POSTS TAGGED : Hong Kong

PRIVACY DAILY 95/2023

PRIVACY DAILY 95/2023

L’attivista di Hong Kong Joshua Wong è stato condannato a tre mesi di carcere per aver divulgato informazioni personali su un agente di polizia che ha ferito un manifestante durante le proteste antigovernative del 2019. Wong era salito alla ribalta nelle proteste pro-democrazia del 2014 ed era in custodia dopo aver manifestato l’intenzione di dichiararsi colpevole nel più grande caso di sicurezza nazionale della città, in cui rischia una potenziale pena fino all’ergastolo. L’anno scorso ha finito di scontare la sua pena di circa due anni per altri tre casi, dopo essere stato condannato per accuse multiple. L’ex studente leader delle proteste del 2014 non era uno dei leader delle proteste del 2019, ma il suo continuo attivismo e il suo alto profilo lo hanno reso un bersaglio delle autorità. Durante le proteste, si sono verificati violenti scontri tra polizia e manifestanti, e alcuni manifestanti hanno espresso la loro opposizione alle tattiche discutibili degli agenti attraverso il “doxxing”, la pratica di far trapelare maliziosamente informazioni personali altrui. Wong è stato accusato di aver ripubblicato su Facebook un thread di un forum online che rivelava i dettagli dell’agente che aveva sparato tre colpi di pistola nella zona residenziale di Sai Wan Ho, sull’isola di Hong Kong. Uno dei colpi ha ferito un manifestante e ha scatenato una protesta pubblica al culmine delle proteste. Il giudice Russell Coleman, che ha emesso la sentenza, ha detto che offrirà la motivazione completa nei prossimi giorni. Nelle sue attenuanti, il suo avvocato ha detto che Wong ha ammesso la sua responsabilità e che vorrebbe scusarsi con l’agente di polizia e la sua famiglia.

In Irlanda, i data breach non risparmiano neanche i centri anti-abusi. E in diversi, tra gli enti benefici che hanno subito il furto dei dati personali delle vittime di abusi in un attacco ransomware, potrebbero subire sanzioni da parte della Data Protection Commission (DPC). L’unico ente di beneficenza irlandese coinvolto che è stato nominato pubblicamente – l’organizzazione di sostegno agli abusi sui minori One In Four – è stato informato per la prima volta della violazione il 5 aprile. A quanto risulta, almeno altre otto istituzioni irlandesi, tra cui un centro antistupro, hanno contattato la Polizia e la DPC dopo che i dati da loro gestiti sono stati violati durante l’attacco. I dati erano in possesso della società Evide, con sede a Derry, specializzata nell’archiviazione e nell’analisi dei dati per il settore della beneficenza. Evide gestisce i dati di circa 140 organizzazioni. Tuttavia, gli enti irlandesi coinvolti dovranno probabilmente affrontare un’indagine da parte della DPC a causa del loro status di titolari del trattamento dei dati perduti, mentre Evide agisce come responsabile del trattamento dei dati pur operando in una giurisdizione separata. Il Ministro della Giustizia Simon Harris ha definito l’attacco “spaventoso” e ha esortato le vittime a essere “estremamente vigili” in termini di e-mail o messaggi di testo particolari che potrebbero ricevere in futuro. Sebbene in seguito all’attacco ransomware sia stato possibile accedere a dati personali, tra cui nomi, indirizzi e numeri di telefono, i riepiloghi dei casi di One in Four sono stati anonimizzati, il che significa che i singoli casi non possono essere collegati ad altri dati personali. Si ritiene inoltre che il dump di dati abbia visto l’accesso ai vari dettagli di tutte le 140 organizzazioni coinvolte in un’unica tranche, rendendo più difficile il collegamento delle varie sfaccettature ai diversi enti colpiti. Nel caso dell’hack Evide è stato richiesto un riscatto, ma non è ancora stato pagato.

