2019年1月29日
单击以获取PDF
每年,为了纪念“数据隐私日”,这是一个国际性的活动,旨在提高人们的意识并促进隐私和数据保护最佳实践,我们举办了吉布森·邓恩的第七届年度活动网络安全和数据隐私展望与回顾除了这份以美国为重点的报告外,我们今年还提供了这份《国际展望与评论》。
与近几年一样,2018年欧盟(“EU”)数据保护和网络安全格局的发展也取得了重大进展:
- 在2016年通过并实施了关于个人数据收集、处理和传输的一般数据保护条例(“GDPR”)之后,[1]欧盟的主要隐私机构以欧洲数据保护委员会(“EDPB”)的形式上任。EDPB及其前身第29条工作组(“WP29”)在2018年全年发布了一系列关于GDPR解释和应用的指导文件。
- 此外,自GDPR于2018年5月25日生效以来,一些欧盟成员国继续调整其国家法律框架,并开始实施这些法律和GDPR。
- 代表欧盟成员国政府和行政部门的欧盟理事会就通过欧盟关于私人生活和电子通信中个人数据保护的法规进行了内部讨论,旨在废除当前适用的法律框架(“电子隐私条例”)。
- 欧盟成员国继续努力转换和应用关于网络和信息系统安全的欧盟指令(“NIS指令”)。
- 欧盟机构以及欧盟监管机构和法院就国际数据传输的不同框架(例如,欧盟-美国隐私保护协议、欧盟委员会的标准合同条款)提出了若干反对意见。
除欧盟外,在全球其他司法管辖区,包括欧洲其他地方司法管辖区、亚太地区、加拿大和拉丁美洲,也引入了一些不同的法案,并通过了法律。
我们在今年的《国际网络安全和数据隐私展望与评论》中涵盖了这些主题以及更多内容。虽然我们并不试图解决2018年发生的每一个发展,但本次审查侧重于影响公司在不断发展的网络安全和隐私领域中的一些最重要发展。
__________________________
目录
一、欧盟
A.欧盟GDPR:主要要素、实施和应用
1.GDPR
2.GDPR的主要要素
3.前WP29和当前EDPB采用的指南
4.实施和应用GDPR的国家数据保护计划
5.GDPR案件、调查和执行
a) 数据泄露和调查
b) GDPR调查
B.国际转让:充分性声明和挑战
1.充分性声明
a) 日本
b) 韩国
2.数据传输系统面临的挑战
a) 对标准合同条款的挑战
b) 欧美隐私保护面临的挑战
C.欧盟网络安全指令
1.欧盟网络安全指令的采纳和实施
2.ENISA发布的文件和指南
D.欧盟的其他发展
1.电子隐私指令的改革——欧盟电子隐私条例草案
a) 欧盟委员会电子隐私监管提案
b) WP29对欧盟委员会提案的意见
c) 欧洲议会的修正提案
d) 欧盟理事会的提案
2.欧盟法院判例法
a) 社会网络背景下适用法律及相关数据控制者的确定
b) 索赔转让
二、。其他欧洲管辖区的发展:瑞士、土耳其和俄罗斯
A.俄罗斯
B.瑞士
C.土耳其
D.乌克兰
三、 亚太地区的发展
A.中国
B.新加坡
C.印度
四、 加拿大和拉丁美洲的发展
A.巴西
B.加拿大
C.其他管辖区:阿根廷、智利、哥伦比亚、墨西哥、巴拿马和乌拉圭
__________________________
一、欧盟
答:欧盟GDPR:主要要素、实施和应用
1. 通用数据保护条例
2018年5月25日,经过两年的“宽限期”后,GDPR成为欧盟保护个人数据和隐私的主要立法法案。GDPR取代欧盟数据保护指令[2]并构成一套数据保护规则,直接适用于欧盟成员国之间的个人数据处理。
2. GDPR的主要要素
如中所述2018年国际展望与回顾GDPR在欧盟数据保护制度的各个方面都发生了重大变化,修改了有关数据保护法律合规性的实质性规定,并进一步发展和整合了其应用和执行方面。GDPR的核心实质性要素包括:
- 域外范围:GDPR不仅适用于在欧盟建立的数据控制者,也适用于向位于欧盟的个人提供商品或服务或监控其行为的组织,即使这些组织不是在欧盟建立,也不使用欧盟的服务器处理数据。[3]2018年11月23日,EDPB发布了GDPR领土范围指南草案,并进行了公众咨询。[4]
- 透明度原则:根据GDPR,透明度是适用于三个中心领域的一般要求:(i)向数据主体提供信息;(ii)数据控制者与数据主体就其在GDPR下的权利进行沟通的方式;以及(iii)数据控制者如何允许和促进数据主体行使其权利。2018年4月,WP29发布了《透明度指南》,强调了向数据主体提供清晰、完整的信息、普通数据主体可以理解并分层提供的重要性。[5]
- 数据主体的同意:GDPR通过进一步澄清和规范获取和证明有效同意的要求,强调了数据主体同意的概念。2018年4月,WP29通过了专门针对同意概念的指南,并重点关注GDPR在这方面产生的变化。[6]在这些指南中,WP29强调了获得同意的重要性自由地,并质疑“同意”作为数据处理的法律依据的相关性,在这种情况下,消费者实际上有义务提供他们的个人数据,例如,参与和接受服务。
- 被遗忘的权利:GDPR进一步发展了“被遗忘的权利”(正式称为“擦除权”),根据这一权利,当个人不再希望自己的数据被公司处理,并且没有合法理由保留数据时,必须删除个人数据。[7]这项权利已被纳入《欧盟数据保护指令》,并于年成为欧盟法院(“CJEU”)的诉讼对象谷歌西班牙SL和谷歌公司诉。 AEPD和Mario Costeja González.[8]
除其他外,GDPR澄清说,这项权利不是绝对的,将始终服从公众的合法利益,包括言论自由以及历史和科学研究。GDPR还要求收到删除请求的控制者通知其他控制者该请求,以便删除所涉及个人数据的任何链接或副本。GDPR的这一部分可能会给受影响的公司带来巨大的负担,因为创建选择性数据销毁程序通常会导致巨大的成本。
- 数据泄露通知义务:GDPR要求数据控制员向主管监管机构(也称为数据保护机构(“DPA”))发出严重安全违规通知,不得无故拖延,在任何情况下,均应在意识到任何此类违规行为后72小时内发出。WP29发布了指南,以解释GDPR的强制性违约通知和通信要求,以及数据控制者和数据处理者为履行这些新义务可以采取的一些步骤。[9]
- 分析活动:GDPR专门针对分析和其他自动化个人决策的使用。2018年2月,WP29发布了《指南》,澄清了GDPR中关于分析的规定,特别是通过更详细地定义什么是分析。[10] .
