國外數據安全法規分析
隨着人類進入數字經濟時代,世界各國對數據的依賴快速上升,數據已成為國家基礎性戰略資源,對社會生活方式、經濟運行機制、國家治理能力等產生重要影響,國家競爭焦點正從土地、人口、資本、資源的爭奪轉向對數據的爭奪。未來國家層面的競爭力將部分體現為一國擁有數據的規模、開發利用以及掌控的能力,「數據主權」將成為繼邊防、海防、空防之後另一個大國博弈的空間。近年來,我國《網絡安全法》《數據安全法》《個人信息保護法》等數據安全相關法律法規的相繼頒佈,為數據安全建設提供了制度支撐和法律保障。我國數據安全產業發展相對於世界發達國家,起步較晚,通過參考其他國家地區的數據安全政策和戰略方針,能夠有助於我們更深入理解我國數據安全產業的發展方向。鍊石網絡與國浩律所合作,共同梳理了歐洲、北美洲、南美洲、亞洲、大洋洲、非洲六大洲,包括歐盟、德國、法國、英國、意大利、俄羅斯、美國、加拿大、巴西、日本、印度、韓國、澳大利亞、南非等14個國家或組織的87項數據安全政策、法規、戰略,從各國立法總體情況、法律位階、法律間關係、各法的定位、內容要點等維度進行分析。由於作者水平有限,難免會有遺漏和偏差,敬請讀者指正。
(關注本賬號,私信小編,可打包下載《2022年國外數據安全政策研究報告》原文PDF版以及14個國家的80餘項數據安全政策原文PDF版)
本文約5萬字,預計閱讀時間 15分鐘。
註:歡迎業界同仁反饋改進、共同完善、交流合作,信息反饋請發送郵件至:[email protected]。
聲明:北京鍊石網絡技術有限公司對本文的內容及相關產品信息擁有受法律保護的著作權,未經授權許可,任何人不得將文章的全部或部分內容以轉讓、出售等方式用於商業目的使用。轉載、摘編使用本文章的文字或者觀點的應註明來源。文章中所載的材料和信息,包括但不限於文本、圖片、數據、觀點、建議等各種形式,不能替代律師出具的法律意見。違反上述聲明者,本公司將追究其相關法律責任。文章撰寫過程中,為便於要點說明和涵義解釋,引用了一系列的參考文獻,內容如有侵權,請聯繫本公司修改或刪除。
全球數據安全政策研究報告(2022年)
歐洲
一、立法總體情況
歐盟的數據安全立法無論是在立法時間還是立法系統性上,都處於全球領先位置。作為一個經濟共同體,歐盟在數據安全立法方面的出發點與一般實體國家存在區別,其更強調技術導向的數據共享與自由流動,消除成員國家間的信息屏障。為達到這一目標,歐盟必須在數據存儲處理、公民基本權利、數據安全保護和監管、數據跨境流動等方面構建完善的法律框架。
歐盟的政策決策特點是多方面互動的,歐洲委員會、歐洲議會、歐洲理事會、歐盟理事會、歐盟委員會等機構參與制定歐盟法律法規。歐盟的法律基本框架大體可分為3個層次:一級法律,主要指條約;二級法律,包括指令、法規、決定、意見建議等;三級法律為判例法,主要指根據二級法律作出的對具體事件或案例的判決或裁定。
歐盟針對數據安全立法,一級法律層面上,1981年《個人數據自動化處理中的個人保護公約》,是世界上第一部關於數據保護的國際公約;二級法律層面上,1995年《關於涉及個人數據處理的個人保護以及此類數據自由流通的第95/46/EC/號指令》、2016年《一般數據保護條例(GDPR)》、2018年《非個人數據自由流動條例》,形成數據治理的統一框架;2019年《網絡安全法案》,確立了第一份歐盟範圍的網絡安全認證計劃;2020年《歐洲數據戰略》,致力於實現真正的單一數據市場的願景;2020年《數據治理法案》、2022年《數據法案(草案)》、2022年《數字市場法案》、2022年《數字服務法案》作為落實《歐洲數據戰略》所採取的重要立法舉措,為歐洲新的數據治理方式奠定了基礎。
二、 重點法律解析
01 歐盟《108號公約》
(1)定位
1981年,歐洲委員會通過了《個人數據自動化處理中的個人保護公約》(簡稱「《108號公約》」)。《108號公約》是世界上第一部關於數據保護的國際公約。旨在確保在每個締約方在其管轄範圍內的公民,不管其國籍或居住地,在對其個人數據進行自動化處理過程中得到保護,尊重其權利和基本自由,特別是對於隱私權方面的尊重。
(2)特點
《108號公約》作為全球範圍內第一份有關數據保護的具有法律約束力的國際性文件,反映了歐洲國家就個人數據保護作為人權保護達成的共識,並推進更多的國家參與和加入。公約建立了有關個人數據保護的基本原則以及各締約國之間的基本義務,並將對個人基本自由與權利的保護作為締約國履行條約規定的國家義務的出發點。此外,公約委員會的建立,在一定程度上建立起了針對個人數據保護的多國合作框架。
