.
.
.
自欧盟《通用数据保护条例》("luật chơi cá cược bóng đá")生效以来,共有约72起公开的处罚案例。....Cả hai hình phạt đã không có hiệu lực, ICO cũng cần xem xét tuyên bố của công ty được đề xuất và cơ quan bảo vệ luật chơi cá cược bóng đá của các quốc gia thành viên EU khác liên quan.Nếu hai hình phạt này cuối cùng được thực hiện, nó sẽ trở thành số tiền phạt cao nhất kể từ khi luật chơi cá cược bóng đá có hiệu lực.
M国际酒店集团是总部位于美国马里兰州的全球最大的国际酒店管理公司之一。本次ICO拟对M国际酒店集团处罚是关于M国际酒店集团于2018年11月通知ICO的网络安全事件,即全球约3.39亿条客户记录,其中包括欧洲经济区(EEA)31个国家的3000万条居民个人信息,700万英国居民个人信息被泄露。据查,该网络安全事件是由于M国际酒店集团旗下S酒店管理系统被黑客攻击导致的数据漏洞,该漏洞自2014年便已存在。M国际酒店集团在2016年收购了S酒店集团,但在2018年才发现此漏洞。ICO认为M国际酒店集团在收购S酒店集团时未作充分的尽职调查,并且在保证酒店系统安全方面,也未采取更多的保护措施。
是否只有这种在欧盟有分支机构的国际连锁酒店才受luật chơi cá cược bóng đá管辖呢?答案是否定的,中国本地酒店也可能受到luật chơi cá cược bóng đá管辖。luật chơi cá cược bóng đá的地域管辖跟传统的地域管辖不同,不限于在欧盟境内有法律实体的机构。根据luật chơi cá cược bóng đá第3条对"地域范围"的规定,luật chơi cá cược bóng đá不仅适用于"在欧盟境内设立的数据控制者或处理者对个人数据的处理",对于未设立在欧盟境内的数据控制者或处理者,只要其"...
对"欧盟境内的数据主体"的判断只需考虑数据主体(在被提供商品服务或被监控行为的时候)的位置是否在欧盟境内,而与国籍、住所等法律地位无关。.
如何理解"为欧盟境内的数据主体提供商品或服务"和"监控"两种情形的含义,可以参考luật chơi cá cược bóng đá的引注(Recital).. Cho dù nó thuộc về "cung cấp hàng hóa hoặc dịch vụ cho các chủ thể luật chơi cá cược bóng đá trong Liên minh châu Âu" có thể được xác định bằng cách xác định xem bộ điều khiển luật chơi cá cược bóng đá hoặc bộ xử lý rõ ràng sử dụng chủ đề luật chơi cá cược bóng đá của các quốc gia thành viên EU làm khách hàng mục tiêu (nhắm mục tiêu)..Thẩm quyền của luật chơi cá cược bóng đá.
..
因此,按照luật chơi cá cược bóng đá的地域管辖规定,即便在欧盟境内没有任何实体设立和人员派驻的中国本地酒店,也有可能会受其管辖,也需重视luật chơi cá cược bóng đá合规工作。
由于酒店行业涉及大量的客户信息收集和处理,其数据治理尤为重要,特别是跨国酒店集团,还涉及到数据出境问题,个人数据保护工作更加复杂。就设立于中国境内的酒店(无论跨国酒店集团还是中国本地酒店)而言,中国相关法律法规和luật chơi cá cược bóng đá的合规问题都需要考虑。
. Thông tin gì của cư dân luật chơi cá cược bóng đá được bảo vệ?
酒店行业从业者首先需要考虑的是酒店住客的哪些数据受到luật chơi cá cược bóng đá或中国法规的保护,从而需要特别注意。
.
luật chơi cá cược bóng đá保护的是个人数据,这里的"个人数据"指的是.. Một người tự nhiên dễ nhận biết là một luật chơi cá cược bóng đá có thể được công nhận trực tiếp hoặc gián tiếp, đặc biệt là về thể chất, sinh lý, di truyền, tinh thần, tinh thần, tinh thần, tinh thần, tinh thần và tinh thần độc đáo đối với tình dục tự nhiên, kinh tế, văn hóa, hoặc bản sắc xã hội .
