(GeneralDataProtectionRegulation,GDPR),该法案将于2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。GDPR对于业务范围涉及欧盟成员国领土及其公民的企业都具有约束力,通过设立欧盟数据保护理事会(EuropeanDataProtectionBoard),赋予其欧盟数据监管的最高机构的地位,并保证其独立性。理事会可以单独行动,直接对欧盟委员会负责。三、澳大利亚澳大利亚成立了专门机构一一澳大利亚信息专员办公室(OfficeoftheAustralianInformationCommissioner,OAIC),并设立了信息专员作为执行《联邦隐私法案》的关键角色。OAIC有权接受并处理个人对于隐私的相关控诉。如果相关控诉属实,则OAIC可做以下处理:1)通知被告不能重复或继续侵害隐私;2)做出相应的决定,如申诉人有权指定赔偿方式和数额;3)OAIC和申诉人有权向法院提起诉讼决定,违反隐私法案的个人和公司,可能分别面临高达34万澳元和170万澳元的处罚。信息专员的权力范围包括调查违规、促进合法行为等,如审计实体的合法性、接受书面保证(并推进执行)、注册有约束力的业务法规、决定是否开展自愿调查。同时,针对数据主体的投诉,信息专员可通过调解去解决双方争端,或根据投诉做出决定。此外,信息专员还可开展下列流程:1)执行承诺和决策;2)寻求强制救济;3)申请民事处罚。对于严重的或反复违反《隐私法案》的行为,法庭可进行罚款。此外,除了OAIC及其信息专员,澳大利亚通信及媒体管理局ACMA(《垃圾邮件法案》的监管者)也有独立的执法权。四、俄罗斯俄罗斯数据保护最主要的监管部门是俄罗斯电信/信息技术和大众传媒联邦监管局(Roskomnadzor,相当于美国FCC)。此外俄罗斯政府、俄罗斯联邦技术和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等主管监管部也制定了一些对数据保护的特定条款。五、新加坡新加坡数据保护最主要的法律依据是《个人数据保护法令》(PDPA),同时为了执行PDPA,新加坡专门成立个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。与俄罗斯的Roskomnadzor类似,新加坡的PDPC也具有一定的执法权。4.1.1.4数据提供者的权利数据提供者的权利主要指用户在使用信息服务过程中被收集相关信息,对自身信息所拥有的权利,包括知情权、授权处理权、访问/查询/更正权、停止收集/删除权、投诉权等,具体见表4.2。表4.2各国对数据提供者权利的规定权利内容美国欧盟澳大利亚俄罗斯新加坡数据收集/处理前被允许!允许!允许!允许!允许!告知的权利授权个人数据收集/允许允许允许允许允许处理的权利访问/查询个人信息指定情况允许允许允许允许的权利下充许2更正个人信息的权利允许允许允许指定情况允许18
18 (General Data Protection Regulation,GDPR),该法案将于 2018 年 5 月 25 日正式生效。GDPR 的通过意味着欧盟对个人信息保护及其监管达到了前所未有 的高度,堪称史上最严格的数据保护法案。GDPR 对于业务范围涉及欧盟成员国 领土及其公民的企业都具有约束力,通过设立欧盟数据保护理事会(European Data Protection Board),赋予其欧盟数据监管的最高机构的地位,并保证其 独立性。理事会可以单独行动,直接对欧盟委员会负责。 三、澳大利亚 澳大利亚成立了专门机构——澳大利亚信息专员办公室(Office of the Australian Information Commissioner,OAIC),并设立了信息专员作为执行 《联邦隐私法案》的关键角色。