序号 法律法规和部门烧章 发布/生效时间1 备注 5 《数字或府战略》 2012年发布 通用法律 6 (开放政府指令】 2009年发和 通用法律 《扣州安全违约告知法排】 2002年生爱 州法澜 8 《会避服务现代化法案》(GLA) 1999年发布 部门规章 9 《健康保险携带和责任法案》(HIP思) 1996年发布 部门规章 10 (联邦贸易委员会法案)(FTCAct) 1914年发布 都门规章 二、败型 (通用数据保护现则)(GPR) 2016年发布 通用法律 《欧盟数据图存指令】 2006年发布 通用法律 《®私与电子通讯指令】 2002年发布 通用法律 《欧盟数据保护指令》 1995年发布 通用法律 三、澳大利亚 《电信法案) 1997年发布 部门规章 (联邦®私法案》 1988年发布 通用法律 四、酸罗斯 银罗斯联邦法律第152下Z条中2006军个人数据 相关内容 (PersonalDataProtectionAct,.个人数据保护 2015年发布 通用法律 法案) 银罗斯联邦法律第149-7条2006军信息、眉 2 息技术和数据保护相关内容 2008年发和 通月法律 (DataProtectionAct,数据保护法案) 3 《斯特拉斯强公钓》 2005年发布 通用法非 五、新加教 1 《个人数据保护法令》OPA 2012年发布通用法律 从一定意义上说,各国数据保护法律法规的宗旨就是围绕数据提供者、数 据基础设施提供者、数据服务提供者、数据消费者、数据监管者等参与方,力 图将数据保护范围、各参与方对应的权利和义务、相关行为准则等要点界定清 晰。 4.1.12数据保护范围 在法律法规层面上,数据保护是有范围的,要针对可监管的辖区范围、需 保护的数据对象、需监管的数据应用场景,以及需监管的数据处理行为等明确 数据保护范围。数据保护范围一般在数据保护相美法律法规中都明确界定,并 通过各种配套标准加以细化,以支撑法律法规的落地。 一、可监管的辖区范围 可监管的辖区范围是指法律法规里规定的所能管辖的数据涉及的领土范围。 尤其是设立在境外的数据中心是否受到本国法律法规的监管,这也是目前业界 关注的重点之一,不同国家和地区对此规定有一定的差异性。,如美国、澳大利 亚目前的管辖范围是本国领土,也就是说,外国企业以及本国企业设在境外的 数据中心,均不受本国法律法规约束(但某些特殊情况下,美国有可能会运用 长臂管辖权等特殊原则,以国家安全的名义,在认为必要的时候实施强制管辖)。 但欧显、饿罗斯、新加坡等国家和地区则相对监管较严,如假罗斯规定其数据 保护法律法规不受领士管辖权的限制,适用于任何在俄罗所发生的所有数据处 理过程,包括所有对俄罗斯公民数据的收集和使用。而无论数据中心是否建立 或位于俄罗斯境内。对于跨境的数据流,如果俄罗斯公民是对应的数据传输协 定中的一方,那么俄罗斯的数据保护法律法规也可在一定程度上应用, 16
16 序号 法律法规和部门规章 发布/生效时间 备注 5 《数字政府战略》 2012 年发布 通用法律 6 《开放政府指令》 2009 年发布 通用法律 7 《加州安全违约告知法律》 2002 年生效 州法律 8 《金融服务现代化法案》(GLBA) 1999 年发布 部门规章 9 《健康保险携带和责任法案》(HIPAA) 1996 年发布 部门规章 10 《联邦贸易委员会法案》(FTCAct) 1914 年发布 部门规章 二、欧盟 1 《通用数据保护规则》(GDPR) 2016 年发布 通用法律 2 《欧盟数据留存指令》 2006 年发布 通用法律 3 《隐私与电子通讯指令》 2002 年发布 通用法律 4 《欧盟数据保护指令》 1995 年发布 通用法律 三、澳大利亚 1 《电信法案》 1997 年发布 部门规章 2 《联邦隐私法案》 1988 年发布 通用法律 四、俄罗斯 1 