文章分类
本介绍旨在强调过去一年国际隐私和数据保护领域的主要发展。该出版物于2013年首次推出,指出了全球隐私和数据保护法的快速发展,并反映了导致这些全球发展的商业和社会压力。自第一版以来,这些经济和社会压力一直没有减轻,它们越来越多地引发立法者监管个人信息使用的新举措。
隐私和数据保护规则的指数级增长助长了这样一种观点,即个人信息已成为当今数据驱动经济的新“石油”,管理其使用的法律变得越来越重要。
与前几版相同的警告在今天仍然有效:随着隐私和数据保护规则的不断发展,任何关于该主题的出版物在发行后不久都可能过时。因此,任何关注涉及本出版物所涵盖司法管辖区的新项目的人都应核实自撰写之日以来是否有新的立法或监管发展。
法律的趋同
在本出版物的前几版中,强调了不同司法管辖区隐私和数据保护法律的类型和内容的差异。人们还注意到,尽管不同司法管辖区的隐私和数据保护法相差甚远,但它们往往侧重于相似的原则和共同的主题。
自隐私和数据保护法出台之初,世界各地的政策制定者就一直主张不同的法律家族和国际标准之间需要“趋同”。当时的想法是,不同的方法会逐渐融合,随着时间的推移,隐私和数据保护的全球标准会出现。尽管毫无疑问,隐私和数据保护的趋同方法将使企业和消费者都受益,但真正的全球隐私和数据防护标准要成为现实还需要很长时间。
隐私和数据保护规则不可避免地受到不同地区的法律传统、文化和社会价值观以及技术发展的影响。全球企业应考虑到这一点,特别是如果他们希望在涉及个人信息(例如,关于消费者或员工)处理的各个地区引入或更改业务流程。尽管全球企业在其整个组织中实施隐私和数据保护的共同标准是绝对合理的,无论个人信息在哪里收集或进一步处理,但当地法律和实践中总会存在差异,这些差异可能会对个人信息的使用方式或应用方式产生重大影响。
国际文书
一些国际文书继续对隐私和数据保护法的制定产生重大影响。
主要的国际文书有:
- 欧洲委员会《关于在自动处理个人数据方面保护个人的公约》(第108+号公约);
- 经合组织隐私建议和准则(经合组织准则);
- 《欧洲联盟通用数据保护条例》;
- 亚太经济合作组织隐私框架;和
- 《非洲联盟网络安全和个人数据保护公约》。
第108号公约最初于1981年通过,但在2018年进行了修改,以更紧密地反映当时的数据保护规范。新采用的形式被称为第108+号公约。在2018年更新之前,已有53个国家批准了《108号公约》;2018年6月,佛得角和墨西哥成为继毛里求斯、乌拉圭、塞内加尔和突尼斯之后第五个和第六个批准第108号公约的非欧洲国家;2023年,摩尔多瓦共和国签署了经修改的《第108+号公约》,法国、冰岛和阿根廷批准了该公约。截至撰写本报告之日,已有45个国家签署了经修订的《第108号公约》。除其他外,经修订的《公约》现在将基因和生物特征数据列为额外类别的敏感数据,对数据主体权利的现代化方法(通过承认在不考虑数据主体意见的情况下不受自动决策影响的权利,以及个人应有权理解此类处理背后的根本原因),并明确要求签署人明确规定处理个人数据的可用法律依据。《108+号公约》还要求每个缔约方建立一个独立的机构,以确保遵守数据保护原则,并制定国际数据传输规则。第108+号公约对任何国家开放签署,并声称是唯一一项提供有可能在全球适用的具有约束力的标准的文书。可以说,它已经成为欧洲及其他地区数据保护法律的支柱。
经合组织准则没有经过正式的通过程序,而是由经合组织理事会于1980年制定的。与《第108号公约》一样,经合组织的《准则》已于2013年7月得到审查和修订。在大多数欧洲国家已加入《第108号公约》的情况下,经合组织涵盖的国家范围更广,包括接受《准则》的美国。
