全球数据合规资讯周刊第100期特别刊（上）-- 最值得关注的全球数据立法十大资讯-W&W国际法律团队

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

编译 | 王捷夏律宋佳凯刘玫君

《全球数据合规周刊》第100期特别刊

王捷律师团队一直关注全球数据合规动态，目前已经持续输出多期数据合规资讯周刊，在《全球数据合规周刊》第100期的特别刊中，我们特别地为大家梳理和总结过去一年中，最值得关注的立法和执法十大资讯，在本篇中，我们为大家呈现过去两年中最值得关注的全球数据立法十大资讯。

王捷律师团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

最值得关注全球数据立法十大资讯

中国《个人信息保护法》

2021年11月1日起实施的中国《个人信息保护法》，是个人信息保护领域的第一步专门立法。该法从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面，为个人信息主体的权益提供全面的保障。《个人信息保护法》的实施为企业的个人信保护实务提出了新的挑战，而实务中企业隐私保护的滞后性将会带来更高的成本投入和沟通内耗，因此，破解个人信息保护的难点、做好合规工作已经刻不容缓。

《个人信息保护法》在第一章“总则”中就本法的适用范围进行了明确的规定，即“在中华人民共和国境内处理自然人个人信息的活动，适用本法。”也就是说，只要是在中国境内的个人在中国境内产生个人数据，且被中国境内的组织、个人进行了个人信息的处理行为，均属于《个保法》的管辖范围。《个人信息保护法》明确了“个人信息”的概念，并且扩大“敏感信息”范围。《个保法》将个人信息定义为：“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”这里需要特别提出的是，《个保法》明确将匿名化处理后的信息排除在个人信息范围内。同时，《个保法》将不满十四周岁未成年人的个人信息列入敏感个人信息。此外，《个人信息保保法》就个人信息处理的相关问题进行了明确规定，包括明确撤回同意权、单独同意、共同处理和委托处理的规定、自动化决策情形下的处理规定等。

欧盟《数据法》（草案）（Data Act)

2022年2月23日，欧盟公布了《数据法：关于公平访问和使用数据的统一规则的法规提案》（Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data）草案全文。《数据法》草案是继《数据治理法案》之后又一重要法案。

《数据法》草案强调，根据GDPR第46条，控制者和处理者应制定适当的保障措施，将个人数据传输到第三国或国际组织，为此，GDPR通过引入行为准则作为新的传输机制，使第46条规定的组织在向第三国进行框架性传输时使用的适当保障措施多样化。

《数据法》草案完全符合并建立在欧盟GDPR规则之上，尤其是数据可移植性的权利，该权利允许数据主体在提供竞争服务的控制者之间传输其数据。该草案就数据共享、公共机构访问、国际数据传输、云转换等问题做出规定，适用对象包括互联产品的制造商、数字服务提供商和用户等。

欧盟《数据治理法》

（Data Governance Act）

2022年4月6日，欧洲议会以501票对12票，40票弃权的结果通过了《数据治理法》。《数据治理法》（DGA）于2021年11月与理事会达成一致，旨在增加对数据共享的信任，建立关于数据市场中立性的新欧盟规则，并促进公

共部门持有的某些数据的再利用。它将在健康、环境、能源、农业、流动性、金融、制造业、公共管理和技能等战略领域建立共同的欧洲数据空间。另外，2022年2月23日颁布的《数据法》（草案）也对欧洲企业进行数据共享具有非常重要的指导意义。

《数据治理法》旨在提供更多数据并促进跨部门和欧盟国家的数据共享，以利用数据的潜力造福欧洲公民和企业。法案出台产生以下积极影响：

（1）【行业发展】良好的数据管理和数据共享将使行业能够开发创新性的产品和服务，并使许多经济部门更加高效和可持续，在训练AI系统方面也发挥重要作用。

（2）【公共部门】有了更多可用数据，公共部门可以制定更好的政策，从而实现更透明的治理和更高效的公共服务。

（3）【公司和个人】数据驱动的创新将通过以下方式提高我们的生活和工作效率，从而为公司和个人带来好处。

数据共享中如何确保共享主体的之间的信任是相关主体特别关注的问题。《数据治理法》提出将通过匿名化处理、数据汇集、具有法律约束力的协议等工具帮助建立数据共享信任。具体体现为：