俄罗斯联邦法律第 152-FZ 条中 2006 年个人数据 相关内容 (PersonalDataProtectionAct,个人数据保护 法案) 2015 年发布 通用法律 2 俄罗斯联邦法律第 149–FZ 条 2006 年信息、信 息技术和数据保护相关内容 (DataProtectionAct,数据保护法案) 2006 年发布 通用法律 3 《斯特拉斯堡公约》 2005 年发布 通用法律 五、新加坡 1 《个人数据保护法令》(PDPA) 2012 年发布 通用法律 从一定意义上说,各国数据保护法律法规的宗旨就是围绕数据提供者、数 据基础设施提供者、数据服务提供者、数据消费者、数据监管者等参与方,力 图将数据保护范围、各参与方对应的权利和义务、相关行为准则等要点界定清 晰。 4.1.1.2 数据保护范围 在法律法规层面上,数据保护是有范围的,要针对可监管的辖区范围、需 保护的数据对象、需监管的数据应用场景,以及需监管的数据处理行为等明确 数据保护范围。数据保护范围一般在数据保护相关法律法规中都明确界定,并 通过各种配套标准加以细化,以支撑法律法规的落地。 一、可监管的辖区范围 可监管的辖区范围是指法律法规里规定的所能管辖的数据涉及的领土范围, 尤其是设立在境外的数据中心是否受到本国法律法规的监管,这也是目前业界 关注的重点之一。不同国家和地区对此规定有一定的差异性。如美国、澳大利 亚目前的管辖范围是本国领土,也就是说,外国企业以及本国企业设在境外的 数据中心,均不受本国法律法规约束(但某些特殊情况下,美国有可能会运用 长臂管辖权等特殊原则,以国家安全的名义,在认为必要的时候实施强制管辖)。 但欧盟、俄罗斯、新加坡等国家和地区则相对监管较严,如俄罗斯规定其数据 保护法律法规不受领土管辖权的限制,适用于任何在俄罗斯发生的所有数据处 理过程,包括所有对俄罗斯公民数据的收集和使用,而无论数据中心是否建立 或位于俄罗斯境内。对于跨境的数据流,如果俄罗斯公民是对应的数据传输协 定中的一方,那么俄罗斯的数据保护法律法规也可在一定程度上应用
二、需保护的数据对象 口前,美国、欧盟、俄罗斯等国的数据保护主要针对个人信息,一般说来 可划分为两类:个人识别信息(PII,Personal Identity Information)和个 人隐私/敏感数据。其中,PII是指能直接根据该信息识别和定位到个人的信息, 如姓名、身份证号码、银行卡号、家庭住址等:个人隐私/敏感数据是指虽不能 直接识别和定位到个人,但通过关联和嫁合分析,有可能定位到个人的信息, 如健康信息、数育经历、征信记录等。各国对个人隐私/敏感数据的定义不同, 其保护的数据范围也就各不相同,如美国在一些部门规章(如HIPAA)中划定 了个人隐私保护的具体范围,而俄罗斯、新加坡等国则规定凡是和个人相关的 信息,均被认为是个人隐私/敏感数据,均在保护范围内。 此外,在这两类需要监管的数据中,也有因例外蓄免条款成为不需监管的 数据,如新加坡规定商务联系信息、已存在了100年的个人资料以及已经死去 超过十年的个人数据等均不在保护范围内。 三、需监管的数据应用场景 一般情况下,所有涉及数据收集、存储、处理、利用的数据控制者都是被 监管的对象,但各国也根据自己国情划定了可免除监管的例外条例,如新如坡 规定了公民个人行为、员工就业过程中的必要行为、政府/新闻/科研等公共机 构的部分行为、某线获取了明确证明或书面合同的数据中介机构等,可免于数 据保护法律法规的监管。 四、需监管的数据处理行为 目前,美国、欧盟、俄罗斯、新加坡等国均提出应对数据的全生命周期进 行监管,包括收集、记录、组织、积累、存储、变更(更新、修改)、检素、恢 复、使用、转让(传播,提供接入等)、脱敏、剩除、销毁等行为,但各国也根 据自己国情划定了可免除监管的例外条例,如俄罗斯规定了专为个人和家庭需 求处理个人数据(前提是不侵犯数据对象的权利),处理国家保酱数据、依照有 美法律由主管当局向俄罗斯法院提供相关数据等情况,则属于相应的例外榕免 情形。 