点击图片,立即报名
如需《数据安全法(草案)》PDF版,请在本公号后台回复“数据法盟”下载!
GrahamGreenleaf
新南威尔士大学法律与信息系统教授
BertilCottier
美国卢加诺通信科学学院法学教授
编译:对外经济贸易大学金融科技实验室编者按
从到年,随着数字经济与社会的兴起,万事万物都在数字化的道路上一路飞驰,而人的数字化渐成现实。英国电视剧《黑镜》第二季中“不存在的男友“一集就讲述了在男友去世后,经由社交媒体数据重构出虚拟男友的故事。当“我们成为数字”之时,对个人数据或信息的保护就成为对我们自己的保护。由此可以理解,过去十年是个人数据立法的创纪录的十年,共有62个国家颁布新法,在这波浪潮中,欧盟的GDPR功不可没。
年已至,中国的《个人信息保护法》指日可待,但能否摆脱GDPR的阴影,寻找贴合中国实践、体现中国价值的中国道路?目前尚无答案。唯愿面壁十年图破壁,邃密群科济世穷。
——对外经济贸易大学数字经济与法律创新研究中心执行主任许可
创造纪录的十年年至年,有62个新的国家颁布了数据隐私法,这一数据比以往任何十年都要多。每十年新颁布数据隐私法的国家数量统计为:年代—10个、年代—10个、年代—20个、年—40个、年—62个,共计个国家。
截至年12月个国家数据隐私立法情况
如果新数据隐私法的颁布趋势如此延续下去,到20世纪20年代末,将会有超过个国家(包括自治区)拥有数据隐私法。这个年萌发于德国黑森州的”新奇事物”将在六十年内蔓延至全球。
十余新国家颁布,共个
自年1月发布最新的《全球数据隐私法统计》(其中包括个已有此类法律的国家)以来,又有十个国家制定了自己的数据隐私法。其中6个来自非洲,3个来自中亚,1个来自加勒比。以下对每项法律进行简要说明,编号#-#。
#.巴巴多斯(加勒比海)巴巴多斯年颁布的数据保护法案是一个复杂的法案,具有广泛的适用范围以及一定的域外适用性,法案创设了数据保护专员和数据保护法庭来执行通知、行政处罚(强制执行美元以下的处罚)和赔偿条款。此外,这个法案中体现了许多受GDPR影响的数据保护原则:包括限制或阻止信息处理,信息删除的权利(包括被遗忘权、数据的可移植性规定、通知和对自动决策的限制)。法案定义了合法处理,并对敏感信息的处理进行限制,同时规定数据控制者和处理者必须进行注册,遵守数据保护设计和默认,将数据违规的情况通知专员和数据主体,进行数据保护影响评估,并任命数据隐私专员。只有在保护程度适当、用明确形式提供适当保障措施或建立了“公共利益”秩序的法域才允许进行数据输出。总体而言,这是欧盟以外受GDPR影响最深的数据隐私法之一。然而,法案中存在许多豁免,包括公共部门持有需要公开的数据、公共部门持有的手册资料以及与金融工具有关的一些特殊豁免。
#.博茨瓦纳(非洲)博茨瓦纳颁布的数据保护法案整体较为全面的,但对一些国家职能的豁免规定却是有限的。该法案创设了一个信息和数据保护委员会,由一名专员和几名副专员组成。该委员会的独立性受到部长职权的制约,需部长提供与该委员会提出法案相一致的一般性或有具体方向的意见。该法案规定了合法处理的标准,并限制除特殊情况外对敏感数据(包括遗传和生物统计数据)的处理。数据主体访问和纠正的权利在很大程度上受到限制。数据控制者的义务包括向委员会提交数据泄露通知,启动自动处理操作,以及任命“数据保护代表”(DPO)。强制执行权仅限于委员会的执行通知,或因违反该法的任何处理而被起诉的罚款,此外,数据主体有权就任何此类违反处理的行为向法院提起损害赔偿诉讼。法案禁止向其他国家转移个人数据,除非对方是由部长制定的白名单上的国家或专员所确定的、能够对数据提供“充分保护”的国家,也存在其他适当保障下进行的信息转移的例外。该法令将在宪报刊登时生效。
