• <code id="mqsuy"><sup id="mqsuy"></sup></code>
  • <code id="mqsuy"></code>
  • <strong id="mqsuy"></strong>
  • <optgroup id="mqsuy"><blockquote id="mqsuy"></blockquote></optgroup>
  • 2019

    06/28

    10:03

    來源:
    網信中國

    微信

    新浪

    數據出境安全評估若干問題探究

      隨著經濟全球化進程的不斷加速,“互聯網+”、云計算等業務的高速發展,由此產生的數據出境顯著激增,在促進國家信息技術創新和數字經濟產業發展的同時,也伴隨著國家安全、產業安全以及個人隱私權益等問題。隨著“斯諾登事件”、“棱鏡門事件”、“Google愛爾蘭案”等網絡與數據安全事件的頻繁發生,各國對數據出境安全高度重視,加強立法保護數據出境安全。目前以歐盟、美國、亞太經合組織為代表的世界主流國家和國際組織已經形成較為完備的數據出境管理制度體系。我國隨著《網絡安全法》的頒布實施,首次提出數據出境安全管理要求,國家有關部門在《網絡安全法》的管理框架下,積極制定配套管理辦法《個人信息出境安全評估辦法》(以下簡稱《辦法》),探索具有中國特色的個人信息出境安全管理路徑。近期,《辦法》對外公開征求意見,初步確立管理要求以及管理模式,引起社會各界的廣泛關注。本文結合前期對國外立法研究積累和對《辦法》的研究實踐,針對數據出境的判定標準、管理對象的范圍以及管理模式的設立等重點問題進行研究解讀。

      一、對于數據出境的判定

      《辦法》第二條對個人信息出境作出明確定義,即“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境)”。一是以個人信息離開我國地理邊境作為主要判定標準。日本、澳大利亞、歐盟等國際主流國家和國際組織對數據出境形成統一認識,將數據離開本國境內去往境外的過程視作數據出境的核心內涵。我國借鑒國際主要國家做法,《辦法》明確去往“境外”為判定個人信息出境的核心指標。二是增加 “境內運營”和向境外“提供”等限定條件,進一步限定個人信息出境管理的范圍。《辦法》在個人信息離開我國地理邊境的基礎上,一方面,進一步明確出境個人信息的范圍,提出出境個人信息應是在我國境內運營中收集和產生的,對于境外收集和產生的個人信息經由我國中轉出境的情形,不屬于個人信息出境安全評估的范圍內。另一方面,通過“提供”一詞強調個人信息出境活動需滿足個人信息控制者的轉換。

      二、對于安全評估管理模式的選擇

      《辦法》第三條規定“個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估”,明確了我國個人信息出境安全評估的基本管理框架。第四條明確申報安全評估需要提交的材料包括,“申報書、網絡運營者與接收者簽訂的合同、個人信息出境安全風險及安全保障措施分析報告以及國家網信部門要求提供的其他材料”。第十三條至第十七條對合同內容以及安全風險分析報告的主體內容進行規范要求,將合同條款與個人信息出境安全風險分析作為個人信息出境安全評估的主要內容,通過合同約束和網絡運營者自評估相結合的方式,提升網絡運營者和個人信息接收方個人信息出境安全保障能力,確保個人信息出境后,個人信息泄露、損毀以及篡改等安全風險可控,個人信息主體的合法權益不受侵犯。

      三、國外個人信息出境管理的主要做法

      世界各國從保護個人信息安全和個人信息主體合法權益,同時兼顧本國企業發展的角度出發制定個人信息出境安全管理要求。

      (一)對數據出境管理范疇形成統一認識

      國際主流將數據離開本國境內去往境外的過程視作數據出境的核心內涵。在全球信息化的時代背景下,針對數據出境需求日益旺盛、數據出境路徑日益便利的現狀,部分國家和國際組織對數據出境內涵的解讀呈現外延趨勢。一是日本、澳大利亞、歐盟等以單一地理維度,將數據離開本國地理邊境作為數據出境的唯一判定標準。二是美國等在地理維度基礎上進行延伸解讀,補充增加主體維度判定標準,將數據提供給本國境內的外國組織或個人的情形納入數據出境的定義范圍。

      (二)明確數據出境鏈條上相關主體的權利義務責任

      世界主要國家從三方面出發確立數據出境權利義務框架,厘清相關主體的權利義務,督促責任落實。一是保護用戶知情權,歐盟、日本、俄羅斯等大多數國家和國際組織都規定,通常情況下,個人信息出境前需獲得個人信息主體的同意。二是對數據控制主體問責,由數據控制者承擔數據保護責任,約束下游承包商和其他相關主體。例如,歐盟《通用數據保護條例》中明確規定,由數據控制者承擔數據保護的主要責任。三是主管部門為用戶提供救濟途徑,通過行政、司法等救濟手段為權益受損的用戶提供保護。美歐《隱私盾協議》中明確規定,美國政府必須為用戶提供有效的救濟途徑;歐盟相關數據出境認證制度也將救濟途徑作為衡量國家或組織數據保護“充分性”的主要指標之一。