（A）公共部门数据汇集方面。这些规则将使在一些公共部门领域收集的数据能够得到更好的利用。它们还允许为重要领域创建共同的欧洲数据空间：健康，环境，能源，农业，流动性，金融，制造，公共管理和技能。

（B）数据中介服务，通常是用户可以购买或出售数据的在线平台，将有助于新的中介机构被公认为值得信赖的数据组织者；

（C）基于社会利益共享数据，这些规则将使希望为社会利益共享数据的公司、个人和公共组织在共享数据时变得更加容易。

日本《个人信息保护法》(Personal Information Protection Act, APPI)

2021年6月12日，日本个人信息保护委员会（PPC）公布了《个人信息保护法》修改法案，并于2022年4月1日生效。此次法案增加了发生数据泄露时，数据处理者有义务报告监管机关并通知个人；解释了假名化处理信息的概念和方式，以及增强个人数据跨境传输中的监管力度。日本APPI的亮点主要包括但不限于：

一是根据新修订的《个人信息保护法》，公共场所出于预防犯罪目的采集顾客面部信息的，应当提前公告或者摆放显著标识。数据处理者在收集、处理面部信息时，应明确面部信息的内容、使用目的，遵循最小原则，不能超出处理目的收集信息，并且对数据的保留时间不能超出合理时间。此外，数据处理者处理人脸识别信息需要向公共人脸识别系统注册，并采取安全措施保护数据主体的个人信息安全。《个人信息保护法》对共享人脸识别信息作出了限制条件，如果是为了预防犯罪而共享信息的，可以在合理范围内共享。

二是根据新修订的《个人信息保护法》有关跨境传输的规定，允许将个人数据传输到日本境外。在传输数据之前，处理者应当告知数据主体。企业需要通过电子邮件、书面材料、口头解释、在网站上发布等方式确保数据主体知悉企业的传输行为。此外，新修订的《个人信息保护法》还规定了要求选择加入原则的关键豁免之一的要求，即传输给满足《个人信息保护法》个人信息保护措施的第三方。

三是新修订的《个人信息保护法》引入了一个新的概念“个人相关信息”，指的是那些与个体相关但是没有落入到日本APPI定义的个人信息、匿名化信息或假名化信息中。通过cookie获得的个人浏览历史、个人位置数据、购买历史和偏好等，均属于“个人相关信息”。法案提出“个人相关信息”的主要原因是，在一些案件中，不能识别为特定人的信息，如果将这些信息传输给第三方，可能会被第三方将接收的信息和已有的信息结合起来，从而识别出特定人。

四是新修订的《个人信息保护法》引入了假名化信息。经过假名化处理信息的可以保留，为潜在的统计分析做数据储备。使用假名信息的企业将免于有关假名信息的强制性数据泄露通知，只要假名信息是在相关范围内通过以下所有方法产生的：删除特定个人可识别的全部或部分描述;删除所有个人识别号码;删除使用不当可能造成经济损失的描述（例如，信用卡号、登录ID和提供汇款、付款或结算服务的网站密码）。

综上所述，法案旨在通过扩大数据主体的权利和增加企业的义务来加强对个人信息的保护。只要外国企业出于商业目的在日本处理数据主体的个人信息，外国企业将受到约束。同时还大幅提高了对企业的处罚，每次违规最高可达1亿日元。

新加坡《个人数据保护法》（Personal Data Protection Act，PDPA）

新加坡于2020年11月2日通过《个人数据保护法》修正案（PDPA），并从2021年2月1日分阶段生效。《个人数据保护法》为新加坡的个人数据保护提供了基本准则，并且补充了特定行业的立法和监管框架，例如《银行法》和《保险法》。PDPA旨在保护数据主体的个人数据并且规范数据处理者的数据处理行为。