《第108+号公约》(及其前身《第108号公约》)和经合组织准则最初可追溯到20世纪80年代。到20世纪90年代,欧盟越来越担心欧盟成员国在数据保护法方面的分歧,以及欧盟内部贸易可能受到这些分歧影响的可能性。因此,欧盟通过了第95/46/EC号数据保护指令,该指令由欧盟成员国实施,旨在建立一个统一数据保护规则的欧盟范围框架。数据保护指令95/46/EC在GDPR于2018年5月25日生效之前一直是欧盟数据保护的管理工具。
2004年,一项新的国际文书加入了这些文书,即2015年更新的《亚太经合组织隐私框架》。尽管该框架在推出时受到了批评,但它在推动亚太地区的隐私辩论方面一直具有影响力。该框架旨在促进亚太经合组织21个成员经济体采取灵活的隐私和数据保护方法,同时促进个人信息的跨境流动。2011年11月,亚太经合组织领导人批准了《跨境隐私规则》制度,这是一个基于自愿问责的制度,旨在促进亚太经合组织各经济体之间尊重隐私的个人信息流动。亚太经合组织CBPR系统被认为是欧盟对欧盟以外数据传输具有约束力的公司规则(BCR)系统的对应系统。截至本报告发表之日,有9个经济体参加了亚太经合组织建立信任关系制度,其中包括美国、墨西哥、日本、加拿大、新加坡、大韩民国、澳大利亚、台湾和菲律宾。
2014年6月,非洲联盟通过了《网络安全和个人数据保护公约》,作为非洲大陆第一个网络安全和私人数据保护的法律框架。其目标是解决非洲联盟成员国在网络安全领域统一立法的需要,并在每个成员国建立打击侵犯隐私行为的机制。迄今为止,已有18个非洲国家签署了该公约,14个国家批准了该公约。据报道,一些非洲国家已根据《公约》起草了数据保护法。
欧洲的做法
20多年来,数据保护法一直是欧洲法律体系的一个突出特点。在GDPR之前,每个欧盟成员国都引入了基于数据保护指令95/46/EC的立法,该指令规定成员国必须将该指令的数据保护原则纳入其国家法律。同样,欧盟成员国关于电子通信、营销和cookie使用的规则继续遵循欧盟关于隐私和电子通信的2002/58/EC指令的要求。
在GDPR之前,欧盟成员国、欧洲自由贸易联盟(冰岛、列支敦士登和挪威)和欧洲自由贸易区国家瑞士的数据保护法大致遵循相同的模式,因为它们都是基于或至少受到数据保护指令95/46/EC的启发。然而,由于数据保护指令95/46/EC不直接适用,所通过的法律在许多领域存在分歧。这导致了不一致性,这给需要遵守欧洲31项不同数据保护法的企业带来了复杂性、法律不确定性和额外成本。
这也是欧盟委员会于2012年1月推出欧盟数据保护改革的主要原因之一,其中包括GDPR以及警察和刑事司法部门的数据保护指令(警察和刑事法院数据保护指令)。GDPR建立了一套直接适用于整个欧盟的单一规则,旨在简化在欧盟开展业务的公司的合规性。欧盟委员会估计,GDPR每年可为企业节省约23亿欧元的成本。
经过四年的谈判,2015年12月15日,欧洲议会、欧盟理事会和欧盟委员会就一个新的、可以说更加协调的欧盟数据保护框架达成了妥协。理事会和议会于2016年4月通过了《通用数据保护条例》(EU 2016/679)和《警察和刑事司法数据保护指令》(欧盟2016/680),官方文本于下个月公布。GDPR于2016年5月24日生效,但于2018年5月25日生效。《警察和刑事司法数据保护指令》于2016年5月5日生效,欧盟成员国必须在2018年5月6日之前将其纳入本国法律。
GDPR是“游戏规则的改变者”,也是欧盟和国际数据保护法历史上最重要的发展之一。GDPR的影响不仅限于总部位于欧盟的企业,因为它适用于从欧盟以外进行的任何个人信息处理,涉及向欧盟个人提供商品或服务或监控欧盟个人。
