GDPR才实施两个月,这些国家和地区怎么都开始急着立法了?
近两个月,欧盟《一般数据保护条例》(下称“GDPR”)正式实施带来的个人数据保护讨论热度尚未褪去,美国加州、印度、巴西等国家和地区已经陆续起草或通过了当地的数据保护相关法律,并且其条款都或多或少地借鉴了GDPR。
这股迅速且呈蔓延趋势的立法潮在某种程度上证实:个人数据保护的重要性在全球范围内得到了普遍认可。欧盟数据保护监管机构主管Giovanni Buttarelli曾在采访中表示,他从未看到数据保护议题如此敏感,每个人都在讨论隐私和保护,“不仅仅是欧洲,即使在国际范围内都成为了超越政治的议题”。
美国、巴西、印度陆续启动隐私保护立法
5月25日,历经四年才被欧洲议会通过的GDPR正式实施。GDPR在1995年的欧盟《数据保护指令》的基础上,扩大了法律适用的域外效力,细化和新增了数据主体的权利、数据控制者的义务,还设定了高达全球营业额4%的巨额罚款。这些条款使GDPR被称为“史上最严”的个人数据保护法律。
仅仅一个月后,美国加州于6月28日通过了《2018加州消费者隐私法案》(下称“加州法案”),从调取到通过只用了一周时间,作为当地一名地产大亨发起的投票倡议的替代方案出台。加州法案在赋予消费者知情权方面,比美国任何一条法律都做得更多,甚至有些条款比GDPR更加严格。
加州法案起草议员之一Bob Hertzberg(右一)正在发言。
加州法案起草议员之一Bob Hertzberg对南都记者表示,作为目前美国最全面的隐私法,加州法案将对其他州制定相似法律起到鼓励作用。据《华盛顿邮报》报道,特朗普政府正在制定一项保护网民隐私的提案,旨在应对关于美国因缺乏严格的联邦法规导致Facebook等硅谷巨头屡屡发生数据事故的批评。据悉,近日美国商务部门已经约见了Facebook、Google等企业的负责人。
7月10日,巴西参议院通过了《巴西一般数据保护法》(下称“巴西法案”),如果得到总统批准,将正式成为法律,并于18个月后实施。巴西法案首次整合了散落在联邦层面上的40多个相关法规,为个人数据的使用创建了新的法律框架。巴西法案不仅旨在保障个人权利,还旨在通过制定清晰、透明、全面的个人数据使用规则,促进经济、科技和创新发展。
近日,由印度最高法院退休法官BN Srikrishna领衔的高级别专门委员会向印度联盟法律部长提交了《2018个人数据保护法案(草案)》(下称“印度法案”)。
印度最高法院退休法官BN Srikrishna向印度联盟法律部长提交《2018个人数据保护法案(草案)》。
印度法案将适用于企业和政府实体收集的数据,内容包括个人数据处理的管辖权,建立独立监管机构,以及违反该法律将受到的严厉处罚等。
南都记者梳理发现,截至目前,世界十大经济体中,除了中国之外,英国、日本、加拿大,以及德国、法国和意大利等欧盟国家已经有较为集中和成熟的个人数据保护法律;美国加州刚刚有自己的隐私法,全美网络隐私法案正在酝酿之中;印度、巴西的个人数据相关法律则已经进入立法程序。
GDPR首提的“数据可携带权”被普遍采用
从结构和内容来看,加州法案、巴西法案和印度法案在不少地方都借鉴了GDPR的条款。
GDPR第三章提到,数据主体应具有以下权利:知情权、访问权、更正权、被遗忘权、限制处理权、可携带权、反对权,其中被遗忘权和可携带权是区别于95指令的新权利。南都记者注意到,上述三个法案中,均有数据主体权利相关章节,而“数据可携带权”更是被普遍采用。
GDPR中的数据可携带权包含两层意思:
一是副本获得权,即数据主体可以从数据控制者处下载个人数据。比如Google于2011年推出的Google Takeout服务,用户可从Google+的“数据自由”选项下载自己的档案、信息流、联系人等数据;
二是数据转移权,即用户可以无障碍地将其个人数据从一个数据控制者转移至另一个数据控制者。比如Facebook用户可以将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。
巴西法案和印度法案对数据可携带权的定义基本与GDPR类似。加州法案虽然没有采用数据可携带权的说法,但是第1798.100节的部分规定与之有异曲同工之处。
该节规定,消费者有权要求收集消费者个人信息的企业向消费者披露企业收集的个人信息的类别和具体内容。个人信息如果以电子方式提供,需采用便携、可读的方式,允许消费者无障碍地将此信息传输给其他实体。
备受瞩目的“被遗忘权”在加州法案和印度法案中也被提及,不过与GDPR并不完全一样。被遗忘权是GDPR在传统删除权上的扩展,不仅包含数据主体有权要求数据控制者删除其个人数据,还包括数据控制者将已经扩散出去的个人数据,采取必要的措施予以消除。
