在确定何种数据属于隐私数据、是否需要保护以及如何保护等问题上,各国各地区有着相似或不同的政策规定。本文整理了几个典型的国家和地区的数据隐私保护情况,以供参考。
欧盟
制定史上“最严”数据保护法规
2018年5月,欧盟 《通用数据保护条例》(GDPR)在欧盟全体成员国正式生效 。这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。
这一条例全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。条例还要求企业必须以合法、公平和透明的方式收集处理信息,必须用通俗的语言向用户解释收集数据的方式,且企业有义务采取一切合理措施删除或纠正不正确的个人数据。
2020年6月,欧盟委员会发布GDPR实施两年的评估报告,强调了GDPR在数字经济监管中,作为标准制定者所发挥的作用。欧盟认为,GDPR成功实现了加强个人对自身数据的保护权,并保证个人数据在欧盟范围内自由流通的目标。
同时,GDPR为独立数据保护机构配备了更强大、更协调的执法权,并建立了新的治理体系。它还为所有在欧盟市场运营的公司创造了一个公平的竞争环境,并且确保了欧盟内部数据的自由流通。
2020年11月,欧盟公布了有关数据共享的新规则,旨在创建一个全欧盟范围的数据市场,以促进工业和政府信息的共享——前提是这些数据在欧盟监管机构的监督下按照欧洲标准受到保护。
具体而言,新的规定新增了提升成员国之间信任度的措施,比如允许新型数据中介机构充当值得信赖的数据共享组织者;此外,新规还采取措施促进公共部门更多地开放数据,例如有利于推进科学研究,促进罕见病或慢性疾病治疗方法的健康医疗数据等。
东盟
确保跨境数据传输中的数据保护
2021年1月22日,第一届东盟(东南亚国家联盟,ASEAN)数字部长会议批准发布 《东盟数据管理框架》(DMF)以及 《东盟跨境数据流动示范合同条款》(MCCs)。
两份文件是落实区域数字经济和数字贸易发展中东盟内个人数据流动规则的具体举措,以期促进东盟地区数据相关的商业业务运营,减少谈判和合规成本,同时确保跨境数据传输过程中的个人数据保护。
东盟范围内的网络安全和个人信息保护水平发展不一,既有拥有全球领先网络安全建设体系的新加坡,也有老挝、柬埔寨、缅甸等尚在进行网络安全基础建设的成员。
在网络安全和数据保护的全球化进程中, 东盟急需获得统一的网络安全和数据流动标准,以整体增强东盟网络安全和数据保护水平,获得更多全球竞争优势。
据了解, DMF和MCCs两份文件将发挥重要作用。
DMF将有助于提高东盟企业在管理数据方面的知识和能力,并有助于遵守个人数据保护要求,同时使公司能够将数据用于业务增长。
MCCs为实施东盟跨境数据流动机制的第一步,在东盟成员国之间进行数据传输,而无论相关东盟成员国是否有数据保护法。两份文件可以向公民保证,采用这些标准的东盟数字经济中企业所持有的个人数据将得到保护,从而增强公民对数字经济的信任和参与。
美国
坚持市场主导和行业自律
美国是世界上最早提出隐私权并予以法律保护的国家,其对于数据隐私的保护规则相对复杂。
美国从产业利益出发,对个人数据持积极利用的态度,数据保护的法律规定较为宽松,坚持以市场为主导、以行业自律为主要手段。 美国至今仍没有全面的联邦数据隐私法,执法主要由联邦贸易委员会(FTC)以及联邦通信委员会(FCC)负责。
1974年,美国通过《隐私权法案》,对收集和使用个人数据的行为边界和责任做出了规定。随后,美国相继通过了《电子信息隐私法》《互联网保护个人隐私政策》《消费者数据隐私保护法案》以及《消费者隐私权利法案》,对最早的个人数据隐私保护法案作出补充。 除了联邦法案外,美国各州也有自己的隐私保护法,在保护细节上不尽相同。
2018年6月,《加利福尼亚州消费者隐私保护法案》(CCPA)公布,并于2020年1月1日起正式实施。该法在访问、删除和分享企业收集到的个人数据上赋予了消费者新的权利。
具体而言,收集消费者数据的企业必须披露收集的信息、收集信息的商业目的,以及会共享这些信息的所有第三方组织和机构。而企业需依据消费者提出的正式要求删除相关信息。
此外,消费者可选择出售他们的信息,而企业则不能随意改变价格或服务水平。对于允许收集其个人信息的消费者,企业可提供财务激励。
日本
日本 《个人信息保护法》于2005年4月施行,2017年5月30日修订,对个人信息保护作出全面规定。该法规定了处理个人信息的企业应当遵守的义务等。并于2020年6月由议会批准新的修正案,在今年生效。
保护法指出,个人信息处理经营者应在特定利用目的的范围内利用个人信息;在特定的利用范围之外予以利用时,以及向第三方提供个人数据(指构成个人信息数据库等的信息)时,应当事先取得本人的同意。
而且,个人信息处理经营者应当采取安全管理个人数据所需的必要且恰当的措施;向第三方提供个人数据时或者收到第三方提供的个人数据时,应当记录一定的事项。另外,个人信息处理经营者在本人向其请求披露持有的个人数据时,原则上应当将其持有的该个人数据向本人披露。
日本《个人信息保护法》修正案 为迎合大数据时代技术创新的要求,防范和化解未来个人信息保护中潜在的各类风险,扩充了很多内容,如:保障个人权利;信息使用推广;扩大企业责任;强化法律处罚;增加域外适用等。其中,保障个人权利涉及权利范围、个人信息范围、第三方限制等;信息使用推广如引入“假名化信息”,但仅限于经营者内部使用,并禁止向第三方提供假名化信息;扩大企业责任如信息泄露报告、限制不正当使用;强化法律责任如增加罚款;域外适用如赋予个人信息保护委员会(PPC)更多权力、加强国际传输监管。
本文根据网络相关资料整理
整理:项阳、郑艺龙
● 流程 数据 安全驱动的大学IT治理 ● 高校数据安全保护任重道远
我知道你“在看” 返回搜狐,查看更多
