各国关于数据与个人隐私的法律规定

精品文档 1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载 国家时间法律原则特点 经济与发展合作 组织 1980 OECD 指南 应在特定的 目的下收集所需要的信息 在不迟 于数据收集时间明示用户 且在随 后的使用中遵循这一目的 明确规 定了数据安全保护的准则 即应该 采取相关安全措施对个人数据进行 保护 防止丢失 破坏及未经授权 的更改等风险 强调特定 目的和目的的 一致性 侧重于防止 数据丢失及未 经授权的更改 1981 个人信息自 动处理中的个 人保护公约 公平信息实务法则凸显了欧洲对 隐私权的保护 欧盟 1995 欧盟 1995 年 指令 数据控制者应对数据进行公平 合法的处理 并应明示数据收集的 目的且该目的必须是合法的 在之 后的使用过程中也应遵循这一目的 所收集的信息是准确的并且应得 到及时的更新 数据控制者应采取 必要的措施以确保数据的更正和删 除 在数据不准确 不完整的情况 下 数据主体可以限制数据控制者 使用其数据 数据控制者如果已将 这些数据向第三方披露 还必须通 强调目的的合 法性与一致性 保障个人数 据的准确 及 时 可核实 可修改 可删 除 可拒绝 并将变更事宜 精品文档 2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载 知第三方通知第三方 2002 电子通信指 令 电信公司必须采取组织措施保证用 户数据的安全性 如果出现了意外 的风险应立即通知与风险有关的用 户 努力将损失降到最低 强调立即通知 与风险有关的 用户 2015 一般数据保 护条例 一旦发生数据泄漏事故 公司应该 立即向国家机关机构报告 并且应 马上评估事故影响的范围及事故的 原因 及时通知与事故有关的可能 收到影响的用户 使用户能够及时 采取相关措施挽回影响 随着云服 务的发展 对数据的监管不光针对 数据控制方 也应扩大到第三方数 据处理方 强调立即向国 家机关机构报 告并且及时评 估事故的影响 范围 2016 一般数据保 护条例 GDPR 数据控制者应合法 公平和透明 地处理数据当事人的个人数据 在 收集个人数据时是为了明确且合法 的目的 在之后对数据的进一步处 理中要与最初的目的相符合 在数 据处理中要遵循 数据最小化 原 则 所处理的数据是适当的 相关 的并且限于与目的有关的 在收集数据主体的个人数据时 需向数据主体披露以下信息 管制 员的身份及联络资料 在适用情况 下的管理人的身份及联络资料 管 强调目的的 合法性与一致 性 且需遵循 数据最小化 原则 告知数据管 理员的相关信 精品文档 3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载 理者的代表 数据保护主任的详细 联络资料 个人数据意图处理的目 的以及加工的法律依据 个人数据 的收件人或类别 如有的话 数据控制者应采取合理的措施保 证数据的准确性并在必要时保持更 新 数据主体可以要求纠正或删除 正在被处理的数据 息 保证个人数 据的准确 更 新 修正与删 除 2018 一般数据保 护条例 在数据的使用过程中采用有效的 技术及组织措施保障数据的安全性 避免数据遭到损坏及非法处理 数据控制者应该提供将数据传送 给第三国的事实 以及数据管理者 是否针对此问题做出充分决议 将 个人数据转移给第三国或第三方处 理者时 要明确其是否能够遵守本 条例 是否能够保证数据主体的相 关权利的执行 数据控制者在处理个人数 据时应遵循 GDPR 的个人数据处理 原则 并应该对是否遵循原则提供 侧重于防止 数据被非法处 理 第三国 精品文档 4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载 相应的证明 同时 该法律还规定 数据控制者在处理数据时应保持相 应的记录 以数据控制者的名义处 理数据的数据处理者 也应当保存 一份记录 如果发生个人数据安全事故 数 据控制者应在 72 小时内报告相关 监管机构 报告的内容主要包括 相关个人数据的种类及数量 描述 事故的可能情况 数据控制者将要 采取的措施 数据控制者 与相关的数据 处理者 强调及时向 监管机构报告 并且明确时间 限制 并规定 了报告的具体 内容 亚太经合组织 2004 亚太经合组 织隐私权法则 公平信息实务法则 日本 2003 个人信息保 护法 数据控制者在处理个人信息时 要严格遵循使用目的 如需变更这 一目的 则它不应该超出合理可以 接受的范围 处理个人数据的单位 未经本人同意 不得超出使用目的 的范围 强调使用数 据目的应在合 理的范围内 精品文档 5欢迎下载5欢迎下载5欢迎下载5欢迎下载5欢迎下载 处理个人数据的单位不得泄露 破坏或者损坏所处理的个人数据 并且应采取必要和适当的措施对个 人数据进行安全管理 处理个人数据的单位应当在达到 使用目的所需范围内 保持数据准 确和最新 当不再需要使用它时 必须努力消除这些个人数据 如发生泄漏事故 采取必要的补 救措施 包括 在经营者内部通报 事故 防止危害的进一步扩大 调 查事实 并确定其影响的范围 研 究预防此类事件的有效措施 并与 受到危害的人联系 侧重于防止 数据泄露 破 坏 保证数据的 准确性 及时 性 可删除 强调及时通 报事故并着重 研究预防此类 事件的有效措 施 中国 2012 全国人大常 委会关于加强 网络信息保护 的决定 