欧洲联盟颁布的一般数据保护条例(GDPR)向其人民颁布的一般数据保护条例一点,加利福尼亚州州长签署了一个单独的,席卷的数据保护法,从GDPR借用了几个想法,引发了一个在立法数据隐私趋势中的火炬现已跨越10个国家。
在智利,议员们正在更新已有几十年历史的立法,以保证他们的宪法数据保护包括请求、修改和删除个人数据的权利。在阿根廷,立法者正在更新一套已经授予该国“白名单”地位的数据隐私保护措施,使其能够更无缝地将数据转移到欧盟。在巴西,总统签署了一项数据保护法律,将于今年8月生效,该法律创建了一个类似gdp的框架,为数据“控制器”和“所有者”设立规则,并设立了一个数据保护机构来监管和审查潜在的违规行为。
除南美洲之外,印度正在仔细考虑一项限制国际公司如何使用个人数据的新法律,但法律包括政府机构的巨大漏洞。加拿大通过其第一批国家数据泄露通知法,在美国,多国和联邦账单从GDPR的思想中借入,以扩展到公众的数据访问,删除和可移植性。
GDPR于两年前生效,其影响是显而易见的:数据隐私是国家的法律,许多国家都从GDPR中汲取灵感。
艾米德拉喇嘛,贝克麦肯尼的合作伙伴们将她对全球隐私,数据安全和网络安全的合法做法,称,世界正在进行数据隐私的重大转变,而GDPR帮助刺激了大部分对话。
德拉喇嘛说:“从高层来看,隐私领域正在发生巨大的变化,毫无疑问,《全球隐私权保护条例》一直是一个巨大的推动因素。”
以下法律和账单是若干全球努力的样本,使数据隐私为家庭提供。通常,较新的法律和立法受到GDPR的影响,而是在GDPR之前通过了数据隐私法的几个国家仍在努力更新自己的规则,以与欧盟融合。
这是世界各地的GPR。
南美洲
南美洲的若干国家已经向其公众提供了强大的数据保护权,而不是美国,其中有几个符合其宪法中的数据保护权。
2018年,智利加入了后一个俱乐部,用数据保护的新权利补充了宪法中较早的隐私权。现在的宪法规定:
“宪法向每个人保证:……尊重和保护私人生活和个人及其家庭的荣誉,此外,保护个人资料。对这些数据的处理和保护将以法律确定的形式和条件实施。”
最后提到的“由法律决定的条件”对智利人的实际数据保护权利至关重要,因为即使宪法保护数据,它也没有具体规定如何这些数据应该受到保护。
就像美国宪法一样,这可以保护美国人免受不合理的搜索。然而,只有在过去的几十年中,法院和立法者解释了“不合理的搜索”是否包括例如通过第三方提供商发送的电子邮件,或搜索手机跟踪的历史GPS数据。
现在,智利正在努力确定其数据保护权利将实际包括哪些内容,并推动废除和替换已有数十年历史的数据保护法律《个人数据保护法》(Personal data protection Act,简称第19.628号法案)。最新的立法努力包括,争取将要求、修改和删除个人数据的权利,以及撤销公司收集、存储、写作、组织、提取、转移和传输个人数据的许可的权利纳入其中。
更新旧的数据保护并非智利独有。
阿根廷在2000年实施了其个人数据保护法(PDPL)。但是,与智利不同,与智利不同,在GDPR通过之前,从欧盟的灵感上画了灵感。相反,阿根廷的立法者与GDPR废除和更换的法律对齐他们的立法-Data保护指令1995年。
This close relationship between Argentinian and European data protection law made Argentina a near shoe-in for the GDPR’s so-called “whitelist,” a list of countries outside the European Union that have been approved for easier cross-country data transfers because of those countries’ “adequate level of data protection.” This status can prove vital for countless companies that move data all around the world.