A Birmingham cresce la preoccupazione dei commercianti per i piccoli furti e aumentano le misure di sicurezza adottate. L’anno scorso i negozianti del Regno Unito hanno speso 722 milioni di sterline per la prevenzione del crimine, il cui aumento è dovuto alla crisi del carovita. Alcuni commercianti nelle West Midlands sono ricorsi a pubblicare i filmati delle loro telecamere a circuito chiuso sui social media, lamentando che la polizia non sta facendo abbastanza per rintracciare i sospetti. Uno di loro ha addirittura creato un “wall of shame” affiggendo le immagini dei presunti colpevoli fuori dal suo negozio. I dati governativi indicano che i reati di taccheggio registrati sono aumentati del 29% nelle West Midlands negli ultimi due anni. Farrah McNutt, direttore generale di Catch a Thief UK, ha detto che per i negozianti che vogliono intraprendere un’azione simile, c’è un “processo di controllo” da seguire prima di poter mostrare le immagini.”Bisogna assicurarsi di seguire una procedura che rispetti le norme sulla protezione dei dati,” ha aggiunto. Ma la frustrazione dei negozianti è alta. “La polizia dovrebbe fare di più”, ha dichiarato il signor Farooq alla BBC, dopo aver informato gli agenti di aver istituito il suo “wall of shame” con le foto dei presunti taccheggiatori. “Di solito ci dicono ‘è un piccolo crimine, vi daremo un riferimento, vi faremo sapere’, ma in realtà dovrebbero uscire e dare un’occhiata al filmato”, ha aggiunto. In Gran Bretagna, secondo il British Retail Consortium (BRC), il taccheggio è costato ai rivenditori 953 milioni di sterline nel periodo 2021/22, e alcuni trasgressori sembrano non riuscire a fermarsi. Lara Conradie, del BRC, ha dichiarato di sentire “costantemente aneddoti da parte dei commercianti di tutto il Paese che dicono che gli episodi di furto sono aumentati durante la crisi del carovita”. I rivenditori sono costretti ad aumentare la sicurezza, “causando un’ulteriore pressione sui costi per i rivenditori”, ha aggiunto.

English version

Hong Kong activist Joshua Wong has been sentenced to three months in prison for divulging personal information about a police officer who injured a protester during anti-government protests in 2019. Wong had risen to prominence in the 2014 pro-democracy protests and was in custody after he indicated his intention to plead guilty in the city’s largest national security case, in which he faces a potential sentence of up to life in prison. Last year he finished serving his approximately two-year sentence for three other cases after being convicted of multiple charges. The former student leader of the 2014 protests was not one of the leaders of the 2019 protests, but his continued activism and high profile made him a target of the authorities. During the protests, violent clashes occurred between police and protesters, and some protesters voiced their opposition to the officers’ questionable tactics through ‘doxxing’, the practice of maliciously leaking others’ personal information. Wong was accused of reposting an online forum thread on Facebook that revealed details of the officer who fired three gunshots in the Sai Wan Ho residential area on Hong Kong Island. One of the shots injured a protester and triggered a public outcry at the height of the protests. Judge Russell Coleman, who handed down the sentence, said he would offer full reasons in the coming days. In his mitigation, his lawyer said Wong admitted responsibility and would like to apologise to the police officer and his family.

Data breaches do not spare even anti-abuse centres in Ireland. And several of the charities whose personal data of abuse victims was stolen in a ransomware attack could face sanctions from the Data Protection Commission. The only Irish charity involved that has been named publicly – the child abuse support organisation One In Four – was first informed of the breach on 5 April. Reportedly, at least eight other Irish institutions, including a rape crisis centre, contacted the Gardaí and the DPC after data managed by them was breached during the attack. The data was held by the Derry-based company Evide, which specialises in data storage and analysis for the charity sector. Evide manages the data of around 140 organisations. However, the Irish organisations involved are likely to face an investigation by the DPC due to their status as data controllers of the lost data, while Evide acts as a data controller while operating in a separate jurisdiction. Justice Minister Simon Harris called the attack ‘frightening’ and urged victims to be ‘extremely vigilant’ in terms of any particular emails or text messages they might receive in the future. Although personal data, including names, addresses and phone numbers, could be accessed as a result of the ransomware attack, One in Four case summaries were anonymised, meaning that individual cases cannot be linked to other personal data. It is also believed that the data dump saw access to the various details of all 140 affected organisations in one go, making it more difficult to link the various facets to the different entities affected. In the case of the Evide hack, a ransom was demanded, but has not yet been paid.

