全球数据合规立法趋活跃(上篇):欧美等国都有哪些动向?

2021-02-22 15:40淼一销毁
5

引 言

  2019年,数据合规立法和执法活动在全球范围内都十分活跃:

  欧盟《通用数据保护条例》(GDPR)生效一周年;美国加利福尼亚州通过了《消费者隐私保护法》(CCPA)及其修正案;新加坡颁布并实施《个人资料保护条例》;印度公布《2019年个人数据保护法》草案;我国《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定方法》等规定正式生效,《密码法》公布,《网络安全审查办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等一系列部门规章征求意见稿发布,《信息安全技术 个人信息安全规范》一年内先后公布一次草案、二次征求意见稿,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等国家标准正式实施,标志着网络安全等级保护2.0时代正式开启……

  与此同时,各国网络和数据安全执法部门也竞相开展各类执法活动:Google、Facebook因违反个人信息保护规定在欧盟被罚;美国联邦贸易委员会(FTC)依据《儿童在线隐私保护法》(COPPA)对字节跳动北美主体抖音短视频国际版展开调查,最终抖音短视频国际版(Musical.ly)同意支付570万美元的罚金以达成指控和解;我国对移动应用程序(App)违法违规收集、使用个人信息的调查和处罚贯穿2019年始终……

  有人说,2019年是数据保护的执法年。从过去一年执法活动的活跃程度而言,这样的评价并无不妥。但如果把2019年放到数据保护立法和执法发展的历史中,我们更想从另一个角度对它进行总结——2019年,是数据保护意识的觉醒年。GDPR于2018年颁布时曾受到来自全球的质疑。尽管其在数据保护制度的设计和执行方面仍存在问题,但不可否认的是,GDPR这部史上最严数据保护法的问世,将个人对其个人数据的权利提升到人权的高度并对其加以保护,给全球对数据保护的认识带来启发和深刻影响。回顾2019年,不难看出,与2018年相比,无论是立法部门、监管部门还是每一个个人,对数据安全必要性的理解都更加深刻,对数据保护的意识也更加清晰,对个人数据的保护更具执行力。

  天达共和数据合规工作组特别对2019年全球数据保护立法和执法活动进行了梳理,以期通过这样一项工作,更加全面和深入地了解世界上主要国家/地区数据合规的立法和执法思路,从而为判断该领域发展趋势提供参考,并为企业涉及境内外的数据保护和合规工作提供借鉴。此次发布的《2019全球回顾与展望:数据合规的制度和实践》分上、下两篇:上篇为国际篇,受篇幅所限并考虑到相关国家和地区对我国的影响程度,本篇以欧盟和美国的相关立法和执法情况为主,并对其他国家的数据立法活动进行了简要整理;下篇为中国篇,专门梳理了我国在2019年的主要立法和执法活动。欢迎各界人士参阅并指正。

  数据合规的制度和实践(上)——国际篇

  欧盟

  1、立法活动

  欧盟在2019年最引人注目的立法活动之一,即通过了《关于欧盟网络与信息安全局(ENISA)、信息通信技术网络安全认证及废除(EC)第526/2013号条例之条例》(即“欧盟《网络安全法》”)。该法主要对两项事项做出规定:第一,明确ENISA的宗旨、任务和组织事务;第二,建立欧洲网络安全认证机制框架,以确保欧盟境内的信息和通信技术(ICT)产品、ICT服务和ICT流程达到充分的网络安全等级并避免欧盟成员国在网络安全认证机制方面各自为政。该法已于2019年6月27日起正式施行,与GDPR、《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)共同构成欧盟网络与数据安全的顶层立法。

  除欧盟委员会的立法外,欧盟的主要立法活动还体现在欧盟数据保护委员会(EDPB)发布的有关GDPR理解和适用的指引。该机构是根据GDPR设立的欧盟范围内的数据保护机构,对欧盟境内的个人数据保护进行监管。该机构由各国的数据保护监管机构代表组成,其发布的指引虽然没有强制执行力,但对欧盟范围内以统一标准适用GDPR及相关规定、促进欧盟各国执法机构合作具有重要意义。EDPB自成立以来,已发布指引及推荐共10份(包括生效版本及公开征求意见稿),并采纳其前身29条工作组发布的指引和推荐等共16份。EDPB在2019年发布的关于GDPR的指引(含生效版本及公开征求意见稿)主要包括:

  2019.01.23

  EDPB发布《有关认证以及根据GDPR第42条和第43条确定认证标准的指引》(Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)。该指引的公开征求意见稿最早于2018年5月25日发布。随后,EDPB又于2019年6月4日对该指引补充了附件2并再次发布。该指引从认证的目的、监管机构的角色、认证机构的角色、认证标准的批准、认证标准的制定、认定标准的定义指南等几个方面对GDPR所规定的认证机制予以细化。与之相呼应,我国也于2019年开始开展App的安全认证工作,对App规范使用和保护个人信息起到正向作用。

  2019.06.04

  EDPB发布《有关GDPR下行为准则和监督机构的指引》(Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679),针对GDPR第40条和第41条的要求,明确了行业协会等控制者或处理者团体制定的行为准则的提交、批准和发布的标准、程序和规则。今后,需要遵守GDPR的企业有望获得更加具体的行业行为准则的指导,并可将遵守行为准则作为其履行GDPR下义务的证明之一。

  2019.07.10

  EDPB发布《有关通过视频(监控)设备处理个人数据的指引(公开征求意见稿)》【Guidelines 3/2019 on processing of personal data through video devices   (Version for public consultation) 】,明确了视频监控设备在GDPR项下的规范使用,其关于适用范围、处理的合法基础、向第三方披露、对特殊类型个人数据的处理、个人信息主体权利、透明和告知义务、存储期限和删除义务、技术和组织措施以及数据保护影响评估等规定,为其他国家和地区关于视频信息的处理和保护提供了参考。在使用范围方面,该指引明确规定,对“家庭活动的豁免”必须作严格解释,并援引欧盟法院(European Court of Justice)的意见,说明“’家庭活动的豁免’必须仅与个人在私生活或家庭生活过程中实施的活动有关,对于在互联网上公开的对个人信息的处理,这些信息可以被不特定数量的人浏览/获取,明确不在此列”;此外,如果视频监控系统持续记录并存储个人数据且涉及(即使是部分涉及)公共空间并相应地以这种方式扩大到个人处理数据的私人环境以外,则不能被认为是纯粹的“个人或家庭”活动。此外,对于在个人住所内使用的视频设备,则需要在综合考虑多种因素的基础上判断是否属于“家庭活动的豁免”情形。

