2019 年 4 月 9 日，加拿大隐私专员办公室 (OPC) 发布了一项关于跨境数据流动的新咨询，建议要求组织在向加拿大境外传输个人数据时必须获得个人的明示或暗示同意。 OPC 将在 2019 年 6 月 4 日之前接受咨询意见。

此次咨询与 OPC 目前对加拿大《个人信息保护和电子文件法》(PIPEDA) 规定的跨境数据传输要求的解释有很大不同。 OPS 在其 2009 年跨境数据传输指南中规定的当前完善的跨境要求允许组织依靠问责原则来保护在加拿大境外传输的个人数据。

磋商会建议根据相关信息的敏感性和个人的合理期望，要求对跨境数据传输进行明示或默示同意。 OPC 将其描述为“伤害风险”分析，如果存在“潜在的伤害风险将成为现实并将显着的重大风险”，则需要明确同意。

为了支持其提议的变更，OPC 解释说，问责制原则仅“部分”规范跨境数据处理，并且“PIPEDA 中没有任何内容可以免除数据传输……的同意要求。”因此，OPC 的观点是，PIPEDA 下的一般要求——组织在收集、使用或披露个人数据时必须征得同意，除非有列举的例外情况——同样适用于跨境数据传输。

在请求同意时，组织需要向个人提供有关向第三方（包括加拿大境外的接收者）披露的“明确信息”以及此类披露的相关风险。此外，如果个人选择不同意，组织将需要告知他们可能可用的任何替代选择。如果跨境转移是“服务交付的一部分”，组织将不需要提供替代选择。

我们的看法

虽然我们看到监管个人数据跨境传输的尝试激增，但现实仍然是数据无缝跨境流动。作为必需的隐私披露的一部分——包括在隐私通知和政策中，要求组织通知消费者跨境转移是合理的。同意要求甚至会超过 GDPR 对跨境数据传输的限制，并可能对美国和加拿大的企业造成破坏。

本文：https://cioctocdo.com/canadas-privacy-commissioner-recommends-consent-c…