提 要
铆劲许久的《个人信息保护法(草案)》(以下简称《个信草案》或《草案》)已经面世,作为中国第一部法典化的个人信息保护法,不仅从内容上借鉴和吸收了主要先进海外地区的立法经验,也从个人信息的生命全周期、个人信息主体权利、以及个人信息保护和合规义务等方面,参考和吸收了《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》,《数据安全法(草案)》,以及其他与个人信息保护法规有关的内容。总体上来说,个信草案从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强了个人信息的法律保护。
垦丁W&W国际法律团队一直特别关注海外数据隐私保护立法的动态与发展,也借此个信草案出台的重要时刻,特别地对海外几大重要地区的数据保护法案进行对比(篇幅有限,仅将要点进行列示),帮助互联网企业及接触大量个人信息的相关人员进一步了解当中的主要合规要点。
目录
一、 法律适用范围/域外适用效力
二、 敏感个人信息的概念与处理规则
三、 数据本地化存储
四、 数据跨境传输
五、 处理个人数据的法定基础
六、 数据主体的权利
七、 数据处理者责任
八、 数据保护的监管机构
九、 违反数据保护法的处罚规定
与众多海外数据保护法案一样,我国个信草案规定了,除了在中国境内的组织和个人适用本法外,在满足一定条件下,境外的组织和个人也同样适用,体现了域外适用效力的对等原则。同时,对于在境外处理境内个人信息的处理者,应当在境内设立专门机构或者指定代表,负责处理个人信息保护的相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。对于跨国企业、出海企业在海外部署服务器但涉及收集、使用和处理中国境内用户信息的情况时,企业需要特别注意。
2. 对于在境外处理境内个人信息的,如果是以境内自然人提供产品或服务为目的的,或为分析、评估境内自然人行为的,或法律、法规规定的情形的,也同样适用。 不仅适用于在印度境内收集、披露、分享或以其他方式进行处理的数据,还适用于不在印度境内的数据受托人或者数据处理者进行数据处理的行为,只要此类行为是: 与在印度经营的业务是相关的,或者与向印度境内的数据主体提供商品或者服务的活动有关;或者
与对印度境内数据主体的画像活动有关。
GDPR中关于“数据控制者”所定义的实质意思是相类似的,可以将“数据受托人”理解为“数据控制者” CCPA 仅适用于在加州境内开展业务且每年满足下述一项或多项条件的公司: 总收入高于 2,500 万美元;
出售消费者个人信息的收入至少占总收入的 50%;或者
购买、出售或共享超过 50,000 名消费者的个人信息。
对于在加利福尼亚州以外建立的公司,若其在加州开展业务时收集或出售加州消费者的个人信息的,也同样适用;
不适用情形:整个商业行为完全的发生在加州以外(如消费者在加州以外时收集其信息)
GDPR适用于向欧盟 (EU) 民众提供商品和服务或收集并分析欧盟居民相关数据的组织,而无论个人或企业位于何处,都要遵守该规定。 对于欧盟以外的组织,如果它们向欧盟内的人员提供商品或服务或对其行为进行监控时,也同样适用。 LGPD适用于任何处理操作,无论其总部所在国家/地区或数据所在国家/地区如何,但前提是: 数据处理在巴西境内进行;
处理活动的目的是提供商品或服务,或对位于巴西领土内的个人进行数据处理;或
处理后的个人数据已在巴西境内被收集。
从监管执法中,一般认为同时适用于韩国公司和在韩国外设立但处理生活在韩国的人的数据的公司 APPI适用于在日本处理个人数据的所有企业经营者,不仅包括在日本境内提供商品和服务的公司,也包括在日本境内的公司以及在日本境外设有办事处的公司。 某些规定适用于在日本向某人提供商品或服务,并已获得与生活在日本的人有关的个人信息,而在国外处理的经营者。 PDPA适用于在新加坡从事与个人数据的收集、使用和披露有关的活动的所有非公共机构或代表公共机构行事的组织,无论这些组织是否根据新加坡法律形成或被新加坡法律认可、或是否在新加坡居住/有营业地点。
本次草案特别设立章节强调了对敏感个人信息的处理规则,并创设了处理敏感个人信息的,应当取得个人“单独同意”的规则,除了应当向个人履行法定的告知义务(包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等)外,还应当特别告知处理敏感个人信息的必要性以及对个人的影响。 因此,公司需要特别注意如何满足法律规定的“单独同意”,处理者除了在隐私政策中对敏感信息的处理行为进行告知外,还需要在该场景触发时,通过例如单独弹窗、单独展示等方式进行告知,并获得个人的明示有效的同意,而不能是“概括同意”,“一揽子同意”,更不能是“默认同意”。
敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。 保持了与《信息安全技术 个人信息安全规范》的定义一致。并强调了处理敏感个人信息的,应当取得个人的单独同意。 采取列举式+概括式的方式,敏感信息的种类比我国草案中罗列的要多,包括:财务数据、健康数据、官方标识符、性生活、性取向、生物识别数据、遗传数据、变性或双性恋状态、种姓或部落、宗教或政治信仰等等。 虽然加州其他数据保护相关法律有所提及,但CCPA没有规定所谓“敏感信息”的概念,个人的私人、公共或工作角色之间没有任何区别。所定义的“个人信息”术语与 GDPR 下的“个人信息”大致相同。 在个人信息定义部分,CCPA不仅围绕消费者个人,还特别引入了家人和家庭数据的概念 GDPR的特殊类别信息主要包括:种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、生物特征识别数据(用于唯一识别自然人)、健康、性生活或性取向、与犯罪定罪和犯罪有关的个人数据受欧盟或成员国法律规定约束。 GDPR不规制匿名化处理的数据,但在处理某些“特殊”类别的个人数据时(例如,透露某人的种族或族裔或与其健康或性取向有关的个人数据)将受到更为严格的监管,需要特别请律师或专家进行评估具体情况。 刚生效不久的LGPD的敏感信息主要包括:种族或民族血统、宗教信仰、政治见解、工会或宗教隶属关系、哲学或政治组织成员资格、健康、性生活、与自然人有关的遗传或生物统计数据 LGPD规定的处理敏感个人信息的法律基础比处理一般的个人信息的法律基础更加严格 PIPA中的敏感信息主要包括:意识形态,信仰、工会或政党成员、政治观点、健康、性取向、遗传信息、犯罪记录、通过某些技术手段生成的,可以用来识别个人或种族的,有关个人身体,生理和行为特征的信息 APPI中的敏感信息主要包括:、种族、信仰,宗教、身体或精神残疾、医疗记录,医学和药物治疗记录、与逮捕,拘留或刑事诉讼等有关的个人信息(无论是成人或青少年)或犯罪受害者。 日本特别强调了精神上的疾病以及医疗记录、药物记录属于敏感信息,同时,没有把政治见解作为敏感信息放入法案 新加坡的PDPA没有明确给出敏感信息的范围,但从过去监管机构的决定中可以把以下种类的个人信息视作敏感个人信息,主要包括:医疗数据、财务数据、破产状况、儿童的个人信息、个人识别符 儿童的个人信息在实践中通常被视作敏感信息,进行重点保护
草案一方面特别强调了,国家机关处理的个人信息应当在境内存储,对于确有需求向境外提供的,应当进行风险评估后方能对外提供。另一方面,也要求关键信息基础设施运营者,以及当处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。对于确需向境外提供的,应当通过国家网信部门组织的安全评估。 其中,关于个人信息达到一定数量的界定,可参考《个人信息和重要数据出境安全评估办法(征求意见稿)》 ,含有或累计含有50万人以上的个人信息,以及数据量超过1000G。关于关键信息基础设施的界定,可参考《关键信息基础设施识别指南》第(三)大点 中提及的多个“100万”的标准,包括访问量、注册用户量,影响人数量等等。
国家机关处理的个人信息;
关键信息基础设施运营者在境内收集和产生的个人信息;
在境内收集和产生的个人信息数量达到一定数量的主体。
可以看出中国目前的数据保护法对于数据本地化存储要求较高,需关注需要存储在境内的三种情形的具体界定要求。 印度对一般的个人数据,不存在本地化或数据传输限制。
对于关键的个人数据,只能在印度境内进行处理,当然也提供了例外条件,例如紧急情况或中央政府基于国家安全利益考虑等。
对于个人敏感数据,必须存储在印度境内,但其副本可以按照跨境转移的要求进行传输到印度境外
