务和监管能力正成为趋势。与此同时,随着大数据的应用和发展,数据量越来越大、内容越来越丰富、交流领域越来越广、应用越来越重要,大数据的安全问题引发了世界各国的普遍担忧。可以说,大数据时代的到来在给我们带来机遇的同时,也给国家安全、社会治理以及法规标准制定等带来了巨大的挑战。3.3.1国家安全深受大数据影响国家安全是伴随着国家的出现而产生的,它是一个国家生存和发展的前提。随着时代发展,当前国家安全的内容已发展的十分丰富,包含了政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等内容。这些内容相互联系、相互作用,影响着整个国家安全。大数据不仅仅带来了技术和产业的变更,更是改变了我们的工作方式、生活方式乃至思维模式。大数据是信息化发展的新阶段,运用大数据可以提升国家治理现代化水平,通过建立健全大数据辅助科学决策和社会治理的机制,有助于推进政府管理和社会治理模式创新。信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源。而同时,大数据的应用范围越来越广泛,国家的政治、经济、军事、文化等各个领域都离不开数据和数字基础设施。各类大数据平台承载着海量的数据资源,其中不乏大量敏感资源和重要数据,必然会成为包括黑客在内的各类敌对势力对一个国家进行网络攻击的重要目标。实际上,各类数据已经成为一些不法分子和敌对势力用来策划、实施、推动各种违法犯罪活动的理想工具,对国家安全和社会稳定造成了极大的破坏。上升到国家战略层面,涉及国计民生的关键信息基础设施的大数据资源一旦受到破坏,将使得国家在政治、经济、军事等各领域受到巨大的损失。面对汹涌的数据洪流,站在国家安全的角度来思考和研究大数据安全,已经成为一个紧道而现实的挑战。大数据全球化、开放化的特点,使国家的“信息边疆”不断拓展和延伸。大数据安全和国家安全息息相关,没有大数据安全就没有真正意义上的国家安全。3.3.2社会治理面临大数据挑战大数据应用能够揭示传统技术方式难以展现的关联关系,推动政府数据开放共享,促进社会事业数据融合和资源整合,将极大提升政府整体数据分析能力,为有效处理复杂社会问题提供新的手段。建立“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制,实现基于数据的科学决策。但是,从我国信息化发展的现实情况看,“不敢共享开放”、“不会共享开放”的情况依然较为普遍。相关人员担心数据共享开放会引起信息安全问题,担心数据泄密和失控。尤其是掌握大量数据的各级政务部门,因大数据安全措施不到位,导致他们对数据不敢共享开放,也不会实施安全地共享开放。因此,加强大数据环境小的网络安全同题研究和基于大数据的网络安全技术研究,建立健全大数据安全保障体系,切实保障数据安全,才能确保大数据“敢共享开放”和“会共享开放”,才能真正促进社会发展。此外,创新社会治理,是我国应对社会转型、化解社会矛盾、协调利益关13
13 务和监管能力正成为趋势。与此同时,随着大数据的应用和发展,数据量越来 越大、内容越来越丰富、交流领域越来越广、应用越来越重要,大数据的安全 问题引发了世界各国的普遍担忧。可以说,大数据时代的到来在给我们带来机 遇的同时,也给国家安全、社会治理以及法规标准制定等带来了巨大的挑战。 3.3.1 国家安全深受大数据影响 国家安全是伴随着国家的出现而产生的,它是一个国家生存和发展的前提。 随着时代发展,当前国家安全的内容已发展的十分丰富,包含了政治安全、国 土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等内容。这些内容相互联系、相互作用,影响着 整个国家安全。 大数据不仅仅带来了技术和产业的变更,更是改变了我们的工作方式、生 活方式乃至思维模式。大数据是信息化发展的新阶段,运用大数据可以提升国 家治理现代化水平,通过建立健全大数据辅助科学决策和社会治理的机制,有 助于推进政府管理和社会治理模式创新。 