全球数据及隐私安全立法及实施概览
秀中商事法律评论系列
全球数据隐私安全立法及实施现状概览
一、概述
数字化时代,数据对商业至关重要。云计算、移动通讯、物联网、机器学习、人工智能、区块链以及其他技术驱动下创新成果,正在加速打破并重置原有定位和边界。各领域的机遇和挑战伴随其数字化和自动化变革进程而来。各商业主体正加速开发新的数据资源,充分利用既存信息资源,进入此前并不熟悉的数据生态系统并与第三方签署数据共享协议。
本文核心内容是数据隐私安全立法问题。各国立法者们起草法律条文以规制各商业主体收集、使用、分享、存储以及披露数据信息的行为。近些年来,我们见证了各国立法者们为了紧扣技术发展步伐而实施的前所未有的数据隐私安全立法行动的全球性扩张。
许多法域将隐私安全界定为基本人权概念并将相关规则全面的适用于有关私人或组织的全部数据信息领域。还有部分法域聚焦公平概念及消费者权益保护,以及其他显而易见的损害或不平等方面。具体而言,适用于本辖区的数据隐私安全定义和要求并不隶属于更大的、全球规则和标准框架,监管者及立法者可以自由更新。
随着基础商业模式和数据处理行为方式的不断发展变化,数据隐私安全法律的差异性和多样性对其在全球范围内的解释和适用提出了严峻的挑战。在进行项目可行性评价时,各公司在考虑因违反数据隐私安全法律规定而招致个人诉讼、商业中断、商誉损失以及其他不利后果外,还必须充分考虑到个别法域存在的畸重惩罚的立法范式。
正是由于上述原因,各公司必须更加认真的对待数据隐私安全法律,需要集中精力开发那些不仅关注风险本身的可能性和严重性,还充分考虑业务必要性以及消费者、雇员或其他个体利益的解决方案。
二、数据隐私及安全监管----移动的目标
1、需要注意的数据隐私安全新法律
当今,全球许多国家对数据隐私安全进行了严格的监管。然而,数据隐私安全监管在各国之间的差异仍然十分明显,有些国家首次引入系统监管措施,而其他拥有既定监管体系的国家正在实施相应的制度变革以反映数字时间的现实情况。虽然监管方式存在差异,但是,数据隐私安全综合立法趋势明显。我们的数据显示,在受访的的52个国家中,只有美国和沙特阿拉伯没有制定综合的数据隐私安全法律。此外,还存在大量的适用于特定板块的数据隐私安全法律(52个国家中有42个国家存在针对特定板块数据隐私安全立法需求)。下面介绍几部最新的数据隐私安全法律。
(1)欧盟GDPR。2018年,GDPR最终开始直接适用于欧盟各成员国。期间,各国政府忙于起草、谈判、颁布准据法以接受并在国内适用GDPR,截止2019年5月,28个欧盟成员国中25个通过国内立法接受并实行GDPR。希腊、葡萄牙和斯洛文尼亚正在制定本国数据保护法。对GDPR规定以及多样化的各国数据隐私安全法的解释和执行仍然存在不确定性,但是,各国监管机构和欧盟数据安全保护委员会正在制定针对GDPR关键条款的指导性意见。与此同时,各国监管机构正在加大执行力度,并且已经对违反GDPR规定的行为开出了第一个罚单。从不同的视角看,GDPR合规工作将需要因地制宜,各有关企业需要密切关注那些旨在解决最紧迫、最富争议问题的指导方案和执行意见。
(2)欧盟之外的国家。无疑,GDPR是2018年全球跨国公司数据安全领域所关注的焦点。这一年,受GDPR启发,欧盟之外的其他法域国家也推出了综合性的个人数据安全保护的法规体系。