印度对于关键的个人数据和个人敏感数据有本地存储/处理限制,并针对不同的信息类型有原始信息存储和副本存储的不同限制,需要进行关注。 CCPA和GDPR对本地存储没有强制要求,但GDPR部分需要注意要满足数据跨境转移的要求 除非没有满足数据跨境转移的要求,否则无本地化存储的要求 LGPD对本地存储并没有强制要求。但在个别垂类的部门法中如金融行业和公共领域另有要求 巴西、韩国、日本的数据保护法中除特殊类别数据,其他类别数据对本地存储均没有强制要求。但上述三国规定的特殊类别并不完全相同,需根据具体国家进行类别关注。 在通用的个人信息保护要求中,韩国对本地存储并没有强制要求。但在个别垂类如健康行业另有要求 在通用的个人信息保护要求中,日本对于本地存储并没有强制要求。但在个别垂类如医药领域另有要求 在通用的个人信息保护要求中,新加坡对本地存储并没有强制要求
本次草案特别用单独的一章来规定了个人信息跨境提供的处理规则,确立了境内产生和收集的个人信息与重要数据原则上应当在境内存储,但确需对境外提供的话,则需要满足安全评估、个人信息保护认证以及与境外合作方订立可以确定和保障双方权利的三个条件之一。同时,如果我们结合《个人信息出境安全评估办法(征求意见稿)》的规定来看时,处理者向境外提供个人信息前应向省级网信部门申报个人信息出境安全评估,且评估内容也包括合同条款是否能够充分保障个人信息主体合法权益以及合同能否得到有效执行,因此,对于不同类型的处理者需要特别注意是否需要全部满足规定的各项条件,而不只是某一条件。 另外,需要特别注意,境外传输也需要遵守“单独同意”的规定,和法定告知义务。另外本次草案的另一特色是,增加了“按照国家网信部门的规定经专业机构进行个人信息保护认证”的要求。
境内产生和收集的个人信息与重要数据,原则上应当在境内存储。确需向境外提供的, 应当至少举办下列条件: 通过国家网信部门组织的安全评估
按照国家网信部门的规定经专业机构进行个人信息保护认证
与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准
境外接收方的身份、联系方式;
处理目的、处理方式;
个人信息的种类;
个人向境外接收方行使本法规定权利的方式等事项。并取得个人的单独同意。
允许将个人敏感数据的副本在印度以外的地方转移的情况,但需要满足: 数据主体明确同意;
根据DPA批准的合同或集团内部计划进行的;
政府认为一个国家或一个国家中的实体类别可提供足够的保护;
DPA已明确授权转让。
跨境传输的还存在其他例外情况,例如在预防,调查或起诉犯罪,执行合法权利和获得法律建议方面存在一定的豁免情况。 数据传输在CCPA中被视作售卖(selling)个人信息的一部分。消费者有权拒绝其数据被分享给第三方(基于知情权、访问权和拒绝权) 与大多其他国家不同,数据传输在CCPA中被视作售卖(selling)个人信息的一部分 接收方位于欧委会认为对个人数据提供足够保护水平的地区。
采取了适当的保障措施,例如欧委会批准的标准合同条款或DPA批准的具有约束力的公司规则;
其他合理情况,例如,数据主体明确同意,为履行合同而必须转移等等。
除上述通用的跨境传输情况外,GDPR还支持根据国家法律文书,为国际法律合作进行数据传输 LGPD规定多达7种允许个人信息国际传输的情况,也只能在这几种法律规定的情况下才能进行跨境传输,且不同的情况下还有具体细致的要求。 LGPD对于个人可以数据跨境传输的情况规定的非常全面,基本涵盖了其他国家的所有允许传输的情形。 PIPA中对跨境传输的同意告知进行了具体规定。在一般的情况下,数据的跨境传输在需要告知: 数据接收方
传输目的
被传输的数据有哪些
使用和保存期限
在此基础上,还需要对以下内容进行告知并获得数据主体的同意: PIPA强调了对数据主体的告知和告知内容。违反跨境传输要求,可能导致不超过相关收益 3%的罚款(如数额难以计算,则不超过三十万美金) 。 另外还有服务器离岸部署的特别规定,建议联系我们团队具体处理。 得到数据主体的同意
传输到经核准的白名单上的国家(31 个欧洲国家)
传输给获得某些资质或由相关监管机构批准的某些行为准则计划的成员;
数据接受者做到了满足PPC要求的足够的预先保护措施。比如签订了相当于APPI中规定的义务的数据传输协议或者内部规则。
日本与欧洲多国家有数据传输白名单,跨境传输可行性与便利性较好 DPA 中规定了机构的传输限制责任。数据传输出境需要机构满足以下要求: 采取适当的措施来达成传输限制责任和 PDPA 下规定的数据保护原则
采取适当的措施来保证和满足数据接受方有义务提供不低于 PDPA 要求的数据保护能力;
获得到数据主体的同意;
这部分“义务”主要通过“法律、合同、约束性企业规则和其他约束性手段”等形式进行体现。另外,2020 年生效的修正案中又加入了两种新的认证可默认满足“义务”要求。