  2019.10.08

  EDPB发布《有关在向数据主体提供在线服务时依据GDPR 第6(1)(b)条规定处理个人数据的指引》(Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects),为如何判断“履行与数据主体签订的合同或在签订合同前应数据主体的请求采取的行动所必须的数据处理行为”【即GDPR第6 (1)(b)条】提供指引,明确在何种情况下数据处理行为可以GDPR 第6(1)(b)条作为合法性基础,并且对该条规定的“必要性”作了限缩解释,强调GDPR第6(1)(b)条的适用必须以符合合法性、公平性和透明性原则、目的限制原则以及数据最小化原则等为前提,在评估“必要性”时,需综合考虑服务性质、合同目的与基本要素、合同双方的预期等多种因素,其内在逻辑与我国《信息安全技术 个人信息安全规范》尝试通过区分核心功能与附加功能落实最少够用/最小必要原则的思路大体一致。

  2019.11.12

  EDPB发布《有关GDPR地域范围(第3条)的指引》【Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)】。该指引的公开征求意见稿最早于2018年11月16日发布。2020年1月7日,EDPB对该指引又进行了格式上的调整后再次发布。该指引从设立标准、目标标准、在依据国际公法需要适用欧盟成员国法律的地方处理个人数据以及欧盟境外的控制者或处理的代表四个方面对GDPR第3条的适用标准和情形予以说明。根据该指引,在设立标准方面,如果中国的电子商务公司为在欧盟推广市场而在欧盟境内设立了分支机构,即使该公司对个人数据的处理均仅在中国境内进行,就其与欧盟销售有关的个人数据处理,该中国公司同样需要遵守GDPR;在目标标准方面,即使该中国公司未在欧盟境内设立任何分支机构,但如果其意在向欧盟境内的数据主体提供产品或服务,例如,其网站使用欧盟成员国的语言或货币、购买搜索引擎的推广服务以吸引欧盟客户流量、提供欧盟境内的商品递送服务等,则该中国公司对欧盟境内个人数据主体的个人数据的处理活动同样属于GDPR的管辖范围。

  2019.11.13

  EDPB发布《有关GDPR第25条设计和默认的数据保护的指引(公开征求意见稿)》【Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (Version for public consultation) 】,分析了GDPR第25条的内容,阐释了处理数据时使用设计和默认的数据保护如何实现数据保护原则,并对第25条中涉及的认证和执法做了相应说明。我国《信息安全技术 个人信息安全规范》同样对个人信息安全工程作出了规定。在数据处理的全生命周期内考虑个人信息保护要求应成为企业合规关注的重点。

  2019.12.02

  EDPB发布《有关搜索引擎案件中被遗忘权适用标准的指引(第一部分)(公开征求意见稿)》【Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1) (Version for public consultation)】,主要针对数据主体希望将其搜索结果从搜索引擎中去除的情形,列出了数据主体行使被遗忘权的六种基础(数据处理不再必要、撤回同意、行使反对权、非法处理、合规义务、与向儿童提供信息社会服务相关)和四种删除权行使的例外情形,明确了在搜索引擎场景中如何适用GDPR第17条有关被遗忘权的问题。虽然该指引仅适用于搜索引擎服务,但是其对被遗忘权行使的具体条件亦可作为其他需要遵守GDPR企业的合规参考。

  2、执法案例

  据不完全统计,欧盟各成员国数据保护执法机构在2019年依据GDPR及各国相关法律做出的处罚案例共百余起。在此仅列出一些具有代表性或在全球范围内影响较大的案例,以期对欧盟执法机构的关注点和监管趋势有所了解[1]。

  2019.01.21

  Google因未能取得处理数据的合法依据被法国数据保护监管机构Commission Nationale de l‘Informatique et des Libertés (CNIL)罚款5,000万欧元。Google被处罚的主要原因在于其未能完全履行披露义务、未能获得数据主体合法有效的授权同意。

  2019.02.20

  匈牙利的一家账款催收公司在收到数据主体要求提供并删除其个人数据的请求后,以不能确认数据主体身份为由要求该主体提供包括出生地、其母亲婚前姓氏等在内的一系列个人数据,但该公司在数据主体提供上述信息且确认数据主体身份后,又以其根据会计法及其内部政策有义务保留数据备份为由拒绝删除该数据主体的个人数据。由于该公司未向数据主体恰当告知其相关政策,匈牙利数据保护监管机构Nemzeti Adatvédelmi és Információszabadság Hatóság(NAIH)以该公司违反透明性原则为由对其罚款1,560欧元,相当于该公司年利润的0.0025%。

  2019.03.26

  波兰一家公司从公开渠道(例如,经济活动中央电子登记和信息系统/Central Electronic Register and Information on Economic Activity)获取个人数据并为商业目的进行处理,但仅向其掌握电子邮件地址的数据主体履行了告知义务,对于其他数据主体,该公司以运营成本过高为由未予告知,而仅在其网站上提供了相关条款。波兰数据保护监管机构Urząd Ochrony Danych Osobowych(UODO)对该公司罚款22万欧元,但该项罚款随后被法院以存在程序错误为由撤销:根据波兰法律,罚款必须以所涉数据的准确数目为依据,而UODO未能就此提供有效证据。UODO表示将另行启动行政程序修改罚款金额。

  2019.04.25

  挪威首都奥斯陆市教育局(Oslo Municipal Education Department)的一款在奥斯陆校园内使用的移动信息App存在安全漏洞,学生及其家长可通过该App向学校工作人员发送信息,由于缺少充分的保护信息安全的技术和组织措施,未经授权的人可以授权用户的名义登录并获取学校学生、法定代表人和员工的个人数据。该教育局被挪威数据保护监管机构Datatilsynet罚款20.3万欧元。

