数据全球化与隐私保护指引2020
AI智能总结
数据全球化 与隐私保护指引 GlobalizationandPrivacyProtectionGuide 2020 环球律师事务所 GlobalLawOffice 1/286 数据全球化与隐私保护指引 (仅供会议讨论) 版权:环球律师事务所保留对报告的所有权利。未经环球律师事务所书面许可,任何人不得以任何形式或者通过任何方式复制或转载本报告任何受版权保护的内容。 免责:本报告不代表环球律师事务所对有关问题的法律意见,任何仅依照本报告全部或者部分内容而做出的作为和不作为决定及因此造成的后果由行为人自行负责。如您需要法律意见或其他专家意见,应该与具有相关资格的专业人士或我们联系。 目录 第一部分:数据全球化——企业的挑战与机遇6 一、发展趋势6 二、企业面临的挑战6 第二部分:我国企业出海的前期规划9 一、企业出海的数据合规思路9 1.明确公司业务类型与收集的数据情况10 2.合理选择出海目标国17 3.熟悉目标国家或地区法律法规/监管条例、司法判例与合同要求19 二、总结20 1.建立基准20 2.追踪与调整20 第三部分:全球数据与隐私保护21 一、欧洲21 1.GDPR概述21 2.英国30 3.德国34 4.法国39 5.荷兰43 6.西班牙46 二、北美51 1.美国51 2.加拿大63 三、亚太69 1.日本69 2.香港 3.新加坡 4.马来西亚 5.泰国 6.印度 7.阿联酋 8.沙特阿拉伯王国 四、大洋洲 1.澳大利亚 2.新西兰 第四部分:区域间数据跨境流动体系一、欧盟 二、多边协议 1.CPTPP数据流动框架 2.APEC国家CBPR体系 75 81 89 97 105 111 120 126 126 132 138 138 139 139 139 前言 OECD《保护个人数据隐私和跨境流动准则》提出了促进贸易流通同时,鼓励数据自由流动(除特殊情况外),以达到各方利益的平衡,并由此制定了跨境数据流动的共同标准以改进全球隐私法规的“交互性”。《跨太平洋合作伙伴全面进步协议》着重强调了数据必须伴随商品和服务的自由贸易而自由流动。在如今数字信息时代,随着“数字化经济”概念的提出,全球贸易与经济一体化的步伐不断加快,“一带一路”战略稳步前行,互联互通的网络打开了中国与世界更加紧密相联的新格局。数据,毋庸置疑地成为了驱动未来经济增长和效率提升的核心资产,已与“石油、矿产、天然气”等共同成为了新生产力的要素。 我们不难发现,跨国收购、出海投资、跨境电商与售后服务、跨境支付与物流、全球版App发行等场景高密度出现,这些都依赖于来自世界各地的数据进行分析、计算与决策。大型跨国企业更以统一化运营的方式管理其国际业务与来自全球的员工,更多服务会通过本地采购或统一外包给境外第三方组织提供来实现,全球化数据中心的布署与第三国云计算服务合作伙伴的参与,为跨境数据流动提供了支持与帮助。与此同时,人们对于隐私和数据保护的认知也在逐步提高。在欧洲《通用数据保护条例》(“GDPR”)生效以后,各国隐私和数据保护的立法也迅速且蓬勃地发展起来。 《数据全球化与隐私保护指引》(“本指引“)共分为四大部分,以国内企业出海为视角,分别介绍了目前企业在数据全球化现象中面临的挑战与机遇、中国企业在进行出海业务应当如何开展前期规划(包括对数据出境要求梳理、出境数据的盘点、准备合同与评估、完成特殊审批并选定目标国家等)、全球重点目标国家及地区的数据与隐私保护法律解读,以及区域间各数据跨境流动体系的概述,以为中国企业“走出去”提供数据与隐私方面的实践性合规指引。 从本指引可见,虽然大部分国家和地区的法律在很大程度上受到了GDPR的启发,与 GDPR的体例趋于一致,但也有些国家和地区采取了不同的立法态度以满足其国内的特殊需 求。除了特殊数据需进行本地化不谈,原则上各国和地区都允许跨境数据传输,只是一些国家和地区因其国情不同,会设置不同的数据跨境传输条件:有的是以允许数据出境为原则,特殊类型数据不得出境;有的是以禁止数据出境为原则,但允许在符合例外条件下出境。 