4.1.13监管部门及其权力 为保证数据安全法律法规的落实,监管部门需设立相应的机构和人员,并 赋予相应的权力,如执法权、处罚权等。 一、英国 美国联邦贸易委员会(FTC)是美国国家隐私法律的主要执行者。虽然其他 机构(如银行机构)也被授权执行各种隐私法,但FTC采取的指施相对更加强 势。例如,FTC可以发起调查、停止令,甚至在法庭上提出申诉。此外,下TC还 向国会报告隐私问题,并制定隐私立法所需的建议。相比而言,《金融服务现代 化法案FSC》则由FTC、联邦银行监管机构和国家保险机构共同执行(在执行 过程中,FTC比其他两家机构更为积极)。IPM则由健康与人类服务部(H旧S) 公民权利办公室(The Office of Civi】Rights)执行,该办公室可对下属机 构的信息处理实戏活动发起调查,确认其是否符合IPA隐私规则,并允许个 人对侵犯隐私的行为进行投诉。在加州,《加州安全违约告知法律》和《加州在 线隐私保护法案》则由加州总检察长和地方检察官执行。 二、欧盟 2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案 17
17 二、需保护的数据对象 目前,美国、欧盟、俄罗斯等国的数据保护主要针对个人信息,一般说来 可划分为两类:个人识别信息(PII,Personal Identity Information)和个 人隐私/敏感数据。其中,PII 是指能直接根据该信息识别和定位到个人的信息, 如姓名、身份证号码、银行卡号、家庭住址等;个人隐私/敏感数据是指虽不能 直接识别和定位到个人,但通过关联和综合分析,有可能定位到个人的信息, 如健康信息、教育经历、征信记录等。各国对个人隐私/敏感数据的定义不同, 其保护的数据范围也就各不相同,如美国在一些部门规章(如 HIPAA)中划定 了个人隐私保护的具体范围,而俄罗斯、新加坡等国则规定凡是和个人相关的 信息,均被认为是个人隐私/敏感数据,均在保护范围内。 此外,在这两类需要监管的数据中,也有因例外豁免条款成为不需监管的 数据,如新加坡规定商务联系信息、已存在了 100 年的个人资料以及已经死去 超过十年的个人数据等均不在保护范围内。 三、需监管的数据应用场景 一般情况下,所有涉及数据收集、存储、处理、利用的数据控制者都是被 监管的对象,但各国也根据自己国情划定了可免除监管的例外条例,如新加坡 规定了公民个人行为、员工就业过程中的必要行为、政府/新闻/科研等公共机 构的部分行为、某些获取了明确证明或书面合同的数据中介机构等,可免于数 据保护法律法规的监管。 四、需监管的数据处理行为 目前,美国、欧盟、俄罗斯、新加坡等国均提出应对数据的全生命周期进 行监管,包括收集、记录、组织、积累、存储、变更(更新、修改)、检索、恢 复、使用、转让(传播,提供接入等)、脱敏、删除、销毁等行为,但各国也根 据自己国情划定了可免除监管的例外条例,如俄罗斯规定了专为个人和家庭需 求处理个人数据(前提是不侵犯数据对象的权利)、处理国家保密数据、依照有 关法律由主管当局向俄罗斯法院提供相关数据等情况,则属于相应的例外豁免 情形。 4.1.1.3 监管部门及其权力 为保证数据安全法律法规的落实,监管部门需设立相应的机构和人员,并 赋予相应的权力,如执法权、处罚权等。 一、美国 美国联邦贸易委员会(FTC)是美国国家隐私法律的主要执行者。虽然其他 机构(如银行机构)也被授权执行各种隐私法,但 FTC 采取的措施相对更加强 势。例如,FTC 可以发起调查、停止令,甚至在法庭上提出申诉。此外,FTC 还 向国会报告隐私问题,并制定隐私立法所需的建议。