跳转到主要内容

文章分类

上周,12月1日,新西兰新修订的《2020年隐私法》(Act)生效。该法案于2020年6月20日由新西兰议会通过,并对1993年法律《1993年隐私法》进行了重大修改。该修正案涵盖了广泛的主题,包括该法律的域外范围、新的强制性数据泄露通知要求、对隐私专员办公室的关键执法工具“合规通知”的修改、,数据访问请求、个人信息跨境传输限制以及总体执法制度。

与世界各地的其他综合隐私和数据保护法相比,该法的一个关键特征是隐私专员在制定和执行法律方面的核心作用包括在个人或代表诉讼提交人权法庭之前,作为必要的“阻止”。该法案赋予专员更大的权力,以确保涵盖的实体遵守法律,通过“行为守则”,并授予广泛的权力,发布全面的合规通知,禁止跨境传输个人信息。这种广泛的自由裁量权最初可能会对具体的合规要求以及数据主体的权利范围造成法律上的不确定性。例如,专员可在任何时候发布称为“业务守则”的澄清指南,修改法律规定的义务基线,并澄清数据控制员的义务。

该法律在多个章节中提到了经合组织指南作为合规基准,并明确承认其他数据保护制度,如欧盟的《一般数据保护条例》(GDPR),提供了可比的保护水平。

然而,该法案与GDPR和受其启发的其他数据保护法律不同,因为其数据主体的权利范围较小,对违规行为的处罚结构不温不火,以及个人补救的原始框架。根据更新后的法律,个人无权删除(“被遗忘的权利”)、数据可移植性权利或任何与自动决策相关的特定权利,如反对权。事实上,分析和自动决策并没有得到具体解决,专员只能对违反该法案的公司处以最高10000新西兰元(约合7000美元)的罚款。

值得注意的是,专员约翰·爱德华兹(John Edwards)在最近的一次电台采访中表示,这项法案的目的是在全世界隐私法规的范围内处于中等水平。他接着指出,2011年,新西兰法律委员会考虑专员是否可以对欧洲等实体处以更高的罚款。然而,它决定授予专员发布合规通知的自由裁量权,以查看行为是否发生变化,并将在几年内评估其有效性。

应该指出的是,新西兰是其法律制度从欧盟委员会收到“充分性决定”的国家之一,允许不受限制地从欧盟转移个人数据。作为欧盟委员会根据GDPR重新评估充分性决定的努力的一部分,新西兰的充分性将被重新评估,该评估将根据新法律进行(新西兰的充足性于2012年根据前数据保护指令95/46/EC发布)。

下面我们将讨论该法案的一些关键变化,特别是1)其扩大的域外范围,2)跨境传输限制,3)可能会详细介绍和加强信息隐私原则和行为准则,4)数据主体更新的数据访问请求,5)新的数据泄露通知要求,6)关于违反法案和新处罚框架的“合规通知”,7)法律和可能的集体诉讼所规定的私人诉讼权,以及8)公共部门数据共享规则,然后得出9)结论。

1.法律的域外范围

该法案将其范围扩大到在新西兰开展业务的海外组织,无论这些组织在何处收集或持有数据以及数据主体位于何处。根据该法,在新西兰开展业务超越了传统的商业活动,如在该国拥有营业地或在该国接受货物和服务供应资金。因此,新的法律范围在理论上可以包括一系列其他潜在的海外组织,如非营利组织,只要它们在新西兰开展活动。

此外,该法还适用于非居民个人,如果他们在新西兰期间收集或持有来自世界任何地方的任何人的个人信息,即使该个人以前在新西兰境外收集信息。最后,该法适用于“机构”,不仅指私人公司和组织,也指某些公共机构,如新西兰内外的政府部门。“代理”在该法案中是一个有点细微差别的术语,它可以找到GDPR定义的控制器和处理器的对应方(或加利福尼亚消费者隐私法定义的“企业”和“服务提供商”-“CCPA”)。虽然该法没有单独一章规定一个组织代表另一个组织后续处理数据的具体义务,但它确实将责任扩大到“委托代理”的“代理人”,这可能包括GDPR处理者/CCPA业务提供者。这广泛扩大了根据本法负有直接义务的实体类别。

2.跨境数据传输

《隐私法》包括一项新的信息隐私原则(IPP),即IPP 12,该原则规定了在新西兰境外披露个人信息的规则。根据这项新原则,只有在满足以下六个理由之一的情况下,机构才可以向外国实体披露个人信息:

(a) 在出口商告知进口商可能不需要以与《隐私法》规定的保护类似的方式保护其个人信息的情况下,个人的明示和知情同意;

(b) 在进口商在新西兰开展业务的过程中,出口商合理地认为进口商受《隐私法》的约束;

(c) 出口商合理地认为进口商受《隐私法》可比隐私法的约束;

(d) 出口商合理地相信进口商是“规定约束方案”的参与者;

(e) 出口商合理地认为进口商受“规定国家”隐私法的约束;和

(f) 出口商合理地认为进口商需要以与《隐私法》类似的方式保护信息,例如根据双方之间的协议。这两个国家和具有约束力的计划都可以通过总督通过枢密院令采取行动“规定”。

值得一提的是,新西兰的《隐私法》解决了GDPR国际数据传输规则中的两个重大问题:只有在数据导入方不承担与数据导出方管辖范围内的义务类似的义务的情况下,个人同意才被视为跨境传输的有效机制;如果出口商的隐私法因其域外效力而适用于进口商,则无需为所转让的个人信息提供额外保障。另一点需要注意的是,GDPR“基本等同”标准与《隐私法》下看似更直接的“可比法律”标准相对应。

《隐私法》还赋予专员广泛的权力,禁止在新西兰境外跨境传输个人信息,类似于旧法律的规定。如果接受国未提供与本法所涵盖的法律保障措施相类似的法律保障,且转让可能违反经合组织指南第二部分和本法附表8中规定的基本原则,专员可向相关公司发出转让禁止通知。这不适用于获得专员授权或“任何法令”授权的转让,或根据具有国际约束力的公约进行的转让。

专员将考虑广泛的因素,以确定是否禁止转让。这些措施包括:

  • 转让对任何个人造成伤害的可能性;
  • 促进信息自由流动的普遍愿望;和
  • 与跨境数据流相关的任何现有或正在制定的国际准则,如经合组织准则和全球数据保护条例。

向国外传输数据的实体必须收到传输禁止通知,以便专员实施禁止。在生效之前,每个通知必须满足一系列要求,如禁止的性质、禁止适用的个人信息以及禁止的理由。专员必须在20天内答复任何更改或取消通知的请求,如果请求被拒绝,必须提供理由。

各组织可就专员发出禁止转让通知的决定向人权审查法庭(审裁处)提出上诉,反对全部或部分通知,或反对委员会拒绝更改或取消通知。如果仲裁庭认为专员的决定违反了法律,或者该决定是由于不当使用专员的自由裁量权造成的,仲裁庭必须允许上诉。在上诉时,仲裁庭可修改通知,以排除其认为无效的任何陈述。

法律规定,任何人如无合理辩解而未能或拒绝遵守转让禁止通知,将受到最高10000新西兰元的处罚。

3.信息隐私原则和业务守则

该法规定了独立发电商,对实体的加工活动规定了广泛的义务,并作为专员通过具有法律约束力的行为守则实施进一步指导的基准。这些原则涉及信息处理的不同方面,如目的、收集方式、存储和安全、访问、更正、准确性以及使用和披露限制。

许多独立发电商没有改变之前版本的法律。例如,IPP 3规定,收集个人数据的实体必须采取合理措施,告知个人具体事实,如收集目的和信息的预期接收人。如果单独的法律授权或要求收集信息,实体必须将该法律告知个人,并解释提供信息是自愿的还是需要的。IPP 3还列出了实体不向个人提供此类信息的理由。

与以前的法律相比,IPP的显著变化包括对从儿童或青少年收集信息的实体的更高的公平性要求(IPP 4)和目的限制原则(IPP 1),该原则要求实体仅在必要时从人收集识别信息。IPP 1还规定,必须为与处理行为相关的合法目的收集信息。

该法没有明确规定合法理由,也没有规定对所有加工活动的一般同意要求。然而,它确实对未经同意或其他有效理由(如保护公共安全、维护合法和合理的执法活动或促进合同作为持续经营企业的执行)披露个人信息施加了限制。事实上,独立程序供应商以及该法案的其他条款对个人信息的“收集”、“使用”和“披露”进行了区分,并为每种信息提出了一套不同的规则。请注意,该法案没有规定什么是“合法的收集手段”,只是收集数据的实体必须使用这种手段。专员可通过业务守则发布进一步修改或指导,以对这些基准条款施加进一步要求。

此外,IPP 10对个人数据的使用施加了限制,但规定了一些例外情况,如数据已被取消身份,或将以不会合理导致识别个人的形式用于统计或研究目的。可公开获取的数据、用于促进执法的数据,或用于防止或减轻对个人或公共健康的重大伤害的数据,也可能引发对通用限制规则的例外。