- 数据保护影响评估(“DPIA”):如果处理活动被认为可能会给数据主体的权利和自由带来高风险,GDPR要求数据控制人在预期处理之前对其对个人数据保护的影响进行评估。[11]然而,GDPR没有详细说明需要考虑的具体标准,以确定任何给定的处理活动是否代表“高风险”。相反,GDPR只提供了一个在此范围内的示例的完整列表。同样,GDPR中没有详细说明执行DPIA的过程。考虑到在这方面需要更多信息,WP29于2017年10月发布了指南,旨在阐明哪些加工操作必须遵守DPIA,以及如何执行这些操作。[12]
- 隐私友好技术和实践:“设计隐私”是指从一开始就构思产品或服务,以确保个人数据具有一定程度的隐私。“默认隐私”是指产品或服务的默认设置应有助于确保个人数据的隐私。GDPR将设计隐私和默认隐私作为基本原则。因此,企业应仅在其预期目的所需的范围内处理个人数据,并且不应将其存储超过这些目的所需时间。这些原则要求数据控制员从产品开发过程一开始就为其产品和服务设计数据保护保护措施。
- 数据可移植性:GDPR确立了数据可移植性的权利,旨在使个人更容易将个人数据从一个服务提供商转移到另一个服务提供商。
根据WP29,作为一项良好实践,公司应开发有助于回答数据可移植性请求的方法,例如下载工具和应用程序编程接口。公司应保证以结构化、常用和机器可读的格式传输个人数据,并鼓励公司确保在执行数据可移植性请求时提供的数据格式的互操作性。2017年4月,WP29发布了关于数据可移植性权利的指南,为解释和实施GDPR引入的数据可移植权提供了指导。[13]
- 主管监管机构:到目前为止,对欧盟数据保护规则应用的监督几乎完全落在了国家数据保护局身上。随着GDPR的采用,建立了一套复杂的规则来管理规则对具有跨境处理实践的数据控制器的适用性。
- 弗斯特,如果案件仅涉及在成员国建立数据控制者或处理者,或仅对成员国居民产生重大影响,则成员国的DPA有权处理该案件。[14]
- 第二在涉及跨境数据处理的其他情况下,欧盟内控制者或处理者主要机构的DPA将具有管辖权领导用于此控制器或处理器的跨境处理的DPA。[15]第61条和第62条分别规定了相互协助和联合行动机制,以确保遵守GDPR。此外,牵头政治事务局将需要遵循第60条规定的与其他“相关”政治事务局的合作机制。最终,如果各DPA对具体调查结果存在分歧,EDPB(所有欧盟DPA和欧盟委员会的代表)将拥有决策权。[16]
- 第三GDPR建立了紧急程序,任何DPA都可以使用该程序在紧急情况下采取有关数据处理的时限措施。这些措施仅适用于DPA自己的领土,等待EDPB的最终决定。[17]
- 2017年,WP29发布了指南,旨在帮助控制者和处理者识别其主要DPA。[18]
- 治理:在某些情况下,数据控制者和处理者可能需要指定一名数据保护官(“DPO”)。只要数据处理不是中小企业的核心业务活动,就可以免除其任命DPO的义务。2017年4月,WP29发布了指南,明确了指定DPO的条件、位置和任务,以确保符合GDPR。[19]
这些要求将得到更严格的违规罚款制度的补充。DPA将能够对不遵守欧盟规则的公司处以2000万欧元以下的罚款,或高达其全球年营业额的4%,以较高者为准。
3前WP29和当前EDPB采用的指南
如上所述,根据现已废除的《欧盟数据保护指令》(WP29),主要的欧盟数据保护机构已被当前的EDPB取代,EDPB于2018年5月25日就职。
从5月25日起,WP29和EDPB均接受公众咨询,并通过了GDPR某些关键条款和方面的解释和应用指南。这些指南包括以下内容,其中一些已在上文第I.A.2小节中讨论过:[20]
4. 实施和应用GDPR的国家数据保护举措
由于《全球数据保护条例》是一项法规,欧盟成员国无需改变其规定,以使其在本国法律体系中适用。然而,一些成员国还是根据GDPR调整了其关于数据保护的法律框架。
GDPR包含允许成员国灵活实施此类调整的规定。例如,《GDPR》第8条规定了处理16岁以下儿童个人数据的具体规则。然而,成员国可以通过法律规定年龄较低的儿童,前提是年龄不低于13岁。GDPR第88条还使成员国能够制定更具体的规则,以确保在就业背景下处理雇员个人数据方面的权利和自由得到保护。
以下是2018年整个欧盟实施的国家数据保护改革概览:
成员国
|
采用的国家数据保护法
|
奥地利
|
联邦个人数据处理个人保护法(《数据保护法》,BGBI.I第165/1999号),1999年8月17日。 |
比利时
|
– 关于设立数据保护局的法律2017年12月3日(“机构法”)。
– 关于在处理个人数据方面保护自然人的法律2018年7月30日(“实体法”)。
-2018年7月30日颁布的引入集体补救行动的经济事务法(“集体补救法”)。
–2018年3月21日关于安装和使用摄像机的法律(“摄像机法”)[修改2017年3月31日的法律]。
–2018年9月5日关于成立信息安全委员会的法律(“信息安全法”)。 |
保加利亚
|
2018年4月30日,引入了一项法律草案,以供公众咨询,修订和补充2002年1月4日的《个人数据保护法》。公众咨询于2018年5月30日结束,法律草案已提交议会,有待进一步修订。 |
克罗地亚
|
《通用数据保护条例实施法》2018年4月27日。 |
塞浦路斯
|
保护自然人免受个人数据处理和自由移动的法律,第125(I)/2018号法律。 |
捷克共和国
|
新草案数据保护法案(“DPA”),旨在使现行国家法律框架适应GDPR。《民主行动纲领》正在立法过程中,目前正在众议院(捷克议会下院)进行二读。预计DPA将取代当前的数据保护法案。 |
丹麦
|
丹麦数据保护法2018年5月17日。 |
爱沙尼亚
|
– 个人数据保护法案(“PDPA”),2018年12月12日。
–《个人数据保护实施法案》。 |
芬兰
|
《芬兰数据保护法》,于2018年1月1日生效。将对《工作生活法》进行一些小的修改(旨在促进对隐私的保护和其他维护工作生活中隐私的权利),2018年7月已就这些修改提出了政府提案。修正案尚未通过,但目标是修正后的法案应尽快生效。 |
法国
|
–2018年12月12日第2018-1125号法令
– 关于个人数据保护的第2018-493号法律2018年6月20日。
– 第2018-687号法令2018年8月1日。 |
德国
|
德国联邦数据保护协会t、 2017年7月5日。 |
希腊
|
希腊尚未颁布实施GDPR的国家法律。2018年3月5日,完成了关于新法律的公众咨询;然而,该草案尚未提交希腊议会。 |
匈牙利
|
2011年关于信息自主权和信息自由的第CXII号法案修正案。 |
爱尔兰
|
2018年数据保护法案2018年5月24日。 |
意大利
|
–2017年11月6日第163号法律,通过了有关《通用数据保护条例》的具体规定。
– 101/2018号法令2018年8月10日。 |
拉脱维亚
|
个人数据处理法,2018年6月21日。 |
立陶宛
|
个人数据法律保护法2018年7月16日。 |
卢森堡
|
国家数据保护委员会组织法(“CNPD”),2018年8月1日。 |
马耳他
|
数据保护法案2018年5月28日(马耳他法律第586章),以及根据该法律发布的条例。 |
荷兰
|
荷兰GDPR实施法案2018年5月16日。 |
波兰
|
个人数据保护法案2018年5月24日。 |
葡萄牙
|
2018年3月26日,葡萄牙政府发布了实施GDPR和相关国家克减的法律草案(“草案”)。2018年5月3日,草案提交葡萄牙议会讨论,目前葡萄牙议会的一个特别小组正在研究该草案。适用法律仍然是10月26日关于个人数据保护的第67/98号法律(经8月24日第103/2015号法律修订)。 |
罗马尼亚
|
第190/2018号法律适用GDPR的措施。
|
斯洛伐克
|
–第18/2018号法案。斯洛伐克议会于2017年11月29日通过了实施GDPR的《个人数据保护》。该法案于2018年1月30日发表在《法律汇编》上,并于2018年5月25日生效。
–个人数据保护办公室第158/2018 Coll.号法令。数据保护影响评估程序。 |
斯洛文尼亚
|
新的斯洛文尼亚数据保护法(“ZVOP-2”)目前正在立法过程中,它将废除当前的数据保护法。
|
西班牙
|
关于个人数据保护和数字权利保障的第3/2018号组织法2018年12月5日。
|
瑞典
|
数据保护法案(2018:218)及其补充条款(2018:19),2018年4月19日。
|
大不列颠联合王国
|
2018年数据保护法案2018年5月23日。
|
5. GDPR案件、调查和执行
