【全球隐私立法】全球主要地区个人信息保护类法律汇总（至2022年9月）

一、目录

• California Privacy Rights Act
• California Consumer Privacy Act
• Virginia’s Consumer Data Protection Act
• Colorado’s Privacy Act
• Utah Consumer Privacy Act
• 《个人信息保护法》
• 《网络安全法》
• 《数据安全法》
• Thailand’s Personal Data Protection Act
• Swiss Revised Federal Act on Data Protection
• Australian Privacy Act 1988
• Bahrain’s Personal Data Protection Law
• Brasil’s Lei Geral de Proteção de Dados
• Canadian Personal Information Protection and Electronic Documents Act
• Hong Kong Personal Data (Privacy) Ordinance
• Irish Data Protection Act
• Japan's Act on the Protection of Personal Information
• New Zealand’s Privacy Act
• Philippines' Data Privacy Act 2012 (DPA)
• Qatar’s Data Protection Law
• South Korea's Personal Information Protection Act 2012
• Saudi Arabia’s Personal Data Protection Law
• Singapore’s Personal Data Protection Act
• South Africa’s Protection of Personal Information Act
• Turkey’s Law on the Protection of Personal Data
• UAE TRA’s Consumer Protection Regulations
• UAE Federal Decree-Law No. 45 of 2021 on Protection of Personal Data
• UAE Central Bank SVF Regulation
• UAE DIFC Data Protection Law 2020
• Indonesia’s Draft Data Protection Law
• Malaysia Personal Data Protection Act
• Argentina Personal Data Protection Law
• Chile Protection of Private Life Law
• Colombia Statutory Law 1581 of 2012
• Ecuador Ley Orgánica de Protección de Datos Personales (LOPD)
• Peru Law No. 29733 On the Protection of Personal Data
• Uruguay Ley de Protección de Datos Personales y Acción de Habeas Data (Law No. 18.331)
• Paraguay Personal Credit Data Protection Law or Credit Data Law
• Egypt’s Data Protection Law
• Israel's Protection of Privacy Law
• Andorra Personal Data Protection Act
• UK Data Protection Act
• EU General Data Protection Regulation (GDPR)

二、法律汇总（至2022年9月）

California Privacy Rights Act (CPRA)

Effective Date: January 1, 2023

加州隐私权利法案（CPRA）在2020年11月的投票中被56%的加州选民通过。对最近通过的2018年《加州消费者隐私法》（CCPA）进行了修订，CPRA对组织施加了更严格的隐私保护义务，并大大增加了消费者的权利。该法律适用于位于加州或任何为加州居民提供产品或服务的企业和实体，这些企业和实体符合以下标准之一：他们在上一个日历年的总年收入超过2500万美元，或购买、接收或出售10万或更多加州居民、家庭或设备的个人信息，或从出售或分享加州居民的个人信息中获得50%或以上的年收入。CPRA将于2023年1月1日生效，6个月后即2023年7月1日开始执行。

California Consumer Privacy Act (CCPA)

Effective Date: Since January 1, 2020

《加州消费者隐私法》（CCPA）对收集和处理消费者个人信息的公司和个人进行管理。该法规定，公司必须确保数据的安全管理，并赋予消费者访问和控制其个人信息的收集、使用或共享方式的权利。该法规不要求公司在加州有实体存在，并适用于所有向加州居民提供商品和服务并符合门槛标准的营利实体。

Virginia’s Consumer Data Protection Act (VCDPA)

Effective Date: January 1, 2023

弗吉尼亚州成为美国继加利福尼亚州之后第二个通过全面数据隐私法的州，该法名为《弗吉尼亚州消费者数据保护法》（VCDPA）。该法为弗吉尼亚州的居民提供了全面的数据隐私权，并对管理消费者个人数据的企业规定了新的义务和责任。该法在结构上与CPRA非常相似，即使它的内容有差异。它预计将于2023年1月1日生效。该法规适用于在联邦内开展业务或向弗吉尼亚州居民提供产品或服务的个人或实体，这些个人或实体必须符合一定的标准。

Colorado’s Privacy Act (CPA)

Effective Date: July 1, 2023

在弗吉尼亚州之后不久，科罗拉多州成为美国第三个通过全面数据隐私法的州，该法名为《科罗拉多隐私法》（"CPA"）。CPA适用于在科罗拉多州开展业务或向科罗拉多州居民销售符合阈值标准的有意产品或服务的公司。科罗拉多州的法律与VCDPA非常相似，但有一些非常重要的区别。该法律将于2023年7月1日开始生效。

Utah Consumer Privacy Act (UCPA)