巴西。2018年8月,巴西通过了第一部综合性的数据保护法,《The General Data Protection Law》(GDPL)。GDPL将依然受限于已经获得通过的近200条修正案,这些修正案关系到数据保护立法基础、公共主体数据保护法律适用以及数据安全的技术标准等实质问题。除已经生效的有关巴西数据保护局创设规定外,前述GDPL有望在2010年8月生效。该法主要受欧盟GDPR的启发,但是,仅借鉴了GDPR的主要体系结构,其他方面存在许多关键差异,包括较低的处罚金制度和信用等级特例。在巴西运营数据业务的企业,审慎的第一步应该是完成数据映射练习,该练习的主要目的是理解巴西数据处理行为、识别差异性和脆弱性,然后制定合规计划。
印度。2018年下半年,印度发布了《个人数据保护法案》(PDP),一项综合性的个人数据保护法。该法案在欧盟GDPR颁布后做出了修改,同时,该法案有望在2019年底提交议会审议。该法案规定了个人数据采集、存储、处理和传输的方式。该法案引进了“数据受托人(近似数据控制器)”、“数据所有者(近似数据主体)”和“数据处理者”的概念,规定了数据所有人的权利和受托人以及数据处理者在收集和处理数据时应承担的义务。另外,该法案还规定了个人数据合法传输至境外时应符合的方式和条件。
泰国。数年以来,泰国一直致力于制定一部综合性的数据保护法。2018年9月,泰国政府向国会提交了一部包含GDPR特色的个人数据保护法(PDPA)草案,2019年2月,泰国国会审议通过了该法案,并将于政府公报一年后(2020年5月下旬)开始施行,这也是泰国第一部规范私人数据采集、适用、披露的法律,具有极其重要的意义。根据该法案规定,数据所有人享有与GDPR规定同类的权利,数据控制者或处理者应当在泰国委派一名代表。在泰国的企业应尽快启动合规工作。
加州。加州一直处于数据隐私保护的前沿,已经制定了《加州消费者隐私权法案》(CCPA),自2019年1月起12个月,作为该法案的反向观察期,2020年1月1日生效,此前已经带来了许多深刻的变化。主要因适用范围宽泛,CCPA是一种不太常见的美国立法类型。通过下述手段,CCPA为其辖区内的工商企业搭建了一种新的隐私权体系:创设更加宽泛的“个人信息”定义;为加州消费者创设新的数据隐私权,包括公开权、接触权、压缩权以及删除权;在个人信息“转让”方面提供广泛的选择权;针对直接从未成年人处采集或转让个人信息行为,设立特殊规则;创设新的强制性违规赔偿制度框架,针对那些违规而不执行或遵守合理的安全保护程序或阻止数据安全违规行为的措施的情形。科罗拉多、缅因州、内华达州和蒙佛特州的数据保护法已于近期生效,夏威夷、马里兰、马萨诸塞、密西西比、新墨西哥、纽约、北达科塔、罗德岛、得克萨斯和华盛顿十州监管机构已经起草了在披露消费者信息和控制个人数据方面加重企业义务的法案,与CCPA规定的情形类似。
阿联酋。阿联酋是目前没有统一数据隐私及安全保护法律的国家之一,但是,随着该国在相关领域发生的诸多变化以及该国数据隐私安全法制定工作在筹备中,企业应当密切关注。在联合立法协调机构缺位的情况下,少数几个区域的监管者以及个别酋长国正在根据其自身的数据保护及数据安全需要制定法律,形成了一个支离破碎且纷繁复杂的数据保护格局:2019年1月,阿联酋总统签发2019年第2号法令,规范健康领域技术和交流信息使用行为,该法在针对一些处理有关个人健康数据的公司,在其他数据保护要求中引入了数据驻留要求;2019年3月,电信管理局(TRA)实施了一项规范物联网运行的政策,该政策将GDPR的概念引入当地法律,比如设计隐私、数据最小化和目的限制等,该法还整合了GDPR的相关定义,比如“同意”、“数据控制者”及“数据处理者”,这些定义虽然尚未使用,但是,显然是电信管理局在未来引入GDPR风格的规定的信号;我们预计迪拜国际金融中心将引入新的法律规定以及阿布扎比全球自贸区将更新其现行的数据保护格局,以对标GDPR;我们还注意到阿联酋金融局将很快在金融服务领域签发新的数据保护法。根据其发展步伐,在阿联酋的企业密切关注此类发展情况,是非常明智的。