OAIC 有权接受并处理个人对于隐私的相关控诉。 如果相关控诉属实,则 OAIC 可做以下处理:1)通知被告不能重复或继续侵害 隐私;2)做出相应的决定,如申诉人有权指定赔偿方式和数额;3)OAIC 和申 诉人有权向法院提起诉讼决定,违反隐私法案的个人和公司,可能分别面临高 达 34 万澳元和 170 万澳元的处罚。 信息专员的权力范围包括调查违规、促进合法行为等,如审计实体的合法 性、接受书面保证(并推进执行)、注册有约束力的业务法规、决定是否开展自 愿调查。同时,针对数据主体的投诉,信息专员可通过调解去解决双方争端, 或根据投诉做出决定。此外,信息专员还可开展下列流程:1)执行承诺和决策; 2)寻求强制救济;3)申请民事处罚。对于严重的或反复违反《隐私法案》的 行为,法庭可进行罚款。 此外,除了 OAIC 及其信息专员,澳大利亚通信及媒体管理局 ACMA(《垃圾 邮件法案》的监管者)也有独立的执法权。 四、俄罗斯 俄罗斯数据保护最主要的监管部门是俄罗斯电信/信息技术和大众传媒联邦 监管局(Roskomnadzor,相当于美国 FCC)。此外俄罗斯政府、俄罗斯联邦技术 和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等主管监管部门也制定 了一些对数据保护的特定条款。 五、新加坡 新加坡数据保护最主要的法律依据是《个人数据保护法令》(PDPA),同时 为了执行 PDPA,新加坡专门成立个人数据保护委员会(PDPC)来承担 PDPA 的制 定和实施工作。与俄罗斯的 Roskomnadzor 类似,新加坡的 PDPC 也具有一定的 执法权。 4.1.1.4 数据提供者的权利 数据提供者的权利主要指用户在使用信息服务过程中被收集相关信息,对 自身信息所拥有的权利,包括知情权、授权处理权、访问/查询/更正权、停止 收集/删除权、投诉权等,具体见表 4.2。 表 4.2 各国对数据提供者权利的规定 权利内容 美国 欧盟 澳大利亚 俄罗斯 新加坡 数据收集/处理前被 告知的权利 允许 1 允许 1 允许 1 允许 1 允许 1 授权个人数据收集/ 处理的权利 允许 允许 允许 允许 允许 访问/查询个人信息 的权利 指定情况 下允许 2 允许 允许 允许 允许 更正个人信息的权利 指定情况 允许 允许 允许 允许
下允许停止收集个人信息的指定情况未明确未明确允许允许权利下允许3规定规定指定情况指定情况允许不允许不允许1删除个人信息的权利下允许下允许未明确允许允许允许投诉的权利未明确规定规定未明确未明确允许5其他权利未明确规定允许5规定规定注1:美国、欧盟、澳大利亚、俄罗斯、新加坡对收集数据前征求数据提供者同意的形式、提供的内容、例外情况等规定各不相同注2:除了HIPAA、加州法律等,FTC、GLBA等大多数美国隐私法一般不支持为用户提供相关访问权限,但《儿童在线隐私保护法案》允许父母查看网站所收集的孩子个人信息。此外,HIPAA、《儿童在线隐私保护法案》还支持用户的删除/更正信息的要求。注3:美国GLBA、HIPAA、加州法律都支持公司提供渠道,允许用户退出其提供的信息服务。注4:美国《儿童在线隐私保护法案》允许父母删除信息的要求。俄罗斯个人数据保护法案规定,当个人数据不完整、过期、不准确、非法取得、数据处理声明的目的不是必须的等情况下,数据提供者可以请求删除个人数据。新加坡PDPA不给个人请求删除自己个人信息的权利,但保留有限制的责任。注5:欧盟GDPR在第17章中明确定义数据遗忘权和删除权。俄罗斯个人数据保护法案规定的数据主体其他权利还包括获取数据使用相关信息、反对直接营销等权利。