在《联邦隐私法案》的框架下处理所有用户数据 在某些情况下,将会被追究法律责任,如姐织或机构被嚣个人数据到境外 而该境外接收者又违反了《联邦隐私法案》。 四、俄罗斯 俄罗斯个人数据保护相关法律法规指出:在个人数据跨境流动的情况下, 所有的数据控制者必须确保(做出转让之前)其各自的数据主体的权利和利益 在相应的其他国家能以适当的方式得到充分的保障。所有签署斯特拉斯堡公约 的国家都被认为是能为数据主体提供权利和利益“充分保护”的司法管辖区。 只要征得数据主体同意,数据跨境流动到具有对等保护级别的司法管辖区是不 受任何限制的。同时,Roskomnadzor已列出能够对个人数据跨境流动提供足够 缓别保护的国家正式名单,包括澳大利亚、阿根廷、加拿大、以色列、墨西哥 和新西兰。只有在特定例外情况下才允许个人货料跨境流动到无足够保护水平 的国家, 通常情况下,作为数据控制者的公司会在向境外传输个人数据前检查对方 是否具有足够的数据保护水平。此外,公司将获得数据主体各自给出的书面同 意,或执行遵循自身目的的跨境数据传输协议。按照这些步骤,公司将按照自 己公司内部的规则或政策开展数据跨境传输。 2014年7月21日,假罗斯联邦总统签署第242-Z号联邦法律,将修订在 信息和电信网络方面对于个人数据处理的某些立法行为,成为新数据保护法。 新数据保护法的修订己于2014年12月31日在第528-FZ号联邦法律通过,并 于015年9月1日生效。新的数据保护法主要修正了个人数据保护法的两个间 题: 1,介绍了数据控制者关于俄罗斯公民个人数据的收集、存储和处理方面的 新义务: 2.引入了oskounadzor阻止非法加工俄罗斯公民个人数据的网站和在线资 源的新机制。 具体而言,新数据保护法对所有数据控制者都引入了一项义务,要求其 “在收集个人相关数据时,包括通过互联网的过程中,确保能够通过位于俄罗 斯联邦境内的数据中心记录、系统化、累积、存储、变更以及提取俄罗斯公民 个人数据,”这意味着,任何由数据控制者收集的俄罗斯公民个人数据都需要存 储在俄罗斯境内的服务器、IT系统或数据中心上。 虽然新的数据保护法律没有明确规定这一点,但这些要求很可能被解释为 禁止将俄罗斯公民个人数据存储在俄罗斯境外。因此,根据新数据保护法的文 字描述和解释,为满足数据保护立法的所有其他通用要求,本地和外国公司 (数据控制者)都需要在俄罗斯境内处理或组织处理俄罗斯公民个人数据, 此外,新的数据保护法律并没有禁止从境外访问位于假罗斯境内的服务器、 IT系统和数据中心,也没有对包括境外数据传输和数据复制在内的数据转移进 行特别的限制。 俄罗斯法律法规并没有规定数据跨境流动所采用的传输协议,虽然这线跨 境传粕协议应用广泛,但Roskomnadzor没有给出其标准形式,所用到的每一个 协议都是视情况而定的。 只要收到数据主体的同意,或数据主体的同意在协议里有表达,则个人数 据的跨境流转就是合法的,此外,数据控制者在向Roskomnadzor登记时,必须 告知Roskonnadzor其数据跨境流动的权利。 21
21 在《联邦隐私法案》的框架下处理所有用户数据。 在某些情况下,将会被追究法律责任,如组织或机构披露个人数据到境外 而该境外接收者又违反了《联邦隐私法案》。 四、俄罗斯 俄罗斯个人数据保护相关法律法规指出:在个人数据跨境流动的情况下, 所有的数据控制者必须确保(做出转让之前)其各自的数据主体的权利和利益 在相应的其他国家能以适当的方式得到充分的保障。所有签署斯特拉斯堡公约 的国家都被认为是能为数据主体提供权利和利益“充分保护”的司法管辖区。 只要征得数据主体同意,数据跨境流动到具有对等保护级别的司法管辖区是不 受任何限制的。同时,Roskomnadzor 已列出能够对个人数据跨境流动提供足够 级别保护的国家正式名单,包括澳大利亚、阿根廷、加拿大、以色列、墨西哥 和新西兰。只有在特定例外情况下才允许个人资料跨境流动到无足够保护水平 的国家。 通常情况下,作为数据控制者的公司会在向境外传输个人数据前检查对方 是否具有足够的数据保护水平。