相比而言,《金融服务现代 化法案 FSMC》则由 FTC、联邦银行监管机构和国家保险机构共同执行(在执行 过程中,FTC 比其他两家机构更为积极)。HIPAA 则由健康与人类服务部(HHS) 公民权利办公室(The Office of Civil Rights)执行。该办公室可对下属机 构的信息处理实践活动发起调查,确认其是否符合 HIPAA 隐私规则,并允许个 人对侵犯隐私的行为进行投诉。在加州,《加州安全违约告知法律》和《加州在 线隐私保护法案》则由加州总检察长和地方检察官执行。 二、欧盟 2016 年 4 月 14 日,欧洲议会投票通过了商讨四年的《一般数据保护法案》
(General Data Protection Regulation,GDPR),该法案将于20l8年5月25 日正式生效,GR的通过意味着欧里对个人信息保护及其监管达到了前所未有 的高度,堪称史上最严格的数据保护法案。GDR对于业务范围涉及欧显成员国 领土及其公民的企业都具有钓束力,通过设立歇盟数据保护理事会(European ata Protection Board),赋予其欧盟数据监管的最高机构的地位,并保证其 独立性。理事会可以单独行动,直接对欧盟委员会负责。 三、澳大利亚 澳大利亚成立了专门机构一一澳大利亚倍息专员办公室(0 ffice of the Australian Infornation Commissioner,OAIC),并设立了信息专员作为执行 《联邦隐私法案》的关键角色,0AIC有权接受并处理个人对于隐私的相关控诉, 如果相关控诉属实,则O4IC可做以下处理:1)通知被告不能重复或维续侵害 隐私:2)做出相应的决定,如申诉人有权指定赔偿方式和数额:3)OAIC和申 诉人有权向法院提起诉讼决定,违反隐私法案的个人和公司,可能分别面临高 达34万澳元和170万澳元的处罚。 信息专员的权力范围包括调查违规、促进合法行为等,如审计实体的合法 性、接受书面保证(并推进执行)、注册有约束力的业务法规、决定是否开展自 愿调查。同时,针对数据主体的投诉,信息专员可通过调解去解决双方争端, 或根据投诉做出决定。此外,信息专员还可开展下列流程:1)执行承诺和决策: 2)寻求强制救济:3)申请民事处罚。对于严重的或反复违反《隐私法案》的 行为,法庭可进行罚款。 此外,除了0IC及其信息专员,澳大利亚通信及媒体管理局(《垃圾 郎件法案》的监管者)也有独立的执法权。 四、俄罗斯 俄罗斯数据保护最主要的监管部门是俄罗斯电信/信息技术和大众传煤联邦 监管局(Roskomnadzor,相当于美国FCC)。此外俄罗斯政府、俄罗斯联邦技术 和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等主管监管部门也制定 了一些对数据保护的特定条款, 五、新如坡 新加坡数据保护最主要的法律依据是《个人数据保护法令》(PDPA),同时 为了执行PDPA,新加坡专门成立个人数据保护委员会(PDPC)来承担DPA的制 定和实施工作。与俄罗斯的Roskomnadzor类似,新加坡的PDPC也具有一定的 执法权。 4.1.1.4数据提供者的权利 数据提供者的权利主要指用户在使用信息服务过程中被收集相关信息,对 自身信息所拥有的权利,包括知情权,授权处理权、访问/查询/更正权、停止 收集/别除权、投诉权等。具体见表4.2 表42各国对数据提供者权利的规定 权利内容 典国 散翌 澳大利亚 俄罗斯 新加坡 数据收集7处理前板 告如的权刊 允许 允许 允许' 允许 允许 授权个人数据收渠☑ 处理的权利 允许 允许 允许 允许 允许 访同/查陶个人倍忍 指是情况 的权利 下允许 允许 允许 允许 允许 更正个人信的权利 指图情况 允许 允诈 允诈 允许 18
