跳转到主要内容

文章分类

亚洲(东部、中部和南部)和太平洋地区长期存在的隐私制度曾经回避了欧洲关于个人信息跨境转移是否充分的概念,现在正完全接受这一概念,并有望获得欧盟的批准。欧盟承认日本、新西兰和韩国提供了充分的保护。欧盟与台湾的充分性谈判目前正在进行,因此台湾可能是下一个

在过去几年中,该地区20个制定了隐私法的司法管辖区[1]中,超过四分之一已经修改或正在修改其法律,以纳入类似欧盟的规定性规则,如强制性数据保护影响评估、任命数据隐私官、,以及在发生数据安全漏洞时迅速通知个人和监管机构。这些司法管辖区也正在朝着更严格的跨境规则迈进。与此同时,隐私领域的新来者,如中国和泰国,以及印度、印度尼西亚和越南等预期的新司法管辖区,都渴望加入他们的行列。

此外,数据本地化压力仍在持续增长,特别是在中国通过《个人信息保护法》(PIPL)后,该法要求某些类型的公司在国内存储个人数据。哈萨克斯坦和最近的乌兹别克斯坦是该地区唯一有数据本地化要求的其他司法管辖区。然而,印度和越南等其他司法管辖区可能会很快实施类似的数据本地化规则。

该地区隐私环境的这些变化为具有既定区域或全球合规方法的公司或寻求制定合规方法者带来了新的挑战。随着澳大利亚、中国、日本、韩国和泰国实施和/或修改现有规则,以及印度、印度尼西亚、斯里兰卡和越南颁布新法律,预计2022年该地区近一半的司法管辖区将发生更多变化。

本警报讨论了2021发生的一些重大变化,审查了该地区隐私制度之间的当前共性和差异,然后确定了2022年及以后可能的新法律和法规。

2021颁布的隐私法和其他发展

以下是2021颁布的新法律和相关发展概况:

  • 中国。中国第一部全面的数据隐私法《个人信息保护法》(PIPL)于2021 8月颁布,并于2021 11月1日生效。除了适用于中国境内的加工外,如果是为了向中国境内的个人提供产品或服务或监控其行为而进行的加工,PIPL也适用于中国境外的加工。值得注意的是,PIPL对跨境传输施加了限制,并对关键基础设施运营商和处理大量个人数据的公司提出了数据本地化要求(阈值金额尚未规定)。为了在中国境外传输个人数据,组织必须通过中国网络空间管理局(CAC)进行的安全评估,接受专门机构的个人信息保护认证,或以CAC颁布的标准格式与海外接收方签订合同。一些组织还要求在从事某些活动(如处理敏感个人数据、使用个人数据进行自动决策或在中国境外传输个人数据)之前,任命一名数据保护官(DPO)并进行数据影响评估(DPIA)。尚未发布各种关键实施条例。
  • 韩国。韩国现在被欧盟委员会承认为个人信息提供了充分的保护。委员会于2021 12月17日发布的充分性决定允许韩国和欧盟成员国之间的个人信息流动,而无需额外的传输机制(如欧盟的标准合同条款或具有约束力的公司规则)。2020年《个人信息保护法》(PIPA)修正案加强了韩国中央监管机构个人信息保护委员会(PIPC)的调查和执法权力,这对充分性调查结果的采纳起到了重要作用。在欧盟-韩国关于充分性的谈判期间,达成了一些额外的保障措施,以加强对在韩国处理的个人信息的保护,例如加强通知义务(通过要求韩国数据进口商告知欧洲人其数据的处理情况)、,继续数据传输(通过确保数据在进一步传输到第三国时继续受益于相同级别的保护),以及出于国家安全目的的处理。重要的是,PIPC促进欧盟个人获得补救的能力是为了解决欧洲法院Schrems II裁决中提出的问题。这意味着,个人信息被转移到韩国的欧盟个人将能够向PIPC提出投诉。
  • 新加坡。新加坡经修订的《个人数据保护法》(PDPA)于2021 2月1日生效。修正案对法律进行了重要修改,包括强制违约通知、扩大了“视为同意”的概念、新的同意例外、新的问责原则、加强了对未经请求的商业信息的监管,以及增加了DPA的财务处罚和执法权。从那时起,新加坡的个人数据保护委员会一直在积极履行《个人数据保护法》规定的执法权力,特别是对未能实施合理安全措施的组织实施财务处罚。
  • 乌兹别克斯坦。2021 1月,乌兹别克斯坦关于个人数据的第ZRU-547号法律进行了修订,以要求数据本地化。数据本地化要求于2021 4月16日生效,要求使用信息技术(包括通过全球信息网络(例如互联网))处理乌兹别克斯坦公民个人数据的数据库所有者和运营商:
    • 确保使用位于乌兹别克斯坦境内的技术手段收集和存储数据;和
    • 在国家个人数据库登记处登记此类数据库。

