CPPA :欢迎澄清跨境转移个人信息的合同和其他义务

2020年11月16日,联邦政府推出了 消费者隐私保护法 (“ CPPA ”), which, if enacted, will provide organizations with greater clarity regarding their obligations when engaging third party service providers to 处理 personal information outside Canada. In this 博客, we explore how the core concepts of cross-border transfers of personal information for 处理 ing are evolving after a brief period of major uncertainty.

一个稳定的开始:PIPEDA下的个人信息的跨境转移

根据加拿大现行的联邦私营部门隐私法规, 个人信息保护和电子文件法 (“ 皮派达 ”),至少在最近之前,对于处理个人信息的跨境传输的要求已经有了公认的认识。

跨境转帐首先由 2005年CIBC案 (“ CIBC决定”,加拿大隐私保护专员办公室(以下简称“ OPC ”)确定为“在第三方服务提供商提供与收集个人信息的主要目的直接相关的服务时,公司无需向客户提供选择[跨境转移]的选择。 ”

OPC 遵循PIPEDA的原则4.1.3代替同意,强调了问责制,将其作为此类个人信息的跨境转移以进行处理的关键考虑因素,特别是在敏感信息正在起作用的情况下。特别是,该原则要求组织“在第三方(服务提供商)处理信息时,使用合同或其他方式提供可比较的保护级别。”

The CIBC决定 established norms of due diligence and commentary on appropriate contractual terms to provide comparable administrative, technical and physical protections for such cross-border transfers of personal information for 处理 ing. Terms that might come into play in appropriate circumstances included security standards, confidentiality clauses, rights of access and audit, and clear lines of sight on ownership of the data 处理 ed by the service provider. Notably, the OPC took the pragmatic perspective that the risk of personal information being disclosed to government authorities for intelligence purposes existed to a comparable level in Canada as it did in the United States, and thus concluded that the USA PATRIOT Act did not form a sufficient basis to block data transfers to that 国家.

后来,在2009年,OPC发布了有关跨境转移个人信息的指南,以便在 跨境处理个人数据准则 (“ 2009年指南”)。 OPC 在2009年准则中指出,无需组织同意将个人信息转移到加拿大境外进行处理,因为这被认为是“使用”,而不是“披露”个人信息。同意“使用”足以将个人信息转移到加拿大境外以进行“使用”。许多组织都依靠这些原则来安排事务,尤其是出现了基于云的第三方服务提供商(通常位于加拿大境外),这些提供商提供的效率和(通常)安全性都比组织自己提供的更好。

2019:咨询和混乱时刻

不幸的是,OPC在2019年4月发布了《 2009年指南》提供的清晰性 跨境数据流咨询 (“ 2019咨询”)。在2019年的磋商中,OPC改变了其长期立场,表示将个人信息转移到加拿大境外进行处理被视为``披露'',而不是需要同意的``使用''个人信息。 OPC 从事 sua sponte 对PIPEDA的法定重新解释以支持这一立场,由于组织不确定是否以及是否需要征求涉及专门加工者的大量普通业务活动的同意,组织对此产生了巨大影响,并想知道这会带来什么影响一些或许多个人声称要“退出”这些重要的安排。

OPC 在2019年的一案中做出了更为戏剧性的发现 Equifax加拿大 (“ Equifax决策”)中,确定在将个人信息从加拿大境外转移到其美国母公司Equifax Inc.进行处理时,要求Equifax Canada获得个人的“更可靠”表达形式,因为这种转移被视为“披露”。尽管他们之间存在“母子关系”,OPC还是认为Equifax Canada和Equifax Inc.是“彼此之间的第三方”,因为它们分别成立于不同的司法管辖区,并在公共资料中以“独立实体”的形式代表。这一发现给无数公司带来了冲击,这些公司将技术服务集中在其他司法管辖区的分支机构中,这些公司再次想知道如何为复杂的处理关系网管理同意书。

