IAPP报告 | 2023年全球立法趋势预测

摘译 | 林心雨/赛博研究院实习研究员

来源 | IAPP

数据隐私及其相关立法在2023年将成为各国关注的焦点。在世界上几乎每一个角落，数据隐私立法都影响人们的日常生活。今年，预计各国都将更新现有的立法，以适应不断发展的技术。本文选取了其中几个重点国家与地区，关注它们在新的一年中的立法趋势。

2022年是中国数据制度不寻常的一年，中国国家网信办单独或联合中国其他中央监管机构发布或通过了大量重要规定，以促进中国三大数据法律的实施——《个人信息保护法》、《数据安全法》和《网络安全法》。中央网信办明确了合规法律机制、合规要求和合规程序。有了跨境数据转移的新规则、指导方针、国家标准和标准合同条款草案，商业组织现在可以根据其具体业务场景进行更清晰的自我评估，并可以确定数据向境外传输的适当机制。

此外，在过去一年中，中国的数据监管执法行动也取得了重大突破。政府部门对三大数据法律的违规情况进行了多轮审查，数千款违法手机应用从应用商店下架。

在数据立法和执法发展方面，2023年将继续是繁忙的一年。关于关键信息基础设施和重要数据的规定以及跨境数据传输标准合同有望最终确定。在执法方面，3月将是一个重要的里程碑，因为跨境数据传输安全评估的宽限期将截止于2月底，预计执法机构将于3月对不合规的商业组织采取行动。

在过去12个月里，移动应用程序一直是执法的主要目标，鉴于中国是全球最大的移动应用程序市场，这一趋势将继续下去。预计有关部门将采取广泛的执法措施，包括责令限期整改、暂停应用程序运营、从应用商店下架应用程序，以及对应用程序运营商和高管处以罚款。

2023年，人肉搜索预计仍将是香港个人资料私隐专员（DPA）关注的主要领域。私隐专员公署在2022年拘捕了八名与网上售卖个人资料有关的人士，并于10月作出首宗网上售卖个人资料罪行的定罪。

在2021至2022年度年报中，公署强调《个人资料（私隐）条例》修订实施以来，已处理了928宗涉及《个人资料（私隐）条例》的案例，向多个网上平台发出超过600份停止售卖个人资料告示，并就65宗个案展开刑事调查。

公署亦表示，会继续与香港政府合作，讨论《个人资料（私隐）条例》的进一步完善，以期制订实质性的立法建议，配合相关国际立法。有关修订《个人资料（私隐）条例》的讨论始于2020年1月，当时提出了若干修订建议，包括建立强制性资料泄露通知机制、要求资料使用者制订资料保留期限政策、授权公署作出行政罚款，以及直接规管资料处理者。虽然讨论的时间表仍不清楚，但这看起来也是公署在2023年的一个重点领域。

香港法律改革委员会（LRC）于2022年7月发表《依赖电脑网络的罪行及司法管辖权事宜》谘询文件，就制定新的网络罪行法例（包括引入五项新罪行）提出建议，以处理与资讯科技发展有关的网络罪行和网络安全问题。这一文件是LRC将公布的三部文件的第一部，其他预计将于今年发表，重点关注网络犯罪、数字时代的宏观挑战以及证据和执法问题。

欧盟于2022年颁布的新立法都将于今年及之后生效。在数据治理领域，这些政策主要涉及数据共享、内容审核、定向广告、透明度和网络安全。此外，欧盟立法者正在谈判进一步的政策，这些政策可能在2024年初下一个欧盟立法周期启动之前完成。目前提交的提案主要侧重于人工智能治理、数据共享的部门规则（特别是在卫生领域）、儿童在线保护和工业数据治理。

GDPR和其他隐私相关规则的执行也将仍然是欧盟委员会和监管机构的优先事项。在GDPR违规罚款创纪录的一年之后，执法力度预计将在2023年加大。预计欧洲数据保护委员会（EDPB）将于明年2月启动第二次协调执法行动，重点关注的是DPO的指定和职位。这项行动的目标将是强调DPO的地位及其在各组织中的重要性，该行动最终将形成一份报告，其中可能包括国家层面或EDPB层面的后续执法行动的指导。国家监管机构和欧盟法院正在审理几起重大案件，这可能会促成在隐私保护领域的变革性决定，涉及儿童数据、员工数据处理、传输机制等领域。

进入2023年，人们可以从两方面看待美国在保护隐私方面采取的行动。乐观的前景是，拟议中的《美国数据隐私和保护法案》（ADPPA）的工作将延续到2023年。另一方面，看着国会反复讨论同样的老问题——私人行动权、优先购买权等，但却没有达成解决方案。