2018年期间,欧盟数据保护机构继续对违反GDPR之前法律制度(即根据欧盟数据保护指令)的公司和组织采取执法行动。此外,在《全球数据保护条例》适用后不久,各成员国根据《全球数据管理条例》调整了其关于数据保护的法律框架,就开始对数据泄露和潜在违反全球数据保护规则的行为进行调查。最重要的案例如下。
a)数据泄露和调查
在英国信息专员办公室(“ICO”)一直积极调查未经授权或非法访问或丢失个人数据的情况。
2017年初观察员该报声称,一家数据分析服务公司为脱欧党工作。欧盟公投期间的欧盟竞选活动,提供支持选民微观目标定位的数据服务。2017年3月,ICO宣布将开始审查政治过程中使用数据分析所产生的潜在风险的证据。在对现有证据进行审查后,国际奥委会于2017年5月宣布,将对政治竞选中使用数据分析展开更广泛的正式调查,以确定公投期间双方竞选活动是否有任何个人数据滥用和数据保护法违规行为。除了此数据分析组织与离开之间的潜在联系之外。引发调查的欧盟,ICO随后发现了涉及30个组织的进一步调查。
根据官方调查更新,调查同时考虑了监管和刑事问题,即未能正确遵守数据保护原则、未能正确遵守隐私和电子通信法规以及1998年《数据保护法》规定的潜在违法行为。[21]
到目前为止,尽管调查仍在进行中,但国际奥委会已对其中一个涉及数据收集、处理和存储方面缺乏透明度和安全问题的组织处以50万英镑的罚款,违反了1998年《数据保护法》规定的第一条和第七条数据保护原则。[22]
2018年11月,ICO还宣布,在发现数据泄露后,正在调查一家国际酒店管理公司。据公共消息来源称,在对国际酒店管理公司母公司的网络攻击中,包括信用卡详细信息、护照号码和多达3亿人的出生日期在内的个人数据被窃取。[25]
在法国法国国家数据保护委员会(“CNIL”)因未能保护其网站安全而对“光学中心”公司罚款250000欧元。通过其网站,可以访问数百张客户发票,其中包含健康数据,有时还包含相关数据主体的社会保险号。这起案件是CNIL在GDPR生效之前宣布的最高制裁之一,说明了CNIL处理数据保护和数据泄露违规行为的严重性。
在应用GDPR之前的另一件事中匈牙利匈牙利监管机构对匈牙利山达基教会严重违反当地《数据保护法》的行为处以高达2000万匈牙利福林的罚款(约62000欧元,这是实施欧盟数据保护指令的匈牙利法案规定的最高罚款)。
b)GDPR调查
除上述案件外,根据2018年5月25日后发生的事实并提请监管机构注意,GDPR调查也在大多数成员国激增。
2018年5月25日和28日法国CNIL收到了来自协会None Of Your Business和La Quartature du Net的团体投诉。在这些投诉中,协会投诉谷歌有限责任公司没有有效的法律依据来处理其服务用户的个人数据,特别是为了定制和交付目标广告。经过一段调查期后,根据进行的在线检查,CNIL表示,在这种情况下,发生了两类违反GDPR的行为,即违反透明度和信息义务;以及违反了为定制和交付目标广告提供法律依据的义务。基于这些理由,CNIL于2019年1月21日向谷歌有限责任公司处以5000万欧元的罚款。[26]
特别是,CNIL认为谷歌用户无法完全理解谷歌有限责任公司进行的处理操作的范围,这些处理操作的目的描述过于笼统和模糊。同样,所传达的信息被认为不够清晰,用户可以理解,广告定位处理操作的法律依据是同意,而不是公司的合法利益。最后,CNIL注意到,没有为某些类别的数据提供有关数据保留期的信息。[27]
在爱尔兰爱尔兰隐私当局目前正在调查一家在线新闻和社交网络服务公司,该公司拒绝向用户提供有关其在用户点击该服务上发布的链接时如何跟踪用户的信息。该公司拒绝透露用户点击他人链接时记录的数据,声称提供这些信息将花费不成比例的精力。2018年12月,爱尔兰数据保护委员会(Irish Data Protection Commission)在收到该公司自引入GDPR以来发出的多份违规通知后,对该公司遵守GDPR相关规定的情况进行了法定调查。[28]
B国际转移:充分性声明和挑战
1. 充分性声明
根据前欧盟数据保护指令和当前GDPR,一般禁止在欧盟以外传输个人数据,除非:,除其他外, 欧盟委员会正式得出结论,数据目的地国的立法充分保护了数据。迄今为止,欧盟委员会只承认以下国家对个人数据提供充分保护:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于欧盟-美国隐私保护框架)。[29]
2018年期间,针对日本和韩国这两个主要亚洲经济体进行了充分性谈判。
a)日本
就日本而言,在过去几年中,与欧盟就发现对等充分性进行了谈判,并于2018年7月17日结束。谈判结束后,欧盟和日本均同意承认彼此的个人数据保护制度是充分的,从而实现欧盟和日本之间个人数据的安全传输。这种安排是为了补充欧盟-日本经济伙伴关系协议,[30]使欧洲和日本公司能够从自由数据流以及约6.5亿欧洲和日本消费者的特权访问中受益。
2018年9月5日,欧盟委员会正式启动了日本数据保护制度充分性调查程序。[31]在发布涵盖向日本传输个人数据的充分性决定草案时,欧盟委员会强调了日本为改善对欧盟个人数据的保护所作的以下承诺:
- 日本承诺采用一套规则,为个人数据被转移到日本的欧盟个人提供额外的保障,以弥合两个管辖区数据保护系统之间的若干差异。这些额外的保障措施将加强敏感数据的保护、欧盟数据可以从日本进一步传输到另一个第三国的条件以及个人访问和更正权利的行使。这些规则将对从欧盟进口数据的日本公司具有约束力,并将由日本独立数据保护机构和日本法院强制执行。
- 日本政府还向欧盟保证,日本公共当局出于刑事执法和国家安全目的的访问保障措施,确保个人数据的任何使用都将限制在必要和适当的范围内,并接受独立监督和有效的补救机制。
- 日本承诺实施投诉处理机制,调查并解决欧洲人关于日本公共当局获取其数据的投诉。这一新机制将由日本独立数据保护机构管理和监督。
2018年12月5日,EDPB就欧盟委员会针对日本制定的充分性决定草案发表了意见。[32]尽管EDPB赞扬了欧盟委员会为与日本政府达成谅解所做的努力,但仍有一些悬而未决的问题被认为对确定日本数据保护制度的充分性至关重要。特别是:
- EDPB表示,新的充分性架构监控系统将现有日本法律框架与适用于欧盟个人数据的具体补充规则相结合,将对确保日本实体的合规性和个人信息保护委员会(“PPC”)的执法提出某些挑战。
- EDPB对将欧盟数据从日本转移到第三国的可能性提出了一些担忧,这些国家只需接受日本的充分性决定,而不需要接受欧盟委员会的充分性决策。
- EDPB还对数据控制者的同意和透明度义务表示了一些担忧。与欧盟数据保护法相反,使用同意作为个人数据处理和传输的基础在日本法律体系中具有核心作用。欧盟和日本法律中对同意的定义存在一些不一致之处,例如存在“自由”同意或引入撤回同意的权利,可能会被解释为对数据主体真正控制其个人数据的能力产生怀疑。
- EDPB就日本数据保护机构针对欧盟数据主体的“帮助热线”的可用性和可访问性提出了一些问题。某些重要文件仅在官方网站的日语版本中可用,如果有的话,这将对欧盟数据主体依赖日本数据保护法规提出挑战。
除了EDPB发布的意见外,充分性决定草案还将遵循以下程序:
- 由会员国代表组成的委员会的协商(漫画学程序);
- 欧洲议会公民自由、司法和内政委员会最新情况;
- 委员会通过适当性决定。
b)韩国
2018年期间,欧盟和韩国当局进行了谈判,以期通过一项充分性决定。尽管谈判迄今为止仍是保密的,但据报道,欧盟当局的主要关切与韩国数据保护机构的独立性和权力有关。[33]虽然2011年的《个人信息保护法》设立了一个个人信息保护委员会,但该机构缺乏执法权,其独立性受到质疑。韩国国土安全部负责执行《个人信息保护法》。
2018年11月15日,向韩国国民议会提交了《个人信息保护法》的一些修正案,以授予个人信息保护委员会执行权力和职能。
2. 数据传输系统面临的挑战
a)对标准合同条款的挑战
如2018年国际展望与回顾2017年10月3日,爱尔兰高等法院将标准合同条款决定的有效性问题提交欧盟法院进行初步裁定。[34]欧盟的诉讼仍在进行中,预计将在2019年或2020年作出裁决。
如果欧盟法院决定使标准合同条款无效,这一裁决很可能会对世界各地的企业产生巨大影响,其中许多企业依赖这些法律保障来确保对欧盟以外的数据传输提供足够的数据保护。
b)欧美隐私保护面临的挑战
2016年7月12日,欧盟委员会正式批准了“欧盟-美国隐私保护”,这是一个用于导航从欧盟向美国跨大西洋数据传输的框架。隐私保护取代了欧盟-美国安全港框架,该框架于2015年10月6日被欧盟法院宣布无效Maximilian Schrems诉数据保护专员.[35]我们对隐私保护进行了深入解释,并在2018年国际展望与回顾.
