国际隐私专家协会IAPP发布《2020年全球立法预测白皮书》

2020年2月，国际隐私专家协会IAPP发布了《2020年全球立法预测白皮书》。报告预计，各国今年监管和执法力度将有所加强，因此，他们在这方面的人员也将相应增加。面部识别在许多国家都是一个热门话题，一些国家呼吁禁止，而另一些国家则支持这项技术。该报告是IAPP各地专家成员的观点集合，对一些国家2020年的数据保护相关立法趋势进行了预测。

阿根廷

2018年9月19日，行政部门向国会提交了个人数据保护法案（PDPB），以改革当前的个人数据保护法案。如果提交的PDPB获得批准，阿根廷的法规将遵循欧盟的数据保护规定GDPR。当数据控制者和数据处理者是公共当局和组织，并且敏感数据的处理由数据控制者或数据处理者执行为主要活动时，PDPB规定数据控制者和数据处理者有义务指定一名数据保护人员。关于安全事故，与现行的数据保护条例相比，PDPB规定了通知的义务。PDPB引入了与数据收集和处理相关的新原理，例如责任制和数据最小化，该法具有域外适用性，预计PDPB将在2020年获得批准。

比利时

比利时数据保护机构DPA未来五年的战略草案将电信、媒体、直接营销和公共部门列为优先领域。其他重点包括数据保护官的角色、数据当事人的权利、网上数据保护及使用照片。在执法方面，比利时DPA加快了步伐，目前的制裁仍然相对宽松，从谴责到最高罚款15000欧元不等。随着比利时DPA逐渐掌握其新权力，有可能在2020年看到更多执法。

巴西

巴西于2018年通过了《通用数据保护法》，将于2020年8月生效。在法律生效之前还有很多问题有待解决。需要创建国家数据保护机构，该机构要制定指导方针以在法律生效之前为合规工作提供支持。目前正在尝试改变法律的某些方面，涉及如何施加处罚或审查自动决策的权利要素。

加拿大

2020年可能不会出现任何重大的立法变化。在修订联邦个人信息保护和电子文件法案（PIPEDA）方面，政府明确表示有意做出一些改变，使PIPEDA更符合欧盟通用数据保护法规（GDPR），包括数据可携带权、删除权、数据安全要求和加拿大隐私专员更强的执法权力。政府可能会在2020年进行正式的咨询，以寻求对立法修订方案的反馈。

智利

可能有机会在隐私和网络安全方面取得进展。《数据保护法案》不太可能在2020年最后定稿。进一步规范银行和金融服务业事件报告和信息安全标准要求的行业规范应在2020年向前发展，因为它们是由监管机构发布的，不需要国会批准。在2019年10月，政府将制定一项法案，为与网络安全相关的关键基础设施建立通用规则和义务。但是，这已被推迟，并且不太可能在2020年进行讨论。

哥伦比亚

在国际一级，哥伦比亚工商管理局已成为建立数据保护和隐私标准融合的关键参与者。哥伦比亚准备与欧盟建立新的伙伴关系。哥伦比亚与欧盟之间的这种伙伴关系将成为促进数据自由流动的有力工具，同时确保将数据转移到哥伦比亚时对欧盟个人数据的保护水平。

塞浦路斯

在塞浦路斯于2019年7月申请加入申根区之后，欧盟官员已经评估了塞浦路斯的基础设施，并开始评估塞浦路斯个人数据保护专员办公室以确定它是否可以对公共当局为完全正确实施《申根协定》而采取的制度和程序进行适当的监督。《保护私人通信保密性的修正案》可能颁布实施，使总检察长可以请求法院下达命令，允许在一定条件下监视私人通信，但前提是出于塞浦路斯的利益需要进行监视安全或用于预防，侦查或起诉特定的刑事犯罪。2017年《公共部门信息公开法》规定了公众信息公开的权利由公共当局拥有，经过修订，将于12月生效。

