【编者按】2020年2月国际隐私专业协会( IAPP , the International Association of Privacy Professionals )发布报告《2020全球数据隐私立法预测》( 2020 Global Legislative Predictions )。该报告对全球31个国家在数据隐私方面的最新举措进行了梳理分析,发现几乎所有国家都将在今年加强隐私和数据保护的监管和执法力度。其中,中国在2020年初已正式实施新《密码法》,并计划推进《个人信息保护法》等重要立法;美国仍在商议联邦隐私法,并在卫生医疗等领域继续探讨相关立法的适用性;英国正在为脱欧后的政策执行做准备,计划过渡期后施行“英国GDPR”;德国将发布《数字医疗法案》( Digital Healthcare Act ),商议《IT安全法2.0 》( IT-Security Law 2.0 ),并进一步扩大法律适用范围;丹麦今年的立法重点在于拟议刑事立法对隐私的影响;印度正在紧张商议《个人数据保护法》(Personal Data Protection Law),有望今年通过;日本由于受隐私丑闻的影响,将进一步修订《日本个人信息保护法》 ( Personal Information Protection Commission of Japan ),增强数据主体的权利;新加坡计划将数据可携带权和数据创新条款引入《个人数据保护法案2012》( Personal Data Protection Act 2012 ),同时将加强公共部门个人数据保护措施。赛博研究院选取该报告中针对上述代表性国家内容进行编译,供研究参考!
1、中国
2019年是中国网络安全等级保护2.0(简称等保2.0)的起步年。随着《新密码法》和《个人信息保护法(专家建议稿)》等发布,各界隐私专业人士对2020年强监管下的行业发展充满期待。
在立法方面,《个人信息保护法(专家建议稿)》将进一步修订,再提交至全国人民代表大会(NPC)进行审议,并有可能成为第十三届全国人民代表大会常务委员会的立法计划法案,该初稿对评估中国未来数据保护立法类型方面具有重要价值。
根据国务院2019年立法工作计划,《关键信息基础设施安全保护条例(草案)》可能在2020年完成更新。2020年下半年,建议各公司发布相关文件时,充分阅读五月以来的“国务院2020年立法工作计划”,以查看正在起草或定稿的下一个涉及数据保护或网络安全的法规文件。
在技术标准方面,预计《个人信息安全规范》(更新版)将在2020年完成,目前它已经通过了多个草案。它于2018年5月首次实施,如此迅速的更新显示出中国大陆在改进数据保护实践方面的强烈意愿。
在执法方面,新《密码法》于2020年1月1日正式施行。2019年打击APP应用侵犯用户权益的行动成功开展,预计2020年该项执法活动将继续进行,无视数据保护的APP应用将受到监管机构的强势监管,对所有处理个人信息企业而言,数据保护和网络安全的合规义务都需要面向等保2.0合规性而开展。
2、美国
2019年,美国在联邦隐私立法方面动作颇多,有人认为是由2020年1月1日生效的《加利福尼亚消费者隐私法》(CCPA, California Consumer Privacy Act)所触发的,包括大型科技企业和隐私权倡导者在内的许多阵营对联邦隐私法都有不同的呼声,有人认为《加州消费者隐私法》或《欧盟通用数据保护条例》(GDPR,EU General Data Protection Regulation)应作为隐私和数据保护的准则。2019年末,参议院引入了两项独立的综合联邦隐私法(《消费者在线隐私权法案》(COPRA)和《消费者数据隐私法案》(CDPA),目前尚处于提案阶段)。在制定联邦法律之前,美国希望更多的州致力于制定自己的数据隐私法。
随着美国卫生与公共服务部(HHS)下属民权办公室(OCR)执法工作的升温,卫生医疗领域的隐私问题已成为媒体关注焦点。OCR在政策制定过程中对《健康保险可转移性和责任法案》 ( HIPAA, Health Insurance Portability and Accountability Act)不断进行了修改。但是,随着科技公司和其他公司逐渐进入传统的卫生医疗行业,HIPAA如何适用于卫生医疗数据的收集和分析,以及适用对象问题仍然存在很多争议。
