白鯨出海：2020互聯網出海趨勢及法律政策報告1.0—第二部分(10頁).pdf

《白鯨出海：2020互聯網出海趨勢及法律政策報告1.0—第二部分(10頁).pdf》由會員分享，可在線閱讀，更多相關《白鯨出海：2020互聯網出海趨勢及法律政策報告1.0—第二部分(10頁).pdf（133頁珍藏版）》請在三個皮匠報告上搜索。

1、 聲明：版權所有，未經書面授權，禁止商業性使用，禁止演繹。 第二部分2020 互聯網出海全球數據合規法律觀察報告 1.0 第 1 頁 共 131 2020互聯網出?；ヂ摼W出海 全球數據合規法律觀察報告全球數據合規法律觀察報告 1.0版本版本 浙江墾丁律師事務所海外業務部浙江墾丁律師事務所海外業務部 王捷王捷 魏彤魏彤 202006 第二部分2020 互聯網出海全球數據合規法律觀察報告 1.0 第 2 頁 共 131 引言引言 近年來數據隱私保護受到了公眾和各國政府越來越多的重視。2018 年，歐盟通用數據保護 條例（General Data Protection Regulation，GDPR

2、）正式生效，由此掀起了全球范圍內關于個 人數據保護立法、執法、合規的數據保護浪潮；美國互聯網產業發達，數據保護意識亦是走在前 列，加州消費者隱私法案（California Consumer Privacy Act，CCPA）被視為可能超越 GDPR 的美 國最嚴數據保護法；澳大利亞數據保護體系也日趨完善嚴密，綜合數據保護法和行業領域數據保 護法一應俱全。與此同時也有一些國家的數據保護進程尚處于初期階段，南非的個人數據保護法 POPIA 于 2013 年通過，但至今僅僅部分條文生效；沙特阿拉伯尚未有數據保護的獨立體系，宗教 法仍對各方面產生較大影響。 在數據隱私保護熱潮的背景下，墾丁律師事務所海

3、外業務團隊對全球范圍內的個人數據保護 法律體系進行調研，完成本報告。本全球數據合規法律觀察報告立足全球，全方位歸納整理各洲、 各國立法、執法、處罰等形勢現狀，以大洲地區為劃分基礎，收錄了近年來主要國家具有代表 性的案例，并進行概述與解讀，對出海企業提出合規啟示。報告整體與細節并重，致力于了解全 球各地區數據立法進程與發展概況，掌握全球趨勢，有利于幫助出海企業簡明了解全球數據保護 基礎情況 ，獲取最新資訊，促進經驗交流，進而幫助中國企業順利出海。 編者按 2020 年 6 月 26 日 第二部分2020 互聯網出海全球數據合規法律觀察報告 1.0 第 1 頁 共 131 頁 目錄 全球數據保護立

4、法全球數據保護立法概覽概覽 . 1 全球數據保護執法概覽全球數據保護執法概覽 . 1 國家立法執法概覽. 2 美洲. 2 巴西. 4 1. 數據立法：. 4 2. 監管機構. 5 3. 執法現狀. 6 4. 執法關注重點. 7 美國. 8 1. 數據立法：. 8 2. 監管體系. 9 3. 科技巨頭隱私策略和對監管的態度. 11 4. 案件分布. 13 5. 違反處罰. 14 6. 執法關注重點. 14 歐洲. 16 一、GDPR . 17 1. 和之前的其他數據法區別. 17 2. 權利救濟與違反處罰. 22 二 具體國家情況. 31 英國. 31 法國. 36 意大利. 40 非洲. 45

5、 南非. 46 1. 數據立法. 46 2. POPIA 的特殊條款 . 47 3. POPIA 七項原則 . 47 4. 監管機構. 48 5. 違反處罰. 48 中東. 49 沙特阿拉伯. 50 1. 立法現狀. 50 2. 監管機構. 51 3. 違反處罰. 52 亞洲太平洋. 53 日本. 55 1. 立法現狀. 55 2. 監管機構. 56 3. 執法數據. 56 澳大利亞. 58 1. 立法現狀. 58 第二部分2020 互聯網出海全球數據合規法律觀察報告 1.0 第 2 頁 共 131 頁 2. 執法機構. 59 3. 執法概況. 60 4. 近年執法關注熱點. 61 全球各主要

6、地區數據合規案件. 63 亞洲太平洋地區. 63 . 63 香港. 63 案件一：電訊公司承認違反直接促銷規定. 63 案件二：國泰航空與港龍航空未獲授權瀏覽或查閱乘客個人資料. 65 . 67 日本. 67 案例：Benesse 公司客戶個人數據泄漏案件 . 67 印度. 69 案例：因違反網絡安全框架，印度央行對印度聯合銀行進行處罰. 69 新加坡. 70 案件一：Globalsign 未經授權向 MSIG 發送垃圾郵件 . 70 案例二：新加坡導游協會受處罰案. 71 案例一：韓國藥品信息中心提供個人敏感信息違反韓國數據法案被處罰案. 73 . 74 菲律賓. 74 案件：在線貸款公司違

