盘点 | 各国数据隐私与保护情况

来源:中国信息安全 时间:2020-12-14

近年来,中国企业积极开展对外投资,投资范围遍及世界各地,投资领域日益拓展。同时,企业在对外投资中也面临着对东道国(地区)政策法规、营商环境及潜在风险不了解,实用经贸信息匮乏等困难,导致企业在对外投资过程中水土不服甚至遭受不必要的损失。当前,数据安全成为企业对外投资合作中需要特别关注的方面,为推动对外投资合作,帮助企业更好地开拓多元化市场,更好地了解各国各地区的数据隐私与保护情况,我们从中国国际贸易促进委员组织编写的《企业对外投资国别(地区)营商环境指南》系列丛书中摘取借鉴了相关内容,供读者参考。

 

亚 洲

韩 国数据隐私与保护情况

韩国相关机构发布的《2016年数据产业现状调查报告》显示,自2010年起,韩国数据产业市场均增长率为8%,2016年韩国数据产业市场规模已增至13兆6832亿韩元(约合人民币793余亿元)。随着人工智能等技术的发展,2020年韩国数据产业规模将超过16兆韩元(约合人民币936余亿元)。1. 信息数据保护法律 韩国信息数据保护的法律包括:《个人信息保护法》《公共机关的信息公开相关法律》《国家信息化基本法》等。2. 个人信息保护2011年3月29日,韩国制定了《个人信息保护法》,同年9月30日该法施行。《个人信息保护法》对个人信息定义做出了明确界定,即个人信息是自然人的信息,包括两种情况;一是易于识别的个人信息,例如姓名、身份证号码等信息;二是不易于识别的个人信息,即虽属于个人信息,但不能准确识别,需结合其他信息方可识别出特定个人的信息。

日 本信息数据保护法律日本《个人信息保护法》于2005年4月施行,2017年5月30日修订,对个人信息保护作出全面规定。该法规定了处理个人信息的企业应当遵守的义务等。“个人信息”的定义。有关生存的个人的信息,包括:通过该信息所包含的姓名、出生日期及其他表述等可以识别特定个人的信息(包括与其他信息进行核对即可识别特定个人的信息)或者个人识别符号。个人识别符号包括人脸照片数据、认证用指纹数据、个人号码、驾照号码、护照号码、保单号码等。作为对比,欧盟《一般数据保护规则》(GDPR)规定,网上识别要素(IP地址等)和履历数据等都属于个人信息,但日本的《个人信息保护法》将该信息排除在外;和 GDPR 相比,受到保护的个人信息的范围有限。个人信息处理经营者遵守的基本规则。个人信息处理经营者应在特定利用目的的范围内利用个人信息;在特定的利用范围之外予以利用时,以及向第三方提供个人数据(指构成个人信息数据库等的信息)时,应当事先取得本人的同意。而且,个人信息处理经营者应当采取安全管理个人数据所需的必要且恰当的措施;向第三方提供个人数据时或者收到第三方提供的个人数据时,应当记录一定的事项。另外,个人信息处理经营者在本人向其请求披露持有的个人数据时,原则上应当将其持有的该个人数据向本人披露。对违法行为的处罚。个人信息保护委员会对经营者遵守《个人信息保护法》情况进行监督。经营者违反该委员会的命令,将被处以6个月以下有期徒刑或30万日元(约合人民币1.97万元)以下罚金;进行虚假报告的,将被处以30万日元(约合人民币1.97万元)以下罚金。此外员工等以谋取不正当利益为目的提供或者盗用个人信息数据库的,将被处以1年以下有期徒刑或50万日元(约合人民币3.29万元)以下罚金。