乌兹别克斯坦国家个性化中心(以下简称“中心”)于2021 2月发布了一项澄清,该规则仅适用于乌兹别克斯坦公民在此类网络上注册时使用的姓名、电话号码和护照信息等信息,不适用于包含用户帖子、评论和/或上传多媒体的数据库。数据本地化要求于2021 4月开始实施,该中心迅速建立了违规者登记册,并制定了限制访问侵权在线资源的程序,以及在适用的情况下如何恢复访问。该中心还立即采取执法行动,限制了对几个社交网络和电信网站的访问。

当前区域景观特征:共性与差异

尽管该地区的法律与世界上几乎所有隐私法中的核心数据保护要素相同,但它们都有各自的特定规则,这些规则彼此不同,也不同于其他地区的规则。与欧盟相比,该地区的特点是法律制度多样,历史差异大,无法概括整个亚太地区的法律。在制定全球或地区隐私合规计划时,必须考虑这些差异。

以下是该地区20个司法管辖区之间的共性和差异的高层次概述,这些司法管辖区现在拥有全面的隐私法。最新的法律在泰国[2]和乌兹别克斯坦。日本、哈萨克斯坦、新西兰、新加坡和韩国的法律最近进行了修订。

  • 范围。该地区的大多数法律仅适用于国内加工。然而,有七个国家的域外条款与欧盟《通用数据保护条例》(GDPR)的域外条款相似或超出其范围澳大利亚、中国、印度尼西亚、日本、新西兰、菲律宾和泰国
  • 跨境传输。同样,超过四分之三(16)的国家对个人数据的跨境传输实施了限制。然而,相似之处仅限于此,因为转让的法律依据不同于充分性、同意(或其他法律依据,如法律要求)和/或合同(或具有约束力的公司规则)。该地区尚未有任何司法管辖区发布提供充分保护的司法管辖区清单,或除新西兰外的示范合同条款。此外,新西兰、日本和最近的韩国是该地区唯一被欧盟认定足够的国家。台湾目前正在寻求获得欧盟的充分性决定。
  • 香港、印尼、尼泊尔和台湾的法律不限制个人数据的跨境传输。
  • 违约通知。一半(10)要求在发生数据泄露时发出通知。虽然一些法律只要求“及时”或“毫不拖延”地向个人和/或数据保护机构发出通知,但其他法律要求在72小时内(新西兰、菲律宾、新加坡和泰国)、五天内(韩国)或在一种情况下在14天内(印度尼西亚)发出通知。
  • 处理的法律依据。三分之二的法律(13)不允许基于合法利益进行处理。不同司法管辖区的可用法律依据范围差异很大。
  • 个人权利。所有法律都规定了访问权和更正权。略多于一半的法律(11)提供了删除权,但只有四个司法管辖区的法律提供了数据可移植权:中国、菲律宾、新加坡和泰国。答复个人权利请求的时限也有很大差异:四项法律要求在30天或更长时间内答复权利请求15–21天内三次;10天内两次;1至7天内5次。六个没有指定特定的时间段。
  • 数据保护官(DPO)。八项法律要求任命DPO:中国、日本、哈萨克斯坦、韩国、新西兰、菲律宾、新加坡和泰国。
  • 数据本地化要求。三个司法管辖区规定了数据本地化要求。哈萨克斯坦的隐私法要求公司在本地存储数据。中国《个人信息保护法》要求处理大量个人数据的组织和关键基础设施运营商在中国境内存储个人数据。如果确实有必要向国外的一方提供此类信息,这些组织必须通过CAC进行的安全评估,但法律豁免评估要求的情况除外。乌兹别克斯坦法律要求所有者和/或运营商只能通过位于乌兹别克斯坦境内的技术手段处理乌兹别克斯坦公民的个人数据。此类技术手段必须在国家个人数据数据库登记册中登记。此外,这一要求也适用于使用信息技术(包括通过互联网)处理个人数据。
  • 登记。虽然世界各地的趋势是尽量减少登记要求,但该地区的六项法律要求组织向数据保护机构登记处理活动:吉尔吉斯斯坦、澳门、马来西亚、菲律宾、塔吉克斯坦和乌兹别克斯坦。其中三个司法管辖区要求控制器和处理器进行注册。
  • 数据保护影响评估(DPIA)。该地区的大多数法律不要求组织执行DPIA。仅在中国、新加坡、韩国和菲律宾需要DPIA。