这个问题可以从luật chơi cá cược bóng đá的引注部分...Trong bối cảnh của luật chơi cá cược bóng đá, ý nghĩa của việc có thể xác định thông tin cá nhân rất rộng rãi. Có thể nhận ra các cá nhân.
另外,luật chơi cá cược bóng đá还对"特殊类型个人数据的处理"作了特别规定.. Đối với một số thông tin nhạy cảm (để xử lý các quyền và tự do cơ bản của nó để tạo ra những rủi ro lớn), cụ thể là luật chơi cá cược bóng đá cá nhân, luật chơi cá cược bóng đá gen, công nhận sinh học về chủng tộc, khái niệm chính trị, tôn giáo hoặc triết học và các thành viên công đoàn hiển thị luật chơi cá cược bóng đá, cũng như luật chơi cá cược bóng đá liên quan đến sức khỏe cá nhân, đời sống tình dục hoặc xu hướng tình dục, GDPR cấm xử lý các luật chơi cá cược bóng đá này.
.
在中国法项下,需要注意酒店住客的"个人信息"和"个人敏感信息"的收集使用问题。中国法项下"个人信息".44547_44836
"个人敏感信息"是指.Trong những trường hợp bình thường, luật chơi cá cược bóng đá cá nhân của trẻ em dưới 14 tuổi và luật chơi cá cược bóng đá về quyền riêng tư của những người tự nhiên thuộc về luật chơi cá cược bóng đá nhạy cảm cá nhân.
. Quyền của cư dân luật chơi cá cược bóng đá là gì?
.
在luật chơi cá cược bóng đá项下,我们主要关注数据主体权利及数据出境的相关规定。
luật chơi cá cược bóng đá项下有关数据主体权利的条款主要集中在第三章,和酒店行业较为相关的比如知情权., truy cập phải., đúng phải., Quyền xóa/quyền bị lãng quên., Data di động phải.. Đối với các quyền này, các nhà quản lý luật chơi cá cược bóng đá khách sạn cần phản ánh các quy định cụ thể của GDPR trong các hoạt động mạng của họ, chẳng hạn như trong chính sách bảo mật, bảo tồn thành viên, giao thức người dùng và hoạt động kỹ thuật.
"被遗忘权"赋予根据数据主体要求数据控制者删除其个人信息的权利,即便个人数据已被公开,数据主体也可要求数据控制者采取合理措施删除。对于中国境内的酒店来说,遵守该规定可能有些难度。因为根据《治安管理处罚法》等法律法规,酒店是被要求收集住客身份信息并直接联网记录到公安系统上的。关于这项权利在中国语境下能落实到何种程度有待实践考验。
"数据可携权" 是指数据主体有权要求以一种结构化的、通用的、机器可读的形式复制他们的个人数据。数据主体也可以选择将他们的数据传输给其他数据控制者。酒店的数据管理者需要确保酒店的系统能够履行上述业务,保证住客的上述数据权利,比如为保证住客的数据可携权,酒店必须有可以保存住客元数据的系统,以便在住客请求时可以向其提供通用的、机器可读的数据,如果仅提供扫描文件/pdf格式,可能难以达到要求。
这些luật chơi cá cược bóng đá赋予数据主体的权利,给了住客极大的自主决定其个人信息的自由,在一定条件下,他们可以要求酒店删除其存储多年的住客的个人信息(删除权/被遗忘权),甚至可以要求酒店将住户的个人信息传输给其竞争对手(数据可携权)。除了上述因住客在luật chơi cá cược bóng đá项下享有的权利给酒店带来的义务外,酒店数据控制/处理者,还负有其他义务,如个人数据泄露时的通知义务,即在个人数据发生泄露的情况下,数据控制者应当在72小时以内报告监管机构,如可能给数据主体的权利、自由带来较高风险的,应当及时告知数据主体。
此外,对于国际连锁酒店来说,数据出境是绕不开的话题。对于跨境数据传输,luật chơi cá cược bóng đá的原则是当个人数据从欧盟转移到第三国时,luật chơi cá cược bóng đá所规定对欧盟境内自然人的数据保护水平不应降低(也包括从第三国转移到另一第三国)。.. Không chỉ truyền luật chơi cá cược bóng đá cá nhân của cư dân EU từ Liên minh châu Âu sang các quốc gia hoặc khu vực khác còn phải tuân thủ các quy tắc truyền tải chéo GDPR và truyền luật chơi cá cược bóng đá đến các quốc gia không phải là khác từ Trung Quốc cũng có thể cần phải tuân thủ các quy tắc liên quan của GDPR .