(3)主要內容
《108號公約》(2018年版)由一般規則、數據保護基本原則、個人數據跨境流通、監管機構、相互協作、公約委員會、公約修正案、最後條款等八章節、32條款構成。
在適用範圍上,公約明確是締約國管轄範圍內的個人數據處理活動,涵蓋私營部門和公共部門,不再局限於此前版本所界定的「自動化的個人數據處理」活動,不再適用於自然人在純粹的個人或家庭活動中進行的數據處理活動。
公約針對數據安全方面提出,締約國應當規定數據控制者,在適當的情形下包括數據處理者,採取適當的安全措施以防範個人數據遭受意外的或未經授權的訪問、損毀、丟失、利用、修改或傳播。同時,也引入了締約國應當規定數據控制者將個人數據泄露事件及時通報監管機構的要求。
在義務上,公約對數據處理主體提出了更廣泛的義務,如「評估其計劃實施的對數據主體的各項權利和基本自由可能產生影響的數據處理行為的風險」,以降低侵害人權或基本自由的風險;「在數據處理的各個階段,採取考慮到個人數據保護權利的技術和組織措施」。
在個人數據跨境流通上,公約力求確保在處理個人數據過程中給予適當保護的同時,促進數據在各國間實現自由流通。公約明確,任何締約國不得僅為保護個人數據之目的禁止數據跨境傳輸,或者設置特別授權條件。非成員國的跨境傳輸,需在公約規定的適當個人數據保護水平得到保障的情形下進行。
02 歐盟《95指令》
(1)定位
1995年10月24日,歐洲議會和歐盟理事會通過了《關於涉及個人數據處理的個人保護以及此類數據自由流通的第95/46/EC/ 號指令》(簡稱《95指令》)。《95指令》為歐盟成員國制定和實施數據保護法律提供了一個基本框架和雛形,促成各成員國數據保護標準的趨向統一,推動了全球個人數據保護秩序的建立。
(2)特點
《95指令》直接以指令而非條約的形式要求各成員國完善數據保護立法,致力於協調各國對自然人在數據處理領域的基本權利和自由的保護,消除個人數據在共同體內部自由流通的障礙。首次提出知情同意原則,將「數據主體已明確表示同意」作為數據處理的合法條件之一;採用統一立法模式,規定建立獨立的數據保護機構,是個人信息保護法中主張域外效力的典型代表。
(3)主要內容
《95指令》包括72條序言和34條條款,旨在提高歐洲個人信息保護法律的統一程度,彌補1980年出台的《第108號公約》,雖對成員國具有約束力,但真正執行國家並不多,實施效果也存在差異的現實情況,進而應對高速發展的信息技術時代帶來的保護個人數據權利、消除法規不一所造成的數據流通障礙的雙重挑戰。
在處理個人數據的安全性方面,《95指令》提出,會員國應規定,控制者必須實施適當的技術和組織措施(特別是在處理涉及通過網絡傳輸數據的情況下),以保護個人數據免受意外或非法破壞或意外丟失、更改、未經授權的披露或訪問,防止所有其他非法形式的處理。考慮到最新技術及其實施成本,此類措施應確保與處理行為潛在的風險和要保護的數據的性質相適應的安全水平。
在數據保護監管方面,《95指令》提出,各成員國應建立監管機構,並賦予他們完全獨立的行使職能。監管機構應被賦予的權利包括調查權、干預權、法律訴訟權等。
在個人數據跨境流動方面,《95指令》明確,成員國向第三國轉移個人數據,需以第三國對個人數據提供充分保護為前提。而判斷第三國對個人數據保護是否充分,應圍繞數據傳輸操作的情況來評估第三國提供的保護水平的充分性;應特別考慮數據的性質、擬處理操作的目的和持續時間、數據來源國和最終目的地國、第三國現行的一般和部門法律法規以及該國遵守的專業規則和安全措施。
03 歐盟《通用數據保護條例》
(1)定位
2016年4月14日,歐洲議會和歐盟理事會通過了《通用數據保護條例》(簡稱「GDPR」),於2018年5月25日正式生效,GDPR被稱為被稱為「史上最嚴隱私法案」。一方面,GDPR賦予了個體用戶對於自身數據更多的自主權和選擇權;另一方面,GDPR針對用戶數據的控制主體和處理主體制定了十分嚴格的限制性規則,有力地推進歐盟數字單一市場的建立。
(2)特點
GDPR的出台,將個人數據的保護及監管提升到前所未有的高度,歐盟的數據保護立法由「Directive」(指令)提升為「Regulation」(條例)。GDPR進一步細化權利與義務,在數據主體的權利方面,設立了「被遺忘權」、「攜帶權」兩項新型權利;在數據處理主體的義務方面,GDPR通過巨額的行政處罰以警示數據處理主體嚴格履行自身合規義務。GDPR具有域外效力管轄權設計,全球企業都可能受到GDPR的管制,GDPR同時設立數據保護官等制度輔助企業義務的履行以及監督機構的監管。為推進GDPR的落地與有效執行,歐盟數據保護委員會(「EDPB」)進一步陸續推出多種特定情況下的指引(Guidelines),這些指引雖然不具有法律強制力,但是其本質是對於特定場景或者GDPR對應條文中規定的指導方針、建議和最佳操作,因此在實踐中具有較高的參考價值。