18 (General Data Protection Regulation,GDPR),该法案将于 2018 年 5 月 25 日正式生效。GDPR 的通过意味着欧盟对个人信息保护及其监管达到了前所未有 的高度,堪称史上最严格的数据保护法案。GDPR 对于业务范围涉及欧盟成员国 领土及其公民的企业都具有约束力,通过设立欧盟数据保护理事会(European Data Protection Board),赋予其欧盟数据监管的最高机构的地位,并保证其 独立性。理事会可以单独行动,直接对欧盟委员会负责。 三、澳大利亚 澳大利亚成立了专门机构——澳大利亚信息专员办公室(Office of the Australian Information Commissioner,OAIC),并设立了信息专员作为执行 《联邦隐私法案》的关键角色。OAIC 有权接受并处理个人对于隐私的相关控诉。 如果相关控诉属实,则 OAIC 可做以下处理:1)通知被告不能重复或继续侵害 隐私;2)做出相应的决定,如申诉人有权指定赔偿方式和数额;3)OAIC 和申 诉人有权向法院提起诉讼决定,违反隐私法案的个人和公司,可能分别面临高 达 34 万澳元和 170 万澳元的处罚。 信息专员的权力范围包括调查违规、促进合法行为等,如审计实体的合法 性、接受书面保证(并推进执行)、注册有约束力的业务法规、决定是否开展自 愿调查。同时,针对数据主体的投诉,信息专员可通过调解去解决双方争端, 或根据投诉做出决定。此外,信息专员还可开展下列流程:1)执行承诺和决策; 2)寻求强制救济;3)申请民事处罚。对于严重的或反复违反《隐私法案》的 行为,法庭可进行罚款。 此外,除了 OAIC 及其信息专员,澳大利亚通信及媒体管理局 ACMA(《垃圾 邮件法案》的监管者)也有独立的执法权。 四、俄罗斯 俄罗斯数据保护最主要的监管部门是俄罗斯电信/信息技术和大众传媒联邦 监管局(Roskomnadzor,相当于美国 FCC)。此外俄罗斯政府、俄罗斯联邦技术 和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等主管监管部门也制定 了一些对数据保护的特定条款。 五、新加坡 新加坡数据保护最主要的法律依据是《个人数据保护法令》(PDPA),同时 为了执行 PDPA,新加坡专门成立个人数据保护委员会(PDPC)来承担 PDPA 的制 定和实施工作。与俄罗斯的 Roskomnadzor 类似,新加坡的 PDPC 也具有一定的 执法权。 4.1.1.4 数据提供者的权利 数据提供者的权利主要指用户在使用信息服务过程中被收集相关信息,对 自身信息所拥有的权利,包括知情权、授权处理权、访问/查询/更正权、停止 收集/删除权、投诉权等,具体见表 4.2。 表 4.2 各国对数据提供者权利的规定 权利内容 美国 欧盟 澳大利亚 俄罗斯 新加坡 数据收集/处理前被 告知的权利 允许 1 允许 1 允许 1 允许 1 允许 1 授权个人数据收集/ 处理的权利 允许 允许 允许 允许 允许 访问/查询个人信息 的权利 指定情况 下允许 2 允许 允许 允许 允许 更正个人信息的权利 指定情况 允许 允许 允许 允许
下允许 停正收渠不人信思的 指阅情祝 允许 柔明雨 柔明 权利 下允许 规定 允许 想定 刷除个人信息的权利 指定情况 下允许 允许 不允许 香定情况 下允许 不允许· 授诉的权利 未明确规定 允许 允许 柔明闻 规定 允许 其他权利 未明确规定 允许 末明硝 术明躏 规定 允许· 规定 注1:美国、欲型、两利业,战罗期、新加玻对集数据前位求数据提供者同童的形 式、提供的内容、例外情况等规定各不相同 注2:除了ⅢP4、加州法律等,FTC、GL以等大多数美国隐私法一投不支持为用户提供 相关访问权限,但《儿童在线隐私保护法案》允许父母查看网站所收集的孩子个人信 息。