为了能够让中国企业在“走出去“发展和国外企业”走进来“中国国门后,提前了解各国隐私保护法律与监管政策,避免在本土开展业务时或扩展全球业务时”水土不服“,我们撰写本指引以提供资讯。同时,我们也期待不同国家与地区之间可以致力于建构一个全面的、有高度的、多边参与的数据隐私合作框架,更有力地探讨不同法域在隐私保护法律法规上的可融合性和各国执行层面上的一致性。只有这样,才能更加促进数字经济在和谐的框架内有序且充分的流通,确保在国家安全的基础上达到多边共赢。我国《个人信息保护法(草案)》第十二条所述,”国家应积极参与个人信息保护国际规则的制定,促进国际交流与合作,推动与其他国家、地区与国际间组织的个人信息保护规则、标准的互认“。如果能为学界、立法界多贡献素材,也是本指引的写作初衷之一。 望得到同行及各界朋友的不吝指正,并感恩您与我们一路相伴! 孟洁 2020年11月8日凌晨写于北京华贸写字楼一座 (Email:mengjie@glo.com.cn) 数据全球化——企业的挑战与机遇 第一部分 01 一、发展趋势 在数字社会与信息时代中,数据已经毋庸置疑地成为了驱动未来经济增长和经济效率的核心资产,同时人们对于隐私和数据保护的认识也在逐步提高。 欧洲数据保护法律的基石-《通用数据保护条例》(以下简称为“GDPR”)的生效,不仅改变了欧洲,还成为了在全球范围内对于隐私和数据保护领域的立法参考,规划了全球的立法形态。紧随着欧盟,美国、中国、印度、东南亚和许多其他地区都出现了一股在隐私和数据保护方面的立法风潮。一些法律在很大程度上受到了GDPR的启发,同时也与GDPR的规范内容趋于一致,而其他地区则采取了不同的方式以满足其国家内部的需要。 随着全球隐私和数据保护制度的发展,我们不难发现各个国家地区在法律层面上出现了共同的特征,包括更广泛的管辖地域和域外效力、强化的执法或制裁条款、对数据主体权利的更有力保护、以及对国家和网络空间之主权意识的不断增强。在未来几年中,隐私和数据保护法有望继续成为最活跃、发展最快的法律领域之一。 二、企业面临的挑战 随着全球隐私和数据保护法律法规的迅猛发展,几乎所有企业都在努力有效地解决多方面广泛的与数据生命周期相关的监管和操作风险,包括在数据的收集、使用、共享和披露以及其他数据处理时的风险。以下是企业面临的一些主要挑战。 1.在全球范围内,对于企业来说并没有“一体化”的数据保护合规方法。尽管最近在隐私保护和数据保护制度领域的更新在一定程度上受到了GDPR的启发,但是出于地区间差异的考量,仅仅靠遵守GDPR是不足以形成全球化通用的合规策略的。即使在欧洲各个国家间,GDPR也没有完全统一规则-它允许欧盟成员国就某些数据保护事宜自行立法。达到此类国家特定的克减规定是可行的,但企业应准备好应对日益严格的当地要求。 2.跨境数据传输面临越来越大的困难。尽管数据跨境的自由流通对企业、消费者和国家经济都有好处,但许多国家还是选择为数据的跨境流转设置障碍,例如禁止或限制某些或全部数据出口的数据本地化要求。因此,企业应充分了解其业务运营所在地区适用的数据出境法律法规。 3.数据隐私法律方面的执法行动成为热点。不遵守隐私和数据保护的法律法规可能会给机构组织造成一系列损害性后果,包括巨额罚款、声誉受损、客户信任度下降、损失消费者或员工、被个体起讼等等。此外,严重的数据泄露行为可能会很大程度上影响企业的成功、持续性运营。 4.新兴技术和创新可能会遇到来自隐私和数据保护法律层面的挑战。当难以确定新技术带来的确切影响时,新技术与隐私及数据保护法之间就会处于剑拔弩张的状态。对于企业而言,找到一个能够符合数据隐私合规要求的途径来开发和使用新技术是具有挑战性的。 为了帮助企业了解不同司法管辖区之间的各种隐私和数据保护要求,我们撰写了本数据全球化和隐私保护指引以供参考。 