自2016年采用隐私保护计划以来,约4000家公司遵守了隐私保护框架,做出了法律上可强制执行的承诺,以遵守隐私保护规则和原则。然而,隐私保护的成功并没有使其免受来自欧洲各地政治家、DPA和个人的某些挑战。
2016年9月16日,爱尔兰数字权利有限公司(Digital Rights Ireland Ltd.),一家成功废除其他欧盟个人数据立法的组织,[36]针对欧盟委员会批准欧盟-美国隐私保护的决定提起诉讼。2017年11月22日,欧盟法院宣布该诉讼不可受理,从而为依赖该框架向美国传输个人数据的公司提供了一些救济。
尽管如此,2018年7月5日,欧洲议会投票通过了一项非约束性决议,建议暂停欧盟-美国隐私保护协议,除非美国政府采取了某些纠正措施,包括:将隐私保护协议与GDPR完全一致,并使隐私保护完全符合WP29于2017年11月28日发布的建议。[37]
2018年10月,欧盟专员Věra Jourová、商务部长Wilbur Ross以及欧盟和美国各自政府和当局的成员举行了第二次隐私保护年度审查会议。[38]在这些会议期间,两个管辖区的政府讨论了隐私和公民自由监督委员会和隐私保护监察员机制的提名和运作,这是保障隐私保护申请和实施的重要因素。
最后,值得注意的是,尽管爱尔兰高等法院提交给欧盟法院的案件主要涉及标准合同条款,但法院提出的一些问题涉及隐私保护的采用及其在标准合同条款总体评估中的影响。
C、欧盟网络安全指令
1. 欧盟网络安全指令的采纳和实施
在欧盟,针对影响基本服务和数字服务提供商的事件的网络安全立法主要由NIS指令涵盖[39]2016年7月6日通过。
正如在2018年国际展望与回顾NIS指令是欧盟层面上采用的第一套网络安全规则,增加了公司在实施安全和违规响应流程时必须遵守的一系列复杂法律。它旨在制定最低水平的网络安全标准,并在网络安全漏洞日益严重之际简化欧盟成员国之间的合作。
NIS指令不直接适用于当局和法院,并规定了成员国在2018年5月前将其纳入国家法律的最后期限。因此,在过去一年中,成员国努力通过必要的法规,并授权适当的当局进行调整,应用并执行NIS指令。
NIS指令的最终文本规定了(i)的单独网络安全义务基本服务 和(ii)数字服务提供商:
- 基本服务提供商包括能源、运输、银行和金融市场以及卫生、水和数字基础设施的参与者[40]部门。
- 数字服务提供商 将包括 在线市场、搜索引擎和云服务(员工少于50人的公司除外),但不社交网络、应用商店或支付服务提供商。
NIS指令的明确目标是协调适用于整个欧盟网络和信息系统安全级别的欧盟成员国规则。然而,鉴于NIS指令所涵盖的某些服务的战略特征,它赋予成员国一些权力和自由裁量权。例如,NIS指令要求每个欧盟成员国就网络和信息系统安全采取国家战略,确定目标、政策和措施,以实现NIS指令的目标。[41]因此,尽管成员国有能力寻求欧洲联盟网络和信息安全机构(“ENISA”)的援助,但战略的制定仍将是国家的权限。此外,就基本服务运营商值得关注的是,欧盟成员国将确定受NIS指令约束的相关运营商,并可能对其施加比NIS指令中规定的更严格的要求(尤其是涉及影响国家安全的事项)。[42]
相反,会员国应不识别数字服务提供商(因为NIS指令适用于其范围内的所有数字服务提供商),原则上,不得对此类实体施加任何进一步的义务。[43]欧盟委员会有权通过适用于数字服务提供商的安全和通知要求规则的实施规则。[44]预计这些规则将与ENISA和利益相关者合作制定,并将使整个欧盟的数字服务提供商得到统一对待。此外,只有当有证据表明数字服务提供商未遵守NIS指令规定的义务时,主管当局才能进行监督活动。
当局之间协调的另一个工具将是设想的”合作集团”,类似于目前根据1995年数据隐私指令运行的WP29。合作小组将汇集所有欧盟成员国的监管机构,这些监管机构具有不同的法律文化,对信息技术和安全事务(例如影响国家安全)采取不同的做法。因此,预计欧盟委员会将在合作小组成员之间建立信任和共识方面发挥积极作用,以便为企业提供有意义和明确的指导。
2. ENISA发布的文件和指南
在2018年期间,ENISA特别积极地发布指导意见,并评估欧盟当局、利益相关者和系统应对网络攻击的响应能力。特别是:
- ENISA发布了一些指导文件,旨在帮助私人各方评估在应用欧盟文书(如NIS指令)时采取的安全措施[45]以及《开放互联网条例》。[46]
- 随着消费品和服务越来越多地依赖云服务和物联网的使用趋势,ENISA发布了一些指导文件,为公司提供了这方面潜在风险和补救措施的概述。这包括2018年11月的“智能制造背景下物联网安全的良好实践”,[47]或2018年9月的工作文件“实现云和物联网的安全融合”。[48]
- 2018年6月6日至7日,ENISA举办了“2018年网络欧洲”(Cyber Europe 2018)年度演习,模拟了大量网络安全事件引发的激烈现实危机。在演习期间,发现欧盟成员国的合作在技术层面有所改进,效率也很高。然而,ENISA还指出,私营部门必须优先投资IT安全,尤其是基本服务运营商。[49]
D欧盟其他发展
1. 电子隐私指令的改革——欧盟电子隐私条例草案
正如在2018年国际展望与回顾2016年,欧盟启动了一系列主要的电子隐私规则改革程序,即电子隐私指令。在这种情况下,继欧盟委员会举行的公众咨询之后,2017年1月10日发布了未来欧盟电子隐私条例的第一项提案(“电子隐私条例草案”)。[50]2017年,电子隐私条例草案接受了WP29的意见(2017年4月4日)[51]以及欧洲议会发布的修订版(2017年10月20日)。[52]
自那时以来,2018年期间,欧盟理事会一直在进行内部讨论,并于2018年7月10日和10月19日发布了两份电子隐私条例草案的最终版本。由于取得了进展,预计2019年将通过电子隐私条例。
a)欧盟委员会电子隐私监管提案
2017年1月发布的委员会电子隐私监管提案旨在根据利益相关者和WP29的反馈意见调整电子隐私制度的改革。总之,欧洲委员会制定的电子隐私条例草案构成了一项更全面的立法,旨在解决和解决在应用电子隐私指令过程中发现的某些未决问题:
- 法规与指令:欧盟委员会提议用法规取代电子隐私指令,这意味着其条款原则上将直接适用于所有欧盟成员国,不需要在国家层面进行转换(例如,通过不同成员国议会通过法律)。该决定与GDPR采用的方法一致。尽管成员国仍有一定的自由来偏离电子隐私条例(尤其是在国家安全领域),但选择采用条例将增加所有欧盟成员国对电子隐私条例的同质适用。
- 与GDPR保持一致:欧盟委员会电子隐私条例草案中的一些规定表明与GDPR一致。例如,与GDPR一样,电子隐私条例草案具有广泛的地域范围,适用于从欧盟以外向欧盟居民提供电子通信服务(例如语音电话、短信服务)。
如下文所述,电子隐私条例草案还旨在从执法角度缩小与GDPR的差距,授权DPA在GDPR规定的条件下监督电子隐私条例草稿中隐私相关条款的应用。
从实质性角度来看,GDPR和电子隐私条例草案中使用的一些法律概念的定义也一致(例如,“同意”的条件,“确保与风险相适应的安全水平的适当技术和组织措施”)。
- 包括OTT服务提供商:针对利益相关者的反馈,电子隐私条例草案指出,新条例将适用于互联网服务提供商(称为“over-the-top”或“OTT”服务提供商),例如即时消息服务,视频通话服务提供商和其他人际通信服务提供商。[53]
- Cookie和其他连接数据:与《电子隐私指令》一样,《电子隐私条例》草案也包含了一项条款,规定了在用户设备上存储和收集数据是合法的情况。这些做法可能仍基于用户的事先同意。在没有用户同意的情况下,根据电子隐私条例草案,仍然可以实施这些做法,但前提是:[54]
- 它们的目的是通过电子通信网络进行(而不是促进)通信传输;或
- 它们是必要的(尽管不是严格地必要)用于提供:(i)最终用户要求的服务;或(ii)第一方网络受众测量。
《电子隐私条例》草案的引言表明,与现行《电子隐私指令》相比,不需要同意的情况可以得到更广泛的解释。[55]
相比之下,《电子隐私条例》包含了一套似乎更加严格的新规则,适用于“收集终端设备发出的信息,使其能够连接到其他设备和/或网络设备”。
- 监管机构和EDPB:《电子隐私条例》草案引入的一个新颖之处是有一节专门介绍国家监督机构的任命和权力。[56]相关规定明确,负责监督《通用数据保护条例》应用的DPA还应负责监督《电子隐私条例》草案中与电子通信隐私有关的条款的应用,GDPR中预见的DPA的合作和行动权也适用于电子隐私条例草案。
b)WP29对欧盟委员会提案的意见
在欧盟委员会的提案发布后,WP29于2017年4月就拟议的电子隐私条例草案发表了意见。[57]虽然WP29欢迎该提案以及选择一项法规作为监管工具,但它强调了四点“严重关切”,即如果通过,将“降低GDPR下的保护水平”,并就此提出了建议:
- 有关终端设备位置跟踪的规则,例如WiFi跟踪,与GDPR的规则不一致。WP29建议欧盟委员会“推广移动设备的技术标准,以自动发出反对此类跟踪的信号”。