所有欧盟成员国现在都颁布了当地数据保护法,以在一系列领域(如敏感数据处理和就业数据处理)补充GDPR,斯洛文尼亚于2023年1月成为最后一个这样做的国家。然而,这些成员国层面的立法举措并不一致,因此,企业再次发现,除了GDPR之外,他们还必须遵守不同的成员国法律。此外,欧盟的许多数据保护机构都发布了自己的指南和建议,说明如何遵守GDPR,而不考虑欧盟层面正在通过的指南(由欧盟成员国数据保护机构的代表,即欧洲数据保护委员会或前一法律下的第29条工作组)。欧盟和成员国层面的各种指导和建议引发了试图确定如何遵守GDPR的企业的困惑。
2016年4月,欧盟委员会启动了一项关于电子隐私指令审查的公众咨询。这项审查旨在追求电子隐私指令和GDPR之间的一致性,提出了一个问题,即既然GDPR已经通过,制定单独的电子隐私规则是否仍然必要和有意义。在2016年磋商之后,2017年1月10日,欧盟委员会通过了一项隐私和电子通信条例(电子隐私条例)提案,旨在取代电子隐私指令。该提案同时提交给欧洲议会、理事会和成员国议会,以及区域委员会和经济及社会委员会审查和通过。目标是在2018年5月25日GDPR适用时通过最终文本,但这一目标没有实现。2021年2月10日,在一系列进展报告和《电子隐私条例》修订草案之后,欧盟成员国代表就欧盟理事会关于《电子隐私法规》草案的谈判授权达成一致。欧盟成员国批准的文本是在葡萄牙担任主席期间编写的,是理事会与欧洲议会就《电子隐私条例》最终条款进行谈判的基础。理事会正在与欧洲议会讨论最后案文的谈判。一旦理事会和欧洲议会通过,草案文本规定了两年的过渡期,从《电子隐私条例》最终文本在《欧盟官方公报》上公布后20天开始。
除了修改一般数据保护的法律框架外,欧盟也越来越关注网络安全。自2013年通过《欧盟网络安全战略》以来,欧盟委员会为更好地保护欧洲人的网络安全做出了值得称赞的努力,最终于2016年7月制定了一项行动计划,通过与行业建立公私合作伙伴关系,进一步加强欧盟的网络抵御能力。此外,2016年7月6日,欧洲议会通过了《网络和信息安全(NIS)指令》,旨在保护能源、交通、银行和卫生等部门的“关键基础设施”以及关键互联网服务。这些关键行业的企业将不得不采取额外的安全措施,并将严重的数据事件通知相关部门。NIS指令于2016年8月生效,但成员国必须在2018年5月之前将NIS指令纳入其国家法律。2020年6月25日,欧盟委员会就NIS指令的修订启动了公众咨询。欧盟委员会认为有必要进行修订,因为尽管NIS指令取得了进展,但欧盟成员国的网络安全能力仍然不平等,而且欧盟的保护水平不足。此外,社会的快速数字化扩大了威胁范围,并提出了新的挑战,需要采取适应性和创新的应对措施。2020年12月16日,欧盟委员会提出了一项新的立法提案(NIS 2指令),2022年5月13日,欧洲议会和欧盟理事会就NIS 2指令达成了政治协议。该指令于2022年12月发表在《欧盟官方公报》上,欧盟成员国现在必须在2024年10月17日前采取并公布遵守该指令所需的措施,并从2024年十月18日起实施这些措施。
在2016年的公投中,英国投票决定退出欧盟。2017年3月,英国政府正式通知欧盟英国的公投决定,触发了欧盟《里斯本条约》第50条。这标志着脱欧进程的开始。英国于2020年1月31日脱离欧盟,进入2020年12月31日结束的脱欧过渡期。过渡期结束后,GDPR不再直接适用于英国。取而代之的是,英国政府颁布了《2019年数据保护、隐私和电子通信(修正案等)条例》(退出欧盟),该法案修订了《2018年英国数据保护法》,并将其与《通用数据保护条例》的要求合并,以形成一个在英国脱欧后适用的数据保护制度。这个新制度被称为“英国GDPR”。
