泰尔观点
|
法律法规 行业发展 市场观察 技术趋势 行业政策 通信监管 互联网 网络与信息安全 泰尔专家 专家访谈
首页 >> 泰尔观点 >> 行业发展
国外跨境数据流动安全管理措施对我国的启示
张郁安
2016-04-01  来源:

 

  互联网上的跨境数据流动无处不在,个人用户通过手机商店下载App,跨国企业在不同国家的分支机构之间传输商业数据,这些日常的个人和企业行为都引发了跨境数据流动。在“互联网+”时代,互联网与各行业深度结合,跨境数据流动牵涉范围更广,对公民个人权益、企业商业利益乃至国家安全影响更深,成为政府管理关注的重点。

  一、主要国家跨境数据流动安全管理经验

  综合分析世界主要国家跨境数据流动安全管理经验,国家在设计制度时一般都以维护本国关键利益为出发点,以数据分类管理和数据主体责任两项基本制度为支柱,以融合国家间制度差异的非强制性规则和国家间互信机制为纽带,构筑一套较为完善的跨境数据安全管理制度。

  围绕本国关键利益设置跨境数据流动规则。美国等制度较为成熟的国家,其跨境数据流动管理思路紧密围绕本国的核心利益,为产业发展和国家安全保驾护航。以美国在TPP贸易协定谈判中提出的知识产权条款为例,美国为保护其文化产业,尤其是好莱坞娱乐巨头的经济利益,将其《千禧年数字版权法案》中严格的知识产权侵权责任条款照搬进TPP谈判中,主张允许知识产权人追踪互联网服务提供者为用户所提供的音视频、图片等信息产品,这将赋予知识产权人跨国收集用户信息的合法权利。例如,美国的知识产权人可以要求他国网站在向他国国民提供有关节目下载服务时,实时向美国知识产权人提供用户下载信息,意在以此约束盗版行为,维护美国知识产权人的利益。作为信息技术先进国家,美国拥有世界领先的云计算服务产业,美国在TPP中推行跨境数据自由流动,反对他国政府设置互联网数据跨境流动限制措施,反对他国的数据本地存储要求,意在为美国相关企业开拓国际市场扫清障碍。

  建立跨境流动数据分级分类标准和管理制度。就跨境数据流动安全管理总体框架而言,目前世界各国尚无统一制度,但一般的通行思路都是对不同数据采取分级分类管理,并有针对性的采取不同的保护措施,确保跨境数据流动不得危及公民权益和国家安全。一是重要的数据禁止跨境流动。例如,俄罗斯通过法令,要求本国公民信息必须存储在俄罗斯境内;澳大利亚规定安全等级较高的政府数据不能存储在任何离岸公共云数据库中,而必须存储在具有较高安全协议的私有云数据库中;韩国则规定通信服务提供商应采取必要手段,防止有关工业、经济、科学技术等重要信息通过互联网向国外流动。二是政府和公共部门的一般数据和行业技术数据有条件的限制跨境流动。例如,澳大利亚将政府信息分级,要求对其中的非保密信息也必须经过安全风险评估后才能实施外包。三是普通个人数据允许跨境流动,但需要数据流入国满足一定安全认证要求。目前多个国家都参与了数据跨境流动的国际或国家间认证,为本国数据流出和接受他国数据流入搭建通道。

  明确设置数据相关主体的权利责任。目前国际上主要存在两种跨境数据流动的权责模式:一是知情同意模式,欧盟、日本、俄罗斯等大多数国家都规定,收集数据时必须取得数据提交人的明示同意,以作为后续数据流动的必要条件,强调数据提交人的知情权。二是目的限制模式,如美国法律规定,数据收集后的再利用必须秉持正当目的,强调通过数据利用的具体情境判断数据流动的合法性。综合来看,以上两种模式各有利弊。知情同意模式较为严厉,但复杂冗长的隐私条款往往使得数据提交人的知情权流于形式;目的限制模式较为宽松,但事后控制不利于提前发现和预防数据泄露、滥用,且对社会法治化程度要求较高。

  推行非强制性管理手段弥合制度差异。欧盟为建立统一市场,消除各成员国既有制度对跨境数据流动形成的阻碍,采取了一系列非强制性的管理手段,创造一个尽可能统一的法制环境。此类制度虽然不具备强制性,但采纳实施的国家或企业将获得数据流动方面的便利。这种管理手段也被其他国家逐渐接受,成为跨境数据流动监管方面的典型制度。一是国家间层面的“白名单”制度。欧盟将数据保护水平的充分性作为欧盟与境外国家跨境数据流动的基本原则。如果在欧盟成员国以外国家的企业需要处理来自欧盟成员国的跨境数据,企业所在国就要事先通过欧盟委员会或成员国的数据保护水平认证。欧盟委员会或成员国可通过以下两个关键要素判定跨境数据流入国是否达到了“充分性”保护要求:要素一是跨境数据流入国的数据处理规则必须符合欧盟的要求,要素二是要有确保规则有效实施的机制。只有对于被认定为满足“充分性”要求的国家(即“白名单”国家),欧盟成员国才可自由向该国企业转移数据。二是企业间层面的标准合同制度。欧盟标准合同以数据主体权益保护为目的,规定了数据转移当事方和数据主体在数据保护上的权责分配关系。如果一国企业在与欧盟成员国企业的经济往来中使用了标准合同,承诺按照合同履行其数据保护义务,便可以认定其满足了数据保护“充分性”要求。三是特殊情境下的约束性公司规则(BCR),该规则适用于在跨国企业内部、位于不同国家的分支机构之间的数据转移。BCR协议范本规定了数据保护原则、数据主体的权利、跨国企业的责任及争议解决方式和救济措施等事项。BCR需要得到分支机构所在国的批准,并可成为成员国向不具备“充分性”保护水平的国家转移数据的法律依据。