Effective Date: December 31, 2023

犹他州州长Spencer Cox于2022年3月24日签署了《犹他州消费者隐私法》（UCPA），使犹他州成为继加利福尼亚州、弗吉尼亚州和科罗拉多州之后第四个实施全面隐私立法的州。UCPA将于2023年12月31日开始生效，适用于数据控制者和处理者。与其前身相比，UCPA对消费者隐私采取了更轻、更有利于商业的方法。

《个人信息保护法》略

《网络安全法》略

《数据安全法》略

Thailand’s Personal Data Protection Act (PDPA)

Effective Date: June 1, 2022

泰国第一部综合《个人数据保护法》（PDPA）旨在保证个人数据的保护，并对处理个人数据的收集、使用和披露的企业施加义务。《个人数据保护法》适用于位于泰国境内的任何组织以及在泰国有消费者的组织，这些组织需要处理泰国居民的个人数据。

Swiss Revised Federal Act on Data Protection (FADP)

Effective Date: 2023

修订后的《2020年瑞士联邦数据保护法》（FADP）将取代瑞士存在已久的Federal Act on Data Protection of 1992年《联邦数据保护法》。修订后的法律扩大了敏感个人数据的定义，包括遗传和生物识别数据。各机构将承担更多的信息义务，并被要求对高风险的数据处理活动进行数据保护影响评估。修订后的《瑞士联邦数据保护法》预计将于2023年生效。

Australian Privacy Act 1988

Effective Date: Since 1988

自1988年《隐私法》在澳大利亚实施以来，已经过去了20多年。颁布《隐私法》是为了保护数据主体的隐私，并规范澳大利亚机构和年营业额超过300万美元的组织如何处理其客户的个人信息。澳大利亚《隐私法》还包括13条澳大利亚隐私原则Australian Privacy Principles（APPs），适用于私营部门组织以及大多数澳大利亚政府机构。

Bahrain’s Personal Data Protection Law (PDPL)

Effective Date: Since August 1, 2019

巴林PDPL适用于通常在巴林生活或工作的每个人（不仅仅是巴林公民），在巴林有营业场所的每个企业，以及在巴林以外使用巴林现有手段收集个人数据的个人和企业。PDPL承认个人对其个人数据有更多控制的权利，以及组织为合法目的收集、使用或披露个人数据的需要。

Brasil’s Lei Geral de Proteção de Dados (LGPD)

Effective Date: Since September 18, 2020

巴西数据保护法（Lei Geral de Proteção de Dados，LGPD）是巴西的一项综合数据保护法，它从欧盟的GDPR中获得了灵感。该数据保护法适用于位于巴西的所有数据主体，他们从巴西境内外的公司获得不同的产品或服务，也适用于巴西的公共当局。该法规定了合法处理和处理数据的十个法律依据，以及问责要求、强制性违约通知和对违法行为施加严厉的处罚。

Canadian Personal Information Protection and Electronic Documents Act (PIPEDA)

Effective Date: Since January 1, 2004

PIPEDA是一项加拿大联邦法律，管理联邦工程、企业或在加拿大境内经营的企业的数据收集、处理和保护。颁布数据隐私和保护条例是为了向全球社会保证加拿大私营部门的数据保护做法和合规性。该条例适用于在加拿大提供商业服务的联邦监管组织，如银行、广播和电视工作室、机场和航空公司、省际卡车运输、电信公司、铁路等。

Hong Kong Personal Data (Privacy) Ordinance (PDPO)

Effective Date: Since 1995

私隐条例是香港的主要法例，目的是保护个人数据的隐私，并规范机构收集、持有、处理、披露或使用个人数据的行为。私隐条例适用于处理、使用、持有或收集个人数据的私营和公共部门机构。它涵盖任何处理收集和处理个人数据的机构，不论处理的地点，只要个人数据是由总部设在香港的数据使用者控制。

Irish Data Protection Act (Irish DPA)

Effective Date: May 24, 2018

爱尔兰DPA将GDPR的大部分条款纳入国家法律，并进行了有限的补充和删除。它包含了一些限制数据主体在GDPR下通常拥有的权利的条款，例如，在执行民法索赔所需的限制。

Japan's Act on the Protection of Personal Information (APPI)

Effective Date (Amended APPI): April 01, 2022

日本的APPI规范了个人相关信息，适用于任何个人信息控制者（"PIC"），即在日本提供个人相关信息用于商业的个人或实体。该法案也适用于在日本处理数据主体（"委托人"）的个人信息，以便向这些人提供商品或服务的外国PIC。该法案确保了个人的隐私权，以及合法使用个人数据促进经济发展。

