事实上,这是一些受欢迎的科技公司乐于免费提供服务的主要原因之一——这样做可以让他们以前所未有的规模收集用户数据。 然而,这可能在过去几年发生了变化。
由于各种因素,几乎所有国家目前都已经或正在制定数据保护法。 这些法律旨在规范公司收集、存储和使用用户数据、跨境传输数据以及出售/共享这些数据的方式。
对于公司而言,遵守这些法规是必要的——既是为了继续运营,也是为了避免巨额罚款。 (另请阅读:GDPR:您知道您的组织是否需要遵守吗?)
也就是说,有些规定比其他规定严格得多。 以下是每个企业都应了解的 10 条最严格的数据保护法规:
1. 欧盟
好的,所以欧盟 (EU) 在技术上不是一个单一的国家。 但考虑到通用数据保护条例 (GDPR) 被认为是数据保护法的黄金标准,并且考虑到欧盟的每个国家如何遵守它,很难不将其列在首位 这个列表。
由于 GDPR 对所有数据主体权利的解释如此详尽,以及它如何规定数据处理者和处理者的责任,任何受 GDPR 约束的组织几乎不可能声称不了解其应尽义务。
根据 GDPR,违规和数据泄露可能导致高达 2000 万欧元或违规公司全球年营业额 4% 的罚款——以较高者为准。 (另请阅读:数据泄露通知:法律和监管环境。)
最后,GDPR 适用于营利性和非营利性组织; 这是一揽子立法,涵盖任何出于任何原因收集和/或处理用户数据的人。
2. 尼日利亚
尼日利亚的数据保护条例 (NDPR) 于 2019 年根据 2014 年马拉博公约发布。 NDPR 为所有数据主体提供与 GDPR 保障的权利几乎相同的权利。 然而,其实施框架中关于行政制裁的部分巩固了其作为可能是最严格的数据保护法规之一的声誉。
与其他法规不同,没有提及违规方可能被罚款的最低或最高金额。 相反,除了其他因素的组合外,任何罚款都将取决于“违规行为的性质、严重性和严重性”。
因此,根据 NDPR,有可能对未能充分保护尼日利亚居民数据的组织征收数百万美元。 (另请阅读:大规模数据泄露:您可能不知道的真相。)
3. 加拿大
加拿大的主要数据保护法《个人信息保护和电子文件法》(PIPEDA) 经常被引用作为专门为企业和公司设计的法规的一个例子,而不是一揽子立法。
此外,其范围涵盖任何在商业活动过程中收集、使用或披露自然人个人信息的组织,而不是特定的国籍或居住地。
虽然 PIPEDA 在对违规行为进行处罚时并未公开严格——允许的最高罚款仅为 100,000 加元,但其严格性体现在 10 条公平信息原则中。 受 PIPEDA 约束的组织需要遵守这些原则,因为不这样做可能会导致对每个不合规实例处以罚款。
4.澳大利亚
澳大利亚联邦隐私法,即 1988 年隐私法,是澳大利亚处理数据保护的主要立法。
1988 年隐私法被认为是最早颁布的处理用户隐私的法律之一。 它辅以 13 项澳大利亚隐私原则 (APP),确保隐私法包含处理当前数字环境的条款。
使《隐私法》成为世界上最严格的数据隐私法之一的原因无疑归功于负责执行该法的澳大利亚信息专员办公室 (OAIC)。
与其他监管机构不同,OAIC 不必等待官方投诉就可以对其怀疑以任何方式不遵守法律的企业或网站展开调查。 (另请阅读:仅仅加密是不够的:关于数据安全的关键事实。)
5. 巴西
巴西的 Lei Geral de Proteçao de Dados (LGPD) 是 GDPR 之后生效的首批数据保护法之一。
它还在几乎所有主要方面都以 GDPR 为蓝本,包括巴西管辖范围以外数据传输的适用性、范围和规定。 然而,LGPD 对不遵守法律的企业规定的处罚要轻得多; 允许的最高罚款约为 5000 万巴西雷亚尔(1060 万美元)。
6. 日本
日本的《个人信息保护法》或《个人信息保护法》于 2017 年 5 月进行了修订,以涵盖面向日本居民的日本境外公司。
此外,欧盟和日本最近达成了彼此之间的“互惠充分性”。 这意味着如果隐私侵犯发生在日本而总部位于欧盟且受 GDPR 约束的欧盟公司和组织可能会在欧盟和日本面临法律诉讼,反之亦然。 (另请阅读:3 种不再有效的网络攻击防御措施。)
7. 泰国
泰国的《个人数据保护法》(PDPA) 原定于 2020 年 5 月生效。然而,一项皇家法令允许延迟一年生效,以确保所有预期受其约束的组织都有充足的时间准备并完全合规 .
延长这种特别注意是因为,虽然 PDPA 规定的行政罚款可能很低,但如果数据主体的权利受到侵犯,数据主体有权对违规方提起民事诉讼。 在执行这些刑事处罚的情况下,负责官员可能面临由该国法院确定的监禁。
8. 智利
根据 2018 年出台的一项修正案,智利将数据隐私设计为一项人权。 因此,任何发现其数据保护措施不足的组织都可能因侵犯人权而被追究责任。
智利于 1999 年推出了名为“1999 年第 19.628 号保护私人生活的法律”的数据保护法。 虽然智利是第一个拥有数据保护法的拉丁美洲国家,但缺乏官方监管机构以及低罚款使其成为相对过时的立法。 2018 年的修正案改变了这一点。
现在,被发现违反或不遵守数据保护法的组织可能不必担心巨额罚款或制裁——但确实面临被贴上侵犯人权标签的可能性。 这种可能性对任何企业的公共关系来说都是灾难性的,这导致人们投入更多精力来确保智利居民的数据隐私。 (另请阅读:关于技术隐私的 10 条引述会让您思考。)
9. 中国
中国的数据保护法《个人信息保护法》(PIPL) 之所以如此有效,是因为另外还有两部法律对其进行了补充:
《网络安全法》。
数据安全法 (DSL)。
此外,《中华人民共和国民法典》将隐私权和个人信息保护权写入国家民法典。
但它并没有就此结束。 不仅在中国运营或为中国居民提供服务的组织必须确保遵守所有这些法律,还有进一步的区域法规,例如上海数据条例和深圳经济特区数据条例。
在确保所有数据主体的权利在任何时候都受到保护时,确保遵守这些法规中的每一项法规所涉及的机制几乎没有给组织犯错的余地。
10.埃及
埃及的个人数据保护法 (PDPL) 几乎遵循大多数数据保护法规所期望的所有规范:
它适用于埃及境内外参与处理或收集埃及居民数据的所有组织。
所有数据处理者和数据处理者都有责任在意识到数据泄露后 72 小时内向有关当局报告数据泄露。
与 GDPR 相比,埃及 PDPL 的违规罚款相对宽松,最高罚款仅为 100 万埃及镑(约 54,000 美元)。
然而,埃及 PDPL 成为最严格的数据法规之一的原因在于,如果侵犯用户隐私,违规组织内的责任人可能面临监禁和罚款。
结论
在世界各地,各国都在采取措施确保其公民的在线隐私——这一领域以前基本上不受监管。
因此,重要的是要了解您的业务运营所在的任何地区的数据隐私法,这样您就可以避免罚款和其他处罚。