企业在经营活动中收集用户的个 人数据 必须遵循相关的法律法规 不得违背与用户的约定 企业在收集 使用个人数据时应 当明示收集数据的目的与范围 同 时征得用户的同意 数据收集者及其他企业或组织应 采取必要的技术和有效的措施保障 数据安全 如发生了数据损毁 泄 强调应遵循 与用户的约定 告知使用目的 范围且取得同 意 强调保障数 据安全 如发 生安全事故马 精品文档 6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载 露等事故 应马上采取相应的补救 措施 上采取补救措 施 电信和互联 网用户个人信 息保护规定 互联网服务经营者在收集 使用 数据的过程中 应遵循合法 最少 够用的原则 电信业务经营者 互联网信息服 务提供者委托他人代理市场销售和 技术服务等直接面向用户的服务性 工作 涉及收集 使用用户个人信 息的 应当对代理人的用户个人信 息保护工作进行监督和管理 不得 委托不符合本规定有关用户个人信 息保护要求的代理人代办相关服务 强调合法 最 少够用的原则 第三方代理 人 2013 信息安全技 术公共及商用 服务信息系统 个人信息保护 指南 在收集数据前要向用户明确告知 以下事项 收集数据的方式与具体 内容 收集数据的范围包括可能向 第三方机构披露其数据的范围 个 人数据管理者的名称 联系方式等 基本信息 用户提供个人数据的风 险及不提供个人数据的后果 如需 将数据披露给第三方应告知第三方 的相关信息 采用适当 必要的管理措施保障 个人数据的安全 防止数据的不正 当利用 遭到故意或意外的损毁以 及个人数据被篡改 告知事项较 为全面 范围 比较广 侧重于防止 数据被不正当 精品文档 7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载 如用户发现自己的数据存在缺陷 或错误 数据控制者应及时查验核 对并进行修改和补充 同时还规定 了在数据处理过程中保证数据的完 整性 保密性 且使其处于可用状 态 当数据主体要求删除其个人数据 收集数据的目的已经达到 超出告 知用户的数据储存期限 个人数据 控制者解散时 应及时删除用户的 个人数据 企业或组织向第三方机构转移个 人数据时 要对第三方机构处理个 人数据的能力进行评估 并以合同 的形式明确其对数据的保护责任 利用 意外损 毁及篡改 保证个人数 据的可用 可 查询 可修改 保证在特定 情况下及时删 除相关数据 第三方机构 2015 刑法修正案 九 违反国家有关规定 向他人出售或 者提供公民个人信息 情节严重的 处三年以下有期徒刑或者拘役 并 处或者单处罚金 情节特别严重的 处三年以上七年以下有期徒刑 并 处罚金 违反国家有关规定 将在 履行职责或者提供服务过程中获得 的公民个人信息 出售或者提供给 他人的 依照前款的规定从重处罚 所有违反国家 规定违法使用 公民个人信息 的人 2004 加州在线隐要求网站披露 在隐私政策中明示告知收集与分 精品文档 8欢迎下载8欢迎下载8欢迎下载8欢迎下载8欢迎下载 私保护法案 正在收集的数据与正在和谁分享数 据 享对象 2013 2013 年美国对 该法案进行了 修订 要求网络运营商披露对在线访问者 的追踪 告知使用目的 范围 美国 2015 消费者隐私 权利法案 企业应明确收集数据的范围 所 收集的数据应为了特定的目的 且 在随后的数据使用中应该与用户所 预期的相符 如果不相符 要以用 户能清楚知道的方式通知用户 以 使其能够快速的做出反应 企业应明确说明所收集数据的种 类 收集数据的原因及用途 并说 明是否将与第三方进行数据共享 企业应当根据实际情况 评估数 据安全风险 采取合理有效的措施 预防可能发生的安全风险 如数据 损坏 非法访问等 当个人数据出现错误时 如涉及 用户的敏感性数据并将对用户产生 负面影响 则用户有权修改以可用 格式储存的数据 企业应确保使用 的是正确的个人数据 当个人数据 使用完毕后应删除相关数据 或删 除数据中有关的身份信息 企业应该对第三方企业进行调查 强调使用目 的与使用范围 的一致性 告知收集原 则 范围 原 因 用途 侧重于评估 数据安全风险 防止数据被损 坏 保证个人数 据的准确 可 用性 可修改 可删除 精品文档 9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载 调查其使用用户数据的目的 方式 范围等 以及是否赋予用户相应的 数据权利 企业应该为员工提供定期的培训 以确保员工在合法合规的情况下使 用数据 并据此对员工进行绩效评 估 企业应当进行全面的数据使用 内部控制监督 确保每一环节的数 据使用都是合理的 问责制下 企 业不仅要对内部进行控制和问责 还应该对用户和相关行政机构承担 相应的外部责任 如保障数据安全 协助调查等 当数据安全事故发生时 通过邮 寄地址 电话 电邮等方式通知用 户 须通报的内容包括 事故发生 的日期 未经授权的人已获数据的 类别描述 为保护数据遭到进一步 破坏所采取的措施 第三方企业 对企业内部 人员的问责以 及对用户及相 关行政机构的 负责 具体内容 英国 1998 数据保护法 应主动联系数据所有人并说明数据 控制人人在处理个人数据方面的现 行做法或意图 主动告知使用 目的 加拿大 2000 个人信息保 护和电子文件 一个组织负责管理或保管个人数据 包括已转交给第三方进行处理的数 第三方数据处 理方 精品文档 10欢迎下载10欢迎下载10欢迎下载10欢迎