  2019.05.28

  比利时的一位市长因为竞选目的非法使用个人数据,被比利时数据保护监管机构Autorité de la protection des données(APD)罚款2,000欧元。

  2019.06.11

  西班牙职业足球联盟(Professional Football League)的一款App可以通过获取用户手机的麦克风权限监测非法转播足球赛事的酒吧。西班牙数据保护监管机构Agencia Española de Protección de Datos(AEPD)认为其未能履行对用户的充分告知义务,且该款App不满足用户可以撤回同意的要求,对西班牙职业足球联盟罚款 25万欧元。

  2019.07.08

  因自2018年6月开始的黑客攻击,英国航空泄露了约五十万顾客的个人信息(包括登录信息、信用卡信息、订单细节等)。英国数据保护监管机构Information Commissioner’s Office (ICO) 拟对其罚款1.6亿英镑,有望成为GDPR史上第一大罚单。

  2019.07.09

  万豪国际集团因未采取充分技术和组织措施导致全球范围内三亿三千九百万客户的个人信息以及三千万欧洲经济区(EEA)成员国居民的个人信息泄露。英国数据保护监管机构ICO拟对其罚款99,200,396英镑。问题来源于万豪集团于2016年收购喜达屋酒店集团时未发现后者数据泄露的漏洞,未能开展有效的尽职调查。

  2019.08.20

  瑞典一所名为 Anderstorps的高中学校使用人脸识别技术来记录学生的上课考勤,被瑞典数据保护监管机构Datainspektionen罚款18,630欧元。学校在收集学生的生物识别数据之前征得了监护人的明确同意。但是,学校的这项行为并没有进行相关的风险评估,也没有事先与瑞典数据保护监管机构进行协商。

  2019.08.28

  保加利亚国家收入署(National Revenue Agency)因缺少确保信息安全的充分技术措施和组织措施,导致约600万人的个人数据因黑客攻击而泄露,被保加利亚数据保护监管机构Комисия за защита на личните данни(KZLD)罚款260万欧元。

  2019.10.23

  奥地利邮局(Austrian Post)创建了三百多万奥地利人的个人档案,包括家庭住址、个人偏好、习惯和可能的政治关系,并随后向政党和企业等出售这些信息,被奥地利数据保护监管机构Österreichische Datenschutzbehörde(DSB)以数据处理的合法基础不充分为由罚款1,800万欧元。

  2019.10.30

  全球瞩目的剑桥分析(Cambridge Analytica)事件终于了结,Facebook接受了英国数据保护监管机构ICO的50万英镑的处罚决定,结束了二者之间历时一年的诉讼。Facebook被处罚的原因是向政治咨询机构共享了八千七百万用户的个人信息,这一罚款数额是英国1998年《数据保护法》所允许的最高限额。

  2019.10.30

  德国公司Deutsche Wohnen SE使用档案系统超期存储租户的个人数据,被柏林数据保护监管机构罚款1,450万欧元。

  2019.10.31

  荷兰雇员保险服务提供商UWV(Uitvoeringsinstituut Werknemersverzekeringen)对雇主在线登录系统未能进行多要素认证,雇主和医疗安全服务机构可以获取雇员的医疗数据,被荷兰数据保护监管机构Autoriteit Persoonsgegevens(AP)罚款90万欧元。

  2019.11.21

  法国公司Futura Internationale违反数据最小化原则存储客户的个人数据,未就其处理个人数据的行为或电话录音事实向个人数据主体履行告知义务,且在个人数据主体明确表示拒绝后仍对其进行电话推销,被法国数据保护监管机构CNIL处罚50万欧元。

  2019.12.09

  德国一家名为1&1 Telecom GmbH的电信公司,在来电者仅提供用户姓名和生日的情况下即向来电者提供用户其他个人数据,未能采取适当的技术和组织措施保护个人数据,鉴于该公司积极配合数据保护监管机构的调查,被德国联邦数据保护监管机构Bundesbeauftragte für Datenschutz und Informationsfreiheit(BfDI)罚款955万欧元。

  2019.12.11

  意大利公司Eni Gas e Luce因以下违法事项被意大利数据保护监管机构Garante per la protezione dei dati personali(Garante)作出两项处罚,罚款总额达1,150万欧元:在广告和缔约过程中非法处理个人数据,未采取技术和组织措施保护用户提供的信息,超期处理数据,从第三方机构处获取潜在客户数据而这些第三方机构并未取得数据主体的同意即对外提供其数据。

  2019.12.19

  希腊公司Aegean Marine Petroleum Network Inc.未能采取充分的技术和组织措施确保其所持有的个人数据的安全,导致其他公司可以登录该公司服务器并复制服务器中的内容,且该公司未将处理其服务器上存储的个人数据告知数据主体,被希腊数据保护监管机构Hellenic Data Protection Authority(HDPA) 罚款15万欧元。

  美国

  作为全球较大经济实体之一的美国在2019年也见证了个人信息保护立法的活跃发展,其中尤为引人关注的是CCPA于2020年1月1日起实施,其适用于所有面向消费者(线上或线下店铺)的商业场景,对美国其他各州2019年的立法活动产生较强的带动效应。2019年美国在这方面的立法活动主要表现为不少州在其原有的个人信息保护法律基础上作出修订,多表现为扩展“个人信息”的定义,修订或增加关于数据泄漏事件发生时的通知时限和对象、内容等,一些州的立法也引入了与GDPR相似的条款。

  1、立法活动

  2019.01.10

  马萨诸塞州修订该州数据泄漏事件通知法,该修订于2019年4月11日生效,公司有义务向受影响的个人提供18个月的信用监测,监测服务须由第三方提供;新增通知内容包括遭受泄漏事件的个人或机构的姓名/名称和地址、报告数据泄漏事件的个人姓名、职务,有关个人或机构是否有书面信息安全制度,是否更新其书面信息安全制度作为应对安全事件行动的一部分等;该修订未设置给予通知的明确期限,但必要时需要滚动发送通知。[2]