处理个人数据的法定基础是各国数据保护法律非常重要的部分,也是个人信息处理者对个人信息进行收集、使用、处理、转让、共享等最重要的法律基础。各国关于法定基础的规定看起来可能是大致相似的,但各国对于不同的情况下所能满足的程度的理解会有不同,部分规定也有差异,公司在处理个人信息时,需要特别注意特殊情况下的具体规定。 本次草案确立了“以告知-同意”为核心的个人信息处理 的一系列原则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。处理者需要注意遵守“合法性原则”和“同意原则”,其中有五种情况需要满足“单独同意”的规定。
符合下列情形之一的,个人信息处理者方可处理个人信息: 取得个人的同意;
为订立或者履行个人作为一方当事人的合同所必需;
为履行法定职责或者法定义务所必需;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
法律、行政法规规定的其他情形。
处理者的同意应当以明确的意思表示或者行为作出,除法律、行政法规另有规定或与信息主体另有约定外,信息主体未予拒绝的沉默不被视为同意。 同意。
国家、议会、立法机关的必要功能。
法律义务。
涉及生命或严重健康威胁的紧急医疗事件。
提供医疗或保健服务。
在灾难期间保护个人安全。
就业目的。
法规可能指定的“合理目的”,包括防止或侦查非法活动,举报,并购,网络和信息安全,信用评分等等。
特意指出了紧急医疗事件、灾难等特殊情况,以及比较特殊的“就业目的” CCPA给出了事后机制,即“选择退出对其个人信息的售卖和披露、要求删除其个人信息“ 同意。
履行合同。
法律义务。
合法权益。
保护生命及重要利益。
公共利益。
GDPR独有的处理敏感个人信息的法律基础包括:已公开的个人信息(同中国的规定)和非盈利机构进行的有合适安全措施的合法活动 LGPD规定了多种处理个人信息的法定基础,除了前述GDPR的规定外,还包括以下独有的法律基础: 学术机构的研究;
司法、行政、仲裁的需要(保证匿名化技术的实施);
出于对健康的保护(处理主体为医疗机构或医疗专家)
对征信的保护
LDPD独有的处理敏感个人信息的法律基础是:防止数据主体遭到诈骗 同意。
履行合同。
法律义务。
保护自然人的重大利益。
满足数据控制者或第三方的合法利益。
对于信息服务提供商来说,处理个人信息还有一个另外的法律基础:为相关服务结算费用 APPI处理个人信息的法定基础基本同前述韩国PIPA的内容 PDPA没有给出一系列的法律基础,但强调同意的必要性
数据主体在个人信息处理活动中的权利是各国数据保护法的重头戏,这决定了个人信息的所有人可以享有哪些具体的权利保障,也体现了该国数据保护立法对个人权利的重视程度。企业在处理用户个人数据的时候也特别需要保障这些法定权利的行使方式与具体程序。本次草案特别用单独的一章来明确个人在信息处理活动的具体权利,主要包括知情权、决定权、查阅权、复制权、更正权、删除权及获得解释权等。 至于对每个权利的具体范围包括哪些(例如个人可查阅复制的个人信息范围包括哪些),可实现的程度如何(例如如何保障用户的更正权利、拒绝权利等),有哪些具体的保障措施等等,还需要进一步结合《个人信息安全规范》等法规,以及在实务中进行释明和理解。 另外,草案也强化了数据质量的规定,明确规定“所处理的个人信息应当准确,并及时更新”。
知情权、决定权、查阅权、复制权、更正权、删除权及获得解释权等 特别强调了决定权和解释权。需要充分保障个人信息数据主体对个人信息如何使用、处理等的决定权利。 包括确认和访问权,被遗忘权,数据可移植权,纠正权等一系列权利 其中纠正权中包括删除权,即当“不再需要出于处理目的而使用个人数据的时候,数据主体可以要求对该等数据进行删除。” 访问权。
知情权(对于被收集、披露和售卖的信息)。
删除权。
拒绝权/退出个人信息售卖的权利。
不受歧视的权利。
委托代理人提出相关需求的权利。
儿童的选择加入权。
