5. 欧洲数据保护监督管理机构——EDPS
数据保护指令第29条规定(Article 29 Data
Protection Working Party):建立一个 “在个人
数据处理中保护个人的工作组”,一般称之为
“第29条工作组(A29WP)”或者“数据保护工
作组”。
① 监督欧盟行政机构对个人数据资料的处理;
② 对涉及隐私权的政策和立法提出意见建议;
③ 通过与职能相似机构的合作来保证数据保护
的持续性。
执法案例:’right to be forgotten’——欧盟数据保护工
作组2009/2014年分别致信约谈谷歌、微软和雅虎三
大搜索巨头,认为搜索引擎服务商保存用户搜索记
录时间超过6个月的理由并不成立,因此要求这三大
搜索引擎商必须缩短用户搜索信息的保留时间。
主要成员国数据保护执法机构European DPAs
7. 世界各地的隐私与数据保护主要法规和框架
Canada
• PIPEDA 1983
• Senate Bill S-4 2015;
• Provincial Privacy Laws
• Digital Privacy Act
• Office of the Privacy
Commissioner
USA
• FCRA, ECPA, HIPPA, GLB, CAN-
SPAM, S.1490, S.139, DO-NOT-
Call and Safe Harbor Principles
USA Califonia
• Privacy Protection Act 2003
Notice (Civil Code 1798 Form)
United Arab Emirates
• Data Protection Law No. 1 of
2007 based largely 95/48/EC
• DIFC LAW NO.1 of 2007
Chile
• Data Protection Law No. 1
9628(1999)/ 19812 (2002) Argentina
• Personal Data Protection
Law No. 25.326
South Africa
• Electronic
Communications and
Transactions Act
India
• 2011 (“Privacy Rules”) new
Privacy (Protection) Bill, 2013
Russia
• Federal Law of July 27 2008 on
Personal Data
South Korea
• Protection of Personal Data
Act(‘PIPA’) 2011/2014
Japan
• PIPA: Personal Information
Protection Act
Taiwan
• Computer-processed personal
data Protection Law
Hong Kong
• Protection of Personal Data
Act(‘PIPA’) 2011/2014
Singapore
• Personal Data Protection Act
2012 (“PDPA”)
Australia
• Amended privacy Act
• Spam Act 2012
EU, EEA
• GDPR替换Directive 95/46/EC;
• Directive 2009/126/EC替换Directive
2002/58/EC on Privacy and
Electronic Communications Data
Protection Laws Switzerland
Swiss Federal Data Protection
Act (SDPA)和Data Protection
Ordinance (DPO)
Germany
“Bundesdatenschut
zgesetz” or “BDSG”
France
• Data Process Act
(”DPA”) 2004
UK
• 2011 UK amended the
Privacy and Electronic
Communications
Regulations (EC Directive)
8. 还需尊重并重视国际组织的主要原则和框架
Privacy Framwork(2004/ Updated 2016)
APEC成员经济体制定的跨境隐私规则体系:Preventing Harm, Notice, Collection
Limitation, uses of Personal Information, Choice, Integrity of Personal, information, Security
Safeguards, Access and Correction, Accountability
Guidelines for the regulation of
computerized personal data files
(E/CN.4/1990/72. )
Universal Declaration of Human Rights
经济合作开发组织OECD: (1980)《关于保护隐私和个人数据国际流通的指南》
