对于大多数企业来说,遵守美国数据隐私法这条道路虽然漫长,但有点线性。制定隐私政策,不要对消费者撒谎,如果你是医疗保健提供商、视流媒体公司或儿童应用程序开发商,就要检查具体的规则。

必威官网多少然而,对于那些希望开拓新市场的企业来说,遵守全球数据隐私法更像是在道路上找到几十个岔路口,每一个岔路口都有一个难以辨认的路标。

公司应该把业务扩展到中国吗?这取决于该公司是否希望其源代码可能被中国政府分析。好吧,那韩国呢?那么,该公司是否准备为一次错误的数据传输支付其收入的3%,或者让其高管锒铛入狱?

欧洲显然是一个需要占领的市场,对吧?这是事实,但取决于哪个国家,当地数据保护部门可能会对违反规定的人处以巨额罚款一般资料保障规例

如果一家公司只是跟随谷歌、亚马逊或微软等更成熟的公司的脚步,在过去两年中都在新加坡开设了数据中心,那会怎么样?同样,答案取决于公司。如果它提供的服务被新加坡认为是“必要的”,它就必须注意新加坡新的网络安全法。

在这一点上,一家公司可能会考虑进入一个没有数据隐私法的国家。没有法律,就不会惹上麻烦,对吧?错了。数据隐私法似乎可以在一夜之间涌现出来,未来的合规成本可能会严重削减公司的预算。

虽然这看起来可能过于复杂,但有一个指导原则是有用的:如果一家公司无法遵守一个国家的数据隐私法,它可能不应该扩张到那个国家。风险可能是数百万美元的罚款,但可能不会超过回报。

今天,我们的数据隐私和网络安全博客系列的第三篇文章也来看看当前的美国数据隐私法联邦立法正在进行中,我们将探讨一家中型市场公司想要在美国以外拓展业务的决策过程。

在Reed Smith LLP律师张晓燕的帮助下,我们研究了欧洲、亚洲、拉丁美洲、中东和非洲的几项值得注意的数据隐私法律。

在文化精心打造的景观中发现问题

张说,在一家公司向一个新国家扩张之前,它应该尝试真正理解其所在国家的数据隐私法律。她说,这不仅仅是阅读法律;这需要把一个人的思维训练到一种完全不同的文化中去。

不像过失杀人和抢劫等罪行,这些罪行的定义几乎是通用的,张说,数据隐私侵犯在不同地区都有不同的解释,其根源在于一个国家的历史、经济、公众意识和对隐私的看法。

“数据隐私不像谋杀,要直截了当得多,”张说。“隐私法与文化紧密相连。”

因此,虽然海外的概念可能看起来很熟悉——比如在美国保护“个人身份信息”,在欧盟保护“个人信息”——但这些概念背后的文化是不同的。

例如,在欧盟,严格的反垄断监管和政府强制执行的历史推动了GDPR的通过。事实上,奥地利的网络隐私倡导者马克斯·施雷姆斯对Facebook的法律投诉受到严重影响GDPR -的最终文本说年前他对美国人的房子周围没有高高的花园篱笆感到惊讶。施雷姆斯意识到,这个国家对隐私的理解与奥地利不同,数据隐私法也不同。

同样,张说她也回答了欧盟律师提出的许多问题,这些律师认为世界各地的数据隐私法规与GDPR中的法规类似。

“欧盟律师习惯于认为,每一次数据收集都必须有合法的目的,他们坚持问同样的问题,”张说。“当我谈到中国的法律建议时,他们会说,‘哦,我们的医疗设备需要从用户那里收集数据,中国有没有任何法律或法规赋予我们收集这些数据的合法商业目的?’”

张还说:“没有。在中国,你不需要这些。这是完全不同的。”

不过,在正确的帮助下,这些差异是可以解决的。

张说,市场扩张最安全的途径是依靠全球数据隐私律师来“发现”任何明显的全球合规问题。这些专家将研究一家公司处理何种类型的数据——包括医疗、金融、地理定位、生物识别等——该公司提供何种服务,以及该公司是否需要频繁地进行跨境数据传输。根据所有这些因素,每家公司的数据隐私合规路线图将是独特的。

然而,张带领我们进行了一次世界之旅,详细介绍了欧洲、亚洲、非洲、中东和拉丁美洲的一些值得注意的数据隐私法律。张强调,公司在这些市场的扩张取决于公司是否做好了合规的准备。