执行迄今为止,澳大利亚、香港、日本、新加坡和韩国在该地区的数据隐私法执行最为积极,但随着新法律和修订法律的颁布以及处罚力度的加大,预计明年的执行力度将加大。随着数据泄露的频率越来越高,许多权威机构都在关注那些未能实施适当安全措施的组织。然而,2021,其他类型的侵犯隐私行为将被处以巨额罚款。例如,韩国PIPC对海外在线平台运营商处以66亿韩元的罚款,原因是其未向个人告知向第三方披露个人数据的情况,包括向第三国转让个人数据,并对一家人工智能技术公司处以3300万韩元的罚款,以及处理化名信息。

2022年及以后的预期

澳大利亚

澳大利亚包括更高罚款(最高1000万澳元或实体年澳大利亚营业额的10%)的改革立法预计将在今年获得立法批准。

去年年底,政府发布了拟议的《2021隐私立法修正案(加强在线隐私和其他措施)法案》(“法案”),以征求公众意见。该法案旨在解决社交媒体和在线平台在遵守在线空间中的澳大利亚隐私原则(APP)方面所面临的具体隐私挑战,并引入了《在线隐私守则》(“OP守则”)以及《隐私法》规定的强化处罚和执法措施。OP规范将特别适用于提供社交媒体服务、数据经纪服务和大型在线平台的组织。

此外,政府对《隐私法》的审查将在今年继续进行。政府征求公众对其讨论文件的反馈意见,该文件涵盖了《隐私法》的范围和适用等主题;APP中包含的保护;以及《隐私法》是如何监管和执行的。咨询期于2022年1月10日结束。

中国政府

正致力于实施PIPL法规,其中包括数据本地化的门槛和DPO的任命,以及处理敏感个人数据、违规通知和跨境传输的规则。关于跨境传输和网络数据安全的咨询性法规草案于2021下半年发布,预计将于2022年最终确定。

印度

印度2019年《2019年个人数据保护法案》(“法案”)于2019年提交立法机关两年后,印度联合议会委员会(JPC)于2021 12月16日向议会提交了其报告。这份542页的报告载有81项建议和150项对法案各项规定的更正和改进。议会两院,Lok Sabha和Rajya Sabha,现在必须审议该法案并采取行动。立法机构未能在2021 12月23日结束的冬季会议期间对该法案采取行动,因此下一次行动机会将是在预算会议期间,预算会议将分两部分举行:2022年1月31日至2月11日和3月14日至4月8日。

JPC提出的一些建议包括将范围扩大到包括个人和非个人数据;规定更广泛的违约通知义务,包括72小时的报告时限和延迟违约报告造成的损害责任;对所有本地和外国实体实施数据本地化要求;并要求DPO担任关键管理职位,并在该领域拥有足够的技术知识。此外,JPC建议增加新规定,使数据保护局能够监管硬件制造商和相关实体,特别是为所有数字和物联网设备建立正式认证流程机制,以确保此类设备在数据安全方面的完整性。