PDPA修正案主要包括的内容有：数据保护义务、数据主体权利、跨境传输、新的刑事处罚。

一是数据保护义务。企业在进行数据保护时，应遵守的义务主要包括，（1）问责义务，企业需要根据PDPA的要求提供数据保护政策、保护措施以及投诉流程，并且必要的时候需要指定一名数据保护官（DPO）；（2）通知义务，向数据主体通知企业收集、使用或披露个人数据的目的；（3）数据可移植性义务，应数据主体的要求，企业应以及其可读格式将拥有或控制的个人数据传输到另一个企业等。

二是修正案增加了两种视为同意的情形：

因合同必要性而被视为同意：收集、使用或披露个人数据对于订立或执行合同或交易是合理必要的。

通过通知视为同意：个人已被告知其个人数据的预期收集、使用或披露的目的，并有合理的机会选择退出（并且没有选择退出）。

另外，修正案还增加了两个同意的例外情况，即合法利益超过任何潜在的不利影响，以及业务改进是合理的，不处理个人数据就无法完成。

三是新增了刑事犯罪处罚，如果对个人数据处理不当，比如故意或者不计后果地披露、使用、重新识别匿名数据等，犯罪方可能需要支付5000新元的罚款或者处以2年监禁。此外，新加坡的《垃圾邮件控制法》将被修订，以涵盖WhatsApp等流行的信息平台，以阻止未经请求的信息。

综上所述，新加坡《个人数据保护法》修正案自2021年起分批生效，新加坡作为企业出海的热门市场，企业有必要对新加坡的数据保护立法有所了解，确保数据保护合规。

韩国《个人信息保护法》（Personal Information Protection Act，PIPA）

在2021年短短一年时间，韩国个人信息法修订了三次，足见韩国对个人信息保护的重视。2021年9月28日，韩国个人信息保护委员会向国会提交了《个人信息保护法（修正案）》，此次修正案具有重要意义，是韩国自2011年颁布《个人信息保护法》以来，首次由政府主导，并结合多方意见而制定的，具有重要的实践指导意义。

三次修正案的主要亮点有：

一是引入数据主体享有可携权以及拒绝自动化决策的权利。

二是个人信息跨境传输方式的多样化。修正案第28条规定，人信息处理者只要符合以下任意一项，可以将个人信息进行境外传输，包括：信息主体另行同意境外传输的情形；法律、条约或其他国际协定中存在有关境外传输的特别规定；为了履行与数据主体合同约定的义务，对所必要的信息进行委托处理，并且告知数据主体的情形；接收方获得个人信息保护认证等保护委员会指定的认证之情形；向保护委员会所承认的同本法规定的个人信息保护处于同等水平的国家或国际机构进行境外移转的情形；

三是促进和支持个人信息保护行业自律。修正案第13条指出，保护委员会可以指定有专门能力可执行个人信息保护的协会或组织为个人信息保护自律规制团体。自律规制团体应当致力于提高所属个人信息处理者的个人信息保护水平。

四是完善儿童个人信息保护实施措施。根据修正案的22条规定，个人信息处理者为了处理未满十四岁儿童的个人信息，依照本法需要获得同意时，应当获得其法定代理人的同意，并要确认法定代理人是否同意。如果是为了获得法定代理人的同意，可以直接向儿童直接获取必要最小限度的信息。

从韩国《个人信息保护法》三次修正案可以看出，韩国对个人信息保护的重视程度不断增加，因此，企业出海到韩国时，要特别注意韩国对个人信息保护的规定，规避数据处理风险。

《美国数据隐私和保护法案》（American Data Privacy and Protection Act, “ADPPA”）

2022年6月3日，美国代表 Frank Pallone, Jr., DN.J.众议院能源和商业委员会主席兼高级成员Cathy McMorris Rodgers和参议院商业、科学和交通委员会高级成员、参议员Roger Wicker共同发布了一份联邦综合数据隐私法案的讨论草案，该法案如果获得通过，将成为《美国数据隐私和保护法案》（American Data Privacy and Protection Act, “ADPPA”）。如果获得通过，该法案将在其颁布之日起180天后生效。

