出海加拿大,企业应当了解这些个人信息保护知识

来源:广悦律师事务所

文章摘要
加拿大作为拥有四千万人口、全球前十经济体量的国家,是我国重要的经济贸易伙伴,也是众多中国企业的重要出海目的地。

加拿大作为拥有四千万人口、全球前十经济体量的国家,是我国重要的经济贸易伙伴,也是众多中国企业的重要出海目的地。加拿大十分重视个人信息保护,早在1985年即出台了针对政府等公立机构的全国性个人信息保护法律,同时在2000年通过《个人信息保护和电子文件法》完善了商业领域的个人信息保护立法。本文将梳理加拿大的个人信息保护的主要监管要求,供出海企业参考。
重要参考文件
《个人信息保护和电子文件法》(“PIPEDA”,S.C. 2000, c. 5)
《反垃圾信息法》(“CASL”,S.C. 2010, c. 23)
加拿大隐私专员公署《获取有效同意指南》(Guidelines for Obtaining Meaningful Consent)
魁北克省《私营部门个人信息保护法》(“Québec PIPA”CQLR c P-39.1)
艾伯塔省《个人信息保护法》(“AB PIPA”,SA 2003, c P-6.5)
不列颠哥伦比亚省:《个人信息保护法》(“BC PIPA”,SBC 2003, c 63)
Q1:加拿大的国家级和省级的个人信息保护法律应当如何适用?
加拿大作为联邦制国家,联邦(国家)及各省均有权制定与个人信息保护相关的法律。与依赖各州自行立法的美国不同,加拿大目前在联邦层面通过PIPEDA这一纲领性的法律,建立起针对商业活动的全国性个人信息保护法律体系。此外,2010年通过的CASL对加拿大的个人信息保护法律作出了修订与补充,对企业进行邮件营销等商业推广活动的个人信息保护作出规范性要求。
在省层面,目前加拿大不列颠哥伦比亚省、艾伯塔省、魁北克省均有针对商业活动中的个人信息保护的立法,这些法律被认为与PIPEDA实质性相似,除非法律另有规定,否则在上述省份地域范围内的个人信息处理活动需遵守这些省份订立的个人信息保护法律而非PIPEDA。
由于存在联邦和省两级法律,导致加拿大的数据保护法律体系较为繁杂,但考虑到目前有专门立法的三个省份的数据保护法已经被认定与PIPEDA实质性相似,有大量规定要求实际上是一致的,因此在进行加拿大数据合规工作过程中,可以以联邦层面立法PIPEDA及其附属法规为主干,并根据实际业务范围针对性地检视是否需要额外遵守省级数据保护立法的监管要求。本文也将主要围绕PIPEDA这一全国性法律展开讨论。
Q2:PIPEDA中的个人信息包括什么?
PIPEDA下的“个人信息”是指可识别个人的信息。这个定义非常宽泛,如果某一信息与其他信息结合使用该信息很有可能识别出个人身份,则该信息通常也会被认定为个人信息。例如,加拿大联邦个人信息监管机构加拿大隐私专员公署认为,个人的年龄、姓名、身份证号码、收入、种族或血型,或者针对某人的意见、评价、评论、社会地位或纪律处分一般都属于个人信息,员工档案、信用记录、贷款记录、医疗记录也属于典型的个人信息。
特别的是,为个人就业、商业往来、提供或接受专业服务而收集使用的个人商业联系信息(business contact information),不适用于PIPEDA,例如,企业为接受法律服务而使用律师的手机号码、邮箱地址而与律师进行联络的,或者企业为与客户保持联络而提供员工的姓名、职务、营业地址、电话号码、电邮地址信息,该等行为不受PIPEDA约束。
PIPEDA中有“敏感信息”这一概念,但PIPEDA并未给出具体定义。PIPEDA认为诸如医疗记录和收入记录一般会被认为在任何情况下均属于敏感信息,但大多数类型的个人信息,可能需要具体问题具体分析,按照场景确认其是否应归为敏感信息,例如,新闻杂志时订阅者的姓名、地址一般不足以构成敏感个人信息,但如订阅的是“涉及特殊兴趣的杂志”,则订阅者的姓名、地址可能被认为是敏感信息。对于敏感信息,PIPEDA认为处理者应当考虑采取与其他一般性的个人信息有区别的、更规范而严格的保护措施,例如,一般性的个人信息的收集可能采取默示同意,但敏感信息应当获得明确同意;在信息存储方面敏感信息应当受到更高级别的保护。
Q3:PIPEDA对个人信息处理活动提出了什么基本合规要求
PIPEDA以附表形式确定了个人信息处理者在进行处理活动时应当遵循的基本合规要求,其中包括:



  1. 建立组织问责监管制度,包括指定一名或多名负责监督整个组织的个人信息处理活动且公开负责人身份;建立内部个人信息处理管理流程、政策、措施;对委托第三方处理信息的活动予以监管并通过合同等法律手段确保第三方能对个人信息给予同等水平的保护。