2021年2月19日,欧盟委员会公布了一份与英国有关的数据保护充分性决定草案。该决定草案于2021年6月29日获得通过,使欧盟组织能够继续无限制地向英国组织转移个人数据。在做出这一决定时,欧盟委员会分析了英国的数据保护法律框架,并得出结论,英国的数据保障制度符合欧盟的数据保护充分性要求。同样,英国也承认欧盟为个人数据提供了足够的保护。2022年,英国政府宣布打算审查英国的数据保护制度并使其现代化,包括在许多方面偏离GDPR,以减轻企业,特别是小企业的监管负担。2023年3月8日,《数据保护和数字信息(第2号)法案》提交给英国议会(该改革法案的第一个版本最初由英国政府于2022年7月提出,但在2022年9月暂停)。英国与GDPR的分歧是否会导致欧盟继续承认英国为个人数据提供了足够的保护,还有待观察。
全球视野
美国和欧盟
在欧洲以外的地区,情况更加多样化。从欧盟的角度来看,美国被认为不太重视个人信息保护的重要性。然而,自1974年以来,美国有一项《隐私法》对政府部门和机构进行了监管,联邦和州层面有数百项隐私法对各种类型的信息和数据处理活动进行了监管(例如,监控法、生物特征数据法和要求在线隐私政策的法律)。与欧盟的综合法律方法相反,美国历来对隐私和数据保护采取部门性方法。例如,它实施了旨在保护在线儿童的具体隐私立法,即《1998年儿童在线隐私保护法》。它还通过了针对健康相关数据的具体隐私规则,即《健康保险可携带性和责任法案》(HIPAA),以及针对金融机构的《Gramm-Leach-Bliley法案》(GLBA)。随着加州颁布了全国第一部全面的隐私法,即《2018年加州消费者隐私法》(CCPA),这种做法开始发生变化。CCPA规定了一系列企业提供隐私通知的义务,规定了访问、删除和选择退出个人信息销售的隐私权,并规定了企业在其服务提供商协议中包含特定语言的义务。2020年11月,加利福尼亚州选民批准了24号提案,这是一项修改CCPA的投票公投。题为《2020年加州隐私权法案》(CPRA)的24号提案扩大了CCPA的某些合规义务和消费者权利。CPRA于2023年1月1日生效。受加利福尼亚州的启发,许多其他州已经或正在积极考虑类似的全面隐私立法。2021年,另外两个州,弗吉尼亚州和科罗拉多州,分别颁布了全面的消费者隐私法,即《弗吉尼亚州消费者数据保护法》和《科罗拉多州隐私法》。2022年,犹他州颁布了《犹他州消费者隐私法》,康涅狄格州制定了《康涅狄格州数据隐私法》。截至2023年4月,爱荷华州、印第安纳州、蒙大拿州和田纳西州也颁布或通过了自己的全面隐私立法。由于这一州立法活动,在没有全面的联邦隐私和数据安全法的情况下,美国企业不得不应对各种不同的州要求。
从网络安全的角度来看,2015年10月,美国参议院通过了《网络安全信息共享法》(CISA),旨在促进私营公司和美国情报机构之间共享网络威胁信息。几个月后,美国国土安全部发布了根据CISA共享信息的指导方针和程序。《司法补救法案》于2016年2月颁布,向欧盟表明美国正在认真对待隐私。《司法补救法案》旨在确保所有欧盟公民都有权在美国法院强制执行数据保护权利。2017年5月,时任总统特朗普签署了一项行政命令,旨在加强联邦网络和关键基础设施的网络安全。2022年3月,拜登总统签署了《2022年关键基础设施网络事件报告法》,该法为在关键基础设施领域运营的公司提供法律保护和网络安全指导。
由于欧盟-美国安全港计划,美国也曾处于特权地位,该计划已被欧盟委员会承认为从欧盟向美国传输数据提供了充分的保护。爱德华·斯诺登(Edward Snowden)爆料后,这一关于加入并遵守安全港的公司是否充分的正式调查结果在欧盟受到了严厉批评。2015年10月6日,在一项具有里程碑意义的裁决中,欧盟法院宣布安全港无效。这一决定迫使数千家直接或间接依赖安全港的企业寻找将个人信息从欧盟转移到美国的替代方式。为了解决安全港失效后产生的法律真空,欧盟委员会和美国于2016年2月就跨大西洋数据传输的新框架达成一致:欧盟-美国隐私保护盾。