联邦隐私法中关于卫生医疗问题争论的焦点在于新的联邦法律将对卫生医疗行业产生什么样的限制。许多新的法案将监管实体从HIPAA中划分出来,其他法案则提出了新的义务,并将其强加于HIPAA等现有法律之上。广义上讲,卫生医疗行业目前正在努力适应新的监管结构,因为不同法案对于卫生医疗行业的不同细分领域存在不同的规定。例如,在加利福尼亚州,卫生医疗公司现在分为三类(如果包括雇主,则为四类),其中有的公司受HIPAA监管,有的受《加利福尼亚医疗信息保密法》(California Confidentiality of Medical Information Act)的监管,还有的受《加利福尼亚消费者隐私法》(California Consumer Privacy Act)的监管。我们将持续观察(这个行业应该深入思考)这个分散的监管系统是否是对消费者和整个行业而言都是保护隐私、维持秩序的良好手段。HIPAA在适用范围内运作良好,但它面临的挑战在于适应不断发展的行业结构,这个行业结构不仅仅依靠卫生医疗提供者和政府医疗计划。
3、英国
2019年12月12日举行的大选是英国数据保护的重要转折点。鉴于保守党政府占议会多数席位,英国于1月31日正式脱欧。英国将不再参与包括欧洲议会和理事会在内的欧盟机构。同样,英国也将不再是欧洲数据保护委员会(EDPB)的常任理事国。但是,在英国脱欧过渡期间(截止于2020年12月31日,预计可以通过协议延长该期限一到两年),信息专员办公室(ICO)可以在脱欧过渡期间以观察员身份参与欧洲数据保护委员会,讨论由ICO主导的“一站式”方案。不过,在过渡期结束之后,欧洲数据保护委员会议事规则会将英国排除在外。这些修订规则于2019年12月2日发布,其中包括一个新条件,即观察员身份只能授予欧盟成员国。一旦过渡期结束,这一条件将把英国排除在进一步审议之外,除非可以商定其他安排。
根据英国的适用法律,《欧盟通用数据保护条例》(GDPR)将由英国GDPR代替。但是,自退出之日起,欧盟委员会和英国政府将在过渡期结束前就充分性决定进行谈判。双方在有关欧盟与英国未来关系的政治宣言中都做出了政治承诺。当前的困境在于,如果不进一步延长过渡期,是否可以在11个月内做出适当决定。在双方都承认达成协议的重要性的前提下,时间期限相当紧迫,谈判的顺利程度还有待观察,特别是在关于国家安全数据处理问题上的谈判可能陷入胶着状态。
4、德国
2019年11月,《第二版欧盟数据保护和实施法案》(Second EU Data Protection Adaptation and Implementation Act)生效,有望在2020年产生全面影响。新的《联邦数据保护法案》(Federal Data Protection Act )除了重要条例与《欧盟数据保护标准》(EUData Protection Standards)保持一致之外,其他方面进行了修订,包括但不限于以下几点:所有必须任命数据保护官(DPO)的组织,其任命的DPO人数下限由原来10位变为20位,且DPO需长期从事个人数据处理相关工作;在关乎重大公共利益的事件上,对于特殊个人数据的处理将遵循新的克减条例(derogation),而不需征求数据主体的同意;电子版授权在需求关系中同样有效,并且不再需要数据主体的书面同意。
《电子隐私法令》(ePrivacy Directive)在德国施行的不确定性导致德国公司Planet于2019年10月向欧洲法院发起诉讼。《第二版欧盟数据保护和实施法案》并未解决这些分歧。在《电子隐私法规》(ePrivacy Regulation)生效之前,该领域的类似情况仍可能发生。
《数字医疗法案》(Digital Healthcare Act)预计于2020年生效,旨在规范网络医疗应用程序,这些应用程序通过在线视频提供医疗咨询或者通过访问医疗数据库以提供治疗方案。
自2019年3月以来一直在商议的《IT安全法2.0》是否会在2020年施行尚不明确。该法律将关键基础设施的覆盖范围扩展至更多的行业,进一步明确了IT安全方面的责任,建立了一般性安全认证标准,并且计划扩大联邦信息安全办公室的影响力。
此外,德国监管机构的以下举措预计将在2020年全面实施:按照企业年营业额以及违法行为的严重程度处以不同金额的罚款、根据GDPR实施经验对《欧盟通用数据保护条例》做出调整,以简化法律框架。
5、丹麦
丹麦自2018年5月起实施《丹麦数据保护法》后,2020年的立法重点是拟议刑事立法对隐私的影响。
今年值得关注的一项重要立法是所谓的“安全一揽子计划”(safety package),该计划于2019年在议会中提出,但由于6月议会大选而被取消。该法案预计将在2020年1月重新发布,其作用是加强公共场所的视频监控,以预防和解决犯罪。
这项立法尚存争论,因为有些人认为视频监视将给予公民较少的自由,而另一些人则表示视频监视反而给予公民更多的自由。后者的主要观点为,监视能够给公民带来更高的安全感(前提是它实际上可以预防犯罪),而安全和保障是自由的基本条件。
在监管方面,人们正在等待法院第一个针对数据罚款的裁决。数据保护机构(DPA)——Datatilsynet没有处以罚款的权利,但他们以“拒绝删除客户数据”为由已向警察提交了两起违反《欧盟通用数据保护条例》第5(1)(e)条中的保留原则的刑事诉讼,DPA提议的罚款额分别为16万欧元和20万欧元。