阿联酋数据隐私与保护情况与其他司法管辖区不同,阿联酋没有全面的数据保护或隐私立法。但是,许多法律都解决了数据保护和隐私问题。阿联酋宪法主要保障通信的自由和保密。《刑法典》还规定了一些涉及隐私和保密的条款。例如,禁止在其职业、工艺、环境或艺术背景下受托保密信息的个人披露此类机密信息或将其用于个人利益或第三方利益,除非披露的信息法律要求或允许,或经此类机密信息的所有者同意。此外,《刑法》禁止侵犯个人隐私。2006 年《电子商务和交易联邦法》第1号,对个人根据上述法律赋予的权力获得的电子文件,文件或通信中包含的任何信息的披露实施刑事制裁。DIFC和ADGM作为商业和民事立法中享有一定程度自治权的无金融区已经发布了数据保护法。此外,自由区迪拜医疗城已采用有关数据保护的特殊规定,以解决医疗数据的收集、使用、披露和转移问题。2012年,阿联酋通过了2012年第5号《联邦电子犯罪法》,该法保护在线信息的隐私,包括数据、电子支付和银行账户及电子卡数据的详细信息。阿联酋提供的隐私保护的另一个方面是最近颁布的《反歧视和反仇恨联邦第20号法令》第15号,除了任何通过行为煽动宗教仇恨或冒犯宗教的行为外,不得以宗教、种姓、信仰、教义、种族、肤色或种族血统为由进行任何形式的歧视,包括但不限于表达形式,包括演讲、书面文字和在线媒体。该法律规范公司实体和个人,违反该法可以实施制裁,从监禁到重大罚款。2015年12月,迪拜发布《数据共享法》,即 2015 年第26号法律,允许迪拜政府机构与数据提供商(可能包括私营部门企业)开放和共享数据。法律旨在帮助迪拜实现到 2021年成为智慧城市的计划,鼓励创新,以实现积极影响经济的目标。“数据提供者”的定义非常广泛,包括生产、拥有、发布或交换与迪拜相关的任何数据的人员。但是,没有明确要求哪些实体或个人与迪拜政府共享数据。根据该法律,数据提供者必须采取一切必要措施来保护他们管理的数据的隐私和机密性。鉴于在阿联酋违反隐私和披露个人或家庭信息的行为将受到刑事处罚,建议得到有关人员明确同意后,再使用其任何个人信息或数据。

印度尼西亚信息数据保护法律自1997年至今,印尼在一般数据保护方面出台过较多规定,其中印尼通信信息部2016年出台的《MOCI规则》是主要法规,用于解决印尼的数据盗窃问题。该法规规定:个人数据是指存储、维护和保持准确的某些个人数据,其机密性受到保护。根据《MOCI规则》,在隐私保护方面,企业需要明确自身业务中可能产生的数据保密类型,并关注相关法律法规的变化调整,以更新涉及数据及隐私保护的相关合同和文件。

泰 国数据隐私与保护情况2019年2月28日,《泰国个人数据保护法》(“PDPA”)最终被国民立法大会批准通过。5月27日,该法律在政府公报上发布,意味着其在泰国已成为法律。

新加坡数据隐私与保护情况新加坡个人资料保护法令(PDPA)2012年10月在国会通过并分阶段生效,主要的资料保护条例于2014年7月1日生效,规定商家在收集、使用与披露个人资料时,须征求消费者或客户同意。《个人资料保护法令》由个人资料保护委员会 (PDPC) 管制。个人资料保护法令对收集、使用和披露新加坡个人的资料进行管制。个人资料保护法令内容广泛,适用于在新加坡从事收集、处理或披露个人资料的所有新加坡境内外的私人机构,但不适用已保存在记录里百年以上的商业信息和个人资料或已去世人士的个人资料。如果有关人士去世不到10年,披露和保护个人资料的条款仍适用。不遵守个人资料保护令将承担民事和刑事责任,个人资料保护委员会有权审查对机构提出的投诉、下达适当指示【包括停止收集、使用、披露或销毁违反个人资料保护法令的个人资料,并处以最高100万新元(约合人民币507万元)的罚款】,并具有调查的权力。委员会可向地方法院申请登记和执行其指示。从登记之日起,该指示具备法律效力;如果机构因其人员的纵容、疏忽而犯刑事罪,该人员也须承担刑事责任。

 