The OPC ’s proposed reversal in the 2019咨询 and the Equifax决策 were met with significant concern from stakeholders who stressed that obtaining such consent would be a significant administrative burden, created the spectre of unworkable opt-outs, and was not required by 皮派达 in any 事件. In the face of stakeholder protests, the OPC reversed its position once again in its “重组讨论文件”,从2019年磋商会最有力的声明中退缩,不再强调同意的必要性,同时暗示它将推动未来的立法改革。

随后,OPC在一次会议中重申了2009年指南的可行性 2020年案 涉及道明银行将欺诈索赔处理服务的某些方面外包给位于印度的第三方提供商(以下简称“道明决策”)。申诉人称,必须有权选择退出此类安排,并以公开和问责为由对数据传输做法提出质疑。

在对安排的广泛审查中,OPC确定TD符合跨境数据传输的所有要求,而PIPEDA不需要提供选择退出安排的机会。 OPC 特别发现:

  • 道明已获得同意将其客户的个人信息用于预防欺诈目的,并且在获得该同意的情况下,无需将其个人信息转移给服务提供商的情况也需要获得同意;
  • TD had fulfilled the openness requirements by providing information 关于 foreign service providers “up-front, in its account opening agreements and the TD Privacy Code”, and also through “Privacy Highlights” and “Our privacy commitments” 概要 resources; and
  • 运输署通过强有力的合同,技术限制和其他控制措施满足了问责制要求。

总而言之,TD决策使我们回到了CIBC决策的原则,鉴于处理安排在数字经济中的重要性,重新建立了以问责制和开放性为重点的平衡。

CPPA 的立法改革

CPPA 对于组织来说是可喜的消息,因为它延续了可追溯至CIBC决策15年前的悠久实践,同时通过在拟议法案的主体中明确包含指南(而不是标准守则中的暗示)来提供更多的清晰度。 CPPA 明确允许组织在未经其知情或同意的情况下将个人的个人信息转移给服务提供商进行处理,并且不区分加拿大内部或外部的服务提供商。

尽管CPPA并不需要组织获得个人同意才能将其个人信息转移给加拿大境内或境外的服务提供商,但是CPPA对组织施加了其他基于问责制的义务,旨在确保充分保护个人信息,类似于PIPEDA中的义务。即:

  • 组织始终对其控制下的个人信息负责,例如从个人那里收集的信息。这包括组织将个人信息转移到服务提供商的位置,无论这种转移是否是跨境的(CPPA第7条)。
  • 如果组织将个人信息转移给加拿大境内或境外的服务提供商,则必须通过合同方式或其他方式确保服务提供商对个人信息的保护与组织根据CPPA要求提供的保护基本相同。 CPPA 11(1))。
  • 要求组织向个人披露其是否进行了跨境转移或披露可能会合理预见到隐私隐患的个人信息(CPPA第62(2)(d)条)。
  • 服务提供者 处理 CPPA 不承担代表他人的个人信息的大多数义务。但是他们受制于 所有 如果CPPA出于收集信息的目的以外的其他目的收集,使用或披露个人信息,则承担CPPA的义务(第11条第2款)。这将导致大型服务提供商进行有趣的讨论,他们目前可能试图在合同谈判中减少目的限制条款,以便他们可以“改善其产品或服务”或为了自己的利益从事其他用途。

引起关注的另一个潜在原因:魁北克64号法案下的个人信息跨境转移

魁北克也正在改革其私营部门的隐私立法。 条例草案64 该规范于2020年7月推出,目前正在作为公共咨询的一部分进行审核,它将制定与跨境传输个人信息以进行处理的相关要求, 比PIPEDA或CPPA严格.

