清研智库：2020年全球数据隐私立法的发展

2020年，世界各地围绕数据隐私立法出现了一些重大进展。疫情引发的 "新常态 "带来了围绕数据隐私的新担忧，使得在2021年制定严格的数据隐私法的理由更加充分。

Whatsapp终于推迟到5月15日执行新的数据共享政策，但损害似乎已经造成，全球数百万愤怒的用户纷纷转投其他平台，印度和土耳其也将出现潜在的诉讼和调查。

Whatsapp并非一次性案例，只是围绕数据隐私的争论中的冰山一角。无论是数字化的联系追踪还是社交距离的执行，无论是健康的数字化还是网络购物，无论是在家办公还是在线教育，流行病引发的数字化加速，都在不断地将我们推向数字领域。自然，"新常态 "带来了围绕数据隐私的新担忧，使得严格数据隐私法的理由更加充分。

有趣的是，过去的一年，在这方面也取得了令人鼓舞的进展。在加拿大、巴西、中国和新西兰参照欧洲《通用数据保护条例》出台立法的同时，我们也看到隐私在美国国会的COVID-19相关立法中得到了体现，包括参议院的《2020年COVID-19消费者数据保护法案》和众议院的《公共卫生紧急隐私法案》。在2020年11月，加州公民投票通过了《加州消费者隐私法》的修正案，并制定了新的法规《加州隐私权利法》。目前，美国没有其他州的法律像加州一样严格，但约有30个州正在制定至少包含部分条款的立法。

让我们来看看其中的一些立法。

巴西

巴西的《一般数据保护法》（Lei Geral de Proteção de Dados Pessoais，LGPD）于2020年9月16日生效。政府还批准成立一个国家级的数据保护机构--Autoridade Nacional de Proteção de Dados (ANDP)--它将负责执行LGPD。

在围绕数据保护进行了多年的辩论后，最终文本于2019年获得批准，但由于巴西的政治发展以及后来COVID的爆发，其执行被推迟。ANDP的建立是颁布法律的重要举措，使透明度变得至关重要。

在其他与欧洲《通用数据保护条例》非常相似的条款和条件中，LGPD将个人数据持有者的同意和他/她的访问权置于中心位置，并要求处理数据的组织在巴西建立处理个人数据的法律基础，并遵守跨境数据传输限制。企业还必须提供详细的隐私声明和数据泄露通知的更新。

加拿大

加拿大于2020年11月17日出台了《2020年数字宪章实施法》，该法如果通过，将导致《消费者隐私保护法》（CPPA）和《个人信息与数据保护法》的成立。

新法案将赋予加拿大人对其个人信息使用情况进行披露的权利；包括企业如何根据其数据进行算法决策的透明度权利。用户还将获得删除个人信息或撤回同意的权利；以及允许个人信息在组织之间转移的数据移动权。

企业方面将被要求实施隐私管理计划，以确保遵守新法律。他们还必须满足某些类似于欧洲《通用数据保护条例》的条款，包括关于同意处理个人数据和在未经同意的情况下使用匿名数据的条款。

中国

中国于2020年10月21日公布了《个人信息保护法》草案，征求公众意见。该法再次大量借鉴了欧洲《通用数据保护条例》的内容。如果通过，《个人信息保护法》将成为中国第一部旨在解决数据隐私问题并为公民提供个人数据保护的法规。它将与现行的《网络安全法》、《数据安全法》和《中华人民共和国电子商务法》并存。

新法不仅适用于在中国大陆境内运营的组织，也适用于位于境外处理居住在中国的个人数据的企业或组织。有趣的是，在某些情况下，寻求将个人数据转移到中国境外的组织将必须通过中国网络空间管理局的安全评估。

新西兰

新西兰2020年《隐私法》于2020年12月1日生效，取代了此前的1993年《隐私法》。新法适用于在新西兰境内 "开展业务 "过程中收集个人信息的组织，即使它们不是新西兰的法人实体。新法还要求收集个人数据的企业在发生隐私泄露的情况下，必须通知受影响的个人以及隐私专员办公室（OPC），否则每次违规将面临高达1万新西兰元的重罚。

OPC已经制作了分步指南，帮助组织和企业了解和应对与跨境转移新西兰境内收集的个人数据相关的新义务。使用离岸云提供商或其他第三方来存储或处理数据，只要第三方不将该信息用于自己的目的，就不会被视为披露。

加州

2018年6月28日，加州立法机构通过了《2018年加州消费者隐私法案》（CCPA），该法案让消费者对企业收集的个人信息有了更多的控制权，并在2020年1月1日生效。

11月3日，加州人投票通过了《加州隐私权利法案》（CPRA），该法案对CCPA进行了修订，除了为更多的消费者权利和新的消费者个人信息类别让路外，还设立了一个新的隐私执行机构。新法将于2023年1月1日生效，过渡期间仍保留CCPA授予的个人权利和对企业的授权和要求。

未来

虽然美国联邦层面的隐私立法仍未出炉，但数据隐私显然已成为两党的迫切问题。大科技公司--尤其是Facebook和谷歌--在美国国内陷入了多起争议和艰难的诉讼，这种情况很可能在新一届政府下继续存在。而欧洲希望在今年解决施莱姆斯二号决定带来的挑战，2020年对数据隐私方面来说是一个有趣而令人鼓舞的时刻。