此外,公司将获得数据主体各自给出的书面同 意,或执行遵循自身目的的跨境数据传输协议。按照这些步骤,公司将按照自 己公司内部的规则或政策开展数据跨境传输。 2014 年 7 月 21 日,俄罗斯联邦总统签署第 242-FZ 号联邦法律,将修订在 信息和电信网络方面对于个人数据处理的某些立法行为,成为新数据保护法。 新数据保护法的修订已于 2014 年 12 月 31 日在第 526-FZ 号联邦法律通过,并 于 2015 年 9 月 1 日生效。新的数据保护法主要修正了个人数据保护法的两个问 题: 1. 介绍了数据控制者关于俄罗斯公民个人数据的收集、存储和处理方面的 新义务; 2. 引入了 Roskomnadzor 阻止非法加工俄罗斯公民个人数据的网站和在线资 源的新机制。 具体而言,新数据保护法对所有数据控制者都引入了一项义务,要求其 “在收集个人相关数据时,包括通过互联网的过程中,确保能够通过位于俄罗 斯联邦境内的数据中心记录、系统化、累积、存储、变更以及提取俄罗斯公民 个人数据。”这意味着,任何由数据控制者收集的俄罗斯公民个人数据都需要存 储在俄罗斯境内的服务器、IT 系统或数据中心上。 虽然新的数据保护法律没有明确规定这一点,但这些要求很可能被解释为 禁止将俄罗斯公民个人数据存储在俄罗斯境外。因此,根据新数据保护法的文 字描述和解释,为满足数据保护立法的所有其他通用要求,本地和外国公司 (数据控制者)都需要在俄罗斯境内处理或组织处理俄罗斯公民个人数据。 此外,新的数据保护法律并没有禁止从境外访问位于俄罗斯境内的服务器、 IT 系统和数据中心,也没有对包括境外数据传输和数据复制在内的数据转移进 行特别的限制。 俄罗斯法律法规并没有规定数据跨境流动所采用的传输协议,虽然这些跨 境传输协议应用广泛,但 Roskomnadzor 没有给出其标准形式,所用到的每一个 协议都是视情况而定的。 只要收到数据主体的同意,或数据主体的同意在协议里有表达,则个人数 据的跨境流转就是合法的。此外,数据控制者在向 Roskomnadzor 登记时,必须 告知 Roskomnadzor 其数据跨境流动的权利
五、新如坡 原则上组织不能把任何个人资料转移到新加坡以外的国家或地区,除非其 符合DPA第26节规定的要求,这是为了保证组织能够提供与PDPA保护框架相 对应的保护水平。只有当组织在采取合理步骤,满足特定条件时,才可将个人 数据传输到境外。 4.12国内数据安全法律法规和政策 我国在推进大数据产业发展的过程中,越来越重视数据安全问愿,不断完 善数据开放共享、数据跨境流动和用户个人信息保护等方面的法律法规和政策, 为大数据产业健康发展保驾护航。 4.12.1数据开放共享相关法律法规政策 近年来,中央和地方政府高度重视数据开放共享工作,相继出台数据开放 共享相关政策法规。 一、国家层面,制定数据开放共享相关的钢要规划,加强数据开放共享的 顶层设计。 2015年8月,国务院印发《促进大数据发展行动解要》,提出如快政府数据 开放共享,推动资源整合,提升治理能力,要大力推动政府部门数据共享,明 确各部门数据共享的范围边界和使用方式,属清数据管理及共享的义务和权利, 依托政府数据统一共享交换平台,大力推进国家基础数据资源共享:稳步推动 公共数据资源开放,建立公共机构数据资源清单,建设国家政府数据统一开放 平台,推进公共机构数据资源统一汇聚和集中向社会开放,提升政府数据开故 共享标准化程度:建立政府和社会互动的大数据采集形成机制,制定政府数据 共享开放目录,通过政务数据公开共享,引导企业、行业协会、科研机构、公 共组织等主动采集并开故数据, 2016年12月,工信部印发《大数据产业发展规划(2016一2020年)》,提 出加强资源共享和沟通协作,协调制定政策措随和行动计划,解决大数据产业 发展过程中的重大问题,建立大数据发展部省协调机制,加强地方与中央大数 据产业相关规划、法律、政策等的衔接配套,通过联合开展产业规划等指施促 进区域间大数据政策协调:推动制定公共信息资源保护和开放的制度性文件, 以及政府信息资源管理办法,逐步扩大开放数据的范围,提高开放数据质量, 018年3月,国务院办公厅发布《科学数据管理办法》,深刻把握大数据时 代科学数据发展趋势,充分借鉴国内外先进经验和成熟做法,针对目前我国科 学数据管理中存在的薄弱环节,进行了系统的部署和安排,田绕科学数据的全 生命周期。