"充分保护水平"是指欧盟委员会作出认定,认为相关的国家/地区等对个人数据具有充分保护,只要在这份欧盟委员会列出的"白名单"中,就可以将欧盟境内个人的数据传输过去,不受任何额外的限制。到目前为止,在这份"白名单"上的有:安道尔、阿根廷、加拿大(商业机构)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私盾框架/Privacy Shield Framework).. Đây là "Khung bảo mật".49992_50276
"适当的保障措施"是指如果数据出境接收方不在上述被认定为有充分保护水平的"白名单"内,则控制者或处理者只有提供"适当的保障措施"才能将个人数据转移到该国。结合中国的法律实践,这样区分可能更便于理解:"适当的保障措施"可以按照是否需要监管机构个案批准分为两大类:即(i)不需要监管机构提供任何具体授权的适当保障措施和(ii)需要监管机构提供具体授权的适当保障措施。
第一大类是不需要欧盟成员国数据保护监管机构的个案批准的适当保障措施,例如,经监管机构批准的"有约束力的公司内部规则"(Binding Corporate Rules)、欧盟委员会制定的"标准数据保护条款"(Standard Contractual Clause)、"行为准则"(Code of Conduct)、"认证机制"(certification mechanism)等。.
ACác quy tắc nội bộ của các công ty này cần phải được đệ trình lên quyền của EU EU để phê duyệt các cơ quan bảo vệ luật chơi cá cược bóng đá trong Liên minh châu Âu..Quản lý nội bộ của nhóm.
BCho đến nay, Ủy ban Châu Âu đã ban hành hai bộ điều khoản bảo vệ luật chơi cá cược bóng đá tiêu chuẩn cho bộ điều khiển luật chơi cá cược bóng đá (bộ điều khiển), được sử dụng cho các ứng dụng điều khiển luật chơi cá cược bóng đá từ EU đến các khu vực khác và một bộ điều khiển luật chơi cá cược bóng đá áp dụng cho bộ điều khiển luật chơi cá cược bóng đá từ Liên minh châu Âu cho các điều khoản bảo vệ luật chơi cá cược bóng đá tiêu chuẩn khác của bộ xử lý luật chơi cá cược bóng đá khu vực (bộ xử lý)..
C.. Một đặc điểm kỹ thuật cụ thể trong ngành có thể mang lại lợi ích cho các tổ chức quốc gia, nhóm lợi ích, doanh nghiệp, v.v.
DChứng nhận phải được cấp bởi luật chơi cá cược bóng đá chứng nhận được công nhận bởi luật chơi cá cược bóng đá quản lý... Nhận biết cao hơn, chẳng hạn như xác thực luật chơi cá cược bóng đá của Trustarc.。
第二大类是需要欧盟成员国数据保护监管机构提供具体授权(即需要监管机构的个案批准)的适当的保障措施,和酒店行业有关的是酒店数据控制者或处理者与数据接收者之间的合同条款,这种保证措施是需要数据保护监管机构个案审批才能实施跨境传输的.。
如果酒店不符合上述"充分保护认定"或"适当的保障措施",要想跨境传输数据,只有满足特定减损条件才能进行。所谓减损条件,可以理解为在特定情形下,对跨境传输规则降低要求。比如,数据主体已被明确告知跨境传输不存在充分保护或适当的保障措施,预期的数据传输存在风险,但数据主体仍然明确表示同意该数据转移的;或者,转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订合同前所提出要求是必要的;或者,转移对于实现公共利益是必要的等情形下.。
此外,对于既不存在充分保护认定或适当的保障措施,也不符合上述减损条件,数据跨境传输在以下例外情形下可以进行:转移是非重复性的,仅关乎很小一部分数据主体的权利,对于实现控制者的正当利益是必要的,且该正当利益不会被数据主体的权利和自由压倒。可以考虑的情形如为了科学和社会研究目的而做的数据跨境传输。 对于中国本地酒店来说,可能涉及到欧盟境内住客.. Tuy nhiên, trước khi truyền qua chéo được sử dụng theo bài viết này, cơ quan quản lý và chủ thể luật chơi cá cược bóng đá cần được thông báo.。
.
