x

【亚洲隐私发展】亚洲隐私发展——跨国公司需要知道什么?

cioctocdo
22 June 2023
SEO Title
Asia privacy developments – What do multinationals need to know?

文章分类

亚洲的隐私法正在发生变化。在过去的12个月里,包括澳大利亚、中华人民共和国、印度、印度尼西亚、日本、泰国和越南在内的几个关键司法管辖区要么出台了其司法管辖区首个全面的数据保护法,要么正在更新和改革其现有的隐私法。这包括:

  • 澳大利亚:修订了1988年《隐私法》,推出了《2021年电信条例》和《2018年关键基础设施安全法》
  • 中华人民共和国:颁布了《个人信息保护法》(“PIPL”)
  • 印度尼西亚:已通过期待已久的《数据保护法》
  • 日本:更新了《个人信息保护法》
  • 泰国:已出台《个人数据保护法》B.E.2562(2019)
  • 越南:最近通过了第13/2023/ND-CP号法令

我们探讨了这些发展中的一些关键主题,并考虑了这些新法规可能对该地区的企业运营产生的影响。

与GDPR相似,但不相同

亚洲的许多司法管辖区在其数据隐私制度中借鉴了《通用数据保护条例》的概念,但存在地方差异和概念,在某些情况下,这些差异和概念超出了《通用数字保护条例》规定的同等地位。

例如,在中华人民共和国,PIPL反映了GDPR下的大多数原则。它授予各种数据主体权利,定义处理个人数据的具体法律依据,使用数据控制者和数据处理者的概念,并要求指定数据保护官员和当地代表。然而,也有一些关键的区别。这包括中国的跨境转让限制(详见下文),以及超出GDPR范围的隐私声明的额外要求。

印度尼西亚、泰国和越南等其他司法管辖区也大量借鉴GDPR,但也有地方差异。例如,越南法律引入了《通用数据保护条例》中“数据控制者”和“数据处理者”的概念,但引入了“数据控制和处理者”这一新概念——既决定目的和手段,又直接处理个人数据的一方。

这意味着,已经嵌入GDPR流程的亚洲组织仍需要仔细评估这些新出台的法律,并了解哪些领域需要额外的合规工作。

对于没有嵌入GDPR流程的亚洲组织来说,合规性提升要大得多。您需要实施一项新的合规计划,以确保您的组织能够遵守这些全新的数据隐私法。

跨境传输规则和数据流

各国政府和监管机构也将重点转向个人数据的跨境转移。

以日本为例,组织向外国司法管辖区的第三方转让个人数据必须事先获得相关数据主体的同意,除非

  • 该司法管辖区的数据保护系统被个人信息保护委员会(“PIPC”)视为具有与日本一样的充分保护水平,或
  • 第三方已经建立了满足PIPC建立的标准的足够的数据保护系统。

实际上,寻求获得同意的组织必须向数据主体提供数据主体可以用来评估拟议转让的信息。这包括:

  • 个人数据将被转移到的司法管辖区的名称,
  • 个人数据将被转移到的司法管辖区的数据保护系统概述,以及
  • 在第三方建立的数据保护措施。

印尼的新法律还包括对跨境转移的限制,并要求组织确保个人数据出口国的数据保护水平等于或高于印尼的新法。与印尼之前的《个人数据保护法案》草案中的数据本地化义务相比,这一最终立场实际上被淡化了。

对于从越南跨境转移个人数据,向国外转移数据的组织必须进行转移影响评估,并签订一份具有法律约束力的文件,规定数据出口商和数据进口商在从越南转移数据方面的责任

此外,向国外传输数据的一方必须向网络安全和高科技犯罪预防部提交影响评估。然而,请注意,《网络信息安全法》包含了对本地和外国电信服务、互联网服务和增值服务提供商的强制性数据本地化要求。这些并没有被越南的新发展所修正。

最后,我们详细探讨了中国新的数据出口制度和新的SCC,您可以在这里这里这里找到。

这些发展意味着,各组织需要仔细评估其在亚洲的跨境数据流,以确定需要遵守的限制。

任何在欧盟也有业务的组织——并且在整个集团范围内都有欧盟SCC——仍然需要评估如何将这些SCC纳入该组织在亚洲跨境转移的合规流程。

域外效应

另一个共同主题(例如在中华人民共和国和泰国)是适用与GDPR中类似的域外条款。这些法律不仅适用于这些管辖区内的个人数据处理,而且在数据处理活动(一)涉及向位于这些管辖区的个人提供产品或服务的情况下,也适用于域外数据处理;或(ii)与监督此类管辖范围内此类个人的行为有关。

此外,在澳大利亚,澳大利亚联邦法院认为,有一个初步证据表明,离岸社交媒体提供商开展的活动相当于在澳大利亚开展业务和收集个人信息。虽然这一决定正在上诉中,但预计本案的结果将对澳大利亚1988年修订的《隐私法》的域外适用产生重大影响。

域外效应的增加意味着,总部位于亚洲的组织需要仔细评估哪些法律将适用于该组织,以及基于风险的方法是否可行。例如,如果该组织在该管辖区没有子公司或实地业务,那么监管机构在该市场的任何执法都可能在法律和实践上具有挑战性。

所有这些都支持新的重大制裁

这些义务得到了新的重大制裁的支持,一些国家采用了基于营业额的GDPR方法罚款。例如:

  • 澳大利亚:违反数据隐私法的最高罚款从220万澳元(约147万美元)增加到以下两者中的较大者:(i)5000万澳元(约合3345万美元);(ii)从该违约行为中获得的利益价值的三倍;或(iii)如果无法确定该价值,则为违约发生的营业额期间营业额的30%。
  • 新加坡:新加坡的罚款上限提高到100万新加坡元(约75万美元),或当地年营业额超过1亿新加坡元(约合750万美元)的组织年营业额的10%,以较高者为准。
  • 中国:同样,在中国,最高可处以5000万元人民币(约720万美元)或上一年营业额5%的罚款。
  • 日本:虽然日本没有采用这种基于百分比的上限,但违反数据隐私法的最高罚款从300000日元(约2200美元)大幅增加到1亿日元(约74万美元)。

此外,在一些法域,负责官员可能面临个人责任。例如,中国的负责官员可能会被处以最高100万元人民币(约14万美元)的罚款。

潜在执法的规模意味着,数据隐私问题很快将成为(如果还没有的话)亚洲许多组织的董事会层面的问题,要求组织在遵守此类法律方面进行大量投资。

如果您有任何问题,请联系我们。请继续关注我们看到的进一步更新。

文章链接
https://cioctocdo.com/asia-privacy-developments-what-do-multinationals-need-know

标签