可以看到,各国数据保护法律法规对数据提供者权利基本都进行了规定,但规定的粒度又各不相同,如针对知情权,俄罗斯则规定,针对数据主体全名/地址/身份证明ID(如护照)/身份证明的发行时间与发证机关/签名等信息、数据控制者的全名/地址/数据处理目的等关键信息,需要以书面形式给出(包括电子签名的方式)。新加坡则规定,数据控制者在收集个人数据之前需经数据主体的同意,但不指定通知形式。4.1.1.5数据使用者的义务美国、欧盟、澳大利亚、俄罗斯、新加坡等国均规定数据使用者除了有义务在数据收集、存储、处理等全生命周期中配合数据主体实现其权利外,还有确保数据安全、对数据监管者进行数据收集和利用情况报备、发生异常事件时的通报、数据境外流转/存储前向数据监管者申请等义务,如表4.3所示。表4.3各国对数据使用者义务的规定美国欧盟义务内容澳大利亚俄罗斯新加坡要求数保证数据中心在境内的指定情况指定情况指定情况下据中心未明确规定义务下不要求不要求下不要求在境内收集数据前征求政府部未明确规未明确规明确规明确规定1明确规定定定2门同意的义务定发生异常时向指定政府明确规部门及数据主体等报告明确规定明确规定未明确规定明确规定定的义务数据境外流转/存储前向见表4.4见表4.4见表4.4见表4.4见表4.4数据监管者申请的义务注1:澳大利亚没有要求必须通知OAIC和信息专员注2:俄罗斯规定数据控制者在操作处理个人数据之前必须通知Roskomnadzor(通知可以是纸质版或电子版),Roskomnadzor会在收到通知后30天内对数据操作者进行登记。注3:新加坡规定有义务通知政府主管部门收集、使用或披露个人信息的目的(包括书面和口头两种形式)。19
19 下允许 2 停止收集个人信息的 权利 指定情况 下允许 3 允许 未明确 规定 允许 未明确 规定 删除个人信息的权利 指定情况 下允许 4 允许 不允许 指定情况 下允许 4 不允许 4 投诉的权利 未明确规定 允许 允许 未明确 规定 允许 其他权利 未明确规定 允许 5 未明确 规定 允许 5 未明确 规定 注 1:美国、欧盟、澳大利亚、俄罗斯、新加坡对收集数据前征求数据提供者同意的形 式、提供的内容、例外情况等规定各不相同。 注 2:除了 HIPAA、加州法律等,FTC、GLBA 等大多数美国隐私法一般不支持为用户提供 相关访问权限,但《儿童在线隐私保护法案》允许父母查看网站所收集的孩子个人信 息。此外,HIPAA、《儿童在线隐私保护法案》还支持用户的删除/更正信息的要求。 注 3:美国 GLBA、HIPAA、加州法律都支持公司提供渠道,允许用户退出其提供的信息服 务。 注 4:美国《儿童在线隐私保护法案》允许父母删除信息的要求。俄罗斯个人数据保护 法案规定,当个人数据不完整、过期、不准确、非法取得、数据处理声明的目的不是必 须的等情况下,数据提供者可以请求删除个人数据。新加坡 PDPA 不给个人请求删除自己 个人信息的权利,但保留有限制的责任。 注 5:欧盟 GDPR 在第 17 章中明确定义数据遗忘权和删除权。俄罗斯个人数据保护法案 规定的数据主体其他权利还包括获取数据使用相关信息、反对直接营销等权利。 可以看到,各国数据保护法律法规对数据提供者权利基本都进行了规定, 但规定的粒度又各不相同,如针对知情权,俄罗斯则规定,针对数据主体全名/ 地址/身份证明 ID(如护照)/身份证明的发行时间与发证机关/签名等信息、数 据控制者的全名/地址/数据处理目的等关键信息,需要以书面形式给出(包括 电子签名的方式)。新加坡则规定,数据控制者在收集个人数据之前需经数据主 体的同意,但不指定通知形式。 