《白鲸出海:2020互联网出海趋势及法律政策报告1.0—第二������部分(10页).pdf》由会员分享,可在线阅读,更多相关《白鲸出海:2020互联网出海趋势及法律政策报告1.0—第二部分(10页).pdf(133页珍藏版)》请在三个皮匠报告上搜索。
1、 声明:版权所有,未经书面授权,禁止商业性使用,禁止演绎。 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 2020互联网出海互������联网出海 全球数据合规法律观察报告全球数据合规法律观察报告 1.0版本版本 浙江垦丁律师事务所海外业务部浙江垦丁律师事务所海外业务部 王捷王捷 魏彤魏彤 202006 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 引言引言 近年来数据隐私保护受到了公众和各国政府越来越多的重视。2018 年,欧盟通用数据保护 条例(General Data Protection Regulation,GDPR
2、)正式��������生效,由此掀起了全球范围内关于个 人数据保护立法、执法、合规的数据保护浪潮;美国互联网产业发达,数据保护意识亦是走在前 列,加州消费者隐私法案(California Consumer Privacy Act,CCPA)被视为可能超越 GDPR 的美 国最严数据保护法;澳大利亚数据保护体系也日趋完善严密,综合数据保护法和行业领域数据保 护法一应俱全。与此同时也有一些国家的数据保护进程尚处于初期阶段,南非的个人数据保护法 POPIA 于 2013 年通过,但至今仅仅部分条文生效;沙特阿拉伯尚未有数据保护的独立体系,宗教 法仍对各方面产生较大影响。 在数据隐私保护热潮的背景下,垦丁律师事务所海
3、外业务团队对全球范围内的个人数据保护 法律体系进行调研,完成本报告。本全球数据合规法律观察报告立足全球�����,全方位归纳整理各洲、 各国立法、执法、处罚����等形势现状,以大洲地区为划分基础,收录了近年来主要国家具有代表 性的案例,并进行概述与解读,对出海企业提出合规启示。报告整体与细节并重,致力于了解全 球各地区数据立法进程与发展概况,掌握全球趋势,有利于帮助出海企业简明了解全球数据保护 基础情况 ,获取最新资讯,促进经验交流,进而帮助中国企业顺利出海。 编者按 2020 年 6 月 26 日 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 页 目录 全球数据保护立
4、法全球数据保护立法概览概览 . 1 全球数据保护执法概览全球数据保护执法概览 . 1 国家立法执法概览. 2 美洲. 2 巴西.����� 4 1. 数据立法:. 4 2. 监管机构. 5 3. 执法现状. 6 4. 执法关注重点. 7 美国. 8 1. 数据立法:. 8 2. 监管体系. 9 3. 科技巨头隐私策略和对监管的态度. 11 4. 案件分布. 13 5. 违反处罚. 14 6. 执法关注重点. 14 欧洲. 16 一、GDPR . 17 1. 和之前的其他数据法区别. 17 2. 权利救济与违反处罚. 22 二 具体国家�����情况. 31 英国. 31 法国. 36 意大利. 40 非洲. 45
5、 南非. 46 1. 数据立法. 46 2. POPIA 的特殊条款 . 47 3. POPIA 七项原则 . 47 4. 监管机构. 48 5. 违反处罚. 48 中东. 49 沙特阿拉伯. 50 1. 立法现状. 50 2. 监管机构. 51 3. 违反处罚. 52 亚洲太平洋����. 53 日本. 55 1. 立法现状. 55 2. 监管机构. 56 3. 执法数据. 56 澳大利亚. 58 1. 立法现状. 58 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 页 2. 执法机构. 59 3. 执法概况. 60 4. 近年执法关注热点. 61 全球各主要
6、地区数据合规案件. 6�����3 亚洲太平洋地区. 63 . 63 香港. 63 案件一:电讯公司承认违反直接促销规定. 63 案件二:国泰航空与港龙航空未获授权浏览或查阅乘客个人资料. 65 . 67 日本. 67 案例:Benesse 公司客户个人数据泄漏案件 . 67 印度. 69 案例:因违反网络安全框架,印度央行对印度联合银行进行处罚. 69 新加坡. 70 案件一:Globalsign������� 未经授权向 MSIG 发送垃圾邮件 . 70 案例二:新加坡导游协会受处罚案. 71 案例一:韩国药品信息中心提供个人敏感信息违反韩国数据法案被处罚案. 73 . 74 菲律宾. 74 案件:在线贷款公司违
7、反隐私保护法案被处罚案件(进行中). 74 台湾. 75 . 76 案例:某澳门美容公����司电话销售违规处罚案件. 76 澳洲. 77 印尼. 79 马来西亚. 7������9 泰国. 79 越南. 79 巴基斯坦. 79 老挝. 79 柬埔寨. 79 孟加拉. 79 朝鲜. 80 . 81 美国地区. 81 消费者隐私保护与儿童隐私保护典型案件. 81 . Error! Bookmark not defined. 案例一:Facebook 违反消费者隐私保护被 FTC 处罚案 . 81 案例二:Retina-X 跟踪应用程序被 FTC 处罚案 . 83 案例三:United States of Ameri
8、ca (For the Federal Trade Commission), Plaintiff, v. Musical.ly(视频社交网络平台 Musical.ly 案) . 85 案例�����四:美国 YouTube 因侵犯儿童隐私被 FTC 处以高额罚款案 . 87 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 3�������� 页 共 131 页 数据安全与数据泄漏方面典型案件. 89 案例五:美国征信机构 Equifax Inc 数据泄漏案件 . 89 案例六:InfoTrax 反复遭遇黑客攻击没有采取合理安全保障措施被 FTC 指控 案. 91 案例七:美国 DealerBuilt