CCPA对不同数据主体权利给出的对应的释明和规定,例如访问权仅适用于访问要求提出前12个月的个人信息;删除权的行使没有法律基础限制,且响应时间为不超过45天(常规)等等,并很有特色地首次引入了不受歧视权,以及退出对其信息进行售卖的权利等。其他更具体情况欢迎向我们团队进行咨询。 GDPR赋予数据主体的权利,是各国数据立法的模范,主要包括访问权、删除权、 知情权、拒绝权/退出权、可携带权等各种权利 GDPR对不同数据主体权利给出的对应的释明和规定,实务过程中需要特别注意,例如删除权只能在限定的法律基础前提下行使,且响应时间为不超过一个月(常规);数据主体可以退出所有数据处理活动;知情权要求公布DPO的联系方式,以便回应用户主体提出的要求等等 LGPD赋予数据主体的权利比较完善,主要包括:不仅包括了GDPR的部分,还带有自己的特色,例如匿名、拦截、消除权(消除不必要或过多的数据或不符合LGPD规定处理的数据);消除经数据当事人同意而处理的个人数据(但LGPD第16条规定的情况除外);有权获得有关与控制者共享数据的公共和私人实体的信息;有权获得有关不提供同意的可能性以及这种拒绝的后果的信息等等 强调了对仅通过自动化方式进行的个人数据处理的决策审查权 PIPA赋予数据主体的权利主要包括:访问权更正权、暂停或删除权、拒绝权/退出权等 UPCIA2021年生效后,征信信息将需要满足可移植权 APPI赋予数据主体的权利主要包括:访问权/公开权、 知情权、更正权、删除权、 拒绝权/要求停止处理权等 APPI强调数据主体可以要求停止数据处理并删除可以定向到他的个人信息,前提是如果个人信息是被违规收集或控制的。 PDPA赋予数据主体的权利主要包括访问权、知情权、撤回同意等等 法案中未见被遗忘权的规定,但知情权要求公布DPO联系方式,以便回应用户主体提出的要求
关于数据处理者的具体义务和责任,是各个企业特别关注的问题,也是数据合规工作最为重要的一大部分。本次草案在第五章中规定了处理个人信息的数据处理者的具体义务,企业需要特别注意根据草案的要求,建立个人信息保护的内部制度,对个人信息实行分级分类管理,以及建立风险评估、去识别性处理等基本制度,同时,数据处理者应采取适当的安全技术措施确保数据的安全、准确。这在与GDPR、CCPA、LGPD、PIPA等重要数据保护法案中的规定一致。 另外,还需特别注意的是,境外处理境内数据时候,境外组织应当在境内设立专门机构或指定代表,并公布并官方备案负责人的信息,此处与欧盟、印度、新加坡等关于任命和公布数据保护官联系方式的要求是相近。
管理制度和操作规程
分级分类管理
加密、去标识化等安全技术措施
确定权限及内控机制
进行教育培训
制定应急事件处理基础
确定个人信息保护负责机构和负责人
进行合规审计
事前风险评估
建立请求、投诉处理机制
1. 在基本制度方面提出了构建个人信息保护标准体系、认证与标志体系、风险评估、去识别性处理等基本制度。 2. 满足一定条件的组织,需要这里专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作 (参考《信息安全技术 个人信息安全规范》11.1 c部分)。 当重要数据受托人满足一定条件或情况时,需附加对应的责任和义务,包括例如进行DPIA(数据保护影响评估),任命DPO(数据保护官),进行数据年度审核等等。 受此类要求约束的范围为重要数据受托人,而不是所有数据控制者 CCPA的责任比较多也相对特别,此处仅列出部分内容 ,更多信息欢迎联系我们: 在官网首页作出“不要售卖我的个人信息”链接;
在消费者要求不要售卖自己的个人信息后至少12个月不进行售卖;
在隐私政策或CCPA特殊页中给出消费者权利;
企业必须实施合理的安全措施,以检测欺诈性的身份验证活动,并防止未经授权访问或删除消费者的个人信息
在消费者要求不要售卖自己的个人信息时,仅仅使用其个人信息用于满足该不售卖需求 GDPR对数据处理的责任是各国立法的参考范本,主要体现在: 记录数据处理活动。
进行DPIA(数据保护影响评估)
任命DPO(数据保护官)
实施技术安全措施
数据泄露时进行通知
问责制(accountability)
特别注意数据泄露通知需同时通知监管机构和被影响的数据主体 记录数据处理活动;
实施技术和行政安全措施,以保护个人数据免遭未经授权的访问以及非法或偶然的破坏,丢失,修改,通信或任何其他形式的不当或非法处理情况;
根据数据控制者的指示处理个人数据;
从控制者处接收并支持实现数据主体对数据的更正,消除,匿名化或阻塞的要求。
数据处理者对数据处理过程中违反LGPD造成的损害也需要负责任 最小化原则
匿名化
建立内容管理个人数据的规制,包括保留访问日志
在处理个人数据时进行通知
个人信息和敏感个人信息分别获得同意
在韩国数据处理者一般被视为数据控制者(handler),或数据控制者的雇员 要求数据控制者对第三方(包括数据处理者)进行管控和监督,包括不限于:执行数据控制者与服务提供商之间的协议;向服务提供商提供安全措施;围绕数据处理行为指示和调查服务提供商 不同处理者身份及场景下的具体合规点不同,需要个案分析 PDPA主要体现在:任命DPO(数据保护官)、实施技术安全措施、问责制(accountability)
