《白鲸出海:2020互联网出海趋势及法律政策报告1.0—第二部分(10页).pdf》由会员分享,可在线阅读,更多相关《白鲸出海:2020互联网出海趋势及法律政策报告1.0—第二部分(10页).pdf(133页珍藏版)》请在三个皮匠报告上搜索。
1、 声明:版权所有,未经书面授权,禁止商业性使用,禁止演绎。 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 2020互联网出海互联网出海 全球数据合规法律观察报告全球数据合规法律观察报告 1.0版本版本 浙江垦丁律师事务所海外业务部浙江垦丁律师事务所海外业务部 王捷王捷 魏彤魏彤 202006 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 引言引言 近年来数据隐私保护受到了公众和各国政府越来越多的重视。2018 年,欧盟通用数据保护 条例(General Data Protection Regulation,GDPR
2、)正式生效,由此掀起了全球范围内关于个 人数据保护立法、执法、合规的数据保护浪潮;美国互联网产业发达,数据保护意识亦是走在前 列,加州消费者隐私法案(California Consumer Privacy Act,CCPA)被视为可能超越 GDPR 的美 国最严数据保护法;澳大利亚数据保护体系也日趋完善严密,综合数据保护法和行业领域数据保 护法一应俱全。与此同时也有一些国家的数据保护进程尚处于初期阶段,南非的个人数据保护法 POPIA 于 2013 年通过,但至今仅仅部分条文生效;沙特阿拉伯尚未有数据保护的独立体系,宗教 法仍对各方面产生较大影响。 在数据隐私保护热潮的背景下,垦丁律师事务所海
3、外业务团队对全球范围内的个人数据保护 法律体系进行调研,完成本报告。本全球数据合规法律观察报告立足全球,全方位归纳整理各洲、 各国立法、执法、处罚等形势现状,以大洲地区为划分基础,收录了近年来主要国家具有代表 性的案例,并进行概述与解读,对出海企业提出合规启示。报告整体与细节并重,致力于了解全 球各地区数据立法进程与发展概况,掌握全球趋势,有利于帮助出海企业简明了解全球数据保护 基础情况 ,获取最新资讯,促进经验交流,进而帮助中国企业顺利出海。 编者按 2020 年 6 月 26 日 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 页 目录 全球数据保护立
4、法全球数据保护立法概览概览 . 1 全球数据保护执法概览全球数据保护执法概览 . 1 国家立法执法概览. 2 美洲. 2 巴西. 4 1. 数据立法:. 4 2. 监管机构. 5 3. 执法现状. 6 4. 执法关注重点. 7 美国. 8 1. 数据立法:. 8 2. 监管体系. 9 3. 科技巨头隐私策略和对监管的态度. 11 4. 案件分布. 13 5. 违反处罚. 14 6. 执法关注重点. 14 欧洲. 16 一、GDPR . 17 1. 和之前的其他数据法区别. 17 2. 权利救济与违反处罚. 22 二 具体国家情况. 31 英国. 31 法国. 36 意大利. 40 非洲. 45
5、 南非. 46 1. 数据立法. 46 2. POPIA 的特殊条款 . 47 3. POPIA 七项原则 . 47 4. 监管机构. 48 5. 违反处罚. 48 中东. 49 沙特阿拉伯. 50 1. 立法现状. 50 2. 监管机构. 51 3. 违反处罚. 52 亚洲太平洋. 53 日本. 55 1. 立法现状. 55 2. 监管机构. 56 3. 执法数据. 56 澳大利亚. 58 1. 立法现状. 58 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 页 2. 执法机构. 59 3. 执法概况. 60 4. 近年执法关注热点. 61 全球各主要
6、地区数据合规案件. 63 亚洲太平洋地区. 63 . 63 香港. 63 案件一:电讯公司承认违反直接促销规定. 63 案件二:国泰航空与港龙航空未获授权浏览或查阅乘客个人资料. 65 . 67 日本. 67 案例:Benesse 公司客户个人数据泄漏案件 . 67 印度. 69 案例:因违反网络安全框架,印度央行对印度联合银行进行处罚. 69 新加坡. 70 案件一:Globalsign 未经授权向 MSIG 发送垃圾邮件 . 70 案例二:新加坡导游协会受处罚案. 71 案例一:韩国药品信息中心提供个人敏感信息违反韩国数据法案被处罚案. 73 . 74 菲律宾. 74 案件:在线贷款公司违
7、反隐私保护法案被处罚案件(进行中). 74 台湾. 75 . 76 案例:某澳门美容公司电话销售违规处罚案件. 76 澳洲. 77 印尼. 79 马来西亚. 79 泰国. 79 越南. 79 巴基斯坦. 79 老挝. 79 柬埔寨. 79 孟加拉. 79 朝鲜. 80 . 81 美国地区. 81 消费者隐私保护与儿童隐私保护典型案件. 81 . Error! Bookmark not defined. 案例一:Facebook 违反消费者隐私保护被 FTC 处罚案 . 81 案例二:Retina-X 跟踪应用程序被 FTC 处罚案 . 83 案例三:United States of Ameri