此外,丹麦DPA率先签署了标准数据处理协议,欧洲数据保护委员会已对协议进行了审查,并于2019年7月发表了意见。丹麦DPA于2019年底根据该意见发布了修订版协议(提供丹麦语和英语版本)。
6、日本
2019年1月,欧盟和日本通过了一项决定,承认彼此的数据保护制度符合双方认定水平,从而降低了两大管辖区之间数据传输政策壁垒。
但是,日本个人信息保护委员会(PPC)对《日本个人信息保护法》(APPI,Personal Information Protection Commission of Japan)提出了重大修正案,旨在进一步加强日本的数据主体权利。这项举措的导火索可能源于日本最大的隐私丑闻的发生,该丑闻涉及一家招聘公司向其客户出售数据,该招聘公司通过收集学生在工作信息网站上的浏览历史数据,分析应届生拒绝工作的可能性并向其客户出售。
根据PPC的最新公告,拟议的修订将包括有关向第三方提供浏览数据的法规,加强与数据访问和删除有关的数据主体权利,引入强制性数据泄露通知,以及对违反APPI的行为施以更严厉的制裁。这些提议将在2020年例会上作为日本国会议程的法律起草,修订后的法律可能会在2020年或2021年生效。
7、印度
印度新的《个人数据保护法》(PDPB, Personal Data Protection Bill)将是2020年最值得关注的关键立法,这项法律将影响世界上13多亿公民。
印度政府多年来一直致力于制定全面的数据保护法,但是直到2017年印度最高法院将隐私权视为印度宪法所保障的不可剥夺的、固有的基本公民权利时,数据保护法立法才推向高潮。印度政府任命了一个委员会来起草新法案,该委员会在2018年宣称其拟议法律的方法是一种不同于美国、欧盟、中国的“隐私,自治和授权的第四条道路”。
该法律草案被广泛认为是现代化的数据保护立法,但仍有些方面颇具争议,例如国家数据本地化存储、政府和数据保护机构在关键事项上的自由裁量权、关乎国家安全利益的广泛豁免以及刑事执法。其中许多问题已引起政府的高度关注,并草拟了新的提案。
PDPB于2019年12月在议会中提出。PDPB是基于委员会先前的法律草案而制定的,但有两者存在许多差异。在反对党的抗议下PDPB未能顺利通过,最终将送交至议会两院的联合特选委员会进行进一步审查。预计该委员会在2020年议会预算会议结束之前提交其报告后,该法律有望通过。
此外,2019年制定的《 DNA技术(使用和应用)条例》(草案)(the DNA Technology (Use andApplication) Regulation Bill)——旨在限制DNA技术用于人体识别,预计也将在2020年通过。印度目前正在开发全国性的人脸识别系统,这可能是全球最大的人脸识别系统,可能需要单独的立法。
在印度复杂的政治形势和议会制度下,立法部门需要保持严谨的态度。由于Bharatiya Janata党无法在国会上议院中获得足够的票数,PDPB未被通过,这令很多人感到惊讶,而这件事就发生在上议院艰难地通过了一部有争议的法案之后。
总体而言,2020年有望成为印度的隐私立法年,也是居民基本隐私权与国家经济和安全利益之间为寻求平衡而进行广泛辩论的一年。
8、新加坡
新加坡的隐私治理格局将在2020年发生两项重大变化:
首先,个人数据保护委员会(PDPC)正在考虑将数据可携带性和数据创新条款引入2012年的《个人数据保护法案》(PDPA, Personal Data Protection Act)。该提案是通过公开征询意见的方式以及PDPC对PDPA进行的持续审查得出的。与PDPA的早期商业应用一致,PDPC试图统一GDPR和PDPA以实现数据安全传输。新加坡政府认识到数据可携带性已被包括欧盟在内的多个司法管辖区引入,并且许多国家(例如印度,日本,新西兰和美国(加利福尼亚))也在考虑引入数据可携带性权,PDPC正在考虑在PDPA中添加数据可携带性。新增的数据创新条款将促进新加坡的产业创新,并保护创新者个人权益。根据该提案,出于商业创新目的,组织将无需征求用户同意即可将个人数据用于相关业务。
其次,迄今为止,新加坡的公共部门一直不在PDPA的管辖范围之内。但是,在2019年发生两起重大数据泄露事件(SingHealth网络攻击和HIV数据泄露事件)后,公共部门的个人数据保护系统将进行全面检查。新加坡政府决定,截止2023年底,为保护公民个人数据,各公共部门将全面实施新的数据安全措施。其中一项具体措施为:将第三方供应商纳入PDPA约束范围(首次),因滥用个人数据而受到的罚款最高可达100万新加坡元。
编译 | 李顾元/上海社会科学院信息所研究生
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。