捷克共和国

在捷克共和国实施欧盟GDPR和执法指令的法律行为自2019年4月起生效。因此，我们预计该水平不会发生任何重大变化。我们还可以期待一些行业法律的重大立法变化，包括银行身份认证、电子健康和个人数据货币化。现有法律的相关修正案正在议会审议，预计将于2021年生效。对电子健康的法律监管是分散的，这一情况应该通过一项新的法律得到改善，该法律目前正在议会审议，它将定义电子通信的标准，为不同医疗服务提供者之间共享患者数据制定规则，并允许患者在线访问他们的个人文档。另一个重要的立法提案是《民法》修正案草案，该草案将两项关于客户保护的欧盟指令相结合。政府提出了明确的可能性，让终端用户使用他们的个人数据来支付数字内容。个人数据保护办公室强烈批评该提案，该提案尚未提交议会。

丹麦

自2018年5月起实施《丹麦数据保护法》后，2020年的法律关注重点是拟议的刑事立法对隐私的影响。值得关注的一项重要立法是所谓的“安全一揽子计划”，该计划于去年在议会中提出，但由于6月议会大选而被取消。该法案功能是加强公共场所的视频监控，以预防和解决犯罪。在监管方面，仍在等待法庭对罚款的首次裁决。数据保护机构无法自行开出罚单，但他们已向警方提交了两起诉讼，要求对未删除客户数据而违反欧盟一般数据保护条例的行为提起刑事诉讼。

法国

2020年应该标志着数据隐私的另一个重要阶段。在2019年期间，法国监管当局开展了重要工作，特别是制裁与视频监控和面部识别相关的违规行为。它已经制定了一项行动计划，以确保在2020年市政选举政治拉票时保护选民的个人数据。由于2020年预算草案为税务和海关管理部门提供了收集和使用用户在社交网络和电子网络平台上公开的个人数据的可能性，因此其工作将受到更加严格的审查。

德国

2019年11月，《欧盟数据保护适应与实施第二法案》生效，有望在2020年产生全面影响。除了调整超过153个领域的具体法律与欧盟数据保护标准，新的联邦数据保护法案已经被修订，包括但不限于以下几点：需要任命数据保护官的常见情况的门槛已从10人提高到20人；在重大的公共利益的基础上处理特殊类别的个人数据的新的克减规定将取代在这种情况下的同意要求；电子表格在雇佣关系中对于同意有效，并且不再需要书面同意。《数字医疗法案》预计将于2020年生效，旨在促进在处方、在线视频咨询和获取安全医疗数据网络的应用，以便在各地进行治疗。自2019年3月以来一直在讨论的《IT安全法2.0》是否会在2020年获得采用尚不确定。根据该法律在考虑关键基础架构时将包括更多的行业部门。

希腊

今年，希腊数据保护局HDPA的调查人员数量将增加一倍。在高度专业化的人员的推动下，预计该机构将比2019年更频繁地增加其裁决的数量和质量。在2020年初，HDPA将对最新的希腊法律第4624/2019发表其意见。其中补充了GDPR的规定。该意见指出第4624/2019号法律与GDPR开放条款之间的法律差异，有望在2020年对该法律进行修正。

印度

2020年需要关注的一个关键问题将是印度新的个人数据保护法（PDPB）。该法律草案具有争议性的规定，例如数据本地化要求，政府和数据保护机构在决定关键事项上的广泛酌处权以及对国家安全和刑事执法利益的广泛豁免。2020年有望成为印度制定隐私立法的一年，也是围绕居民基本隐私权与国家经济和安全利益之间平衡进行广泛辩论的一年。由于反对党的抗议，PDPB未能提交给印度议会，被送往两院联合专责委员会进行进一步审查。预计该委员会将在2020年议会预算会议结束前提交报告，届时该法案有望获得通过。此外，2019年《DNA技术（使用和应用）法规条例草案》旨在控制DNA技术用于建立人的身份，预计将在2020年获得通过。印度还在发展全国性的面部识别技术系统，可能是世界上最大的面部识别系统，可能需要单独的立法。

爱尔兰

爱尔兰数据保护机构DPC正在等待欧盟法院在C311/18CJEU案件（“Schrems II案”）关于标准合同条款作出的裁决。DPC向欧盟法院CJEU针对SCCs的有效性提出了许多问题，SCCs是一种用于将数据转移到欧洲经济区以外的机制。欧盟法院将于2020年发表意见。根据欧盟GDPR，DPC还可能在2020年初发布首批行政制裁或罚款。