美 洲

加拿大数据隐私与保护情况1983年,加拿大颁布《隐私法》,规范联邦政府收集、使用和披露个人信息的行为。2000年,《个人信息保护和电子文档法案》(以下简称“PIPEDA”)通过,该法案规定了私人或者企业在进行商业活动时使用个人信息的范围与准则。作为加拿大最主要的联邦法规之一,PIPEDA一直是隐私权的保障。加拿大所有企业在从事商业活动的过程中收集、使用和披露个人信息时,均受到 《个人信息保护和电子文档法案》制约。该法案最重要的内容是十项基本原则。1.责任制原则 (Accountability)任何组织有责任对于其控制下的个人信息和电子资料的保护建立起一套行之有效的制度,这一制度包括对个人信息的收集与使用方针、具体的业务操作流程。如果机构是一家大型机构,该机构应任命一名“首席隐私保密官”,专门负责法律的执行。2.明确目的原则 (Identifying purposes)在收集个人信息和电子资料时,甚至是未收集之前,需有明确的目的,表明收集的原因、必要性、信息收集后的使用方法。3. 同意原则 (Consent)任何组织和企业对个人信息的收集、使用和披露,都要以有效的方式告知信息关系人,同时取得信息相关人的同意。如果个人信息被用于新的用途,须重新获得同意。4.限制收集原则 (Limiting collection)个人信息的收集应该被企业组织证明具有必要的目的。比如为了调查用户对软件的喜好程度,一般只是收集使用软件的时长,而不会去收集用户使用软件的地点。并且要通过公平且合法的方法收集,禁止随意收集个人信息和采用欺骗、误导等手段进行收集。5.限制使用、披露和保留原则(Limiting use,disclosure and retention)企业组织需要按照收集信息时的目的进行使用和披露。即使需要保留个人信息,也必须具有必要性,这里的必要性是以达到预定目的为界限,除非企业事先获得授权和允许。同时企业应及时注销不符合使用目的或法律要求的匿名信息,保留的个人信息允许信息关系人事后索取补充以及修正。6.准确性原则 (Accuracy)要准确、完整地使用个人信息,并及时更新。7.保障措施原则 (Safeguards)信息关系人的个人信息在被收集、使用和披露时,受到安全保障措施的保护,防止遗失和盗窃,防止未经授权的人对信息进行披露、复制和修改使用。8.开放性原则 (Openness)对于个人信息的管理和保护的方式以及政策措施,包括针对个人信息的业务操作方法和流程,企业组织应该用通俗易懂的形式和明确的途径向信息关系人公开。9. 个人访问原则 (Individual access)当信息关系人要求获取其个人信息时,除法定例外的情形,企业组织有义务告知本组织对信息关系人的全部信息,以及信息的使用、披露和给予第三方的情况,并允许信息关系人进行准确性和完整性的补充修改。10. 合乎规范性原则 (Challenging compliance)。企业组织与个人需遵守以上原则,向个人信息持有者和个人信息关系人负责,从而使其符合 PIPEDA的规范性。建立信息关系人申诉受理的程序,企业组织需告知信息的来源,并对信息进行核实,完成核实后如有出入要对信息进行更正。此外,阿尔伯塔省《个人信息保护法》(简称 PIPA)和曼尼托巴省《个人信息保护和防止身份盗窃法》(以下简称“PIPITPA”)规定,私营机构有法定义务汇报侵犯隐私的情况。阿尔伯塔省、曼尼托巴省、新不伦瑞克省、纽芬兰和拉布拉多省、安大略省和萨斯喀彻温省出台了保护个人医疗信息隐私的法律。例如,2014 年《安大略个人医疗信息保护法》确立了在安大略省收集、使用和披露个人医疗信息的规则。

智 利数据隐私与保护情况智利的个人数据及隐私保护受19628号和20575号法律规范。该法律规定了储存和使用个人隐私信息的条件和要求,规范了个人信息的使用、数据所有人的权利以及个人信息的经济、金融、银行业或商业用途和公共、私人机构处理这些信息的方式。需要注意的是,智利法律相关内容中并没有包括治外法权,如何行使权利以及惩罚和制裁违规行为的规定,也没有提及是否存在保护此类权利的担保机构。当有相关案件发生时,必须在普通法院启动司法诉讼。

墨西哥数据隐私与保护情况数据隐私是全球关注的问题,拉丁美洲国家也开始寻求制订新法律,以解决这些问题。全世界的法规,包括欧盟的《通用数据保护条例》(GDPR)强调各国需要建立和更新现有的数据隐私框架和条例,以适应目前的商业环境。针对违规,GDPR的惩罚十分明确,罚款为公司年度收入的4%;在GDPR 推出的前几年,墨西哥就已经拥有数据隐私法规——《个人信息公开与保护法》(2010年),但由于定义不明确而无法执行。另外,墨西哥也没有特定的数据库法律对公司管理数据进行约束。除了墨西哥城等少数州出台了新的保护数据的法律外,墨西哥联邦政府层面迄今尚未对数据隐私法规进行修订。

 