4.1.1.5 数据使用者的义务 美国、欧盟、澳大利亚、俄罗斯、新加坡等国均规定数据使用者除了有义 务在数据收集、存储、处理等全生命周期中配合数据主体实现其权利外,还有 确保数据安全、对数据监管者进行数据收集和利用情况报备、发生异常事件时 的通报、数据境外流转/存储前向数据监管者申请等义务,如表 4.3 所示。 表 4.3 各国对数据使用者义务的规定 义务内容 美国 欧盟 澳大利亚 俄罗斯 新加坡 保证数据中心在境内的 义务 指定情况 下不要求 指定情况 下不要求 指定情况下 不要求 要求数 据中心 在境内 未明确规定 收集数据前征求政府部 门同意的义务 未明确规 定 未明确规 定 明确规定 1 明确规 定 2 明确规定 3 发生异常时向指定政府 部门及数据主体等报告 的义务 明确规定 明确规定 明确规定 明确规 定 未明确规定 数据境外流转/存储前向 数据监管者申请的义务 见表 4.4 见表 4.4 见表 4.4 见表 4.4 见表 4.4 注 1:澳大利亚没有要求必须通知 OAIC 和信息专员。 注 2:俄罗斯规定数据控制者在操作处理个人数据之前必须通知 Roskomnadzor(通知可以 是纸质版或电子版),Roskomnadzor 会在收到通知后 30 天内对数据操作者进行登记。 注 3:新加坡规定有义务通知政府主管部门收集、使用或披露个人信息的目的(包括书面 和口头两种形式)
4.1.1.6数据境外流转/存储和转移协议要求数据跨境主要包括数据跨境流动、数据跨境存储以及所涉及的跨境协议等方面内容,各国对数据境外流转/存储和转移协议的规定如下表4.4所示。表4.4各国数据境外流转/存储和转移协议要求数据境外流转/存储美国欧盟澳大利亚俄罗斯新加坡和转移协议要求数据是否可存储在境允许允许允许允许不允许外数据是否可流转到境在指定条在指定条在指定条在指定条在指定条件外件下流转件下流转件下流转件下流转下流转数据流转到境外的转未明确规未明确规未明确规未明确规未明确规定定定定定移协议发生数据境外存储/未明确规未明确规未明确规必须告知流转时是否告知数据未明确规定定定定主管部门监管者一、美国美国对个人数据跨境传输限制较少,只有部分州颁布相关法律限制国外组织或机构开展数据服务,但通常仅限于为政府机构提供服务或产品的企业。FTC和其他监管机构的立场是,美国法律法规适用于跨境传输的美国数据,监管企业如下方面:1.数据出口到美国国外;2.海外分包商处理的数据:3.分包商使用相同的保护措施(如通过使用安全保障协议,审核和合同规定)监管跨境后的数据。二、欧盟GDPR规定:数据接收国的法律、监管机构能够有效地保护欧盟数据主体的权利,并且有充分的司法救济权力:数据接收国必须是欧盟认可的数据保护充分的国家。三、澳大利亚根据《联邦隐私法案》,组织或机构将持有的个人信息披露给位于澳大利亚以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会违反法案中规定的原则(除了特殊情况,组织或机构将持有的个人信息披露给位于澳大利亚以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会违反《联邦隐私法案》的要求。在一定程度上,甚至认为组织或机构须对任何境外接收者违反《联邦隐私法案》的行为负责)。但在下列情况下不适用:1,组织或机构已按照《联邦隐私法案》规定的方式获得了相关数据主体的同意;2.境外接收者是由和《联邦隐私法案》类似,且可被《联邦隐私法案》强制执行的境外法律所约束;3.其他例外情况(如个人数据披露是由澳大利亚相关法律要求的)。通常获得知情同意很困难,因此大多数情况下境外接收者不受类似的由相关数据主体强制执行的境外法律的约束。因此,在大多数情况下实体必须采用“合理步骤”来保证境外接收者不会违反《联邦隐私法案》的优先级高低出境数据存在以下情况之一的将信息披露给境外接收者。组织或机构通常寻求获得境外收件人的合同承诺即按照澳大利亚隐私法处理个人数据来遵守此规定(通常组织或机构通过和境外接收者签署合同来符合相关要求,这些合同可以保证20
