2021 年全球資料保護立法
Posted: Tue Mar 18, 2025 8:34 am
2020 年,全球資料保護立法取得了幾項重大進展。最值得注意的是,加州消費者隱私法案(CCPA)於1月在美國生效,歐洲聯盟法院(CJEU)在Schrems II案中裁定,歐盟委員會關於歐盟-美國隱私護盾的充分性決定無效,實際上終止了美國和歐盟之間的自由數據流動。
隨著我們進入 2021 年,這些重大發展的陰影籠罩在資料隱私領域,因為歐洲法院的 Schrems II 裁決表明,將敏感個人資料轉移到歐盟以外合法化不僅僅是一項文書工作。
同時,中國將於今年推出首部綜合資料保護法案,跨境轉移也是其主要關注點之一。其他幾個國家也將在 2021 年實施或審查其資料隱私法,英國也將失去在歐洲的自由資料流動特權。讓我們仔細看看這些發展以及我們對未來一年的期望。
2021 年歐盟跨境轉移的新 SCC
符合歐盟一般資料保護規範(GDPR)的跨境資料傳輸的標準化和標準化似乎已經列入許多歐洲機構的議程。
2020 年 11 月,歐洲資料保護委員會 (EDPB) 發布了一份建議草案,規定企 whatsapp 號碼 業應遵循哪些規則才能合法地將敏感個人資料從歐洲經濟區 (EEA) 轉移到其以外的國家。根據 EDPB 的指導,歐盟委員會發布了一套新的標準合約條款(SCC)草案和一份實施該決定的草案,對條款文本進行了重要更新,使其符合 GDPR 的規定。
這些變化,連同 Schrems II 裁決,將影響許多收集和處理歐盟公民個人資訊的跨國公司,對跨境資料傳輸帶來更嚴格的合規要求。
中國對 GDPR 的回應
中國全國人民代表大會常務委員會於 2020 年 10 月 21 日公佈了《個人資訊保護法》(草案初稿)並公開徵求意見。其中包括高額罰款、域外適用性、資料保護官員的必要性以及管理跨境轉移的新規則。
PIPL 將強化居住在中國的資料主體(無論國籍)所獲得的新權利,例如刪除權和撤回資料收集同意的權利。處理大量個人資訊的公司還將被要求任命一名資料保護官,負責處理個人資料。根據《個人資訊保護法》,跨境處理敏感個人資訊將受到一定限制。如果公司超出這個範圍,就需要將其資料處理活動在地化。
儘管《個人資訊保護法》很可能會在公眾評論後得到進一步審查,但很明顯,中國決心追隨《GDPR》的腳步,制定一部全面的新資料保護法,這將首先使資料主體受益。
英國脫歐後的隱私保護
2020年底,英國脫歐過渡期結束,GDPR在英國的適用以及個人資訊從英國向歐洲的自由流動也隨之結束。然而,雖然 GDPR 可能不再適用,但其要求已於 2018 年透過《資料保護法》 (DPA)納入英國國家立法。
英國脫歐的主要後果是,英國正式成為歐洲經濟區所有成員國的第三方國家,這意味著它需要向歐盟委員會申請充分性決定,然後數據才能再次自由跨境傳輸。無論這個過程是否會順利進行,或者英國是否未能做出充分性決定,英國企業都需要確保 2021 年歐洲經濟區成員國和英國之間建立適當的資料傳輸機制。
新的資料保護法將於 2021 年生效
2021 年開始,全球將實施多項新的資料安全法。保護局(ANPD)如何執行 LGPD 的試驗場。
2020年底,新加坡修訂了《個人資料保護法》(PDPA),其中包括強制性資料外洩通知、擴大視為同意框架、合法利益同意例外情況以及加強不合規處罰力度等。 2021年這些變化將付諸實行。
2021 年將檢討資料保護法
對澳洲 1988 年《隱私法》的廣泛審查預計將於 2021 年完成。到目前為止,它已經發表了一份問題文件,概述了《隱私法》以及其他保護個人資訊的澳洲法律,並尋求回饋。提交截止日期為 11 月底,審查初稿預計將於 2021 年公佈。
2020年11月17日,加拿大資訊、科學和經濟發展部長提出《數位憲章實施法案》 (DCIA)。一旦獲得通過,DCIA 將取代加拿大現行的私部門資料保護法《個人資訊保護和電子文件法》(PIPEDA)。 DCIA 將為加拿大的隱私問題和隱私立法帶來一些有趣的發展,包括私人訴訟權和可能超過《一般資料保護條例》的罰款。 2021 年,DCIA 將接受委員會審查,並預計將接受利害關係人的諮詢和聽證會。
