返回研究

中美数据安全保护小析

  发布时间:2017-12-21

作者:郝新慧
2016年11月7日通过的《网络安全法》已于2017年6月1日起正式施行,引起了社会各界的广泛关注和讨论。2017年4月11日,在新法该条款的基础上,国家网信办发布了《个人信息和重要数据出境安全评估办法》(征求意见稿),对网络信息的依法有序流动做出了进一步规定。2017年5月27日,全国信息安全标准化技术委员会组织起草发布了国家标准《信息安全技术数据出境安全评估指南(草案)》(以下简称《评估指南》),《评估指南》对于个人信息、个人敏感信息、以及重要数据作了相关定义,尤其是重要数据,进一步给出了明确的分类。
 
针对个人信息和重要数据保护,笔者对照中国和美国进行了一个简单的对比分析。
 
中国
 
个人信息和个人敏感信息
在《网络安全法》和《评估指南》之前,国内法律还没有统一的关于“个人信息”定义,“个人信息”的定义散见在不同的法规中,根据个人信息采集使用场景的不同,个人信息可被定义为电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息(参见《电信和互联网用户个人信息保护规定》第四条规定)或者个人信用信息、个人金融信息 、人口健康信息等。
而《网络安全法》和《评估指南》,明确了个人信息的定义为“以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、通信通讯联系方式、个人生物识别信息、住址、账号密码、财产状况、位置和行为信息等”。
《评估指南》还首次提出了“个人敏感信息”,“个人敏感信息”是一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。针对个人敏感信息,在该指南的附录B《个人信息和重要数据出境安全评估办法》中明确了个人敏感信息为最高级别的影响个人权益的信息。
 
重要数据
《评估指南》明确了重要数据为政府、企业、个人在境内收集、产生的不涉及国家秘密但与国家安全、经济发展以及公共利益密切相关的数据(包括原生数据和衍生数据)。而与一般网络运营者或者终端制造企业相关的重要数据根据行业领域例如包括:A.5 通信、A.6 电子信息、A.13地理信息、A.19 金融、A.27 电子商务等中收集的信息。
企业的运行维护类数据、安全保障类数据、电子信息百强企业业务数据、电子商务平台注册的信息以及信用记录等都属于重要数据。
 
出境传输
对于个人信息和重要数据的出境传输时,在《评估指南》草案出台之前,仅在某些具体行业对于信息的传输存在一些禁止性的规定。例如,中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定,“在中国境内收集到的个人金融信息必须在中国境内存储、分析、整理,除非有特别规定,不得将该等信息传输到国外”。国家卫生和计划生育委员会在《人口健康信息管理办法(试行)》第十条中规定,“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”。
此外,作为并不具有法律强制效力的指导性技术文件,《信息安全技术 公共及商用服务信息系统个人信息保护指南》第5.4.5条规定也规定了“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。”
而《评估指南》明确了个人信息和重要数据可以出境,但需要评估数据出境计划的合法正当和风险客观,根据风险评估的结果确定是否合法对数据进行出境传输。
例如,出境传输的个人信息和重要数据的范围是否与出境目的相关的业务功能有直接关联,是否进行技术处理以达到脱敏效果等。
针对一般性的个人信息要进行技术性的脱敏处理,防止识别出个人。针对个人敏感信息,在《评估指南》的附录B中明确了个人敏感信息为最高级别的影响个人权益的信息,对于个人敏感信息的技术脱敏处理也要相应进行提高,以便于风险可控泄露或者滥用个人敏感信息所导致违法性事件的发生。
 