7、反隱私保護法案被處罰案件（進行中）. 74 臺灣. 75 . 76 案例：某澳門美容公司電話銷售違規處罰案件. 76 澳洲. 77 印尼. 79 馬來西亞. 79 泰國. 79 越南. 79 巴基斯坦. 79 老撾. 79 柬埔寨. 79 孟加拉. 79 朝鮮. 80 . 81 美國地區. 81 消費者隱私保護與兒童隱私保護典型案件. 81 . Error! Bookmark not defined. 案例一：Facebook 違反消費者隱私保護被 FTC 處罰案 . 81 案例二：Retina-X 跟蹤應用程序被 FTC 處罰案 . 83 案例三：United States of Ameri

8、ca (For the Federal Trade Commission), Plaintiff, v. Musical.ly（視頻社交網絡平臺 Musical.ly 案） . 85 案例四：美國 YouTube 因侵犯兒童隱私被 FTC 處以高額罰款案 . 87 第二部分2020 互聯網出海全球數據合規法律觀察報告 1.0 第 3 頁 共 131 頁 數據安全與數據泄漏方面典型案件. 89 案例五：美國征信機構 Equifax Inc 數據泄漏案件 . 89 案例六：InfoTrax 反復遭遇黑客攻擊沒有采取合理安全保障措施被 FTC 指控 案. 91 案例七：美國 DealerBuilt

9、數據泄漏被 FTC 指控案件 . 92 歐洲地區. 94 2019 年十大處理金額最高的數據案件 . 94 案例一：英國航空公司數據泄漏案件. 95 案例二：萬豪國際（Marriott Intl. Inc.）數據泄漏案件 . 96 . 98 案例三：法國 CNIL 處罰 Google Inc. 定向廣告推送案 . 98 案例四：意大利 TIM SpA（電信公司）因缺乏充分的數據處理法律依據被 DPA 處罰案 . 100 案例五：奧地利郵政缺乏數據處理合法基礎被 DSB 處罰案件 . 102 案例六：德國房地產公司 Deutsch Wohnen SE 違反存儲限制原則被處罰案 件. 103 案例

10、七：德國 1 the obligations of the certification body pursuant to Articles 42 and 43; the obligations of the monitoring body pursuant to Article 41(4). 3 GDPR art 83 (5), (6) (5) Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 0

11、00 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9; the data subjects rights pursuant to Article

12、s 12 to 22; the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49; 公司經濟價值測算 違反嚴重性估算 對其他因素進行考慮 2020 互聯網出海趨勢及法律政策報告 1.0 2020互聯網出海趨勢及法律政策報告 1.0 25 并對該違規本身的嚴重程度進行評估。 此處需要考慮上文中提到的各項影響行政處罰的因素4, 來對違反作出輕微、中等、嚴重還是非常嚴重的評級。 結合以上兩點，可以得出該違

13、反事項的嚴重系數（一般為 1-12，個別極其嚴重的會顯示為12） 加之第一步中計算出的公司體量，此處就可以選用罰金適用條款進行計算出一個金額范圍。 第三步 在第二步計算出的金額范圍基礎上，如果想要進一步細化情境，則需要根據 GDPR art 83 (2)的其他因素來對是否 加重處罰或者減輕處罰進行評估 可能減輕罰款可能減輕罰款 可能加重罰款可能加重罰款 疏忽大意造成 故意實行 第一次罰款 再次被罰 事后實行有效措施來減輕損害 數據控制者事后沒有作為 和監管機構進行有效配合 不配合監管機構 o 罰款金額上限罰款金額上限 具體到罰金的數額，GDPR 也規定了罰款數額的上限 any obligati

14、ons pursuant to Member State law adopted under Chapter IX; non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1). (6) Non-com

15、pliance with an order by the supervisory authority as referred to in Article 58(2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding finan

16、cial year, whichever is higher. 4 GDPR art 83 (2) 2020 互聯網出海趨勢及法律政策報告 1.0 2020互聯網出海趨勢及法律政策報告 1.0 26 最高罰金最高罰金 GDPR 第 5、6、7、9、20-22、44-49、58 條中提到，如果企業違反了規定 GDPR 規定的以下事項，將處以最高兩千 萬歐元或其全球年營業額的 4%的罰金，取其高者。 數據保護原 則 個人權利 向第三方國 家傳輸信息 最高罰 金 兒童同意 Privacy by Design 遵循合同進行 信息處理 適當保護 標準最 高罰金 數據保護原則 個人權利 向第三方國家傳 輸

17、信息 2020 互聯網出海趨勢及法律政策報告 1.0 2020互聯網出海趨勢及法律政策報告 1.0 27 數據保護原則， 如透明性原則、公平原則、問責制原則、數據準確和最小化原則 個人權利， 如訪問權、修改權、限制使用權、可攜帶權和消除權 關于“向第三方國家傳輸信息”的規則 （此處第三方國家指歐洲經濟區之外沒有歐盟適當性認證的國家） 標準最高罰金標準最高罰金 除了上述的極限罰金，另外一些相對較“溫和”的違反會適用另一個罰金上限，也就是最高處以一千萬歐元或其 全年營業額的 2%的罰金。這個上限適用于對以下責任的違反： 從兒童處取得適當的同意 實行“數據保護從設計和常規開始”的措施 （對于不是在歐洲經濟區設立的企業）在歐盟設立一個指定代表處 遵循與數據控制者的合同對個人信息進行處理 兒童同意 指定代表處 適當保護合同 Data by Design 20