加强和规范科学数据的采集生产、加工整理、开放共享等各个环节 的工作,把确保数据安全放在首要位置,建立数据共享和对外交流的安全审查 机制:按照“开放为常态、不开放为例外”的共亨理念,明确为公益事业无偿 服务的政策导向,充分发挥科学数据的重要作用。 二、地方层面,地方政府也积极配合推动大数据产业发展应用,加快制定 数暑开放共享方面的法规政策。 014年,贵州省发布《关于加快大数据产业发展应用若干政策的意见》 (以下简称《意见》)和《贵州省大数据产业发展应用规划纲要(2014-2020)》 (以下简称《钢要》),提出数据开放共享方面需加快建立相关标准规范,实现 22
22 五、新加坡 原则上组织不能把任何个人资料转移到新加坡以外的国家或地区,除非其 符合 PDPA 第 26 节规定的要求,这是为了保证组织能够提供与 PDPA 保护框架相 对应的保护水平。只有当组织在采取合理步骤,满足特定条件时,才可将个人 数据传输到境外。 4.1.2 国内数据安全法律法规和政策 我国在推进大数据产业发展的过程中,越来越重视数据安全问题,不断完 善数据开放共享、数据跨境流动和用户个人信息保护等方面的法律法规和政策, 为大数据产业健康发展保驾护航。 4.1.2.1 数据开放共享相关法律法规政策 近年来,中央和地方政府高度重视数据开放共享工作,相继出台数据开放 共享相关政策法规。 一、国家层面,制定数据开放共享相关的纲要规划,加强数据开放共享的 顶层设计。 2015 年 8 月,国务院印发《促进大数据发展行动纲要》,提出加快政府数据 开放共享,推动资源整合,提升治理能力。要大力推动政府部门数据共享,明 确各部门数据共享的范围边界和使用方式,厘清数据管理及共享的义务和权利, 依托政府数据统一共享交换平台,大力推进国家基础数据资源共享;稳步推动 公共数据资源开放,建立公共机构数据资源清单,建设国家政府数据统一开放 平台,推进公共机构数据资源统一汇聚和集中向社会开放,提升政府数据开放 共享标准化程度;建立政府和社会互动的大数据采集形成机制,制定政府数据 共享开放目录,通过政务数据公开共享,引导企业、行业协会、科研机构、公 共组织等主动采集并开放数据。 2016 年 12 月,工信部印发《大数据产业发展规划(2016-2020 年)》,提 出加强资源共享和沟通协作,协调制定政策措施和行动计划,解决大数据产业 发展过程中的重大问题,建立大数据发展部省协调机制,加强地方与中央大数 据产业相关规划、法律、政策等的衔接配套,通过联合开展产业规划等措施促 进区域间大数据政策协调;推动制定公共信息资源保护和开放的制度性文件, 以及政府信息资源管理办法,逐步扩大开放数据的范围,提高开放数据质量。 2018 年 3 月,国务院办公厅发布《科学数据管理办法》,深刻把握大数据时 代科学数据发展趋势,充分借鉴国内外先进经验和成熟做法,针对目前我国科 学数据管理中存在的薄弱环节,进行了系统的部署和安排,围绕科学数据的全 生命周期,加强和规范科学数据的采集生产、加工整理、开放共享等各个环节 的工作。把确保数据安全放在首要位置,建立数据共享和对外交流的安全审查 机制;按照“开放为常态、不开放为例外”的共享理念,明确为公益事业无偿 服务的政策导向,充分发挥科学数据的重要作用。 二、地方层面,地方政府也积极配合推动大数据产业发展应用,加快制定 数据开放共享方面的法规政策。 2014 年,贵州省发布《关于加快大数据产业发展应用若干政策的意见》 (以下简称《意见》)和《贵州省大数据产业发展应用规划纲要(2014-2020)》 (以下简称《纲要》),提出数据开放共享方面需加快建立相关标准规范,实现
