當下,數字化正以不可逆轉的趨勢改變人類社會。數據流通與共享隨之成為關注測點,全球相關立法不斷往縱深推進。本文將介紹幾個國家主要的數據保護的發展和趨勢,並總結了未來的立法變化、預測和2023年需要注意的執法重點。
一、德國
國際數據轉移將繼續成為一個熱門話題,特別是在歐盟委員會2022年12月13日公布的充分性決定草案的背景下。在美國總統於2022年10月發布行政命令以解決歐盟法院在Schrems II裁決中提出的問題後,德國的DPA (Data Protection Authority,為德國數據保護機構的統稱)發表了一份聲明,指出了該裁決中未解答的問題,並得出了行政命令存在缺陷的結論。
此外,由於EDPB宣布了其關注數據保護官(Data Protection Officer, DPO)的計劃,筆者預計這將是德國關於數據保護的一個關注議題,特別是因為德國當地的數據保護法要求在大多數情況下任命數據保護官,特別是在公司雇用至少20人處理個人數據時。值得注意的是,在GDPR(General Data Protection Regulation, 《一般數據保護條例》)之前,德國就要求在大多數情況下任命數據保護官。
德國數據保護機構的指導意見
由德國所有組成的德國數據保護會議更新了指南,並發布了新的聲明/指南,如:
2022年2月,德國數據保護會議更新了關於GDPR下為直接盈利目的處理個人數據的指導意見;以及
2022年12月,德國數據保護會議發布了關於解釋2021年12月1日生效的《電信和電信媒體數據保護法》的最新指南。和以前一樣,該指南特別關注對使用cookies的要求。
執法和數據糾紛
德國DPA繼續實施罰款。例如,2022年7月,德國下薩克森州的DPA對一家銀行處以90萬歐元的罰款,因為DPA認為該銀行為廣告目的而進行的特征分析活動沒有充分的合法利益基礎(GDPR第6(1)條f項)。根據當局的新聞稿,該銀行分析了前客戶和活躍客戶的個人數據,包括他們的數字使用行為、在應用商店的購買量和使用網上銀行的銀行轉賬量,並為此使用了外部服務提供商。此外,分析結果還與一家信貸機構的分析結果進行了比較和充實。當局表示,告知客戶並不能取代必要的同意。
二、印度
2022年11月,印度電子和信息技術部(Ministry of Electronics and Information Technology, MEITY)推出了《2022年數字個人數據保護法案》("DPDP法案")的草案,並呼籲公眾提出意見。DPDP法案是在其前身《2021年個人數據保護法案》("2021年法案")之後出臺的,在利益相關者的推動下,政府於2022年8月撤回了該法案。
DPDP法案建立在以下原則之上。(a)公平和合法使用,(b)目的限制,(c)數據最小化,(d)準確性,(e)存儲限制,(f)合理保障,以及(g)問責。它規定了個人數據的收集、存儲、處理和轉移方式。它引入了數據受托人(類似於數據控制者)、數據委托人(類似於數據主體)和數據處理者等概念,還規定了這些方面在個人數據方面的權利和義務。最重要的是,《DPDP法案》對個人數據在印度境外的轉移規定了某些限制。它還建議對嚴重違反規定的行為進行嚴厲的金錢處罰。雖然沒有明確的時間表說明DPDP法案何時生效,但預計它將在2023年底前生效。
三、日本
修訂後的《個人信息保護法》("APPI 2022")於2022年4月1日生效。該修正案引入了重大改革,對公司的隱私慣例和業務運營產生了影響。APPI 2022的主要變化包括
更嚴厲的法定刑罰。
加強數據主體的權利。
強制性數據泄露通知要求。
一個新的 "假名信息 "的概念。
對向第三方轉移數據的新限制("個人可參考信息");以及
對國際數據傳輸有更嚴格的限制。
其中對於法定刑罰的變化、向強制性數據泄露通知的轉變以及關於國際數據傳輸的新義務對企業的影響最大。
在國際數據轉移方面, APII 2022規定向位於日本境外的第三方轉移個人數據需要得到數據主體的同意,除非在去年APPI修正案生效前適用的例外情況。除了現有的限制外,APPI 2022對此類數據轉移提出了新的要求,以便為數據主體提供更高水平的保護。
當基於同意進行國際數據轉移時,轉移者在通過隱私通知等方式獲得數據主體的同意時,需要向其提供以下信息。
個人數據被轉移到的國家的名稱。
