海外数据保护的立法成果与趋势展望

当下，数字化正以不可逆转的趋势改变人类社会。数据流通与共享随之成为关注测点，全球相关立法不断往纵深推进。本文将介绍几个国家主要的数据保护的发展和趋势，并总结了未来的立法变化、预测和2023年需要注意的执法重点。

一、德国

国际数据转移将继续成为一个热门话题，特别是在欧盟委员会2022年12月13日公布的充分性决定草案的背景下。在美国总统于2022年10月发布行政命令以解决欧盟法院在Schrems II裁决中提出的问题后，德国的DPA (Data Protection Authority，为德国数据保护机构的统称)发表了一份声明，指出了该裁决中未解答的问题，并得出了行政命令存在缺陷的结论。

此外，由于EDPB宣布了其关注数据保护官（Data Protection Officer, DPO）的计划，笔者预计这将是德国关于数据保护的一个关注议题，特别是因为德国当地的数据保护法要求在大多数情况下任命数据保护官，特别是在公司雇用至少20人处理个人数据时。值得注意的是，在GDPR(General Data Protection Regulation,  《一般数据保护条例》)之前，德国就要求在大多数情况下任命数据保护官。

德国数据保护机构的指导意见

由德国所有组成的德国数据保护会议更新了指南，并发布了新的声明/指南，如：

• 2022年2月，德国数据保护会议更新了关于GDPR下为直接盈利目的处理个人数据的指导意见；以及

• 2022年12月，德国数据保护会议发布了关于解释2021年12月1日生效的《电信和电信媒体数据保护法》的最新指南。和以前一样，该指南特别关注对使用cookies的要求。

执法和数据纠纷

德国DPA继续实施罚款。例如，2022年7月，德国下萨克森州的DPA对一家银行处以90万欧元的罚款，因为DPA认为该银行为广告目的而进行的特征分析活动没有充分的合法利益基础（GDPR第6（1）条f项）。根据当局的新闻稿，该银行分析了前客户和活跃客户的个人数据，包括他们的数字使用行为、在应用商店的购买量和使用网上银行的银行转账量，并为此使用了外部服务提供商。此外，分析结果还与一家信贷机构的分析结果进行了比较和充实。当局表示，告知客户并不能取代必要的同意。

二、印度

2022年11月，印度电子和信息技术部（Ministry of Electronics and Information Technology, MEITY）推出了《2022年数字个人数据保护法案》（"DPDP法案"）的草案，并呼吁公众提出意见。DPDP法案是在其前身《2021年个人数据保护法案》（"2021年法案"）之后出台的，在利益相关者的推动下，政府于2022年8月撤回了该法案。

DPDP法案建立在以下原则之上。(a)公平和合法使用，(b)目的限制，(c)数据最小化，(d)准确性，(e)存储限制，(f)合理保障，以及(g)问责。它规定了个人数据的收集、存储、处理和转移方式。它引入了数据受托人（类似于数据控制者）、数据委托人（类似于数据主体）和数据处理者等概念，还规定了这些方面在个人数据方面的权利和义务。最重要的是，《DPDP法案》对个人数据在印度境外的转移规定了某些限制。它还建议对严重违反规定的行为进行严厉的金钱处罚。虽然没有明确的时间表说明DPDP法案何时生效，但预计它将在2023年底前生效。

三、日本

修订后的《个人信息保护法》（"APPI 2022"）于2022年4月1日生效。该修正案引入了重大改革，对公司的隐私惯例和业务运营产生了影响。APPI 2022的主要变化包括

• 更严厉的法定刑罚。

• 加强数据主体的权利。

• 强制性数据泄露通知要求。

• 一个新的 "假名信息 "的概念。

• 对向第三方转移数据的新限制（"个人可参考信息"）；以及

• 对国际数据传输有更严格的限制。

其中对于法定刑罚的变化、向强制性数据泄露通知的转变以及关于国际数据传输的新义务对企业的影响最大。

在国际数据转移方面, APII 2022规定向位于日本境外的第三方转移个人数据需要得到数据主体的同意，除非在去年APPI修正案生效前适用的例外情况。除了现有的限制外，APPI 2022对此类数据转移提出了新的要求，以便为数据主体提供更高水平的保护。

