构禁止了 ChatGPT,称 OpenAI 非法收集用户的个人数据,并且没有适当的年龄验证系统来防止未成年人接触非法信息。OpenAI 在 4 月恢复了对该系统的访问,并表示已按照意大利监管部门的要求进行了更改。
隐私罚款
- source: Site Unreachable
- date: 2023-07-04
据 BleepingComputer 7 月 4 日消息,因违规使用 谷歌分析(Google Analytics) ,瑞典隐私保护局 (Integritetsskyddsmyndigheten – IMY) 对两家公司处以 了 1230 万瑞典克朗(约 110 万美元)的罚款。
受罚的两家公司分别是 Tele2 SA 和 CDON AB,其中 Tele2 SA 是瑞典的一家电信和互联网服务提供商。当局还对另外两家公司发出了警告。
该机构解释称,这些公司使用谷歌分析生成网络统计数据违反了欧盟的《通用数据保护条例》(GDPR) 第 46(1) 条,该条禁止将个人数据传输到缺乏安全保障和法律补救机制的国家或国际组织。
过去,奥地利、法国和意大利的数据保护机构就已经认为谷歌分析的使用不符合 GDPR 。然而,IMY 决定对违规者处以经济处罚,这在此类行为中尚属首次。
根据 2020 年 7 月的 Schrems II 美国——欧盟隐私盾协议的失效,美国被视为欧洲用户数据存储的风险地区,欧盟法院(CJEU)裁定,在当时的机制 " 隐私保护 " 背景下向美国转移任何数据都是非法的。
在奥地利数字版权组织 None of Your Business ( NOYB ) 提交相关投诉后,IMY 进行了审核以确定谷歌分析工具在美国发送的数据类型,并得出结论认为这些数据构成个人信息,并认为这些公司采取的技术安全措施还不足以欧盟/欧洲经济区所应达到的数据安全保护水平。
此次处罚行为被认为给欧盟整个行业提供了指导,凡是使用谷歌分析的公司要调整其策略,以遵守欧盟的规则和法规。
隐私法案
- source: Instagram's Twitter Alternative 'Threads' Launch Halted in Europe Over Privacy Concerns
- date: 2023-07-05
据爱尔兰数据保护委员会(DPC)称,由于隐私问题,Meta 公司即将推出的 Twitter 竞争者 Instagram Threads 将不会在欧盟推出。
爱尔兰独立报》报道了这一进展,称该监督机构已经就新产品与该社交媒体巨头进行了接触,并确认 " 目前 " 不会在欧盟发布。
Threads 是 Meta 对 Twitter 的回应,将于 2023 年 7 月 6 日推出。它被称为 " 基于文本的对话应用程序 ",允许 Instagram 用户 " 讨论一切,从你今天关心的话题到明天的流行趋势 "。
它还使用户能够关注他们已经在 Instagram 上关注的相同账户。该应用程序的列表已经出现在苹果应用商店和谷歌应用商店,尽管它还没有被下载。
App Store 上的 " 应用程序隐私 " 部分显示,该应用程序预计将收集广泛的用户数据,包括健康和健身、购买、财务信息、位置、联系信息、联系人、用户内容、搜索历史、浏览历史、识别码、使用数据、敏感信息和诊断。
据了解,虽然 DPC 没有主动阻止 Threads 的推出,但 Meta 公司正采取谨慎的方式将该服务引入该地区,因为该地区有严格的隐私保护。值得注意的是,谷歌推迟了其人工智能聊天机器人 Bard 在欧盟的推出。
网络攻击 数据勒索
- source: 台积电遭攻击,黑客用数据威胁索要7000万美元赎金
- date: 2023-07-01
2023 年 7 月 1 日,台积电近日向国外科技媒体 TechCrunch 证实,公司遭到了网络攻击,部分数据泄露。台积电发言人表示,本次网络安全事件导致 “与服务器初始设置和配置相关” 的数据泄露,但台积电客户信息并未受到影响。
官方声明如下:台积电经过审查,本次网络安全事件并未影响台积电的业务运营,也没有泄露台积电的任何客户信息。台积电在事件发生之后,立即根据公司的安全协议和标准操作程序,终止与该供应商的数据交换。
勒索集团 LockBit 宣称对本次安全事件负责,官方在其网站上列出了相关数据,并索要 700 万美元 (约 5.08 亿元人民币) 赎金。
LockBit 表示,如果台积电不付款,它还将发布密码和登录信息。LockBit 表示相关数据是从 Kinmax Technology 窃取的,该公司为台积电提供网络,云计算,存储和数据库管理等 IT 服务