#.刚果布拉柴维尔(刚果共和国)(非洲)与多哥法律同月(10月)通过的刚果布拉柴维尔法律与其邻国多哥的法律内容非常相似(虽然刚果共和国不是西非经共体成员)。关于数据处理的原则(不包括最终原则,这一原则在刚果的法律中奇怪地被省略了),数据主体的权利和数据控制者的义务基本上是相同的;此外,两个法律都被剥夺了任何域外范围的适用能力。然而,两国法律存在以下两个主要的区别。首先,刚果法律更加向GDPR靠拢,它不仅要求提供数据可移植性和数据泄露的通知,而且建立了一个关于一个未成年人的数据处理的具体制度(加强数据处理者向相关主体提供简明易懂的信息的义务),其次,刚果布拉柴维尔的法律没有设立任何国家数据保护机构,但预计将在不久的将来通过单独的立法建立。
#.肯尼亚(非洲)肯尼亚的《数据保护法》是在经过冗长的辩论后于年制定的,但是出台后依然备受争议,该法案成为非洲最具进步意义的英语数据隐私法之一,并在很大程度上受到GDPR的影响。该法案规定设置一个数据专员,同时应当保障专员的独立性包括但不限于独立执行事务、由立法机关批准任命等。该法案保护的范围是所有部门的综合范围,但没有域外扩展。豁免是有限的,但专员可以就豁免做例外规定。有数据控制者和处理者登记册(超过规定的活动阈值),这种方法在非洲仍然很普遍,但在大多数其他地区却不常见。与GDPR相似,控制人的义务包括禁止处理,但出于特定的合法理由除外;在潜在的高风险处理之前进行数据保护影响评估(DPIAs);出于各种原因对处理进行限制;对自动处理做出决策的限制;通过设计和默认实现数据保护;并将数据泄露通知专员和数据主体。数据主体的权利包括以不同理由反对或要求删除数据以及移植数据。仅出于各种必要的原因(包括“令人信服的合法权益”)或者已向专员提供了适当保护措施的证明时才允许数据导出。导出敏感数据也需要获得同意。政府可以规定只能通过位于肯尼亚的服务器或数据中心进行某些处理,从而实现“数据本地化”。该法案在强制执行规定方面有所欠缺,比如因投诉以及罚款最高50,美元(或营业额的1%)(以较低者为准)的通知而产生的强制执行命令在实施中会出现执行难的问题。数据主体有权就因违反该法案而进行的处理所造成的损害向法院寻求赔偿。
#.尼日利亚(非洲)在7年《尼日利亚信息技术发展局法案》基础上制定的年的《尼日利亚数据保护条例》是一项基本的数据隐私法。该条例最终可能会成为一部独立的法案。总统拒绝将最初于年通过的《数字权利与自由法案》签署为法律,但立法机构于年11月再次将该法案转发给他。
#.塔吉克斯坦(中亚)塔吉克斯坦于年8月3日颁布的(第号)《人事保护法》,符合该国宪法数据保护的规定。这是一部综合的法律(适用于所有部门),将“通信服务”指定为DPA,职责最少,但“国家机构”在其部门中具有平行权力。数据主体权利仅涵盖数据隐私法的基本规定。执法规定包括对违反安全规定的行政罚款,以及一些刑事犯罪,但其他规定很少。数据出口仅限于具有“充分”保护的国家,以及一些常见的例外情况。没有数据本地化规定。
#.多哥(非洲)多哥关于个人数据保护的法律将近条,主要执行年《西非国家经济共同体个人数据保护补充法》(ECOWAS)。多哥是西非经共体的创始成员之一,其立法者经常只是复制和粘贴《补充法》的有关规定,例如有关数据处理的原则(及其例外),强制性的数据处理声明,敏感数据文件的授权和访问权。立法者引进了年后受GDPR影响的一些新颖性规定,例如关于数据主体同意的更严格要求,构建内部数据保护官员(DPO)以及在一定程度上行使被遗忘的权利。但仍然缺乏关于数据最小化、数据的可移植性、影响评估以及数据安全性违规通知的规则,以及根据设计和/或默认义务的隐私保护。