20 4.1.1.6 数据境外流转/存储和转移协议要求 数据跨境主要包括数据跨境流动、数据跨境存储以及所涉及的跨境协议等 方面内容,各国对数据境外流转/存储和转移协议的规定如下表 4.4 所示。 表 4.4 各国数据境外流转/存储和转移协议要求 数据境外流转/存储 和转移协议要求 美国 欧盟 澳大利亚 俄罗斯 新加坡 数据是否可存储在境 外 允许 允许 允许 不允许 允许 数据是否可流转到境 外 在指定条 件下流转 在指定条 件下流转 在指定条 件下流转 在指定条 件下流转 在指定条件 下流转 数据流转到境外的转 移协议 未明确规 定 未明确规 定 未明确规 定 未明确规 定 未明确规定 发生数据境外存储/ 流转时是否告知数据 监管者 未明确规 定 未明确规 定 未明确规 定 必须告知 主管部门 未明确规定 一、美国 美国对个人数据跨境传输限制较少,只有部分州颁布相关法律限制国外组 织或机构开展数据服务,但通常仅限于为政府机构提供服务或产品的企业。 FTC 和其他监管机构的立场是,美国法律法规适用于跨境传输的美国数据, 监管企业如下方面: 1. 数据出口到美国国外; 2. 海外分包商处理的数据; 3. 分包商使用相同的保护措施(如通过使用安全保障协议,审核和合同规定) 监管跨境后的数据。 二、欧盟 GDPR 规定:数据接收国的法律、监管机构能够有效地保护欧盟数据主体的 权利,并且有充分的司法救济权力;数据接收国必须是欧盟认可的数据保护充 分的国家。 三、澳大利亚 根据《联邦隐私法案》,组织或机构将持有的个人信息披露给位于澳大利亚 以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会违反法 案中规定的原则(除了特殊情况,组织或机构将持有的个人信息披露给位于澳 大利亚以外的第三方之前,必须采取合理的步骤以确保海外的数据接收者不会 违反《联邦隐私法案》的要求。在一定程度上,甚至认为组织或机构须对任何 境外接收者违反《联邦隐私法案》的行为负责)。但在下列情况下不适用: 1. 组织或机构已按照《联邦隐私法案》规定的方式获得了相关数据主体的 同意; 2. 境外接收者是由和《联邦隐私法案》类似,且可被《联邦隐私法案》强 制执行的境外法律所约束; 3. 其他例外情况(如个人数据披露是由澳大利亚相关法律要求的)。 通常获得知情同意很困难,因此大多数情况下境外接收者不受类似的由相 关数据主体强制执行的境外法律的约束。因此,在大多数情况下实体必须采用 “合理步骤”来保证境外接收者不会违反《联邦隐私法案》的优先级高低出境 数据存在以下情况之一的将信息披露给境外接收者。组织或机构通常寻求获得 境外收件人的合同承诺即按照澳大利亚隐私法处理个人数据来遵守此规定(通 常组织或机构通过和境外接收者签署合同来符合相关要求,这些合同可以保证
在《联邦隐私法案》的框架下处理所有用户数据。在某些情况下,将会被追究法律责任,如组织或机构披露个人数据到境外而该境外接收者又违反了《联邦隐私法案》。四、俄罗斯俄罗斯个人数据保护相关法律法规指出:在个人数据跨境流动的情况下,所有的数据控制者必须确保(做出转让之前)其各自的数据主体的权利和利益在相应的其他国家能以适当的方式得到充分的保障。所有签署斯特拉斯堡公约的国家都被认为是能为数据主体提供权利和利益“充分保护”的司法管辖区。只要征得数据主体同意,数据跨境流动到具有对等保护级别的司法管辖区是不受任何限制的。