New Zealand’s Privacy Act

Effective Date: December 1, 2020

新西兰的《隐私法》（NZPA）2020年是其旧版《隐私法》1993年的修订版。它不仅适用于新西兰实体，也适用于在新西兰开展业务的海外实体，无论其规模、地理位置以及是否在新西兰注册。除其他数据保护义务外，《新西兰隐私法》引入了强制性的违规通知要求，包括即使是由任何外包第三方造成的隐私违规，也有义务通知。

Philippines' Data Privacy Act 2012 (DPA)

Effective Date: Since 2012

2012年菲律宾《数据隐私法》为处理菲律宾人的个人信息的组织制定了基本规则。DPA适用于 "所有类型的个人信息的处理以及参与个人信息处理的任何自然人和法人"。它涵盖了公共和私人部门的个人信息处理。DPA规定，数据主体有权控制对其数据的处理，并对个人信息控制者（PIC）非法获取或处理其数据的行为提出投诉。

Qatar’s Data Protection Law

Effective Date: Since 2016

卡塔尔是海湾地区第一个制定数据保护法规的国家员，该法规对卡塔尔境内各组织如何处理数据主体的个人信息的政策进行了规范。该法律于2016年出台，但后来在2021年1月31日发布了一套新的法规regulation，以进一步加强数据保护政策和准则。

South Korea's Personal Information Protection Act 2012 (PIPA)

Effective Date: Since 2012

韩国的隐私保护法，即PIPA，从最严格的意义上规范了数据主体的个人信息的收集和处理。法律要求严格遵守 "选择同意opt-in consent "的规定，及时发出违规通知，并及时满足数据主体的要求。如果有任何违规行为，本地和外国的韩国公司可能会面临重罚和惩处。PIPA没有明确暗示其领土范围，但该法律主要适用于韩国境内的实体。

Saudi Arabia’s Personal Data Protection Law (PDPL)

Effective Date: March 23, 2023

沙特阿拉伯已经颁布了一项数据隐私法，以保护沙特阿拉伯的个人数据。该法律由沙特阿拉伯部长会议批准，被命名为《个人数据保护法》（PDPL）。PDPL旨在保护个人数据的隐私，并规范各组织对个人数据的收集、持有、处理、披露或使用。该法律适用于沙特阿拉伯境内或境外处理沙特阿拉伯居民个人信息的实体。

Singapore’s Personal Data Protection Act (PDPA)

Effective Date: Since November 2012

新加坡于2012年颁布了《个人数据保护法》（PDPA），该法分不同阶段生效；有关数据保护的条款于2014年7月2日开始执行。PDPA承认个人对其个人数据有更多的控制权，并承认各组织需要为合法和合理的目的收集、使用或披露个人数据。PDPA涵盖了以电子和非电子形式存储的个人数据。匿名数据（数据不再能用于识别数据主体）不属于PDPA的范围。

South Africa’s Protection of Personal Information Act (POPIA)

Effective Date: Since July 1, 2021

POPIA的建立是为了让数据主体能够更好地控制其个人信息的自由流动。它适用于在南非注册的公共和私人机构，如果它们在南非处理个人信息，则不在南非注册，除非这种处理只是用于通过该国转发信息。POPIA规定了各组织在处理个人数据时必须遵守的八个条件。这些条件是：问责制、处理限制、目的说明、进一步处理限制、信息质量、公开原则、数据安全和泄露通知以及数据主体参与。违反者可能被处以最高1000万南非兰特的罚款，或因某些违规行为被判处最高10年的监禁。

Turkey’s Law on the Protection of Personal Data (LPPD)

Effective Date: Since April 7, 2016

土耳其是最早开启数据保护立法趋势的国家之一。土耳其于2016年4月7日公布了第6698号个人数据保护法（LPPD），涉及个人数据保护。LPPD以欧盟数据保护指令95/46/EC为基础，与GDPR有若干相似之处。它旨在让数据主体控制他们的个人数据，并概述了处理个人数据的组织和个人必须遵守的义务。LPPD适用于土耳其的实体和任何收集或处理土耳其来源数据或土耳其数据主体的个人信息的外国自然或法律实体，无论其物理位置如何。

UAE’s TRA’s Consumer Protection Regulations (CPR)

Effective Date: 31 December 2021

阿联酋电信管理局（TRA）制定了《消费者保护条例》（CPR），授权阿联酋的所有持牌公司严格保护消费者的个人信息。这些法律要求获得许可的公司采取措施，防止个人数据数据泄漏、未经授权的访问、隐私风险、个人数据的不当使用等。

