加拿大于11月11日提出了新的隐私法案,将重塑联邦的隐私法框架。拟出台的《2020年数字宪章实施法》(Digital Charter Implementation Act, 2020)包括《消费者隐私保护法》(Consumer Privacy Protection Act,简称为CPPA)。而现行法律《个人信息和电子文件法》(Personal Information and Electronic Documents Act。简称为PIPEDA)最初于2001年通过,并于2004年全面生效。
加拿大拟出台的新隐私法将对公司施以巨额罚款--最高可达营收的5%或2500万加元,并以高者为准。
PIPEDA当时的立法背景是为了应对欧盟原来的隐私指令(Privacy Directive,),允许来自欧盟的数据传输。自从欧盟法院作出"Schrems II "裁决后,这一点变得更加重要。那项裁决并没有触及加拿大的充分性决定,但显然,自《通用数据保护条例》(GDPR)实施以来,欧盟的期望值不断提高,欧洲数据保护委员会的任务就是审查所有充分性决定的调查结果。
拟议的修改将通过《数字宪章实施法》来实现,主要有两方面的变化:
首先,第1部分修订并重新命名了PIPEDA,它将被称为消费者隐私保护法(CPPA)。
其次,第2部分通过《个人信息和数据保护法庭法》( Personal Information and Privacy Protection Tribunal Act ),拟建立了一个专门的隐私和数据保护法庭。
如果CPPA的标题让你想起加州消费者隐私法(CCPA),这不是巧合,由加拿大信息科学和经济发展部长Navdeep Bains提出的C-11法案,将对公司实施巨额罚款--最高可达营收的5%或2500万加元,以高者为准。他说我们的法律将比加州的法律更强大。以下是这次法律修订的核心要点:
1.隐私管理计划(Privacy management program)。第9条要求各组织制定隐私管理计划,列出组织保护个人信息的政策和程序,处理隐私投诉,培训人员,并制定材料来解释组织的政策和程序。该条还允许 "按需 "向加拿大隐私专员办公室查询这些政策。
2.适当性(Appropriateness)。新法虽然没有明确规定隐私风险评估或隐私设计,但第12条概述了处理的适当性因素,并要求评估隐私损失与组织措施所带来的利益的相称性。
3.有意义的同意(Meaningful consent)。PIPEDA已经是一个基于同意的制度,新法案将隐私专员的指导意见编入法典,隐私专员明确表示,他们的同意方式将与GDPR的规定相同。它还消除了在无法提供任何有意义的隐私保护时必须获得同意的负担。
4.正当利益(Legitimate interests)。第18条将一个组织不必依赖于同意的情况编入法典,例如当一个人不被合理地要求,或提供所要求的服务,或组织被要求保护自己。
5.自动决策(Automated decision-making)。PIPEDA不适合处理自动或算法决策问题。CPPA规定了算法的透明度,以及个人有权要求解释关于他们的自动决策是如何做出的。
6.去标识化信息(Deidentified information)。PIPEDA将个人信息定义为 "关于可识别个人的信息",这在大数据时代带来了挑战。拟议的立法采取了一种更加基于风险的方法,允许使用未被识别的信息,并明确何时可以在未经同意的情况下使用。
7.数据可携性/流动性(Data portability/mobility)。个人有权将其数据从一个组织转移到另一个组织。此外,还有一个 "数据流动框架(data mobility frameworks) "的概念,将由监管部门批准,作为实现数据流动的安全机制。
8.删除权(Right to erasure)。立法草案将允许个人要求包括社交媒体在内的组织删除数据,并允许个人撤回对使用其信息的同意。
9.加强执法和监督。根据PIPEDA,OPC的执法权力有限。该办公室目前主要以申诉专员的身份运作。它可以对投诉进行调查和报告,提出建议,并与各组织签订合规协议,但它无权作出罚款。为弥补这方面的不足,立法草案提供了发出命令的能力和罚则,包括作出停止处理活动的命令。
如上所述,个人信息和数据隐私法庭将有可能成为一个 "更快速 "和非正式的途径来执行OPC的命令,现在这些命令被赋予联邦法院命令的效力。
根据新法,OPC有权下令对不遵守规定的组织处以不超过全球收入3%的行政罚款,或1000万加元(约760万美元)的罚款。立法草案还扩大了某些严重违法行为的范围,最高可处以全球收入的5%或2500万加元(约1900万美元)的罚款。
10.实践守则和认证(Codes of practice and certification)。立法草案将允许某些活动和部门的实践守则和认证,并为参与者提供与投诉和命令有关的某些保护。
11.私人诉讼权(A private right of action)。如果OPC确定组织存在侵犯隐私的行为,并且法庭也支持,个人将能够就侵犯隐私行为提起诉讼。值得注意的是,加拿大法律规定的伤害并不限于经济上的伤害,而且聚焦如何使私人诉权在集体诉讼中发挥作用。
12.向服务提供者的数据转移(Transfers to service providers)。Equifax 案裁决中出现的与同意有关的问题已得到解决,立法草案规定向服务提供者转移数据时不需要经过个人的同意(第 19 条)。
现在还有待观察的是,这项联邦新立法将如何(或不会)与各省的立法相结合。魁北克省已经提出修改,使其法律非常类似于GDPR;不列颠哥伦比亚省在最近的选举之前,也在考虑修改;阿尔伯塔省最近宣布计划更新其健康隐私法。
如上所述,安大略省在夏末就其自身可能的私营部门隐私法发起了磋商。任何联邦制度的一个主要挑战是如何尊重宪法权力的划分,同时提供一个支持辖区内一致性的国家框架。由于我们的专员的工作和基于原则的法律,我们在加拿大各地对隐私法的解释和应用有显着的一致性。
我们必须解决的另一个重要门槛是欧盟的充分性问题。Bains在他的简报中提到了这个问题,他讨论了与GDPR的互操作性,以及保留充分性的必要性。"Schrems II "提出的许多与欧盟-美国隐私盾协议有关的问题,对加拿大来说,还没有那么严重,但仍然必须解决。
当然,这个故事远未结束,我们只是在开始认真讨论如何在加拿大联邦系统中构建隐私,并实现CPPA的诸多目标。但有一点是肯定的:如果《数字宪章实施法》获得通过,它将从根本上改变加拿大隐私法风景。(文章来源:数据法盟)