信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基 础性战略资源。而同时,大数据的应用范围越来越广泛,国家的政治、经济、 军事、文化等各个领域都离不开数据和数字基础设施。各类大数据平台承载着 海量的数据资源,其中不乏大量敏感资源和重要数据,必然会成为包括黑客在 内的各类敌对势力对一个国家进行网络攻击的重要目标。实际上,各类数据已 经成为一些不法分子和敌对势力用来策划、实施、推动各种违法犯罪活动的理 想工具,对国家安全和社会稳定造成了极大的破坏。上升到国家战略层面,涉 及国计民生的关键信息基础设施的大数据资源一旦受到破坏,将使得国家在政 治、经济、军事等各领域受到巨大的损失。 面对汹涌的数据洪流,站在国家安全的角度来思考和研究大数据安全,已 经成为一个紧迫而现实的挑战。大数据全球化、开放化的特点,使国家的“信 息边疆”不断拓展和延伸。大数据安全和国家安全息息相关,没有大数据安全, 就没有真正意义上的国家安全。 3.3.2 社会治理面临大数据挑战 大数据应用能够揭示传统技术方式难以展现的关联关系,推动政府数据开 放共享,促进社会事业数据融合和资源整合,将极大提升政府整体数据分析能 力,为有效处理复杂社会问题提供新的手段。建立“用数据说话、用数据决策、 用数据管理、用数据创新”的管理机制,实现基于数据的科学决策。但是,从 我国信息化发展的现实情况看,“不敢共享开放”、“不会共享开放”的情况依然 较为普遍。相关人员担心数据共享开放会引起信息安全问题,担心数据泄密和 失控。尤其是掌握大量数据的各级政务部门,因大数据安全措施不到位,导致 他们对数据不敢共享开放,也不会实施安全地共享开放。因此,加强大数据环 境下的网络安全问题研究和基于大数据的网络安全技术研究,建立健全大数据 安全保障体系,切实保障数据安全,才能确保大数据“敢共享开放”和“会共 享开放”,才能真正促进社会发展。 此外,创新社会治理,是我国应对社会转型、化解社会矛盾、协调利益关
系所面临的一项重大战略任务。针对目前社会治理领域普遍存在的一些问题,大数据技术通过对海量数据的快速收集与挖掘、及时研判与共享,成为支持社会治理科学决策和准确预判的有力手段,为转型期的社会治理带来了新机遇。而现实问题是,在大数据时代,可以说每个人都是数据的制造者、传递者和消费者,大量现实问题在虚拟的网络环境中讨论和传播,其中不乏存在大量的误导、篡改及谣传的信息。一方面,这些虚假、错误的信息进入到社会治理的数据集中后,将会误导基于大数据的科学决策,影响社会治理重点和效果:另一方面,虚假、错误的信息不被及时发现和处理,极有可能带来恶劣的负面效果甚至导致爆发社会群体性事件。因此,如何甄别大数据中虚假和错误信息对社会治理带来了巨大挑战。3.3.3大数据安全法规标准尚需完善大数据应用的场景越来越多,越来越重要,因此,要科学规范利用大数据并切实保障数据安全,在完善法规制度和标准体系方面也将面临着不小的挑战。一方面,大数据的发展推动了经济发展,但也给监管和法律带来了新的挑战。法律带来的是稳定的预期和权利义务关系的平衡。大数据以及它给政治、经济、社会带来的深刻变革,终将需要法律规范的保障。《促进大数据发展行动纲要》指出,推进大数据健康发展,要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关法规,完善数据产权保护法规。通过积极研究数据开放、保护等方面的法规,有利于实现对数据资源的采集、传输、存储、处理、交换、销毁的规范管理,可以促进数据在风险可控原则下最大程度开放,明确市场主体大数据的权限及范围,界定数据资源的所有权及使用权,加强对数据滥用、侵犯个人信息安全等行为的管理和惩戒。如通过制定个人信息方面的法规制度细则,可以界定哪些数据属于个人信息,如非法使用则将受到相应的惩戒;又如通过制定跨境数据流动方面的法规制度细则,可以加速形成跨境数据安全流动框架,明确相应的部门职责、数据分类管理要求以及数据主体的权利和义务等。另一方面,大数据的发展也给标准规范配套带来了新的挑战。标准是法规制度的支撑,肩负着规范市场客体质量和技术要求的重要职能。