两院之间的分歧将最终决定今年联邦隐私的命运。众议院共和党人表示，对大型科技公司的隐私合规监管将是他们与大多数人一起关注的优先事项。如果ADPPA或类似法案最终由共和党人提交众议院投票，并在两党支持下在众议院获得通过，也就不足为奇了。但在参议院，民主党人仍然专注于获得一项完整的法案——更强有力的消费者保护、保护女性生殖健康等。

在州方面，加利福尼亚州、科罗拉多州、犹他州和弗吉尼亚州的综合法律已经公布实施，或将在2023年的不同时间实施。此外，马萨诸塞州、密歇根州和明尼苏达州之前都有民主党支持的隐私法案。根据这些潜在法案的实质内容，美国国会可能被迫搁置分歧，达成人们期待已久的联邦立法。

2023年，澳大利亚《隐私立法修正案（执行和其他措施)法案》将生效，并有望看到《隐私法》的进一步改革。

《隐私立法修正案(执行和其他措施)法案》于2022年11月由众议院提出并通过。该法案是在几起影响数百万澳大利亚人的重大数据泄露事件后提出的，预计该法案最终将上升为一项法律。如果该法案生效，将大幅增加对严重或多次侵犯隐私行为的处罚力度，并赋予隐私专员更大范围的合规权力，但它仍然要求必须由联邦法院征收罚款。

到2023年初，澳大利亚政府将完成《隐私法》审查报告，该报告将建议对该法案进行进一步改革。改革将包括：对获得同意的时间和方式提出更严格的要求；更新“个人信息”的定义，将技术数据和在线标识符包括在内；强调隐私风险管理的问责制；增强澳大利亚信息专员办公室（OAIC）的执法权力。

2023年加拿大的隐私立法至少有两个重要的发展值得关注。

首先，加拿大魁北克省64号法案通过后产生的变化始于2022年9月，而大部分变化将于2023年9月生效。

其次，C-27法案于2022年6月提出。这项联邦法案将用《消费者隐私保护法》取代《个人信息保护和电子文件法》，并制定《人工智能和数据法》。在近期没有选举的情况下，该法案有很大的概率能在2023年完成。

2023年值得关注的一个关键是印度新提出的《数字个人数据保护法案》的进展。电子信息技术部将在向议会提交法案之前进行广泛的公众咨询。

这是印度自2017年以来的第四版个人数据保护法，2017年印度最高法院明确隐私是印度宪法保障的一项不可剥夺的固有基本权利。从那时起，政府在制定全面的数据保护法这一方面不断努力。

该法案的解释性说明表示，它将在印度建立一个管理数字个人数据保护的全面法律框架，印度政府已经参考了全球最佳实践。该法案是一个简洁的法案，包含30个部分（早期法案有90多个部分），但也存在一些潜在的争议性问题，比如：数据保护委员会（DPA）的独立性令人怀疑；“公共利益”和“国家工具”的广泛豁免；对数据主体施加的某些不寻常的义务（例如，确保所提供的信息具有“可核实的真实性”）；在政府的规则制定权下，哪些问题可以由行政部门自行决定。

该法案可能不是一部理想的个人数据保护法，但印度政府处理该法案的效率与它处理2019年法案的方式形成鲜明对比，这值得适当的赞扬。印度政府起草了现如今的这项法案，安排了公众咨询时间，并在议会预算会议开始之前结束咨询期，从而增加了在2023年初向议会提出该法案的机会。

在过去几年中，新加坡对《个人数据保护法》进行了重大修改，以更好地保护消费者，以便跟上技术和业务发展的步伐。

在对个人数据保护行为进行首次全面审查后，2020年新加坡在通过的个人数据保护行为修正案中引入了以下变化，并正在分批实施。第一批（2021年）修正案扩大了个人数据保护行为的范围，将代表公共机构的个人数据处理者包括在内，赋予了数据保护行为更大的权力，加强了对垃圾邮件的控制，引入了强制性违约通知系统，并允许某些组织在某些条件下未经同意就用于了解客户行为等目的使用个人数据。第二批（2022年）增加了对违反个人数据保护行为的处罚，并对某些新类别的组织进行了处罚，最高罚款是100万新元，如果年营业额分别超过1000万新元或2000万新元，罚款可高达违规组织在新加坡年营业额的10%或5%。

在2023年，可以期待第三批(也是最后一批)变化的开始：数据可携带规定。虽然其在GDPR中已经是基本数据主体权利之一，但数据可携带条款将是新加坡个人数据保护行为的新规定。新加坡将其纳入的理由是：为个人提供更大的个人数据自主权，并帮助组织创新和充分使用组织拥有或控制的适用数据。