当基于同意进行国际数据转移时，转移者在通过隐私通知等方式获得数据主体的同意时，需要向其提供以下信息。

• 个人数据被转移到的国家的名称。

• 数据接收方所在国家的数据保护制度；以及

• 数据接收方为保护个人信息所采取的安全措施。

    然而，由于难以满足APPI 2022规定的这一新的信息披露要求，许多公司倾向于依靠同意以外的理由来进行国际数据转移。大多数公司现在依赖的理由是制定了数据传输/处理协议或公司规则（这只适用于集团公司内部的数据传输），规定了与APPI 2022规定相当的义务。如果企业根据该协议或公司规则的例外情况使跨境数据传输合法化，企业必须采取必要措施，确保遵守APPI 2022规定的数据保护框架，并必须应数据主体的要求向其提供与这些措施有关的信息。当公司签订协议或采用公司规则以实现国际数据传输时，应审查此类协议或公司规则，以确认它们符合APPI 2022的要求。此外，公司需要准备好回应数据主体的要求，提供有关其采用的国际数据传输机制的信息

四、墨西哥

墨西哥数据保护监管机构（"INAI"）在2022年非常活跃，开展了如下工作：（1）发布指南和建议；以及（2）对处理活动不符合《联邦数据保护法》（Ley Federal de Protección de Datos Personales en Posesión de los Particulares）（"LFPDPPP"）的个人或组织开展调查并处以罚款。

2022年，INAI对违反LFPDPPP的个人和/或法律实体处以罚款，总额为3,179,96.37美元。根据INAI的记录，2022年被处罚最多的部门是提供"一般服务"的部门，总额为1,226,333.31美元；"大众媒体"，81,780.92美元；"金融服务"和"保险"，756,835.55美元；"商业支持服务"、"管理、废物和补救服务"，121,962.21美元。

最常见的制裁理由的活动包括。

• 违反LFPDPPP的原则处理个人信息。

• 在未经明确同意的情况下收集或转让个人信息；以及

• 未能提供隐私通知中所要求的任何最低限度的强制性信息。

五、美国

美国隐私法在2023年将继续发生重大变化。《加利福尼亚隐私权利法》（CPRA）和《弗吉尼亚消费者数据保护法》（VCDPA）都在2023年1月1日生效。2023年7月1日，《科罗拉多州隐私法》（CPA）和《康涅狄格州数据隐私法》（CTDPA）将开始生效，《犹他州消费者隐私法》（UCPA）将于2023年12月31日生效。CPRA修订并加强了《加州消费者隐私法》（CCPA），这会是所有修改里影响最深远的新法，因为它包括企业对企业（B2B）和人力资源（HR）数据。

此外，美欧数据传输也是一个关注切入点。2022年12月13日，欧盟委员会（EC）宣布了一项关于美国数据保护制度是否足以保护欧盟（EU）居民的个人数据的决定草案，即欧盟-美国数据隐私框架（DPF）。我们预计，DPF将于2023年定稿，美国公司将迅速着手认证对DPF的遵守。尽管笔者预计DPF的认证将类似于其前身"隐私保护"，但DPF的具体细节还没有盖棺定论。

联邦监管机构，包括联邦贸易委员会（FTC）和民权办公室（OCR），也加强了对某些敏感数据的收集和存储的审查。例如，联邦贸易委员会在2022年8月对Kochava的执法行动中继续关注移动应用程序收集和共享（或出售）敏感数据，包括地理定位数据。负责执行《健康保险可携性和责任法案》（HIPAA）的机构OCR发布了关于在HIPAA涵盖的网站或移动应用程序上使用跟踪技术并收集受保护健康信息（PHI）的指南。OCR澄清说，HIPAA覆盖的实体不允许以导致不允许向其他实体（包括跟踪技术供应商）披露PHI的方式使用跟踪技术。

美国证券交易委员会（SEC）可能在2023年最终确定规则，迫使公司董事会在四个工作日内向SEC和投资者披露重大网络事件。美国证券交易委员会的规则还将要求公共董事会披露有关其安全治理的重要信息。

总的来说，鉴于美国各州隐私法的不断发展，以及联邦层面的执法和审查，我们预计2023年将是一个变化的年份，从而促使更多的公司将专注于建立和加强其隐私合规计划。

在全球范围内，国家性、区域性关于数据安全和隐私保护的法规各有侧重，企业如何在参与全球经济的合作与竞争中，满足国内外合规要求将是一个亟需解决的挑战。企业应提高数据安全意识，同时注意对敏感数据的应用，安全规划进行的越早，经济效益越高，风险越小。

作者介绍：

杨云帆 德赛西威涉外法务