因此,除了在立法层面要明确数据保护方面的法规外,还应制定相应的数据采集、储存、处理、推送和应用的标准规范。通过制定符合实际的大数据应用和安全标准,能有效促进大数据安全应用,从而既能引导、规范、促进大数据的发展,又确保了数据开放共享、个人信息保护需求和安全保障需求之间的平衡。如制定了个人信息分类、责任原则、保护要求和安全评估方面的标准内容,有利于更好地规范实施个人信息的安全采集、存储和处理过程,防止个人信息被误用和滥用;又如制定了数据确权、访问接口、服务安全要求等标准内容,有利于建立安全的大数据市场交易体系,促进大数据交易流通的发展。14
14 系所面临的一项重大战略任务。针对目前社会治理领域普遍存在的一些问题, 大数据技术通过对海量数据的快速收集与挖掘、及时研判与共享,成为支持社 会治理科学决策和准确预判的有力手段,为转型期的社会治理带来了新机遇。 而现实问题是,在大数据时代,可以说每个人都是数据的制造者、传递者和消 费者,大量现实问题在虚拟的网络环境中讨论和传播,其中不乏存在大量的误 导、篡改及谣传的信息。一方面,这些虚假、错误的信息进入到社会治理的数 据集中后,将会误导基于大数据的科学决策,影响社会治理重点和效果;另一 方面,虚假、错误的信息不被及时发现和处理,极有可能带来恶劣的负面效果, 甚至导致爆发社会群体性事件。因此,如何甄别大数据中虚假和错误信息对社 会治理带来了巨大挑战。 3.3.3 大数据安全法规标准尚需完善 大数据应用的场景越来越多,越来越重要,因此,要科学规范利用大数据 并切实保障数据安全,在完善法规制度和标准体系方面也将面临着不小的挑战。 一方面,大数据的发展推动了经济发展,但也给监管和法律带来了新的挑 战。法律带来的是稳定的预期和权利义务关系的平衡。大数据以及它给政治、 经济、社会带来的深刻变革,终将需要法律规范的保障。《促进大数据发展行动 纲要》指出,推进大数据健康发展,要加强政策、监管、法律的统筹协调,加 快法规制度建设。要制定数据资源确权、开放、流通、交易相关法规,完善数 据产权保护法规。通过积极研究数据开放、保护等方面的法规,有利于实现对 数据资源的采集、传输、存储、处理、交换、销毁的规范管理,可以促进数据 在风险可控原则下最大程度开放,明确市场主体大数据的权限及范围,界定数 据资源的所有权及使用权,加强对数据滥用、侵犯个人信息安全等行为的管理 和惩戒。如通过制定个人信息方面的法规制度细则,可以界定哪些数据属于个 人信息,如非法使用则将受到相应的惩戒;又如通过制定跨境数据流动方面的 法规制度细则,可以加速形成跨境数据安全流动框架,明确相应的部门职责、 数据分类管理要求以及数据主体的权利和义务等。 另一方面,大数据的发展也给标准规范配套带来了新的挑战。标准是法规 制度的支撑,肩负着规范市场客体质量和技术要求的重要职能。因此,除了在 立法层面要明确数据保护方面的法规外,还应制定相应的数据采集、储存、处 理、推送和应用的标准规范。通过制定符合实际的大数据应用和安全标准,能 有效促进大数据安全应用,从而既能引导、规范、促进大数据的发展,又确保 了数据开放共享、个人信息保护需求和安全保障需求之间的平衡。如制定了个 人信息分类、责任原则、保护要求和安全评估方面的标准内容,有利于更好地 规范实施个人信息的安全采集、存储和处理过程,防止个人信息被误用和滥用; 又如制定了数据确权、访问接口、服务安全要求等标准内容,有利于建立安全 的大数据市场交易体系,促进大数据交易流通的发展