《美国数据隐私和保护法案》是第一个获得两党和两院支持的美国综合性联邦隐私法案，旨在：

给予个人广泛的保护，防止他们的数据受到歧视性使用；
要求涵盖实体将个人数据的收集、处理、使用和传输减少到对特定产品和服务合理必要、相称和限制的程度；
要求受保护的实体在不损害隐私要求的情况下遵守其他义务；
允许个人停止有针对性的广告；
为儿童和未成年人提供增强的数据保护；

该法案包括关于忠诚义务的规定，包括与数据最小化有关的规定，概述了涵盖实体不得收集、处理或传输超出合理必要、相称且仅限于某些情况的涵盖数据。

关于设计隐私，该法案概述了建立和实施有关收集、处理和传输涵盖数据的合理政策、实践和程序的明确义务。此外，该法案禁止受管辖的实体根据放弃隐私权的协议收取不同的费率或提供不同的服务/产品。

《泰国个人数据保护法》PDPA

2019年个人数据保护法（PDPA）在两次推迟后于2022年6月1日生效，成为泰国第一部综合数据保护法。PDPA规定了数据收集、使用和披露的合法理由，包括敏感的个人数据、控制者和处理者的义务，以及数据主体权利。

PDPA适用于收集、使用或披露自然人的个人资料的个人或法人，但有某些例外情况，并具有地域性和域外适用性。

PDPA为数据主体规定了以下权利：

被告知的权利；
查阅的权利；
纠正的权利；
删除的权利；
反对/拒绝的权利；
数据可移植性的权利；

在数据控制者和处理者的义务方面，PDPA概述了一些要求，包括采取适当的安全措施，保持处理记录，任命数据保护官员（DPO），以及限制向第三国转移，包括引入适当的保护，以及数据泄露通知。PDPA还规定了对控制者和处理者关系的要求，指出这种关系必须由协议来管理。此外，PDPA明确了对违反其规定的处罚，包括民事、刑事和行政责任，罚款最高可达500万泰铢。

欧盟《数字市场法》

(Digital Markets Act, DMA)

2022年7月18日欧盟27个成员国一致宣布最终批准《数字市场法》（DMA），欧盟委员会于2022年4月23日发布了关于DMA的问答（Q&A）

Q&A指出，《数字市场法》（DMA）为在数字领域充当“守门人”的平台引入了规则，指出这些平台对内部市场有重大影响，是企业用户接触其终端用户的重要通道，并在市场上享有或可预见地享有根深蒂固的持久地位。

Q&A还概述了DMA的目标，即防止“守门人”对企业和最终用户施加不公平的条件，并确保重要数字服务的开放性。“守门人”必须实施的更改示例包括确保最终用户可以轻松地取消订阅核心平台服务或卸载预装的核心平台服务，默认情况下停止在操作系统旁边安装软件，提供广告绩效数据和广告定价信息，允许开发人员使用替代的应用内支付系统或允许最终用户下载替代的应用商店。

《数字市场法》仅适用于根据提案中规定的客观标准被确定为“守门人”的公司。

作为先决条件，这些公司需要被认定为 DMA 中列举的“核心平台服务”之一。根据联合立法者之间的最终协议，十个核心平台服务将受 DMA 约束：在线中介服务；在线搜索引擎；在线社交网络服务；视频共享平台服务；与数字无关的人际沟通服务；操作系统;云计算服务；广告服务；网络浏览器；虚拟助手。

具体而言，将公司纳入 DMA 范围的主要有三个标准：

影响内部市场的规模：如果公司在过去三个财政年度中的每个财政年度在欧洲经济区 (EEA) 的年营业额达到或超过 75 亿欧元，或者其所在的上一财政年度的平均市值至少达到 750 亿欧元，并在至少三个成员国提供核心平台服务；
控制企业用户与消费者连接的重要门户：如果公司运营核心平台服务，在欧盟建立或位于每月活跃最终用户超过 4500 万，年活跃业务超过 10,000上一个财政年度在欧盟建立的用户；
市场支配地位：如果公司在过去三个财政年度中的每一年都满足其他两个标准，则推定存在市场支配地位。

