2022年6月16日，下议院提出并通过了法案C-27，该法案旨在制定《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》，并对其他法案进行相应和相关修订，也被称为《数字宪章实施法2022》（“DCIA 2022”）。2021，《2020年数字宪章实施法案》的C-11法案未能通过。2022年DCIA分为三个主要部分，旨在制定三项新法案，即《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》。

在本文中，OneTrust DataGuide Research概述了DCIA 2022的各个部分及其主要条款，重点介绍了业务的关键发展和注意事项。

介绍

DCIA 2022旨在制定规则来管理个人信息的保护，并以一种承认个人对其个人信息的隐私权，以及组织收集、使用或披露此类个人信息的相关需求的方式，以达到理性人士认为适当的目的。

为确保这一点，DCIA 2022将适用于以下个人信息方面的每个组织：

• 在商业活动过程中收集、使用或披露；或
• 是关于该组织的雇员或申请者，该组织收集、使用或披露与联邦工作、事业或业务运营相关的信息。

为了澄清其在个人信息方面的适用范围，DCIA 2022还规定其适用于个人信息：

• 由组织跨省或国际收集、使用或披露的信息；或
• 由省内组织收集、使用或披露的信息，但该组织不得豁免DCIA 2022的应用。

第1部分：消费者隐私保护法

DCIA 2022第1部分将颁布《消费者隐私保护法》，该部分将对《2000年个人信息保护和电子文件法》（“PIPEDA”）下的现行监管制度进行若干修改。值得注意的是，该法案旨在废除PIPEDA的第1部分，并将其更名为《电子文件法》，从而改变其性质，转而允许《DCIA 2022》，特别是《消费者隐私保护法》成为主要的私营部门隐私监管制度。

从这个意义上讲，《消费者隐私保护法》将规范个人信息的保护，并解决组织在商业活动过程中收集、使用或披露此类信息的问题。具体而言，它将围绕以下方面作出规定：

• 同意和规定的例外情况；
• 组织的义务，包括：
  • 责任
  • 适当的目的；
  • 收集、使用和披露限制；
  • 数据保留和处理要求；
  • 保持数据准确性的要求；和
  • 安全保障；
• 加拿大隐私专员办公室（“OPC”）的权力、职责和职能；
• 行政罚款和执行令；和
• 私人诉讼权等。

组织的义务

责任

DCIA 2022将为组织在个人个人信息的管理和处理方面确立若干义务，其中一些要求在PIPEDA中，其他要求将得到扩展或改进。这些义务包括组织对其实践的责任，除其他外，要求指定一名或多名个人负责与组织义务相关的事宜。

此外，组织将被要求实施和维护隐私管理计划，其中包括组织履行其义务的政策、实践和程序。此类政策、做法和程序应考虑个人信息的保护、信息请求和投诉的接收和处理方式、有关政策、做法、程序的员工培训和信息，以及解释政策和程序的材料的开发。

适当目的

其他全球隐私法中也存在一项关键要求，即有义务为个人个人信息的收集、使用和披露提供适当的目的。在这方面，《DCIA 2022》规定，组织只能以合理的人认为适当的方式和目的收集、使用或披露个人信息，无论是否需要同意。确定适当的目的也需要在收集时或之前完成，如果收集的信息将用于或披露用于新的目的，则在任何此类收集或披露之前，必须有该新目的的记录。

为了便于理解，DCIA 2022规定了在确定收集、使用和披露的适当目的时应考虑的因素，即：

• 个人信息的敏感性；
• 目的是否代表合法的业务需求；
• 收集、使用或披露在满足组织合法业务需求方面的有效性；
• 是否有较少侵入性的手段来实现这些目的；和
• 根据为减轻隐私损失的任何影响而实施的措施，隐私损失是否与收益成比例。

然而，一般而言，DCIA 2022要求组织限制个人个人信息的总体收集、使用和披露，并避免为进一步目的采取任何此类行动，除非获得个人的有效同意。

同意

同意是加拿大私营部门隐私立法中的一个广泛讨论的话题，以及如何在PIPEDA下对其进行监管，OPC就此问题发布了更多指南。现在，DCIA 2022的目标是制定同意要求和需要同意的例外情况。