In Birmingham, shopkeepers’ concern about petty theft is growing and security measures are being increased. Last year, shopkeepers in the UK spent £722 million on crime prevention, the increase in which is due to the cost of living crisis. Some shopkeepers in the West Midlands have resorted to posting their CCTV footage on social media, complaining that the police are not doing enough to track down suspects. One of them even created a ‘wall of shame’ by posting pictures of the alleged perpetrators outside his shop. Government figures show that recorded shoplifting offences have increased by 29% in the West Midlands in the last two years. Farrah McNutt, chief executive of Catch a Thief UK, said that for shopkeepers who want to take such action, there is a ‘vetting process’ to follow before they can display the images.’You have to make sure you follow a procedure that complies with data protection regulations,’ she added. But shopkeepers’ frustration is high. “The police should do more,” Mr Farooq told the BBC, after informing officers that he had set up his “wall of shame” with photos of alleged shoplifters. “They usually tell us ‘it’s a small crime, we’ll give you a reference, we’ll let you know’, but really they should go out and have a look at the footage,” he added. In the UK, according to the British Retail Consortium (BRC), shoplifting cost retailers £953 million in the 2021/22 period, and some offenders just can’t seem to stop. Lara Conradie, of the BRC, said she is “constantly hearing anecdotes from retailers across the country saying that incidents of shoplifting have increased during the cost-cutting crisis”. Retailers are forced to increase security, ‘causing additional cost pressure for retailers,’ she added.

PRIVACY DAILY 40/2023

PRIVACY DAILY 40/2023

La legislazione anti-doxxing ad Hong Kong ha dato i suoi frutti. Nel presentare il report sull’attività svolta nel 2022, il Privacy Commissioner for Personal Data (PCPD) Ada Chung ha dichiarato di aver emesso 1.500 avvisi a 26 piattaforme di social media per rimuovere migliaia di messaggi che comportavano il doxxing (la pubblicazione di informazioni personali con intento malevolo). Stando a quanto dichiarato dalla Chung, il 90% delle richieste di rimozione dei messaggi di doxxing è stato accettato dalle piattaforme di social media, le quali si sarebbero dimostrate d’accordo con le azioni intraprese dall’Autorità. Dalla riforma entrata in vigore nell’ottobre 2021, il PCPD si è occupato di 3.848 reclami, di cui ben il 46% ha riguardato la divulgazione illecita di informazioni personali. In particolare, la modifica legislativa ha vietato il doxxing con l’intento di minacciare, intimidire, molestare o causare danni psicologici e conferisce all’autorità di vigilanza il potere di obbligare le persone a collaborare alle indagini e di richiedere la rimozione dei contenuti offensivi. Chiunque violi le norme sul doxxing rischia fino a cinque anni di carcere e una multa fino a 1 milione di HK$ (127.385 dollari). Inoltre, Ada Chung ha anche presentato i risultati di un’indagine che ha coinvolto l’Hong Kong Institute of Bankers, che nel gennaio 2022 aveva denunciato una fuga di dati personali di 113.000 soggetti. GIi hacker, mediante un ransomware, avevano sfruttato una falla nel sistema di lavoro da remoto dell’organizzazione, che non era ancora stata chiusa più di un anno dopo la scoperta della vulnerabilità da parte del fornitore del firewall.

Sempre più aperture nei confronti dell’E-Patientenakten (cartella clinica elettronica) in Germania. Quasi due terzi (65%) dei tedeschi approva i piani del governo, secondo il sondaggio commissionato dalla Fondazione Bertelsmann e dalla Fondazione Münch. Il 23% è indeciso e il 12% è contrario. V’è una significativa differenza nella nuova politica sull’E-Patientenakten rispetto all’attuale disciplina: ad oggi essa deve essere richiesta dal paziente; in futuro, sarà assegnata in automatico, ma resterà la possibilità di opporsi. La cartella clinica elettronica era stata, infatti, proposta nel 2021 come opzione volontaria per i 74 milioni di persone dotate di assicurazione sanitaria obbligatoria, ma solo una parte ha deciso di avvalersene. Un po’ per colpa dei ritardi nella messa in opera delle soluzioni, un po’ per via di controversie relative a diverse questioni di protezione dati, il progetto aveva avuto una battuta d’arresto. Perciò, la “coalizione semaforo” vorrebbe passare al suo rilancio nella legge digitale in progettazione per quest’anno, come annunciato dal ministro della salute Karl Lauterbach. Un’idea per aggirare alcune questioni appare proprio quella di passare al principio dell’opt-out. Vanno, però, tenute in considerazione le differenze territoriali. Nell’ovest del Paese, il 70% degli intervistati approva, il 21% è indeciso e il 9% disapprova. Nella Germania orientale, invece, solo il 46% approva, il 29% è indeciso e il 26% disapprova.

