美英新个人信息保护政策法规的考察与借鉴(4)
4 美英新个人信息保护的个人信息登记规则
美国联邦没有要求对数据库或个人信息处理活动进行登记,但一些州有相关规定。2018年,美国佛蒙特州通过立法,要求数据中介者(Data Broker)向本州的州务卿登记并遵守最低数据安全标准。根据这个法律,“数据中介者”被定义为收集与公司没有直接关系的佛蒙特州居民的计算机化个人信息的公司,并且没有出售或许可该信息[16]。此外,美国一些州法律要求从事某些类型电话营销活动的实体要向州总检察长或其他消费者保护机构进行个人信息登记[17]。
从2018年5月25日起,英国《数据保护(收费和信息)条例2018》[18]规定,除非获得豁免,否则每个处理个人信息的组织或个体交易商必须在英国信息专员办公室中登记并向英国信息专员办公室支付费用,而收费的成本取决于本组织的员工人数和组织的营业额。《数据保护(收费和信息)条例2018》规定这个收费分为三档,从40~2900英镑不等。就具体登记程序而言,需要在英国信息专员办公室网站上在线填写表格并在线支付费用,而且要求数据控制者在首次侵犯隐私时就支付费用,然后在每年续签时继续支付。此外,GDPR第30条还要求数据控制者对其处理活动进行记录。就数据处理者而言,也有义务记录那些旨在维护数据控制者利益而执行的处理活动。为了便于登记,英国信息专员办公室已发布控制者和处理者记录处理活动的模板,而且此类记录必须根据要求提供给信息专员办公室[19]。
新西兰各个机构没有义务向隐私专员告知本机构正在处理的个人信息。但是,根据《隐私法》第22条,隐私专员可能要求政府机构提供信息,以发布或补充目录,或者使隐私专员能够回应公众在此方面所进行的询问[20]。根据《隐私法》第21条,隐私专员可能会不时发布个人信息处理活动的目录,包括以下内容:政府机构所持有个人信息的性质;政府机构所持有个人信息的目的;政府机构所持有个人信息的个人类别;政府机构保存个人信息的期限;有权获取政府机构所持有个人信息的个人以及与获取有关的条件;希望获取政府机构持有个人信息的个人应采取的步骤[21]。
5 美英新个人信息保护的违规通知制度
美国所有50个州、华盛顿特区和大多数美国领土(包括波多黎各、关岛和维尔京群岛)都已通过违规通知法律,要求向州居民通知涉及更敏感信息的违规行为,如社会安全号码及其他政府标识符、信用卡和财务账号、健康或医疗信息、保险ID、税号、出生日期、在线账户凭证、数字签名、生物识别等[22]。根据美国一些州法律,如果超过500人受到影响,还必须通知信用局[23-24];一些州要求向州检察长或其他州官员通知某些数据泄露事件[25];一些州规定了对个人和州检察长或其他州官员进行通知的内容和时间要求。在联邦层面,有法律要求在医疗保健信息、财务信息、电信提供商所持有的电信使用信息、政府机构信息出现违规行为时发出通知[26]。
根据英国信息专员办公室的规定,如果涉及大量个人数据,或者涉及的个人数据量较小但个人遭受重大伤害的风险仍然很大,那么应该向信息专员办公室报告这一违规行为[27]。通常而言,数据控制者需要在违规行为发生的72小时内报告违规行为;如果超出72小时,那么必须向信息专员办公室说明延迟报告的原因,而且信息专员办公室已声明报告个人数据违规行为的72小时的截止期限包括晚上、周末和银行假期[28]。作为通知的一部分,信息专员办公室要求数据控制者将以下信息告知信息专员办公室:受个人数据泄露影响的数据主体的数量;受影响的个人数据的类型;个人数据泄露对数据主体可能造成的影响;数据控制者已采取纠正个人数据泄露并确保不会再次发生的措施;数据保护官的名称或信息专员办公室请求的其他联系点[27]。当将个人数据泄露情况通知给信息专员办公室时,信息专员办公室还可以要求数据控制者将个人数据泄露情况通知数据主体。针对不同时间点,可以采取不同方式进行通知:在办公时间内,可以向信息专员办公室的专用违规热线告知违规行为;在这些时间以外(或首选书面通知的情况下),可以下载形式并通过电子邮件发送给信息专员办公室。
新西兰《隐私法》没有强制性要求报告隐私侵犯情况,但一旦颁布了《隐私法条例草案(2018)》,就将强制要求报告数据泄露。任何人都可以向隐私专员投诉,报告某项行为是否在侵犯个人隐私。根据新西兰《隐私法条例草案(2018)》(Privacy Bill)第75条,所谓的“隐私侵犯”是指,违反法律且这种违反行为必须导致了财务损失或其他伤害,对人的权利、利益、特权、义务或利益产生不利影响,或者遭受重大侮辱、损失尊严或对人的感情产生伤害[29]。根据《隐私法条例草案(2018)》第117条,“隐私权侵犯”指未经授权或意外获取、披露、更改、丢失或破坏个人信息;阻止机构临时或永久获取信息的行为[30]。根据《隐私法条例草案2018》第118条,政府机构在意识到已发生应报告的隐私侵犯之后,必须在切实可行的范围内尽快通知隐私专员[31]。在通知要求方面,根据《隐私法条例草案(2018)》第121条,在需要通知的情况下,政府机构必须将以下情况告知隐私专员:受影响的人数(如果知道);该机构怀疑由于隐私泄露(如果知道)而可能拥有个人信息的任何人或机构的身份;为应对违规而采取或打算采取的步骤,包括是否已经或将要联系任何受影响的个人;该机构就违规行为及其他原因而联系过的任何其他机构的名称;咨询机构内联系人的详细信息(通常是数据保护官)。政府机构必须将同样的事情通知受影响的个人,但也必须确认已通知隐私专员,并告知其向隐私专员投诉的权利[32]。根据《隐私法条例草案(2018)》第122条,如果不遵守这些要求,可能导致最高美元的罚款[33]。要注意的是,与GDPR相比,这一罚款较低(最高为2000万欧元)。
文章来源:《国外文学》 网址: http://www.gwwxzz.cn/qikandaodu/2021/0414/480.html
上一篇:国外危险品物流理论和对策研究
下一篇:国外循环经济法律制度对我国的启示