  2019.04.10

  阿肯色州修订阿肯色州个人信息保护法,该修订于2019年7月23日生效。该法将诸如指纹、声纹、DNA数据等生物识别信息增加到“个人信息”的定义中,并要求个人信息持有者在涉及多于1,000名个人的数据泄漏时通知州总法务官(Attorney General),通知期限是受影响个人获得通知的同时,或在发生个人信息泄漏的主体确定可能造成消费者损害时45日内,发生个人信息泄漏的主体应自发现数据泄漏之日起5年内保留相关证据(州总法务官要求提供证据的,应在30日内提供)。[3]

  2019.04.30

  马里兰州再次修订《马里兰州个人信息保护法》的安全泄漏通知要求,强化了数据安全泄漏事件发生时经营者的义务,该修订于2019年10月1日生效。新的修订扩大了受约束的企业主体范围,包括所有拥有、许可或保存马里兰州居民个人信息的所有企业,不过即便是保存该等信息的企业发生了数据泄漏事件,仍由数据拥有者或许可方履行通知义务。[4]

  2019.05.07

  华盛顿州修订数据泄漏通知法,将于2020年3月1日施行。该修正案缩短了通知期限,扩展了个人信息定义(可能导致登入线上账户的用户名或邮件地址及密码或安全问答),增加了通知信函应包含的内容,更改了特定情形下的通知方式,通知期从发现数据泄漏后45天缩减到30天。[5]

  2019.05.10

  新泽西州修订其数据泄漏通知法的一些规定,于2019年10月1日生效。该修订扩展了个人信息的内涵,如果数据泄漏不包含法律定义的个人信息,仅需通过电子方式通知以引导遭受个人信息泄漏的个人“立即更改密码以及安全问题”,或者采取“其他合适的步骤以保护在线账户…以及该个人使用相同用户名、电邮地址和密码或安全问题、回答的所有其他在线账户”。但是,若某主体向消费者提供电子邮件账户,发生了电邮地址泄漏的,不得发送通知至该电邮地址。[6]

  2019.05.14

  犹他州修订的《犹他州个人信息保护法》于2019年5月14日生效,根据新法,通过其他方式通知犹他州居民不可行时才允许通过公开通知途径告知。该法设置了行政执法行动10年时效,以及民事诉讼5年时效,均自所声称的系统泄漏最后发生之日起起算。[7]

  2019.05.24

  俄勒冈州修订《俄勒冈州消费者身份窃取保护法》,该修订于2020年1月1日生效。与有关企业订立合约以保持、保存、管理、处理数据或以其他方式可获得数据的供应商在发生数据泄漏情形时,应在发现泄漏情形10日内通知该有关企业,泄漏事件影响超过250名该州居民时必须通知该州总法务官。该修订还扩大了“个人信息”的定义,“个人信息”包含登录个人在线账户使用的信息。[8]

  2019.05.27

  伊利诺伊州修订该州《个人信息保护法》,该修订于2020年1月1日生效。发生数据泄漏时,除应通知受影响的个人,数据收集者还应在单个数据泄漏事件影响超过500名伊利诺伊州居民时通知州总法务官办公室;与其他州的要求相似,通知内容包括安全事件性质、受影响的伊利诺伊州居民人数、数据收集者已经采取或计划采取的行动等特定内容。[9]

  2019.05.29

  内华达州通过隐私法,修订之前的法律,要求所有网站和线上服务公布隐私通知,该法于2019年10月1日施行。内华达州隐私法仅适用于拥有或运营基于商业目的的网站/线上服务的“经营者”,对于消费者的定义没有CCPA宽泛,该法给予消费者选择退出将个人信息转售他人,并效仿CCPA,要求公司在网站上作出设置,允许消费者可要求个人信息不予以出售。[10]  

  2019.06.06

  缅因州通过《保护线上消费者信息隐私保护法》(An Act To Protect the Privacy of Online Customer Information),该法将于2020年7月1日生效。该法禁止未经消费者选择同意(opt - in)将其个人信息共享给他人而使用或出售消费者信息。在缅因州经营、向位于缅因州的消费者提供收费宽带互联网接入服务的互联网服务提供商(ISPs)未经消费者同意不得使用、出售或披露消费者个人信息,包括网页浏览历史、应用程序使用历史、精准定位信息、财务信息、健康信息、消费者子女信息、设备识别信息、消费者通信内容等。[11]

  2019.06.14

  得克萨斯州修订《得克萨斯州身份窃取执行和保护法》,该法于2020年1月1日生效。该法设定了数据泄漏的通知期限(确定发生数据泄漏之日起60日)和通知内容要求(如泄漏的性质、泄漏导致的敏感个人信息使用情形、截至通知时受到影响的该州居民数量等),并设置了研究整个美国以及相关外国法域的隐私法律的顾问委员会,以期为未来隐私立法提供建议。[12]

  2019.07.25

  纽约州通过《纽约州停止攻击及提高电子数据安全法》即《隐私盾法》(New York Stop Hacks and Improve Electronic Data Security Act (SHIELD Act),修订了纽约州原有的数据泄漏法(data breach law),该法将于2020年3月21日生效,适用于任何持有该州居民个人信息的主体,不论持有数据的主体处所在哪里。《隐私盾法》扩展了个人信息的范围以及数据泄漏定义,该法还规定了发现数据泄漏时的通知义务——通知所涉纽约州居民以及州总法务官以及州警署,通知成本较高(超过250,000美元)时可通过网站公布或新闻媒体等方式通知。[13]

  2019.11.18

  美国《2019年国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)的提案发布,如果该提案最终通过并成为法律,则根据该法,美国国务卿自该法实施起每年根据每个外国国家的数据隐私和安全要求状态评判其持有美国国民和居民的用户数据是否使美国国家安全受到威胁等、其是否属于“关注的国家”(Country of Concern),原则上中国、俄罗斯以及国务卿认定的任何其他国家为“关注的国家”;该法提出了“涵盖的技术公司”(Covered Technology Company)概念,指的是包括在“关注的国家”设立的或由“关注的国家”的国民控股的或符合其他条件的提供在线数据服务(online data-based service,如从事或影响跨州、外国商务)的公司。“涵盖的公司”不得将任何该法定义的用户数据传送至任何“关注的国家”(包括间接通过第三国传输至“关注的国家”),并不得将美国国民或居民的用户数据存储在美国或与美国签有执法机关共享数据协议的国家之外的服务器或其他数据存储设施;就收集的美国个人的信息或解密该等信息所需的信息,对“涵盖的公司”之外的公司也提出了数据本地化存储和不得向“关注的国家”传输数据的要求。[14]

