青骥信息安全原创技术系列专题接《个人信息保护合规专题:境内法律法规介绍》,继续介绍境外个人信息保护相关法律,供涉及跨国业务公司参考。个人信息只要可移动就有其价值和意义。基于个人信息使用的全球性,针对国际数据传输的法律或司法案例均影响巨大,改变了许多全球互联网巨头的运营模式,甚至可能导致某些协议被判无效。例如苹果iCloud中国落户"云上贵州"、《人类遗传资源出境案》、美欧的《SchremsII》等。1.境外个人信息保护法律一览注:上述数据为截止年1月统计结果。
*东南亚国家联盟(AssociationofSoutheastAsianNations-ASEAN),简称东盟(ASEAN)。年8月8日成立于泰国曼谷,现有10个成员国:印度尼西亚、马来西亚、菲律宾、泰国、新加坡、文莱、柬埔寨、老挝、缅甸、越南。
#表示暂未正式发布生效
2.境外个人信息保护法律介绍2.1欧盟
欧盟模式又可称为统一立法模式,即制定一个综合性的个人信息保护法来规范个人信息的收集、处理和利用,该法统一适用于公共部门和非公共部门,并设置一个综合监管部门集中监管。
立法脉络:
欧盟最早的典型个人信息保护法律是年的《个人数据保护指令》(DataProtectionDirective)。
年4月,欧盟通过了新的数据保护法案《一般数据保护条例》(GeneralDataProtectionRegulation,GDPR)并于年生效。GDPR直接取代年的《个人数据保护指令》及欧盟成员国相关法规,它规定企业应如何收集,使用和处理欧盟公民的个人数据。GDPR号称史上最严数据隐私保护法律,归纳总结了隐私保护的基本原则,创造性提出域外管辖效力,同时定义了高额罚金的罚则,即2千万欧元或者4%的上一财年的全球收入的罚金。可以说,GDPR为全球各个国家的个人信息保护立法提供了重要的参考标杆。
年通过《非个人数据自由流动条例》,为欧盟内除个人数据之外的电子数据的存储和处理提供一致的自由流通规则,与已经实施生效的GDPR形成数据治理的统一框架。该条例消除了欧盟成员国之间数据本地化的限制,以此平衡个人数据保护、数据安全和欧盟数字经济发展。
年欧盟《网络安全法案》作为又一重磅网络安全顶层设计法律正式施行,为信息和通讯技术(ICT)等产品创建一个欧洲网络安全认证框架。
年2月19日,欧委会发布《欧洲数据战略》报告(AEuropeanStrategyfordata),核心战略思想:以价值观为指引构建数据治理规则体系,推进欧盟成员国数据一体化,打造数据时代的核心竞争力。
年11月25日,欧盟委员会发布了《数据治理法案》(DataGovernanceAct)的提案。这项提案根据2月发布的《欧盟数据战略》,旨在促进欧盟以及各行业间的数据交换。
关于数据跨境,年7月SchremsII判决认定美欧数据跨境转移机制“隐私盾协议PrivacyShield无效”。年11月,欧洲数据保护委员会(“EDPB”)和欧盟委员会针对SchremsII的裁决发布两份关于欧盟至非欧盟国家数据跨境传输的建议草案以及《欧盟标准合同条款(草案)》,草案意见征集已于年底结束。
2.2美国美国是世界上最早提出并通过法规对隐私权予以保护的国家。美国采取分散立法和行业自律方式保护公民隐私权,立法可以分为联邦和州两个层次。联邦层次由参众两院组成的国会作为立法机关,同时根据个人信息的具体内容,由相应的监管部门(对国会负责的独立行业委员会)监管。美国各州相对独立,都有自己的立法、司法和行*机关。
立法脉络:
年12月31日,美国参众两院通过的《隐私权法》(PrivacyAct),后经国会修订后编入《美国法典》,是美国行*法中保护公民隐私权和了解权的一项重要法律,规范了联邦*府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。
其他行业性法律对涉及个人信息的保护也以《隐私权法》为基础并进行更为详细的规定。当前已形成针对*府和征信、医疗、电信等若干具体行业的个人隐私保护立法体系,如:征信监管法律体系中的《公平信用报告法》(FairCreditReportingAct,FCRA);《金融服务现代化法案》(正式简称为《格雷姆-里奇-比利雷法》,Gramm-Leach-BlileyAct,GLB);《健康保险可移动性和责任法案》(HealthInsurancePortabilityandAccountabilityAct,HIPAA);《儿童网上隐私保护法》(Children’sOnlinePrivacyProtectionAct,COPPA);《电子通信隐私法》(ElectronicCommunicationsPrivacyAct,ECPA)