一般而言，DCIA 2022要求个人的同意有效，为了确定同意是否有效，DCIA 202应在寻求同意时或之前以简单语言提供以下信息：

• 收集、使用或披露的目的；
• 收集、使用或披露个人信息的方式；
• 此类收集、使用或披露的任何可合理预见的后果；
• 要收集、使用或披露的特定类型的个人信息；和
• 可能向其披露个人信息的第三方名称或第三方类型（如有）。

一旦给予同意，个人也可以在合理通知后随时撤回同意。

尽管如此，DCIA 2022还概述了组织无需获得同意的各种情况。其中包括：

• 理性人预期的某些商业活动，如必要的活动；
• 组织的合法利益超过了对个人的任何潜在不利影响；
• 向服务提供商传送个人信息；
• 在满足某些附加标准的情况下，作为预期商业交易的一部分使用和披露；
• 业务关系中的某些注意到的情况；
• 向律师或公证人披露；
• 符合公共利益的情况；
• 调查；
• 向政府机构披露；
• 法律要求时；和
• 如果信息是公开的。

安全保障

正如其他国家隐私法中常见的那样，组织对维护个人信息及其系统的安全性有要求。在这种情况下，DCIA 2022要求各组织通过物理、组织和技术安全保障措施，以与信息的敏感性相称的方式保护个人信息，同时还考虑信息的数量、分布、格式和存储方法。

DCIA 2022接着简要介绍了安全事件和违规行为，要求将此类事件通知个人和任何其他机构。此类通知必须在组织确定违约发生后尽快发出，通知中应包含足够的信息，以了解违约的重要性以及为降低伤害风险而采取的措施。在理解事件是否可能导致重大伤害风险时，DCIA 2022考虑了涉及的个人信息的敏感性、个人信息已经、正在或将被滥用的可能性以及任何其他规定因素。

透明度和隐私政策

隐私政策的规定是隐私相关法律中的另一个常见元素，DCIA 2022也不例外。因此，它将要求各组织以通俗易懂的语言提供解释组织政策和做法的信息，这些信息包括：

• 组织控制下的个人信息类型说明；
• 组织如何使用个人信息的一般说明；
• 解释组织如何将例外情况应用于其获得同意的要求；
• 组织拥有合法利益的活动说明；
• 组织使用任何自动决策系统的一般说明；
• 组织是否在国际或跨省范围内转移或披露可能会对隐私产生合理可预见影响的个人信息；
• 适用于敏感个人信息的保留期；
• 个人如何提出处置或访问其个人信息的请求；和
• 可向其提出投诉或信息请求的企业和个人的联系信息。

OPC的权力、职责和职能

一般而言，DCIA 2022概述了OPC专员的主要权力，包括：

• 与运营经批准认证计划的实体相关的各种权力；
• （a）如专员信纳有合理理由调查某事项，则提出投诉；
• 与专员基于合理理由认为已实施、即将实施或可能实施可能构成违反的行为或不行为的组织签订合规协议；
• 在某些情况下审核组织的个人信息管理实践；和
• 建议如果专员发现某组织违反了DCIA 2022，则处以罚款。

除了这些权力外，OPC在组织的活动和合规努力方面还具有进一步的职能。有趣的是，DCIA 2022将为组织提供向OPC申请批准实践守则的可能性，该守则提供与DCIA 2021下的部分或全部保护基本相同或更大的保护，OPC有权批准或拒绝任何此类实践守则。

行政和货币处罚

虽然专员可能建议对违规行为处以罚款，但最终将由《个人信息和数据保护法庭法》设立的个人信息和信息保护法庭（“法庭”）处以罚款。如果要实施处罚，按照仲裁庭评估是否实施处罚的必要程序，对建议中所有违规行为的最高处罚为1000万加元（约7330020欧元）和实施处罚前该组织财政年度全球总收入的3%。