请注意,如果新西兰以外的任何国家的法律要求采取行动,则代理机构在海外持有的信息方面不违反IPP。

该法承认某些独立发电商不适用的一系列情况,例如类似于《全球发展报告》规定的家庭豁免、1993年之前收集的信息、情报和安全机构的活动、专员或监察员发起的调查期间获得的信息以及新西兰统计局收集的信息。在某些情况下,如果专员确定授予授权的公共利益大大超过了对相关个人产生不利影响的可能性,专员可以授权处理个人信息,否则会违反某些独立程序协议。

如上所述,专员拥有广泛的自由裁量权,可发布与独立发电商相关的业务守则,以修改和澄清法律的适用。这些业务守则可规定一系列广泛的措施,包括:

  • 公司必须如何遵守IPP;
  • 信息、业务、行业或活动类型的具体要求;
  • 与特定加工活动有关的技术控制;
  • 指导方针和收费结构;和
  • 审查和监测机制。

该法规定,不遵守行为守则等于违反独立程序协议。专员可向违反任何业务守则或法律规定的任何基准独立发电商的机构发出合规通知(见下文)。

4.个人权利:查阅和更正请求

IPP还规定了收集和使用个人信息的个人相对于处理实体的权利,包括访问和更正个人信息的权利。个人或个人代表可发出IPP 6访问或IPP 7更正请求,收到请求的实体必须立即响应,批准或拒绝请求,并说明做出决定的原因。如果一个实体不持有信息,并且认为另一个实体持有信息,则必须立即将请求转移给另一实体,除非有充分理由相信数据主体不希望转移请求。在这种情况下,实体必须将其决定通知数据主体。

与旧法律相比,该法扩大了实体可以用来拒绝访问请求的扣缴理由范围。值得注意的是,如果披露可能对1)个人的生命、健康(包括精神和身体)或安全,或2)公共健康和公共安全造成严重威胁,公司现在可能会拒绝访问以保护个人。公司也可以拒绝披露16岁以下个人的信息,如果他们确定此类披露会违反个人的利益。其他扣缴理由包括:1)安全保护,2)国防和国际关系,3)商业秘密保护,4)实体无法定位数据,5)数据执法的使用,或6)拒绝琐碎的请求。

该法案还规定了实体可以通过何种方式向数据主体提供访问请求下的信息。各实体必须以请求者喜欢的方式提供信息,除非这样做会过于繁重或违背实体的任何法律义务。

对于IPP 7更正请求,该法案规定个人可以请求实体更正个人信息或附上更正声明,但没有规定个人可以要求实体删除个人信息。该法案既不包括被遗忘的权利,也不包括数据可移植的权利。

最后,该法规定,专员不得修改或限制IPP 6或7规定的访问和更正请求的权利。然而,该法并没有表面上阻止专员通过行为守则扩大这些权利的范围或实体在这些权利方面的义务。鉴于该法案赋予专员广泛的自由裁量权,因此出现了一个有趣的法律问题,即专员是否有权要求公司提供可移植性或可擦除性。

5.数据泄露通知

该法规定,如果发生了受影响个人的应报告隐私泄露事件,组织必须遵守数据泄露通知要求。如果违反行为可能对任何人造成严重伤害,实体将有法律义务通知专员和任何受影响的个人;不这样做是刑事犯罪,最高可处以10000新西兰元的罚款。

该法案将与机构持有的个人信息相关的隐私侵犯定义为1)未经授权或意外访问或披露、更改、丢失或破坏个人信息;或2)阻止机构临时或永久访问信息的行为;无论其是否正在进行,是否由其内部或外部人员造成,或全部或部分归因于其任何行动。

该法案将应报告数据泄露定义为:1)有理由相信已对受影响个人造成严重伤害或可能造成严重伤害的隐私泄露;但2)不包括侵犯隐私行为,前提是作为侵犯主体的个人信息由个人实体持有,且该信息仅为个人或家庭事务的目的或与个人或家庭事件相关的目的而持有。

根据该法,受影响的个人是与他们有关的个人信息被侵犯隐私的人;并且是新西兰境内或境外的个人,如果1)特定行业的业务守则适用于已故人员,以及2)业务守则适用一个或多个独立发电商的信息,甚至可能死亡。

组织在评估侵犯隐私行为是否可能造成严重损害时,必须考虑几个因素,以确定该侵犯行为是否应予以通报,例如为降低违反行为后的损害风险而采取的任何行动,或者个人信息是否敏感。如果不确定违反行为是否应报告,组织可以使用隐私专员办公室的NotifyUs工具来确定是否有法律义务报告。

