放眼世界,数据隐私立法正在逐步影响着人们的日常生活。国内在《网络安全法》、《个人信息保护法》、《数据安全法》三驾马车的引领下正进一步精细化立法和标准的颗粒度,逐步完善法律法规体系。数据隐私及其相关立法在2023年将成为各国关注的焦点,除了大家耳熟能详的欧盟《通用数据保护条例》(GDPR),在这里和大家分享下海外最新立法动态,可能因为译文原因有表述不准确的地方,也希望大家一起讨论帮忙指正。
根据越南政府新闻网,越南总理于2023年2月7日签署了第 13/NQ-CP 号政府决议,批准制定《个人数据保护法令》。同时该决议也批准了未经数据主体同意处理个人数据的例外情况。越南政府于2023年4月17日颁布第13/2023/ND-CP号法令 《个人数据保护法》(PDPD),PDPD于2023年7月1日生效。
PDPD规定了数据主体的11项权利,包括知情权,同意权,访问权,撤回同意权,删除权,限制处理权,数据可携带权,反对数据处理的权利,投诉、检举和提起诉讼的权利,索赔权,自卫权。
PDPD要求数据跨境传输的主体应进行个人数据出境影响评估,并准备相关材料,个人数据跨境传输影响评估档案应随时备存,以供越南公安部检查评估。此外,跨境传输方应在处理个人数据之日起60天内,填写PDPD附件第06号表格发送至越南公安部。跨境传输方应在数据传输完成后,将数据传输情况及负责传输的组织或个人的联系方式通知越南公安部。越南公安部对其进行评估并要求申请不完整、不准确的数据出境方完善个人数据跨境传输影响评估材料。此外,跨境传输方应在提交公安部的个人数据跨境传输影响评估档案内容发生变化起10天内依据PDPD附件第05号表格完成对评估材料的更新。除特殊情况外,越南公安部可根据具体情况,决定每年对个人数据出境情况进行一次检查。
印度个人数据保护立法目前已历经数次更迭,第一版于2018年7月提出,之后于2019年、2022年再次更新推出,2023年8月9日,印度上议院通过《2023年数字个人数据保护法案(DPDP)》草案。DPDP法案包括了生效时间、重要概念的定义和适用范围、数据跨境流动和豁免规则,修订要求、与其他法律的协调机制、罚款限额等方面。
DPDP法案适用于印度境内以数字形式收集的数据或在后续被数字化的非数字形式的数据,以及印度境外向印度境内数据主体提供产品或服务的相关活动。其中,针对出于个人或家庭目的进行处理的活动、个人数据被数据主体或其他有法律义务公开的数据具有豁免权。
法案规定数据控制者可以在数据主体同意的情况下处理个人数据,对于18岁以下未成年人需由其父母或法定监护人同意,或者基于合法用途处理个人数据,包括:
除此之外,数据控制者还需要任命一名数据保护官。印度政府有权将数据控制者归类为重要数据控制者,其中包括:
-
数据的敏感性和数量;
-
处理数据对数据主体的权利影响;
-
对印度国家主权、安全性和完整性的影响。
重要数据控制者将承担额外的义务,包括任命独立审计师和进行数据保护影响评估。另外,在跨境传输方面,允许向印度境外转移个人数据,但目前印度政府并没有公布满足印度政府规定条件的国家。违反该法案规定的行为设定最高25亿印度卢比(约3100万美元)的罚款金额。
泰国首部《个人数据保护法》(PDPA)在经历了两次推迟后,已于2022年6月1日生效,其中包含了数据主体权利、数据处理者义务、跨境数据传输等方面。根据PDPA的规定,明确了数据控制者和处理者(不论公共或私人实体)在处理个人数据之前必须征得数据主体的同意,并且还需要明确告知数据主体使用其个人数据的目的和用途。
法案明确赋予数据主体访问、删除、纠正、反对处理其相关个人数据的权利,数据主体有权要求访问其个人数据,并有权删除此数据,数据主体也有权反对收集、使用或披露他们的个人数据。
数据控制者和处理者应当采取适当的安全措施来管理和存储个人数据,以防止个人数据泄露以及被非法或未经授权的使用。同时,在发生个人数据泄露后的72小时内,必须通知到个人数据保护委员会办公室。
数据控制者和处理者在未征得数据主体同意的情况下,不得将个人数据转移至泰国境外,除非符合法律规定或为了履行合同所必需。