9、数据泄漏被 FTC 指控案件 . 92 欧洲地区. 94 2019 年十大处理金额最高的数据案件 . 94 案例一:英国航空公司数据泄漏案件. 95 案例二:万豪国际(Marriott Intl. In����c.)数据泄漏案件 . 96 . 98 案例三:法国 CNIL 处罚 Google Inc. 定向广告推送案 . 98 案例四:意大利 TIM SpA(电信公司)因缺乏充分的数据处理法律依据被 DPA 处罚案 . �������100 案例五:奥地利邮政缺乏数据处理合法基础被 DSB 处罚案件 . 102 案例六:德国房地产公司 Deutsch Wohnen SE 违反存储限制原则被处罚案 件. 103 案例
10、七:德国 1 the obligations of the certification bod������y pursuant to Articles 42 and 43; the obligations of t�����he monitoring body pursuant to Article 41(4). 3 GDPR art 83 (5), (6) (5) Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 0
11、00 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: the basic principles for processing, includ����ing conditions for consent, pursuant to Articles 5, 6, 7 and 9; the data subjects rights pursuant to Article
12、s 12 to 22; the transfers of personal data to ��������a recipient in a third country or an international organisation pursuant to Articles 44 to 49; 公司经济价值测算 违反严重性估算 对其他因素进行考虑 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 25 并对该违规本身的严重程度进行评估。 此处需要考虑上文中提到的各项影响行政处罚的因素4, 来对违反作出轻微、中等、严重还是非常严重的评级。 结合以上两点,可以得出该违
13、反事项的严重系数(一般为 1-12,个别极其严重的会显示�������为12) 加之第一步中计算出的公司体量,此处就可以选用罚金适用条款进行计算出一个金额范围。 第三步 在第二步计算出的金额范围基础上,�������如果想要进一步细化情境,则需要根据 GDPR art 83 (2)的其他因素来对是否 加重处罚或者减轻处罚进行评估 可能减轻罚款可能减轻罚款 可能加重罚款可能加重罚款 疏忽大意造成 故意实行 第一次罚款 再次被罚 事后实行有效措施来减轻损害 数据控制者事后没有作为 和监管机构进行有效配合 不配合监管机构 o 罚款金额上限罚款金额上限 具体到罚金的数额,GDPR 也规定了罚款数额的上限 any obligati
14、ons pursuant to Memb������er State law adopted under Chapter IX; non-compliance with an order or a temporary or definitive limitation on processing or the suspension o�������f data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1). (6) Non-com
15、pliance with an order by the supervisory authority as referred to in Article 58(2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an un�����dertaking, up to 4 % of the tot����al worldwide annual turnover of the preceding finan
16、cial year, whichever is higher. 4 GDPR art 83 (2) 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 26 最高罚金最高罚金 GDPR 第 5、6、7、9、20-22、44-49、58 ������条中提到,如果企业违反了规定 GDPR 规定的以下事项,将处以最高两千 万欧元或其全球年营业额的 4%的罚金,取其高者。 数据保护原 则 个人权利 向第三方国 家传输信息 最高罚 金 儿童同意 Privacy by Design 遵循合同进行 信息处理 适当保护 标准最 高罚金 数据保护原则 个人权利 向第三方国家传 输
17、信息 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 27 数据保护原则, 如透明性原则、公平原则、问责制原则、数据准确和最小化原则 个人权利, 如访问权、修改权、限制使用权、可携带权和消除权 关于“向第三方国家传输信息”的规则 (此处第三方国家指欧洲经济区之外没有欧盟适当性认证的国家) 标准最������高罚金标准最高罚金 除了上述的极限罚金,另外一些相对较“温和”的违反会适用另一个罚金上限,也就是最高处以一千万欧元或其 全年营业额的 2%的罚金。这个上限适用于对以下责任的违反: 从儿童处取得适当的同意 实行“数据保护从设计和常规开始”的措施 (对于不是在欧洲经济区设立的企业)在欧盟设立一个指定代表处 遵循与数据控制者的合同对个人信息进行处理 儿童同意 指定代表处 适当保护合同 Data by Design 20
sgpjbg002
工作日 8:30 - 17:30
报告分类