- 分析内容和元数据的条件应受到限制:所有最终用户(发送方和接收方)的同意应是原则,“纯粹出于个人目的”的例外情况有限。
- 除非访问者同意第三方跟踪(称为“跟踪墙”),否则一些网站使用的障碍完全阻止访问该服务,应明确禁止个人在仍然能够访问网站的情况下选择拒绝此类跟踪。
- 终端设备和软件默认应提供“隐私保护设置”,并允许用户调整这些设置。
WP29表示,预计其担忧将在现行立法过程中得到解决。
c)欧洲议会的修正提案
2017年10月,欧洲议会提出了欧盟委员会电子隐私条例草案的修订版本,[58]该法案对个人数据的使用和对用户隐私的尊重引入了更严格的规定。一些显著的变化包括:
- 禁止仅因为用户拒绝处理服务运行所必需的个人数据而阻止访问服务。
- 要求电子通信服务提供商确保数据的机密性,例如端到端加密和禁止后门。
- 在用户调整其cookie设置之前,浏览器默认阻止第三方cookie的要求。
- 禁止使用“cookie墙”和cookie横幅,除非用户同意所有cookie,否则禁止使用该服务。
d)欧盟理事会的提案
除了议会版本的电子隐私条例草案外,欧盟理事会还发布了一些工作提案和修正案。2018年7月10日和10月19日发布了与电子隐私条例草案相关的两份最新文件,对欧洲委员会和欧洲议会的提案进行了一些重要修改。
2018年7月10日,欧盟理事会公布了对电子隐私条例草案的一些修订,主要集中在以下要点上:[59]
- 草案提出了“电子通信元数据的进一步兼容处理”. 这项修正案建议扩大允许用于研究目的的加工范围,这将使私营部门能够进行研究和创新。欧盟理事会还呼吁将电子隐私条例草案“更经得起未来考验”,提供灵活性,使开发能够在快速变化的数字环境中进行。
- 欧盟理事会提出的其他修正案试图澄清经营者在日常业务过程中进行的加工操作的合法性。例如,第6(2)(b)条中引入的新语言阐明,允许为计算和结算互联支付而处理元数据。
- 欧盟理事会还试图澄清适用于终端用户设备数据存储和处理的规则。根据理事会的修订,从最终用户终端设备收集信息的实体,如信息社会服务提供商或广告网络提供商,有责任获得存储cookie或类似标识符的许可。然而,这些实体可以要求另一方代表其取得同意。理事会的修正案还澄清,最终用户同意存储cookie或类似标识符,也可能意味着在重新访问最终用户最初访问的同一网站域时同意随后读取cookie。
- 欧盟理事会建议删除《电子隐私条例》草案的整个第10条以及相应的说明,这些说明要求软件供应商在隐私设置更新时通知最终用户。
2018年10月19日,欧盟理事会发布了电子隐私条例草案的新修订版,其中包括除7月发布的修订版之外的进一步编辑和修订版。[60]
《电子隐私条例》草案中引入的最重要的变化之一是承认信息社会服务机构有能力在未经同意的情况下,在个人电脑上使用跟踪技术,用于通过广告部分或全部为自己融资的网站,已遵守提供信息的义务,并且用户“已接受此使用”(而不是要求完全同意)。
欧盟理事会还将新的第6(1)(c)条纳入电子隐私条例草案, 它允许在必要时处理电子通信数据,以确保终端设备的安全和保护。理事会提出的这一修改和其他类似修改旨在实现这些规定与信息社会服务所承担的安全义务之间的某种一致性,使后者能够使用需要处理终端设备中所含数据的安全工具,而无需事先征得同意。
2. CJEU判例法
2017年,欧盟法院也收到了关于欧盟数据保护指令、GDPR和电子隐私指令应用的重要案件。
a)社会网络背景下适用法律及相关数据控制者的确定
2018年6月5日,欧盟法院于Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein诉Wirtschaftsakademie Schleswig Holstein GmbH案其中明确了数据控制者的定义,并确定了国家数据保护立法的适用性,以及在涉及多个成员国设立的控制者的情况下DPA的权力。[61]
弗斯特CJEU表示,故意使用服务(如观众统计)的第三方托管网页(如社交网络托管的粉丝网页)的管理员可能被视为网页访问者流量上下文中处理数据的(共同)控制者。为此,欧盟法院承认第三方网站(如社交网络)运营商和网页(如粉丝页面)管理员在处理该页面访问者个人数据方面的共同责任,这被认为有助于确保更全面地保护访问粉丝页面的人的权利。
第二欧盟法院发现,虽然设立一个专注于广告空间销售和其他营销活动的控制方可能受其所在成员国DPA的法律和权力管辖,但此类法律和权力可能不适用于在另一成员国设立同一控制方。
年的判决Wirtschaftsakademie公司随后,欧盟总检察长米查尔·博贝克(Michal Bobek)于年发表了意见Fashion ID GmbH&Co.KG诉Verbraucherzentrale NRW e.v。它还解决了在使用工具收集和传输cookie数据(例如,社交插件)的上下文中确定谁是数据控制器的问题。总检察长发现,在其网站中嵌入第三方插件并导致收集和传输用户个人数据的实体或组织必须被视为控制器,即使其无法影响插件功能导致的数据处理操作。然而,检察长指出,控制人的共同责任应限于其有效共同决定个人数据处理方式和目的的操作。
总检察长接着指出,如果使用插件产生的cookie数据的处理是基于控制者或第三方的合法利益,则网站运营商和插件提供商的合法利益应作为联合控制者加以考虑,并且应该进行评估,平衡这些利益和数据主体的权利。最后,总检察长得出结论,数据主体的同意必须给予嵌入第三方内容的网站运营商,欧盟数据保护指令必须解释为,告知义务也适用于该网站运营商,在收集和传输数据之前,必须给出这两个参数。然而,他指出,这些义务的范围应与运营商对收集和传输个人数据的共同责任相一致。
b)索赔转让
如中所示2018年国际展望与回顾,Schrems先生在奥地利的一家法院对Facebook Ireland Limited提起了法律诉讼,该法院提出了一个问题,即是否在其他消费者分配索赔的消费者索赔人的住所建立了管辖权,从而为从世界各地收集消费者索赔开辟了可能性。
2017年11月14日,检察长Bobek就Maximilian Schrems诉Facebook爱尔兰有限公司案件在欧盟法院待决。 [62]辩护人博贝克将军认为,消费者不能在援引自己的主张的同时,援引居住在同一成员国、其他成员国或非成员国其他地方的其他消费者就同一主题提出的主张。
2018年1月25日,欧盟法院同意总检察长的意见,认为消费者不仅不能在其住所地的法院主张自己的权利主张,也不能主张居住在同一成员国、其他成员国或非成员国的其他消费者分配的权利主张。
二、。 其他欧洲管辖区的发展:瑞士、土耳其和俄罗斯
欧洲数字服务的影响越来越大,以及欧盟GDPR带来的全面改革,导致欧盟附近的某些管辖区改进了其数据保护法规。
答:俄罗斯
地方数据隐私法得到了严格执行,反映了俄罗斯数据保护局在监测和执行数据保护合规性方面的活动。
截至2017年7月1日,俄罗斯对某些侵犯隐私行为的行政制裁大幅增加。例如,数据处理操作超过数据主体提供的许可可能会导致75000卢布(约1200美元;约1000欧元)的罚款。对某些类型的侵犯隐私行为也可能进行刑事起诉和监狱制裁。俄罗斯法律规定的另一种执法行动是封锁在线资源。因此,如果在网站或应用程序中处理个人数据违反了数据保护法,则根据相应的法院判决,俄罗斯用户可能会被限制访问此类网站/应用程序。最广为人知且备受争议的封锁与LinkedIn有关,该网站自2016年以来一直被封锁,俄罗斯用户仍无法使用。这并不是唯一的例子——近年来,一些用户基数较小的其他网站被屏蔽。
过去几年,俄罗斯数据保护局一直将目标对准大型数字跨国公司。例如,2017年,Telegram因未能按照《俄罗斯数据保护法》的规定向俄罗斯联邦安全局提供访问个人数据的解码密钥而被俄罗斯法院罚款800000卢布(约14000美元;约10500欧元)。在这样做的过程中,俄罗斯法院无视Telegram的论点,因为它对即时消息服务的编码和解码过程缺乏控制。2018年10月22日,俄罗斯法院驳回了Telegram对罚款的上诉。
电报案表明,如果服务提供商使用的相关技术(只要服务与互联网通信相关)不允许国家当局访问未加密信息,这可能被视为违反俄罗斯数据保护和网络安全法律。
B瑞士
为了准备GDPR的生效,瑞士政府发布了一份新的数据保护法案草案(“FDPA草案”)[63]其目的是:
–使瑞士数据保护法现代化,并在一定程度上使其符合GDPR的要求;和,
–保持欧盟委员会授予的充分性状态,以确保个人数据在欧盟和瑞士之间自由流动。
瑞士联邦委员会于2017年9月15日发布了FDPA草案。FDPA草案将取代1992年6月19日的《联邦数据保护法》(“FADP”),具有以下特点:
- FDPA草案中个人数据的“敏感”或“特殊类别”概念涵盖了广泛的数据类别,包括“亲密领域”中的个人数据(例如恐惧、梦、治疗)、明确识别个人身份的生物特征数据(例如照片)、,行政或刑事诉讼和制裁数据,以及社会保障措施数据。[64]