第4章大数据安全法规政策和标准化现状为积极应对大数据安全风险和挑战,确保大数据产业的健康发展,各国政府历来都非常重视大数据相关法规政策和标准的建设,以便对大数据安全进行规范。法律法规作为约束大数据用户行为的规范化文件,是确保大数据平台及大数据应用安全可控,防范大数据服务安全风险,维护国家安全和公共利益的重要手段。本章介绍国内外大数据安全相关的法规政策和标准化现状。4.1大数据安全法规政策现状大数据安全相关的法规、政策环境是大数据行业发展的基础和保障,是大数据安全标准制定的重要依据,我国及世界各国充分重视大数据相关法律法规的建设与制定,为大数据发展营造了健康的发展环境,本节将介绍国内外大数据相关安全法规的发展及政策环境。4.1.1国外数据安全法律法规和政策数据保护是大数据安全的重要基础和组成部分。美国、欧盟、俄罗斯、新加坡等网络安全产业发展强国先后颁布了众多的数据保护法律法规。尽管这些国家制定的相关法律法规思路和策略不同,但涉及的要素是基本一致的。本节梳理了国外数据保护法律法规核心要素,通过分析比较这些国外的数据安全法律法规和政策,为我国后续制定和出台数据保护相关法律法规和行政规章以及标准提供参考。4.1.1.1各国现有数据保护法律法规情况表4.1梳理了美国、欧盟、澳大利亚、俄罗斯、新加坡等已制定或发布的数据保护相关法律法规,总结起来这些国家的数据保护法律法规分两类:1.制定专门的数据保护法律法规,并明确相应的数据安全管理部门,如欧盟、俄罗斯、新加坡等。其中,俄罗斯进行数据保护的主要法律是《个人数据保护法案》,涉及到的主要监管部门是俄罗斯电信/信息技术和大众传媒联邦监管局(Roskomnadzor)。新加坡进行数据保护的主要法律是《个人数据保护法令》(PDPA)。同时,为了执行PDPA,新加坡专门成立了个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。2.数据保护的相关要求分散地体现在本国各项法律法规及部门规章的相关条款中,但尚未颁布数据保护的专门法律法规,也未设置相应的管理部门,如美国、澳大利亚、日本等。表4.1主要国家的数据保护法律法规序号备注法律法规和部门规章发布/生效时间一、美国1《隐私盾协议》(替代《安全港协议》)2016年发布通用法律2《加州在线隐私保护法案》2014年生效州法律3《联邦隐私法案》2014年发布通用法律4《数字问责和透明法案》(FFATA)2014年发布部门规章15
15 第 4 章 大数据安全法规政策和标准化现状 为积极应对大数据安全风险和挑战,确保大数据产业的健康发展,各国政 府历来都非常重视大数据相关法规政策和标准的建设,以便对大数据安全进行 规范。法律法规作为约束大数据用户行为的规范化文件,是确保大数据平台及 大数据应用安全可控,防范大数据服务安全风险,维护国家安全和公共利益的 重要手段。本章介绍国内外大数据安全相关的法规政策和标准化现状。 4.1 大数据安全法规政策现状 大数据安全相关的法规、政策环境是大数据行业发展的基础和保障,是大 数据安全标准制定的重要依据,我国及世界各国充分重视大数据相关法律法规 的建设与制定,为大数据发展营造了健康的发展环境,本节将介绍国内外大数 据相关安全法规的发展及政策环境。 4.1.1 国外数据安全法律法规和政策 数据保护是大数据安全的重要基础和组成部分。美国、欧盟、俄罗斯、新 加坡等网络安全产业发展强国先后颁布了众多的数据保护法律法规。尽管这些 国家制定的相关法律法规思路和策略不同,但涉及的要素是基本一致的。本节 梳理了国外数据保护法律法规核心要素,通过分析比较这些国外的数据安全法 律法规和政策,为我国后续制定和出台数据保护相关法律法规和行政规章以及 标准提供参考。 4.1.1.1 各国现有数据保护法律法规情况 表 4.1 梳理了美国、欧盟、澳大利亚、俄罗斯、新加坡等已制定或发布的 数据保护相关法律法规,总结起来这些国家的数据保护法律法规分两类: 1. 制定专门的数据保护法律法规,并明确相应的数据安全管理部门,如欧 盟、俄罗斯、新加坡等。其中,俄罗斯进行数据保护的主要法律是《个 人数据保护法案》,涉及到的主要监管部门是俄罗斯电信/信息技术和大 众传媒联邦监管局(Roskomnadzor)。新加坡进行数据保护的主要法律 是《个人数据保护法令》(PDPA)。同时,为了执行 PDPA,新加坡专门成 立了个人数据保护委员会(PDPC)来承担 PDPA 的制定和实施工作。 2. 数据保护的相关要求分散地体现在本国各项法律法规及部门规章的相关 条款中,但尚未颁布数据保护的专门法律法规,也未设置相应的管理部 门,如美国、澳大利亚、日本等。 表 4.1 主要国家的数据保护法律法规 序号 法律法规和部门规章 发布/生效时间 备注 一、美国 1 《隐私盾协议》(替代《安全港协议》) 2016 年发布 通用法律 2 《加州在线隐私保护法案》 2014 年生效 州法律 3 《联邦隐私法案》 2014 年发布 通用法律 4 《数字问责和透明法案》(FFATA) 2014 年发布 部门规章