加州法案第1798.105节(c)款规定,收到消费者要求删除其个人信息的可核实请求的企业应从其记录中删除消费者的个人信息,并指示任何服务提供者从其记录中也删除该消费者的个人信息。相比之下,印度法案的规定较为含蓄——数据主体有权限制或阻止与数据主体相关的数据收集者继续披露个人数据,但并未明确限制和阻止的具体途径。
此外,以国家为适用范围的巴西法案和印度法案与GDPR一脉相承,都要求处理个人数据的实体任命数据保护官(DPO),并在进行数据处理之前做数据保护影响评估(PIA)。这些被普遍采用的条款和定义或许预示着全球其他国家在个人数据保护立法上的趋势。
各国法案借鉴GDPR的同时保留当地特色
值得注意的是,考虑到各自的个人数据保护现状,上述三个法案在借鉴和参考GDPR的同时,也保留了显著的当地特色。
加州囊括众多全球最大的互联网巨头企业,是美国最大的经济支柱,也是全球数据的主要流向地。由于背后的经济驱动,加州法案对产业利益更为关注,因此更偏向于规范数据的商业化利用,赋予了个人数据以财产属性。
比如,加州法案第1798.125节提出了“财务激励措施”:在提前告知消费者并征得其同意的前提下,企业可以为个人信息的收集、出售或删除向消费者提供财务激励,还可以根据数据产生的价值按不同的价格、费率、水平或质量向消费者提供商品或服务。
与聚焦商业利益的美国不同,印度政府在个人数据的收集和使用上,有着更宏大的目标,但也面临着更庞大的风险。
2010年9月,印度开始推行“Aadhaar计划”。Aadhaar 号原则上自愿登记,费用全免,只需提供基本人口信息、拍照、录指纹、扫虹膜,每个印度居民就能获取一个独一无二的12位身份证编号,并与手机号和银行账号绑定。
印度Aadhaar卡。
APUS发布《印度互联网金融报告》显示,截止2018年3月,约有11.8亿(接近总人口的90%)印度人口拥有了该数字身份信息。
虽然印度已经初步建立起世界上最大的生物身份识别库,但却多次发生信息泄露事件,而印度现有的法律法规几乎无法对此提供保护。这就不难理解为什么印度法案花了三个章节分别阐述处理个人数据、敏感个人数据、儿童(敏感)个人数据的基础了。
印度法案对个人数据的定义是:能够直接或间接识别自然人的任何数据。敏感个人数据则是指揭示、关联或构成密码、财务数据、健康数据、官方标识符、性生活、性取向、生物数据、基因数据、双性人/变性人身份、种族、部落、宗教或政治信仰等的个人数据。处理敏感个人数据必须获得数据主体的明确同意。
除了新加入了官方标识符、双性人/变性人身份、种族、宗教或政治信仰,印度法案还具体定义了其他敏感个人数据。比如财务数据应包括财务状况和信用历史;生物数据应包括面部图像或照片,但仅在处理时才允许对人进行唯一识别(例如人脸识别技术)。除法律规定的情况外,印度法案还允许政府禁止处理某些类型的生物数据。
多国监管机构主动开展个人数据调查
毫无疑问,加强个人数据保护已经成为全球范围内的发展趋势,GDPR是其中一个重要的里程碑。这种趋势不仅表现在各国立法脚步加快,还表现在各国监管机构开始主动开展对个人数据的调查。
比如荷兰数据保护局根据GDPR第30条“对处理行为的记录”条款,对工业和金属、供水、建筑、贸易、餐饮、旅游组织、通信、金融服务、商业服务和医疗保健等十个私营部门的30个大型组织展开了探索性调查,检查它们是否保留了处理活动的记录,以及记录是否准确。
8月3日,加拿大隐私保护公署宣布,对北美最大的商业地产投资和管理公司之一——Cadillac Fairview——未经客户同意在旗下购物中心擅自使用人脸识别技术一事展开调查。
加拿大隐私保护公署宣布对Cadillac Fairview展开调查。
Cadillac Fairview承认,从今年6月就开始通过人脸识别技术监控客流,识别客户的性别和年龄,但否认收集人脸信息。这项调查将审查Cadillac Fairview的做法是否符合加拿大联邦私营部门隐私法《个人信息保护和电子文件法案》。南都记者了解到,该法案刚在去年做了重要修订,加入了隐私泄露事件报送的相关要求,将于11月1日生效。
另一方面,在法律和监管机构的重压之下,企业也开始自发地行动起来,以遵守日益严格的个人数据保护法规和监管。
南都记者了解到,Facebook、Google、微软、Twitter近日共同发起了一个开源项目——数据传输项目(DTP)。
数据传输项目(DTP)。
DTP在用户有权从服务提供商下载数据副本的基础上,扩展了数据可移植性,旨在帮助用户在任何参与该项目的服务提供商之间安全无缝地传输数据,免去了下载和重新上传的繁琐步骤。
目前,该系统支持邮件、联系人、日历、照片和任务的数据传输,通过上述四家企业以及Flickr、Instagram、Remember The Milk和SmugMug现有的公开API实现,同时也鼓励更多的服务提供商参与进来。
报料请点击
推荐阅读:
2018中国网络安全年会将下周举办 首次评选网络安全创新产品