此外,HP以、《儿童在线隐私保护法案》还支特用户的别除/更正信是的要求, 注3:美国M,IPAM,加州法律都支特公可提供策道,允许用户退出其提供的信息服 务。 注:美国《儿童在线隐私保护法案)允许父辱副除信息的要求。银罗斯个人数据保护 法案规定,当个人数据不完整、过期、不准确、非法取得、数据处理声明的目的不是必 類的等情况下,数据提债者可以请求副除个人数据。新加拔PA不给个人请求剩除自己 个人信皂的权利,们保图有限制的责任。 注5:欧里限在第17章中明确定义数据速忘权和制除权。俄罗斯个人数据保护法案 规定的数据主体其他权利还包括获取数据使用相关信息、反对直接营销等权利。 可以看到,各国数据保护法律法规对数据提供者权利基本都进行了规定, 但规定的粒度又各不相同,如针对知情权,俄罗斯则规定,针对数据主体全名/ 地址/身份证明D(如护照)/身份证明的发行时间与发证机关/签名等信息、数 据控制者的全名/地址/数据处理目的等关键信息,需要以书面形式给出(包括 电子签名的方式),新加坡则规定,数据控制者在收集个人数据之前需经数据主 体的同意,但不指定通知形式, 4.1.15数据使用者的义务 美国、欧里,澳大利亚、俄罗斯、新加坡等国均规定数据使用者除了有义 务在数据收集、存储、处理等全生命周期中配合数据主体实现其权利外,还有 确保数据安全、对数据监管者进行数据收集和利用情况报各、发生异常事件时 的通报、数据境外流转/存储前向数据监管者申请等义务,如表4,3所示。 表4.3名国对数据使用者义务的规定 义务内容 美回 欧盟 澳大利亚 银罗斯 新加坡 保证数据中心在境内的 指定情况 指定情况 指定情况下 煲求数 据中心 义务 下不要求 下不要求 不要求 未明确规定 在境内 收集数瑞前征求政附部 未明确规 未明确规 明规 门同意的义务 定 定 明确规定 定7 明确规定’ 发生异常时阿指定致府 郭门及数据主体等报告 明确线定 明确烤定 明确规定 明确规 表明确规定 的义务 定 数据境外流转/存错前阿 数据监管者申请的文务 见表44 见表44 见表4.4 见表44 见表4.4 狂1:两利业投有妻来这通知0AC和信惠专责。 注2:俄罗斯规定数据控制者在操作处理个人数据之前必领通如Rsk0nad位©r(通知可以 是纸质版成电子版),osk0na0r会在牧到通知后30天内对数据操作者进行叠记。 注3:新加技规定有义务通知政府主管部门收集、使用威拔露个人信息的目的(包括书面 和口头两种形式》:。 19
19 下允许 2 停止收集个人信息的 权利 指定情况 下允许 3 允许 未明确 规定 允许 未明确 规定 删除个人信息的权利 指定情况 下允许 4 允许 不允许 指定情况 下允许 4 不允许 4 投诉的权利 未明确规定 允许 允许 未明确 规定 允许 其他权利 未明确规定 允许 5 未明确 规定 允许 5 未明确 规定 注 1:美国、欧盟、澳大利亚、俄罗斯、新加坡对收集数据前征求数据提供者同意的形 式、提供的内容、例外情况等规定各不相同。 注 2:除了 HIPAA、加州法律等,FTC、GLBA 等大多数美国隐私法一般不支持为用户提供 相关访问权限,但《儿童在线隐私保护法案》允许父母查看网站所收集的孩子个人信 息。此外,HIPAA、《儿童在线隐私保护法案》还支持用户的删除/更正信息的要求。 注 3:美国 GLBA、HIPAA、加州法律都支持公司提供渠道,允许用户退出其提供的信息服 务。 注 4:美国《儿童在线隐私保护法案》允许父母删除信息的要求。俄罗斯个人数据保护 法案规定,当个人数据不完整、过期、不准确、非法取得、数据处理声明的目的不是必 须的等情况下,数据提供者可以请求删除个人数据。新加坡 PDPA 不给个人请求删除自己 个人信息的权利,但保留有限制的责任。 注 5:欧盟 GDPR 在第 17 章中明确定义数据遗忘权和删除权。