根据欧盟委员会的说法,目前享受此地位的国家包括Andenta,阿根廷,加拿大(商业组织),法罗群岛,Guernsey,以色列,Man,Japan,Jersey,新西兰,瑞士和乌拉圭。只要数据转移在有限的隐私盾构框架下发生数据转账 - 一项替换之前,单独的数据转移协议的协议,即将成为“安全港”的协议被欧盟法院认定为无效。
(隐私盾牌也面临自己的挑战所以,或许美国不应该对自己的地位感到太舒服。)
尽管阿根廷目前在欧盟委员会(European Commission)处于白名单状态,但该国仍在试图通过一项新的立法来更新其数据保护框架。
新账单,纸币编号男人-208-147-APN-PTE该法案于2018年9月提交给阿根廷国会。它提出的变化包括,允许在征得个人同意的情况下处理敏感数据,扩大个人数据保护的领域范围,制定何时向该国数据监管机构报告数据泄露的新规定,以及大幅加大对违法行为的制裁力度。
在南美洲,至少还有一个国家受到GDPR的影响。
2018年8月,巴西时任总统米歇尔·特梅尔(Michel Temer)签署了巴西《一般数据隐私法》(Lei Geral de Proteção de Dados Pessoais, LGPD)。该法律将于2020年8月生效。
德拉喇嘛说,与GDPR有很多相似之处。
德拉玛说:“与《数据保护条例》一样,新法律在生效时适用于境外,包括通知、同意和跨境转移要求,以及与数据主体权利和数据保护官员任命有关的义务。”“欧盟标准合同条款可能会在新法律下得到承认,但这一步还没有采取。”
LGPD将“敏感数据”定义为揭示种族或族裔的个人数据,揭示种族或族裔观点,宗教或哲学信仰以及工会成员,以及用于唯一识别自然人,健康和医疗信息的生物识别数据,and data concerns a person’s sex life or sexual orientation.
与GDPR类似,巴西的LGPD也在数据控制器或业主之间产生区分,数据处理器是在包括美国在内的世界上拟议的法律中迅速推出的框架。巴西的LGPD也适用于该国的边界之外。法律适用于向巴西生活的人提供商品或服务的公司和组织,就像GDPR如何适应直接营销欧洲联盟内部的公司。
在修订之后,该法律还包括创建巴西数据保护局。该机构将拥有对因数据泄露而违反法律的组织发布法规和制裁的唯一权力。
印度
2019年底,印度立法者推出了一项酝酿了两年的数据保护法,与欧盟的GDPR有一些相似之处。《2019年个人数据保护法案》(Personal Data Protection Bill of 2019)将要求国际公司在多次使用个人数据时征求印度公众的同意,并授予人们一项新的权利,让他们的数据被删除。
相似之处仅限于此。
虽然法律的部分是GDPR的主要目的,但实际上存在的数据保护遭受巨大的漏洞。正如书面形式,虽然法律的数据限制适用于政府机构,但法律还允许新创建的数据保护机构选择其需要豁免的政府机构。
该法律将允许新德里“为了印度的主权和完整、国家安全、与外国的友好关系、公共秩序,豁免任何政府机构适用该法,”根据早期,泄漏TechCrunch获得的法律草案。
这种异常广泛的语言类似于美国的任何漏洞,适用于“国家安全”,它是印度的数字版权活动家在战斗中。
“鉴于政府是最大的数据收集者,这在印度尤其令人担忧,”互联网自由基金会(Internet Freedom Foundation)执行董事阿帕尔·古普塔(Apar Gupta)说。在与纽约时报交谈时。
新德里律师事务所TechLegis负责技术业务的萨尔曼·瓦里斯(Salman Waris)还告诉《纽约时报》,印度的新法律声称是为了保护公众,但实际上完成了一些其他的事情。
“它让个人表面上拥有你的数据,并有权知道这些数据是如何使用的,”瓦里斯说,“但与此同时,它为政府提供了全权授权。”
美国的GDPR
虽然我们专注于GDPR对全球范围的影响,但不可能否认在美国家中的影响力。
而国会的努力通过全面的数据隐私法可以追溯到2018年剑桥分析公司(Cambridge Analytica)的丑闻,当前数据隐私立法中嵌入的一些想法直接与GDPR有关。
从事知识产权、隐私和广告交叉领域工作的Reed Smith合伙人莎拉•布鲁诺(Sarah Bruno)表示,《加州消费者隐私法》(CCPA)就是一个明显的例子。尽管该法律是在GDPR在欧盟生效不到一个月后签署的,但在2016年该法律早些时候获得批准后,它的起草时间已经足够从GDPR借款。
“GDPR确实对CCPA有影响,”Bruno说,“它在CCPA中有很多组成部分。”
CCPA授予加州人访问和删除数据的权利,获取他们的数据并将其移植到独立提供商的权利,以及知道他们的哪些数据正在被收集的权利。加州人也享有选择不出售他们的数据的明确权利,这并没有被逐字地包括在GDPR中,尽管该法律给予居民的保护可能会导致类似的结果。尽管CCPA并不像GDPR中所写的那样授予“数据主体”权利,但它确实具有类似的影响范围。大部分法律是关于让消费者获得自己的信息。
“Consumers are able to write to a company, similar to GDPR, to find out what information [the company] is collecting on them, via cookies, about their purchase history, what they’re looking at on websites when on there,” Bruno said. She added that CCPA contends that “all that information, a California consumer should have access to that, and that’s new in the US, but similar to GDPR.”