有效整合数据资源的目标;制定大数据采集、管理、共享、交易等标准规范, 明确收集数据的范围和格式、数据管理的权限和程序以及开放数据的内容、格 式和访问方式等。《意见》还指出建立政府和社会互动的大数据采集形成机制, 通过政务数据公开共享,引导企业,行业协会、科研机构、公共组织等主动深 集并开放数据,形成数据的大开放。《纲要》也指出制定出台数据资源开放指导 办法和数据资源安全开放标准规范,按照“开放优先、安全例外、分类分级" 的原则,对大数据中心的数据资源进行梳理和开放风险评估,制定数据开放目 录并及时更新。 016年,浙江省发布《浙江省促进大数据发展实施计划》(以下简称《浙 江计划》),提出建立数据开放共享相关标准规范体系。《浙江计划》提出打造数 据共享、交换和开放统一平台,要推进攻府数据资源共享交换,建设统一的政 府信息资源管理服务系统,厘清数据管理及共亭的义务和权利,明确共享的范 围边界和使用方式:深化公共数据统一开放平台建设,建立公共数据资源开放 目录,制定数据开放标准,落实数据开放和维护责任,推动相关领域的政府数 据向社会开放。《浙江计划》还提出研究制定数据采集标准及分级分类标准、或 府数据共享标准、数据交换标准、政府及公共数据开放标准、统计标准,对共 享开放的方式、内容、对象、条件等进行规范:积极参与大数据关键共性技术 国乐标准、国家标准、行业标准的制修定,推进大数累产业标准体系建设,探 煮建立大数据市场交易标准体系 2016年,广东省发布《广东省促进大数据发展行动计划(2016-2020年)》 (以下简称《广东计划》),对数据开放共享做出相关规定。《广东计划》提出将 推动政府数据资源整合、共享和开放作为重点行动,完善大数据采集机制,整 合公共数据资源,推动政府数据共享,推动公共数据资源开放。完善政务信息 资源共享平台,健全政府信息资源共享机制,建设政府数据统一开放平台,提 供面向公众的政府数据服务,推动公共数据资源向社会开放,《广东计划》还提 出加快建立公共机构的数据标准和统计标准体系,推进大数据采集、管理、共 享,交易等标准规范的制定和实范。统一政务数据编码、格式标准、交换接口 规范,研究制定一批基础共性、重点应用和关键技术标准。 017年5月,《贵阳市政府数据共享开放条例》正式实施,这标志着贵阳填 补了在大数据方而的地方性法规空白,是贵阳市以大数据为引领加快打造创新 型中心城市的重大举措,对于推进数据资源开放共享有法可依,提供了理论依 据和法律支撑,为贵阳大数据产业发展法治构建打下了坚实的基础。 4.12.2数据跨境相关法律法规和政策 随着全球数字经济快速发展,数据跨境流动日趋顿繁,数据跨境传输引发 的国家重要数据资源安全风险也与日俱增。为了加强数据跨境安全保护,我国 在《网铬安全法》中首次明确了关键信息基础设施有关个人信息和重要数据本 地存储和向境外提供的规定。此外,国家网信部门正在依据《网络安全法》加 紧制定《个人信息和重要数据出境安全评估办法》(现己形成征求意见稿),提 出网铬运营者在我国境内运营中收集和产生的个人信息和重要数据,因业务需 要向境外提供的,应进行安全评估。 《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评 估办法》)明确规定,出境数据存在以下情况之一的,要经过安全评估:含有或 累计含有50万人以上的个人信息:包含核设施、化学生物、国防军工、人口健 23