俄罗斯个人数据保护法案 规定的数据主体其他权利还包括获取数据使用相关信息、反对直接营销等权利。 可以看到,各国数据保护法律法规对数据提供者权利基本都进行了规定, 但规定的粒度又各不相同,如针对知情权,俄罗斯则规定,针对数据主体全名/ 地址/身份证明 ID(如护照)/身份证明的发行时间与发证机关/签名等信息、数 据控制者的全名/地址/数据处理目的等关键信息,需要以书面形式给出(包括 电子签名的方式)。新加坡则规定,数据控制者在收集个人数据之前需经数据主 体的同意,但不指定通知形式。 4.1.1.5 数据使用者的义务 美国、欧盟、澳大利亚、俄罗斯、新加坡等国均规定数据使用者除了有义 务在数据收集、存储、处理等全生命周期中配合数据主体实现其权利外,还有 确保数据安全、对数据监管者进行数据收集和利用情况报备、发生异常事件时 的通报、数据境外流转/存储前向数据监管者申请等义务,如表 4.3 所示。 表 4.3 各国对数据使用者义务的规定 义务内容 美国 欧盟 澳大利亚 俄罗斯 新加坡 保证数据中心在境内的 义务 指定情况 下不要求 指定情况 下不要求 指定情况下 不要求 要求数 据中心 在境内 未明确规定 收集数据前征求政府部 门同意的义务 未明确规 定 未明确规 定 明确规定 1 明确规 定 2 明确规定 3 发生异常时向指定政府 部门及数据主体等报告 的义务 明确规定 明确规定 明确规定 明确规 定 未明确规定 数据境外流转/存储前向 数据监管者申请的义务 见表 4.4 见表 4.4 见表 4.4 见表 4.4 见表 4.4 注 1:澳大利亚没有要求必须通知 OAIC 和信息专员。 注 2:俄罗斯规定数据控制者在操作处理个人数据之前必须通知 Roskomnadzor(通知可以 是纸质版或电子版),Roskomnadzor 会在收到通知后 30 天内对数据操作者进行登记。 注 3:新加坡规定有义务通知政府主管部门收集、使用或披露个人信息的目的(包括书面 和口头两种形式)
4.11.6数据境外流转/存储和转移协议要求 数据跨境主要包括数据跨境流动、数据骑境存储以及所涉及的跨境协议等 方面内容,各国对数据境外流转/存储和转移协议的规定如下表4.4所示 表4.4各国数据境外流转/存储和转移协议要求 数帮境外流转/存佛 和转移协议要求 类国 欢置 澳大利亚 俄罗斯 新加技 数据是否可存储在境 外 允许 允许 允许 不允许 允许 数据是否可流转到现 在指定条 在雷定家 在指定系 在指定条 在指定条作 外 生下流转 件下流转 生下流转 生下流转 下流传 数据流转到项外的转 来明南规 表列雨规 来明确规 未明雨规 移协议 未明确规定 定 定 定 定 发生数据境外存储☑ 流转时是否告知数据 未明确规 未明确规 未明确规 必须告知 未明确规定 蓝管者 定 定 定 主管部门 一、美国 美国对个人数据骑境传输限制较少,只有部分州顺布相关法律限制国外组 织或机构开展数据服务,但通常仅限于为政府机构提供服务或产品的企业 下TC和其他监管机构的立场是,美国法律法规适用于跨境传输的美国数据, 监管企业如下方面: 1.数据出口到美国国外: 2.海外分包商处理的数据: 3.分包商使用相同的保护措随(如通过使用安全保障协议,审核和合同规定) 监管跨境后的数据, 二、欧盟 GDPR规定:数据接收国的法律、监管机构能够有效地保护欧盟数据主体的 权利,并且有充分的司法救济权力:数据接收国必须是欧盟认可的数据保护充 分的国家。 三、澳大利亚 根据《联邦隐私法案》,组织减机构将持有的个人信息披露给位于澳大利亚 以外的第三方之前,必须采取合理的步腰以确保海外的数据接收者不会违反法 案中规定的原则(除了特殊情况,组织或机构将持有的个人信息披露给位于澳 大利亚以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会 违反《联邦隐私法案》的要求。