(3)主要內容
GDPR是在《95指令》的基礎上重新制定,進一步應對《95 指令》逐步出現的化解安全風險挑戰能力不足情況,共計11章99條,相較於僅34條的《95指令》來說,做出了多達 3500 處具體修改,GDPR生效的兩年後《95指令》被廢止。同時,GDPR整合了之前的隱私保護指令、電子通信隱私保護指令以及歐盟公民權利指令等,通過統一歐盟法規來協調整個歐洲的數據隱私法律,保護所有歐洲公民免受隱私侵犯和數據泄露的侵害,並簡化國際業務中對於數據隱私的監管方式。
04 歐盟《非個人數據自由流動條例》
(1)定位
2018年11月14日,歐洲議會和歐盟理事會共同頒佈《非個人數據自由流動條例》(簡稱《條例》),並於2019年5月28日正式實施。《條例》旨在統一有關非個人數據的自由流動規則,與已經實施生效的GDPR形成數據治理的統一框架,以此平衡個人數據保護、數據安全,推進歐盟在單一數字市場戰略下打造富有競爭力的數字經濟。
(2)特點
《條例》通過廢止不合理的數據本地化限制、促進專業用戶數據遷移的有關規則,加強成員國監管機構的官方合作機制,推動數據和雲服務商行為準則的建立,增強政府與企業對數據跨境存儲與處理的信任,以保障非個人數據在歐盟內可以自由流動。
(3)主要內容
《條例》包括39條序言和9條條款,從禁止數據本地化與推動發展新技術兩方面,規範非個人數據流動。《條例》界定了非個人數據的範疇,即為GDPR中界定的個人數據(任何已識別或可識別的自然人相關的信息)以外的數據;明確非個人數據在歐盟境內跨境流動的規則,為整個歐洲的數據存儲和處理設定了框架,禁止數據本地化限制;允許有權機關為根據歐盟法或國家法履行其職責要求獲取數據訪問的權力,有權機關對數據的訪問不得以數據在另一成員國處理為由受到拒絕;鼓勵和促進歐盟層面自律性行為守則的制定,其以透明性和交互性原則為基礎,合理考慮開放標準,保障數據轉移和數據服務商自由轉換。
05 歐盟《網絡安全法案》
(1)定位
2019年4月17日,歐洲議會和歐盟理事會通過了《網絡安全法案》(簡稱《法案》),並於2019 年6月27日正式施行,舊版網絡安全法案(No 526/2013)被廢除。《法案》確立了第一份歐盟範圍的網絡安全認證計劃,對於歐盟各成員國網絡和信息通訊安全體系的構建、安全風險防控能力的提升具有十分重要的意義。
(2)特點
《法案》指定了歐盟網絡和信息安全署(ENISA)為永久性的歐盟網絡安全職能機構,推行通用網絡安全認證系統,對合格評定機構的資格標準做了界定。
(3)主要內容
《法案》包括序言、正文和附則三大部分。正文部分包含三個章節共計 69 個條款,涉及為 ENISA (歐盟網絡安全局)的職能和任務的重新定位、網絡安全認證框架及認證計劃、信息和通信技術(ICT)網絡安全認證等事項的具體規定。附則部分是關於獲得認證資格的評估機構,應當滿足的具體要求。
其中,針對構建歐洲網絡安全認證框架,一方面有助於增加對已根據歐洲網絡安全認證計劃認證的信通技術產品、信通技術服務和ICT流程的信任;另一方面有助於避免衝突或重疊的國家網絡安全認證計劃的倍增,從而降低在數字單一市場運營的企業的成本。
06 歐盟《歐洲數據戰略》
(1)定位
2020年2月19日,歐盟委員會發佈《歐洲數據戰略》(簡稱《戰略》),標誌着歐盟在數字一體化進程中邁出了里程碑意義的一步。《戰略》概述了歐洲未來五年實現數據經濟的政策舉措和投資策略,旨在實現真正的單一數據市場的願景,並在過去幾年所取得成就的基礎上,解決通過政策和資金措施發現的問題。
(2)特點
《戰略》表明,數據是本次變革的核心環節,數據將重塑公民生產、消費和生活的方式,以數據為驅動的創新將對公民產生巨大影響;對於公民權利的尊重是構建單一數據市場的核心,在構建單一數據市場的進程中應當落實歐盟價值理念和基本人權的要求。到2030年,將構建一個統一的歐洲數據空間,一個真正向全世界數據開放的統一的數據市場,在這裡無論是個人還是非個人數據,包括敏感商業數據都會被妥善保護,企業也可便捷地訪問幾乎無限量的高質量行業數據,提高增長和創造價值同時最小化人為碳排放和環境影響。
(3)主要內容