23 有效整合数据资源的目标;制定大数据采集、管理、共享、交易等标准规范, 明确收集数据的范围和格式、数据管理的权限和程序以及开放数据的内容、格 式和访问方式等。《意见》还指出建立政府和社会互动的大数据采集形成机制, 通过政务数据公开共享,引导企业、行业协会、科研机构、公共组织等主动采 集并开放数据,形成数据的大开放。《纲要》也指出制定出台数据资源开放指导 办法和数据资源安全开放标准规范,按照“开放优先、安全例外、分类分级” 的原则,对大数据中心的数据资源进行梳理和开放风险评估,制定数据开放目 录并及时更新。 2016 年,浙江省发布《浙江省促进大数据发展实施计划》(以下简称《浙 江计划》),提出建立数据开放共享相关标准规范体系。《浙江计划》提出打造数 据共享、交换和开放统一平台,要推进政府数据资源共享交换,建设统一的政 府信息资源管理服务系统,厘清数据管理及共享的义务和权利,明确共享的范 围边界和使用方式;深化公共数据统一开放平台建设,建立公共数据资源开放 目录,制定数据开放标准,落实数据开放和维护责任,推动相关领域的政府数 据向社会开放。《浙江计划》还提出研究制定数据采集标准及分级分类标准、政 府数据共享标准、数据交换标准、政府及公共数据开放标准、统计标准,对共 享开放的方式、内容、对象、条件等进行规范;积极参与大数据关键共性技术 国际标准、国家标准、行业标准的制修定,推进大数据产业标准体系建设,探 索建立大数据市场交易标准体系。 2016 年,广东省发布《广东省促进大数据发展行动计划(2016-2020 年)》 (以下简称《广东计划》),对数据开放共享做出相关规定。《广东计划》提出将 推动政府数据资源整合、共享和开放作为重点行动,完善大数据采集机制,整 合公共数据资源,推动政府数据共享,推动公共数据资源开放。完善政务信息 资源共享平台,健全政府信息资源共享机制,建设政府数据统一开放平台,提 供面向公众的政府数据服务,推动公共数据资源向社会开放。《广东计划》还提 出加快建立公共机构的数据标准和统计标准体系,推进大数据采集、管理、共 享、交易等标准规范的制定和实施。统一政务数据编码、格式标准、交换接口 规范,研究制定一批基础共性、重点应用和关键技术标准。 2017 年 5 月,《贵阳市政府数据共享开放条例》正式实施,这标志着贵阳填 补了在大数据方面的地方性法规空白,是贵阳市以大数据为引领加快打造创新 型中心城市的重大举措,对于推进数据资源开放共享有法可依,提供了理论依 据和法律支撑,为贵阳大数据产业发展法治构建打下了坚实的基础。 4.1.2.2 数据跨境相关法律法规和政策 随着全球数字经济快速发展,数据跨境流动日趋频繁,数据跨境传输引发 的国家重要数据资源安全风险也与日俱增。为了加强数据跨境安全保护,我国 在《网络安全法》中首次明确了关键信息基础设施有关个人信息和重要数据本 地存储和向境外提供的规定。此外,国家网信部门正在依据《网络安全法》加 紧制定《个人信息和重要数据出境安全评估办法》(现已形成征求意见稿),提 出网络运营者在我国境内运营中收集和产生的个人信息和重要数据,因业务需 要向境外提供的,应进行安全评估。 《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评 估办法》)明确规定,出境数据存在以下情况之一的,要经过安全评估:含有或 累计含有 50 万人以上的个人信息;包含核设施、化学生物、国防军工、人口健
康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等:包含关键 信息基础设施的系统漏洞、安全防护等网铬安全信息:关键信息基础设施运营 者向境外提供个人信息和重要数据等。评估重点包括:数据出境的必要性:日 的地是否有能力及网铬安全保护水平能否确保数据安全:可能对国家安全、社 会公共利益,个人合法利益带来的风险等。国家网信部门统筹协调数据出境安 全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》 中还规定,个人信息出境,应向个人信息主体说明,并经其同意。未成年人个 人信息出境须经其监护人同意。可能影响国家安全、损害社会公共利益的以及 其他经国家网信部门、公安部门、安全部门等认定不能出境的数据不得出境。 在《网铬安全法》发布前,我国已经在金融、卫生医疗、交通、地理、电 子商务、征信等行业制定了有关数据跨境的法律法规和政策要求。