在一定程度上,甚至认为组织或机构须对任何 境外接收者违反《联邦隐私法案》的行为负责)。但在下列情况下不适用: 1.组织或机构已按照《联邦隐私法案》规定的方式获得了相关数据主体的 同意: 2.境外接收者是由和《联邦隐私法案》类似,且可被《联邦隐私法案》强 制执行的境外法律所约束: 3.其他例外情况(如个人数据披露是由澳大利亚相关法律要求的)。 通常获得知情同意很困难,因此大多数情况下境外接收者不受类似的由相 关数据主体强制执行的境外法律的约束。因此,在大多数情况下实体必须采用 “合理步骤”来保证境外接收者不会违反《联邦隐私法案》的优先级高低出境 数据存在以下情况之一的将信息拔露给境外接收者。组织或机构通常寻求获得 境外收件人的合同承诺即按照澳大利亚隐私法处理个人数据来遵守此规定(通 常组织或机构通过和境外接收者签署合同来符合相关要求,这些合同可以保证 20
20 4.1.1.6 数据境外流转/存储和转移协议要求 数据跨境主要包括数据跨境流动、数据跨境存储以及所涉及的跨境协议等 方面内容,各国对数据境外流转/存储和转移协议的规定如下表 4.4 所示。 表 4.4 各国数据境外流转/存储和转移协议要求 数据境外流转/存储 和转移协议要求 美国 欧盟 澳大利亚 俄罗斯 新加坡 数据是否可存储在境 外 允许 允许 允许 不允许 允许 数据是否可流转到境 外 在指定条 件下流转 在指定条 件下流转 在指定条 件下流转 在指定条 件下流转 在指定条件 下流转 数据流转到境外的转 移协议 未明确规 定 未明确规 定 未明确规 定 未明确规 定 未明确规定 发生数据境外存储/ 流转时是否告知数据 监管者 未明确规 定 未明确规 定 未明确规 定 必须告知 主管部门 未明确规定 一、美国 美国对个人数据跨境传输限制较少,只有部分州颁布相关法律限制国外组 织或机构开展数据服务,但通常仅限于为政府机构提供服务或产品的企业。 FTC 和其他监管机构的立场是,美国法律法规适用于跨境传输的美国数据, 监管企业如下方面: 1. 数据出口到美国国外; 2. 海外分包商处理的数据; 3. 分包商使用相同的保护措施(如通过使用安全保障协议,审核和合同规定) 监管跨境后的数据。 二、欧盟 GDPR 规定:数据接收国的法律、监管机构能够有效地保护欧盟数据主体的 权利,并且有充分的司法救济权力;数据接收国必须是欧盟认可的数据保护充 分的国家。 三、澳大利亚 根据《联邦隐私法案》,组织或机构将持有的个人信息披露给位于澳大利亚 以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会违反法 案中规定的原则(除了特殊情况,组织或机构将持有的个人信息披露给位于澳 大利亚以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会 违反《联邦隐私法案》的要求。在一定程度上,甚至认为组织或机构须对任何 境外接收者违反《联邦隐私法案》的行为负责)。但在下列情况下不适用: 1. 组织或机构已按照《联邦隐私法案》规定的方式获得了相关数据主体的 同意; 2. 境外接收者是由和《联邦隐私法案》类似,且可被《联邦隐私法案》强 制执行的境外法律所约束; 3. 其他例外情况(如个人数据披露是由澳大利亚相关法律要求的)。 通常获得知情同意很困难,因此大多数情况下境外接收者不受类似的由相 关数据主体强制执行的境外法律的约束。因此,在大多数情况下实体必须采用 “合理步骤”来保证境外接收者不会违反《联邦隐私法案》的优先级高低出境 数据存在以下情况之一的将信息披露给境外接收者。组织或机构通常寻求获得 境外收件人的合同承诺即按照澳大利亚隐私法处理个人数据来遵守此规定(通 常组织或机构通过和境外接收者签署合同来符合相关要求,这些合同可以保证