(Guidelines on the Protection of Privacy and Transporter Flows of Personal Data)
The Madrid Privacy Declaration
(3 November 2009)
马德里国际隐私权标准协议
《非政府组织关于建立全球隐
私权标准的宣言》
欧盟-美国 EU/Swiss-U.S. Privacy Shield框架协定
international association of
privacy professionals
11. Personal data 与可定义自然人相关的任何信息,如ID; 数据当事人构成特定风险(如生物特征数据、基因数据、司
法数据、财务资料、未成年人资料以及个人档案)
Pseudonymised Data 假名数据,可辨认为自然人的假名下的隐私数据(Article 4,3b)
Anonymous Data 匿名数据,无所有人的数据
Data subject 自然人拥有的个人隐私数据。
Data Controller 数据控制者是指自然人或者法人、公共机构、代理机构或者其他主体单独或者联合处理个人数据的
人;Controller有义务保障数据处理的合法性和保密性。
Data Processor 数据处理者,代表Controller处理使用数据。
主场所
Main establishment
数据处理应当在“场所的活动脉络下”进行,并考虑处理数据实体可能在不同成员国设有场所,法
律适用的主要标准并不以负责处理实体的场所而定,改以设有场所的地点作为标准。
Context 脉络 ‘活动脉络’(Context of Activities)。关系方的实际角色、实际行为及互动作为决定因素。
Regulations,
Directives,
Decisions
规章可即生成国内法之一部分。在成员国直接适用,并优于成员国国内法执行,具备直接约束力。
指令具有合法约束力,但需各成员国制定国内法来执行指令规定目标,成员国可选择具体的形式
和程序。规章和指令无需成员国批准,直接生效。
决定由Council和EC公布,决定内所指的对象,受其全文约束。(转基因、食品、移民决定)
定义
17. ……GDPR提案 (二)
强化数据主体权利:
‘Right to access/ object/ Rectification/ erasure/ Right to data portability’ 数据清除等和可携权
强化‘被遗忘权’Right to be forgotten,即如果欧盟民众希望不再让个人信息出现在网上搜索
结果中且无法律依据必须保留这些信息,服务商就必须删除数据。
明确数据主体‘同意’的条件和程序:变化主要在于要求同意必需明确,不能是推断的同意
追踪(tracking)与特征分析(profiling):保障数据主体有不被采取特征分析措施(如个人倾向、工
作表现、财务状况、位址、健康、个人喜好、可信度)而至产生法律效果或显著影响该个人
的权利
强化数据Controller和Processor权利:
‘Privacy by design and privacy by default/DPIAs’ 系统需默认隐私保护,并在系统设计时考虑隐
私安全一揽子措施,识别并评估潜在风险,实现预防性保护。
‘Data breach notification’,数据侵权发生24小时内,数据C&Ps需通知侵权情况给数据保护机
构;并对产生的不利影响通知数据主体。
问责Accountability,数据C&Ps有责任为数据保护设定DPO(规模>250人或数据主体超过5000
个时强制),维护相关记录,执行一揽子安全措施
18. 国际范围数据转移
欧盟数据保护指令规定,个人数据不得流通至欧盟外国家,但该国“数据保护完备”或具备
其他条件的除外。
‘Adequacy Level of [Privacy] Protection’认定:主要依据第三国国内法和相关国际组织缔结协议。
‘white list’ countries安全认证白名单国家(依据GDPR Article 41): 到2014年7月底,白名单国家有安道尔共和
国、阿根廷、澳大利亚(航空范围)、加拿大、Faroe Islands、Guernsey、Jersey、the Isle of Man, the Fareo
Islands de Faeröereilanden, 以色列、新西兰、瑞士和乌拉圭。
Model Contracts是欧盟确保企业隐私政策符合欧盟标准,而采用的共同约束规则:即跨国公司采用BCRs,
禁止向不具备适当个人数据保护水平的国家传输数据。(BCR原则原只被17国承认,GDPR普遍实施)
案例:HP已经建立一套有约束力的企业规则,这些规则已被EEA和瑞士大部分数据保护监管机构认可,并于2011年6月
生效。 BCR可确保HP在全球范围内的任何一家实体在处理数据时对欧洲经济区内每一位公民的个人信息给予充分保护。
充分保护的例外情况:数据主体明确同意数据转移;该项数据转移是为履行数据主体与数据控制者之间
合同所必需;为保护重要公共利益所需,或为支持、行使、抗辩某法律要求所需;为保护数据主体的重
要利益所需……但上述转移不可成为日常转移。
GDPR将第三国提供充分保护与数据controller采取适当保护措施并列为国际范围数据流通条件
20. 欧盟监督金融业之数据保护指导准则