  2、执法案例

  本文在此列出一些具有代表性或被处以较高金额、影响力较大的美国执法案例,以期对美国执法机构的关注点和监管趋势有所展现。[15]

  2019.02

  2018年8月,字节跳动北美主体抖音短视频国际版和字节跳动收购的musical.ly正式合并,抖音短视频国际版卷入了Musical.ly接受的美国联邦贸易委员会(FTC)调查。因Musical.ly在征得儿童父母同意之前非法收集13岁以下儿童的姓名、电子邮件地址和其他信息,违反了COPPA规定,Musical.ly同意支付570万美元的罚金以达成指控和解。

  2019.05.28

  因Bucks县将应予以保护的信息纳入“Inmate Lookup Tool”数据库——千百万数量级监狱服刑人员的逮捕相关信息,2012年相关受害人提起集团诉讼寻求禁令救济及支付实际遭受的损害赔偿和惩罚性赔偿金。2019年5月28日,联邦陪审团裁决Bucks 县违反了《宾夕法尼亚州的刑事历史记录信息法》并裁决向约68,000名集团诉讼成员按每人1,000美元的法定最低标准支付赔偿金,即总计须支付约6,800万美元惩罚性赔偿金。

  2019.07

  智能家居产品制造商D-Link Systems, Inc.已同意实施一项全面的软件安全计划,包括实施安全计划、建立威胁模型、发布产品前测试漏洞、实施持续监控、自动固件升级、接受安全研究人员的漏洞报告等,并与FTC和解,解决FTC因其作出虚假的陈述即其已采取合理措施确保其无线路由器和联网摄像头的安全以免消费者敏感个人信息(包括实时视频和音频)暴露给第三人、易受黑客攻击所提起的指控。FTC已于2019年7月2日将该和解方案提交加利福尼亚州北区地区法院供批准签署。

  2019.07

  位列美国三大征信机构之一的Equifax Inc.因2017年一起黑客攻击造成的大规模数据泄露事件导致1.47亿位消费者的社保号码、信用卡号等个人信息被泄露,Equifax Inc.未能采取合理措施确保其网络安全导致了该信息泄漏事件。2019年7月22日,FTC公布的信息表明,Equifax Inc.已同意支付至少5.75亿美元(实际可能高达7亿美元)以作为与FTC、消费者金融保护局(CFPB)以及美国50个州和地区的一揽子和解的一部分,其中3亿美元将用于向受到影响的消费者提供信用监控服务,并用于向消费者支付购买该公司信用或身份监控服务的费用及其他支出,并且其将自2020年1月为所有美国消费者提供为期7年的免费年度信用报告;其中1.75亿美元将支付给48个州、波多黎各和哥伦比亚地区,另外1亿美元将支付给CFPB。

  2019.07.24

  FTC与Facebook达成和解,对Facebook违反FTC之前的命令,作出有史以来就违反消费者隐私保护给予的最高金额处罚即50亿美元处罚,约占Facebook2018年收入的9%,超过2012年对Google作出2,250万美元的处罚。该和解还要求Facebook就其隐私实践(privacy practices)、公司结构及CEO扎克伯格的职责作出调整。

  2019.09

  Google 和YouTube 因被FTC和纽约州总法务官办公室指控违反COPPA同意支付1.7亿美元(其中1.36亿美元支付给FTC作为罚金, 其余3,400万美元支付给纽约州)并执行强有力的救济行动。1.7亿美元的罚金是FTC之前作出的违反COPPA的最高罚金高出30倍,也是Google在全球任何地方曾因违反隐私保护规定被处以的最高罚金的3倍,传递出保护儿童隐私的重要性;Google和YouTube还被要求不得使用、亦不得因此前从针对儿童的视频或频道获得的信息获利,并被要求履行COPPA之外的义务即要求其通知频道所有人(channel owner)可能负有的COPPA义务,并开发一套系统以便频道所有者识别YouTube平台上针对儿童的内容。

  美国

  作为全球较大经济实体之一的美国在2019年也见证了个人信息保护立法的活跃发展,其中尤为引人关注的是CCPA于2020年1月1日起实施,其适用于所有面向消费者(线上或线下店铺)的商业场景,对美国其他各州2019年的立法活动产生较强的带动效应。2019年美国在这方面的立法活动主要表现为不少州在其原有的个人信息保护法律基础上作出修订,多表现为扩展“个人信息”的定义,修订或增加关于数据泄漏事件发生时的通知时限和对象、内容等,一些州的立法也引入了与GDPR相似的条款。

  1、立法活动

  2019.01.10

  马萨诸塞州修订该州数据泄漏事件通知法,该修订于2019年4月11日生效,公司有义务向受影响的个人提供18个月的信用监测,监测服务须由第三方提供;新增通知内容包括遭受泄漏事件的个人或机构的姓名/名称和地址、报告数据泄漏事件的个人姓名、职务,有关个人或机构是否有书面信息安全制度,是否更新其书面信息安全制度作为应对安全事件行动的一部分等;该修订未设置给予通知的明确期限,但必要时需要滚动发送通知。[2]

  2019.04.10

  阿肯色州修订阿肯色州个人信息保护法,该修订于2019年7月23日生效。该法将诸如指纹、声纹、DNA数据等生物识别信息增加到“个人信息”的定义中,并要求个人信息持有者在涉及多于1,000名个人的数据泄漏时通知州总法务官(Attorney General),通知期限是受影响个人获得通知的同时,或在发生个人信息泄漏的主体确定可能造成消费者损害时45日内,发生个人信息泄漏的主体应自发现数据泄漏之日起5年内保留相关证据(州总法务官要求提供证据的,应在30日内提供)。[3]

