引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024 年 5 月 30 日,魁北克信息获取委员会(CAI)宣布《个人信息匿名化条例》(以下简称《条例》)已于同日生效。该条例旨在确定适用于个人信息匿名化的标准和条款。该条例确认匿名化是可选的,因此只会对选择使用匿名化的公共组织和企业产生影响。
02、《条例》适用于哪些人?
该条例明确规定,其适用于《关于获取公共机构所持文件和保护个人信息的法案》第3 条中提及的任何公共机构,以及《关于在私营部门保护个人信息的法案》CQLR c P-39.1 所涵盖的经营企业的个人。
03、《条例》规定了哪些要求?
该条例对希望使用匿名个人信息的公共机构和/或企业提出了具体要求,包括匿名化必须在相关主管人员的监督下进行。此外,还要求各组织在匿名化过程开始时,删除所有可直接识别个人身份的个人信息,然后对重新识别出特定个人的风险进行初步分析。
对于对个人信息进行匿名化处理的组织,《条例》要求其保存已匿名化处理的个人数据以及所使用的匿名化技术的记录。此外,该条例还规定,组织必须定期评估经匿名化处理的信息以确保其匿名状态,并强调组织必须更新其先前进行的重新识别出特定个人的风险分析,并考虑可能出现能够重新识别特定个人的技术的进展。CAI 强调,条例第9 条规定了各组织的记录保存要求,将于 2025 年 1 月 1 日生效。
04、企业应该怎么做?
魁北克省《个人信息匿名化条例》建立在对魁北克省《关于在私营部门保护个人信息的法案》(《魁北克隐私法》)的全面修订的基础上,该条例为匿名化提供了比《魁北克隐私法》和CAI以往指导方针更清晰的框架,并规定了在魁北克省开展业务的组织需要遵守的若干合规和记录义务。
《匿名化条例》规定了一个严格的多步骤流程,以便公共机构和/或企业在商业或法律目的已经完成,不再需要个人信息或识别特定个人时,合法地对个人信息进行匿名化处理,以作为销毁的替代方案。为了应对该条例,相关组织应明确使用匿名信息的目的,审查其当前在个人信息存储、销毁和去识别化方面的做法、程序和政策,并确定是否需要更新以适应《匿名化条例》的规定。在某些情况下,可能还需要多个利益相关者(例如法律、合规、数据分析、信息技术等)参与程序审查匿名化过程。
加拿大新规来袭,企业如何驾驭个人信息匿名化的新浪潮?
作者:王捷律师团队来源:出海互联网法律观察

引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向