同时,Roskomnadzor已列出能够对个人数据跨境流动提供足够级别保护的国家正式名单,包括澳大利亚、阿根廷、加拿大、以色列、墨西哥和新西兰。只有在特定例外情况下才允许个人资料跨境流动到无足够保护水平的国家。通常情况下,作为数据控制者的公司会在向境外传输个人数据前检查对方是否具有足够的数据保护水平。此外,公司将获得数据主体各自给出的书面同意,或执行遵循自身目的的跨境数据传输协议。按照这些步骤,公司将按照自己公司内部的规则或政策开展数据跨境传输。2014年7月21日,俄罗斯联邦总统签署第242-FZ号联邦法律,将修订在信息和电信网络方面对于个人数据处理的某些立法行为,成为新数据保护法。新数据保护法的修订已于2014年12月31日在第526-FZ号联邦法律通过,并于2015年9月1日生效。新的数据保护法主要修正了个人数据保护法的两个问题:1.介绍了数据控制者关于俄罗斯公民个人数据的收集、存储和处理方面的新义务;2.引入了Roskomnadzor阻止非法加工俄罗斯公民个人数据的网站和在线资源的新机制。具体而言,新数据保护法对所有数据控制者都引入了一项义务,要求其“在收集个人相关数据时,包括通过互联网的过程中,确保能够通过位于俄罗斯联邦境内的数据中心记录、系统化、累积、存储、变更以及提取俄罗斯公民个人数据。”这意味着,任何由数据控制者收集的俄罗斯公民个人数据都需要存储在俄罗斯境内的服务器、IT系统或数据中心上。虽然新的数据保护法律没有明确规定这一点,但这些要求很可能被解释为禁止将俄罗斯公民个人数据存储在俄罗斯境外。因此,根据新数据保护法的文字描述和解释,为满足数据保护立法的所有其他通用要求,本地和外国公司(数据控制者)都需要在俄罗斯境内处理或组织处理俄罗斯公民个人数据。此外,新的数据保护法律并没有禁正从境外访问位于俄罗斯境内的服务器、IT系统和数据中心,也没有对包括境外数据传输和数据复制在内的数据转移进行特别的限制。俄罗斯法律法规并没有规定数据跨境流动所采用的传输协议,虽然这些跨境传输协议应用广泛,但Roskomnadzor没有给出其标准形式,所用到的每一个协议都是视情况而定的。只要收到数据主体的同意,或数据主体的同意在协议里有表达,则个人数据的跨境流转就是合法的。此外,数据控制者在向Roskomnadzor登记时,必须告知Roskomnadzor其数据跨境流动的权利。21
21 在《联邦隐私法案》的框架下处理所有用户数据。 在某些情况下,将会被追究法律责任,如组织或机构披露个人数据到境外 而该境外接收者又违反了《联邦隐私法案》。 四、俄罗斯 俄罗斯个人数据保护相关法律法规指出:在个人数据跨境流动的情况下, 所有的数据控制者必须确保(做出转让之前)其各自的数据主体的权利和利益 在相应的其他国家能以适当的方式得到充分的保障。所有签署斯特拉斯堡公约 的国家都被认为是能为数据主体提供权利和利益“充分保护”的司法管辖区。 只要征得数据主体同意,数据跨境流动到具有对等保护级别的司法管辖区是不 受任何限制的。同时,Roskomnadzor 已列出能够对个人数据跨境流动提供足够 级别保护的国家正式名单,包括澳大利亚、阿根廷、加拿大、以色列、墨西哥 和新西兰。只有在特定例外情况下才允许个人资料跨境流动到无足够保护水平 的国家。 通常情况下,作为数据控制者的公司会在向境外传输个人数据前检查对方 是否具有足够的数据保护水平。此外,公司将获得数据主体各自给出的书面同 意,或执行遵循自身目的的跨境数据传输协议。按照这些步骤,公司将按照自 己公司内部的规则或政策开展数据跨境传输。 2014 年 7 月 21 日,俄罗斯联邦总统签署第 242-FZ 号联邦法律,将修订在 信息和电信网络方面对于个人数据处理的某些立法行为,成为新数据保护法。 新数据保护法的修订已于 2014 年 12 月 31 日在第 526-FZ 号联邦法律通过,并 于 2015 年 9 月 1 日生效。