此外,它必须在获悉发生了应报告的侵犯隐私行为后,在切实可行的情况下尽快通知专员和受影响的个人。向专员发出的通知和向数据主体发出的通知都必须包含法律规定的特定信息列表,包括组织为应对侵犯隐私行为而采取的步骤说明。

如果实体合理地认为,为了防止或减轻对受影响个人或另一个人的生命或健康的严重威胁,有必要进行身份识别,则实体还可以识别已获得或可能获得受影响个人个人个人信息的个人或机构(如已知)。它还可以在已知的情况下逐步提供这些信息,以符合尽快提供任何新的或可用信息的要求。但不得包括任何其他受影响个人的详细信息。

此外,如果通知每个受影响的个人不合理可行,则该组织必须以不确定受影响个人的方式发布违反行为的公告。

在某些情况下,实体无需通知受影响的个人或发布公告,例如,如果它认为这会危及某人的安全、泄露商业秘密、受影响的人未满16岁且实体认为通知会违反个人利益,或者如果:,在咨询个人的健康医生后(在可行的情况下),它认为该通知可能会损害该个人的健康。此外,在某些情况下,组织也可能延迟通知受影响的个人或发布违约通知。

未将应报告数据泄露情况通知专员的实体可能会承担责任,并被处以最高10000新西兰元的罚款。

未遵守这些程序的特定雇员、代理人和机构成员(通知专员和受影响的个人,或发布公告)将不承担个人责任,他们的行为或知道的违约行为将被视为雇主或实体已经完成并知晓。

6.合规通知、上诉和罚款

对于违反本法案的任何行为,包括独立发电商、根据另一法案干涉个人隐私、违反另一法案下的任何行为守则或行为守则,专员可向违约实体发出“合规通知”。这赋予专员更大的自由裁量权,要求实体采取行动或不采取某些行为。合规通知通过法庭强制执行,不遵守规定即构成刑事犯罪,最高罚款10000新西兰元。

专员在向实体发布合规通知之前,将考虑多个因素,例如违约的严重性、受影响的人数以及实体遵守通知的可能成本。在发布合规通知之前,专员还必须向该组织发送一份关于违反行为的书面通知,该组织应采取的任何特定措施和补救日期,并让该组织有合理的机会作出回应。

专员随后发布的合规通知将描述违约行为,并引用相关法定条款,要求实体对其进行补救,并告知其上诉权利。通知还可能要求实体采取特定步骤补救违约行为,专员认为适当的条件,实体必须补救违约行为或向专员报告的日期,或其他有用信息。

一旦发布了合规通知,实体必须在“可行时间”内采取措施遵守通知及其规定的任何特定步骤,并在通知中规定的日期前纠正违约行为。专员认为这符合公众利益,可以发布1)实体的身份,2)通知或违约的详细信息,或3)关于违约的声明或评论。

6.1合规通知的上诉

企业应了解对合规通知提出上诉的选择,但也应了解因未遵守通知而对其提起和发布强制执行程序或临时命令的可能性。实体可向仲裁庭提出上诉,1)针对其发出的全部或部分合规通知,或2)专员修改或取消通知的决定。上诉必须在发布合规通知或向实体发出决定通知之日起15个工作日内提出。

然而,仲裁庭不能仅仅因为1)违约是非故意的或机构没有疏忽,或2)该组织采取了补救违约的步骤,就取消或修改通知,除非它无法采取进一步的合理步骤。

6.2合规通知的执行

专员还可以就机构不遵守通知的情况向法庭提起强制执行程序。如果在法定期限后,没有针对通知提出上诉,并且如果1)专员有理由相信该实体没有或不会补救违约行为(如适用,在通知中规定的日期),专员可以提起强制执行程序,或2)未能在通知所述日期前向专员报告其为补救违约行为而采取的步骤。该实体只能以其认为已完全遵守通知为理由,反对执行通知。仲裁庭可以确定通知是否得到充分遵守,或命令实体遵守通知或执行命令中规定的行为。

6.3补救措施、费用和执行

在专员提起的强制执行程序中,仲裁庭可批准一项命令,要求该实体1)在该命令规定的日期前遵守该通知(该日期可能与该通知中规定的原始日期不同),2)在该订单规定的日期之前执行该命令中规定的任何行为(例如,向专员报告遵守该通知的进展情况),以及3)其认为适当的奖励成本。在管理局提出的上诉中,仲裁庭可下达命令,1)确认、取消或修改通知,2)确认、推翻或修改决定,以及3)裁决其认为适当的费用。