根据2016年7月通过的欧盟-美国隐私盾充分性决定,2017年9月对隐私盾及其在实践中的作用进行了首次联合年度审查。在结束第一次审查的报告中,欧盟委员会重申支持隐私保护,同时概述了某些需要改进的领域,包括需要持续监测商务部对隐私保护原则的遵守情况,以及加强美国《外国情报监视法》所载的隐私保护。隐私盾还在2018年和2019年接受了另外两次联合年度审查。在欧盟委员会最近一次审查后的报告中,委员会欢迎美国当局提供的与《外国情报监视法》有关的进一步信息,并强调了应采取的一些措施,以更好地确保隐私保护盾的有效运作(例如,将要求组织每年重新认证的宽限期缩短至最长30天)。
在欧盟-美国隐私盾通过四年后,欧盟法院于2020年7月16日宣布隐私盾无效。在隐私活动家马克斯·施雷姆斯(Max Schrems)提起的一个现在被称为“施雷姆斯二世”的案件中,欧盟法院裁定,欧盟-美国隐私盾不是将欧盟个人数据合法转移到美国的有效机制
[美国国内法]对美国公共当局[…]访问和使用[传输的数据]产生的对个人数据保护的限制不受比例原则的限制,只要基于这些规定的监督方案不限于严格必要的范围。
此外,欧盟法院发现,欧盟-美国隐私保护框架并没有授予欧盟个人在提供实质上等同于欧盟法律要求的担保的机构面前的可诉权利。基于这些理由,欧盟法院宣布欧盟-美国隐私保护无效。自Schrems II决定以来,美国和欧盟当局一直在就修订后的数据传输框架进行谈判。2022年10月7日,拜登总统签署了第14086号行政命令,“加强对美国信号情报活动的保障”,该命令实施了欧盟和美国之间合法数据传输的新框架(“欧盟-美国数据隐私框架”)。2022年12月13日,欧盟委员会启动了通过欧盟-美国数据隐私框架充分性决定的程序。2023年2月28日,欧洲数据保护委员会发布了关于欧盟-美国数据隐私框架的第5/2023号意见,认为该框架包括对欧盟-美国隐私盾的实质性改进,同时也表明某些方面需要进一步澄清或发展。
2021年,欧盟委员会通过了新的标准合同条款(新SCC),以取代分别于2004年和2010年通过的现有控制者对控制者和控制者对处理者的标准合同合同条款。受《通用数据保护条例》约束的实体可以使用新的SCC,以确保对转移给位于欧盟不认为对转移的个人数据提供足够保护的司法管辖区(包括美国)的接收方的个人数据的充分保护,控制器-处理器、处理器-处理器和处理器-控制器数据传输。新SCC的主要目的是提供一种与GDPR法律框架无缝运行的数据传输机制。此外,根据Schrems II的决定,欧盟法院认为,依赖标准合同条款的组织必须根据具体情况评估标准合同条款是否确实提供了足够的保护,并要求组织在事实并非如此的情况下援引额外的合同、技术和组织保障措施。
2022年2月2日,英国信息专员办公室发布了一份国际数据传输协议(IDTA)和欧盟委员会标准合同条款的国际数据传输附录(附录),供英国出口商使用。IDTA和附录于2022年3月21日生效。
亚太地区
在亚太地区,隐私和数据保护法的早期采用者——澳大利亚、新西兰和香港——已经加入了大多数其他主要司法管辖区的行列。2017年初,澳大利亚修订了《隐私法》,引入了数据泄露通知要求,取代了之前的自愿制度。新西兰还修订了隐私法,颁布了强制性数据泄露通知,自2020年12月起生效。中国通过了一部全面的《网络安全法》,该法于2017年6月1日生效。2021年,中国又通过了两项具有里程碑意义的网络安全和数据保护法律。2021年6月,中国颁布了《数据安全法》,该法侧重于数据的分类和分类,以及对某些“重要数据”的保护。2021年8月,中国通过了《个人信息保护法》,这是中国第一部国家隐私法。这三部法律与中国的《网络安全法》共同构成了中国全面的数据保护体系。PIPL包括一套数据处理原则、数据控制者(根据PIPL被称为“个人信息处理者”或“数据处理者”)的义务、一套个人权利、对跨境数据传输的限制以及数据本地化规则。