美国
 
美国对个人信息与数据保护方面的立法不像大陆法系国家那样制定一部完整的数据保护法典来规范相关的违法行为。与美国的联邦与州二元法律制度相适应,美国在个人信息与数据保护方面的立法同样分为联邦数据安全保护法律与州数据安全保护法律两个体系,同时,美国针对不同行业制定了不同的数据安全保护法律,并且配合司法执行和私人诉讼等方式,对相关违法行为进行规制。由此,美国形成了一个虽有重合、但相互交织的个人信息和数据保护法律体系。在联邦立法层面,比较重要的个人信息和数据保护方面的法律有:
(1)联邦贸易委员会法案(The Federal Trade Commission Act (15U.S.C.§§41-58) (FTC Act))。该法的核心要点在保护消费者免于遭受“不公平与具有欺骗性的”行为的侵害,对网上与网下关于隐私与数据安全方面的问题都适用;
(2)电子通讯隐私法案(TheElectronic Communications Privacy Act (18 U.S.C. §2510))和计算机欺诈与滥用法(the Computer Fraud and Abuse Act (18 U.S.C. §1030)。二者分别对电子通讯的拦截与计算机篡改进行规制;
(3)金融服务现代化法(TheFinancial Services Modernization Act (Gramm-Leach-Bliley Act (GLB)) (15 U.S.C.§§6801-6827))。该法主要对金融信息的收集、使用与披露进行规制;
(4)健康保险携带与责任法(The Health Insurance Portability and Accountability Act (HIPAA) (42U.S.C. §1301 et seq.)。该法主要对健康信息进行规制。
(5)儿童在线隐私保护法案(The Children’s Online Privacy Protection Act)(COPPA)。该法案主要是对不满13周岁的儿童的个人隐私进行保护。
(6)消费者隐私保护法案(Consumer Privacy Protection Act)。
以上只是列举了几部美国在个人信息与数据保护方面的法律。除联邦立法外,美国各州都有大量的关于个人数据收集与使用的法律法规与案例,并且每年都有新生效的法律法规及案例。
美国关于数据的定义,也是散落在各个法律法规中,出现更多的数据概念是个人信息和个人敏感信息,但并没有涉及重要数据的定义。
 
个人信息和个人敏感信息
美国不同法律对个人信息存在不同的定义。美国主要负责隐私与数据保护的机构FTC将可以用于区别或联系到个人的信息定义为个人数据,包括个人的IP地址和设备代码。
而一般的个人敏感信息包括:个人健康数据、信用报告、从网上收集到的13岁以下儿童的个人信息、准确的地理位置信息、个人社会保障号、以及可以用来盗窃或欺诈的信息。
 
出境传输
美国没有关于数据信息跨境传输的一般性的禁止性规定,而仅是规定了在信息传输时将受到数据传输目标国相关法律规定的限制。美国方面会关注目标国对数据保护的标准是否高于或者持平于他们本国的法律要求。因而,虽美国相关法律对个人数据的跨境传输并无明文禁止,但实际上可能会限制数据向某些国家传输。但美国的趋势是鼓励国家间的合作,比如,2012年,美国成为第一个APEC跨境隐私规则体系(APEC Cross-border Privacy Rules system)的成员。2014年,FTC与英国信息委员会办公室(UK Information Commissioner’sOffice)签订了一份备忘录,以便加强双边合作,并共同努力保护消费者的隐私。
此外,鉴于欧盟严格的数据安全保护立法,美国与欧盟也签署了数据出境传输的双边协定。尽管2015年欧盟法院(CJEU) 否定了二者签署的《美国-欧盟安全港框架协议》(US-EU Safe Harbor Framework)的效力,但是欧盟议会在2016年2月份公布了《欧盟-美国隐私盾框架原则》(EU-US Privacy Shield Framework Principles),该框架原则将取代此前的框架协议。而根据新的《欧盟-美国隐私盾框架原则》的规定,用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。由此可以看出,对于数据出境传输,美国的核心问题在于传输国与目标国的数据保护水平。 
与美国相同的是,《评估指南》也将数据出境目标地的政治法律环境考虑在内,严格评估目标地与我国法律法规提供的保护水平之间的差异。
综合来说,大数据时代的网络安全已经成为各国政府部门以及各产业部门共同关注的焦点问题。在欧美主要经济体正在制定越来越严格的数据安全保护法律的同时,中国也正顺应该趋势逐步完善我们的数据安全保护法律体系。

Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号