隱私法
近年,隨著網絡迅速發展和普及,市民大幅提升對數據處理的個人資料私隱、資料保護等關注度,很多地區和國家政府亦就網絡上的資料保護、數據外洩等議題,增設或修改法律以規管企業。歐盟訂立的《一般資料保護規範》(GDPR)經過兩年緩衝期後,於2018年5月正式執行。其後巴西的《巴西一般資料私隱法》(LGPD)亦在2020年8月正式生效。除了歐盟及巴西,紐西蘭亦於2020年12月1日將《 2020年隱私法》取替沿用多年的《1993年隱私法》。
《 2020年隱私法》
這項法案的目的是促進及保護個人資料。這條法條生效後,當企業發生嚴重數據外洩事故時,要立即匯報該事故及損害風險。損害風險是指任何原本在企業內部的資料流出。所有在紐西蘭境內經營的本地和海外企業、處理紐西蘭公民資料的企業都必須遵守履行該法案。換句話說,全球大部份的企業都會牽涉這項法案並受到影響。根據這項法案,企業內必須任命一名資料保障主任 (Privacy Officer),負責監管企業內部有關個人資料私隱的規條、處理資料的過程及相關問題。如果企業發生個人資料外洩事故時,資料保障主任要即時匯報事故,並為該事故負責。
罰款
如果企業違反了法案,會因不遵守規條的罪名,最高被罰款$10,000紐西蘭元 (NZD)。更重要的是個人資料私隱專員(Privacy commissioner)可以就事故進一步向法院 (Human Rights Tribunal) 提出申訴,一經定罪,最高可被判處$230,000紐西蘭元 (NZD)。除此之外,個人資料私隱專員有權調查企業內部有關個人資料私隱的運作。
《一般資料保護規範》、《巴西一般資料私隱法》與《2020年隱私法》的異同
這三條法例在領土、個人和實質範圍裏,性質大致相同,均是向市民授予個人資料私隱權,並要求企業處理個人資料時履行數據保護的義務。再者,這三條法例都適用於國家或地區內外的企業。儘管紐西蘭更新了《隱私法》的內容,保障了國民的個人資料私隱。《2020年隱私法》在離岸資料上尚存有灰色地帶。轉移離岸資料給第三方以作儲存或處理之用並不包括在《2020年隱私法》之中,所以離岸資料不會被歸類為使用或披露資料。因此,部份企業,如雲端服務供應商,無須跟從該規條。此外,這三條法例都列明所有企業,如發生資料外洩事故,都必須通知相關部門和受影事件影響的持分者。《一般資料保護規範》列明企業如發生資料外洩事故,要在事故發生72小時內向相關部門報告,《巴西一般資料私隱法》和《2020年隱私法》則沒有列出明確的報告時間。三條法例都要求企業必需任命一位員工專責處理保護個人資料等議題。在《一般資料保護規範》和《巴西一般資料私隱法》下,該員工稱為個人私隱保護專員 (DPO),而《2020年隱私法》則稱為資料保障主任 (Privacy Officer)。三條法例都列明相應的罰款。相比之下,《2020年隱私法》的罰款最輕,其次是《巴西一般資料私隱法》,最高會被處罰5000萬雷亞爾(約1100萬歐元)。《一般資料保護規範》最為苛刻,最高可被處罰2000萬歐元的罰款。
《2020年隱私法》是紐西蘭在私隱條例上的里程碑。所有企業,尤其是處於紐西蘭的企業都應關注此法例。實際上,數據轉移和數據傳送正被廣泛使用,數據保護變成一個討論度高的議題。即使目前並非所有國家都已通過並實施數據保護法律,企業都應該將數據存放在安全的位置,減低資料外洩的風險。