在美國,加州選民於2020年11月通過投票表決通過了《加州隱私權法案》(CPRA)。雖然《CPRA》的大部分條款要到 2023 年 7 月才會開始實施,但該法案的通過將有望引發新一波州法律和聯邦層級的立法行動。
隨著我們進入 2021 年,這些重大發展的陰影籠罩在資料隱私領域,因為歐洲法院的 Schrems II 裁決表明,將敏感個人資料轉移到歐盟以外合法化不僅僅是一項文書工作。
同時,中國將於今年推出首部綜合資料保護法案,跨境轉移也是其主要關注點之一。其他幾個國家也將在 2021 年實施或審查其資料隱私法,英國也將失去在歐洲的自由資料流動特權。讓我們仔細看看這些發展以及我們對未來一年的期望。
2021 年歐盟跨境轉移的新 SCC
符合歐盟一般資料保護規範(GDPR)的跨境資料傳輸的標準化和標準化似乎已經列入許多歐洲機構的議程。
2020 年 11 月,歐洲資料保護委員會 (EDPB) 發布了一份建議草案,規定企 whatsapp 號碼 業應遵循哪些規則才能合法地將敏感個人資料從歐洲經濟區 (EEA) 轉移到其以外的國家。根據 EDPB 的指導,歐盟委員會發布了一套新的標準合約條款(SCC)草案和一份實施該決定的草案,對條款文本進行了重要更新,使其符合 GDPR 的規定。
這些變化,連同 Schrems II 裁決,將影響許多收集和處理歐盟公民個人資訊的跨國公司,對跨境資料傳輸帶來更嚴格的合規要求。
中國對 GDPR 的回應
中國全國人民代表大會常務委員會於 2020 年 10 月 21 日公佈了《個人資訊保護法》(草案初稿)並公開徵求意見。其中包括高額罰款、域外適用性、資料保護官員的必要性以及管理跨境轉移的新規則。
PIPL 將強化居住在中國的資料主體(無論國籍)所獲得的新權利,例如刪除權和撤回資料收集同意的權利。處理大量個人資訊的公司還將被要求任命一名資料保護官,負責處理個人資料。根據《個人資訊保護法》,跨境處理敏感個人資訊將受到一定限制。如果公司超出這個範圍,就需要將其資料處理活動在地化。
儘管《個人資訊保護法》很可能會在公眾評論後得到進一步審查,但很明顯,中國決心追隨《GDPR》的腳步,制定一部全面的新資料保護法,這將首先使資料主體受益。
英國脫歐後的隱私保護
2020年底,英國脫歐過渡期結束,GDPR在英國的適用以及個人資訊從英國向歐洲的自由流動也隨之結束。然而,雖然 GDPR 可能不再適用,但其要求已於 2018 年透過《資料保護法》 (DPA)納入英國國家立法。
英國脫歐的主要後果是,英國正式成為歐洲經濟區所有成員國的第三方國家,這意味著它需要向歐盟委員會申請充分性決定,然後數據才能再次自由跨境傳輸。無論這個過程是否會順利進行,或者英國是否未能做出充分性決定,英國企業都需要確保 2021 年歐洲經濟區成員國和英國之間建立適當的資料傳輸機制。
新的資料保護法將於 2021 年生效
2021 年開始,全球將實施多項新的資料安全法。保護局(ANPD)如何執行 LGPD 的試驗場。
2020年底,新加坡修訂了《個人資料保護法》(PDPA),其中包括強制性資料外洩通知、擴大視為同意框架、合法利益同意例外情況以及加強不合規處罰力度等。 2021年這些變化將付諸實行。
2021 年將檢討資料保護法
對澳洲 1988 年《隱私法》的廣泛審查預計將於 2021 年完成。到目前為止,它已經發表了一份問題文件,概述了《隱私法》以及其他保護個人資訊的澳洲法律,並尋求回饋。提交截止日期為 11 月底,審查初稿預計將於 2021 年公佈。
2020年11月17日,加拿大資訊、科學和經濟發展部長提出《數位憲章實施法案》 (DCIA)。一旦獲得通過,DCIA 將取代加拿大現行的私部門資料保護法《個人資訊保護和電子文件法》(PIPEDA)。 DCIA 將為加拿大的隱私問題和隱私立法帶來一些有趣的發展,包括私人訴訟權和可能超過《一般資料保護條例》的罰款。 2021 年,DCIA 將接受委員會審查,並預計將接受利害關係人的諮詢和聽證會。
在美國,加州選民於2020年11月通過投票表決通過了《加州隱私權法案》(CPRA)。雖然《CPRA》的大部分條款要到 2023 年 7 月才會開始實施,但該法案的通過將有望引發新一波州法律和聯邦層級的立法行動。