国家多,法律多

欧洲

从欧洲开始,当然有GDPR。由于GDPR赋予了每个欧盟成员国在自己的地盘上执行新数据保护法的权力,因此要遵守这一系列全面的规定是很棘手的。

这是通过数据保护机构(dpa)执行的,dpa对违反GDPR的行为进行监督、调查和罚款。每个成员国都有自己的DPA,在GDPR实施前的几个月,还有DPA对当地执法将会是什么样子给出了不一致的信号

法国的DPA,即国家数据保护委员会(CNIL)表示,至少试图遵守GDPR的公司。只要他们的行为是善意的,预计最初会得到宽大处理。”

然而,不到一年之后,这种宽容就达到了极限。yann padova以最高的gdp违章罚款达到谷歌约5700万美元。

对这些处罚最好的辩护,张说,是咨询当地的法律专家,他们了解该地区的执行历史和细节。

“你不能只向GDPR专家寻求咨询。如果你想专门去德国,你需要德国律师,他们可以在德国特有的事情上提供见解。”“这是针对整个欧洲的。”

拉丁美洲

在欧洲之外——但仍受到gdp的鼓舞——是拉丁美洲。张说,一些拉美国家已经制定或正在考虑制定保护个人数据隐私权的法律。

2018年,巴西通过了全面的数据保护法,保护人们的个人信息,包括更严格的保护敏感信息,包括种族、民族、宗教、政治派别和生物特征。阿根廷还转发了其公民的隐私保护,并在GDPR中获得了“白名单”缔约方的特别许可,这意味着个人数据可以在没有额外保护的情况下从欧盟转移到阿根廷。

亚洲

在中国,一种全新的风险因素开始发挥作用——监视。

中国的网络安全法赋予了中国政府广泛的、侵入性的权力,可以监视在国内运营的与互联网相关的企业。该法于2017年实施,允许中国的外国情报机构对外国公司希望在中国出售或提供的技术进行“国家安全审查”。

这权柄的提出了警钟“记录未来”的研究人员说将过去的网络攻击直接归咎于中国政府.研究人员表示,该法律可能赋予中国政府发现和利用外国公司产品零日漏洞的权力,而这一切的代价是进入中国市场。

“中国的法律对政府的控制和监控有一个隐藏的角度,”张说。“它有不同的理由。”

在中国之外,新加坡已经吸引了谷歌、微软和亚马逊的关注在过去几年中在该国建立了数据中心.该国在2012年通过了《个人数据保护法》(Personal Data Protection Act),并在2018年通过了《网络安全法案》(Cybersecurity Act),后者为监控该国的网络安全威胁建立了框架。

该法的适用范围很窄,因为它只适用于控制新加坡政府所谓的“关键信息基础设施”(CII)的公司和组织。这包括管理银行、政府、医疗保健和航空服务等的计算机系统。该法律还包括数据泄露通知要求。

张说,搬到韩国后,组织的风险急剧上升。该国的《个人信息保护法》(Personal Information Protection Act)保护了公民的隐私权,其惩罚措施包括刑事和监管罚款,甚至监禁。跨境数据传输尤其受到严格保护。一次错误的转移可能会导致公司收入的3%的罚款。

非洲

再来一次旅行,向非洲扩张需要了解非洲大陆迅速发展,有时甚至不存在的数据隐私法。张说,在非洲50多个国家中,只有大约15个国家有数据保护法律,更少的国家有必要的监管机构来执行这些法律。

“在这些国家中,9个国家没有监管机构来执行法律,5个国家有一个象征性的法律,但没有执行,”张说。

因此,这就引出了一个问题:如果一家公司向一个没有任何数据隐私法的国家扩张,到底会发生什么?

这样做的潜在风险更大。

首先,一个国家实际上可以在公司向其境内扩张的数年内制定并通过数据隐私法。这并不是前所未闻的事,距离亚马逊成立还不到一年宣布进军巴林,这个国家介绍了第一部全面的数据隐私法。其次,张说,遵守新的数据隐私法可能是昂贵的,迫使一家公司陷入一个艰难的局面,它可能不得不完全退出这个新市场。

张说:“一个常见的误解是,如果一个国家根本没有法律,那就是一个好去处。”他说:“你应该三思而后行。

扩大吗?这取决于每个公司

对于公司进入美国以外的新市场,并没有单一的路线图。相反,一家公司可以根据其产品、服务、收集的数据、跨国界移动所需的数据以及对风险的容忍度,采取多种途径。

张说,最安全的方法是先问问题。就如何进入市场做出明智的决定要比事后被罚款或处罚吓到好得多——即使遵守成本很高。