《戰略》包括背景介紹、關鍵點、願景、問題、戰略、國際路徑、結論以及附錄(歐洲戰略部門和公共利益領域公共數據空間創建計劃)等八個部分。《戰略》的實施,將基於四個方面:有關數據訪問和使用的跨部門治理框架;推動者:為數據、及加強歐洲在數據託管、處理和使用上互操作性的能力和基礎設施進行投資;能力建設:增強個人能力、投資技能和中小企業;戰略部門和公共利益領域的歐洲公共數據空間。
其中,針對戰略性行業和公共利益領域中的歐洲公共數據空間,《戰略》支持建立歐洲工業(製造業)數據公共空間、歐洲綠色交易數據公共空間、歐洲交通數據公共空間、歐洲健康數據公共空間、歐洲金融數據公共空間、歐洲能源數據公共空間、歐洲農業數據公共空間、歐洲行政數據公共空間、歐洲技能數據公共空間,共9個歐洲數據公共空間。
07 歐盟《數據治理法案》
(1)定位
2020年11月25日,歐盟委員會發佈了歐盟《數據治理法案》(簡稱《法案》)的擬議草案。2022年4月6日,歐洲議會就歐盟《法案》進行最終投票表決,並獲得議會批准。《法案》的出台,被視為落實《歐洲數據戰略》所採取的重要立法舉措,一定程度上強化了歐盟對於公共數據的賦能,為歐洲新的數據治理方式奠定了基礎。
(2)特點
《法案》構建了三項適於各個行業的數據共享機制:公共部門數據再利用機制、數據中介機構及通知制度、數據利他主義制度。
(3)主要內容
《法案》共九章38條,包括一般規定、重複使用公共部門機構持有的某些類別的受保護數據、適用於數據中介服務的要求、數據利他主義、主管當局和程序規定、歐洲數據創新委員會、國際訪問和轉移、授權和委員會程序、最終和過渡條款。
《法案》明確了公共部門數據再利用條件。允許自然人或法人在公共部門所提供的安全處理環境中訪問並再利用公共數據。《法案》針對可以被再利用的數據進行敏感性方面的限制,要求開展數據再利用的公共部門具有技術設備上的相關保障,各成員國必須設立一個單一聯絡點,支持研究人員和創新企業使用數據,以及必須建立能夠通過技術手段和法律援助對公共部門進行支撐的數據再利用體系。公共部門機構應施加條件,以保持所使用的安全處理環境的技術系統功能的完整性。《法案》倡議建立非營利性質的「數據中介機構」,為公共數據空間提供基礎設施。數據中介機構需要在指定的主管當局進行備案。
08 歐盟《數據法案(草案)》
(1)定位
2022年2月23日,歐盟委員會正式公布數據治理立法《數據法案》(Data Act) 草案全文,是對《數據治理法案》的補充。《數據法案》(草案)旨在確保數據經濟參與者之間公平分配數據價值,並促進數據的獲取和使用,有助於實現更廣泛的政策目標,即確保歐盟所有部門的企業能夠創新和競爭,有效增強個人數據權能,並為企業和公共部門機構提供更成比例和可預測的機制,以應對重大政策和社會挑戰,包括公共緊急情況和其他特殊情況,具有重要的風控合規風向標意義。
(2)特點
《數據法案》(草案)構建了適用於所有部門的數據使用權基本規則,將促進個人和企業自願共享數據,並統一某些公共部門數據的使用條件,而不改變數據的實質性權利或既定的數據訪問和使用權限。《數據法案》(草案)還補充了《數字市場法案》的提案,該法案將要求某些被確定為「守門人」的核心平台服務提供商,為通過業務和最終用戶活動產生的數據提供更有效的可移植性。
(3)主要內容
《數據法案》(草案)條文涉及數據共享、數據持有人義務、公共機構訪問、針對非個人數據的國際傳輸、雲轉換和互操作性等諸多方面等規定,監管對象主要為歐盟市場上銷售產品的製造商和數字服務提供商,以及此類產品或服務的用戶,數據處理服務提供商等。
《數據法案》(草案)提出,在安全、數據保護和隱私以及消費者保護方面,應維護(但不限於)歐盟法律、價值觀和標準。為了防止非法訪問非個人數據,受該法案約束的數據處理服務提供商,如雲和邊緣服務,應採取一切合理措施,防止訪問存儲非個人數據的系統,包括酌情通過數據加密、頻繁提交審計、驗證是否遵守相關安全保證認證計劃以及修改公司政策。
《數據法案》規定了用戶可以在不同數據處理服務提供商之間進行服務切換的權利,以及數據處理服務提供商向境外傳輸非個人數據的義務。一是消除了在數據處理服務提供商之間進行有效切換的技術、組織、合同等方面障礙;二是明確了數據處理服務提供商跨境傳輸非個人數據的相關要求,如數據處理服務提供商應採取一切合理的技術、法律和組織措施,包括合同安排,以防止國際傳輸或政府訪問在其自身在歐盟境內持有的非個人數據。
德國:從中央到地方、從一般到專門
一、 立法總體情況