- FDPA草案包含处理个人数据的基本原则清单,这些基本原则与GDPR中包含的基本原则大致相同。[65]相比之下,与GDPR相反,根据FDPA草案,个人数据的处理不需要任何法律依据(如同意),除非此类处理导致非法侵犯隐私(即,个人数据的处理不符合基本数据处理原则)。
- 与GDPR类似,根据FDPA草案,数据主体有权要求访问、更正或删除其个人数据,而不受自动决策的约束。[66]然而,与《通用数据保护条例》相反,《自由数据保护法草案》没有规定数据可移植性的权利。
- FDPA草案包含了公司在特定情况下执行DPIA的义务,这与GDPR设想的情况非常相似。[67]FDPA草案还包含一项关于设计隐私的义务,默认情况下大致等同于GDPR,[68]这迫使公司和组织制定技术和组织措施,以便数据处理符合数据保护规则。然而,FDPA草案并没有预见到对违反这些义务的任何制裁或处罚(与GDPR相反)。
- FDPA草案包括公司尽快向联邦数据保护和信息专员(“FDPIC”)报告的一般义务(可能对数据主体的隐私或基本权利造成高风险的数据泄露)。[69]如果有必要保护数据主体,或者如果FDPIC下令通知数据主体,也可能需要向数据主体发出数据泄露通知。FDPA草案没有预见到对违反通知数据泄露义务的行为进行刑事制裁,除非根据FDPIC的命令通知数据主体。拒绝遵守FDPIC的命令可能会受到最高25万瑞士法郎的刑事制裁。[70]
- 根据FDPA草案,不再由FDPIC对第三国的充分性水平提供指导。FDPA草案将充分性资格授予联邦委员会,联邦委员会将决定提供适当数据保护的国家。然而,人们可能期望联邦委员会将密切关注欧盟委员会通过的适当性决定。
- 关于当局的调查和罚款,联邦数据保护FDPIC有权主动或根据要求进行调查,可以采取调查措施,并有权发布某些行政措施。这些调查程序受行政程序法管辖,并接受联邦行政法院的审查。然而,FDPIC无权实施任何罚款或处罚。相反,违反数据保护会导致个人承担个人刑事责任,瑞士普通法院将处以高达250000瑞士法郎的罚款。
在《食品和药品管理法草案》最终颁布之前,现行的1992年6月19日《食品和药物管理法》仍然适用。最初,瑞士联邦委员会暂定于2018年8月颁布FDPA草案。然而,2018年1月,相关议会委员会要求将FDPA草案分为两部分,以便有更多的时间进行审议。
对于预计会同时受到FDPA草案和GDPR影响的公司,建议将其对个人数据的所有处理调整为GDPR规定的标准。如果FDPA草案的实施和应用导致某些义务比GDPR中包含的义务更精简,这些调整可以在数据处理活动过程中进行(例如,如果某些权利未被《食品和药品管理法草案》涵盖,并且GDPR不适用,则不适用这些权利的行使)。在FDPA草案超出GDPR的范围内,应针对受当前FDPA(分别为FDPA草案)约束的任何处理实施额外要求。
C、土耳其
2018年全年,土耳其数据保护局(“KVKK”)就与2016年第6698号《土耳其数据保护法》的应用和执行相关的一些问题发布了许多法规和指导文件。这些法规和指导性文件包括以下内容:
- 处理敏感个人数据:2018年3月7日,KVKK发布了关于处理特殊类别个人数据的决定。根据该决定,数据控制员必须预见到保护特殊类别个人数据的单独政策和程序。该决定进一步确定了适用于存储此类数据的介质、有权访问此类数据的人员以及此类数据的传输的特殊条件和要求。
- 透明度和信息义务:2018年3月10日,KVKK发布了《关于数据控制者告知义务的程序和原则的公报》,其中规定了实体和组织向数据主体提供信息时应遵循的内容和方法,例如在其隐私声明的范围内。
- 安全措施:2018年1月19日,KVKK发布了一份关于个人数据安全的指导文件,以帮助实体和组织遵守数据保护和安全义务,特别侧重于技术和行政措施。KVKK在2018年1月31日(2018/10)的决定中就此事提供了进一步的详细指导。
- 数据控制器的注册:根据2017年12月30日发布的KVKK数据控制器注册条例,未被KVKKK豁免注册的数据控制器必须在继续处理个人数据之前将其详细信息包含在KVKK-注册中。控制器可以通过将所需信息上传至KVKK注册表系统进行在线注册。KVKK还在2018年7月19日(2018/88)的决定中宣布了不同实体的宽限期。
- 电子营销批准和拒绝的登记:2018年,土耳其通过了第7061号法律,修订了某些税法和其他法律,授权海关和商务部建立一个系统,记录公司出于电子营销目的收到的批准和拒绝。这项措施之后,KVKK通过了一项决定,要求所有实体和组织停止其营销活动,除非它们被《土耳其数据保护法》规定的例外情况之一所涵盖或得到同意。
- 数据主体请求:2018年3月10日,KVKK还发布了《数据控制者应用程序和原则公报》,其中规定了数据主体针对数据控制者行使其权利的程序以及数据控制者对此类请求的义务。
D乌克兰
在乌克兰,2018年10月23日,议会人权专员发布了一项法律草案,旨在使《个人数据法》与《通用数据保护条例》保持一致。该法律草案于2018年10月30日进一步更新,在部长内阁向乌克兰议会提交最终文件之前,该法律草案可能会进行进一步修订。目前,该法律草案包含以下主要修正案:
- 草案规定了实体处理个人数据的法律依据,包括同意、履行数据主体为当事方的合同以及履行法律义务。
- 该法律草案借鉴了GDPR的一些原则和定义,包括个人数据、数据处理、特征分析和假名的概念。
- 与GDPR一样,该法律草案还规定了数据主体的权利、DPO的任命、数据泄露通知以及向第三国和组织传输个人数据等方面。
除数据保护法草案外,《乌克兰网络安全基本原则法》于2018年5月9日生效。《网络安全法》主要适用于“关键基础设施”,并为实施该法所采取的一些措施制定了监管框架。
三、亚太地区的发展
在一个联系日益紧密的世界中,2018年,许多其他国家也在努力应对网络安全和数据保护领域的挑战。这里简要提及几个国际事态发展:
答:中国
如2018年国际展望与回顾《中国网络安全法》于2017年6月1日通过,成为中国第一部全面规范公司数字信息管理和保护的法律。该法律还对某些数据在大陆以外的传输(数据本地化)施加了重大限制,使政府能够在这些数据导出之前访问这些数据。[71]
尽管政府和跨国公司提出了抗议和请愿,但《网络安全法》的实施仍在继续推进,旨在规范许多公司在保护数字信息方面的行为。[72]虽然声明的目标是保护个人信息和个人隐私,但根据国家媒体《中国日报》(China Daily)的政府声明,“有效维护国家网络空间主权和安全”实际上,这项法律为中国政府提供了前所未有的网络数据访问权限,使几乎所有从事信息技术业务的公司都能访问网络数据。[73]值得注意的是,该法律的关键部分对跨国公司的影响不成比例,因为数据本地化要求国际公司必须在国内存储数据,并接受监管机构对需要出口到中国以外的重要数据的安全评估。尽管法律对关键信息基础设施运营商(其信息可能危害国家安全或公共福利)规定了更严格的规则,而网络运营商(其实其信息能力可能包括所有使用现代技术的企业)则相反,这项法律实际上使大多数公司受到政府的监督。因此,对许多外国公司来说,现实情况是,这些要求可能很繁重,会增加在中国开展业务的成本,并增加暴露于工业间谍活动的风险。[74] 尽管发布了旨在澄清该法某些规定的附加准则草案,但人们普遍认为该法仍在进行中,其范围和定义仍不明确。[75]尽管如此,公司应努力评估其数据和信息管理业务,以评估数据保护法范围扩大的风险以及遵守中国政府访问其网络数据的风险偏好。
最近,2018年9月10日,中国全国人民代表大会宣布,作为其立法议程的一部分,其常务委员会将审议条件相对成熟的法律草案,包括个人信息保护法草案和数据安全法草案。[76]
B新加坡
如中所示2018年国际展望与回顾新加坡个人数据保护委员会于2017年11月7日发布了关于收集和使用国家注册识别号的建议咨询指南。该指南涵盖了大量个人和生物特征数据,强调了公司有义务确保政策和实践到位,以履行2012年《个人数据保护法》规定的数据保护义务。委员会自发布之日起给予企业和组织12个月的时间审查其流程并实施必要的更改以确保合规。[77]
C、印度
如中所述2018年国际展望与回顾印度最近于2017年发布了一份白皮书,旨在起草一项数据保护法案,以“确保数字经济的增长,同时确保公民个人数据的安全和保护”。[78]
继本白皮书发布之后,电子和信息技术部于2018年7月27日发布了《个人数据保护法案》(“法案”)和《数据保护委员会报告》(“报告”)。[79]该法案由15章组成,涉及数据保护义务,包括处理个人数据和敏感个人数据的理由、儿童的个人和敏感数据、数据主体权利、透明度、问责制措施以及个人数据在印度境外的转移。特别是,根据其第1条,该法案应适用于在印度境内收集、披露、共享或以其他方式处理个人数据的个人数据处理,以及国家、任何印度公司、,任何印度公民或根据印度法律成立的任何个人或团体。尽管有上述规定,该法案也适用于不在印度境内的受托人或数据处理者处理个人数据,前提是他们处理与(i)在印度经营的任何业务相关的个人数据,(ii)在印度境内向数据负责人提供商品或服务的系统性活动,(iii)涉及在印度境内对数据负责人进行剖析的任何活动。