      (三)以非強制性管理措施實現國家間的制度協同

      歐盟采取一系列非強制性管理手段,消除各成員國既有制度對數據流動的阻礙。一是“白名單”制度。歐盟委員會和成員國從相關國家或地區的數據處理規則,以及該國家或地區確保規則有效實施的機制兩個方面開展數據保護水平“充分性”認定。成員國可自由向被認定為滿足“充分性”要求的國家或地區(即“白名單”國家)轉移數據。二是標準合同制度。歐盟委員會制定頒布《標準合同》。如果一國企業在與歐盟成員國企業的經濟往來中采納了《標準合同》,承諾按照合同履行數據保護義務,便可以認定其滿足了數據保護“充分性”要求,自由進行數據出境轉移。三是約束性公司規則(BCR),適用于跨國集團內部位于不同國家或地區的分支機構之間的數據轉移。跨國集團在加入BCR后,可在BCR的規定下,自由向集團內部位于不具備“充分性”保護水平的國家或地區的分支機構轉移數據。

      (四)積極與重要貿易伙伴國達成數據流動認證

      為促進經濟發展,保障數據合法有序流動,各國積極與重要貿易伙伴國開展數據跨境流動認證。例如,美歐雙方在《安全港協議》失效后,達成《隱私盾協議》,承諾遵守《隱私盾協議》的美國企業能夠將歐盟公民的個人信息自由轉移至美國境內。2011年,亞太經合組織(APEC)建立跨境商業個人隱私保護規則體系(CBPR),為加入規則的企業提供數據出境合法渠道。美國為保障自身安全、最大化自身經濟利益積極加入CBPR,極大提升了CBPR的國際影響力。

    數據出境安全評估若干問題探究

    2019 10:03來源:網信中國

      隨著經濟全球化進程的不斷加速,“互聯網+”、云計算等業務的高速發展,由此產生的數據出境顯著激增,在促進國家信息技術創新和數字經濟產業發展的同時,也伴隨著國家安全、產業安全以及個人隱私權益等問題。隨著“斯諾登事件”、“棱鏡門事件”、“Google愛爾蘭案”等網絡與數據安全事件的頻繁發生,各國對數據出境安全高度重視,加強立法保護數據出境安全。目前以歐盟、美國、亞太經合組織為代表的世界主流國家和國際組織已經形成較為完備的數據出境管理制度體系。我國隨著《網絡安全法》的頒布實施,首次提出數據出境安全管理要求,國家有關部門在《網絡安全法》的管理框架下,積極制定配套管理辦法《個人信息出境安全評估辦法》(以下簡稱《辦法》),探索具有中國特色的個人信息出境安全管理路徑。近期,《辦法》對外公開征求意見,初步確立管理要求以及管理模式,引起社會各界的廣泛關注。本文結合前期對國外立法研究積累和對《辦法》的研究實踐,針對數據出境的判定標準、管理對象的范圍以及管理模式的設立等重點問題進行研究解讀。

      一、對于數據出境的判定

      《辦法》第二條對個人信息出境作出明確定義,即“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境)”。一是以個人信息離開我國地理邊境作為主要判定標準。日本、澳大利亞、歐盟等國際主流國家和國際組織對數據出境形成統一認識,將數據離開本國境內去往境外的過程視作數據出境的核心內涵。我國借鑒國際主要國家做法,《辦法》明確去往“境外”為判定個人信息出境的核心指標。二是增加 “境內運營”和向境外“提供”等限定條件,進一步限定個人信息出境管理的范圍。《辦法》在個人信息離開我國地理邊境的基礎上,一方面,進一步明確出境個人信息的范圍,提出出境個人信息應是在我國境內運營中收集和產生的,對于境外收集和產生的個人信息經由我國中轉出境的情形,不屬于個人信息出境安全評估的范圍內。另一方面,通過“提供”一詞強調個人信息出境活動需滿足個人信息控制者的轉換。