印度尼西亚《个人数据保护法》(PDPL)于2022年10月17日获总统批准正式生效,其中包括数据控制者的数据处理原则,数据主体权利、跨境数据传输等方面。
-
处理个人数据应获得数据主体的明确同意,数据控制者应向数据主体告知:处理个人数据的合法性、目的、类别、方式、保留期限、处理期限、数据主体的权利。除数据主体的同意外,其他法律依据包括合同必要性、法律义务、保护数据主体的切身利益和控制者的合法利益。
-
数据主体具有知情权、访问权、纠正权、撤销同意权、删除权、反对自动决策权、限制处理其个人数据的权利、数据可携性权利以及对数据控制者或处理者发起起诉的权利。
-
跨境数据传输方面,按照优先顺序:首先,接收方所在国家的个人数据保护水平不低于印尼法规的标准;若不满足,其次控制者需确保存在足够的、具有约束力的个人数据保护措施;若还不满足,最后需征得数据主体的同意。
2023年2月16日,澳大利亚总检察长办公室发布了对1988年《隐私法》审查的最终报告《2022年隐私法审查报告》,面向公众征求意见。该报告对法案进行进一步改革,改革内容包括但不限于:
2、引入“控制者”和“处理者”的概念,更新“个人信息”的定义;
5、对任何“高隐私风险活动”进行强制性隐私影响评估 ;
报告指出,“同意”必须是自愿的、知情的、最新的、具体的和明确的,并且建议澳大利亚信息专员办公室(OAIC)制定关于在线服务应如何设计同意请求的指南。
报告扩大了个人信息的范围,明确了个人信息将包括技术信息(如 IP 地址、设备标识符和位置数据)、推断信息(例如行为或偏好的预测)。
报告要求控制者的隐私政策清晰易懂,针对面向儿童的服务制定儿童在线隐私规则。
2023年,美国在隐私保护方面将加大监管力度,加利福尼亚州、弗吉尼亚州、科罗拉多州、犹他州、康涅狄格州都陆续通过了数据隐私法。《加利福尼亚隐私权利法》(CPRA)是《加州消费者隐私法》(CCPA)的升级版本,CPRA引入了“敏感个人信息”的概念、更正权以及新增加州隐私保护机构(CPPA)等,这些都大大增加了消费者的权利。CPRA于2023年1月1日生效,依旧给企业预留了 6 个月的整改时间,2023年7月1日(生效后6个月)开始执行。《弗吉尼亚消费者数据保护法》(VCDPA)在2023年1月1日生效。2023年7月1日,《科罗拉多州隐私法》(CPA)和《康涅狄格州数据隐私法》(CTDPA)正式开始生效。《犹他州消费者隐私法》(UCPA)将于2023年12月31日生效。
日本的《个人信息保护法》(APPI)最新修订已于2023年4月1日实施。APPI于2003年颁布后,分别于2015年、2020年、2021年进行了修订。根据日本个人信息保护委员会(PPC)官网,新版APPI分为总则、国家和地方政府的责任、个人信息保护措施、经营者处理个人信息的义务、行政机关的义务、个人信息保护委员会、其他规定以及处罚规定等共八章。
此次修订将原本分散规定的立法统一化,将《个人信息保护法》《行政机关个人信息保护法》《独立行政法人个人信息保护法》三法合一,同时也涵盖了地方公共团体的《个人信息保护条例》,并且将由PPC统一管理。
韩国国民议会于2023年2月27日通过了一项修订《2011年个人信息保护法》(PIPA)的提案。根据韩国可查询立法的官网公示,2023年3月14日新增的内容包括但不限于数据主体的可移植权、自动化决策拒绝权、儿童个人信息的保护、跨境传输特别规定以及新增 9 月 30 日为个人信息保护日。本次修订将会在2023年9月15日生效。
2022年7月6日,俄罗斯关于修订联邦《个人数据保护法》的第266-FZ号联邦法律(修订法案)在俄罗斯国家议会通过,并于2022年7月14日,俄罗斯总统正式签署了第266号联邦法。修订法案对2006年7月27日通过的联邦第152-FZ号法律《个人数据保护法》进行了重大修改,修改包括跨境传输、个人生物数据、数据泄露报告等方面。修订法案于2022年9月1日生效,但是有关跨境数据传输的部分条款推迟到2023年3月1日生效。