关于在欧盟监督金融业之数据保护准则(Guidelines on Data Protection for Financial
Services Regulation),该准则为金融市场监督机制的一部分,在金融业对个人数
据的处理上,特别是通过监控、记录保留、汇报、以及资讯交换存有侵犯个人
数据和隐私权风险的措施予以规范。
该准则包含10项步骤与建议,旨在协助欧盟后续金融监督政策的制定,其
中一些重要的建议如下:
① 应评估资讯之处理是否可能妨碍隐私权。
② 应为数据处理建立法律基础
③ 评估适当的数据保留期限,并给予正当依据。
④ 建立个人数据传送至欧盟外的正当法律依据。
⑤ 提供个人数据保护权利的适当保障。
⑥ 衡量适当的数据安全保护措施
⑦ 应为数据处理的监督提供特定程序。
欧洲中资金融行业Summit
Updated in Nov 2016
According to the original paper
*EU legislation三种基本的法律制定形式:Regulations,Directives and Decisions
Regulations — are addressed to all members states and are applied in full. They are directly applicable without the need for national legislation. Regulations可即生成成员国国内法之一部分。在成员国直接适用,并优于成员国国内法执行,具备直接约束力。
Directives- are addressed to all member states and require an objective to be achieved by a given date. National authorities must draw up legislation in order to conform with the directive within a certain time frame. In the UK, Directives are usually implemented by Statutory Instruments and occasionally by Acts. 指令具有合法约束力,但需要各成员国制定国内法来执行指令的规定,成员国可选择具体的形式和程序。
Decisions 决定– are issued by the Council or Commission; these are not of general application. They may be addressed to particular member states, individuals or companies and they are binding on those to whom they are addressed.
**NRA National Regulatory Authorities, 设有26个对内事务总司 directorates-general
由GDPS发布的Guidelines on data protection in EU financial services regulation :
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Thematic%20Guidelines/14-11-25_Financial_Guidelines_EN.pdf
Swiss-U.S. Privacy Shield Framework
European Court of Justice
美國同意在美國國務院設立一個巡視官崗位,来调查来自歐盟机構关于美國情報机構权力滥用的相關投诉。当接到投诉以後,巡視官将可能要麼作出以下回應:情報机構已經遵从了法律承諾;要麼将表示「此種違規已經得以糾正」。巡視官並不会透露某个人是否实際上被監視或者相應的具體細節。歐盟成員國在向美國情報机構傳輸他們自己的个人资料时,可以就资料的使用和繼續傳輸添加條件。
一是对美国企业规定了更严的数据隐私保护义务。美国企业一旦提交参加隐私盾的自我确认书,就应当完全遵守隐私盾的所有隐私保护原则。
二是赋予欧洲公民数据可携权、被遗忘权等新的数据权利。《一般数据保护指令》(GDPR)已经赋予欧洲公民数据可携权、被遗忘权等新的数据权利,并以隐私保护原则形式自动适用于“欧盟-美国隐私盾协定”(EU-US Privacy Shield),成为美国企业必须遵守的隐私保护原则之一。
三是为欧盟公民提供了数据隐私跨境保护的多种救济渠道。欧盟公民有权向美国企业直接提出请求和投诉,美国企业必须向欧洲公民提供免费的替代性纠纷解决机制(ADR);欧洲公民有权向其本国数据保护机构进行直接投诉,本国数据保护机构将投诉移送美国商务部或美国联邦贸易委员会(FTC),美国商务部或美国联邦贸易委员会(FTC)必须在规定时限内结案并将结案报告投诉人和投诉人本国数据保护机构;投诉人对前述解决机制的处理结果不服,有权向由双方遴选的数据隐私专家组成的“隐私盾裁判小组”(Privacy Shield Panel)提出申诉,由“隐私盾裁判小组”(Privacy Shield Panel)按照双方认可的仲裁程序作出终审裁决