此外,该法案概述了将设立一个数据保护机构,并对违反义务的行为进行处罚。特别是,该法案第69(1)条规定的罚款最高可达500万卢比(即约70万美元;约62万欧元)或上一财政年度全球数据信托总营业额的2%,以较高者为准,如果数据受托人违反其义务,即针对数据安全漏洞采取及时和适当的行动,则进行DPIA、进行数据审计、任命DPO,或未能在相关权限内注册。如果数据受托人违反其处理个人和/或敏感数据的任何义务,则需要遵守安全保障措施或印度境外个人数据传输的适用规定,该法案规定的罚款最高可达1500万卢比或上一财政年度全球数据信托总营业额的4%,以较高者为准。
此外,该报告除其他外,还涉及数据保护的现有方法、法案的关键定义以及白皮书磋商中提出的建议。
四、加拿大和拉丁美洲的发展
全球重要管辖区数据保护规则的全面改革也对加拿大和拉丁美洲产生了影响,一些地方政府加强了各自的立法,并采取举措,使其框架更接近欧盟的框架。
答:巴西
在巴西,经过决策者几年的讨论,于2018年8月14日通过了一项新的《通用数据保护法》。[80]尽管巴西法律更为宽松,对其条款的解释和适用的解释更少,但该法律与GDPR之间存在一些共同点,包括:
- 与《通用数据保护条例》一样,《巴西通用数据保护法》通常将匿名/匿名数据排除在其适用范围之外,除非所使用的匿名化过程已被恢复,仅使用其自身资源,或者可以通过合理努力恢复。为此,可以理解,匿名/化数据是指无法通过合理方式分配给可识别人员的数据。[81]
- 在规定处理个人数据的实体的义务时,巴西《一般数据保护法》还考虑了进行此类处理的条件。例如,虽然(如上所述)匿名/信息化数据通常被视为不在法律适用范围内,它包含一项具体规定,根据该规定,如果匿名/信息化数据用于评估自然人的某些方面(例如,如果一个人是可识别的,则其行为特征),则该数据可能属于法律的范围。[82]
- 巴西法律还基于一项基本原则,即禁止数据处理操作,除非这些操作基于其先前确立的任何法律基础。该法律包含10个法律依据,以GDPR中包含的五个法律依据为基础,再加上五个附加依据:[83]
- 在法律诉讼中行使权利的数据处理;
- 研究实体对研究进行数据处理(只要可能,数据都是匿名的);
- 保护个人健康的数据处理;
- 信贷保护的数据处理;
- 公共行政部门根据法律或合同执行公共政策所需的数据处理和共享。
- 在巴西,同意也被定义为自由给予、知情和明确表示数据主体同意处理个人数据。此外,该法侧重于授权数据主体对其个人数据进行有意义的控制和选择。[84]
- 关于数据主体的权利,巴西法律还包括数据可携带的一般权利,这是GDPR首次设想的。[85]这项权利要求控制者根据数据主体的要求将数据主体的个人数据转移给另一个控制者。
- 该法还规定了在合理时间内向国家当局和数据主体报告个人数据处理相关事件的一般义务。通知应包括以下信息:对受影响的个人数据和所涉及的数据主体和实体的描述,对用于保护个人数据的技术和安全措施的描述,在延迟通知的情况下遭受延迟的原因,以及描述为减轻或纠正事件影响而采取的措施。[86]
- 巴西《一般数据保护法》包含任命DPO的一般义务,仅适用于数据控制者。[87]然而,巴西数据保护局可能会制定进一步的指导,以限定此类义务可能不再适用的情况。
- 最后,作为GDPR,该法律规定了在某些情况下执行“个人数据保护影响报告”的义务,在这种情况下,数据处理操作可能会对公民自由和基本权利构成风险。
- 与《通用数据保护条例》一样,《巴西通用数据保护法》规定,个人数据可以转移到确保充分保护或基于适当保障的第三国。这两项法律规定的保障措施基本相同,但公共当局/机构之间具有法律约束力的文书除外,这是GDPR规定的一项保障措施,但根据巴西法律,它仅限于情报机构之间的国际法律合作,调查和起诉机构(至少在巴西数据保护局监管国际传输机制之前)。
- 根据巴西一般数据保护法,罚款上限为前一年巴西营业额的2%或5000万雷亚尔(约1300万美元),以较低者为准。这些上限适用于对违法行为的罚款。
- 巴西数据保护局于2018年12月28日通过第869/2018号行政命令成立,由五名专员组成,由共和国总统任命,并由国家个人数据和隐私保护委员会提供建议,由23名无薪成员组成,其中11名来自政府不同领域,12名成员,其中4名来自私营部门,4名来自学术界,4名属于民间社会。该行政命令还将巴西《通用数据保护法》的生效日期推迟至2020年8月。
B加拿大
如2018年国际展望与回顾加拿大于2017年提出了一项拟议条例,要求根据2015年《个人信息保护和电子文件法案》(“PIPEDA”)报告隐私侵犯行为。2018年11月1日,PIPEDA的一些修订生效。[88]法律现在规定,如果受PIPEDA管辖的组织遭遇数据泄露,导致“重大损害风险”,他们将被要求:(i)向加拿大隐私专员办公室报告事件;(ii)通知任何受影响的个人;以及(iii)提醒任何其他能够减少对受影响个人造成伤害的风险的第三方。
C其他管辖区:阿根廷、智利、哥伦比亚、墨西哥、巴拿马和乌拉圭
最后,如2018年国际展望与回顾,阿根廷2017年发布了一份数据保护法案草案,该法案将使国家隐私法与GDPR要求保持一致,从而推动了国家数据保护制度的全面改革。[89]最近,阿根廷数据保护局于2018年9月20日宣布,阿根廷共和国总统毛里西奥·马克里(Mauricio Macri)已向阿根廷国民议会提交了一份数据保护法案草案,以供审议,寻求改革现行的个人数据保护法。该法案所附信息表明,其目标是根据新技术使法律现代化。该法案所附信息也提到了GDPR,该法案包括关于数据泄露通知、设计和默认隐私、第三方数据处理、DPIA和指定DPO的规定。[90]
在智利2018年8月31日,银行和金融机构监管局宣布,已发布了对《网络安全标准更新汇编》第20-8章和第1-13章的一系列修改,包括对操作事件报告规则的更新。特别是,第20-8章的修改旨在通过创建数字平台来改进安全事件报告系统,要求从2018年10月1日起在事件发生后30分钟内报告事件,并要求实体在报告事件时包含特定信息。此外,还规定了一些义务,即要求在行政一级任命一人与银行和金融机构监管局沟通(称为“SBIF”,西班牙语缩写);告知用户和客户影响服务质量和连续性、个人数据安全性或公共知识的事件;维护网络安全事件警报系统,以促进事件数据共享,从而允许其他实体采取任何必要措施。关于第1-13章,这些修改将网络安全确立为SBIF评估银行管理的特殊标准,并规定至少每年报告一次网络安全管理情况。此外,SBIF还将评估实体是否维护网络安全事件数据库。[91]
此外,2018年10月25日,智利透明委员会宣布,智利总统已将智利国民议会目前正在审议的数据保护法案草案的状态更改为紧急状态。[92]
在哥伦比亚哥伦比亚金融监管局于2018年6月5日发布了两份通告,介绍了对所涵盖实体的网络安全风险管理要求以及适用于在线支付平台的安全标准,以加强对消费者个人金融信息的保护。特别是,这些要求包括向消费者通知影响其信息保密性或完整性的网络安全事件,以及为应对这些事件而采取的措施。随着这些通告的发布,实体还将被要求设立一个负责网络安全风险管理的单位,并制定向监管机构发送报告的战略。关于在线支付平台,预计引入的安全标准将使这些平台能够在该机构的监督下向银行和支付网络等金融实体提供服务,而这些平台不受哥伦比亚金融监管局的监管。[93]
此外,最近于2018年7月26日向哥伦比亚共和国参议院提交了一项立法提案,旨在修改和补充2008年关于人身保护数据和财务信息的第1266号法令。[94]
在墨西哥美国国家信息与数据保护研究所(National Institute of Access to Information and Data Protection)在2018年特别活跃,就几个数据保护主题发布了几份指导文件。3月,国家研究所发布了关于公司和公共实体处理墨西哥投票卡(一种广泛使用的身份证)的建议,这些建议符合《2010年联邦私人数据保护法》和《2017年公共实体个人数据保护通则》的规定。[95]5月,国家研究所发布了生物特征数据指南,就如何按照2010年《联邦私人部门个人数据保护法》和2017年《公共实体个人数据保护通用法》的原则和义务处理生物特征数据提供建议,并澄清生物特征数据何时应被视为个人数据数据。[96]6月,国家研究所发布了关于如何管理数据安全事件的指南,以帮助公司、组织和公共实体遵守相应的数据保护法。[97]8月,国家研究所发布了《2017年公共实体个人数据保护普通法》所规定实体实施“数据保护计划”的指南。[98]最后,在11月,国家研究所发布了指导意见,概述了为签约涉及个人数据处理的云计算服务建议的最低标准。该指南涵盖了提供商的声誉和身份、客户为确保提供商实施了安全措施并对个人数据进行了风险评估而应考虑的最低标准、提供商在服务结束时返还和销毁个人数据、,以及提供商关于互操作性和可移植性的条件和实践。该指南还包括受2010年《联邦私人部门个人数据保护法》约束的公司和个人的清单,以帮助他们确保合规性,并分析他们在雇佣云计算产品和服务时承担的风险。[99]