      二、對于安全評估管理模式的選擇

      《辦法》第三條規定“個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估”,明確了我國個人信息出境安全評估的基本管理框架。第四條明確申報安全評估需要提交的材料包括,“申報書、網絡運營者與接收者簽訂的合同、個人信息出境安全風險及安全保障措施分析報告以及國家網信部門要求提供的其他材料”。第十三條至第十七條對合同內容以及安全風險分析報告的主體內容進行規范要求,將合同條款與個人信息出境安全風險分析作為個人信息出境安全評估的主要內容,通過合同約束和網絡運營者自評估相結合的方式,提升網絡運營者和個人信息接收方個人信息出境安全保障能力,確保個人信息出境后,個人信息泄露、損毀以及篡改等安全風險可控,個人信息主體的合法權益不受侵犯。

      三、國外個人信息出境管理的主要做法

      世界各國從保護個人信息安全和個人信息主體合法權益,同時兼顧本國企業發展的角度出發制定個人信息出境安全管理要求。

      (一)對數據出境管理范疇形成統一認識

      國際主流將數據離開本國境內去往境外的過程視作數據出境的核心內涵。在全球信息化的時代背景下,針對數據出境需求日益旺盛、數據出境路徑日益便利的現狀,部分國家和國際組織對數據出境內涵的解讀呈現外延趨勢。一是日本、澳大利亞、歐盟等以單一地理維度,將數據離開本國地理邊境作為數據出境的唯一判定標準。二是美國等在地理維度基礎上進行延伸解讀,補充增加主體維度判定標準,將數據提供給本國境內的外國組織或個人的情形納入數據出境的定義范圍。

      (二)明確數據出境鏈條上相關主體的權利義務責任

      世界主要國家從三方面出發確立數據出境權利義務框架,厘清相關主體的權利義務,督促責任落實。一是保護用戶知情權,歐盟、日本、俄羅斯等大多數國家和國際組織都規定,通常情況下,個人信息出境前需獲得個人信息主體的同意。二是對數據控制主體問責,由數據控制者承擔數據保護責任,約束下游承包商和其他相關主體。例如,歐盟《通用數據保護條例》中明確規定,由數據控制者承擔數據保護的主要責任。三是主管部門為用戶提供救濟途徑,通過行政、司法等救濟手段為權益受損的用戶提供保護。美歐《隱私盾協議》中明確規定,美國政府必須為用戶提供有效的救濟途徑;歐盟相關數據出境認證制度也將救濟途徑作為衡量國家或組織數據保護“充分性”的主要指標之一。

      (三)以非強制性管理措施實現國家間的制度協同

      歐盟采取一系列非強制性管理手段,消除各成員國既有制度對數據流動的阻礙。一是“白名單”制度。歐盟委員會和成員國從相關國家或地區的數據處理規則,以及該國家或地區確保規則有效實施的機制兩個方面開展數據保護水平“充分性”認定。成員國可自由向被認定為滿足“充分性”要求的國家或地區(即“白名單”國家)轉移數據。二是標準合同制度。歐盟委員會制定頒布《標準合同》。如果一國企業在與歐盟成員國企業的經濟往來中采納了《標準合同》,承諾按照合同履行數據保護義務,便可以認定其滿足了數據保護“充分性”要求,自由進行數據出境轉移。三是約束性公司規則(BCR),適用于跨國集團內部位于不同國家或地區的分支機構之間的數據轉移。跨國集團在加入BCR后,可在BCR的規定下,自由向集團內部位于不具備“充分性”保護水平的國家或地區的分支機構轉移數據。

      (四)積極與重要貿易伙伴國達成數據流動認證

      為促進經濟發展,保障數據合法有序流動,各國積極與重要貿易伙伴國開展數據跨境流動認證。例如,美歐雙方在《安全港協議》失效后,達成《隱私盾協議》,承諾遵守《隱私盾協議》的美國企業能夠將歐盟公民的個人信息自由轉移至美國境內。2011年,亞太經合組織(APEC)建立跨境商業個人隱私保護規則體系(CBPR),為加入規則的企業提供數據出境合法渠道。美國為保障自身安全、最大化自身經濟利益積極加入CBPR,極大提升了CBPR的國際影響力。

    為你推薦

    工信部印發《電信和互聯網行業提升網絡

    工信部印發《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》。

    工信部同意中國互聯網絡信息中心設立域

    工信部同意中國互聯網絡信息中心設立域名根服務器及運行機構。

    數據出境安全評估若干問題探究

    本文結合前期對國外立法研究積累和對《辦法》的研究實踐,針對數據出境的判定標準、管理對象的范圍以及管理模式的設立等重點問題進行研究解讀。

    bet平台 比特币莱特币山寨币行情 竞彩皇家社会皇家贝蒂斯 完美世界手游坑死了 刮刮乐游戏 360宝藏时间 mg幸运双星中奖图 法国第戎音乐学院 吉达联合vs塔什干火车头 牛仔和外星人百度云 沙尔克04叫喊