序号法律法规和部门规章发布/生效时间备注5《数字政府战略》2012年发布通用法律6《开放政府指令》2009年发布通用法律7《加州安全违约告知法律》2002年生效州法律81999年发布部门规章《金融服务现代化法案》(GLBA9《健康保险携带和责任法案》(HIPAA)1996年发布部门规章101914年发布部门规章《联邦贸易委员会法案》(FTCAct)二、欧盟1《通用数据保护规则》(GDPR)2016年发布通用法律2《欧盟数据留存指令》2006年发布通用法律3《隐私与电子通讯指令》2002年发布通用法律4《欧盟数据保护指令》1995年发布通用法律三、澳大利亚《电信法案》1997年发布部门规章-2《联邦隐私法案》1988年发布通用法律四、俄罗斯俄罗斯联邦法律第152-FZ条中2006年个人数据相关内容2015年发布通用法律(PersonalDataProtectionAct,个人数据保护法案)俄罗斯联邦法律第149-FZ条2006年信息、信通用法律2息技术和数据保护相关内容2006年发布(DataProtectionAct,数据保护法案)3《斯特拉斯堡公约》2005年发布通用法律五、新加坡1《个人数据保护法令》(PDPA)2012年发布通用法律从一定意义上说,各国数据保护法律法规的宗旨就是围绕数据提供者、数据基础设施提供者、数据服务提供者、数据消费者、数据监管者等参与方,力图将数据保护范围、各参与方对应的权利和义务、相关行为准则等要点界定清晰。4.1.1.2数据保护范围在法律法规层面上,数据保护是有范围的,要针对可监管的辖区范围、需保护的数据对象、需监管的数据应用场景,以及需监管的数据处理行为等明确数据保护范围。数据保护范围一般在数据保护相关法律法规中都明确界定,并通过各种配套标准加以细化,以支撑法律法规的落地。一、可监管的区范围可监管的辖区范围是指法律法规里规定的所能管辖的数据涉及的领土范围,尤其是设立在境外的数据中心是否受到本国法律法规的监管,这也是目前业界关注的重点之一。不同国家和地区对此规定有一定的差异性。如美国、澳大利亚目前的管辖范围是本国领土,也就是说,外国企业以及本国企业设在境外的数据中心,均不受本国法律法规约束(但某些特殊情况下,美国有可能会运用长臂管辖权等特殊原则,以国家安全的名义,在认为必要的时候实施强制管辖)。但欧盟、俄罗斯、新加坡等国家和地区则相对监管较严,如俄罗斯规定其数据保护法律法规不受领土管辖权的限制,适用于任何在俄罗斯发生的所有数据处理过程,包括所有对俄罗斯公民数据的收集和使用,而无论数据中心是否建立或位于俄罗斯境内。对于跨境的数据流,如果俄罗斯公民是对应的数据传输协定中的一方,那么俄罗斯的数据保护法律法规也可在一定程度上应用。16
16 序号 法律法规和部门规章 发布/生效时间 备注 5 《数字政府战略》 2012 年发布 通用法律 6 《开放政府指令》 2009 年发布 通用法律 7 《加州安全违约告知法律》 2002 年生效 州法律 8 《金融服务现代化法案》(GLBA) 1999 年发布 部门规章 9 《健康保险携带和责任法案》(HIPAA) 1996 年发布 部门规章 10 《联邦贸易委员会法案》(FTCAct) 1914 年发布 部门规章 二、欧盟 1 《通用数据保护规则》(GDPR) 2016 年发布 通用法律 2 《欧盟数据留存指令》 2006 年发布 通用法律 3 《隐私与电子通讯指令》 2002 年发布 通用法律 4 《欧盟数据保护指令》 1995 年发布 通用法律 三、澳大利亚 1 《电信法案》 1997 年发布 部门规章 2 《联邦隐私法案》 1988 年发布 通用法律 四、俄罗斯 1 俄罗斯联邦法律第 152-FZ 条中 2006 年个人数据 