數據接收方所在國家的數據保護制度;以及
數據接收方為保護個人信息所采取的安全措施。
然而,由於難以滿足APPI 2022規定的這一新的信息披露要求,許多公司傾向於依靠同意以外的理由來進行國際數據轉移。大多數公司現在依賴的理由是制定了數據傳輸/處理協議或公司規則(這只適用於集團公司內部的數據傳輸),規定了與APPI 2022規定相當的義務。如果企業根據該協議或公司規則的例外情況使跨境數據傳輸合法化,企業必須采取必要措施,確保遵守APPI 2022規定的數據保護框架,並必須應數據主體的要求向其提供與這些措施有關的信息。當公司簽訂協議或采用公司規則以實現國際數據傳輸時,應審查此類協議或公司規則,以確認它們符合APPI 2022的要求。此外,公司需要準備好回應數據主體的要求,提供有關其采用的國際數據傳輸機制的信息
四、墨西哥
墨西哥數據保護監管機構("INAI")在2022年非常活躍,開展了如下工作:(1)發布指南和建議;以及(2)對處理活動不符合《聯邦數據保護法》(Ley Federal de Protección de Datos Personales en Posesión de los Particulares)("LFPDPPP")的個人或組織開展調查並處以罰款。
2022年,INAI對違反LFPDPPP的個人和/或法律實體處以罰款,總額為3,179,96.37美元。根據INAI的記錄,2022年被處罰最多的部門是提供"一般服務"的部門,總額為1,226,333.31美元;"大眾媒體",81,780.92美元;"金融服務"和"保險",756,835.55美元;"商業支持服務"、"管理、廢物和補救服務",121,962.21美元。
最常見的制裁理由的活動包括。
違反LFPDPPP的原則處理個人信息。
在未經明確同意的情況下收集或轉讓個人信息;以及
未能提供隱私通知中所要求的任何最低限度的強制性信息。
五、美國
美國隱私法在2023年將繼續發生重大變化。《加利福尼亞隱私權利法》(CPRA)和《弗吉尼亞消費者數據保護法》(VCDPA)都在2023年1月1日生效。2023年7月1日,《科羅拉多州隱私法》(CPA)和《康涅狄格州數據隱私法》(CTDPA)將開始生效,《猶他州消費者隱私法》(UCPA)將於2023年12月31日生效。CPRA修訂並加強了《加州消費者隱私法》(CCPA),這會是所有修改裡影響最深遠的新法,因為它包括企業對企業(B2B)和人力資源(HR)數據。
此外,美歐數據傳輸也是一個關注切入點。2022年12月13日,歐盟委員會(EC)宣布了一項關於美國數據保護制度是否足以保護歐盟(EU)居民的個人數據的決定草案,即歐盟-美國數據隱私框架(DPF)。我們預計,DPF將於2023年定稿,美國公司將迅速著手認證對DPF的遵守。盡管筆者預計DPF的認證將類似於其前身"隱私保護",但DPF的具體細節還沒有蓋棺定論。
聯邦監管機構,包括聯邦貿易委員會(FTC)和民權辦公室(OCR),也加強了對某些敏感數據的收集和存儲的審查。例如,聯邦貿易委員會在2022年8月對Kochava的執法行動中繼續關注移動應用程序收集和共享(或出售)敏感數據,包括地理定位數據。負責執行《健康保險可攜性和責任法案》(HIPAA)的機構OCR發布了關於在HIPAA涵蓋的網站或移動應用程序上使用跟蹤技術並收集受保護健康信息(PHI)的指南。OCR澄清說,HIPAA覆蓋的實體不允許以導致不允許向其他實體(包括跟蹤技術供應商)披露PHI的方式使用跟蹤技術。
美國證券交易委員會(SEC)可能在2023年最終確定規則,迫使公司董事會在四個工作日內向SEC和投資者披露重大網絡事件。美國證券交易委員會的規則還將要求公共董事會披露有關其安全治理的重要信息。
總的來說,鑒於美國各州隱私法的不斷發展,以及聯邦層面的執法和審查,我們預計2023年將是一個變化的年份,從而促使更多的公司將專注於建立和加強其隱私合規計劃。
在全球範圍內,國家性、區域性關於數據安全和隱私保護的法規各有側重,企業如何在參與全球經濟的合作與競爭中,滿足國內外合規要求將是一個亟需解決的挑戰。企業應提高數據安全意識,同時注意對敏感數據的應用,安全規劃進行的越早,經濟效益越高,風險越小。
作者介紹:
楊雲帆 德賽西威涉外法務
發表評論 取消回複