顾伟,目前担任某世界500强生物制药公司信息安全官,负责公司日本及亚太地区所有业务部门相关联的信息安全、风险管理和合规隐私工作。曾参入亚太各国家和地区的隐私法汉化工作,包括香港、台湾、日本、澳大利亚、新加坡等,并于2018年入选IAPP亚太咨询董事会成员。
在中国网络安全法实施以来,数据本地存储及跨境传输一直就是非常引人注目的话题。笔者将就数据跨境传输的要求进行一定的解析和分享。当然本文讨论范围中所指的数据,并不包含党政军及国有企事业单位的数据,而主要指私人主体包括个人、企业、社团等非公组织和机构产生、存储、处理的数据。前者往往因为“公有”属性而被要求本地化存储,这本就是许多国家的惯例,而且并非争议的焦点。例如,美国国防部要求其云服务提供商需要在本地存储国防部的数据。
当今国际的大环境下,民粹主义和民族主义情绪虽然日益趋于隐蔽,但是其影响仍然十分深远,尤其对于跨境贸易的打击很大。越来越多的银行、保险以及消费与零售行业企业都在收集、存储和分析与现有和潜在客户相关的大数据,以应对其巨大的商业危害。然而近些年,各国政府却提出了商业数据本地化的需求。例如,欧盟颁布的《一般数据保护条例》旨在最大程度地保护用户的数据及隐私,为企业增加了大量合规成本。澳大利亚和俄罗斯也纷纷通过新的数据法规。这些不同形式的法规都迫使企业不得不更新它们的法务、人事以及隐私条款,以避免影响正常的运营或者在这些主流市场支付大量费用。由此建立起的巨大的电子防火墙进一步恶化了跨境贸易数据的流动,在全球经济不断电子化的背景下,未来经济与贸易全球化被蒙上了一层阴影。但是不得不说数据跨境的国际常见限制已经越来越普遍化。
首先来看一下数据跨境传输的国际常见限制。 包括有数据本地化存储,海外数据本地化要求概览和数据本地化在新技术发展下的挑战等。
数据本地化存储
数据本地化存储与现今全球经济中信息、资本、技术、人才高速流动的现实格格不入,将会严重影响效率,并减缓产业发展、技术进步等,一些国家采用数据本地化存储规定,目的在于打击美国IT巨头的竞争优势,扶持国内产业和企业,提高国内就业,实际上构成了一种严重的数字贸易壁垒。 数据本地化存储的要求,本质上与信息技术发展的逻辑相冲突,例如云计算、大数据、物联网(the Internet of Things)。以大数据为例,强制数据本地化存储,就意味着数据不能离开本地,而只能将所有域外的数据传输至本地,才能实现组合,同时如果其他国家或地区也设定了类似的数据本地化要求,则得以汇聚在一起的数据总量将会降低,大数据能发挥的效用也将随之减少。
海外数据本地化要求概述
目前全球有超过60个国家做出数据本地化存储的要求,如上图所示,这些国家遍布各个大洲,既有加拿大、澳大利亚、欧盟等发达国家和地区,也包括俄罗斯、尼日利亚、印度等发展中国家。图中颜色越深,则显示数据本地化存储的要求越严格。当然中国也是属于数据本地化存储强合规象限。
数据本地化在新技术发展下的挑战
Ø 云计算技术
云计算削弱了数据占有者的控制能力。一般来说,大型云服务商在不同国家和地区都设立了数据中心;组织机构租用云服务,虽然仍控制着对数据的访问和处理,但在通常情况下已经不能控制也无法得知数据的物理存储位置了。与前两阶段相比,数据所有者与数据之间多出了一个“中间人”——云服务提供商。数据所有者要实现对数据的控制,取决于这位“中间人”是否忠实地承担自己代理人的角色。换而言之,数据所有者必须拥有监控或者审计云服务供应商的能力,以此来获取对他们的信任。
Ø 大数据技术
大数据技术则在另外一个层面大大增强了数据所有者对数据控制的需求。一旦海量数据对外界披露,无论是主动的共享开放,还是信息系统被攻破而导致的数据被动泄露,都可能被恶意使用,例如敌对势力将海量数据与其他数据集组合,用各种算法进行数据挖掘等,分析掌握了能威胁国家安全的信息。
当然,每个国家的法律法规对于数据本地化存储设定维度也不尽相同。因此充分理解数据本地化存储设定维度, 是合规的重中之重。
第一维度: 本地化存储的实施主体
按照各个国家法律法规的不同,其中可以分为两个模式。
第一种模式,称之为“主权内化于私权”, 国家淡入背景之中而不直接介入,而是将数据主权的意志通过明示数据流动基本原则、界定行为主体权利和义务等方式,使位于前台的数据主体、数据控制者及其他相关方以“戴着镣铐跳舞”的方式,自主达成具体场景中的数据跨境传输安排。这种模式中,由于数据主权意志已有体现,公权力往往只需在事中、事后,根据既定的数据流动基本原则对私人主体自主达成的数据跨境传输安排给予核验即可。举例,欧盟《通用数据保护条例》。
第二种模式,称之为“主权直接参与。国家数据主权以公权力的形式直接介入,与数据主体、数据控制者及其他相关方共同作为
具体场景中的数据跨境传输安排的行为主体。此时,公权力作为国家数据主权的主要代言人,往往在事前要根据具体场景中的数据跨境传输给予审批或评估,做出个案裁量,深度参与最终达成的跨境传输安排。举例,中国网络安全法。
第二维度: 本地存储彻底程度
第一层,仅要求境内存储数据的副本(copy),与此同时数据可在境外存储、处理、访问。在中国,《网络出版服务管理规