讼费裁决可在区域法院强制执行,犹如该裁决是该法院的命令一样。如果一个实体在没有合理辩解的情况下未能遵守法庭的上述裁决,将被处以最高10000新西兰元的罚款。最后,专员有权在这些诉讼期间出庭或由律师或代理人代表。

6.4责任和处罚

该法对不遵守专员的任何合法要求或无合理辩解、妨碍、阻碍或抵制专员或根据法律行使权力的任何其他人处以最高10000新西兰元的罚款。

此外,该法还惩罚1)明知而向专员或根据该法行使权力的任何其他人作出虚假陈述的人,最高罚款为10000新西兰元;2) 歪曲他们根据该法案拥有的任何权力;3) 通过假冒或假装在个人授权下行事,以非法获取和使用该个人的信息,误导公司;或4)销毁任何包含个人信息的文件,知道该文件受数据主体请求的约束。

最后,该法还规定了公司对其雇员或代理人采取的行动的责任。除非公司不知道员工的行为,或未向其代理人授予明示或暗示的授权,否则公司可能对上述员工或代理人的任何违规行为负责。该法为采取合理可行措施防止其雇员或代理人违法的公司提供了肯定辩护。

请注意,该法律不包含可对违反其规定的官员或个人处以监禁的罪行。

7.有限的私人诉讼权、集体诉讼

就独立发电商而言,他们“不授予任何人任何可在法院强制执行的权利”,但访问权(独立发电商第6(1)条)除外,且仅与公共部门机构有关(见第31条)。但是,个人可向人权审查法庭质疑专员的决定或公司未能遵守该决定。

个人可以代表多个受害方向隐私委员会提出多起“干扰个人隐私”投诉。该法案将干扰广义地定义为违反该法案或可能对个人造成损害的私人合同,对个人权利造成不利影响或导致个人蒙受重大耻辱。干扰还包括公司决定不当拒绝访问请求或未能及时响应此类请求。

在收到投诉后,专员必须考虑投诉并决定不进行调查、将投诉提交给另一个人或海外隐私执法机构、探讨双方达成和解的可能性,或进行调查。专员有广泛的权力在这些路线之间作出决定,但必须在切实可行的情况下尽快答复投诉人,并说明作出决定的理由。值得注意的是,如果专员无法达成和解或发现和解各方未能遵守和解条款,专员也可以直接将投诉提交给根据《新西兰人权法》任命的人权诉讼主任,而不进行调查。

该法赋予专员在调查过程中收集信息的自由裁量权,并规定其自己的程序。专员必须及时进行调查,但有权以专员认为满意的任何方式对调查采取行动。在完成调查后,专员可决定其没有案情,并驳回投诉。

当投诉确有案情时,专员必须在采取其他行动之前,首先尝试在双方之间达成和解或获得保证。如果未能做到这一点,专员有广泛的自由裁量权,可以指示公司就访问请求采取补救行动,将投诉直接提交给董事,或采取专员认为适当的任何其他行动。

受侵害的个人可就专员的决定或公司未能遵守该决定向人权审查法庭提出上诉。上诉可由个人、受害个人的代表或合法代表某类受害个人提起。在上诉时,法庭可以采取广泛的补救措施来纠正干扰,包括实际和预期的损害赔偿以及个人遭受的羞辱赔偿。公司也可以对专员做出的决定提出上诉,包括强制执行访问权。

8.公共部门数据共享

该法还规定了管理新西兰公共实体之间数据共享协议的条款。虽然修正案没有改变法律的这一部分,但值得注意的是,新西兰有自己的制度来管理其公共部门机构之间的信息共享。根据法律,每份协议必须满足某些透明度要求,包括通知任何个人因协议而对其提起的不利诉讼。这些协议帮助机构获取信息,以促进其法律职责和义务的履行。

最后,该法规定了管理信息匹配计划的条款。这些计划允许实体比较个人信息,只要双方满足一系列要求,包括加强通知、报告和透明度义务。

9.结论

《2020年新西兰隐私法》是全球隐私地图上一个有趣的框架,其特点是隐私专员负有重大责任,使法律充满活力,并在数字时代保持最新。虽然受到GDPR条款的启发,并因此能够促进世界各地隐私制度的互操作性,但它仍然忠实于新西兰几十年来监管隐私和数据保护的历史。

本文:https://cioctocdo.com/cross-border-data-transfers-restrictions-and-new-…

文章链接