已有的数据 跨境相关政策要求集中于数据本地化存储,按照管理方法可以分为两类,一类 是限制出境,一类是禁止出境, 一、限制出境 我国在征信、云计算、电子商务等行业采取限制出境的管理方式, 2012年12月,国务院第228次常务会议通过《征信业管理条例》(以下简 称《条例》)。《条例》明确要求征信机构在中国境内采集的信息的整理、保存和 加工,需在中国境内进行,若征信机构确因业务需要向境外组织或者个人提供 信息,应当遵守法律,行政法规和国务院征信业监管部门的有关规定。 2016年11月,工业和信息化富发布了《关于规范云服务市场经营行为的通 知(公开征求意见稿)》(以下简称《云服务通知》),对数据出境做出有关规定。 《云服务通知》明确指出,面向境内用户提供服务,应将服务设施和网络数据 存放于境内,跨境实施运雄及数据流动应符合国家有关规定。 016年12月,十二屈全国人大常委会第二十五次会议初次审议了《中华人 民共和国电子商务法(草案)》,为电子商务数据出境提供法律依据。该法案明 确指出电子商务经营主体从事跨境电子商务活动,应当依法保护交易中获得的 个人信息和商业数据。国家建立跨境电子商务交易数据的存储、交换和保护机 制,努力做好数据出境安全保障。 二、禁止出境 我国在金融、保险、卫生医疗、交通、气象、新闻出版等行业采用禁止出 境的管理方式。 011年1月,中国人民银行印发《关于银行业金融机构做好个人金胞信息 保护工作的通知》(以下简称《金险通知》),将保护个人金融信息定义为一项法 定义务,要求做好金融领域个人信息保护工作。《金融通知》规定,在中华人民 共和国境内收集的个人金融信息的存储、处理和分析应当在境内进行。除法律 法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金 融信息。 2011年3月,中国保险监督管理委员会印发《保险公司开业验收指引》,要 求原则上业务数据、财务数据等重要数据应在中国境内存储,且具有独立的数 据存储设备及相应的安全防护和异地备份措施。2015年发布《保险机构信息化 监管规定(征求意见稿)》,规定数据来源于中华人民共和国境内的,数据中心 的物理位置应当位于境内。外资保险机构信息系统所载数据移至中华人民共和 国境外的,应当符合我国有关法律法规。 014年5月,国家卫生计生委印发《人口健康信息管理办法(试行)》(以 24
24 康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;包含关键 信息基础设施的系统漏洞、安全防护等网络安全信息;关键信息基础设施运营 者向境外提供个人信息和重要数据等。评估重点包括:数据出境的必要性;目 的地是否有能力及网络安全保护水平能否确保数据安全;可能对国家安全、社 会公共利益、个人合法利益带来的风险等。国家网信部门统筹协调数据出境安 全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》 中还规定,个人信息出境,应向个人信息主体说明,并经其同意。未成年人个 人信息出境须经其监护人同意。可能影响国家安全、损害社会公共利益的以及 其他经国家网信部门、公安部门、安全部门等认定不能出境的数据不得出境。 在《网络安全法》发布前,我国已经在金融、卫生医疗、交通、地理、电 子商务、征信等行业制定了有关数据跨境的法律法规和政策要求。已有的数据 跨境相关政策要求集中于数据本地化存储,按照管理方法可以分为两类,一类 是限制出境,一类是禁止出境。 一、限制出境 我国在征信、云计算、电子商务等行业采取限制出境的管理方式。 2012 年 12 月,国务院第 228 次常务会议通过《征信业管理条例》(以下简 称《条例》)。《条例》明确要求征信机构在中国境内采集的信息的整理、保存和 加工,需在中国境内进行。若征信机构确因业务需要向境外组织或者个人提供 信息,应当遵守法律、行政法规和国务院征信业监管部门的有关规定。 2016 年 11 月,工业和信息化部发布了《关于规范云服务市场经营行为的通 知(公开征求意见稿)》(以下简称《云服务通知》),对数据出境做出有关规定。 