在世界範圍內,德國一直是數據保護方面的「模範生」。德國最早通過明確立法對數據進行嚴格保護,已建成從中央立法到地方立法、從一般立法到專門領域立法的全方位數據保護法律體系框架,這個體系在世界範圍內同樣具有領先性。同時,德國在數據保護領域長期致力於歐洲法律一體化的協調發展,深刻影響了歐洲乃至全球的數據立法進程。近年來,德國對電子監控、個人信息存儲、電子辦公、工業互聯網、視頻會議等新興技術發展帶來的挑戰予以高度關注,通過細化法律形式,強化數據安全風險管理。
二、 重點法律解析
01 德國《聯邦個人信息保護法》
(1)定位
1976年,德國聯邦議會通過的《聯邦個人信息保護法》,是大陸法系國家最有代表性的一部個人信息保護專法。該法的正式名稱是《防止個人信息處理濫用法》,採取統一立法模式,對個人信息保護進行統一規範、統一保護。
(2)特點
《聯邦個人信息保護法》以憲法和民法為理論基礎,憲法基礎是信息自決權理論,民法基礎是一般人格權理論,其目的是在個人信息處理過程中對個人隱私給予統一而充分的保護,使個人信息處理行為合法化。
在民法基礎方面,海洋法系和大陸法系主張不同。海洋法系的代表國美國認為,隱私權是個人信息保護的理論基礎,美國個人信息保護法直接以隱私權命名;而德國認為,依據《德國民法典》,一般人格權是保護個人信息的基礎權利。
(3)主要內容
個人信息保護原則是《聯邦個人信息保護法》的核心內容。該法建立了完備的原則體系:直接原則、更正原則、目的明確原則、安全保護原則、公開原則、限制利用原則等。
《聯邦個人信息保護法》對監督機製做出了完整而系統的規定。該法設置個人信息保護委員監督公務機關處理個人信息的情況。同時,還設置信息保護人對非公務機關處理個人信息的情況進行監督。信息保護人由各單位自行任命,以具備必要的專業知識和良好的品行為任命的基本條件。
損害賠償制度是《聯邦個人信息保護法》的權利救濟措施,也是個人信息主體本人補救權利的最終途徑。該法將個人信息的侵權行為分為兩大類,即行政侵權行為和民事侵權行為。該法對兩種侵權行為發生的損害賠償進行了明確的區分,分別規定不同的歸責原則和賠償範圍。
《聯邦個人信息保護法》對於跨國傳輸有明確規定。跨國傳輸是指德國國家機關將其個人信息傳輸給外國(或地區)的國家機關或非國家機關(包括國際組織),而不論這些機構是否在德國境內。而國家機關向非國家機關傳輸個人信息,應滿足兩個要件:第一,傳輸行為是國家機關履行職務的行為,且具備個人信息的利用要件;第二,個人信息接收者對要求傳輸的個人信息有正當利益,且個人信息主體沒有值得保護的利益足以禁止傳輸實施。這也是德國信息保護法個人信息跨國傳輸的基本條件。
02 德國《聯邦數據保護法》
(1)定位
1977年,德國聯邦議會出台《聯邦數據保護法》,該法在自出台至今的幾十年間經歷了多次修正。2019年11月德國議會對《德國聯邦數據保護法》進行距今為止的最後一次修訂。作為德國數據保護法律體系中最重要的一部法律,該法在德國個人數據保護事業中發揮重要作用。《聯邦數據保護法》一直貫徹個人信息自決權理論,通過規定個人信息的知情權、修改權、同意權、披露權及使用權等一系列權利,不斷強化個人對個人信息的控制。
(2)特點
《聯邦數據保護法》旨在通過數據保護實現一般人格權的保護,同時強化個人信息自決權理論,這意味着德國將個人數據保護的法律站位上升到落實憲法(即《德國基本法》)的高度而不是簡單的政府執法工作。該法使德國數據保護法律制度與歐盟2016年頒佈的《通用數據保護條例》(GDPR)和《關於有權機構在預防、調查、偵察或批捕犯罪嫌疑人或執行刑事處罰中自然人保護和有關數據自由流通的指令》相互銜接。
(3)主要內容
法律主旨優先處理歐洲法而非國內憲法。舊版《聯邦數據保護法》指出該法目的在於保護人格權在個人數據處理過程中不受侵害。但是,新版《聯邦數據保護法》刪除了法律目的這一款,意味着在《聯邦數據保護法》中更加優先處理歐洲法而非國內憲法,但個人權的保護仍是基礎。
保護的直接客體並非一般意義上的數據,而是與個人具有關聯性的個人數據。按照舊版定義,個人數據是指與一個已識別或可識別的自然人具有個人化或實質化關聯的各種具體數據。新版《聯邦數據保護法》刪除了對個人數據的定義條款,但是「個人數據」這一概念仍然是該法自始至終所使用的基本概念。
立法目標和保護客體決定了該法保護權益的特殊性。該法出台前,立法材料中明確提到,鑒於技術的進步,立法應當採取適當措施保護數據處理過程中個體的私人領域不受侵犯,即:一般人格權在私生活領域的具體化。隨着社會發展,在自動化數據處理的現代條件下,人格的自由發展取決於個人有權對抗對其個人信息無限制的搜集、儲存、使用與傳送,即:個人信息自決權理論。這一轉變意味着德國將保護個人數據上升到憲法基本權利加以確證。
