顺势而行

0
599

一波新的监管浪潮推升了互联网平台的数据合规要求,贝壳集团总法律顾问陈岩分享他的公司在适应新法并持续发展方面的经验

Chen-Yan-陈岩-贝壳-Ke-Holdings-digit
陈岩,贝壳集团总法律顾问

三年来,各主要国家和地区的数据立法和执法明显出现强化趋势。从立法维度看,近三年世界主要法域纷纷出台数据和个人信息方面的立法。如欧盟2018年5月出台了《通用数据保护条例》(GDPR);在美国,2018年6月出台了《加利福尼亚州消费者隐私保护法》(CCPA);巴西2018年8月出台了《巴西通用数据保护法》(LGPD);印度2019年12月公布的《2019年个人数据保护法草案》(PDPB)。

在中国,2021年6月全国人大常委会通过了《数据安全法》,2021年9月1日施行;2021年8月全国人大常委会通过了《个人信息保护法》,将于2021年11月1日施行。此外,日本、加拿大、南非等国家近年来也先后推出了相关立法。

从执法维度看,世界主要国家正在完成“从条文到实践”的转变。国内方面,从2019年1月网信、工信、公安、市监等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》开始,中国正式拉开个人信息全面执法时代的序幕;2019年11月,工信部发布《工信部关于开展APP侵害用户权益专项整治工作的通知》并开展行动陆续通报十余批违规APP;同年起,多部门陆续联合开展了“清朗”“网剑”等大规模专项行动;2020年7月,国家网信办等十四部委联合成立了App治理工作组;2021年上半年,公安部会同有关部门累计下架1100余款违法违规收集使用个人信息APP,工信部通报共十批侵害用户权益行为APP。

国际方面,欧盟是全球范围内个人数据执法的“先锋军”。从2019年1月法国依据GDPR就谷歌的个性化广告问题开出5000万元的首张罚单后,H&M、英国航空、万豪等大型企业先后遭到千万欧元以上的巨额处罚。

今年则是国际个人数据执法的大年。7月,亚马逊面临卢森堡数据保护局基于违反GDPR的7.46亿欧元罚款;9月,爱尔兰数据保护委员会公布了对脸书旗下WhatsApp因未充分告知个人信息收集事项的2.25亿欧元处罚,并针对TikTok儿童个人数据的处理与数据跨境开启调查。

各主要国家和地区个人数据立法有融合趋势,但各具特色。从中国、欧盟、美国三个主要法域来看,各国个人数据立法总体上都对能够识别到具体个人的数据信息进行严格保护,同时充分重视个人在数据收集和处理过程中的知情同意权,但它们的立法也明显具有不同的立场倾向与地域特色,例如:

  • 从宽严程度来看,中国《个人信息保护法》与欧盟GDPR对个人数据的保护更为严格,美国加州CCPA法案则相对宽松。
  • 从适用范围来看,中国和欧盟均强调个人数据保护的域外适用,美国则主要适用于域内。
  • 从保护的个人数据权利类型来看,中国和欧盟更强调个人对其个人信息的知情权、访问权、删除权、可携带权;相比之下,美国对上述权利的行使规定了更多的限制。
  • 从通知同意的模式来看,中国和欧盟均采取了“选择进入(opt-in)”模式,而美国则总体采取了“选择退出(opt-out)”模式。
  • 从企业的数据安全合规义务来看,中国和欧盟在数据的存储期限、对数据安全事件的报告义务、个人数据保护影响评估、数据加密等安全保障措施上进行较为细致严密的合规要求,美国的合规要求则较为宽松泛泛。另外,中国《个人信息保护法》也借鉴了欧盟的立法尝试,对大型互联网平台企业规定了守门人义务。
  • 从对数据跨境的规制来看,中国对数据跨境的规范日趋严格,从跨境安全评估到数据境内存储均进行了严格规制,欧盟则规定了较为原则性的数据跨境规范,同时设置了数据跨境规制的例外情形。美国的CCPA虽然并未对数据跨境设置限制,但实际上通过《2018年外国投资风险评估现代化法案》《2018出口管制改革法案》等法律文件,对关键技术与信息等特定场景下的数据跨境实施了限制。

You must be a subscriber to read this content, please subscribe today.

你需要登录去解锁本文内容。欢迎注册账号。如果想阅读月刊所有文章,欢迎成为我们的订阅会员

Law.asia subscripton ad blue 2022