《云服务通知》明确指出,面向境内用户提供服务,应将服务设施和网络数据 存放于境内,跨境实施运维及数据流动应符合国家有关规定。 2016 年 12 月,十二届全国人大常委会第二十五次会议初次审议了《中华人 民共和国电子商务法(草案)》,为电子商务数据出境提供法律依据。该法案明 确指出电子商务经营主体从事跨境电子商务活动,应当依法保护交易中获得的 个人信息和商业数据。国家建立跨境电子商务交易数据的存储、交换和保护机 制,努力做好数据出境安全保障。 二、禁止出境 我国在金融、保险、卫生医疗、交通、气象、新闻出版等行业采用禁止出 境的管理方式。 2011 年 1 月,中国人民银行印发《关于银行业金融机构做好个人金融信息 保护工作的通知》(以下简称《金融通知》),将保护个人金融信息定义为一项法 定义务,要求做好金融领域个人信息保护工作。《金融通知》规定,在中华人民 共和国境内收集的个人金融信息的存储、处理和分析应当在境内进行。除法律 法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金 融信息。 2011 年 3 月,中国保险监督管理委员会印发《保险公司开业验收指引》,要 求原则上业务数据、财务数据等重要数据应在中国境内存储,且具有独立的数 据存储设备及相应的安全防护和异地备份措施。2015 年发布《保险机构信息化 监管规定(征求意见稿)》,规定数据来源于中华人民共和国境内的,数据中心 的物理位置应当位于境内。外资保险机构信息系统所载数据移至中华人民共和 国境外的,应当符合我国有关法律法规。 2014 年 5 月,国家卫生计生委印发《人口健康信息管理办法(试行)》(以
下简称《健康办法》)。《健康办法》规定不得将人口健康信息在境外的服务器中 存储,不得托管、租赁在境外的服务器,明确禁止了有关我国人口健康信息的 境外存储。 2015年11月,国务院第111次常务会议通过《地图管理条例》,要求互联 网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并要 求其制定互联网地图数据安全管理制度和保障措施。 2016年7月,交通运输部、工业与信息化部等七部委联合发布《网络预钓 出租汽车经营服务管理暂行办法》(以下简称《网约车办法》),严格规范网约车 平台的经营行为。《网约车办法》明确要求平台在网铬安全与信息安全方面遵守 国家有关规定,在提供服务的过程中采集的个人信息和生成的业务数据,应当 在中国内地存储和使用,保存期限不少于2年;除法律法规另有规定外,个人 信息与业务数据不得外流。 2008年6月,中国气象局发布的《气象资料共享管理办法》(第4号令)规 定,用户不得直接将其从各级气象主管机构获得的气象资料,用作向外分发或 供外部使用的数据库、产品和服务的一部分,也不得间接用作生成它们的基础。 2016年2月,国家新闻出版广电总局、工业和信息化部公布《网络出版服 务管理规定》(第5号令),明确要求图书、音像,电子、报纸、期刊出版单位 必须将从事网络出版服务所需的必要的技术设备、相关服务器和存储设备存放 在中华人民共和国境内。 4.12.3个人信息保护相关法律法规与政策 目前,我国尚未出台专门的个人信息保护法,个人信息保护相关规定散见 于多个法律法规和规章制度之中。 4.12.3.1法律层面 我国正逐步加强公民个人信息保护方面的顶层立法工作,陆续在《网络安 全法》、《刑法》和《民法》等基本法中加入个人信息保护的内容,不断完善个 人信息保护法律体系。 一、《网络安全法》关于个人信息保护 《网铬安全法》第四十条至第四十五条,对个人信息保护做出有关规定, 明确了我国个人信息保护的基本原则和框架。第四十条是对网络运营者保护用 户信息义务的原则规定,要求网络运营者对其收集的用户信息严格保密,建立 健全用户信息保护制度。第四十一条对网络运营者收集、使用个人信息应遵守 的规则进行了规定,这些规定与国际通行规则是一致的。