立法回顾:2022年全球隐私和数据保护工作进程与趋势
12月20日,IAPP发布了名为“2022年的隐私和数据保护情况回顾”(A look back at privacy and data protection in 2022)的报告。数据隐私在2022年是一个炙手可热的话题,该报告概述了2022年的全球隐私和数据保护情况,以及分享了2023年相关情况的预测。
摘译 | 林心雨/赛博研究院实习研究员
来源 | IAPP
世界各地主要的立法努力
阿根廷公共信息获取署启动了磋商程序,开始改革其2000年通过的《个人数据保护法》,修改主要参考了欧盟《通用数据保护条例》的规定。
9月,澳大利亚第二大电信公司Optus发生大规模数据泄露事件,促使立法者提出《2022年隐私法修订案》,该法案将对屡次发生数据泄露事件的公司处以5000万澳元的罚款。
6月,加拿大下议院提出数字宪章实施法案C-27法案,并于11月提交。C-27法案包含了三项立法:《消费者隐私保护法》、《个人信息和数据保护法庭法》以及《人工智能和数据法》。
印度取消了其拟议的《个人数据保护法案》,取而代之的是修改后的《数字个人数据保护法案》,随着年底的临近,该法案正在进行公众咨询。该法案放弃了数据本地化标准,同时包含了公平、合法和透明、数据最小化、存储限制和问责制等原则。
印度尼西亚通过了《个人数据保护法案》,规定了对公民个人数据处理不当的处罚。它还授权总统任命监督机构的成员来执行法律,这是立法过程中的症结所在。
美国接近全面的消费者隐私法律
随着拟议的《数据隐私和保护法案》(ADPPA)的出台,两党全面的联邦隐私立法在美国走在了前列。这一具有里程碑意义的法案为美国消费者提供了隐私权保护和有限的补救措施,同时在全国范围内对公司提出了要求和明确了标准。
ADPPA是第一个在美国国会委员会获得通过的联邦隐私提案,但美国众议院拒绝进行表决。悬而未决的问题主要是众议院加利福尼亚代表团反对该法案对《加利福尼亚消费者隐私法》的联邦优先权。
美国州级隐私立法继续推进
在没有联邦隐私立法的情况下,各州继续各行其是。康涅狄格州和犹他州通过了全面的隐私立法,加入了加利福尼亚州、科罗拉多州和弗吉尼亚州的行列。上述各州的相关法律在2023年中都将生效。
目前,加州隐私保护局已经开始为将于2023年1月1日生效的《加州隐私权法案》制定规则。加州立法机关通过了《加州适龄设计规范法案》,这是一项前所未有的带有隐私要求的儿童在线安全法案。
欧盟-美国数据隐私框架初具规模
欧盟和美国今年终于就新的数据传输制度达成一致,拟议的欧盟-美国数据隐私框架(DPF)可能会在2023年夏季最终确定。但目前,该提案就面临着来自欧盟法院的挑战,即欧盟和美国是否解决了之前无效协议中概述的缺点。
国际数据传输得到进一步推进
2022年出现了更多数据传输的全球合作和解决方案。美国商务部组织的全球跨境隐私规则论坛中,出现了参与度提高的势头。经济合作与发展组织还制定并发布了全球公认的政府出于国家安全目的访问个人数据的原则。
欧盟推进其数字市场战略
欧盟通过了两项主要立法:《数字市场法案》和《数字服务法案》。虽然两者都包含隐私条款,但DMA规范了“看门人”技术公司之间的在线竞争,而DSA则制定了内容审核和平台问责制规则。欧盟也在认真制定《人工智能法案》、《数据法案》和《数据治理法案》。剩余的提案已经进行了很长时间的讨论,预计会在2023年最终敲定。
英国数据保护改革因政治不确定性而放缓
英国在脱欧后数据保护改革方面取得了进展;然而,保守党首相鲍里斯·约翰逊和利兹·特拉斯分别于6月和10月相继辞职,导致原计划的改革复杂化。英国下议院提出了《数据保护和数字信息法案》以及人工智能“规则手册”。英国前副信息专员Simon McDougall表示,英国的数据保护改革不会与欧盟GDPR的基本原则有太大偏差。
醒目的罚单
爱尔兰数据保护委员会开出了迄今为止第二大和第三大GDPR罚款:分别是对Instagram和Meta处以4.05亿和2.65亿欧元的罚款。在美国,Epic Games将支付2.75亿美元罚款就侵犯儿童隐私的行为达成和解。FTC还对Twitter处以1.5亿美元的罚款,原因是Twitter违反2011年的一项同意令,将账户安全数据用于定向广告。
CCPA加强执法
《加州消费者隐私法》的首次执法行动在8月开展,即与美容零售商丝芙兰达成120万美元的和解,表明加州总检察长Rob Bonta正在认真对待合规问题,也是对企业的一次现实检验。因为《加州隐私权法案》的新要求将于2023年1月1日生效,而加州隐私保护局仍在努力颁布最终规则,目前预计将于1月下旬发布。
Google Analytics执法为数据传输投下“乌云”
随着法国、意大利和丹麦的数据保护局纷纷效仿,奥地利数据保护机构1月份决定Google Analytics非法向美国传输数据的裁决所产生的连锁反应可能会在全年中显现。该裁决被称为“在各大洲之间合法传输数据的任何可能方法都蒙上了乌云”,因为当局下令停止使用该工具向美国传输数据,而无需采取补充措施。该裁决是对倡导组织NOYB在“Schrems II”决定后在欧盟成员国提出的101项投诉的回应。类似的决定很可能之后还会做出。
美国最高法院推翻了Roe诉Wade案
6月,美国最高法院推翻了Roe诉Wade案。该决定为各州通过法律将堕胎定为犯罪以及起诉提供堕胎服务的医生铺平了道路。这一决定打开了隐私问题的大门,因为生殖健康应用程序的用户数据安全实践可能使人们容易受到起诉。IAPP表示,自那以后各州将堕胎定为刑事犯罪的法律现在正在将“对邻居的监视正常化”,同时授权执法部门在前所未有的规模上“将数据武器化”。
2023年会发生什么?
在告别2022年之际,还有很多悬而未决的事情。2023年将继续推进哪些立法隐私工作?欧盟和美国最终会达成符合欧洲法院标准的数据传输协议吗?随着马斯克的收购、平台隐私和安全团队成员辞职,随着Twitter重组尘埃落定,我们是否会看到隐私执法?Roe诉Wade案的判决将对隐私产生什么影响?
距离2023年还有几天的时间,但未来一年可能会发生的事件,已经形成了对2022年的冲击。
CYBER RESEARCH INSTITUTE