中国法项下,也有很多酒店数据管理者应当注意的数据主体的权利、酒店数据管理者的义务以及跨境传输的要求,我们比照luật chơi cá cược bóng đá中规定的相关权利和义务来分析。
在法律层面关于酒店住客个人信息保护的法律主要是《网络安全法》,《电子商务法》和《消费者权益保护法》。 《消费者权益保护法》中关于消费者个人数据权利的保护其实只有一条,主要规定了经营者在收集、使用消费者个人信息时,应当遵循的原则;消费者对收集、使用信息的知情权、同意权;经营者不得泄露消费者个人信息的义务这几个方面.. Luật thương mại điện tử làm rõ quyền đảm bảo luật chơi cá cược bóng đá người dùng, sửa chữa, xóa và hủy bỏ người dùng theo các quy định của luật pháp và quy định hành chính....。
中国法律下的这些权利和义务和luật chơi cá cược bóng đá中的有类似的地方,但细节规定也有不同。例如个人信息主体的"删除权",在中国法律下,只有个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,才有权要求网络运营者删除其个人信息。而在luật chơi cá cược bóng đá项下数据主体有更大的删除权,比如如果酒店为了市场营销目的处理住客数据,数据主体可以无条件要求数据管理方删除其数据。再比如,对信息泄露及时告知主管机关的义务,luật chơi cá cược bóng đá要求数据控制者在知悉泄露后72小时内报告监管机构,《网络安全法》同样要求告知有关主管部门,但未明确告知的具体时限。
值得一提的是,《网络安全法》对"关键信息基础设施"的运营者规定了额外的安全保护义务,比如,需要设置专门的安全管理机构和安全管理负责人,自行或者委托第三方对其网络的安全性每年至少进行一次检测评估并将检测评估情况和改进措施报送监管部门,对重要系统和数据库进行容灾备份等。酒店行业的信息系统是否属于关键信息基础设施呢?
《网络安全法》对关键信息基础设施的描述是"公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的"。根据这个规定,普通的酒店应该不属于关键信息基础设施,具体判断需要参照相关配套文件。中国国家网信办2016年发布的《关键信息基础设施网络安全检查操作指南》对关键信息基础设施的判断确定了三个步骤,一是判定属于关键信息基础设施的关键业务,二是确定支撑该业务的信息系统,三是依据业务对信息系统的依赖程度和考虑信息系统发生安全事故后可能造成的损失,判定关键信息基础设施。酒店行业并未出现在第一步的关键业务判定列表中,所以一般认为酒店行业不属于关键信息基础设施。但是,第三步的损失量化判定过程中有提到一旦发生网络安全事故,可能造成100万人个人信息泄露的信息系统应被认定为关键信息基础设施。因此,大型的酒店集团(比如M酒店,在开篇所述事故中导致了全球约3.39亿条客户信息被泄露)不排除被认定为关键信息基础设施的可能性。
.
关于个人信息出境,中国国家网信办于2019年6月发布了《个人信息出境安全评估办法(征求意见稿)》,其中规定个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估.. Nếu dự thảo của các bình luận có hiệu lực, nó sẽ làm tăng đáng kể sự khó khăn của việc thoát khỏi các doanh nghiệp trong nước... Mặc dù các quy định như vậy không buộc các nhà khai thác mạng như các nhà quản lý luật chơi cá cược bóng đá khách sạn lưu trữ luật chơi cá cược bóng đá cá nhân trong nước, vì họ cần thực hiện phê duyệt đánh giá trường hợp trước khi rời khỏi nước, trên thực tế, nó đã tăng khó khăn lớn đối với luật chơi cá cược bóng đá bên ngoài.
luật chơi cá cược bóng đá của ngành khách sạn không được thực hiện và luật chơi cá cược bóng đá của ngành khách sạn là luật chơi cá cược bóng đá. Chúng tôi vẫn nhìn vào hai quan điểm của GDPR và luật Trung Quốc.