此外,2018年6月26日,墨西哥加入了《在自动处理个人数据方面保护个人公约》(称为“第108号公约”)及其附加议定书。
在乌拉圭乌拉圭议会目前正在分析一项关于问责制和预算的法案,其中包含与数据保护有关的规定。[100]此外,数据保护局最近于2018年10月29日发布了关于cookie、分析、自带设备和无人机的数据保护指南,并就其使用提出了建议,以引起对使用这些技术可能产生的数据保护问题的关注。[101]
[1] 请参阅2016年4月27日欧洲议会和理事会关于在个人数据处理方面保护自然人和此类数据自由流动的第2016/679号法规(EU),并废除第95/46/EC号指令,OJ L 119 4.5.2016,第1页。
[2] 请参阅1995年10月24日欧洲议会和理事会关于在个人数据处理方面保护个人以及此类数据自由流动的第95/46/EC号指令,OJ L 2811995年11月23日,第31-50页。
[8] 请参阅欧盟数据保护指令,第12条和第14条;和案例C-131/12谷歌西班牙SL和谷歌公司诉AEPD和Mario Costeja GonzálezECLI:欧盟:C:2014:317。
[25]新闻稿是可在获取http://news.marriott.com/2019/01/marriott-provides-update-on-starwood-database-security-incident/。
[26]欲了解更多信息,请点击可在获取https://www.cnil.fr/en/cnils-restricted-committe-imposes-financial-penalty-5000万欧元-against-google-llc
[35] 请参阅CJEU,案例C-362/14,Maximillian Schrems诉数据保护专员(2016年10月6日)。
[36] 请参阅CJEU,案例C-293/12,爱尔兰数字权利有限公司诉通信、海洋和自然资源部长等人(2014年4月8日)。
[40] 例如。域名系统(DNS)提供商和顶级域(TLD)注册中心;看见NIS指令第4条。
[42] 请参阅NIS指令,引言(57)和第3条。
[44] 请参阅NIS指令,见第16(8)条和第(9)条。
[53] 请参阅电子隐私条例草案,序言(13)。 请参阅解释性备忘录,第3.2节。
[56] 请参阅电子隐私条例草案,见第18条及其后。
[61] 请参阅CJEU,案例C-210/16Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v.Wirtschaftsakademie Schleswig-Holstein GmbH公司(2018年6月5日)。
[64] 请参阅FDPA草案,第4(b)条。请注意,当前的FDPA将与法人实体相关的信息作为个人数据进行保护。
[65] 请参阅FDPA草案,第5(1)至(5)条。
[66] 请参阅FDPA草案,第19条和第23至28条。
[68] 请参阅FDPA草案第6条和GDPR第25条。
[79] 请参阅http://meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill%2C2018_0.pdf
[94] 请参阅http://leyes.senado.gov.co/proyectos/images/documentos/Textos%20Radicados/proyectos%20de%20ley/2018%20-%202019/PL%20053-18%20Habeas%20Data.pdf
[95]指南是可在获取http://inicio.inai.org.mx/DocumentosdeInteres/RecommendacionesCredencialV.pdf
[96]指南是可在获取http://inicio.ifai.org.mx/DocumentosdeInteres/GuiaDatosBiometricos_Web_Links.pdf
[97]指南是可在获取http://inicio.inai.org.mx/DocumentosdeInteres/Recomendaciones_Manejo_IS_DP.pdf
[98]指南是可在获取http://inicio.inai.org.mx/DocumentosdeInteres/DocumetoOrientadorPPDP.docx
[99]指南是可在获取http://inicio.ifai.org.mx/nuevo/ComputoEnLaNube.pdf
吉布森·邓恩(Gibson Dunn)的以下律师协助编写了本客户警报:艾哈迈德·巴拉迪(Ahmed Baladi)、亚历山大·索斯韦尔(Alexander Southwell)、亚历杭德罗·格雷罗(Alejandro Guerrero)、克莱门斯·普涅特(Clémence Pugnet)和弗朗西斯卡·库托(Francisca Couto。
吉布森·邓恩(Gibson Dunn)的律师可以为您提供有关这些问题的任何帮助。欲了解更多信息,请联系您通常与之合作的吉布森·邓恩律师或以下公司领导和成员隐私、网络安全和消费者保护实践小组:
欧洲
艾哈迈德·巴拉迪–Co-Chair,PCCP Practice,巴黎(+33(0)1 56 43 13 00,[电子邮件保护])
詹姆斯·考克斯–伦敦(+44(0)207071 4250,[电子邮件保护])
帕特里克·多丽丝 –伦敦(+44 (0)20 7071 4276,[电子邮件保护])
佩尼·麦登–伦敦(+44(0)20 7071 4226,[电子邮件保护])
Jean-Philippe Robé–巴黎(+33(0)1 56 43 13 00,[电子邮件保护])
迈克尔·沃尔特–慕尼黑(+49 89 189 33-180,[电子邮件保护])
凯格辛–慕尼黑(+49 89 189 33-180,[电子邮件保护])
莎拉·瓦赞–伦敦(+44(0)20 7071 4203,[电子邮件保护])
维拉·卢基奇–巴黎(+33(0)1 56 43 13 00,[电子邮件保护])
亚历杭德罗·格雷罗–布鲁塞尔(+32 2 554 7218,[电子邮件保护])
亚洲
凯利·奥斯汀–香港(+852 2214 3788,[电子邮件保护])
Jai S.Pathak先生–新加坡(+65 6507 3683,[电子邮件保护])
美国
亚历山大·索斯韦尔–Co-Chair,PCCP Practice,纽约(+1 212-351-3981,[电子邮件保护])
M.肖恩·罗亚尔–达拉斯(+1 214-698-3256,[电子邮件保护])
黛布拉·黄杨(Debra Wong Yang)–洛杉矶(+1 213-229-7472,[电子邮件保护])
瑞恩·T·伯齐克(Ryan T.Bergsieker)–丹佛(+1 303-298-5774,[电子邮件保护])
理查德·坎宁安–丹佛(+1 303-298-5752,[电子邮件保护])
霍华德·S·霍根–华盛顿特区(+1 202-887-3640,[电子邮件保护])
约书亚·A·杰森–奥兰治县/帕洛阿尔托(+1 949-451-4114/+1 650-849-5375,[电子邮件保护])
克里斯汀·林斯利–旧金山(+1 415-393-8395,[电子邮件保护])
沙阿鲁·梅赫拉(Shaalu Mehra)–帕洛阿尔托(+1 650-849-5282,[电子邮件保护])
卡尔·G·纳尔逊–达拉斯(+1 214-698-3203,[电子邮件保护])
埃里克·范德维尔–洛杉矶(+1 213-229-7186,[电子邮件保护])
本杰明·瓦格纳–帕洛阿尔托(+1 650-849-5395,[电子邮件保护])
迈克尔·李明王–旧金山/帕洛阿尔托(+1 415-393-8333/+1 650-849-5393,[电子邮件保护])
有关SEC披露数据隐私和网络安全问题的问题也可以向以下领导人和成员提出证券监管和公司治理小组:
詹姆斯·莫洛尼–加利福尼亚州奥兰治县(+1 949-451-4343,[电子邮件保护])
伊莎白·伊辛–华盛顿特区(+1 202-955-8287,[电子邮件保护])
洛里·齐斯科夫斯基–纽约(+1 212-351-2309,[电子邮件保护])
©2019 Gibson,Dunn&Crutcher LLP版权所有
律师广告:所附材料仅供参考,不作为法律建议。