在以下各节中,本指引将介绍一些不同国家地区的隐私和数据保护制度,包括: •欧洲(英国、德国、法国、荷兰和西班牙) •北美(美国、加拿大) •亚洲(日本、中国、中国香港、新加坡、马来群岛、泰国、印度、阿拉伯联合酋长国、沙特阿拉伯)以及 •大洋洲(澳大利亚和新西兰)。 对于每个地区,我们将简要介绍在隐私和数据保护方面公司经常问到的典型问题,即: •该国家地区的数据保护法律体系如何? •由谁负责相关法律的监督和执行? •相关法律会如何适用于公司? •数据保护原则是什么? •公司可以依循什么法律依据? •如何定义个人数据? •何种情况下公司会被认为是控制者,何种情况下是处理者? •数据主体有哪些权利? •隐私声明中应提供哪些信息? •公司应注意哪些直接营销法律法规? •对于数据共享和处理有哪些要求? •对儿童数据是否有特殊保护? •公司应采取什么措施来确保实现问责制? •在数据泄露方面是否由通知的要求? •跨境数据传输规则是什么? •国家地区如何执行数据隐私法律? 我国企业出海的前期规划 第二部分 02 一、企业出海的数据合规思路 《网络安全法》作为现阶段网络安全领域的核心法律,仅针对关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据的出境行为做出了限制规定,而对于“一般性”的网络运营者并未做出明确的限制规定,其他现行的法律及行政法规也仅针对部分特殊行业的数据出境行为进行限制。 从各项法规和/或国家标准的征求意见稿中,我们不难发现,国家对于数据出境的规制态度趋于严格。但整体来看,通过明确合理的规定,在确保网络空间主权、国家安全、数据安全、法人及个人合法权益不受侵害的前提下,保证数据有序且安全的自由流通。近期出台的《数据安全法(草案)》也证明了这一点,第一、二条明确了促进数据开发利用,但因境外组织、个人开展数据活动损害到国家安全、公共利益或者公民、组织合法权益的,将被依法追究法律责任。这一规定体现了既鼓励数据流通又维护国家安全和数据主权的立法宗旨,赋予《草案》必要的域外适用效力。2020年10月发布的《个人信息保护法(草案)》第三条第二款亦明确规定,在以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为时,适用该法。 因此,和其他国家相比,数据出境在现阶段中国法律体系下并不属于一个绝对禁止或者难以实现的业务场景,企业在履行相应的合规义务后仍可以顺利完成数据出境。企业在规划数据出境工作前应当重点注意以下要点。 1.明确公司业务类型与收集的数据情况 1.1本地化储存 根据《网络安全法》第三十七条的规定,关键基础设施运营者应当在中国境内存储在境内运营收集和产生的个人信息和重要数据,且仅当出于业务需要时,经相关监管机关评估后方可出境。《个人信息保护法(草案)》第四十条关于关键信息基础设施运营者的规定与《网络安全法》第三十七条规定基本一致,但提高了数据本地化的门槛,即个人信息达到一定数量的也需要境内存储。具体数量级有待于网信部门出台进一步的细则要求。 若公司符合关键信息基础设施运营者的标准,且经过评估后确认数据的出境为“确需提供”的情况,则同时需要将开展的安全自评估保存两年并上报行业主管部门。因此,企业应提前做好相应安排,及时对业务进行评估,明确自身是否属于“关 键基础设施运营者”,以确保自身数据出境的合规性。而作为一般性的网络运营者,根据近期出台的一系列征求意见稿等文件,根据具体拟需出境的数据类型事先履行评估流程。但与关键基础设施运营者不同的是,一般性的网络运营者仅在满足部分特殊情况的前提下,需经监管机关评估,比如说《个人信息保护法(草案)》如果拟出境的是个人信息的,需要关注个人信息的数量,如果达到了国家网信部门规定的一定数量 的,就需要将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过网信部门组织的安全评估。虽然《个人信息保护法(草案)》以及其他一些部门规章和国家标准还在征求意见尚未生效,暂时不具有