新的数据保护法主要修正了个人数据保护法的两个问 题: 1. 介绍了数据控制者关于俄罗斯公民个人数据的收集、存储和处理方面的 新义务; 2. 引入了 Roskomnadzor 阻止非法加工俄罗斯公民个人数据的网站和在线资 源的新机制。 具体而言,新数据保护法对所有数据控制者都引入了一项义务,要求其 “在收集个人相关数据时,包括通过互联网的过程中,确保能够通过位于俄罗 斯联邦境内的数据中心记录、系统化、累积、存储、变更以及提取俄罗斯公民 个人数据。”这意味着,任何由数据控制者收集的俄罗斯公民个人数据都需要存 储在俄罗斯境内的服务器、IT 系统或数据中心上。 虽然新的数据保护法律没有明确规定这一点,但这些要求很可能被解释为 禁止将俄罗斯公民个人数据存储在俄罗斯境外。因此,根据新数据保护法的文 字描述和解释,为满足数据保护立法的所有其他通用要求,本地和外国公司 (数据控制者)都需要在俄罗斯境内处理或组织处理俄罗斯公民个人数据。 此外,新的数据保护法律并没有禁止从境外访问位于俄罗斯境内的服务器、 IT 系统和数据中心,也没有对包括境外数据传输和数据复制在内的数据转移进 行特别的限制。 俄罗斯法律法规并没有规定数据跨境流动所采用的传输协议,虽然这些跨 境传输协议应用广泛,但 Roskomnadzor 没有给出其标准形式,所用到的每一个 协议都是视情况而定的。 只要收到数据主体的同意,或数据主体的同意在协议里有表达,则个人数 据的跨境流转就是合法的。此外,数据控制者在向 Roskomnadzor 登记时,必须 告知 Roskomnadzor 其数据跨境流动的权利
五、新加坡原则上组织不能把任何个人资料转移到新加坡以外的国家或地区,除非其符合PDPA第26节规定的要求,这是为了保证组织能够提供与PDPA保护框架相对应的保护水平。只有当组织在采取合理步骤,满足特定条件时,才可将个人数据传输到境外。4.1.2国内数据安全法律法规和政策我国在推进大数据产业发展的过程中,越来越重视数据安全问题,不断完善数据开放共享、数据跨境流动和用户个人信息保护等方面的法律法规和政策,为大数据产业健康发展保驾护航。4.1.2.1数据开放共享相关法律法规政策近年来,中央和地方政府高度重视数据开放共享工作,相继出台数据开放共享相关政策法规。一、国家层面,制定数据开放共享相关的纲要规划,加强数据开放共享的顶层设计。2015年8月,国务院印发《促进大数据发展行动纲要》,提出加快政府数据开放共享,推动资源整合,提升治理能力。要大力推动政府部门数据共享,明确各部门数据共享的范围边界和使用方式,厘清数据管理及共享的义务和权利,依托政府数据统一共享交换平台,大力推进国家基础数据资源共享;稳步推动公共数据资源开放,建立公共机构数据资源清单,建设国家政府数据统一开放平台,推进公共机构数据资源统一汇聚和集中向社会开放,提升政府数据开放共享标准化程度:建立政府和社会互动的大数据采集形成机制,制定政府数据共享开放目录,通过政务数据公开共享,引导企业、行业协会、科研机构、公共组织等主动采集并开放数据。2016年12月,工信部印发《大数据产业发展规划(2016一2020年)》,提出加强资源共享和沟通协作,协调制定政策措施和行动计划,解决大数据产业发展过程中的重大问题,建立大数据发展部省协调机制,加强地方与中央大数据产业相关规划、法律、政策等的衔接配套,通过联合开展产业规划等措施促进区域间大数据政策协调:推动制定公共信息资源保护和开放的制度性文件,以及政府信息资源管理办法,逐步扩大开放数据的范围,提高开放数据质量。