  2019.04.30

  马里兰州再次修订《马里兰州个人信息保护法》的安全泄漏通知要求,强化了数据安全泄漏事件发生时经营者的义务,该修订于2019年10月1日生效。新的修订扩大了受约束的企业主体范围,包括所有拥有、许可或保存马里兰州居民个人信息的所有企业,不过即便是保存该等信息的企业发生了数据泄漏事件,仍由数据拥有者或许可方履行通知义务。[4]

  2019.05.07

  华盛顿州修订数据泄漏通知法,将于2020年3月1日施行。该修正案缩短了通知期限,扩展了个人信息定义(可能导致登入线上账户的用户名或邮件地址及密码或安全问答),增加了通知信函应包含的内容,更改了特定情形下的通知方式,通知期从发现数据泄漏后45天缩减到30天。[5]

  2019.05.10

  新泽西州修订其数据泄漏通知法的一些规定,于2019年10月1日生效。该修订扩展了个人信息的内涵,如果数据泄漏不包含法律定义的个人信息,仅需通过电子方式通知以引导遭受个人信息泄漏的个人“立即更改密码以及安全问题”,或者采取“其他合适的步骤以保护在线账户…以及该个人使用相同用户名、电邮地址和密码或安全问题、回答的所有其他在线账户”。但是,若某主体向消费者提供电子邮件账户,发生了电邮地址泄漏的,不得发送通知至该电邮地址。[6]

  2019.05.14

  犹他州修订的《犹他州个人信息保护法》于2019年5月14日生效,根据新法,通过其他方式通知犹他州居民不可行时才允许通过公开通知途径告知。该法设置了行政执法行动10年时效,以及民事诉讼5年时效,均自所声称的系统泄漏最后发生之日起起算。[7]

  2019.05.24

  俄勒冈州修订《俄勒冈州消费者身份窃取保护法》,该修订于2020年1月1日生效。与有关企业订立合约以保持、保存、管理、处理数据或以其他方式可获得数据的供应商在发生数据泄漏情形时,应在发现泄漏情形10日内通知该有关企业,泄漏事件影响超过250名该州居民时必须通知该州总法务官。该修订还扩大了“个人信息”的定义,“个人信息”包含登录个人在线账户使用的信息。[8]

  2019.05.27

  伊利诺伊州修订该州《个人信息保护法》,该修订于2020年1月1日生效。发生数据泄漏时,除应通知受影响的个人,数据收集者还应在单个数据泄漏事件影响超过500名伊利诺伊州居民时通知州总法务官办公室;与其他州的要求相似,通知内容包括安全事件性质、受影响的伊利诺伊州居民人数、数据收集者已经采取或计划采取的行动等特定内容。[9]

  2019.05.29

  内华达州通过隐私法,修订之前的法律,要求所有网站和线上服务公布隐私通知,该法于2019年10月1日施行。内华达州隐私法仅适用于拥有或运营基于商业目的的网站/线上服务的“经营者”,对于消费者的定义没有CCPA宽泛,该法给予消费者选择退出将个人信息转售他人,并效仿CCPA,要求公司在网站上作出设置,允许消费者可要求个人信息不予以出售。[10]  

  2019.06.06

  缅因州通过《保护线上消费者信息隐私保护法》(An Act To Protect the Privacy of Online Customer Information),该法将于2020年7月1日生效。该法禁止未经消费者选择同意(opt - in)将其个人信息共享给他人而使用或出售消费者信息。在缅因州经营、向位于缅因州的消费者提供收费宽带互联网接入服务的互联网服务提供商(ISPs)未经消费者同意不得使用、出售或披露消费者个人信息,包括网页浏览历史、应用程序使用历史、精准定位信息、财务信息、健康信息、消费者子女信息、设备识别信息、消费者通信内容等。[11]

  2019.06.14

  得克萨斯州修订《得克萨斯州身份窃取执行和保护法》,该法于2020年1月1日生效。该法设定了数据泄漏的通知期限(确定发生数据泄漏之日起60日)和通知内容要求(如泄漏的性质、泄漏导致的敏感个人信息使用情形、截至通知时受到影响的该州居民数量等),并设置了研究整个美国以及相关外国法域的隐私法律的顾问委员会,以期为未来隐私立法提供建议。[12]

  2019.07.25

  纽约州通过《纽约州停止攻击及提高电子数据安全法》即《隐私盾法》(New York Stop Hacks and Improve Electronic Data Security Act (SHIELD Act),修订了纽约州原有的数据泄漏法(data breach law),该法将于2020年3月21日生效,适用于任何持有该州居民个人信息的主体,不论持有数据的主体处所在哪里。《隐私盾法》扩展了个人信息的范围以及数据泄漏定义,该法还规定了发现数据泄漏时的通知义务——通知所涉纽约州居民以及州总法务官以及州警署,通知成本较高(超过250,000美元)时可通过网站公布或新闻媒体等方式通知。[13]

  2019.11.18

  美国《2019年国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)的提案发布,如果该提案最终通过并成为法律,则根据该法,美国国务卿自该法实施起每年根据每个外国国家的数据隐私和安全要求状态评判其持有美国国民和居民的用户数据是否使美国国家安全受到威胁等、其是否属于“关注的国家”(Country of Concern),原则上中国、俄罗斯以及国务卿认定的任何其他国家为“关注的国家”;该法提出了“涵盖的技术公司”(Covered Technology Company)概念,指的是包括在“关注的国家”设立的或由“关注的国家”的国民控股的或符合其他条件的提供在线数据服务(online data-based service,如从事或影响跨州、外国商务)的公司。“涵盖的公司”不得将任何该法定义的用户数据传送至任何“关注的国家”(包括间接通过第三国传输至“关注的国家”),并不得将美国国民或居民的用户数据存储在美国或与美国签有执法机关共享数据协议的国家之外的服务器或其他数据存储设施;就收集的美国个人的信息或解密该等信息所需的信息,对“涵盖的公司”之外的公司也提出了数据本地化存储和不得向“关注的国家”传输数据的要求。[14]

