2020年全球数据治理十大事件.docxVIP

202x年全球数据治理十大事件 202x年不但深刻地改变了每个人的生活，而且重塑了世界格局。如果说202x年是全球数据治理元年的话，那么202x年就是全球数据治理的变革之年。在立法领域,中国相继出台了《数据安全法》以及《个人信息保护法》草案；美国加州通过了《加州隐私权法案》、加拿大发布了《202x数据宪章实施法》草案；在监管执法层面，欧盟在SchremsII案件判决后，发布了针对国际数据传输的建议草案及《欧盟标准合同条款》草案；英国信息专员办公室对万豪集团和英国航空的数据泄漏事件最终分别处以1840万英镑和2000万的罚款。 展望2022年，在立法和执法领域可能发生的重大进展也十分值得期待：中国、加拿大以及其他国家的相关数据隐私立法草案可能将在完善后最终出台，欧盟有关数据跨境传输的相关规定可能将迎来进一步更新。在此除旧迎新的关口，我们根据公众号投票结果，梳理出如下十大事件。 一、中国大事件 大事件1:《个人信息保护法（草案）》 202x年10月21日，全国人大常委会发布了《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法》）。作为中国首部全面系统地就个人信息保护领域所制定的法律，《个人信息保护法》旨在保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动，以及促进个人信息合理利用。以下为《个人信息保护法》中值得重点关注的几项内容： (1)关键定义 在《个人信息保护法》中个人信息被定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。这与《网络安全法》和欧盟《通用数据保护条例》(“GDPR”)下对个人信息的定义基本一致。而GDPR中类似个人敏感信息的概念定义更关注数据的类别而非信息泄露的危害程度。《个人信息保护法》中提到的个人信息处理者的概念与GDPR中的数据控制者有相似之处。 (2)域外效力 《个人信息保护法》不仅适用于在中国境内处理个人信息活动的组织，其同样适用于在境外处理个人信息的活动并为该法律的域外效力进行了适用情景的限制。《个人信息保护法》的域外效力与GDPR同样高度相似，这确保了中国政府可以对在中国境外针对中国市场的活动进行执法。此外，《个人信息保护法》对于境外信息处理者在中国设立专门机构或指定代表处理个人信息保护相关事务的要求也与GDPR的要求类似。 （3）个人信息跨境传输 《个人信息保护法》要求个人信息处理者在跨境传输个人信息时必须得到信息主体的单独同意，同时告知境外接收方的身份、联系方式等事项。另外，第五十四条规定个人信息处理者在个人信息跨境传输前应进行风险评估并至少保存评估报告3年。此外，《个人信息保护法》规定个人信息处理者应选择以下机制进行个人信息跨境传输：1）安全评估（适用于关键信息基础设施运营者以及处理个人信息达到国家网信部门规定数量的处理者）；2）个人信息保护认证；3）与境外接收方签订合同；4）法律规定的其它条件。 （4）个人信息处理的法律基础 不同于《网络安全法》仅将同意作为唯一的收集和使用个人信息的法律基础，《个人信息保护法》提供了更多的法律基础。而对于个人敏感信息，《个人信息保护法》要求处理个人敏感信息需要明确目的以及必要。若处理14岁以下未成年人信息则需要监护人的同意。 大事件2：《民法典》 《中华人民共和国民法典）（以下简称《民法典》）于2022年1月1日生效。《民法典》系统整合了中国长期实践形成的民事法律规范，全面规定了自然人和法人在民事中所享有的权益，为国家治理体系以及社会秩序提供支撑和保障。其中人格权编第六章专门规定了涉及隐私权和个人信息保护的相关内容。 《民法典》中明确定义隐私、个人信息以及个人信息的处理等重要概念，同时也规定了个人信息处理的原则和条件，自然人的权益，以及个人信息处理者使用和保护个人信息的义务。 《民法典》提到个人信息中的私密信息适用有关隐私权的规定，其它则适用有关个人信息保护的规定。隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。而个人信息则是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 《民法典》规定，处理个人信息应当遵循合法、正当、必要原则，并且应征得自然人的同意。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。此外，《民法典》明确指出个人信息处理者应当公开信息处理的规则，并明示处理信息的目的、方式和范围。个人信息处理者不得泄露、篡改、或未经自然人同意向他人提供其收集、存储的个人信息。并且，个人信息处理者应采取必要措施确保个人信息的安全。最后，国家机关、政府职能部门对在履行职责中知悉的自然人隐私和个人