「報告」國際隱私專業協會：2020全球數據隱私立法預測

【編者按】2020年2月國際隱私專業協會（ IAPP ， the International Association of Privacy Professionals ）發佈報告《2020全球數據隱私立法預測》（ 2020 Global Legislative Predictions ）。該報告對全球31個國家在數據隱私方面的最新舉措進行了梳理分析，發現幾乎所有國家都將在今年加強隱私和數據保護的監管和執法力度。其中，中國在2020年初已正式實施新《密碼法》，並計劃推進《個人信息保護法》等重要立法；美國仍在商議聯邦隱私法，並在衛生醫療等領域繼續探討相關立法的適用性；英國正在為脫歐後的政策執行做準備，計劃過渡期後施行“英國GDPR”；德國將發佈《數字醫療法案》（ Digital Healthcare Act ），商議《IT安全法2.0 》（ IT-Security Law 2.0 ），並進一步擴大法律適用範圍；丹麥今年的立法重點在於擬議刑事立法對隱私的影響；印度正在緊張商議《個人數據保護法》（Personal Data Protection Law），有望今年通過；日本由於受隱私醜聞的影響，將進一步修訂《日本個人信息保護法》 （ Personal Information Protection Commission of Japan ），增強數據主體的權利；新加坡計劃將數據可攜帶權和數據創新條款引入《個人數據保護法案2012》（ Personal Data Protection Act 2012 ），同時將加強公共部門個人數據保護措施。賽博研究院選取該報告中針對上述代表性國家內容進行編譯，供研究參考！

全文共5159字，閱讀大約需要12分鐘。

1 中國

2019年是中國網絡安全等級保護2.0（簡稱等保2.0）的起步年。隨著《新密碼法》和《個人信息保護法（專家建議稿）》等發佈，各界隱私專業人士對2020年強監管下的行業發展充滿期待。

在立法方面，《個人信息保護法（專家建議稿）》將進一步修訂，再提交至全國人民代表大會（NPC）進行審議，並有可能成為第十三屆全國人民代表大會常務委員會的立法計劃法案，該初稿對評估中國未來數據保護立法類型方面具有重要價值。

根據國務院2019年立法工作計劃，《關鍵信息基礎設施安全保護條例（草案）》可能在2020年完成更新。2020年下半年，建議各公司發佈相關文件時，充分閱讀五月以來的“國務院2020年立法工作計劃”，以查看正在起草或定稿的下一個涉及數據保護或網絡安全的法規文件。

在技術標準方面，預計《個人信息安全規範》（更新版）將在2020年完成，目前它已經通過了多個草案。它於2018年5月首次實施，如此迅速的更新顯示出中國大陸在改進數據保護實踐方面的強烈意願。

在執法方面，新《密碼法》於2020年1月1日正式施行。2019年打擊APP應用侵犯用戶權益的行動成功開展，預計2020年該項執法活動將繼續進行，無視數據保護的APP應用將受到監管機構的強勢監管，對所有處理個人信息企業而言，數據保護和網絡安全的合規義務都需要面向等保2.0合規性而開展。

2 美國

2019年，美國在聯邦隱私立法方面動作頗多，有人認為是由2020年1月1日生效的《加利福尼亞消費者隱私法》（CCPA， California Consumer Privacy Act）所觸發的，包括大型科技企業和隱私權倡導者在內的許多陣營對聯邦隱私法都有不同的呼聲，有人認為《加州消費者隱私法》或《歐盟通用數據保護條例》(GDPR,EU General Data Protection Regulation）應作為隱私和數據保護的準則。2019年末，參議院引入了兩項獨立的綜合聯邦隱私法（《消費者在線隱私權法案》（COPRA）和《消費者數據隱私法案》（CDPA），目前尚處於提案階段）。在制定聯邦法律之前，美國希望更多的州致力於制定自己的數據隱私法。

隨著美國衛生與公共服務部（HHS）下屬民權辦公室（OCR）執法工作的升溫,衛生醫療領域的隱私問題已成為媒體關注焦點。OCR在政策制定過程中對《健康保險可轉移性和責任法案》 （ HIPAA, Health Insurance Portability and Accountability Act）不斷進行了修改。但是，

聯邦隱私法中關於衛生醫療問題爭論的焦點在於新的聯邦法律將對衛生醫療行業產生什麼樣的限制。許多新的法案將監管實體從HIPAA中劃分出來，其他法案則提出了新的義務，並將其強加於HIPAA等現有法律之上。廣義上講，衛生醫療行業目前正在努力適應新的監管結構，因為不同法案對於衛生醫療行業的不同細分領域存在不同的規定。