但加利福尼亚州只有一个国家受到GDPR的启发。也有华盛顿今年早些时候推出了其数据隐私法案的重建版本。
“这也是类似的CCPA,”布鲁诺说华盛顿的改良法案。“正如我所说的那样,CCPA Plus。”
《数据隐私法》的得分与《数据隐私法》很接近,因为它借鉴了欧盟法律中有关数据“控制器”和“处理器”的一些语言,这两项法律都将对个人数据的收集和共享方式进行新的限制。这项法律,很像GDPR,也将为华盛顿人提供访问、控制、删除和移植他们的数据的权利。就像CCPA一样,《数据隐私法》也允许居民明确选择不出售数据。
尽管该法案最初从微软和隐私论坛的未来吸引了热烈的欢迎,不久之后,电子前沿基金会(Electronic Frontier Foundation)反对这项立法,称其为“弱,令牌在公司猖獗滥用个人数据的努力”。
该法案于今年1月13日提出,至今仍未推进。
GDPR的遗产:罚款还是疲劳?
GDPR的段落随着潜在的违规者而言,潜在的违规者 - 突破全球收入的2%的法律和面部罚款。对于拥有谷歌的互联网集团,如字母,这一执法行动将意味着支付超过10亿美元。Apple,Facebook,Amazon,Verizon和AT&T也是如此,只是为了命名一些。
尽管有工具递减亿美元的处罚,但欧洲的当局最初害羞地使用它们。2019年1月初,法国国家数据保护委员会(CNIL)对谷歌处以5000万欧元罚款在调查人员发现“在广告个性化方面缺乏透明度、信息不充分以及缺乏有效同意”之后。这是当时最大的一笔罚款,但与GDPR允许的金额相比就相形见绌了:根据Alphabet 2018年的收入,它本可以收到约24.7亿欧元(约合今天的27.2亿美元)的罚款。
六个月后,监管机构倾向于他们的力量更加倾斜。2019年7月,英国的信息专员(仍然是欧洲联盟的成员)英国航空公司被罚款2.3亿美元因为早些时候的一次数据泄露影响了50万客户。这笔罚款占该航空公司2018年收入的1.5%。
但监管罚款只告诉GDPR的故事一侧,因为,随着De La Lama,在法律的段落之后,她的客户在努力遵守每个新法律时告诉她疲劳。
在从多个全球律师事务所引导后,每个国家的数据保护法之间的细微差异都在指导下,每次攻击主题与自己的巨大信息。De La Lama自己的律师事务所Baker McKenzie去年发布了其年度全球数据保护指南,在886页上时钟。A quick glance reveals the subtle but important differences between the world’s laws: Countries that adopt a framework that separates data restrictions between “controllers” and “processors,” countries that protect “consumers” versus “data subjects,” countries that require data breaches to be reported to data protection authorities, countries that create data protection authorities, and countries that differ on just what the hell personal information includes.
德拉玛说,遵守一部数据保护法律就已经够困难的了,而且目前的数据隐私保护运动几乎没有什么保证会接近尾声。
“难以使公司遵守各种隐私和技术规范,并找到内部资源,以确保这是一项艰巨的任务,”德拉·喇嘛说。“And when you’re trying to replicate that across multiple jurisdictions, we’re seeing a lot of companies just trying to wrap their arms around how to do that, knowing that GDPR isn’t the end game, but really just the start.”
评论