美国已有多个州现在数据安全与隐私保护进行了立法,其中最著名的要数年6月加州通过《加州消费者隐私法案》(CaliforniaConsumerPrivacyAct,CCPA)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于年1月1日生效。该法案要求企业在收集,使用和披露个人信息的方式上更加透明,赋予人们更多的信息和数据控制权。虽是洲际法律,但90%美国互联网公司位于加州,影响深远。
年11月3日,美国加利福尼亚州投票通过了《加州隐私权利法案》(“CPRA”)。这部法案在《加州消费者隐私法案》(“CCPA”)的基础上,将进一步赋予加州居民一些新的权利,如增加用户画像原始数据共享的透明度等。CPRA将于年1月1日生效。
2.3日本日本采用“统分结合”的立法模式,通过年《个人信息保护法》全方面地实现个人信息保护。同时日本也注重行业自律和社团参与,从而形成独特的日本个人信息保护模式。
立法脉络:
日本《个人信息保护法》(ActontheProtectionofPersonalInformation,APPI)于年4月1日起施行。APPI基本上以民间领域为对象。但该法的基本理念在公共领域也必须遵守。如以国家行*机关为对象的《行*机关个人信息保护法》;以独立行*法人为对象的《独立行*法人个人信息保护法》;以地方公共团体等为对象的《个人信息保护条例》。
随着信息技术的急速发展与利用,APPI于年进行了大幅修正,年5月30日起施行。修改大纲中,特别是在活用了数字技术的领域,需要进一步推进民间主导的措施。比如推荐设置负责个人数据处理的负责人和实施PIA等。
2.4新加坡
在新加坡,企业必须完全遵守PDPA,应告知收集、使用或披露的目的。
立法脉络:
新加坡年颁布《个人数据保护法令》(PersonalDataProtectionAct,以下简称“PDPA”),确保公民在个人数据受到侵害时可寻求法律保护。为了执行该法令,新加坡年1月2日成立个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。此法案为信息保护法例,为监管收集、使用、公开、处理个人信息订立标准,如要求企业委任至少一名DPO来管制所收集信息的使用。
年5月14日重新修订并发布草案征求意见。修订重点:加强问责制,增大处罚力度、强化个人权益、完善收集授权。
2.5中国香港
年香港推出保护个人资料时,香港是走在前列的。当前,法例亟需与时并进。
立法脉络:
年通过《个人资料(私隐)条例》PersonalData(Privacy)Ordinance,于年12月正式生效(个别条文除外),条例是亚洲区内最早全面保障个人资料私隐的法例之一。
年涉及国泰航空和环联的两宗重大个人资料泄露事件正在推动香港迟迟未进行的个人资料隐私保护的立法改革。年1月20日,*制及内地事务局与香港私隐专员公署合作撰写建议修改相关法律的检讨报告,修订建议主要包括:建立强制性个人资料外泄通报机制、赋予私隐专员公署行*处罚权力、修正个人信息定义范围等。
2.6韩国
目前,在个人信息及数据保护法律领域,韩国形成了《个人信息保护法》《信息通信网利用促进及信息保护法》和《信用信息的利用及保护法》三法分立的局面。
立法脉络:
年颁布《电子金融交易法》,年生效;
年发布《个人信息保护法》;
年2月发布了《金融领域安全违犯防止的全面措施》;
年3月修订《个人信息保护法》;
年1月9日,国会通过了旨在扩大个人和企业可以收集、利用的个人信息范围,搞活大数据产业的《数据三法》即《个人信息保护法》、《信用信息法》、《信息通信网法》修订案。
3.总结
国内外数据安全立法及执法行动层出不穷,企业数据合规亟需行动。
END
青骥原创l免拆芯片提取固件在汽车中的应用全景图专题
谈谈汽车芯片安全-下篇全景图专题
谈谈汽车芯片信息安全-上篇青骥编译lENISA--AI信息安全挑战说明:本