UAE Federal Decree-Law No. 45 of 2021 on Protection of Personal Data

Effective Date: 31 July 2022

2021年11月28日，阿联酋内阁宣布正式实施关于保护个人数据的2021年第45号联邦法令 Federal Decree-Law No. 45 of 2021 regarding the Protection of Personal Data （以下简称“《阿联酋联邦个保法》”），《阿联酋联邦个保法》于2021年9月20日通过，该法律适用于位于阿联酋联邦的每个数据控制者或数据处理者通过全部或部分自动化手段或任何其他手段处理阿联酋境内或境外数据主体的个人数据，此外，该法律还适用于在阿联酋境外设立的，但对阿联酋境内的数据主体进行处理活动的每个数据控制者或数据处理者。

UAE’s CBUAE SVF Regulation

Effective date：15 November 2020

阿联酋中央银行（CBUAE）制定了储值设施（SVF）条例。除了促进该地区的数字支付系统外，该条例还要求获得许可的公司保护其客户的个人信息，并以严格的安全措施保护其系统和数据，防止未经授权的访问、不适当的、滥用和任何泄露。

DIFC’s Data Protection Law 2020

Effective Date: July 1, 2020

2020年《迪拜国际金融中心（DIFC）数据保护法》取代了2007年的数据保护法。DIFC数据保护法规定了各组织在迪拜经济特区DIFC内收集、披露和处理个人数据的义务。DIFC数据保护法参考了国际法中关于数据保护的最佳实践标准，并与欧盟GDPR和经合组织准则相一致。它旨在平衡企业和组织处理个人信息的合法需求，同时维护个人的隐私权。

Indonesia’s Data Protection Law

对数据保护的需求源于对个人数据在个人不知情和不同意的情况下被收集、存储或共享的担忧。截至目前，印度尼西亚还没有全面的数据保护法。然而，作为一般经验法则，印度尼西亚在1945年《印度尼西亚共和国宪法》中保护其公民的数据。2020年1月24日，Personal Data Protection Act的草案提交给了印尼众议院，目前已得到批准正在等待总统颁布。Personal Data Protection Act将解决该国急需的数据隐私保护规则的改革。

Malaysia Personal Data Protection Act (PDPA)

Effective Date: Since 15 Nov, 2013

马来西亚议会于2010年6月2日通过了马来西亚的《个人数据保护法》（PDPA）。个人数据保护法》规定了一个完整的跨部门框架，以保护商业交易中的个人数据。PDPA适用于任何处理或控制数据主体个人数据的人或数据用户（组织）。PDPA的目的是保护组织对个人数据的任何滥用。

Argentina – Personal Data Protection Law (Act 25.326)

Effective Date: 2000

阿根廷的《个人数据保护法》（PDPL）自2000年起生效，适用于进行个人数据处理或加工的个人或法律实体。该法以及第1160/10号法令（用于执行该法）规定了一般数据保护和人身保护数据标准。PDPL规定的处罚范围从1000里亚尔到500万里亚尔，以及最低6个月到最高2年的监禁。一项新的法案 "MEN-2018-147-APN-PTE "与欧盟GDPR更为接近，已提交给阿根廷参议院批准，旨在取代PDPL。

Chile – Protection of Private Life (Law No. 19.628 of 1999)

Effective Date: 1999

智利的第19628/1999号法律 "保护私人生活"，通常被称为个人数据保护法（Personal Data Protection Law，PDPL），适用于负责处理个人数据相关决定的公共和私人组织。没有数据保护机构，这意味着对不遵守规定的处罚（可能达到3500美元）必须由法院在私人索赔中批准。然而，自《支持消费者法》生效以来，消费者可以向消费者保护机构SERNAC提出投诉，指控其违反了数据保护法。SERNAC不能施加罚款，但可以启动和参与司法程序和集体自愿程序。

Colombia – Statutory Law 1581 of 2012

Effective Date: October 17, 2012

在哥伦比亚，管理个人数据的一般法律框架是2012年第1581号法律。该法律对所有收集居住在哥伦比亚的人的个人数据或在哥伦比亚处理任何个人的个人数据的个人、私营和公共公司以及政府实体进行管理。它的主要目标是维护人们对存储在数据库或文件中关于他们的信息的知情权、更新权和更正权。

Ecuador – Ley Orgánica de Protección de Datos Personales (LOPD)

Effective Date: 26 May 2021

厄瓜多尔的Ley Orgánica de Protección de Datos Personales (LOPD)，在西班牙语中为个人数据保护组织法，适用于在厄瓜多尔注册并处理个人数据的组织或实体，以及不在厄瓜多尔注册但通过向厄瓜多尔居民出售商品或服务或管理其行为来处理其个人数据的公司或实体。对于轻微的违规行为，处罚范围是一个组织前一年年收入的0.3%至0.7%，而对于严重的违规行为，处罚范围是0.3%至0.7%。