I legislatori californiani stanno tentando di nuovo di introdurre la responsabilità delle società di social media per la dipendenza degli utenti minori dai loro prodotti. Un nuovo sforzo che si scontrerà con una forte resistenza da parte dell’industria tecnologica. La settimana scorsa la senatrice Nancy Skinner ha presentato una proposta di legge che prevede per le aziende un risarcimento fino a 250.000 dollari per ogni violazione. Si tratta di una proposta simile ad un’altra molto discussa l’anno scorso e poi bloccata, ma che aggiunge alla dipendenza altri problemi per i quali le piattaforme potrebbero essere ritenute responsabili, tra cui l’uso di fentanyl (analgesico 100 volte più potente della morfina), il danneggiamento di se stessi o di altri e i disturbi alimentari. Questo disegno di legge, inoltre, consentirebbe ai privati, come i genitori, di fare causa entro quattro anni dal presunto danno, aprendo la strada ad un numero potenzialmente molto elevato di cause legali. Essa arriva mentre le aziende di social media sono sottoposte a un maggiore interesse da parte della politica: il presidente Joe Biden nel suo discorso sullo stato dell’Unione di martedì scorso ha affermato che devono essere ritenute responsabili per i loro esperimenti di “gestione dei bambini a scopo di lucro”. Per gli oppositori, come Carl Szabo, vicepresidente di NetChoice, che rappresenta Meta, Google e altre aziende tecnologiche, il disegno di legge potrebbe paralizzare centinaia di siti web e, in ogni caso, esso non affronta le questioni di fondo sollevate dai social media come l’uso responsabile della tecnologia.

English version

Anti-doxxing legislation in Hong Kong has paid off. Presenting the 2022 activity report, Privacy Commissioner for Personal Data (PCPD) Ada Chung stated that she had issued 1,500 notices to 26 social media platforms to remove thousands of messages involving doxxing (the posting of personal information with malicious intent). According to Chung, 90 per cent of the requests to remove doxxing messages were accepted by the social media platforms, which agreed with the actions taken by the Authority. Since the reform came into force in October 2021, the PCPD has dealt with 3,848 complaints, of which as many as 46% concerned the unlawful disclosure of personal information. In particular, the legislative amendment banned doxxing with the intent to threaten, intimidate, harass or cause psychological harm and gives the supervisory authority the power to compel people to cooperate with investigations and to request the removal of offensive content. Anyone who violates the doxxing regulations faces up to five years in prison and a fine of up to HK$1 million (US$127,385). In addition, Ada Chung also presented the results of an investigation involving the Hong Kong Institute of Bankers, which had reported a leak of personal data of 113,000 individuals in January 2022. The hackers, using ransomware, had exploited a flaw in the organisation’s remote working system, which had still not been closed more than a year after the vulnerability was discovered by the firewall provider.

More and more openness towards E-Patientenakten (electronic patient records) in Germany. Almost two thirds (65%) of Germans approve of the government’s plans, according to the survey commissioned by the Bertelsmann Foundation and the Münch Foundation. 23% are undecided and 12% are against. There is a significant difference in the new policy on E-Patientenakten compared to the current discipline: today, it must be requested by the patient; in the future, it will be assigned automatically, but the possibility to object will remain. The electronic patient file was, in fact, proposed in 2021 as a voluntary option for the 74 million people with compulsory health insurance, but only a fraction decided to make use of it. Partly due to delays in implementing the solutions, partly due to disputes over various data protection issues, the project had stalled. Therefore, the ‘traffic light coalition’ would like to move on to its relaunch in the digital law planned for this year, as announced by Health Minister Karl Lauterbach. One idea to circumvent certain issues appears to be to switch to the opt-out principle. Territorial differences must, however, be taken into account. In the west of the country, 70% of respondents approve, 21% are undecided and 9% disapprove. In eastern Germany, by contrast, only 46% approve, 29% are undecided, and 26% disapprove.

Californian lawmakers are again attempting to introduce liability for social media companies for the dependence of child users on their products. A new effort that will face strong resistance from the technology industry. Last week, Senator Nancy Skinner introduced a bill that would provide companies with compensation of up to $250,000 per violation. This is similar to another proposal that was much debated last year and then blocked, but adds to the addiction other problems for which platforms could be held liable, including the use of fentanyl (an analgesic 100 times more powerful than morphine), harming oneself or others, and eating disorders. This bill would also allow individuals, such as parents, to sue within four years of the alleged harm, paving the way for a potentially very large number of lawsuits. It comes as social media companies are under increased political scrutiny: President Joe Biden said in his State of the Union address on Tuesday that they must be held accountable for their experiments in ‘managing children for profit’. For opponents, such as Carl Szabo, vice-president of NetChoice, which represents Meta, Google and other technology companies, the bill could cripple hundreds of websites and, in any case, it does not address the underlying issues raised by social media such as the responsible use of technology.