3

英國

2019年12月12日舉行的大選是英國數據保護的重要轉折點。鑑於保守黨政府佔議會多數席位，英國於1月31日正式脫歐。英國將不再參與包括歐洲議會和理事會在內的歐盟機構。同樣，英國也將不再是歐洲數據保護委員會（EDPB）的常任理事國。但是，在英國脫歐過渡期間（截止於2020年12月31日，預計可以通過協議延長該期限一到兩年），信息專員辦公室（ICO）可以在脫歐過渡期間以觀察員身份參與歐洲數據保護委員會，討論由ICO主導的“一站式”方案。不過，在過渡期結束之後，歐洲數據保護委員會議事規則會將英國排除在外。這些修訂規則於2019年12月2日發佈，其中包括一個新條件，即觀察員身份只能授予歐盟成員國。一旦過渡期結束，這一條件將把英國排除在進一步審議之外，除非可以商定其他安排。

根據英國的適用法律，《歐盟通用數據保護條例》（GDPR）將由英國GDPR代替。但是，自退出之日起，歐盟委員會和英國政府將在過渡期結束前就充分性決定進行談判。雙方在有關歐盟與英國未來關係的政治宣言中都做出了政治承諾。當前的困境在於，如果不進一步延長過渡期，是否可以在11個月內做出適當決定。在雙方都承認達成協議的重要性的前提下，時間期限相當緊迫，談判的順利程度還有待觀察，特別是在關於國家安全數據處理問題上的談判可能陷入膠著狀態。

4

德國

2019年11月，《第二版歐盟數據保護和實施法案》（Second EU Data Protection Adaptation and Implementation Act）生效，有望在2020年產生全面影響。新的《聯邦數據保護法案》（Federal Data Protection Act ）除了重要條例與《歐盟數據保護標準》（EUData Protection Standards）保持一致之外，其他方面進行了修訂，包括但不限於以下幾點：所有必須任命數據保護官（DPO）的組織，其任命的DPO人數下限由原來10位變為20位，且DPO需長期從事個人數據處理相關工作；

《電子隱私法令》（ePrivacy Directive）在德國施行的不確定性導致德國公司Planet於2019年10月向歐洲法院發起訴訟。《第二版歐盟數據保護和實施法案》並未解決這些分歧。在《電子隱私法規》（ePrivacy Regulation）生效之前，該領域的類似情況仍可能發生。

《數字醫療法案》（Digital Healthcare Act）預計於2020年生效，旨在規範網絡醫療應用程序，這些應用程序通過在線視頻提供醫療諮詢或者通過訪問醫療數據庫以提供治療方案。

自2019年3月以來一直在商議的《IT安全法2.0》是否會在2020年施行尚不明確。該法律將關鍵基礎設施的覆蓋範圍擴展至更多的行業，進一步明確了IT安全方面的責任，建立了一般性安全認證標準，並且計劃擴大聯邦信息安全辦公室的影響力。

此外，德國監管機構的以下舉措預計將在2020年全面實施：按照企業年營業額以及違法行為的嚴重程度處以不同金額的罰款、根據GDPR實施經驗對《歐盟通用數據保護條例》做出調整，以簡化法律框架。

5

丹麥

丹麥自2018年5月起實施《丹麥數據保護法》後，2020年的立法重點是擬議刑事立法對隱私的影響。

今年值得關注的一項重要立法是所謂的“安全一攬子計劃”（safety package），該計劃於2019年在議會中提出，但由於6月議會大選而被取消。該法案預計將在2020年1月重新發布，其作用是加強公共場所的視頻監控，以預防和解決犯罪。

這項立法尚存爭論，因為有些人認為視頻監視將給予公民較少的自由，而另一些人則表示視頻監視反而給予公民更多的自由。後者的主要觀點為，監視能夠給公民帶來更高的安全感（前提是它實際上可以預防犯罪），而安全和保障是自由的基本條件。

在監管方面，人們正在等待法院第一個針對數據罰款的裁決。數據保護機構（DPA）——Datatilsynet沒有處以罰款的權利，但

此外，丹麥DPA率先簽署了標準數據處理協議，歐洲數據保護委員會已對協議進行了審查，並於2019年7月發表了意見。丹麥DPA於2019年底根據該意見發佈了修訂版協議（提供丹麥語和英語版本）。

