2020互联网出海趋势及法律政策报告1.0第二部分.pdf

声 明 ： 版 权 所 有 ， 未 经 书 面 授 权 ， 禁 止 商 业 性 使 用 ， 禁 止 演 绎 。 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 页 2020 互联网出海 全球数据合规法律观察报告 1.0版本 浙江垦丁律师事务所海外业务部 王捷 魏彤 2020 06 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 页 引言 近年来数据隐私保护受到了公众和各国政府越来越多的重视。2018 年，欧盟通用数据保护 条例（General Data Protection Regulation，GDPR）正式生效，由此掀起了全球范围内关于个 人数据保护立法、执法、合规的数据保护浪潮；美国互联网产业发达，数据保护意识亦是走在前 列，加州消费者隐私法案（California Consumer Privacy Act，CCPA）被视为可能超越 GDPR 的美 国最严数据保护法；澳大利亚数据保护体系也日趋完善严密，综合数据保护法和行业领域数据保 护法一应俱全。与此同时也有一些国家的数据保护进程尚处于初期阶段，南非的个人数据保护法 POPIA 于 2013 年通过，但至今仅仅部分条文生效；沙特阿拉伯尚未有数据保护的独立体系，宗教 法仍对各方面产生较大影响。 在数据隐私保护热潮的背景下，垦丁律师事务所海外业务团队对全球范围内的个人数据保护 法律体系进行调研，完成本报告。本全球数据合规法律观察报告立足全球，全方位归纳整理各洲、 各国立法、执法、处罚等形势现状，以大洲地区为划分基础，收录了近年来主要国家具有代表 性的案例，并进行概述与解读，对出海企业提出合规启示。报告整体与细节并重，致力于了解全 球各地区数据立法进程与发展概况，掌握全球趋势，有利于帮助出海企业简明了解全球数据保护 基础情况 ，获取最新资讯，促进经验交流，进而帮助中国企业顺利出海。 编者按 2020年6月26日 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 1 页 共 131 页 目录 全球数据保护立法概览 . . . . 1 全球数据保护执法概览 . . . . 1 国家立法执法概览. . . . 2 美洲. . . . . 2 巴西. . . . . 4 1. 数据立法：. . . . 4 2. 监管机构. . . . 5 3. 执法现状. . . . 6 4. 执法关注重点. . . . 7 美国. . . . . 8 1. 数据立法：. . . . 8 2. 监管体系. . . . 9 3. 科技巨头隐私策略和对监管的态度. . 11 4. 案件分布. . . . 13 5. 违反处罚. . . . 14 6. 执法关注重点. . . . 14 欧洲. . . . . 16 一、GDPR . . . . 17 1. 和之前的其他数据法区别. . . 17 2. 权利救济与违反处罚. . . 22 二 具体国家情况. . . . 31 英国. . . . 31 法国. . . . 36 意大利. . . . 40 非洲. . . . . 45 南非. . . . . 46 1. 数据立法. . . . 46 2. POPIA 的特殊条款 . . . 47 3. POPIA 七项原则 . . . 47 4. 监管机构. . . . 48 5. 违反处罚. . . . 48 中东. . . . . 49 沙特阿拉伯. . . . 50 1. 立法现状. . . . 50 2. 监管机构. . . . 51 3. 违反处罚. . . . 52 亚洲太平洋. . . . 53 日本. . . . . 55 1. 立法现状. . . . 55 2. 监管机构. . . . 56 3. 执法数据. . . . 56 澳大利亚. . . . 58 1. 立法现状. . . . 58 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 2 页 共 131 页 2. 执法机构. . . . 59 3. 执法概况. . . . 60 4. 近年执法关注热点. . . 61 全球各主要地区数据合规案件. . . 63 亚洲太平洋地区. . . . 