私人诉讼权

DCIA 2022将规定，受构成违反DCIA 2021的组织行为或不行为影响的个人可就所遭受的损失或伤害向该组织提起诉讼。然而，DCIA 2022提供了一种可能性，如果：

专员发现该组织违反了DCIA 2022，该发现为：

• 未提出上诉，且上诉时限已过；或
• 仲裁庭驳回了对该裁决的上诉；或
• 仲裁庭裁定该组织违反了DCIA 2022。

第2部分：个人信息和数据保护法庭法

DCIA 2022第2部分将颁布《个人信息和数据保护法庭法》，将规定设立法庭，并包含以下条款：

• 法庭的管辖权；
• 法庭的组成；
• 法庭听证会的性质；和
• 除其他外，法庭的权力和判决的执行。
• 更具体地说，在《个人信息和数据保护法庭法》的各项规定中，法庭对上诉和处罚具有管辖权。

第3部分：人工智能和数据法

最后，法案的第三部分将颁布《人工智能和数据法》，旨在规范人工智能系统（“AI”）中的国际和省际贸易和商业。为此，除其他外，它将：

• 要求采取措施减轻与高影响人工智能系统相关的伤害和偏差输出风险；
• 提供人工智能的公开报告；
• 授权创新、科学和工业部长（“部长”）下令制作与人工智能系统相关的记录；和
• 制定与拥有或使用非法获取的个人信息相关的禁令，以设计、开发、使用或提供人工智能系统，并在对个人造成严重伤害的情况下提供此类信息。

私营部门人工智能的监管

在通过《人工智能和数据法》监管人工智能时，DCIA 2022概述了人工智能系统需要遵守的各种要求。具体而言，DCIA 2022将要求采取措施，说明数据匿名化的方式，以及此类数据的使用或管理，适用于开展受监管活动、处理或提供匿名数据以供在该活动过程中使用的人员。

此外，对于高影响系统，必须制定措施，以识别、评估和减轻使用人工智能系统可能导致的伤害或偏差输出的风险。

DCIA 2022还要求发布描述，该描述必须在公开网站上，并以简单的语言描述高影响系统的使用及其运行的任何管理。关于前者，作为高冲击系统使用说明的说明必须说明：

• 系统的预期使用方式；
• 计划生成的内容类型以及计划做出的决策、建议或预测；
• 缓解措施；和
• 法规可能规定的任何其他信息。

同样，作为对系统管理操作的说明，必须说明：

• 如何使用该系统；
• 生成的内容类型以及做出的决定、建议或预测；
• 缓解措施；和
• 法规可能规定的任何其他信息。

如果由于使用高冲击系统而发生或可能发生任何物质损害，必须尽快通知部长。

与人工智能系统相关的犯罪

在其他注意到的犯罪和违反DCIA 2022的行为中，它还涉及与人工智能系统相关的具体犯罪。其中一项罪行涉及拥有或使用个人信息。具体而言，如果出于设计、开发、使用或提供人工智能系统的目的，个人拥有或使用个人信息，并且知道或相信该信息是直接或间接获得或衍生的，则视为犯罪：

• 在加拿大或省级立法机构犯罪；或
• 任何地方的作为或不作为，如果发生在加拿大，将构成此类犯罪。

此外，在使人工智能系统可供使用方面，《DCIA 2022》规定，如果一个人：

• 在没有合法理由且知道或轻率地判断使用人工智能系统是否可能对个人造成严重的身体或心理伤害或对个人财产造成重大损害的情况下，使人工智能系统可供使用，并且这种使用会造成伤害或损害；或
• 意图欺骗公众并给个人造成重大经济损失，使人工智能系统可供使用，且其使用会造成该损失。

结论

加拿大议会下议院正在审议《2022年DCIA》。它已经完成了一读，但在提交参议院审议之前，必须在下议院进行三读，参议院也必须进行三读。

因此，还有一些时间来观察该法案将如何进展，以及与2021的前任法案C-11相比是否会有任何进一步的进展。

本文：https://cioctocdo.com/canada-digital-charter-implementation-act-2022-wh…