  2、执法案例

  本文在此列出一些具有代表性或被处以较高金额、影响力较大的美国执法案例,以期对美国执法机构的关注点和监管趋势有所展现。[15]

  2019.02

  2018年8月,字节跳动北美主体抖音短视频国际版和字节跳动收购的musical.ly正式合并,抖音短视频国际版卷入了Musical.ly接受的美国联邦贸易委员会(FTC)调查。因Musical.ly在征得儿童父母同意之前非法收集13岁以下儿童的姓名、电子邮件地址和其他信息,违反了COPPA规定,Musical.ly同意支付570万美元的罚金以达成指控和解。

  2019.05.28

  因Bucks县将应予以保护的信息纳入“Inmate Lookup Tool”数据库——千百万数量级监狱服刑人员的逮捕相关信息,2012年相关受害人提起集团诉讼寻求禁令救济及支付实际遭受的损害赔偿和惩罚性赔偿金。2019年5月28日,联邦陪审团裁决Bucks 县违反了《宾夕法尼亚州的刑事历史记录信息法》并裁决向约68,000名集团诉讼成员按每人1,000美元的法定最低标准支付赔偿金,即总计须支付约6,800万美元惩罚性赔偿金。

  2019.07

  智能家居产品制造商D-Link Systems, Inc.已同意实施一项全面的软件安全计划,包括实施安全计划、建立威胁模型、发布产品前测试漏洞、实施持续监控、自动固件升级、接受安全研究人员的漏洞报告等,并与FTC和解,解决FTC因其作出虚假的陈述即其已采取合理措施确保其无线路由器和联网摄像头的安全以免消费者敏感个人信息(包括实时视频和音频)暴露给第三人、易受黑客攻击所提起的指控。FTC已于2019年7月2日将该和解方案提交加利福尼亚州北区地区法院供批准签署。

  2019.07

  位列美国三大征信机构之一的Equifax Inc.因2017年一起黑客攻击造成的大规模数据泄露事件导致1.47亿位消费者的社保号码、信用卡号等个人信息被泄露,Equifax Inc.未能采取合理措施确保其网络安全导致了该信息泄漏事件。2019年7月22日,FTC公布的信息表明,Equifax Inc.已同意支付至少5.75亿美元(实际可能高达7亿美元)以作为与FTC、消费者金融保护局(CFPB)以及美国50个州和地区的一揽子和解的一部分,其中3亿美元将用于向受到影响的消费者提供信用监控服务,并用于向消费者支付购买该公司信用或身份监控服务的费用及其他支出,并且其将自2020年1月为所有美国消费者提供为期7年的免费年度信用报告;其中1.75亿美元将支付给48个州、波多黎各和哥伦比亚地区,另外1亿美元将支付给CFPB。

  2019.07.24

  FTC与Facebook达成和解,对Facebook违反FTC之前的命令,作出有史以来就违反消费者隐私保护给予的最高金额处罚即50亿美元处罚,约占Facebook2018年收入的9%,超过2012年对Google作出2,250万美元的处罚。该和解还要求Facebook就其隐私实践(privacy practices)、公司结构及CEO扎克伯格的职责作出调整。

  2019.09

  Google 和YouTube 因被FTC和纽约州总法务官办公室指控违反COPPA同意支付1.7亿美元(其中1.36亿美元支付给FTC作为罚金, 其余3,400万美元支付给纽约州)并执行强有力的救济行动。1.7亿美元的罚金是FTC之前作出的违反COPPA的最高罚金高出30倍,也是Google在全球任何地方曾因违反隐私保护规定被处以的最高罚金的3倍,传递出保护儿童隐私的重要性;Google和YouTube还被要求不得使用、亦不得因此前从针对儿童的视频或频道获得的信息获利,并被要求履行COPPA之外的义务即要求其通知频道所有人(channel owner)可能负有的COPPA义务,并开发一套系统以便频道所有者识别YouTube平台上针对儿童的内容。

  2019.09

  五家公司(管理软件提供商DCR Workforce, Inc.,云文件传输软件提供商Thru, Inc.,人脸识别软件提供商214 Technologies, Inc.,提供移动用户数据分析的LotaData, Inc.,以及统计分析和支持服务提供商EmpiriStat, Inc.)就FTC指控其虚假陈述通过欧盟-美国隐私盾框架(EU-US Privacy Shield framework[16])认证(certification),与FTC达成和解。FTC 分别指控前三家公司在其官网虚假陈述通过欧盟-美国隐私盾框架认证,并指控LotaData, Inc.虚假陈述其属于类似于欧盟-美国隐私盾框架的瑞士-美国隐私盾框架下的受认证者,统计分析及支持服务提供商EmpiriStat, Inc.则继其2018年认证过期后错误陈述其是隐私盾的现行参加者,并且其还错误陈述其符合隐私盾的要求,然而其实际上未能认证其公布的政策是准确的并予以实施。作为和解方案的一部分,五家公司被禁止作出参加任何由政府主导或任何自律性、标准组织主导的隐私/数据安全项目的误导性陈述,并且必须遵守FTC的报告要求,EmpiriStat还必须继续就其参加该框架计划时收集的个人信息适用隐私盾的保护措施,要么就得返还、删除个人信息。

  2019.09

  FTC批准了一项最终的命令(final order),以和解就爱荷华州的汽车经销商软件提供商LightYear Dealer Technologies, LLC(以DealerBuilt提供业务)提起的其未能采取合理措施确保消费者信息安全导致130家客户的共计约1,250万名消费者个人信息泄漏之指控。作为与FTC和解内容的一部分,除非其执行和维护全面的信息安全计划,DealerBuilt被禁止共享、收集或存储个人信息;其被要求采取特定的安全措施以解决FTC在起诉中所指出的问题,每两年第三方对其信息安全计划作出评估,其还须指定一名高级经理负责监督其信息安全计划以保证其在各个年度符合FTC作出的命令(order)。