2、 部分国家对其已长期施行数据隐私安全法进行修订,蓄势待发。除了正在制定新的法律外,许多长期施行数据隐私安全法的国家正在修订其本国法律。受访的的52个国家中,41个国家表示,在未来的12个月内,其数据隐私及安全法将发生重大变化。
新加坡。该国正在对其2012年的《个人数据保护法》进行审查,有望在2019年底发生审慎的变化,包括引入强制性的数据泄露通知制度,以及采集、使用和披露个人数据的附加依据。
澳大利亚。澳大利亚宣布对其隐私法实施影响广泛的变革,包括加大惩罚力度,为监管机构提供附加执行权力或其他相应权力,为社交媒体及经营个人信息的在线平台制定规则,要求社交媒体及在线平台实行应个人要求停止使用的机制,引入对未成年人或其他弱势群体个人信息更强保护的特殊规则。
阿根廷。阿根廷也正在考虑对其数据隐私及安全立法进行实质性变革,包括扩大适用区域,特定情况下通报数据安全漏洞,引入被遗忘权,加大惩罚力度,数据保护影响的强制评估。为了确保经营符合那些可能影响运营的新标准,各公司需要实时监测正在通过的新法律以及正在进行修订的现行法律规定。另外,公司应当跟随并参与相关立法工作的社会调查,以确保监管机构了解拟议变化对商业经营的影响且任何新法律或拟议变化不会危及整个商业模式。
三、监管行动
1、更多的强制措施。全球范围内,数据隐私及安全监管者正在变得更加积极,对缺乏数据安全保护的企业的处罚更加严厉。在受访的的52个国家中,只有7个国家没有数据隐私和安全监管机构:玻利维亚、印度、委内瑞拉、智利、巴拉圭、沙特阿拉伯和越南。监管者们正整合更多的资源实施数据安全保护工作,我们预估对违规行为更严厉的处罚措施即将到来。各国监管者们也开始寻求与国外同行的合作以相互协调和相互支持。凡此种种,都将大大增加违规风险。
2、优先实施事项。尽管监管机构总体上加强了执法行动,但是,他们仍将不得不将其资源和精力聚焦在他们认为最紧迫的特定方面或缺陷上。我们预估数据隐私和安全监管者将聚焦如下方面:
(1)数据安全和应急机制。最近,英国ICO的第一批GDPR执行对象表明,数据安全缺陷和数据漏洞通知要求(正越来越作为强制标准)即将成为所有监管者的首要监管对象。我们的数据显示,数据安全性不足或数据安全应急不足是跨境企业最常犯的三个合规错误之一,这也表明许多企业应当明智的将其精力聚焦于数据安全和应急实践上来。
(2)在线同意实践及透明度要求。监管者们仍然在考虑将有效 同意的门槛设置何处,但是,“同意”已经成为2018年欧洲数据安全的主战场且我们预计其仍将保持该领域的关键地位。数据驱动商业模式的大公司将是该类监管的首要目标。所有依赖于将数据主体同意作为数据处理前提的商业模式的企业,无论规模大小,确保其数据活动对数据主体的透明性同时使数据主体控制其数据,都将是明智的选择。要求隐私声明简洁明了同时又完全全面,极具挑战性。
(3)个人在线数据的过度采集和处理。我们建议欧洲的监管者将继续对超过提供服务或产品必要限度采集和处理个人数据行为的严格审查,尤其是在网络空间。过去,监管者对利用APP或网站采集与APP使用或网站服务目的无关的个人信息行为实施处罚。在用户同意的基础上继续实施此类个人信息采集行为将是危险策略。同样地,由于对此种法律基础的解释十分狭窄,声称信息采集是履行合同所必要的,也将变得困难,即使此种服务是免费的(正如欧洲EDPB最近在其根据GDPR第6(1)(b)条关于数据主体在线服务内容起草的个人数据处理指引中所陈述的:“数字服务合同可以约定明示条款,对广告、付款或补丁设置附加条件或其他问题。合同不能人为对扩大6(1)(b)条所规定的个人数据类别以及数据控制者履行合同所需要进行的数据处理行为种类”)。