  2. 明确个人信息处理目的,包括在收集个人信息前应当首先明确个人信息收集目的,并明确告知个人。

  3. 取得个人同意,包括遵循“告知-同意”的原则保障个人能在清楚个人信息处理目的的情况下方予以同意;个人信息收集后才确定处理目的或出现新处理目的的应再次取得同意;根据信息的敏感性确定合理的获取同意方式;保障个人撤回同意的权利。

  4. 遵循信息收集行为的限制要求,包括信息收集行为应公平、合法且不采取误导或欺骗手段;收集信息范围仅限于确定的个人信息处理目的所必需的。

  5. 遵循信息使用、披露及留存的限制要求,包括个人信息的保存时间仅限于实现这些目的所必需的时间,保存期限届满的个人信息应当删除或匿名化。

  6. 保障信息准确性,包括处理者不应定期更新个人信息,除非是达成个人信息处理目的所需或针对某些需持续性地使用的个人信息。

  7. 落实个人信息保障措施,包括根据个人信息敏感性提供相适应的安全保护措施,例如实物保护措施、组织管理措施、技术措施,以免个人信息丢失或盗窃,或出现未经授权的访问、披露、复制、使用或修改。

  8. 保持个人信息处理活动公开,包括处理者应以方便个人获取的方式向个人提供容易阅读理解的个人信息管理的政策。

  9. 保障个人对其信息的访问权,包括处理者应根据个人的请求知其个人信息的是否被存储、使用和披露,个人还有权获得其个人信息,或对其中不准确、不完整的内容进行修正。

  10. 保障个人的咨询和投诉权利,包括处理者应制定程序以接受个人信息有关的咨询及投诉,并应告知个人存在上述程序。
    Q4:PIPEDA下如何获得个人信息处理的“有效同意”?
    “取得个人同意”是PIPEDA下规定个人信息处理应遵循的基本原则之一,PIPEDA第七条提出,除非存在法定情形,否则个人信息的收集均应取得个人的有效同意,个人的同意只有在合理预期处理者活动所针对的个人会理解其同意的个人信息的收集、使用或披露的性质、目的和后果的情况下才有效。
    针对如何获得个人有效同意这一问题,加拿大隐私专员公署在《获取有效同意指南》提出如下基本要求:

  11. 处理者在告知个人与信息处理有关事项时要突出关键要素,避免“信息过载”,帮助个人能快速了解影响其决策的因素,关键要素包括收集信息类型、信息处理目的、信息共享方以及对个人造成任何伤害或其他潜在后果的风险。

  12. 除前述第1点提到的关键要素外,处理者应当保障个人随时有权选择颗粒度更细的个人信息处理相关信息,以助其更深入地作出决策。

  13. 处理者应向个人提供明确的个人信息处理选择,一般而言,处理者只能要求个人提供对产品或服务至关重要的个人信息并解释清楚为何收集该个人信息不可或缺。如个人信息不是产品或服务必需的,个人有权选择拒绝提供。

  14. 线上场景中,处理者应优化获取同意的流程,例如在用户填写个人信息积极及时地告知用户收集该个人信息的目的、利用网络交互设计更好地展示隐私政策、优化移动设备展示界面等。