根据第64号法案的一读版本,在跨境(甚至转移到另一个省)转移个人信息之前,组织必须进行隐私影响评估,以评估个人信息是否将获得与魁北克所提供的保护水平相同的保护,在另一个司法管辖区。作为此评估的一部分,组织将被要求考虑个人信息的敏感性,使用目的,适用的保护措施以及“适用于[司法管辖区]的信息的法律框架”。发布,包括法律框架与适用于魁北克的个人信息保护原则的等效程度”。个人信息 不能 除非评估确定信息“将受到保护” 当量 到该法令规定的范围内”。即使组织确定适用的法律框架是令人满意的,任何转让都必须遵守书面协议,以减轻在隐私影响评估过程中发现的任何风险。

“等同性”意味着比GDPR的“充分性”制度具有更强的风味,这将在下面讨论,这留下了一个问题,即强有力但在概念上截然不同的法律制度是否会符合第64号法案的标准。鉴于不遵守该法案会受到处罚64,这不是一个纯粹的学术问题。

The requirement to conduct a privacy impact assessment before transferring personal information to third party service providers outside Canada for 处理 ing may be particularly challenging for less sophisticated or less capitalized organizations that depend on the efficiencies and security benefits of cloud-based third party service providers, but 不能 carry out sophisticated legal due diligence to gauge the equivalency of another 国家’s or province’s legal regime.

根据GDPR进行的个人信息的跨境转移

为了比较起见,欧盟的 通用数据保护条例 (“ GDPR ”)个人信息的跨境传输方式比PIPEDA和CPPA的方式更为严格,但可以说比64号法案的方式宽松。

尽管PIPEDA和CPPA的默认头寸允许组织跨境转移个人信息,但GDPR之下的默认头寸(如第64号法案)不允许组织跨境转移个人信息,除非转移到欧盟委员会( “ 欧共体 ”)已确定为个人信息提供“足够的”保护(“充分性决定 ”)。

但是,与第64号法案不同的是,GDPR确保不完全禁止组织将个人信息转移到EC尚未发布“充分性决定”。相反,组织必须与另一司法管辖区的组织简单地订立一套“标准条款”,以确保跨境转移的个人信息受到足够的保护。

企业提示

尽管CPPA尚未作为立法通过,但组织可以采取许多优先步骤来确保它们符合CPPA(如果已颁布): 

  • 了解个人信息的位置: 企业应确认他们或向其转移个人信息的任何服务提供商是否在加拿大境外处理个人信息。这可能包括确认服务提供商位于何处以及他们在何处存储个人信息。
  • 在隐私权政策中披露个人信息的跨境转移:企业应确保其在隐私权声明中披露是否跨境转移个人信息,包括:
    • 个人信息可能被转移到的司法管辖区;
    • 其他司法管辖区可能未严格保护个人信息的可能性;和
    • 此类执法机构中的执法机构,国家安全机构,法院,诉讼人或其他政府机构可以访问个人信息。
  • 确保对跨境传输的个人信息进行充分保护:企业应确认他们通过合同或其他方式要求跨境转移个人信息的服务提供商正在提供CPPA要求的保护级别。这可以通过以下方式完成:
    • 审查和更新涉及将个人信息跨境转移到第三方服务提供商进行处理的模板协议,例如软件即服务或其他服务协议,以确保它们为个人提供“可比的保护水平”信息。虽然确保这种“可比较的保护水平”所需的特定合同和其他措施将根据第三方服务提供商所提供服务的性质而有所不同,但模板协议应包括侧重于维持问责制的规定,包括:
      • 明确的目的限制;
      • 安全标准;
      • 保密;
      • 访问权和审计权;
      • 数据泄露通知与合作程序;
      • 投诉程序;
      • 跟踪法律变化的适用法律条款;
      • 数据驻留;
      • 协议到期或终止时销毁信息;和
      • 明确划定对所处理个人信息的控制。
    • 在处理相当敏感信息的TD决策中,OPC注意到TD采取了以下非合同措施:
      • 签订合同之前的风险评估;
      • 员工背景评估和监控;
      • 员工政策和培训;
      • 工作环境控制;
      • 访问和其他网络安全控制;
      • 积极监测和执行合同义务;和
    • 确认根据现有协议或模板,企业向其转移个人信息的任何组织都不能在未经企业同意的情况下将此类个人信息转移给另一个司法管辖区。

要关注更新,请订阅 技术Lex (如下)或与我们联系 网络/数据组 在导航这个复杂的新政权方面提供帮助。

s

订阅

保持联系

Get the latest posts from this 博客

Please enter a valid 电子邮件 地址