“英国数据保护法案”报告
此报告显示在您站点上发现的 Data Protection Act 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。
它为什么重要
Data Protection Act of 1998 用于监管英国的个人数据处理。Data Protection Act of 1984 在 1998 年进行了修订,并于 2000 年 3 月 1 日生效。新法案更改了原来个人数据的定义和含义,并通过区分个人数据和敏感个人数据拓宽了原始法案的范围。此法案如今融合了“获取”、“持有”和“透露”的概念。
Data Protection Act 包含八项数据保护原则:
- 个人数据应公平合法地进行处理。
- 个人数据的获取应仅针对一项或多项指定的合法用途,并且不应以与对应用途不符的任何方式进一步进行处理。
- 个人数据在其进行处理所对应的用途方面应适当、相关且不过量。
- 个人数据应准确,并且如有必要,应保持最新。
- 针对任何用途所处理的个人数据,不应保留超过对应用途所需的必要时间。
- 个人数据在此法案下应依照数据主体的权利进行处理。
- 针对个人数据进行的未授权或不合法的处理以及针对个人数据的意外损失、破坏或损坏,应当采取适当的技术和组织措施。
- 不应将个人数据传输到欧洲经济区以外的国家或地区,除非此国家或地区确保与个人数据处理相关的数据主体的权利和自由能够得到足够级别的保护。
按照法律,企业必须遵守这些原则,如果它们收集个人数据,就必须通知信息委员会。在此法案下,英国信息委员会可以在向处理个人信息时,向任何违反数据保护原则的企业送达执行通知。当公众成员请求企业这么做时,企业必须停止处理有关个体的个人信息。
在英国之外设立,但使用托管于英国的计算机来收集个人信息的 Web 站点运营商,或者是在英国因特网用户的计算机上放置 cookie 的运营商,也应该遵守该法案。
遵守 Data Protection Act 的最佳做法
从个体收集个人信息的 Web 站点运营商必须:
- 确保 Web 收集表单符合向用户表明组织身份的“公平处理”原则;说明站点收集数据的原因及其要将数据传递到的第三方(以内部和外部方式)。
- 当用户意图使用“cookie”或 Web 侦听器(信标)时向用户发出通知,并提供拒绝 cookie 的机会。确保数据收集过程的安全性
- 在每个信息收集点发布隐私策略,并提供指向它的链接
- 针对接收直接市场营销电子邮件提供“自愿退出”机制
- 确保使用有效电子邮件地址来实现直接市场营销目的
- 确保如果信息是从 12 岁以下儿童收集而来的,那么他们了解其信息是如何收集和使用的。对于 12 岁以下儿童,必须获取家长同意,并且必须有方法可验证已给予同意。