63 . . . . . 63 香港. . . . . 63 案件一：电讯公司承认违反直接促销规定. . 63 案件二：国泰航空与港龙航空未获授权浏览或查阅乘客个人资料. 65 . . . . . 67 日本. . . . . 67 案例：Benesse 公司客户个人数据泄漏案件 . . 67 印度. . . . . 69 案例：因违反网络安全框架，印度央行对印度联合银行进行处罚. 69 新加坡. . . . 70 案件一：Globalsign 未经授权向 MSIG 发送垃圾邮件 . . 70 案例二：新加坡导游协会受处罚案. . . 71 案例一：韩国药品信息中心提供个人敏感信息违反韩国数据法案被处罚案. 73 . . . . . 74 菲律宾. . . . 74 案件：在线贷款公司违反隐私保护法案被处罚案件（进行中）. 74 台湾. . . . . 75 . . . . . 76 案例：某澳门美容公司电话销售违规处罚案件. . 76 澳洲. . . . . 77 印尼. . . . . 79 马来西亚. . . . 79 泰国. . . . . 79 越南. . . . . 79 巴基斯坦. . . . 79 老挝. . . . . 79 柬埔寨. . . . 79 孟加拉. . . . 79 朝鲜. . . . . 80 . . . . . 81 美国地区. . . . . 81 消费者隐私保护与儿童隐私保护典型案件. . 81 . . . Error! Bookmark not defined. 案例一：Facebook 违反消费者隐私保护被 FTC 处罚案 . . 81 案例二：Retina-X 跟踪应用程序被 FTC 处罚案 . . 83 案例三：United States of America (For the Federal Trade Commission), Plaintiff, v. Musical.ly（视频社交网络平台 Musical.ly 案） . 85 案例四：美国 YouTube 因侵犯儿童隐私被 FTC 处以高额罚款案 . 87 第二部分2020 互联网出海全球数据合规法律观察报告 1.0 第 3 页 共 131 页 数据安全与数据泄漏方面典型案件. . . 89 案例五：美国征信机构 Equifax Inc 数据泄漏案件 . . 89 案例六：InfoTrax 反复遭遇黑客攻击没有采取合理安全保障措施被 FTC 指控 案. . . . 91 案例七：美国 DealerBuilt 数据泄漏被 FTC 指控案件 . . 92 欧洲地区. . . . . 94 2019 年十大处理金额最高的数据案件 . . 94 案例一：英国航空公司数据泄漏案件. . . 95 案例二：万豪国际（Marriott Intl. Inc.）数据泄漏案件 . . 96 . . . . . 98 案例三：法国 CNIL 处罚 Google Inc. 定向广告推送案 . . 98 案例四：意大利 TIM SpA（电信公司）因缺乏充分的数据处理法律依据被 DPA 处罚案 . . . . 100 案例五：奥地利邮政缺乏数据处理合法基础被 DSB 处罚案件 . 102 案例六：德国房地产公司 Deutsch Wohnen SE 违反存储限制原则被处罚案 件. . . . 103 案例七：德国 1&1 Telecommunication SE（电信服务提供商）缺乏足够技 术保障措施被 DPA 处罚案件 . . . 105 . . . Error! Bookmark not defined. 案例九：瑞典 Google LLC 案件 . . . 108 案例十：意大利 Eni Gas e Luce 非法处理个人数据被处罚案件（第二笔罚 款）. . . . 110 拉丁美洲地区. . . . 111 阿根廷. . . . 111 案例一：Pavolotzki, Claudio 诉阿根廷菲舍尔公司违规使用案件。 . 111 . . . . 113 案例二：萨尔瓦多（克劳迪奥）诉花旗银行（美国）关于行使数据主体权利 的案件. . . . 113 . . . . . 114 哥伦比亚. . . . 114 巴西. . . . 115 中东地区. . . . 116 以色列. . . . 116 阿拉伯联合酋长国（UAE ） . . . 116 沙特阿拉伯. . . . 116 卡塔尔. . . . 116 伊朗. .