(4)在线跟踪和防火墙。Cookies 和其他在线跟踪技术是许多企业所使用的一项重要的分析工具。除非用户同意植入跟踪工具,否则防火墙阻止用户访问网站或APP,这其中存在用户同意并非自愿的风险。监管者们应当重新审查并确保用户在接受或拒绝跟踪两者间享有自由选择权。监管者们对与何时提供这种选择存在观点分歧,所以,需要等待更多的指导意见出台。
(5)数据主体权利。我们建议监管者们同样重视并确保企业尊重数据主体的权利,这些权利在数据主体控制其数据过程中扮演关键角色。除南非(指导2013年个人信息保护法实施)和沙特阿拉伯外,区域内所有国家都赋予数据主体特定权利,公司需要遵照执行这些特定权利。最常见的就是访问权,紧随其后的是个人信息的更正权。实践中实施数据主体的此类权利常常是一种挑战。
(6)数据驻留要求。在52个受访国家中,21个国家对在司法管辖范围内存储特定个人数据的义务具有突出要求,尤其是在亚洲国家(比如中国、越南、印度、印尼),对于那些主要在线运营且不按常规在其提供服务或产品的每个司法辖区设置基础技术设施的企业来说,是极其严峻的挑战。
(7)直销要求。遵守与通过邮件、短信和电话直销活动使用个人数据相关的要求,同样具有优先性,因为监管者们在此领域收到了诸多投。在受访的52个国家中,有47个针对直销制定了专门的要求,这些要求通常非常复杂且实践中难以完全遵守。(8)跨境数据传输。在欧盟,所有目光都聚焦在“脱欧”事件的发展,这个事件可能导致英国成为“第三个国家”同时需要新的解决方案使数据从欧盟区传输到英国的过程合法化。在美国,我们预计美国将继续执行美国联邦贸易委员会与欧盟之间的隐私保护框架。
四、规则改变者----数据安全漏洞通知
数据隐私安全法律通常规定了广泛适用且应及时实施的数据安全漏洞通知义务。我们的数据显示,52个受访国家中41个国家规定了个人数据安全漏洞通报义务的具体要求。
各法域国家将继续实施更加广泛适用的更低风险阈值和更快向主管机构和个人通报的数据安全漏洞通报机制。阿根廷、马来西亚、新西兰、新加坡和南非是实施数据安全漏洞强制通报的典型国家。
最常见的通报模式是数据控制者将安全事件通报给主管当局和数据所有人,数据处理者必须通报给数据控制者。但是在俄罗斯、韩国、委内瑞拉、哥伦比亚、乌拉圭和台湾,数据处理者被要求同步直接通报给主管当局和数据所有人个人。
数据安全漏洞通报的严格要求不断提高,将给各组织的数据保护计划带来持续的压力,因为向主管机关通报安全漏洞将可能是引发相关机关采取执行行动的导火索,最近英国ICO依照GDPR做出的第一批执法行动证实了这一点。另外,通知数据主体个人将可能带来重大的声誉风险。
绝大多数组织希望从不发生重大数据安全事故,但是却常常发生。数字时代是一个神奇的存在,他将更大的可攻击面(例如更多传感器、设备、链接和数据)与日益复杂的威胁(例如更多金融犯罪、国家活动、黑客组织)结合起来。单一事件可以引发贯穿数据采集、使用、存储和披露过程的威胁,并且可能需要强制通报给主管当局和数据主体个人或其他人。因此,建议各组织开展跨司法区域的“桌面”演习以更好的管理此类事件。
五、展望未来----未来几个月的主要趋势
最近,GDPR作为转变之一,整个数据隐私和安全世界仍在发生快速而深刻的变化,并没有放缓的迹象。这些变化对业务的影响是重大的,而且,某些即将发生的改变将可能要求企业调整特定的商业模式。以下是我们对未来12到24个月内将会成为“热门”话题的预测。
1、 美国联邦隐私法是否会出台?