中国网信办已就这三项法律通过了几项实施指南,包括明确跨境数据传输的相关制度。希望在中国境外传输数据的公司必须依靠PIPL下三种可用传输机制之一进行跨境传输。这些机制包括接受由CAC管理的数据传输安全评估;签署一份规定数据出口商和进口商责任的示范合同,并向CAC提交合同副本;或获得中国指定机构的特殊数据保护证书。2018年4月,香港个人资料私隐专员宣布计划根据GDPR和最近影响香港公民个人资料的大规模数据泄露,审查和更新1996年的数据保护法。2023年2月,隐私专员发布了一份报告,其中包括2023年的战略重点,并列出了数据保护法的拟议修正案。这些措施包括建立强制性的数据泄露通知机制,要求制定数据保留政策,授权隐私专员处以行政罚款,以及对数据处理者实行直接监管。这些修正案预计将在2023年第二季度推进。
2016年12月,印度尼西亚通过了第一部数据保护法,该法侧重于通过电子媒体处理个人信息。2022年10月,《个人数据保护法》生效。PDPL在一定程度上模仿了欧盟的GDPR,包括数据控制者和处理者的义务、数据主体的权利,以及处理和敏感数据的合法基础等概念。
日本于2015年9月修订了《个人信息保护法》,设立了一个独立的数据保护机构,并对跨境数据传输施加了限制(该法案于2017年9月生效)。2018年7月17日,欧盟和日本成功地完成了关于充分数据保护水平的对等调查的谈判,从而同意承认彼此的数据保护系统是“对等的”。这将允许个人数据在欧盟(和英国)和日本之间合法流动,而不受任何进一步的保护或授权。马来西亚的《个人数据保护标准》于2015年12月生效,是对现有数据保护法的补充。2017年,马来西亚数据保护局就跨境数据传输规则发起了一次公众咨询,其中包括一份被认为适合海外传输的司法管辖区的初始“白名单”,但截至本出版物发布之日,最终白名单尚未获得批准。在菲律宾,2012年《数据隐私法》的实施规则引入了受GDPR启发的概念,如指定数据保护官员和72小时违规通知要求。
新加坡拥有该地区最先进的数据保护制度之一(以2012年《个人数据保护法》为基础),于2018年2月通过了《网络安全法》,为预防和管理网络事件提供了国家框架。2021年2月,新加坡颁布了一项强制性数据泄露通知法,以取代此前不具约束力的违规通知指南。
韩国不负众望,拥有亚太地区最严格的数据保护制度之一。欧盟委员会和英国政府现在都承认韩国的数据保护法是充分的,因此允许不受限制地向韩国传输个人信息。在台湾,《个人信息保护法》修正案于2016年3月生效。修正案引入了处理敏感个人信息的规则等。泰国于2019年5月通过了《个人数据保护法》,该法于2022年6月1日生效。
最后,2019年12月,越南公安部公布了一份由六部分组成的个人数据保护法令草案,该草案于2021年2月发布,供公众评论。2023年4月,发布了《个人数据保护法令》,该法律将于2023年7月1日生效。
中美洲和南美洲
近年来,拉丁美洲的立法举措明显增多。目前只有少数拉丁美洲国家没有具体的隐私和数据保护法。阿根廷和乌拉圭的数据保护法以欧盟根据《欧盟数据保护指令》采取的方法为基础,这解释了为什么它们是欧盟委员会认为提供足够数据保护的唯一拉丁美洲国家。2017年2月,阿根廷启动了一项修订程序,以使其数据保护法与GDPR保持一致,引入了数据可移植性和72小时违规报告等概念。在撰写本报告时,阿根廷的数据保护制度改革进程仍在进行中。智利、哥斯达黎加、巴拿马和秘鲁发起了与阿根廷类似的举措,而墨西哥在2017年1月扩大了其数据保护法的范围,将私人和公共人员或实体的数据处理纳入其中。尼加拉瓜于2012年通过了数据保护法,但目前还没有一个全面运作的数据保护机构。拉丁美洲的其他国家对隐私有一定程度的宪法保护,包括人身保护数据的权利,例如巴西和巴拉圭。2018年7月10日,巴西联邦参议院批准了一项受GDPR启发的全面数据保护法案,即《巴西通用数据保护法》。LGPD自2021年8月起生效,2020年8月成立了国家数据保护机构。