印度尼西亚

印度尼西亚2020年1月,印度尼西亚政府在议会提出了一项数据隐私法案,预计该法案将于年底通过。然而,由于疫情大流行,政府现在预计立法将于2022年定稿。根据2021 12月底通信和信息部长的一份声明,该法案目前正处于该部和印尼众议院之间的讨论阶段。如果以现行形式颁布,拟议法律将要求控制者在同意的基础上或在其他法律基础上(如合法利益或法律要求)处理个人数据,在数据泄露发生后72小时内通知个人和数据保护机构,并向个人提供访问、更正、删除、,以及数据可移植性权利。此外,拟议中的法律对跨境转移施加了限制,并禁止为金钱买卖个人数据。

日本

日本2022年4月1日,2020年颁布的日本隐私法修正案《个人信息保护法》(PIPA)将生效。修正案对处理个人信息的企业规定了新的义务,其中包括向隐私监管机构和受影响个人发出强制性违约通知、跨境转账和使用cookie。他们还要求在向日本境内的个人提供商品或服务时处理个人信息、非个人信息(如cookie)、匿名信息或假名信息的海外公司遵守法律规定的所有义务和限制。目前,外国公司在PIPA下承担的义务更为有限。此外,修正案增强了个人权利,加强了PIPA的刑事处罚,并授权监管机构调查海外公司的违规行为,并向其发布命令和/或实施处罚。这些类型的调查和命令目前仅限于位于日本的企业。

韩国。

韩国。对PIPA的其他修订正在2022年进行立法审议。去年9月,政府向国民议会提交了其拟议修正案,除其他外,该修正案将扩大可用于处理和跨境转移的法律基础,增加金融处罚,并增强个人在数据可移植性和自动化决策方面的权利。一些立法机构成员也提出了替代修正法案。根据辩论的结果,我们可能会在2022年看到PIPA的进一步变化。

斯里兰卡

斯里兰卡。政府的《个人数据保护法案》(“法案”)目前正在立法机构审议。2022年1月20日,该法案提交议会首次阅读。该法案包含类似GDPR的域外条款,适用于斯里兰卡境外实体向斯里兰卡境内个人提供商品或服务或监督其行为的处理。此外,该法案限制向未提供充分保护的国家进行跨境转移,规定了违约通知义务,要求任命DPO和执行DPIA,规定了直接营销义务,并规定了建立数据保护机构。如果法案获得批准,这些规定将在部长确定的日期生效,该日期不得早于颁布之日起两年。

泰国

泰国于2019年颁布的《个人数据保护法》B.E.2562的实施,在推迟两年后,预计最终将于2022年6月1日开始。此次推迟是为了减少新冠肺炎疫情期间对政府机构和企业的影响。在较高的层面上,泰国法律在法律的域外范围、处理个人数据的法律基础、跨境转移限制和72小时违约通知义务方面与GDPR相似。然而,政治部尚未发布指导意见,以解决有关如何执行某些规定的许多尚未解决的问题。

越南

越南2021 2月,政府就个人数据保护法令草案(“法令草案”)举行了公众咨询,然后发布了第二稿(“法令修订草案”)供公众审议。修订后的法令草案在很大程度上反映了原始草案,规定生效日期为2021 12月1日。然而,该法令草案因过于繁重和难以实施而受到严厉批评,而且不符合包括个人和越南政府在内的利益相关者的最佳利益。因此,该法令草案预计不会以目前的形式颁布。

根据目前的起草,该法令草案适用于处理个人数据的公共和私营部门组织,除其他外,该法令规定了处理个人数据非常有限的基础,为跨境传输(包括数据本地化)规定了苛刻的条件,并对多次违法行为处以高额罚款。

[1] 这些管辖区包括澳大利亚、中国、香港特别行政区、印度、印度尼西亚、日本、哈萨克斯坦、吉尔吉斯斯坦、澳门、马来西亚、尼泊尔、新西兰、菲律宾、新加坡、韩国、台湾、塔吉克斯坦、泰国、土库曼斯坦和乌兹别克斯坦。尽管印度尼西亚有一部部门性而非综合性的隐私法,但由于这些规则已成为事实上的数据隐私法,因此它被列入了这份名单。

[2] 泰国数据保护法计划于2020年5月27日生效;然而,2020年5月23日《皇家法令》涵盖的组织在2021 5月31日之前被豁免。

文章链接