2018年3月,国务院办公厅发布《科学数据管理办法》,深刻把握大数据时代科学数据发展趋势,充分借鉴国内外先进经验和成熟做法,针对目前我国科学数据管理中存在的薄弱环节,进行了系统的部署和安排,围绕科学数据的全生命周期,加强和规范科学数据的采集生产、加工整理、开放共享等各个环节的工作。把确保数据安全放在首要位置,建立数据共享和对外交流的安全审查机制;按照“开放为常态、不开放为例外”的共享理念,明确为公益事业无偿服务的政策导向,充分发挥科学数据的重要作用。二、地方层面,地方政府也积极配合推动大数据产业发展应用,加快制定数据开放共享方面的法规政策。2014年,贵州省发布《关于加快大数据产业发展应用若干政策的意见》(以下简称《意见》)和《贵州省大数据产业发展应用规划纲要(2014-2020)》(以下简称《纲要》),提出数据开放共享方面需加快建立相关标准规范,实现22
22 五、新加坡 原则上组织不能把任何个人资料转移到新加坡以外的国家或地区,除非其 符合 PDPA 第 26 节规定的要求,这是为了保证组织能够提供与 PDPA 保护框架相 对应的保护水平。只有当组织在采取合理步骤,满足特定条件时,才可将个人 数据传输到境外。 4.1.2 国内数据安全法律法规和政策 我国在推进大数据产业发展的过程中,越来越重视数据安全问题,不断完 善数据开放共享、数据跨境流动和用户个人信息保护等方面的法律法规和政策, 为大数据产业健康发展保驾护航。 4.1.2.1 数据开放共享相关法律法规政策 近年来,中央和地方政府高度重视数据开放共享工作,相继出台数据开放 共享相关政策法规。 一、国家层面,制定数据开放共享相关的纲要规划,加强数据开放共享的 顶层设计。 2015 年 8 月,国务院印发《促进大数据发展行动纲要》,提出加快政府数据 开放共享,推动资源整合,提升治理能力。要大力推动政府部门数据共享,明 确各部门数据共享的范围边界和使用方式,厘清数据管理及共享的义务和权利, 依托政府数据统一共享交换平台,大力推进国家基础数据资源共享;稳步推动 公共数据资源开放,建立公共机构数据资源清单,建设国家政府数据统一开放 平台,推进公共机构数据资源统一汇聚和集中向社会开放,提升政府数据开放 共享标准化程度;建立政府和社会互动的大数据采集形成机制,制定政府数据 共享开放目录,通过政务数据公开共享,引导企业、行业协会、科研机构、公 共组织等主动采集并开放数据。 2016 年 12 月,工信部印发《大数据产业发展规划(2016-2020 年)》,提 出加强资源共享和沟通协作,协调制定政策措施和行动计划,解决大数据产业 发展过程中的重大问题,建立大数据发展部省协调机制,加强地方与中央大数 据产业相关规划、法律、政策等的衔接配套,通过联合开展产业规划等措施促 进区域间大数据政策协调;推动制定公共信息资源保护和开放的制度性文件, 以及政府信息资源管理办法,逐步扩大开放数据的范围,提高开放数据质量。 2018 年 3 月,国务院办公厅发布《科学数据管理办法》,深刻把握大数据时 代科学数据发展趋势,充分借鉴国内外先进经验和成熟做法,针对目前我国科 学数据管理中存在的薄弱环节,进行了系统的部署和安排,围绕科学数据的全 生命周期,加强和规范科学数据的采集生产、加工整理、开放共享等各个环节 的工作。把确保数据安全放在首要位置,建立数据共享和对外交流的安全审查 机制;按照“开放为常态、不开放为例外”的共享理念,明确为公益事业无偿 服务的政策导向,充分发挥科学数据的重要作用。 二、地方层面,地方政府也积极配合推动大数据产业发展应用,加快制定 数据开放共享方面的法规政策。 2014 年,贵州省发布《关于加快大数据产业发展应用若干政策的意见》 (以下简称《意见》)和《贵州省大数据产业发展应用规划纲要(2014-2020)》 (以下简称《纲要》),提出数据开放共享方面需加快建立相关标准规范,实现