2018年,全球目光聚焦在欧洲,但是我们越来越多的发现转向美国的注意力。作为潜在的联邦隐私立法之后续,加州正激发推广州消费者数据隐私立法。至于能达到何种程度尤其是有关先发制人的问题以及实现过程的时间表两个方面,还有许多待决事项。公司和行业协会已经表达了对实施一部替代性的联邦隐私法的支持。一些联邦法案已经正式出台,包括2018年1月出台的《数据泄露预防和赔偿法》、2018年12月出台的《数据保护法》和2019年1月出台的《美国数据传播法》。其他一些联邦提案也已经非正式的发出,就特朗普政府而言,已经要求国家电信和信息管理局公布相关立法成果以及那些将作为重点的联邦立法计划。美国联邦贸易委员会的评述受到隐私监督组织的尖锐批评,该类组织尤其对下述观点更加抵触:美国联邦贸易委员会认为,因为将会导致以广告自助为基础的在线内容损失,所以违约消费者选择退出在线广告是不恰当。此外,美国商业协会和商业圆桌会议等工商团体已经提出了一些联邦立法提案,这些提案将优先于CCPA和类似州法律。虽然细节安全不同,但是,这些提案都以涵盖普通消费者权利和商业主体义务为共同特点,比如,提案通常赋予消费者访问、修订、删除、限制处理和移植数据的权利,更重要的是,他们有权选择退出个人信息销售以及基于个人信息的私人诉权。同时,在通知和透明度、数据漏洞通报义务、强制风险评估、禁止歧视消费者权利、目的和处理限制以及小于特定年龄消费者在个人信息出售中的严格准入制度方面,提案对公司做出了要求。美国的实践已经表明,无论美国联邦隐私法是否即将出台,立法者都将面临在保护个人权利和企业发展之间寻求平衡的巨大的挑战,
2、 竞争法、数据隐私法和消费者法交叉。
竞争法/反垄断法、数据隐私和消费者法存在相互交叉、互补和保护共同的价值观的趋势,尤其是在欧洲和澳大利亚,竞争和反垄断监管机构非常重视数据在数字时代的地位,并通过采取与数据商业使用有关的行动持续寻求参与到数据隐私领域,并且,为了紧跟数字经济步伐,监管机构还建议对既存到竞争法体系做全面的改革。我们也开始观察到美国出现类似观点微弱迹象。竞争机构感兴趣的与数据相关的话题包括:
(1)与包括并购中应考虑的大型数据控制权相关的市场支配地位和控制力;
(2)作为进入壁垒的数据;
(3)源自数据处理的消费者法问题(相对特定隐私问题);
(4)向消费者所做的关于数据处理的陈述;
(5)强加于消费者隐私条款的方式;
(6)消费者对数据处理的控制和做出明智决定的能力;
(7)与商业数据处理相关的公司与个人信息不对称问题;
(8)将数据用作接受服务/产品/利益的对价货币;
随着讨论的逐步深入,数据将继续从作为隐私监管机构的首要关注点转化为其他监管机构共同的关注焦点。
3、 数据的可移植性、数据开放和数据驱动创新
随着更加严格的个人数据监管制度的不断深入,数据获取范围的扩大已经成为一种趋势,开放以前被严格保密和控制的数据集成为许多法域的政府机构促进创新和竞争的主要驱动力。虽然争议不断且并未确定的解决方案,但是,已经提上议事日程的方案包括:
(1)促进更大数据可移植性和互用机制之间的切换(超越GDPR限定的范畴);
(2)开放政府控制的数据集;
(3)在B2B领域增强协作、共享并建立数据池;
(4)特定情况下强制开放控制者掌握的数据,比如利用严格条件下的行业特定机制。
所有这些提议引发了各种不同的问题,比如商业秘密保护和个人隐私(如涉及个人数据)问题,涉及敏感竞争信息的反竞争信息交换问题,控制数据的潜在不当负担,继续采集数据的动力缺乏等。在监管改革来临之前,还有一段路需要走,但是,改变即将发生并且将直接影响商业模式。
4、 伦理带来的新维度。
如果前面的论述不足以供企业应对数据问题,那么,政府、政策制定者、市场参与者以及个人正在越来越多将伦理关切引入数据领域。超越合规层面,股东们正在被要求关注其行动的伦理影响。当下人们聚焦人工智能技术,但是,合乎伦理的处理数据将很快被更加普遍的期待。虽然,这不是法律合规问题(虽然改变在继续,尤其是欧洲,但是我们尚处于起步阶段),但是,按理说它同样重要,因为这关系到消费者信心。
5、 集体诉讼的兴起。
一些行业已经感受到了消费者对企业使用数据信任的丧失,而且还将可能在2019年继续引发消费者维权行动以及行业和监管机构的监管反应。从诉讼的角度看,这也是确实存在的,因为消费者正变得越来越重视他们的权利而且愿意通过合理成本行使和维护权利。因此,企业应做好源自消费者诉讼的应诉策略准备,诸如发生在美国、英国、加拿大和澳大利亚的集体诉讼的维权形式正在增加。特别是在美国,新的《加州消费者隐私法》规定了针对数据泄露行为的私人诉权,且规定每个消费者针对每起事件可获得高达750美元的法定赔偿金。
作者:Brian Hengesbaugh & Anna von Dietze,Baker Mckenzie
译者:张志胜 北京秀中律师事务所
(仅供研究学习所用,凡冀商业用途,务必联系作者)