明確侵犯公民個人信息自決權行為的犯罪構成要件和罰則。在GDPR生效後,為實現歐洲法律的協調化發展目標,該法對罪刑條款大幅度修正。規定在未經授權的情況下,以營利的方式,故意將非開放的個人數據傳輸給第三方或通過其他方式使其開放,處3年以下自由刑或罰金刑。
03 德國《IT安全法》
(1)定位
2021年5月28日,德國聯邦議院頒佈《IT安全法》2.0版本,旨在保護重要基礎設施數據安全,通過彌補法律漏洞並擴大監管框架,以提高德國IT系統的安全性,並加強國家安全。
(2)主要內容
擴大聯邦信息安全辦公室(BSI)的權限。包括以技術調查的形式對路由器、智能電視等在內的IT產品進行擴展篩選,以確保產品的安全性;從電信服務提供商處提取數據信息,以確定網絡攻擊的受害者,並為防禦此類攻擊提供有效支持。存儲日誌數據的時限可延長到最多18個月。
加強對數字消費者的保護。通過「自願性IT安全標籤」等手段,推動與安全相關的IT產品的透明度,特別是保證消費領域產品的IT安全功能可以被消費者看到和理解。
擴展關鍵基礎設施範疇。關鍵基礎設施行業新增「廢物處理」為關鍵基礎設施部門;擴展相關性實體,將「具有特殊公共利益的基礎設施」和「具有網絡關鍵性」的運營商納入進來。
新增製造商、供應商和關鍵基礎設施部門的義務。該法規定,關鍵基礎設施部門運營商需安裝技術防範系統,以監測對其IT基礎設施的攻擊。BSI將在未來明確定義關鍵基礎設施核心部件的最低標準,關鍵基礎設施行業將只能採購並安裝以發佈「可信聲明」的製造商組件。
對跨國傳輸要求設置官方查詢聯絡點。對於住所在國外、因而將數據存儲在國外服務器上的供應商,向德國提供服務時,需在德國設立一個官方查詢聯絡點。
對有關罰款的規定進行修訂。加大對計算機相關犯罪和數據保護相關犯罪的處罰力度,並修訂罰款目錄。根據違法行為,罰款金額最高可達2000萬歐元,或占公司上一營業年度全球總營業額的4%,以較高者為準。
04 德國《聯邦數據戰略》
(1)定位
2021年1月,德國政府發佈《聯邦數據戰略》,該《戰略》旨在增加商業、科學、社會和行政管理領域中數據的收集和使用,增強數據安全保障能力,使德國成為歐洲數據共享和創新應用領域的領導者。
(2)主要內容
《戰略》確立了四大行動領域,分別為:構建高效且可持續的數據基礎設施;促進數據創新並負責任地使用數據;提高數據能力並打造數據文化;使德國成為數據先驅。
(a)構建高效且可持續的數據基礎設施:德國和歐洲必須確保在相關標準制定過程中的發言權,以增強數字主權。此外,只有在數據基礎設施可靠,能保證數據安全性的情況下,數據生態系統的參與者才願意共享和使用數據。
(b)促進數據創新並負責任地使用數據:德國聯邦政府將創造恰當的框架條件,使政府、社會、產業界和科學界可以負責任且可持續地使用和共享數據,使其成為數字創新的核心組成部分。
(c)提高數據能力並打造數據文化:《戰略》提出,發起國家數字化教育行動,提供有關數字化主題的教學,並逐步連接各個聯邦州的教育系統;藉助教育與研究部「中小企業創新產品和服務研究」資助措施,幫助德國企業開發新型數字化產品和生產系統解決方案等。
(d)使德國成為數據先驅:德國在聯邦公共行政研究院中建立數字學院,提高聯邦公務員的數字能力和基於數字的行政管理能力;聯合聯邦外交部、內政部、國防部和總理府構建聯邦政府內部數據平台,使各個部門以標準化的格式共享數據。
英國:以法典、判例法、二級成文法為基礎
一、 立法總體情況
英國數據保護制度的建立是西方社會近百年來對於個人隱私權理論發展和延伸的產物。因此,在歐盟數據保護的法律框架影響下,英國對個人數據和隱私的立法保護,以成文法為立法核心,逐漸形成由法典、判例法、民間實踐、二級成文法和執法機構組成的數據保護制度體系。
二、 重點法律解析
01 英國《數據保護法》
(1)定位
1984年, 英國議會通過的首部《數據保護法》,是英國推動發展數字經濟頂層設計中的重要舉措。該法提出個人數據保護的基礎性原則, 禁止數據主體未經註冊持有個人數據,設立數據保護登記官和數據保護法庭,分別作為法令執行的監管機構和申訴機構。
(2)特點
維持可信。為使英國經濟和社會能最大程度地從數據創新中獲益,公眾需要知道個人數據是否被安全且合理利用。因此,該法要求有關機構在使用個人信息時必須嚴格保密。
推動未來貿易發展。數據跨境流動能力對一國未來經濟運行至關重要,新的數據保護法案致力於推動英國與歐盟及其他國家之間數據流動最大化。
確保安全。新法案將採取措施應對各種犯罪行為的威脅,促進各國司法機構之間的數據共享與安全合作。
(3)主要內容
新法案給予公民更多的個人信息控制權,如「知情-同意」權、數據可攜權、被遺忘權、用戶畫像的發言權等。