本次修订新增了个人数据跨境转移的前置通报程序。从2023年3月1日起,运营者除了要根据《个人数据保护法》第22条规定向俄罗斯联邦通信、信息技术和大众传媒监督局(RKN)履行个人数据处理通报义务,还必须在开始跨境数据传输前另外通报并提交材料,RKN评估是否需要提供补充信息。为了确认通报内容的正确性,RKN可能要求发送方提供其此前从数据接收方处获得的相关信息:
-
数据接收方对所传输数据采取的保护措施及停止处理前述数据的条件;
-
如果该国未被列入提供充分性保护国家名单,则需提供对方国家关于个人数据的法律规定;
-
数据接收方的相关信息(姓名、联系电话、通信地址和电子邮件)
如果接到要求,发送方应在收到要求后的10个工作日内提供,如有正当理由可最多延长至15个工作日。
如果接收方国家在RKN制定的提供充分性保护国家名单内,则在通报后即可跨境传输。此后,如果RKN审查通报内容后,为保护公民道德、健康、权利和合法利益或者根据《俄罗斯联邦个人数据法》第12条第12款以保护俄罗斯联邦宪法基础、国防安全、经济利益等目的,做出禁止或限制个人数据跨境传输的决定,发送方应按要求停止或限制跨境转移。
如果接收方国家不属于获得充分性认定的国家,发送方应等待RKN审议其通报内容,除非个人数据的跨境转移是为了保护数据主体或其他人的生命、健康或其他涉及生命的重要利益所必需。等待时间为RKN收到通报后的10个工作日。
需注意,跨境传输相关条款并不影响第242号联邦法律在《俄罗斯联邦个人数据法》中增补的条款规定,运营者应对俄罗斯联邦公民的个人数据进行本地化处理,以及向RKN报告俄罗斯境内的数据库地址的义务。
根据沙特阿拉伯官网,2021年9月17日第M/19号皇家法令,批准了2021年9月14日的第98号决议,即《个人数据保护法》(PDPL),该决议于2021年9月24日在官方公报上公布。根据PDPL第43条,PDPL于2022年3月23日(公布之日起180天后)生效,但之后因为种种原因,沙特阿拉伯数据和人工智能管理局(SDAIA)决定将生效日期推迟至2023年3月17日。另外,2023年7月11日SDAIA启动了两项公众意见征询,分别是2023年3月21日修订的《个人数据保护法实施条例(草案)》(PDPL实施条例草案)和《王国地理边界以外的个人数据传输条例(草案)》(《个人数据跨境传输条例(草案)》)。
PDPL要求透明度原则,数据控制者应通过隐私政策实现透明度,规定收集个人信息的目的、类别、方式,存储、处理、销毁方法以及数据主体权利和如何行使这些权利等方面。在收集个人数据之前需让数据主体查看该隐私政策。数据主体应有知情权、访问权、数据可移植权、更正权、拒绝处理、撤回同意以及有权向主管部门提出任何违反PDPL和行政法规的投诉。PDPL实施条例草案补充并进一步明确了PDPL的各项规定。
现行PDPL严格限制个人数据转移至境外,《个人数据跨境传输条例(草案)》规定了在第三国缺乏恰当个人数据保护水平情形下的数据传输规则。依据《个人数据跨境传输条例(草案)》,数据控制者首先应确定该第三国(或其特定部门)或国际组织的相关规定不会对数据主体的隐私保护或其行使相关权利产生负面影响。同时,数据控制者应当采取相应的保障措施,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则。
全球立法不断纵深推进,企业如果有出海需求,除了要提高自身数据安全能力,更需要把握各个国家不同的数据保护发展和趋势,满足国内外合规要求。
致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全
以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作
以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长
App合规实践3000问之三
原文始发于微信公众号(陌陌安全):APP合规实践3000问之五