满足上述标准的公司被推定为“守门人”，但有机会反驳该推定并提交经证实的论据，以证明由于特殊情况，尽管满足了所有门槛，但不应将其指定为“守门人”。

Q&A还提供了被认定为“守门人”的公司必须实施改变的例子，其中包括：

确保终端用户可以轻松地退订核心平台服务或卸载预装的核心平台服务；
停止默认与操作系统一起安装软件；
提供广告业绩数据和广告定价信息；
允许开发者使用替代的应用内支付系统；
允许终端用户下载替代的应用程序商店。

欧盟《数字服务法案》

(Digital Services Act ，DSA)

欧盟议会于 2022 年 1 月 20 日宣布，以 530 票对 78 票、80 票弃权通过了数字服务法案 (Digital Services Act ，“DSA”) 提案的商定文本，并对DSA原文草案进行了修订。

议会特别强调，DSA 旨在为中间平台服务提供商，特别是社交媒体和市场等在线平台，明确责任和问责制。

DSA 规定了数字服务的义务，这些服务充当平台，将消费者与商品、服务和内容联系起来。

它将更好地保护消费者和在线基本权利，为在线平台建立强大的透明度和问责制框架，并导致更公平和更开放的数字市场。

在整个欧盟范围内统一并直接适用的新规则将使跨境提供数字创新变得更加容易，同时确保对欧盟所有公民提供同等水平的保护。此类义务包括：

打击在线非法内容的措施，包括商品和服务，例如用户举报此类内容的机制，以及平台与“受信任的举报者”合作的机制；
网络市场企业用户可追溯性新规则，帮助识别非法商品卖家；
对用户的有效保障，包括质疑平台内容审核决定的可能性；
广泛的在线平台的透明度措施，包括用于推荐的算法；
大型在线平台有义务通过采取基于风险的行动来防止滥用其系统，包括通过对其风险管理措施的独立审计进行监督；
研究人员将可以访问关键平台的数据，以审查平台如何运作以及在线风险如何演变；
解决在线空间复杂性的监督结构：在新的欧洲数字服务委员会的支持下，成员国将发挥主要作用；对超大型网络平台，加强证监会监督执法。

DSA以2000欧盟《电子商务指令》的规则为基础，解决了围绕在线中介出现的特定问题。成员国对这些服务进行了不同的监管，为希望在欧盟范围内扩张和扩大规模的小公司设置了障碍，从而为欧洲公民提供了不同程度的保护。

DSA将减轻不必要的法律负担，为创新、增长和竞争力营造更好的环境，并促进小型平台、中小企业和初创企业的扩大。同时，它将平等地保护欧盟的所有用户，既保护他们免受非法商品、内容或服务的侵害，也保护他们的基本权利。

DSA适用于在线平台，包括互联网服务提供商、云服务、消息传递、市场或社交网络等服务。这些数字服务传输或存储第三方的内容。具体的尽职调查义务适用于托管服务，尤其是在线平台，托管服务的一个子类别。在线平台的示例包括社交网络、内容共享平台、应用商店、在线市场、在线旅游和住宿平台。DSA中规定的一部分规则侧重于非常大的在线平台，这些平台具有重大的社会和经济影响，覆盖了占欧盟人口 10% 的至少 4500 万用户。

DSA 对可追溯到 2000 年的规则进行了现代化和澄清。它将设定一个全球基准，在线业务将受益于一个现代、清晰和透明的框架，确保权利得到尊重，义务得到执行。

此外，对于在线中介，特别是托管服务和在线平台，新规则将降低在单一市场中遵守 27 种不同制度的成本。这对于创新型中小企业、初创企业和扩大规模尤其重要，它们将能够在国内扩大规模并与大型企业竞争。

其他企业也将受益于新规则。他们将能够使用简单而有效的工具来标记损害其贸易的非法活动，以及内部和外部的补救机制，为他们提供更好的保护，防止错误移除，限制合法企业和企业家的损失。

此外，那些自愿采取措施进一步遏制非法内容传播的提供商将放心，这些措施不会产生不受法律责任保护的负面后果。

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

互联网出海法律实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

近期更新：

从零读懂系列：

【从零读懂】数据出境合规100问 | Part 4：数据出海实践关键问题与海外SCCs要点对比

【从零读懂】数据出境合规100问 | Part 3下篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3中篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3上篇：《数据出境安全评估办法》高频问题与适用解读