完善了對企業利益的保護。新法案修改和完善了1998年《數據保護法》對於公、私企業的相關要求,以適應數字經濟發展的需要,幫助企業更好地保護個人數據,提升企業的聲譽和業務。
增加對監管機構ICO的授權。英國個人數據保護機構信息專員辦公室(ICO)獲得更多的權力來維護消費者利益,包括調查權、民事處罰權、刑事追責等。同時,強化對違法行為舉報人的保護,對最嚴重的違規行為進行高達1700萬英鎊或全球營業額4%的罰款。
為刑事司法機構設定了專門的數據保護框架。新法案考慮到刑事司法機構為處理懲治犯罪行為而需要收集、使用、分享數據和信息的情形,為其量身定做了出於執法目的而處理數據的框架。
02 英國《隱私與電子通信條例》
(1)定位
2003年, 英國議會通過《隱私與電子通信條例(PECR)》, 要求電子通信服務商保護終端用戶信息, 由信息專員負責監督執行。該條例是英國對歐盟《電子隱私指令(指令 2002/58/EC)》的落地實施,同英國《數據保護法》和英國GDPR並駕齊驅,賦予公民在電子通信方面享有隱私權,保護消費者免受信息濫用和潛在網絡犯罪的危害。
(2)特點
該條例將大規模使用的網絡即時通訊服務納入法律的監管範圍之中,使得民眾和企業之間的權利與義務更為明晰,在保護用戶隱私的基礎上,更好的促進相關行業的發展。
(3)主要內容
該條例是一項數據隱私法規,與GDPR一樣,規定企業在未經個人數據主體同意的情況下可以進行和不能進行的營銷活動,對於企業該如何處理個人和公司數據給出指引。簡而言之,該條例適用於至少執行以下一項的所有組織:通過電話、電子郵件、短訊或傳真進行營銷;在網站上使用cookie或類似技術;編製電話簿(或類似的公共目錄);網絡或通信服務提供商。PECR和GDPR兩項法規相輔相成,但二者又存在顯著差異:GDPR要求在72小時內報告違規行為,而PECR要求24小時;與GDPR不同,PECR除適用於個人外,還適用於其他組織。
03 英國《網絡和信息系統安全法規》
(1)定位
2018年5月10日生效的《網絡和信息系統安全法規》,是歐盟2016年7月6日頒佈的《網絡和信息系統指令》的英國版,是英國第一個以網絡安全為重點的跨領域監管條例,在實現英國國家網絡安全方面發揮着關鍵作用,旨在提高網絡和信息系統的安全水平(包括網絡和物理彈性),以保障基本服務和數字服務。
(2)主要內容
明確法規的適用範圍:該法規適用於兩類主體,一類為英國能源、交通、健康和數字基礎設施部門的基本服務運營商(OES);另一類為數字服務提供商(DSP)。二者必須採取適當相稱的技術和網絡安全對策,以管理其基礎服務或數字服務所依賴的系統風險。該條例不適用於被視為「微型或小型企業」的DSP(僱用少於50人且年營業額和/或資產負債表總額低於1000萬歐元(約870萬英鎊)的組織)。
細化責任主體法定義務:OES和DSP必須採取措施,保障網絡和信息系統安全,具體包括:評估風險,預防和盡量減少安全風險事件的影響,且及時向有關當局報告安全風險事件;開展業務連續性管理,監控和測試過程和程序是否符合國際標準。
規定「重大」事件的評判標準:該法規規定組織不得遲於72小時,向其主管當局報告「重大」事件。對於OES ,在確定事件是否為「重大」時必須考慮三個因素:受中斷影響的用戶數量、中斷的持續時間、受事件影響的地理區域大小。對於DSP,以下情況將判定為重大事件:事件導致超過500萬用戶服務不可用;影響超過100000名用戶的網絡或信息系統訪問的數據失去機密性、完整性、可用性或真實性;對公共安全或生命損失的風險;或者對至少一名用戶造成的財產損失超過100萬歐元(約合86萬英鎊)。
明確合規性評估部門:國家網絡安全中心 (NCSC) 是英國的國家技術機構,負責提供網絡安全方面的建議和協助,為其計算機安全事件響應團隊 (CSIRT) 提供技術建議和單點聯繫 (SPOC)。
04 英國《通用數據保護條例》
(1)定位
由於英國在2020年底離開歐盟,不再受《通用數據保護條例》管轄。因此,該國需要一部新的法規保障公民個人數據權利,英國GDPR由此誕生。英國GDPR是英國通用數據保護條例,於 2021年1月1日生效,涵蓋了英國處理個人數據時的主要原則及權利和義務,並與2018年《數據保護法》並列,適用於向英國個人提供商品和服務和/或監控英國任何個人行為的任何組織。
(2)主要內容
明確適用範圍:該法規適用於英國的數據控制者或數據處理者處理的個人數據;英國 GDPR也適用於不在英國設立的數據控制者或數據處理者,處理英國的個人數據(向英國的數據主體提供商品或服務,或正在監控數據主體的行為,其中這種行為發生在英國)的情況。