第四十二条是关于个 人信息安全原则、个人信息匿名化处理和个人信息淮露报告义务的规定,首次 明确提出建立数据泄露通知报告机制。第四十三条是关于个人信息剩除权和更 正权的规定,信息主体在具备法定理由的情形下,拥有请求别除其个人信息的 权利:在个人信息不完整或不准确时,拥有要求及时改正、补充的权利。第四 十四条是关于禁止非法获取、非法出售、非法提供个人信息的规定。第四十五 条是美于负有网铬安全监督管理职责的部门及其工作人员的保密义务的规定。 二、《刑法》关于个人信息保护 我国正逐步加大威胁个人信息安全行为的刑事罪责,从法律的强制性上加 强个人信息保护, 2009年2月28日,十一届全国人民代表大会常务委员会第七次会议通过 《中华人民共和国刑法修正案(七)》,在刑法第二百五十三条后增加一条,作 25
25 下简称《健康办法》)。《健康办法》规定不得将人口健康信息在境外的服务器中 存储,不得托管、租赁在境外的服务器,明确禁止了有关我国人口健康信息的 境外存储。 2015 年 11 月,国务院第 111 次常务会议通过《地图管理条例》,要求互联 网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并要 求其制定互联网地图数据安全管理制度和保障措施。 2016 年 7 月,交通运输部、工业与信息化部等七部委联合发布《网络预约 出租汽车经营服务管理暂行办法》(以下简称《网约车办法》),严格规范网约车 平台的经营行为。《网约车办法》明确要求平台在网络安全与信息安全方面遵守 国家有关规定,在提供服务的过程中采集的个人信息和生成的业务数据,应当 在中国内地存储和使用,保存期限不少于 2 年;除法律法规另有规定外,个人 信息与业务数据不得外流。 2008 年 6 月,中国气象局发布的《气象资料共享管理办法》(第 4 号令)规 定,用户不得直接将其从各级气象主管机构获得的气象资料,用作向外分发或 供外部使用的数据库、产品和服务的一部分,也不得间接用作生成它们的基础。 2016 年 2 月,国家新闻出版广电总局、工业和信息化部公布《网络出版服 务管理规定》(第 5 号令),明确要求图书、音像、电子、报纸、期刊出版单位 必须将从事网络出版服务所需的必要的技术设备、相关服务器和存储设备存放 在中华人民共和国境内。 4.1.2.3 个人信息保护相关法律法规与政策 目前,我国尚未出台专门的个人信息保护法,个人信息保护相关规定散见 于多个法律法规和规章制度之中。 4.1.2.3.1 法律层面 我国正逐步加强公民个人信息保护方面的顶层立法工作,陆续在《网络安 全法》、《刑法》和《民法》等基本法中加入个人信息保护的内容,不断完善个 人信息保护法律体系。 一、《网络安全法》关于个人信息保护 《网络安全法》第四十条至第四十五条,对个人信息保护做出有关规定, 明确了我国个人信息保护的基本原则和框架。第四十条是对网络运营者保护用 户信息义务的原则规定,要求网络运营者对其收集的用户信息严格保密,建立 健全用户信息保护制度。第四十一条对网络运营者收集、使用个人信息应遵守 的规则进行了规定,这些规定与国际通行规则是一致的。第四十二条是关于个 人信息安全原则、个人信息匿名化处理和个人信息泄露报告义务的规定,首次 明确提出建立数据泄露通知报告机制。第四十三条是关于个人信息删除权和更 正权的规定,信息主体在具备法定理由的情形下,拥有请求删除其个人信息的 权利;在个人信息不完整或不准确时,拥有要求及时改正、补充的权利。第四 十四条是关于禁止非法获取、非法出售、非法提供个人信息的规定。第四十五 条是关于负有网络安全监督管理职责的部门及其工作人员的保密义务的规定。 二、《刑法》关于个人信息保护 我国正逐步加大威胁个人信息安全行为的刑事罪责,从法律的强制性上加 强个人信息保护。 2009 年 2 月 28 日,十一届全国人民代表大会常务委员会第七次会议通过 《中华人民共和国刑法修正案(七)》,在刑法第二百五十三条后增加一条,作