  积极参与或建立国家间认证等信任机制。跨境数据流动是一个国家间问题,各国正积极争取获得重要贸易伙伴国的数据保护认证。一方面,欧美发达国家通过认证等双边机制建立信任关系。例如,美国与欧盟之间曾长期履行 “安全港”协议,承诺遵守“安全港”协议的美国企业能够获得数据保护“充分性”的认定,获得处理来自欧盟成员国数据的资格。虽然“安全港”协议已于2015年10月被欧盟司法机构认定为无效,但认证协议已经成为国家间跨境数据流动的基本模式,几经周折,目前美欧间也已达成新的数据转移协议。此外,巴西、新加坡、墨西哥等国家为融入跨境数据流动国际协作也加快了本国数据保护立法和加入国际间认证机制的进程。另一方面,国际组织也在积极构建跨境数据流动认证体系。2011年,亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR),由获得认可的评估机构对商业机构保护个人隐私与信息的水平进行认证并公布,企业可自愿参与。美国为保障自身安全、最大化自身经济利益积极加入CBPR, 极大提升了CBPR的国际影响力,使CBPR未来可能成为地区主导的跨境数据流动框架。

  二、我国跨境数据流动管理的问题与对策建议

  我国政府已经意识到跨境数据流动安全管理的重要性,个人信息保护、征信数据保护等有关制度已经初见端倪,但总体来说,跨境数据流动安全管理制度建设尚处于起步阶段,主要存在以下问题:一是尚未建立完善的跨境数据流动法律制度,管理缺乏体系性和规范性。国家对跨境数据流动的总体态度不明确,监管体系、部门职责、数据分类管理、数据主体权利义务、安全审查、评估与认证等制度尚待确立。二是企业缺乏跨境数据流动安全管理自律意识,安全义务尚未落实,企业通过服务外包、合作等渠道泄露关键数据的情况时有发生,企业普遍尚未建立数据分级分类管理、约束合作方、保护个人隐私等内部制度。三是缺乏跨境数据流动领域的国际互信机制,企业国际化面临羁绊,在实践中,我国参加的跨境数据流动国际机制较少,未能和世界主要国家或经济体建立跨境数据流动方面的合作与互信,国际话语权薄弱

  面对跨境数据流动管理的内外部形势,我国亟需借鉴国外管理经验,加快建设相关制度与机制,完善对跨境数据流动安全管理。一是完善法律制度,在未来立法中明确跨境数据流动主管部门、管理对象、管理原则等基本法律框架;完善数据主体义务责任划、安全审查、评估认证制度等跨境数据流动的配套制度。二是建立数据分类管理标准和制度,从保护与利用的角度出发,研究制定适合跨境数据流动管理的数据分类方案,对不同类别的数据采用不同等级的管理措施。三是加强企业自律,企业应建立内部数据保护责任和规则体系,明确数据收集、转移、存储、使用等各环节的具体安全管理要求,加强监测、防范风险。四是积极参与国际机制,我国应通过认证等渠道与主要贸易伙伴国家建立跨境数据流动信任机制,并充分利用金砖国家、“一带一路”等国家合作机制,推动建立跨境数据流动规则,增加国际话语权。

  

  作者简介:张郁安,任职于中国信息通信研究院安全研究所,北京大学法学硕士,主要研究方向为网络与信息安全法律法规、监管政策,国外互联网管理法律跟踪比较研究,互联网经济法学等。

  联系方式:zhangyuan1@caict.ac.cn




相关文章
· 数字经济环境下的跨境数据流动管理
泰尔网版权与免责声明:
①凡本网注明“来源:泰尔网”的所有作品,版权均属于泰尔网,未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:泰尔网”。违反上述声明者,本网将追究其相关法律责任。
② 凡本网注明“来源:XXX(非泰尔网)”的作品,均转载自其它媒体,转载目的在于科学研究和传播交流更多资讯,不代表本网赞同其观点和对其真实性负责。
③ 如因作品版权和其它问题需要同本网联系的,请在30日内进行。 联系信箱:cttl@catr.cn
曹淑敏:推进“互联网+” ...
制造业是国民经济主体,是立国之本、兴国之器。大力推进以互...
李海英:互联网+时代的立法...
怎么从法律的角度看待互联网+法律的问题呢?我们认为互联网的...
热点专题
泰尔数据
· ABI:2014年亚太地区基站增速将超过全球其...
· 前两月我国全行业生产手机2.28亿台 增长5.4%
· 我国通信设备类产品1-2月出口额达255亿美元
· 2013年全球电信市场回顾—开拓新兴业务运...
· 2013年通信运营业统计公报
· 2017年中国TD-LTE手机出货量将达1.8亿部
· Dell'Oro:LTE RAN 市场在2013年第三季度...
· LTE网络2017年覆盖50%全球人口 连接数达10亿
· 工信部:虚拟运营商资费实行市场调节
· 移动数据业务连续21个月增长贡献第一
· GSM协会:移动通信在非洲面临增长挑战
· ABI Research:2018年LTE-TDD网络将覆盖亚...
· 4月以来全国拦截垃圾短信75亿条 关停违规...
· 工信部:3季度电信服务投诉较上季度上升5.5%
· 2013年第3季度通信水平分省情况
中国通信标准化协会    电信终端测试技术协会    信息名址服务管理中心    工信部电信经济专家委员会   
中国下一代互联网示范工程专家委员会    中国通信企业协会通信网络安全委员会    中国通信企业协会增值服务专业委员会    云计算发展与政策论坛   
Copyright©2008-2014 cttl.cn All Right Reserved. 京ICP证080582 京公网安备11010802010351号 网站声明