  2019.10

  佛罗里达州的Retina-X以及James N. Jones, Jr.开发推广三款移动终端应用软件,允许购买者监视安装这些软件的移动终端设备(用于监视儿童或雇员),受到FTC指控其未能确保购买软件的人基于合法目的使用这些应用软件,未经移动终端设备使用人知晓或同意,且其明知收集小于13岁儿童的个人信息但却未能遵守COPPA采取合理措施保护信息的保密性、安全性和完整性。为了和解,Retina-X以及James N. Jones, Jr.同意删除其收集的数据,并且不出售任何需要破解或根操作的产品;并且,其以后将从软件购买者处取得仅将软件用于监视自己的子女、员工或书面授权同意的成年人的声明;其还必须接受第三方每两年实施的信息安全计划评估。

  2019.11

  犹他州的InfoTrax Systems, L.C.,一家为多层营销商提供后端操作服务(库存、订单、账务、培训和数据安全性以及运营其客户的网站门户等)的服务商,被FTC指控未能建立合理的安全防护措施,致使黑客获取了多达百万消费者的个人信息。InfoTrax Systems, L.C.同意执行全面的数据安全计划以与FTC和解。

  2019.12

  FTC批准了与剑桥分析公司(Cambridge Analytica, LLC)前任CEO和与该公司合作的应用程序开发者的和解,以解决对其提出的以投票者画像等为目的、采用欺骗性策略从Facebook用户收集信息的指控。二者被禁止就收集、使用、共享或出售个人信息的程度和目的作出虚假或欺骗性陈述,并被要求删除或毁坏通过开发的应用程序从消费者获得的任何个人信息以及基于该等信息产生的任何工作成果(work product)。

  其他国家立法活动

  随着史上最严、具有域外效力的个人信息保护法律即欧盟GDPR的生效和执行,其势必影响全球市场上的相关市场主体采取相应的应对措施以合乎GDPR设定的合规要求,也促使其他国家在面向全球数据流动、大数据时代以及人工智能引领未来的趋势下,关注个人信息的保护、加强立法和执法行动,与国际实践兼容接轨。

  2019.02.28

  泰国通过《网络安全法》(Cybersecurity Act)和《个人数据保护法》(Personal Data Protection Act),其中,《个人数据保护法》是泰国第一部关于数据保护的综合法律并具有域外效力。

  2019.05.01

  俄罗斯颁布《主权互联网法案》,允许俄罗斯自主创建互联网,并使其在受到境外威胁时,与根服务器断开连接后仍能够稳定运行。

  2019.05.21

  加拿大发布《数字宪章》,确立“通用访问”、“控制和同意”、“透明度、可移植性和互操作性”等十条个人信息保护原则。

  2019.06.13

  印度批准《2019年数字身份证修正案》(The Aadhaar Amendment Bill 2019,也称“Aadhaar修正案”)。Aadhaar号码是印度身份识别机构UIDAI向公民发放的12位随机数,是目前世界上最大的生物识别身份系统。根据该修正案,公民可以物理或电子形式自愿使用Aadhaar号码。

  2019.07.08

  巴西通过《通用数据保护法》(Lei Geral de Proteção de Dados Pessoais)最终版本,该法受GDPR重要影响。

  2019.08.01

  澳大利亚通过《消费者权利法案》(Consumer Data Right Bill 2019),该法案对《2010年竞争和消费者法》(Competition and Consumer Act 2010)、《2010年澳大利亚信息委员法》(Australian Information Commissioner Act 2010)和《1988年隐私法》(Privacy Act 1988)三部法律进行修订,确立了“消费者数据权利”(“CDR”)。

  2019.08.06

  新加坡金融管理局(Monetary Authority of Singapore,“MAS”)将MAS技术风险管理指南(Technology Risk Management Guidelines)中的关键规定确定为强制性法律要求。

  2019.09

  斯里兰卡公布个人数据保护法案的最终草案,该草案以GDPR为重要参考。

  2019.09.29

  瑞士联邦议会通过《电子身份服务联邦法案》(Federal Act on Electronic Identification Service)以推出电子身份(E-ID)系统,但因反对者较多,2020年1月瑞士就该法案进行全民公决,目前该法案尚未最终生效。该法案规定了电子身份从发行到撤销一整套流程的细则,并规定了电子身份生态系统中各个主体的权利和义务。目前瑞士数据保护法也正随之进行全面修订。

  2019.10.09

  新加坡修订《个人数据保护法》(PDPA)指导指南。PDPA是新加坡于2012年颁布的一项通用数据保护法,涉及个人数据的收集、使用和披露等规则。

  2019.11.08

  肯尼亚颁布《数据保护法》,对政府机构和相关组织对个人身份信息的使用、存储和共享作出规定。

  2019.12.02

  俄罗斯通过第405号联邦法律,对违反个人数据保护立法的罚款做出规定,对于多次违反个人数据本地化存储要求的公司,最高可处以250,000欧元的罚款;同时提高对搜索引擎、讯息系统和多媒体服务运营者侵犯个人数据行为的罚款金额。

  2019.12.11

  印度发布《个人数据保护法草案》的修订版本,该草案与GDPR的模式保持一致,对数据本地化和出境等作出要求。

  展望2020

  相信经过2019年的经验总结并随着EDPB不断出台的指引、推荐等指导性文件,欧盟执法机构对于GDPR的理解会更加清晰,其在2020年的执法活动也会更加活跃;鉴于GDPR在全球范围内的借鉴意义,EDPB对GDPR的解读对其他国家和地区的立法也必将持续产生影响。而在美国,一方面,CCPA于2020年1月1日正式生效,考虑到其域外效力和赋予消费者对个人数据的广泛权利,我们可能会在2020年迎来加州首个根据CCPA作出的执法案例甚至集体诉讼案例,并有理由相信美国其他各州甚至在联邦层面将出台更多关于个人数据保护的法案;而另一方面,《2019国家安全与个人数据保护法》提案对数据本地化存储和回传的要求,可能将进一步加剧美国与其他国家对数据资源的争夺——如何平衡数据流动与安全,是各国都亟需解决的问题。我国在去年发布的《数据安全管理办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》中对这一问题也提出了自己的思路,我们将在《2019全球回顾与展望:数据合规的制度和实践(下)——中国篇》中对我国的主要立法和执法活动进行介绍,敬请期待。


昵称:
内容:
提交评论