定》和《保险公司开业验收指引》中关于数据本地化存储的规定,也可解读为允许境外存有境内留存数据的副本。
第二层,进一步要求数据只能在境内存储,此时对数据的处理也只能在境内进行,但允许从境外访问数据,例如允许从境外访
问数据的部分字段而非整体。我国《征信业管理条例》,要求“在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”,对来自境外的访问并没有明令禁止。
第三层最为严格,要求数据的存储、处理、访问都必须在境内进行。中国人民银行《关于银行业金融机构做好个人金融信息保
护工作的通知》要求“除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”其中的
“提供”包括来自境外的访问请求。
第三维度:本地化存储覆盖的数据范围
第二种模式,尚未有国家要求所有电子化数据都在本地化存储。多数国家选择在有限的范围内划定需本地化存储的数据,常见的有以下几种:
1. 个人数据(或个人信息)。这也是最常见的受本地化存储要求的数据类型;
2. 行业内的重要数据。如医疗健康行业(如澳大利亚)、银行业(如中国)、保险业(如中国)、征信业(如中国)、交通(如中国)、电子支付业(如土耳其)、地图数据(如韩国)、网络信息服务(如越南)等。
第四维度:本地化存储的豁免条件
满足豁免条件的难易程度,也是数据本地化存储严苛度的一个重要指标。综合分析,豁免条件主要存在以下几种情形。
1. 数据主体明示同意即可。如韩国、印度,以及巴西等国家;
2. 境外的数据接收方应能提供与本国相当的数据保护水平。此种情形最典型的例子是前文提到的欧盟的《通用数据保护条例》、加拿大的“跨境处理个人数据指导”等。这也是目前个人数据跨境传输方面最常见的豁免条件。据笔者不完全统计,目前至少有欧盟的28个成员国、澳大利亚、我国香港地区、阿根廷、以色列、日本、新西兰、新加坡等采用这样的豁免条件;
3. 政府及公共机构自由裁量权。马来西亚《个人数据保护法》;新加坡《个人数据保护法》。
最后谈到全球数据跨境传输合规基本框架和中国数据跨境传输的相关法律法规。其中,全球化的数据跨境传输合规基本框架,被认为包括有:
1. 数据主体同意、履约必要性;
2. 基于标准合同条款的数据传输协议;
3. 区域内数据自由流动协议协定,例如:欧美“隐私盾协议”;
4. 约束性企业规则。
而中国数据跨境传输的相关法律法规,主要基于法律层面的网络安全法,行政法规层面的《个人信息和重要数据出境安全评估办法(修改稿)》和国家标准层面的《信息安全技术-数据出境安全评估指南》(草案)。《网络安全法》第37条要求:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
2017年5月19号《个人信息和重要数据出境安全评估办法(修改稿)》在有限范围内发布。 这是中国网络安全法律的一个跟进措施,有关于整个中国的信息安全和隐私保护条例。对比《网络安全法》,该立法草案给出了更详细的流程来评估数据是否可以传输到国外。而《信息安全技术-数据出境安全评估指南》(草案)重点针对数据安全评估的流程以及要点进行了规范性指导,将为数据出境安全带来奠定基础。笔者工作在医疗健康领域,根据上述定义和行业(领域)主管部门相关规定,指南提出了各行业(领域)重要数据的范围。 包括A18和A21。
A.18. 人口健康
主管部门:卫生计生委。
重要数据包括但不限于:
a) 在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
b) 突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等;
c) 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;
d) 人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息;
e) 人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息;
f) 计划生育服务过程中涉及的个人隐私;
g) 个人和家族的遗传信息;
h) 生命登记信息。
A.21. 食品药品
监管部门:食品药品监管总局。
重要数据包括但不限于:
a) 涉及国家战略安全的药品在药品审批过程中提交的药品实验数据,例如在动物模型上进行的药理、毒理、稳定性、药代动力学等试验数据,在人体中进行的临床试验数据,以及与药品的生产流程、生产设施有关的试验数据;
b) 第二类、第三类医疗器械临床试验数据/报告;
c) 食品安全溯源标识信息,包括产品名称、执行标准。药品溯源标识信息,包括追溯编码、产品名称、执行标准、配料、生产工艺、标签标识;
d) 食品药品安全重大(紧急)信息。包括事件发生时间、地点、当前状况、危害程度、先期处置、发展趋势、事件进展、后续应对措施、调查详情、原因分析;
e) 大宗粮食加工品(含大米、小麦粉等)抽检监测信息。
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。