  15. 处理者应使用清晰的解释和适合不同受众(例如老年人、未成年人)的语言水平,并通过征求用户意见、测试或遵循最佳实践方案以保障达成该目标。

  16. 让同意成为一个“动态且持续”的过程,当处理者的个人信息处理状态或活动发生重大变化时,应通知用户并获得同意。

  17. 处理者应当证明其个人信息处理活动同意流程是个人易懂的,且能保证获取个人的有效同意。
    Q5:加拿大对未成年人个人信息保护有何特殊规定或要求?
    目前联邦层面的PIPEDA 并未专门针对未成年人的个人信息提出规定,但加拿大隐私专员公署提出,13周岁或以下的未成年人(“儿童”)并无法给予有效同意,因此,在处理儿童个人信息前应当取得其监护人的有效同意。
    而从省级立法来看,魁北克省的Québec PIPA也有与前述类似的规定,该法明确了儿童个人信息处理前应当征得儿童监护人同意。
    Q6:加拿大对个人医疗健康数据有没有特殊规定或要求
    目前,加拿大安大略省、新不伦瑞克省、新斯科舍省以及纽芬兰和拉布拉多省通过了关于收集、使用和披露个人健康信息相关立法。此类立法主要是为了规范医生、医院、诊所、公共卫生部门等与个人医疗健康服务相关的机构对个人医疗健康数据的处理活动,包括对个人医疗健康数据的采集要求、严格保密要求、医学研究使用数据规范等,并保证个人对其医疗健康数据的访问权等重要权利。
    不同省份在个人医疗健康数据方面的法律规定存在差异,对于业务涉及医疗设备制造、医疗相关信息系统开发运营、实体医疗服务提供的企业,在加拿大开拓市场时应留意这方面的规定。
    Q7:加拿大对数据跨境传输是否有特殊规定或要求?
    目前联邦层面的PIPEDA 并未专门针对将个人信息传输到境外设置特殊规定或要求。然而,加拿大隐私专员公署认为,根据 PIPEDA附表中确定的个人信息保护基本原则,处理者有责任保护传输到境外后的个人信息享有与未传输前的同等保护水平,并提示处理者应当考虑向个人告知跨境传输基本情况,提高个人信息处理活动的透明度。
    在省级立法中,艾伯塔省的AB PIPA则特别要求处理者如使用加拿大境外的服务提供商作为受托个人信息处理方去收集、处理个人信息时,应在收集前告知个人。而魁北克省的Québec PIPA对数据跨境传输的要求最为严格,直接对数据“跨省”传输提出了合规要求,在处理者适用Québec PIPA的前提下,任何在魁北克省内收集的个人信息,在魁北克省以外的地方传播个人信息之前,信息处理者须进行隐私影响评估。
    Q8:企业在加拿大开展邮件营销或短信营销的,有什么需要注意的要点?
    CASL是加拿大境内规范邮件营销及短信营销活动的主要法律法规。CASL要求营销信息发送方应当取得接收方的同意后才能发送营销信息,其中同意分为“默许同意”和“明示同意”,对于企业而言,一般需要发送方与接收方已经建立商业联系(例如消费者在商家处消费及其后2年时间内),且接收方未提出拒绝接收营销信息的情况下,才可视为发送方已经取得“默许同意”;除此之外,发送方应当确保已经取得接收方的“明示同意”,即在告知接收方将以何种方式发送营销信息后,由接收方通过主动勾选、主动点击同意等方式表达其愿意接收营销信息的意愿。
    CASL要求营销信息发送方应当在其信息中说明自身身份,不得通过伪造、隐藏等方式欺瞒或误导接收方,如通过代理方发送营销信息的,还应同时说明代理方的身份。此外,发送方还应披露自身(或代理方)的联系地址,以及电话号码、电邮地址或网址三项信息中的至少一项信息。
    设定退订机制是CASL对营销信息的另一重要规定,CASL要求营销信息发送方应当在其信息中提供一个简单的退订途径,例如简单回复至特定邮箱、手机号码,或在营销信息中提供指向取消订阅营销信息页面的链接,以保障接收方能快速拒绝继续接收营销信息。CASL要求发送方应保证退订途径应在信息发送后至少60天内生效,且在收到退订要求后10天内响应该要求。
    Q9:如果发生了涉及个人信息的数据安全事件,处理者需要履行什么义务?
    根据PIPEDA要求,如果在当时的情况下有理由认为个人信息被泄露,且可能存在对个人产生重大损害的实际风险(a real risk of significant harm),例如可能对受影响个人受到身体伤害、羞辱、名誉或关系受损,或者失去就业或商业机会,或出现经济损失、身份盗窃行为、信用记录的负面影响等情况,那么处理者应当向加拿大隐私专员公署报告该数据安全事件,如法律无特别限制的,处理者还应通知受影响的个人
    数据安全事件报告应当采取书面形式,并说明违规情况的描述以及原因、违反行为发生的时间、受影响的个人信息及对应人数、为降低潜在伤害风险或减轻伤害而采取的措施、向受影响个人的通报该事件的情况以及联系人员等。
    Q10:违反加拿大个人信息保护相关法律,企业可能面临什么样的处罚?
    PIPEDA并未赋予加拿大隐私专员公署直接作出行政处罚的权力,如企业违反PIPEDA,加拿大隐私专员公署可以提出不具约束力的执法建议,或与被投诉举报的企业签订合规协议以推动企业的合规整改。如需对企业作出实质性处罚,需要由加拿大或省级检察长发起公诉,法院最高可判处10万加元(折合人民币53万元)的罚款。
    在省级立法中,魁北克省的Québec PIPA对违规处罚的力度最大,该法直接赋予魁北克信息获取委员会这一监管机构直接作出罚款的权力,罚款金额最高可达 1000万加元(约合人民币5300万元)或该企业上一财政年度全球营业额的2%。
    加拿大作为全球范围内较早开展统一性个人信息保护立法的国家,其个人信息保护制度已经日臻完善,为了响应人工智能为代表的新科技对现有监管体系的冲击,加拿大亦就个人信息法律改革展开新一轮立法工作,加强包括生成式人工智能技术(AIGC技术)、自动化决策等前沿技术应用过程中的个人信息保护,并将提出更多现代化的规范要求和更严格的合规义务。对于在加拿大开展业务的企业,尤其是涉及游戏、电商、智能家居设备、智能联网汽车等网络传输和数据收集的企业,应当及时留意加拿大关于数据保护相关的法律动向,积极履行相关合规义务。

技术驱动法律,专业成就未来