.
想要厘清luật chơi cá cược bóng đá项下酒店数据保护的责任主体,我们首先需要分清几个概念:数据控制者、共同控制者、处理者.. Ba khái niệm này được định nghĩa theo các điều khoản của luật chơi cá cược bóng đá, nhưng các giải thích của trang web chính thức của Ủy ban châu Âu là súc tích hơn.
"数据控制者"确定处理个人数据的目的和方法,因此,如果一个企业决定"为什么"和"如何"处理个人数据的,那么它就是数据控制者。当企业与一个或多个组织共同决定"为什么"和"如何"处理个人数据时,这些企业/组织就是"共同控制者"。共同控制者之间的内部关系由双方约定安排,但对数据主体承担共同的、连带的责任。"数据处理者"仅在控制者的委托下处理个人数据,数据处理者通常是企业外部的第三方技术公司。数据处理者对控制者的职责需在合同中加以规定,例如,合同必须明确在合同终止后个人数据该怎么处置。处理者的典型活动是提供IT解决方案,包括云存储。.. Bồi thường hiệu quả cho các đối tượng luật chơi cá cược bóng đá..
酒店住客的预定通常会分为以下几个渠道:(1)最常见的是从酒店管理公司的官网直接预定,通常价格是最低的,但是酒店管理公司对每个预定要向酒店业主收取一定的费用;(2)通过第三方酒店预定系统进行预定,比如全球分销系统/GDS(Global Distribution System),通过GDS预订的,GDS会对每个预定向酒店收取一定的费用;(3)通过在线旅行社/OTA(Online Travel Agency)预定,比如携程会对每个预定向酒店收取一定费用;(4)酒店住客直接到店入住,在酒店前台办理入住。除了预定系统的数据需要管理,酒店财务系统也会存有大量住客的信息。对于酒店住客数据的存储大致有两种模式:一种是数据储存在酒店本地的服务器系统内,一旦管理合同终止,业主仍留有存储器里的住客信息。另一种是纯云端存储,所有住客数据都第一时间上传到酒店管理公司或其委托的第三方的云端服务器中,一旦管理合同终止,所有数据都被酒店管理公司所掌握,业主可能几乎没有数据留存。
结合上述酒店行业的常见数据运作模式,我们认为,在酒店管理公司明显掌握数据控制权,比如预定是从酒店管理公司网站或从管理公司委托的第三方预定系统,且数据也是由管理者控制(如存储于其自身或委托的第三方的云端服务器上),则酒店管理公司可以被认为是数据控制者。这种情况下,酒店业主是否属于共同数据控制者,要具体看其是否能和酒店管理公司共同决定"为什么"和"如何"处理住客的个人数据。这种情况下,可能就要看在酒店管理合同中对于数据的收集和使用是如何约定了:(1) 如果管理合同中明确酒店业主不能收集、使用、处理、存储酒店住客的个人数据,则业主不应是数据的控制方,一旦发生数据安全方面的责任,责任应完全由管理公司承担。如果发生数据安全事件,数据主体可以向酒店管理公司或者第三方系统供应商追责,管理者和第三方之间的内部责任划分由他们之间的合同决定。(2)如果酒店管理合同约定,业主可以和酒店管理者共同掌握住客数据,决定住客的数据收集和使用问题,则酒店管理在、酒店业主会被视为共同数据控制者。这样的话,一旦发生安全事件,数据主体则可以向酒店管理者,酒店业主,或者第三方系统供应商追责。酒店管理者和酒店业主作为数据共同控制者内部的责任划分由其之间的合同决定。这种情况下,也应当在酒店管理者和酒店业主之间的合同中根据他们对于住客数据的实际控制能力,明确约定责任划分。
.