相关内容 (PersonalDataProtectionAct,个人数据保护 法案) 2015 年发布 通用法律 2 俄罗斯联邦法律第 149–FZ 条 2006 年信息、信 息技术和数据保护相关内容 (DataProtectionAct,数据保护法案) 2006 年发布 通用法律 3 《斯特拉斯堡公约》 2005 年发布 通用法律 五、新加坡 1 《个人数据保护法令》(PDPA) 2012 年发布 通用法律 从一定意义上说,各国数据保护法律法规的宗旨就是围绕数据提供者、数 据基础设施提供者、数据服务提供者、数据消费者、数据监管者等参与方,力 图将数据保护范围、各参与方对应的权利和义务、相关行为准则等要点界定清 晰。 4.1.1.2 数据保护范围 在法律法规层面上,数据保护是有范围的,要针对可监管的辖区范围、需 保护的数据对象、需监管的数据应用场景,以及需监管的数据处理行为等明确 数据保护范围。数据保护范围一般在数据保护相关法律法规中都明确界定,并 通过各种配套标准加以细化,以支撑法律法规的落地。 一、可监管的辖区范围 可监管的辖区范围是指法律法规里规定的所能管辖的数据涉及的领土范围, 尤其是设立在境外的数据中心是否受到本国法律法规的监管,这也是目前业界 关注的重点之一。不同国家和地区对此规定有一定的差异性。如美国、澳大利 亚目前的管辖范围是本国领土,也就是说,外国企业以及本国企业设在境外的 数据中心,均不受本国法律法规约束(但某些特殊情况下,美国有可能会运用 长臂管辖权等特殊原则,以国家安全的名义,在认为必要的时候实施强制管辖)。 但欧盟、俄罗斯、新加坡等国家和地区则相对监管较严,如俄罗斯规定其数据 保护法律法规不受领土管辖权的限制,适用于任何在俄罗斯发生的所有数据处 理过程,包括所有对俄罗斯公民数据的收集和使用,而无论数据中心是否建立 或位于俄罗斯境内。对于跨境的数据流,如果俄罗斯公民是对应的数据传输协 定中的一方,那么俄罗斯的数据保护法律法规也可在一定程度上应用
二、需保护的数据对象目前,美国、欧盟、俄罗斯等国的数据保护主要针对个人信息,一般说来可划分为两类:个人识别信息(PII,PersonalIdentityInformation)和个人隐私/敏感数据。其中,PII是指能直接根据该信息识别和定位到个人的信息,如姓名、身份证号码、银行卡号、家庭住址等:个人隐私/敏感数据是指虽不能直接识别和定位到个人,但通过关联和综合分析,有可能定位到个人的信息,如健康信息、教育经历、征信记录等。各国对个人隐私/敏感数据的定义不同,其保护的数据范围也就各不相同,如美国在一些部门规章(如HIPAA)中划定了个人隐私保护的具体范围,而俄罗斯、新加坡等国则规定凡是和个人相关的信息,均被认为是个人隐私/敏感数据,均在保护范围内。此外,在这两类需要监管的数据中,也有因例外豁免条款成为不需监管的数据,如新加坡规定商务联系信息、已存在了100年的个人资料以及已经死去超过十年的个人数据等均不在保护范围内。三、需监管的数据应用场景一般情况下,所有涉及数据收集、存储、处理、利用的数据控制者都是被监管的对象,但各国也根据自己国情划定了可免除监管的例外条例,如新加坡规定了公民个人行为、员工就业过程中的必要行为、政府/新闻/科研等公共机构的部分行为、某些获取了明确证明或书面合同的数据中介机构等,可免于数据保护法律法规的监管。四、需监管的数据处理行为目前,美国、欧盟、俄罗斯、新加坡等国均提出应对数据的全生命周期进行监管,包括收集、记录、组织、积累、存储、变更(更新、修改)、检索、恢复、使用、转让(传播,提供接入等)、脱敏、删除、销毁等行为,但各国也根据自已国情划定了可免除监管的例外条例,如俄罗斯规定了专为个人和家庭需求处理个人数据(前提是不侵犯数据对象的权利)、处理国家保密数据、依照有关法律由主管当局向俄罗斯法院提供相关数据等情况,则属于相应的例外豁免情形。4.1.1.3监管部门及其权力为保证数据安全法律法规的落实,监管部门需设立相应的机构和人员,并赋予相应的权力,如执法权、处罚权等。一、美国美国联邦贸易委员会(FTC)是美国国家隐私法律的主要执行者。