欧 洲

法 国数据隐私与保护情况作为发达的资本主义国家,法国对于隐私保护的要求及需求达到了一个很高的水平,在现代科技发展的背景下,对于隐私权的保护很大程度上取决于对信息数据的保护。信息数据保护法律1978年1月6日制订的《信息与自由法》于2018年6月20日重新修订,法国负责监督执行信息与自由保护的权威机构是信息与自由全国委员会(CNIL),其职责包括根据欧盟信息保护指令及欧盟信息保护委员会的立场监督执行相关法规。法国《信息与自由法》包含了根据欧盟信息保护指令所确定的大部分隐私保护原则。《欧盟个人信息保护条例》(GDPR,简称《条例》)是一项旨在统一欧盟各成员国有关个人信息保护相关立法的欧盟条例,于2016年初生效,2018年5月25日开始直接适用于所有欧盟成员国。该条例规定所有法国企业必须做到:执行至今仍然有效的1978 年的法律;执行欧盟信息保护指令新规。该条例规定:企业有责任证明自己合乎欧盟指令规定的水平,未成年人权利得到强化,信息可携带权(将储存于某个部门的个人信息转移到此部门的竞争对手方),确认被遗忘权,强化透明与当事人认可原则,加重制裁罚款,数据处理主体(无论是作为数据控制者还是作为分包商)必须在条例规定的期限内完成相应的合规调整。在欧盟设有多家子公司或分支机构的企业尤其需要注意。按照新条例的规定,对于违规企业的处罚罚金最高可达两千万欧元或企业全球营业额的4%,并且选两者中数额较高的适用。此外,企业还有被追究刑事责任的可能。对企业品牌形象也会造成影响,从而失去客户甚至企业生态系统(合作伙伴、雇员甚或供应商)的信任。面对《条例》提出的这些要求,企业需要对自身现状进行详细确认分析,制定合规调整方案并执行。企业首先需要对所涉及的业务做定性分析,确定相关操作是以数据控制者身份进行还是以分包商的身份进行。确定企业组织结构、规模、主营业务等基础信息。合规调整主要涉及四方面内容,即数据处理备案簿的制作;指定数据保护专员;责任的具体落实;强化个人权利保护意识。需要注意的是,企业的合规调整方案制定并实施后,还需坚决执行,既要基于企业自身业务变化,也要注意法律的最新规定,及时进行更新。

英 国 数据隐私与保护情况作为发达的资本主义国家,英国对于隐私保护的要求及需求达到了一个很高的水平,在现代科技发展的背景下,对于隐私权的保护很大程度上取决于对信息数据的保护。信息数据保护法律《欧盟个人信息保护条例》(GDPR,简称《条例》)是一项旨在统一欧盟各成员国有关个人信息保护相关立法的欧盟条例,于2016年初生效,2018 年5月25日开始直接适用于所有欧盟成员国。该条例规定:企业有责任证明自己合乎欧盟指令规定的水平,未成年人权利得到强化,信息可携带权(将储存于某个部门的个人信息转移到此部门的竞争对手方),确认被遗忘权,强化透明与当事人认可原则,加重制裁罚款,数据处理主体(无论是作为数据控制者还是作为分包商)必须在条例规定的期限内完成相应的合规调整。在欧盟设有多家子公司或分支机构的企业尤其需要注意。按照新条例的规定,对于违规企业的处罚罚金最高可达两千万欧元或企业全球营业额的4%,并且选两者中数额较高的适用。此外,企业还有被追究刑事责任的可能。对企业品牌形象也会造成影响,从而失去客户甚至企业生态系统(合作伙伴、雇员甚或供应商)的信任。面对《条例》提出的这些要求,企业需要对自身现状进行详细确认分析,制定合规调整方案并执行。企业首先需要对所涉及的业务做定性分析,确定相关操作是以数据控制者身份进行还是以分包商的身份进行。确定企业组织结构、规模、主营业务等基础信息。合规调整主要涉及四方面内容,即数据处理备案簿的制作;指定数据保护专员;责任的具体落实;强化个人权利保护意识。需要注意的是,企业的合规调整方案制定并实施后,还需坚决执行,既要基于企业自身业务变化,也要注意法律的最新规定,及时进行更新。《2003年英国隐私和电子通信法规》(PECR)。企业在英经营除需遵守上述《欧盟个人信息保护条例》GDPR 中的规则,同时也需遵守《2003年英国隐私和电子通信法规》中的规则,该规则适用于《欧盟电子隐私指令》(2002/58/ EC),包含若干有关电子销售的具体规则(特别是自动呼叫、短信和电子邮件),即根据不同的通讯方式,企业需获得目标接收者的明确同意并提供不同的“选择退出”机制。当前,英国对于“企业对消费者(B2C)”模式的要求比“企业对企业 (B2B)”模式更为严格。

(本文刊登于《中国信息安全》杂志2020年第8期)