非洲
覆盖范围的全球差距在于非洲和中东。然而,在这两个地区,有影响个人信息的法律的国家数量都在稳步上升。
如前所述,非洲联盟于2014年6月通过了《网络安全和个人数据保护公约》。起初,有人担心《公约》过于模糊,对隐私权关注不够。2017年5月,非洲联盟委员会和互联网协会发布了解决这些问题的指导方针和建议。
越来越多的非洲国家正在实施数据保护法和网络安全法规,而不考虑《公约》。例如,安哥拉于2011年出台了数据保护法,并于2016年批准了一项创建数据保护机构的法律,该机构于2020年开始全面运作。赤道几内亚新的数据保护法于2016年8月生效,显然受到了欧盟数据保护标准的启发。毛里塔尼亚于2017年6月通过了数据保护规则,而南非于2013年通过了一项基于(前)欧盟模式的数据保护法,该法于2021年7月1日生效。2015年10月,南非政府创建了一个虚拟的国家网络安全中心,以促进政府与私营公司之间的合作。它还推出了《网络犯罪法》,该法于2021年12月开始实施。坦桑尼亚于2015年9月通过了《网络犯罪法》,并于2022年通过了《个人数据保护法》,贝宁于2018年更新了2009年初的数据保护法律框架。乌干达于2019年通过了《数据保护和隐私法》,并于2021年通过了该法案。2016年至2017年间,有四个非洲国家加入了第108号公约:佛得角、毛里求斯、塞内加尔和突尼斯。摩洛哥于2019年加入了他们的行列。毛里求斯还根据欧盟GDPR修订了其数据保护法,而摩洛哥于2017年6月发布了一份问答,并于2018年7月就GDPR对摩洛哥公司的影响举行了一次研讨会。2019年11月,肯尼亚全面的《数据保护法》生效。2021年,卢旺达、赞比亚和津巴布韦都批准了全面的数据保护法,2022年斯威士兰也紧随其后。
中东
在中东,有几项法律涵盖特定的行业部门,但除了以色列之外,很少有国家制定全面的数据保护法。以色列于2017年3月更新了数据保护法,增加了数据安全相关义务,包括数据泄露通知要求。欧盟委员会承认以色列是一个对个人数据提供充分保护的司法管辖区。卡塔尔于2016年11月通过了第一部数据保护法,该法在很大程度上受到了欧盟数据保护原则的启发。2018年1月,阿联酋迪拜国际金融中心管理局修订了现有的数据保护法,使其符合GDPR。阿联酋阿布扎比全球市场于2018年2月对其数据保护法规进行了类似的修订。2020年7月,迪拜国际金融中心(DIFC)颁布了一项替代该管辖区先前数据保护法的法律。新的DIFC数据保护法于2020年10月1日生效。新的数据保护法在一定程度上是为了帮助确保中东、非洲和南亚的金融中心DIFC符合从欧盟委员会和英国获得“充分性”调查结果所需的数据保护标准,从而在没有单独数据传输机制的情况下为欧盟和英国个人数据向DIFC的跨境传输提供便利。2022年1月2日,阿联酋第一部联邦数据保护法生效。
结论
现在,全球企业比以往任何时候都更面临着遵守无数关于隐私、数据保护和网络安全的法律法规的挑战。这可能会使采用单一、协调的方法推出新的计划、技术和政策变得困难。在一些国家,跨境数据传输将受到限制,而在另一些国家,本地化要求可能要求数据保存在该国。在某些司法管辖区,处理个人信息通常需要个人同意,而在另一些司法管辖区中,只有在特殊情况下才应使用同意。一些国家/地区对员工监控有特殊规定。其他国家则依靠模糊的宪法语言来管理数据保护。
这份出版物有望继续成为全球商业人士的指南针,帮助他们在隐私和数据保护的(日益)黑暗水域中航行。
- 登录 发表评论