Peru – Law No. 29733 On the Protection of Personal Data

Effective Date: June 7, 2011

秘鲁的个人数据保护及其相关条例，即第003-2013-JUS号最高法PDLP条例，是秘鲁的主要数据保护立法。另一部法律，即2001年颁布的第27489号法律（后来经过多次修订），涉及处理敏感的个人数据和风险较大的数据处理活动的实体，如与金融、商业、税收、就业或保险义务有关的处理，或允许评估其经济偿债能力的自然人或法人的背景。

Uruguay – Ley de Protección de Datos Personales y Acción de Habeas Data (Law No. 18.331)

Effective Date: August 11, 2008

乌拉圭的Ley de Protección de Datos Personales y Acción de Habeas Data（西班牙语）或Law on Protection of Personal Data and Action of Habeas Data（英语）及其2009年8月31日的第414/009号监管法令适用于处理个人数据的个人、政府部门、公共或私人组织，无论是否在乌拉圭成立，但在乌拉圭提供商品和服务或分析个人行为或使用位于乌拉圭的处理手段。该法律由个人数据监管和控制机构（Unidad Reguladora y de Control de Datos Personales）（"URCDP"）执行，该机构是乌拉圭的数据保护机构，但权力分散。

Paraguay – Personal Credit Data Protection Law or Credit Data Law

Effective Date: October 28, 2020

巴拉圭目前的数据保护法是第6534/2020号法律 "关于保护个人信用数据"（"个人信用数据保护法"），它取代了早期的第1682/2001号法律 "关于私人信息使用的规定"。根据新的法律，禁止公开或散布有明确身份或可识别的人的敏感数据。如果个人信息的收集、储存和处理是合法的、准确的、完整的、真实的，并为收集数据的具体目的而更新，则允许收集、储存和处理私人使用的信息。

Egypt’s Data Protection Law

Effective Date: 14 October 2020

埃及的《数据保护法》（Data Protection Law，DPL）主要以GDPR为蓝本。它适用于处理属于埃及居民的个人数据的数据控制者和处理者，无论他们是否在埃及。根据DPL，所有数据泄露或网络攻击必须在72小时内向个人数据保护中心以及受影响的数据主体报告。只有在存在法律依据的情况下，才允许处理个人数据。

Israel's Protection of Privacy Law

Effective Date: 1981

以色列1981年的《隐私保护法》是至今仍然有效的最古老的隐私法之一。此后，《隐私保护（数据安全）条例》对其进行了补充，其中包含了与数据安全和国际数据传输有关的义务指导。它适用于在以色列开展业务的公司。关键的数据处理原则是透明度、处理的合法依据、目的限制、数据最小化、相称性和数据保留。2021年1月以色列议会提出了修订1981年《隐私保护法》的草案，目前正在等待国会批准通过。

Andorra Personal Data Protection Act

Effective Date: Since May 17, 2022

安道尔个人数据保护法于2022年5月17日由安道尔数据保护局（ADPA）宣布开始生效。该法适用于位于安道尔的个人或公司对个人数据的完全或部分自动化和非自动化处理。它也适用于安道尔境外使用位于安道尔境内的个人数据处理设备的个人或公司。该法律的主要亮点包括关于已故人员的个人数据处理、数据主体的同意、数据保护官员的任命、数据主体的权利、安全漏洞通知和跨境数据转移的规定。

UK Data Protection Act (DPA)

Effective Date: Since May 25, 2018

英国2018年《数据保护法》（DPA）是1998年通过的《数据保护法》的修订版。DPA 2018执行了GDPR，并增加了一些内容和限制。DPA 2018分为三种处理方式，包括一般数据处理、执法机构的处理和情报部门的处理。DPA 2018必须与UK GDPR以及届时适用的任何案例法一起解释。

EU’s General Data Protection Regulation (GDPR)

Effective Date: Since May 29, 2018

欧盟《通用数据保护条例》（GDPR）被认为是最全面的数据保护法律框架，旨在保护自然人的个人数据，并赋予他们若干权利。该条例适用于在欧盟成立的公司。它也适用于不在欧盟建立的组织，这些组织监测个人在欧盟的行为或向欧盟的数据主体提供商品或服务。在GDPR的启发下，世界各国都在类似的框架基础上制定了自己的数据保护法。

本文：https://cioctocdo.com/summary-personal-information-protection-laws-majo…