以色列

预计不会在2020年颁布类似于GDPR的以色列隐私法。但是，增强保护隐私权管理局执法权和修订隐私保护法的工作仍在进行中。新的《信用数据法》已经生效，可能会对以色列市场以及与他们的财务信息有关的消费者隐私产生重大影响。卫生部出台了有关卫生相关数据用于研究目的的二次使用的法规草案，引发了有关患者隐私、匿名技术和信息安全的公开辩论。网络保护法案的立法程序正在进行中。该法案最有可能在2020年颁布，并授权国家网络安全局访问私有公司信息系统上的数据，包括个人信息。欧盟和以色列之间关于继续进行充分性认可的讨论仍在进行中，没有公布结束日期。目前，欧盟继续维持2011年的充分性认可决定。与隐私相关的集体诉讼仍然是在以色列开展业务的公司的主要风险。

意大利

就意大利法律框架而言，重要的是在处理与刑事定罪和犯罪有关的个人数据(司法数据)方面仍然是不完整和不确定的。利益相关者期盼期待已久的部长法令，该法令应提供类似数据的授权处理活动清单。2020年是意大利个人数据保护领域大规模执法的一年。

日本

2019年1月，欧盟和日本通过了一项决定，承认彼此的数据保护制度是“适当的”水平，从而使这些管辖区之间的数据传输减少了文书工作。日本个人信息保护委员会对《日本个人信息保护法》提出了重大修改，旨在进一步加强日本的数据主体权利。拟议的修正案将包括有关向第三方提供浏览数据的规定，加强数据访问和删除方面的数据主体权利，引入数据泄露的强制通知，以及对违法行为实施更严厉的制裁。这些提案将在2020年日本国会常会期间被起草成法律，列入议程。修订后的法律有可能在2021年生效。

立陶宛

立陶宛数据保护机构DPA可能会更加关注金融、保险和医疗保健行业。将确保与金融监管机构的有效合作，尤其是鉴于数据保护与财务合规性要求之间的紧张关系。根据DPA最近发布的2020年至2022年行动计划草案，管理局预计将增加其有限的人力资源，以更有效地行使其权力。

荷兰

荷兰数据保护局在2019年做出的决定，可能会为荷兰的立法发展确立趋势。关键领域是个人数据的充分安全。多因素身份验证可能会成为规范。荷兰《集体诉讼解决集体索赔法》于1月1日生效。根据该法律，个人现在可以作为集体诉讼的一部分要求赔偿损失。《荷兰GDPR实施法案》与《GDPR实施法案》同时生效。可能会有修正案，特别是涉及到特别类别的个人数据时。例如，在会计人员执行审计任务的过程中，可能会允许处理敏感的个人数据。这同样适用于生物特征数据的处理，以确定人员对某些地方、建筑物和信息系统的合法访问。

新西兰

《隐私法案》于2018年3月首次提出，旨在对新西兰的《隐私法案》进行大幅修订，使之更好地与国际变化接轨。该法案进行了二读，明确了其治外法权范围，并设立了严重损害阈值，强制通知侵犯隐私。这项隐私法案很可能在2020年中期生效。

尼日利亚

2019年尼日利亚发布了《尼日利亚数据保护条例》。预计国家信息技术发展署NITDA将采取执法行动。尼日利亚中央银行正在制定一项数据保护条例草案，这是一个针对特定行业的框架。

波兰

在个人信息保护立法领域不会有太大进展。然而，预计2020年将会有一些法庭裁决，涉及违反GDPR第三章规定的权利或数据传输协议的数据违反制裁措施。我们也期待2020年在网络安全领域取得进一步进展，因为最近几个月已经发布了国家网络安全战略，预计2020年将有实施该战略的计划。

新加坡

2020年主要关注两大变化：首先，个人数据保护委员会PDPC正在考虑将数据可携带和数据创新条款引入2012年《个人数据保护法案》（PDPA）。该提案是通过公开征询意见以及PDPC对PDPA进行的持续审查得出的，希望协调欧盟GDPR和PDPA以实现数据传输。该条款还将促进业务创新，并保护那些首先开发和向市场推出创新产品的个人。根据这项建议，机构可以在没有用户同意的情况下，将个人数据用于相关的商业用途。第二，到目前为止，新加坡的公共部门一直不在PDPA的管辖范围之内。但是，个人数据保护系统出现两次重大数据泄露事件。新加坡政府已确认，将在2023年底之前在公共部门系统中实施新的安全措施保护个人数据。具体的建议将使第三方供应商首次受到PDPA法规的管制，对滥用个人数据的行为最高可处以100万新加坡元的罚款。