虽然其他机构(如银行机构)也被授权执行各种隐私法,但FTC采取的措施相对更加强势。例如,FTC可以发起调查、停止令,甚至在法庭上提出申诉。此外,FTC还向国会报告隐私问题,并制定隐私立法所需的建议。相比而言,《金融服务现代化法案FSMC》则由FTC、联邦银行监管机构和国家保险机构共同执行(在执行过程中,FTC比其他两家机构更为积极)。HIPAA则由健康与人类服务部(HHS)公民权利办公室(TheOfficeofCivilRights)执行。该办公室可对下属机构的信息处理实践活动发起调查,确认其是否符合HIPAA隐私规则,并允许个人对侵犯隐私的行为进行投诉。在加州,《加州安全违约告知法律》和《加州在线隐私保护法案》则由加州总检察长和地方检察官执行。二、欧盟2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》17
17 二、需保护的数据对象 目前,美国、欧盟、俄罗斯等国的数据保护主要针对个人信息,一般说来 可划分为两类:个人识别信息(PII,Personal Identity Information)和个 人隐私/敏感数据。其中,PII 是指能直接根据该信息识别和定位到个人的信息, 如姓名、身份证号码、银行卡号、家庭住址等;个人隐私/敏感数据是指虽不能 直接识别和定位到个人,但通过关联和综合分析,有可能定位到个人的信息, 如健康信息、教育经历、征信记录等。各国对个人隐私/敏感数据的定义不同, 其保护的数据范围也就各不相同,如美国在一些部门规章(如 HIPAA)中划定 了个人隐私保护的具体范围,而俄罗斯、新加坡等国则规定凡是和个人相关的 信息,均被认为是个人隐私/敏感数据,均在保护范围内。 此外,在这两类需要监管的数据中,也有因例外豁免条款成为不需监管的 数据,如新加坡规定商务联系信息、已存在了 100 年的个人资料以及已经死去 超过十年的个人数据等均不在保护范围内。 三、需监管的数据应用场景 一般情况下,所有涉及数据收集、存储、处理、利用的数据控制者都是被 监管的对象,但各国也根据自己国情划定了可免除监管的例外条例,如新加坡 规定了公民个人行为、员工就业过程中的必要行为、政府/新闻/科研等公共机 构的部分行为、某些获取了明确证明或书面合同的数据中介机构等,可免于数 据保护法律法规的监管。 四、需监管的数据处理行为 目前,美国、欧盟、俄罗斯、新加坡等国均提出应对数据的全生命周期进 行监管,包括收集、记录、组织、积累、存储、变更(更新、修改)、检索、恢 复、使用、转让(传播,提供接入等)、脱敏、删除、销毁等行为,但各国也根 据自己国情划定了可免除监管的例外条例,如俄罗斯规定了专为个人和家庭需 求处理个人数据(前提是不侵犯数据对象的权利)、处理国家保密数据、依照有 关法律由主管当局向俄罗斯法院提供相关数据等情况,则属于相应的例外豁免 情形。 4.1.1.3 监管部门及其权力 为保证数据安全法律法规的落实,监管部门需设立相应的机构和人员,并 赋予相应的权力,如执法权、处罚权等。 一、美国 美国联邦贸易委员会(FTC)是美国国家隐私法律的主要执行者。虽然其他 机构(如银行机构)也被授权执行各种隐私法,但 FTC 采取的措施相对更加强 势。例如,FTC 可以发起调查、停止令,甚至在法庭上提出申诉。此外,FTC 还 向国会报告隐私问题,并制定隐私立法所需的建议。相比而言,《金融服务现代 化法案 FSMC》则由 FTC、联邦银行监管机构和国家保险机构共同执行(在执行 过程中,FTC 比其他两家机构更为积极)。HIPAA 则由健康与人类服务部(HHS) 公民权利办公室(The Office of Civil Rights)执行。该办公室可对下属机 构的信息处理实践活动发起调查,确认其是否符合 HIPAA 隐私规则,并允许个 人对侵犯隐私的行为进行投诉。在加州,《加州安全违约告知法律》和《加州在 线隐私保护法案》则由加州总检察长和地方检察官执行。 二、欧盟 2016 年 4 月 14 日,欧洲议会投票通过了商讨四年的《一般数据保护法案》