#.土库曼斯坦(中亚)土库曼斯坦(年第-V号)《私人生活的信息法及其保护法》是综合的(包括所有部门),但该法案并未规定独立的DPA,而是任命了内阁作为管理机构。它包括一组基本的数据主体权利,加上阻止和撤消同意的附加权利,但缺乏有其他更完善的权利或义务规定。主要通过适度的罚款或监禁以及对数据主体的赔偿来确保法案的施行。允许将数据导出到保障信息安全的州,但没有数据本地化规定。
#.乌干达(非洲)乍一看,乌干达的数据保护和隐私法案看起来像是完全成熟的现代立法。实际上,许多规定直接源于欧盟GDPR规定:最小化原则、强制的数据保护官、数据泄露的通知义务、以及自动决策的严格规则。一些要求甚至比GDPR更为广泛,特别是禁止销售个人数据,以及扩展的法律域外范围——任何有关乌干达公民的国外数据处理活动。然而,现代数据保护法律的一些重要特征被忽略:没有数据可携带的规则,没有通过设计和默认的隐私保护义务,也没有被遗忘权。此外,将数据转移到第三国的限制仅针对数据处理或存储的外包。最后,国家数据保护局必须留存所有处理个人数据的人员、组织或公共机构的登记记录;该登记文件是公开的,并且必须提及收集个人数据的目的。这种登记在非洲很普遍,但在其他国家并没有。
#.乌兹别克斯坦(中亚)乌兹别克斯坦的个人数据法是中亚最先进的数据隐私保护法。该法涵盖范围很是全面。大多数个人数据库需要在国家注册中心进行注册。数据处理需要具有七个合法性事由之一。该法还禁止敏感数据的处理,除了清单中所列出的例外情形,且在处理生物及基因数据方面有更多的限制。数据主体的权利与欧盟数据保护指令(DPD,而不是GDPR)中规定的基本相同,包括对自动化处理的限制。处理个人数据的义务同样复杂,但包含很少的GDPR规定的新义务。只有在少数例外情况下,数据才被允许出口到提供“足够保护”的国家。该法创设了一个“授权的国家机构”——国家个性化中心,来处理数据保护事宜,但它设在内阁部长下,不是独立的数据保护局。该中心有权发出指令来处理违法行为,但没有明确的执法措施。总体而言,该法是“第二代”的数据隐私保护法,相当于欧盟数据保护指令,但执法力度较弱。
GDPR在全球范围内的影响各不相同
随着三个新法的出台,除蒙古以外的所有中亚国家现在都有数据隐私保护法,哈萨克斯坦和吉尔吉斯斯坦已经有了类似的法律。虽然大多数人的权利和义务是微乎其微的,但乌兹别克斯坦法律中规定的权利和义务更接近第二代数据隐私保护法律。但是这些法律都没有显示出GDPR对其有显著影响。相反,巴巴多斯的新法则显示出GDPR对加勒比国家的显著影响。
超过六个非洲国家最新颁布了数据隐私保护法,这使得55个非洲联盟成员中有31个已经拥有这方面的法律。所有的这些法律都显示出一些GDPR的影响,其中,GDPR对肯尼亚和刚果布拉柴维尔的影响最强,博茨瓦纳最弱。然而,每个国家对GDPR的采用程度及借鉴内容均不相同,显示出GDPR在各国的影响并非是标准化的,而是体现出参差不齐的特点。
载《隐私法和商业国际报告》年第期,24-26页。扫码报名—何渊:《数据安全法》的五大合规要点数据隐私与网络安全实务群
数据合规,合则生,不合则亡!
欢迎扫码加入我们
点击“阅读原文”,报名《数据安全法》的五大合规要点!
预览时标签不可点转载请注明:http://www.xiebinbinb.com/blcwemj/5106.html