瑞典

在2020年春季，预计议会将创建一个新的政府网络安全机构。执法机构将更多地使用视频监视。2020年从1月1日开始，执法人员无需获得数据保护机构DPA的批准即可使用该技术。美国《云法案》在瑞典引发了激烈的辩论，讨论的问题是公共机构是否可以或应该将其IT运营外包或使用公共云服务，这可能导致必须向美国执法部门提供数据访问权限。一份详细描述和分析瑞典政府及其机构的IT运营和法律先决条件的报告预计将于2020年中期发布。

瑞士

国会两院已经通过了对数据保护法的修订，最终投票可能会被提上2020年春季会议的议程。今年5月，欧盟委员会将就是否维持瑞士的充分性做出裁决。瑞士数据保护法案的修订将支持瑞士继续保持充分性认定。即使瑞士和欧盟的GDPR大体接近，但在制裁机制方面仍存在巨大差距。数据保护官员的权力非常有限，而且罚款也很低。

土耳其

2019年，土耳其数据保护局向数据控制者提供了九项决议。这些决定迫使私营部门采取行动，但公共部门尚未达到理想的遵守水平。为满足欧盟签证自由化程序的要求，预计数据保护机构DPA今年将启动立法程序，以限制明确同意的例外情况。此外，预计将通过司法部正在制定的《人权行动计划》作出保护个人数据的安排。土耳其通过制定第7192号法律采用欧盟《第二笔支付服务指令》。该法授权央行决定在开放银行服务范围内共享个人数据的原则和程序，并将于2020年生效。DPA还将公布一份安全国家名单，作为向海外转移个人数据的规定。除了这项规定外，DPA还会发布更多的指导方针来帮助企业，为公民提供更好的保护。

英国

英国于2020年1月31日退出欧盟。英国将不再参与欧盟的机构包括欧洲议会和理事会。同样，英国信息专员办公室将不再拥有欧洲数据保护委员会的永久席位。但是，在英国脱欧过渡期间，信息专员办公室可以以观察员身份参加欧洲数据保护委员会。过渡期结束之后，英国的GDPR将会取代欧盟的GDPR。双方未来可能就此会达成相关协议。

美国

2019年底，参议院提出了两项独立的综合性联邦隐私法。最近，随着民权办公室（OCR）的强制执法热潮，医疗保健隐私已成为新闻焦点。OCR通过规则制定过程探索了有意义的《健康保险可携带和责任法案》（HIPAA）变更。科技公司和其他公司正在进入传统的医疗保健行业。在HIPAA规则范围之外创建和分析医疗数据的解决方案中，对于HIPAA规则如何应用以及适用于谁仍然存在很多困惑。关于医疗保健的联邦隐私辩论的关键问题是在新的联邦法律下，医疗保健行业将如何被对待。许多法案规定了那些目前由HIPAA监管的实体。其他法案只是在现有法律(如HIPAA)的基础上，全面建立新的义务。与此同时，广义的医疗保健行业正在努力应对当今监管结构的影响，因为医疗保健行业的不同领域有不同的规则。例如，在加州，现在有三种类型的医疗保健公司(如果包括雇主，就是四种)。有HIPAA监管的实体，有受加州医疗信息保密法监管的公司，还有现在受加州消费者隐私法监管的公司。这个行业应该考虑分散的制度是否对消费者和整个行业而言都是保护隐私和经营医疗保健行业的良好手段。HIPAA在适用的地方运行得很好，但挑战是使它适应一个不断发展的结构，而不是仅仅依赖于健康保健提供者和健康计划。

津巴布韦

在2019年，政府以《个人信息保护法》和两项分别监管信息获取和媒体行业监管的法律取代原来的法律。关于何时起草《个人信息保护法》没有时间表。《信息自由法案》目前正在议会审议。

来源：https://iapp.org/media/pdf/resource_center/global_legislative_predictions_2020.pdf

作者简介：石月，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。