要厘清中国法项下酒店数据保护的责任主体,我们也需要分清几个概念:网络运营者、电子商务经营者、个人信息控制者、共同个人信息控制者。
"网络运营者"是《网络安全法》中的概念,指的是网络的所有者、管理者和网络服务提供者。.
"电子商务经营者"是《电子商务法》中的概念,是指通过信息网络从事销售商品或者提供服务的自然人和组织,包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。.Công ty quản lý luật chơi cá cược bóng đá hoặc chủ sở hữu luật chơi cá cược bóng đá là một nhà điều hành thương mại điện tử.
"个人信息控制者"和"共同个人信息控制者"都是《个人信息安全规范》中的概念,"个人信息控制者"是指有权决定个人信息的处理目的、方式等的组织或个人。和luật chơi cá cược bóng đá类似,《个人信息安全规范》中也有共同个人信息控制者这个概念。虽然没有具体定义,但是规定了当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务。据此,如果酒店业主可以和酒店管理者共同决定住客个人信息处理的目的和方式,则酒店业主属于共同个人信息控制者,住客也可以向其主张数据安全损害赔偿,不过业主方可以在与酒店管理者的合同中约定内部的责任划分。由于《个人信息安全规范》中没有数据处理者的概念,在示例中将第三方技术工具提供商(例如网站经营者与在其网页或应用程序中部署统计分析工具的第三方插件)也算为共同个人信息控制者。据此,酒店管理者或业主使用的第三方系统也有可能被算作共同个人信息控制者.
.
.
-
梳理酒店的个人数据保护现状。由于酒店行业属于个人数据密集行业,我们建议做好个人信息安全影响的评估梳理工作。《个人信息安全规范》中也提到,个人信息控制者应"建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估".Luật pháp Trung Quốc.
-
.
-
在酒店业主和酒店管理方之间的合同中明确约定住客数据收集和处理的义务方和责任方。
-
查验和升级酒店的信息技术系统,保障酒店的技术手段可以实现住客在luật chơi cá cược bóng đá项下的权利。
-
建立完善数据泄露报告制度及应急预案。对于个人数据的泄露, luật chơi cá cược bóng đá规定了向监管机构报告, 并根据可能造成的风险程度向数据主体进行通报, 否则将受到惩处,因此需要企业采取了合理的技术性、组织性的风险控制措施。
-
按照网络安全等级保护制度的要求,履行安全保护义务。大型连锁酒店的信息系统保存着海量的客户数据,需按照《网络安全法》的要求建立对数据的保护策略,建议按照《信息安全技术网络安全等级保护基本要求》标准三级防护要求实施数据保护。
-
数据安全尽职调查的必要性。随着luật chơi cá cược bóng đá和中国法律对个人信息保护的重视和执法力度的加大,在酒店行业的并购交易中,并购方对标的公司数据治理方面的合规尽调应被提到越来越重要的位置。正如ICO在对M国际酒店集团的处罚中的态度,并购方对其收购的标的公司中的个人数据的保护负有责任。这就要求并购方在并购交易的过程中做好充分的数据合规尽职调查,并据此在并购交易中建立适当的责任机制,且为收购后的数据合规管理打好基础,设计好制度。
.
..
..
.69315_69518
.. Theo Điều 56.1 và 60.1 của GDPR, các cơ quan quản lý của bộ điều khiển luật chơi cá cược bóng đá hoặc tổ chức kinh doanh chính của bộ điều khiển luật chơi cá cược bóng đá hoặc bộ xử lý sẽ hoạt động như một cơ quan quản lý hàng đầu.
.. 30, 2019)
.. Mặc dù các mã không phải là văn bản, nền tảng và cách giải thích cụ thể của các thuật ngữ văn bản.
..
..
..
..
..
..
.
..
.
..
..
..
..
..
.. )
..
..
.-SCC_EN (Ngày truy cập: 30 tháng 8 năm 2019)
.
.
..https://www.trustarc.com/products/luật chơi cá cược bóng đá-validation/(访问日期:2019年8月30日)
..
..
..
.
.
.
..
.
.
.
.. , 2019)
..
.
..
..
.