全球范围而言,已经有单独数据保护立法的国家和地区,大部分都正在确立或已经确立了对应的数据保护监管机构,不同国家/地区由于立法体制的不同,导致监管的机制或负责的部门也会不同,理解对应监管机构,有利于进一步帮助企业了解数据保护立法的监管趋势与动态。本次草案中确认了履行个人信息保护职责的保护和个人信息保护的监管体制,并为个人对违反个人信息处理的行为可以向监管部门进行投诉、举报的权利。
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。 职责包括:教育、指导、监督;接受、处理投诉、举报;调查、处理违法活动等等 检察长有制定不限于CCPA中规定的具体领域内容的法规的权利 EDPB由个成员国的数据保护机构组成,各国数据保护机构有调查权和纠正权,且是完全独立的 ANPD与欧盟成员国的数据保护机构类似,旨在提供补充性规范、指引和监管 作为内阁府的外局,是由内阁总理大臣所辖之行政委员会
本次草案在处罚规定的一个大亮点是,借鉴了国外立法内容,在行政责任上的行政处罚中设置了较高的上限,也在民事责任上确定了处理者的侵权赔偿责任,一方面为未来行政处罚力度提供了较大空间,另一方面,也使更多的企业更加重视对用户个人信息的大力保护,而不只是发生侵害后进行简单的删除,高额的罚款规定设置也更有利于个人信息保护法的落地和执行。
违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的: 由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,处以100万以下罚款;对直接负责的主管人员和其他直接责任人员处1万-10万罚款。
情节严重的,并处5000万元以下或者上一年度营业额百分之5以下罚款;并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;
明确了我国个人信息保护的监管机制,进一步强化了侵犯个人信息的民事、行政等法律责任 印度规定了刑事责任,主要针对重新识别去标识化的个人数据的行为;
行政处罚:最高1.5亿卢比的罚款,或企业全球营业额的4%;
DPA还可能发布禁令性罚款,包括禁止处理,限制国际转移和要求删除个人数据的能力 行政处罚:对于每次违反处以不高于2500美金的处罚;对于每次故意违反处以不高于7500美金的处罚;
民事救济:个人仅在数据泄露时可以就安全措施不完善提起民事诉讼
CCPA的罚款金额如果累加将会非常高,特别需要注意。 未规定刑事责任,但允许成员国对违反法规和适用国家法规的行为施加刑事处罚。
行政处罚:最高处以2000万欧元的罚款,或企业全球年度营业额的4%。
民事救济
DPA可能还会发出禁令性罚款,包括阻止处理,限制国际转移以及要求删除个人数据的能力 LGPD关于行政处罚的规定与条件比较复杂,主要包括: 警告,并指出采取纠正措施的期限;
对集团或企业集团的法人实体处以最高不超过上一个财政年销售收入2%的单笔罚款,同时(不含税)每次违规的总金额最高不得超过50,000,000巴西雷亚尔(约合8,305,440欧元) ;
每日罚款,(适当考虑到第二条所述的总限额);
对违规行为进行充分调查并确认其发生之后,进行披露;
阻止与违规行为有关的个人数据,直到对其进行规范化;
消除与违规行为有关的个人数据;
在一定期限内暂停数据库功能;
禁止部分或全部执行与数据处理有关的活 动。
规定了刑事责任
行政处罚包括:更正令、行政罚款和罚款附加费(不高于五亿韩元)
民事救济
规定了刑事责任,刑事罚金根据违反情形规定了四个不同的最高处罚标准
罚款包括刑事罚金和非刑事罚金
民事救济
PDPA指南和其他相关文件中对行政罚款的最高限额限定在一百万新币
通过与全球主要地区的数据保护法案与草案进行对比,我们可以看出,一方面,本次个人信息保护立法,坚持立足国情,从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,将行之有效的做法和措施上升为法律规范。同时,非常充分地借鉴了国际经验,有关国际组织和国家、地区的有益做法,建立健全适应我国个人信息保护和数字经济发展需要的法律制度。另一方面,本次草案也把个人信息保护实务中关注的重点和热点内容进行了体现,并对新技术带来的新问题留下了必要空间,同时也对个人信息处理者提出了更加严格的要求。 以上内容为我们对草案的基础解读以及各国重要法案的部分要点列示,更详细的内容,欢迎联系我们具体解决。
