自2018年5月《欧洲通用数据保护条例》生效以来，世界各地越来越多的立法机构引入了模仿GDPR的全面数据保护法律，或更新了现有法律以与GDPR保持一致。2018年6月，加利福尼亚州颁布了《2018年加州消费者隐私法》，成为第一个赶上GDPR浪潮的主要非欧洲经济体。此后，GDPR和CCPA在大多数企业的隐私合规议程中占据主导地位，鉴于Schrems II决定和加利福尼亚州最近通过的2020年《加利福尼亚州隐私权法案》所带来的挑战，GDPR和CCP可能会继续占据主导地位。然而，其他主要经济体正在迎头赶上，本文总结的2020年末的发展表明，2021及以后，欧洲和加利福尼亚州以外的隐私世界将需要越来越多的企业关注。

巴西

在长期的不确定性之后，巴西的Lei Geral de Proteção de Dadotook于2020年9月18日生效。除其他类似于GDPR的要求外，LGPD要求组织建立处理个人数据的法律基础，发布详细的隐私通知，尊重巴西人行使数据主体权利的请求，提供数据泄露通知并遵守跨境数据传输限制。有关LGPD要求的更多详细信息，请参阅我们的详细摘要。

违反LGPD的人将面临敢达该组织前一年巴西收入2%的罚款，但每次违规的罚款上限为5000万雷亚尔。虽然LGPD的行政执法被推迟到2021 8月，但基于LGPD的检察官行动和私人诉讼已经出现。2020年9月21日，就在LGPD生效后几天，巴西利亚的检察官、联邦地区检察官Público do Distrito Federal e dos Territórios（MPDFT）根据LGPD提起了民事诉讼。MPDFT声称，一家数据服务公司出售50万巴西人的个人数据违反了LGPD，进而违反了巴西宪法保障的隐私保护。此后不久，巴西一家法院命令一家建筑公司支付10000雷亚尔的精神损害赔偿金，因为该公司未经同意分享了一名公寓购买者的个人数据，违反了LGPD。鉴于巴西法律体系的诉讼性，预计将有更多的私人和公共检察官根据LGPD提起诉讼。

与此同时，巴西新成立的数据保护局国家保护局（ANPD）于2020年12月8日发布了指导意见，其中包括当LGPD适用时，数据控制者可用于处理个人数据的法律基础、巴西公民在LGPD下的权利、以及在LGPD中的权利、，以及公共和私营组织为遵守LGPD而必须采取的行动。该指南还概述了ANPD在LGPD下的权力，其中包括对违反LGPD的行为进行调查和发布制裁，制定指南，促进数据保护教育和意识，以及与其他国家的数据保护机构合作。

加拿大

2020年11月17日，加拿大政府推出了《2020年数字宪章实施法案》。如果该法案获得通过，DCIA将颁布《消费者隐私保护法案》，这是一部新的私营部门隐私法，并成立一个新的个人信息和数据保护法庭。

加拿大政协将向加拿大人提供：

• 关于使用个人信息的明文披露权
• 新的数据移动权限，允许他们在组织之间直接传输个人信息
• 更广泛的强制删除个人信息和撤回使用同意的权利
• 关于企业如何使用算法决策对其进行重大预测、建议或决策的透明度权利

法律还将要求企业：

• 实施隐私管理计划，包括旨在确保遵守CPPA的政策、做法和程序
• 满足某些标准（类似于GDPR的标准），以依赖同意来处理个人信息，并确保未经同意处理个人信息属于某些列举的例外情况（例如，当需要提供请求的服务时，以及与GDPR不需要同意的目的类似的其他目的）
• 在未经同意的情况下使用去标识化的数据符合某些标准

有关更多详细信息，请参阅加拿大政府的概况介绍。

CPPA将大大增加不遵守的潜在后果。目前，隐私专员办公室必须要求联邦法院执行其命令，除非各组织同意遵守这些命令。根据CPPA，OPC将拥有更广泛的权力，包括强制遵守CPPA，禁止收集或使用个人信息，并对组织处以高达其全球收入5%或2500万加元（以较大者为准）的罚款。

中国

2020年10月21日，中国发布了个人信息保护法草案。PIPL旨在为中国大陆居民提供全国性和全面的个人数据保护，主要借鉴GDPR。PIPL如果获得通过，将与中国现有的网络安全法、数据安全法和中国电子商务法共存。

PIPL不仅适用于在中国运营的组织，也适用于位于中国境外的组织，这些组织处理居住在中国的个人的个人数据，以向他们提供产品或服务，或分析或评估他们的行为。该法还考虑通过未来的立法或监管行动扩大其域外影响。

值得注意的是，PIPL将要求寻求将个人数据转移出中国的公司首先接受中国网络空间管理局的安全评估，如果该公司运营某些关键信息基础设施，或者转移涉及的数据量超过了CAC规定的阈值。否则，只要公司（a）拥有专业组织根据CAC法规颁发的数据保护证书，或（b）与外国接收者签订协议，要求其按照PIPL标准处理数据，公司就可以继续进行数据传输。

然而，PIPL将授权CAC禁止临时向数据处理可能损害中国公民隐私利益或危害中国国家安全或公共利益的接收者传输数据。

PIPL还将仿效GDPR，将同意视为组织处理个人数据的若干法律依据之一，并实施数据泄露通知要求。

PIPL建议对严重违规行为处以重罚，包括整顿令、没收非法所得、停业、吊销营业执照，并对违规组织处以最高5000万元人民币或上一年收入的5%的罚款。负责组织数据保护措施的个人也将面临高达100万元人民币的罚款。

新西兰

2020年12月1日，《新西兰2020年隐私法》（《隐私法》）生效，废除并取代了1993年《隐私法》。

《隐私法》赋予新西兰的隐私制度域外效力，规定该法适用于在新西兰“开展业务”过程中收集个人信息的组织，即使该组织在新西兰没有营业地。

《隐私法》还要求各组织向隐私专员办公室和受影响个人通报已经或可能对这些个人造成严重伤害的隐私侵权行为。除非适用某些例外情况，否则必须在组织意识到隐私被侵犯后尽快发出通知。

《隐私法》限制个人信息在新西兰境外的传输，除非接收组织：

• 根据《隐私法》
• 受提供与《隐私法》类似保障的隐私法的约束
• 根据规定的约束方案（例如，具有约束力的公司规则）
• 根据法规中规定的国家隐私法，或
• 要求（如通过合同）以总体上提供与《隐私法》中的保护措施类似的保护措施的方式保护数据

OPC建议使用其合同范本条款，以确保跨境数据传输实施所需的保障措施，但只要相关合同要求类似保障措施，组织可以修改条款。

如果上述例外情况均不适用于数据传输，则组织可在相关个人同意的情况下进行跨境传输，必须明确告知相关个人，其个人信息可能不会获得《隐私法》规定的相同保护。

未向OPC通报应通报的隐私侵权行为、未遵守OPC合规通知或违反《隐私法》的组织将面临最高10000新西兰元的罚款。《隐私法》还对某些与欺诈相关的违法行为规定了潜在的刑事处罚，并允许在某些情况下通过私人诉讼进行执法。

有关更多详细信息，请访问新西兰隐私专员的网站。

结论

虽然这些新兴法律在某些方面类似于GDPR和CCPA，但遵守GDPR或CCPA并不等于遵守全球隐私法。在国际上开展业务的公司最好从全球角度来设计其2021的合规工作，以确保他们能够应对欧洲和加利福尼亚州以外迅速扩大的隐私法范围。

本文：https://cioctocdo.com/global-privacy-roundup-world-beyond-europe-and-ca…