8、ca (For the Federal Trade Commission), Plaintiff, v. Musical.ly(视频社交网络平台 Musical.ly 案) . 85 案例四:美国 YouTube 因侵犯儿童隐私被 FTC 处以高额罚款案 . 87 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 3 页 共 131 页 数据安全与数据泄漏方面典型案件. 89 案例五:美国征信机构 Equifax Inc 数据泄漏案件 . 89 案例六:InfoTrax 反复遭遇黑客攻击没有采取合理安全保障措施被 FTC 指控 案. 91 案例七:美国 DealerBuilt
9、数据泄漏被 FTC 指控案件 . 92 欧洲地区. 94 2019 年十大处理金额最高的数据案件 . 94 案例一:英国航空公司数据泄漏案件. 95 案例二:万豪国际(Marriott Intl. Inc.)数据泄漏案件 . 96 . 98 案例三:法国 CNIL 处罚 Google Inc. 定向广告推送案 . 98 案例四:意大利 TIM SpA(电信公司)因缺乏充分的数据处理法律依据被 DPA 处罚案 . 100 案例五:奥地利邮政缺乏数据处理合法基础被 DSB 处罚案件 . 102 案例六:德国房地产公司 Deutsch Wohnen SE 违反存储限制原则被处罚案 件. 103 案例
10、七:德国 1 the obligations of the certification body pursuant to Articles 42 and 43; the obligations of the monitoring body pursuant to Article 41(4). 3 GDPR art 83 (5), (6) (5) Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 0
11、00 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9; the data subjects rights pursuant to Article
12、s 12 to 22; the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49; 公司经济价值测算 违反严重性估算 对其他因素进行考虑 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 25 并对该违规本身的严重程度进行评估。 此处需要考虑上文中提到的各项影响行政处罚的因素4, 来对违反作出轻微、中等、严重还是非常严重的评级。 结合以上两点,可以得出该违
13、反事项的严重系数(一般为 1-12,个别极其严重的会显示为12) 加之第一步中计算出的公司体量,此处就可以选用罚金适用条款进行计算出一个金额范围。 第三步 在第二步计算出的金额范围基础上,如果想要进一步细化情境,则需要根据 GDPR art 83 (2)的其他因素来对是否 加重处罚或者减轻处罚进行评估 可能减轻罚款可能减轻罚款 可能加重罚款可能加重罚款 疏忽大意造成 故意实行 第一次罚款 再次被罚 事后实行有效措施来减轻损害 数据控制者事后没有作为 和监管机构进行有效配合 不配合监管机构 o 罚款金额上限罚款金额上限 具体到罚金的数额,GDPR 也规定了罚款数额的上限 any obligati
14、ons pursuant to Member State law adopted under Chapter IX; non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1). (6) Non-com
15、pliance with an order by the supervisory authority as referred to in Article 58(2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding finan
16、cial year, whichever is higher. 4 GDPR art 83 (2) 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 26 最高罚金最高罚金 GDPR 第 5、6、7、9、20-22、44-49、58 条中提到,如果企业违反了规定 GDPR 规定的以下事项,将处以最高两千 万欧元或其全球年营业额的 4%的罚金,取其高者。 数据保护原 则 个人权利 向第三方国 家传输信息 最高罚 金 儿童同意 Privacy by Design 遵循合同进行 信息处理 适当保护 标准最 高罚金 数据保护原则 个人权利 向第三方国家传 输
17、信息 2020 互联网出海趋势及法律政策报告 1.0 2020互联网出海趋势及法律政策报告 1.0 27 数据保护原则, 如透明性原则、公平原则、问责制原则、数据准确和最小化原则 个人权利, 如访问权、修改权、限制使用权、可携带权和消除权 关于“向第三方国家传输信息”的规则 (此处第三方国家指欧洲经济区之外没有欧盟适当性认证的国家) 标准最高罚金标准最高罚金 除了上述的极限罚金,另外一些相对较“温和”的违反会适用另一个罚金上限,也就是最高处以一千万欧元或其 全年营业额的 2%的罚金。这个上限适用于对以下责任的违反: 从儿童处取得适当的同意 实行“数据保护从设计和常规开始”的措施 (对于不是在欧洲经济区设立的企业)在欧盟设立一个指定代表处 遵循与数据控制者的合同对个人信息进行处理 儿童同意 指定代表处 适当保护合同 Data by Design 20