垦丁海外律师团队深耕海外多地区多条业务线,通过多年来积累的出海发了服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
垦丁律师事务所海外业务团队除了注重出海互联网法律实务之外,还特别关注海外数据隐私保护立法、数据安全以及行政监管现状与发展,通过调研、实践以及结合多年的海外法律实务经验,为出海互联网企业提供落地性强的数据合规法律解决方案。
4、2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》 5、General Data Protection Regulation (Regulation (EU) 2016/679) 6、Law No. 13.709 of 14 August 2018, General Personal Data Protection Law (as amended by Law No. 13.853 of 8 July 2019) 7、California Consumer Privacy Act of 2018 (last amended in 2019) 8、California Online Privacy Protection Act 9、Personal Data Protection Bill, 2019 10、The Act on the Protection of Personal Information (Act No. 57 of 2003 as amended in 2016) 11、Personal Data Protection Act 2012 (No. 26 of 2012) 12、Personal Information Protection Act 2011 免责声明:以上内容可能会因法律法规修改而变更,司法实践中依个案实际情况来处理。本文内容仅代表作者个人观点,不构成法律意见,作者以及发布平台均不为内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。 广东省法学会信息通讯法学研究会理事,白鲸法律研究中心执行主任,荷兰RuG国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。九年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。 同时为出海互联网法律观察公众号主理人,合著《互联网全球数据合规法律观察报告》,并输出多篇专业互联网与数据合规文章,部分文章刊登于威科先行专业数据库中。
联系方式:13650790754
邮箱:jie.wang@kindinglaw.com
前大型欧盟企业数据安全官和出海游戏公司法律合规顾问,荷兰UM国际经济法与商法硕士。熟悉海外各国家地区的数据隐私保护法律体系如GDPR、CCPA、LGPD、APPI、PIPA等,了解中国互联网企业出海和跨国公司进入中国的数据合规需求。支持业务涉及多国隐私协议撰写、内容安全政策解读把控、产品全生命周期数据合规评估、儿童数据收集及适用合规方案、数据跨境传输等。业务经验涉及欧盟、东南亚、拉美、美国等出海热门市场。
#更多往期出海业务精彩文章#
刚刚!《个人信息保护法(草案)》公布,8章70条
「本周全球数据隐私资讯速递」
美国联邦政府上诉,要求撤销对TikTok限制令的禁令
游戏出海三人游—日本篇
【突发】 印度叕禁包括吃鸡在内的118款中国应用,附详细清单
TikTok将在48小时内被出售?只做了TikTok百天CEO的凯文被挡在了交易外
TikTok起诉书:行政令违宪越权,要求撤销禁令 (附中文翻译全文)
《垦丁W&W | 全球数据合规资讯周刊》由威科先行独家发布
游戏出海三人游-韩国篇(下)
游戏出海三人游-韩国篇(上)
美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式
16/08 爱尔兰DPA将对TikTok数据中心进行评估
【如何做一块安全的饼干】之cookies的用户告知与法律基础
【突发】特朗普签署总统令:正式封杀微信TikTok,45天后生效
突发!美国政府宣布扩大洁网计划来保护美国资产