文章目录[隐藏]
- 欧盟:GDPR(General Data Protection Regulation)
- 欧盟:ePrivacy Directive(欧盟 Cookie 法)
- 美国:CCPA / CPRA(California Consumer Privacy Act / California Privacy Rights Act)
- 巴西:LGPD(Lei Geral de Proteção de Dados)
- 加拿大:PIPEDA(Personal Information Protection and Electronic Documents Act)、
- 日本:APPI(Act on the Protection of Personal Information)
- 韩国:PIPA(Personal Information Protection Act)
- 中国:PIPL(中华人民共和国个人信息保护法)
随着数字经济的发展,个人信息已经成为核心资产。各国政府纷纷制定个人数据隐私保护法律,规范数据收集、存储、处理和使用行为,保障用户权益。本文将系统梳理国内外主要的数据隐私保护法规及其特点。
欧盟:GDPR(General Data Protection Regulation)
- 实施时间:2018年5月
- 适用范围:全球,凡处理欧盟居民个人数据的企业均适用
- 核心原则:
- 数据处理合法、透明、目的明确
- 最小化原则(仅收集必要数据)
- 数据准确性、存储限制、完整性与保密性
- 用户有访问、删除、数据可携带、反对处理等权利
- 处罚:最高可达全球年营业额 4% 或 2000 万欧元
欧盟:ePrivacy Directive(欧盟 Cookie 法)
- 主要内容:
- 禁止在用户未同意前使用非必要 Cookie 或追踪技术
- 对电子通讯数据隐私进行保护
- 作用:与 GDPR 配合,尤其影响广告技术、营销和分析工具
美国:CCPA / CPRA(California Consumer Privacy Act / California Privacy Rights Act)
- 实施时间:CCPA 2018年生效,CPRA 2023年生效
- 适用范围:加州居民数据,但对全国甚至全球企业有影响
- 核心权利:
- 知情权:企业必须告知收集的个人信息类型及用途
- 删除权:用户可以要求删除个人信息
- 拒绝销售权:用户可选择拒绝将个人信息出售给第三方
- 处罚:违规罚款高达每条违规信息 7500 美元
巴西:LGPD(Lei Geral de Proteção de Dados)
- 实施时间:2020年
- 核心原则:类似 GDPR,包括合法性、透明性、最小化、数据主体权利
- 监管机构:ANPD(国家数据保护局)
加拿大:PIPEDA(Personal Information Protection and Electronic Documents Act)、
- 实施时间:2000年生效,逐步修订
- 适用范围:商业组织在加拿大境内收集、使用或披露个人信息
- 核心原则:
- 收集、使用、披露数据需有明确目的并取得同意
- 仅收集必要信息(最小化原则)
- 用户有访问、更正、撤回同意权
- 企业需保障数据安全
- 监管机构:加拿大隐私专员办公室(OPC)
- 处罚:
- 违规主要通过调查、整改要求和名誉影响为主
- 新法案提议增加罚款(最高可达 1000 万加元)
- 特点:
- 偏重商业实践和自律
- 与 GDPR 相比,强制处罚和跨境要求略低,但仍要求合规管理
日本:APPI(Act on the Protection of Personal Information)
- 实施时间:2003年施行,2017年重大修订
- 适用范围:处理日本境内个人信息的企业,包括国内和部分跨境数据
- 核心原则:
- 收集目的明确,并告知数据主体
- 取得个人同意后收集敏感信息
- 对第三方提供个人信息需获得同意或遵循例外规定
- 用户权利:
- 查询、纠正、删除个人信息
- 对跨境数据传输有一定通知要求
- 监管机构:个人信息保护委员会(PPC)
- 特点:
- 相比 GDPR,处罚力度相对较低
- 重视企业内部信息保护措施和管理规范
韩国:PIPA(Personal Information Protection Act)
- 实施时间:2001年(2020年修订)
- 适用范围:适用于在韩国境内处理个人信息的公共机构和私营企业,包括韩国居民的个人数据
- 核心原则:
- 收集和使用个人信息必须合法、正当、明确目的
- 仅收集必要信息(最小化原则)
- 提供透明说明,告知数据用途和第三方共享
- 保护个人信息安全,防止泄露或滥用
- 用户权利:访问、更正、删除、限制处理、撤回同意
- 监管机构:韩国个人信息保护委员会(PIPC)
- 处罚:违规可能受到警告、整改命令、罚款或刑事责任
阿根廷:PDPA(Personal Data Protection Act)
- 实施时间:2000年通过,近年来根据国际标准更新
- 适用范围:处理阿根廷境内自然人个人数据的企业
- 核心内容:
- 数据收集需合法、明确目的,并告知用户
- 用户有访问、更正和删除个人数据的权利
- 数据转移出境需符合当地监管要求
- 监管机构:Agencia de Acceso a la Información Pública(AAIP)
- 特点:
- 与欧盟 GDPR 相似,被认为是南美最严格的数据保护法之一
- 对跨境数据传输要求严格,需遵循安全标准
中国:PIPL(中华人民共和国个人信息保护法)
- 生效时间:2021年11月1日
- 适用范围:处理中国境内自然人的个人信息行为
- 核心内容:
- 合法性原则:收集使用个人信息必须有明确目的,并取得用户同意
- 最小化原则:仅收集必要信息
- 用户权利:访问、复制、更正、删除、撤回同意
- 跨境传输:出口个人信息需经过安全评估或遵循标准合同条款
- 处罚:违规企业可处以 50 万至 5000 万元罚款,严重者可暂停业务
如有疑问,可以在文章底部留言或邮件(haran.huang@ichdata.com) 我~