6

日本

2019年1月，歐盟和日本通過了一項決定，承認彼此的數據保護制度符合雙方認定水平，從而降低了兩大管轄區之間數據傳輸政策壁壘。

但是，日本個人信息保護委員會（PPC）對《日本個人信息保護法》（APPI，Personal Information Protection Commission of Japan）提出了重大修正案，旨在進一步加強日本的數據主體權利。這項舉措的導火索可能源於日本最大的隱私醜聞的發生，該醜聞涉及一家招聘公司向其客戶出售數據，該招聘公司通過收集學生在工作信息網站上的瀏覽歷史數據，分析應屆生拒絕工作的可能性並向其客戶出售。

根據PPC的最新公告，擬議的修訂將包括有關向第三方提供瀏覽數據的法規，加強與數據訪問和刪除有關的數據主體權利，引入強制性數據洩露通知，以及對違反APPI的行為施以更嚴厲的制裁。這些提議將在2020年例會上作為日本國會議程的法律起草，修訂後的法律可能會在2020年或2021年生效。

7

印度

印度新的《個人數據保護法》（PDPB, Personal Data Protection Bill）將是2020年最值得關注的關鍵立法，這項法律將影響世界上13多億公民。

印度政府多年來一直致力於制定全面的數據保護法，但是直到2017年印度最高法院將隱私權視為印度憲法所保障的不可剝奪的、固有的基本公民權利時，數據保護法立法才推向高潮。印度政府任命了一個委員會來起草新法案，該委員會在2018年宣稱其擬議法律的方法是一種不同於美國、歐盟、中國的“隱私，自治和授權的第四條道路”。

該法律草案被廣泛認為是現代化的數據保護立法，但仍有些方面頗具爭議，例如國家數據本地化存儲、政府和數據保護機構在關鍵事項上的自由裁量權、關乎國家安全利益的廣泛豁免以及刑事執法。

PDPB於2019年12月在議會中提出。PDPB是基於委員會先前的法律草案而制定的，但有兩者存在許多差異。在反對黨的抗議下PDPB未能順利通過，最終將送交至議會兩院的聯合特選委員會進行進一步審查。預計該委員會在2020年議會預算會議結束之前提交其報告後，該法律有望通過。

此外，2019年制定的《 DNA技術（使用和應用）條例》（草案）（the DNA Technology (Use andApplication) Regulation Bill）——旨在限制DNA技術用於人體識別，預計也將在2020年通過。印度目前正在開發全國性的人臉識別系統，這可能是全球最大的人臉識別系統，可能需要單獨的立法。

在印度複雜的政治形勢和議會制度下，立法部門需要保持嚴謹的態度。由於Bharatiya Janata黨無法在國會上議院中獲得足夠的票數，PDPB未被通過，這令很多人感到驚訝，而這件事就發生在上議院艱難地通過了一部有爭議的法案之後。

總體而言，2020年有望成為印度的隱私立法年，也是居民基本隱私權與國家經濟和安全利益之間為尋求平衡而進行廣泛辯論的一年。

8

新加坡

新加坡的隱私治理格局將在2020年發生兩項重大變化：

首先，個人數據保護委員會（PDPC）正在考慮將數據可攜帶性和數據創新條款引入2012年的《個人數據保護法案》（PDPA， Personal Data Protection Act）。該提案是通過公開徵詢意見的方式以及PDPC對PDPA進行的持續審查得出的。與PDPA的早期商業應用一致，PDPC試圖統一GDPR和PDPA以實現數據安全傳輸。新加坡政府認識到數據可攜帶性已被包括歐盟在內的多個司法管轄區引入，並且許多國家（例如印度，日本，新西蘭和美國（加利福尼亞））也在考慮引入數據可攜帶性權，PDPC正在考慮在PDPA中添加數據可攜帶性。新增的數據創新條款將促進新加坡的產業創新，並保護創新者個人權益。根據該提案，出於商業創新目的，組織將無需徵求用戶同意即可將個人數據用於相關業務。

其次，迄今為止，新加坡的公共部門一直不在PDPA的管轄範圍之內。但是，在2019年發生兩起重大數據洩露事件（SingHealth網絡攻擊和HIV數據洩露事件）後，公共部門的個人數據保護系統將進行全面檢查。新加坡政府決定，截止2023年底，為保護公民個人數據，各公共部門將全面實施新的數據安全措施。其中一項具體措施為：將第三方供應商納入PDPA約束範圍（首次），因濫用個人數據而受到的罰款最高可達100萬新加坡元。

編譯 | 李顧元/上海社會科學院信息所研究生

本報告為賽博研究院編譯出品，報告內容僅用於學術交流，非任何商業性目的，相關觀點不代表本機構立場。轉載請郵件聯繫獲得授權，內容和圖片如有知識產權問題，請及時聯繫我們，我們會及時調整，謝謝您的關注和支持！

閱讀更多 賽博安全 的文章

關鍵字: 立法 隱私 編譯