銜接歐盟GDPR對於數據控制者的要求:英國GDPR延用歐盟GDPR數據保護的原則,這些數據原則包括透明度、目的限制、存儲限制、數據最小化、準確性、完整性和保密性以及問責制。
規定數據主體的權利:英國GDPR下數據主體的權利與歐盟GDPR賦予數據主體的權利大致相似,包括知情權、訪問權、更正權、刪除權、數據可移植性、不受自動決策影響的權利以及反對或選擇退出的權利。但英國GDPR對於部分內容做了更改:訪問權——訪問數據主體的個人數據將「影響公司金融工具的價格或相關行動決定」或「損害英格蘭銀行特定職能」的情況不允許數據主體訪問;更正權——「損害旨在保護公眾的特定功能」或「與披露個人數據的法定義務相悖」等情況不允許更正其個人數據。
英國GDPR對向第三方傳輸個人數據施加更多限制:根據法律,只有在出於執法目的而需要進行此類轉移時,才允許轉移;數據轉移活動應在第三方國家/地區充分的數據保護措施的前提下開展;或在其他適當的保護措施到位的前提下;或針對特定的特殊情況;或與第三方國家的相關當局或國際組織有關,例如履行執法相關職能的國際機構。
脫歐後重新制定罰則:英國需要一種新的方式,懲罰2020年脫歐後發現的違規數據控制者。因此,信息專員辦公室或ICO有權執行英國GDPR,罰則與歐盟GDPR類似。
05 英國《國家網絡安全戰略2022-2030》
(1)定位
2022年1月25日,英國政府正式發佈《國家網絡安全戰略2022-2030》。該戰略對英國政府如何確保公共部門有效應對網絡威脅進行闡釋,並描繪戰略願景,即確保政府核心功能對網絡攻擊具有韌性,強化英國作為主權國家地位,提升影響力,旨在打造一個民主、負責任的網絡強國。
(2)主要內容
該戰略的支柱由五個目標支撐:設定了在網絡彈性方面需要考慮的維度,提供可應用於整個政府的一致性框架和共同語言。包括:管理網絡安全風險、防範網絡攻擊、檢測網絡安全事件、將網絡安全事件的影響降至最低、培養正確的網絡安全技能知識和文化等。
明確階段發展目標:當所有政府組織滿足網絡安全保障框架下相應網絡評估框架(CAF)配置文件中規定的結果時,該戰略的目標將得以實現:到2025年,被確定負責關鍵職能的政府機構將「增強」達到CAF簡介中規定的成果;到2026年,所有中央政府部門都將達到CAF簡介中規定的成果;到2030年,所有其他政府機構將「基本」達到CAF簡介中列出的成果。
06 英國《數據改革法案》
(1)定位
當地時間2022年5月10日,英國舉行國家議會開幕式,英國王儲查爾斯王子在演講中,公布了一項新的《數據改革法案》,旨在指導英國獨立於歐盟隱私立法。該法案將用於改革英國現有的《通用數據保護條例》和《數據保護法案》。
(2)主要內容
該法案提出,藉助英國脫歐,創建一個世界級的數據權利制度,從而建立一個新的有利於增長和值得信賴的英國數據保護框架,以減輕企業負擔、促進經濟發展、幫助科學創新並改進英國人民的生活;對信息專員辦公室 (ICO) 進行現代化改造,確保其有能力和權力對違反數據相關立法的機構採取更有力的行動,同時要求其對議會和公眾更加負責;增加行業對智能數據計劃的參與度,使公民及小企業對他們的數據有更多的控制權,並通過幫助改善在健康和社會護理環境中個人數據主體對數據的適當訪問來幫助需要醫療保健的人。
同時,該法案指出,通過減輕英國企業所面臨的負擔提高其競爭力和效率,例如建立一個注重隱私結果的數據保護框架;通過更有效地提供公共醫療保健、安全和政府服務,確保數據可用於賦予公民權利並改善他們的生活;為個人數據使用創造更清晰的監管環境,推動負責任的創新並推動科學進步;確保監管機構對違反數據權利的組織採取適當行動,並確保公民對其權利有更明確的認識;簡化研究規則,以鞏固英國作為科技超級大國的地位。
法國:確定「數字主權」的戰略性地位
一、 立法總體情況
法國作為最早開發網絡技術的國家之一,其互聯網已經十分普及。互聯網的快速發展,凸顯了網絡管理的重要性。法國致力於保障個人信息的安全,并力求通過立法的形式來治理數據安全問題。
1978年,《信息技術與自由法案》制定,這部法律是法國保護數據安全的起源法律之一。該方案明確闡述了信息技術發展與信息安全的關係,即:「信息技術應該為每個公民服務。它的發展應在國際合作的背景下進行。它不得侵犯人的身份、人權、隱私及公共自由等。」在該法律的基礎上,法國的《個人數據保護法》及《數據保護法》分別在2018年末生效和發佈,根本目的在於保障法國的個人數據和重要數據的安全。
1994年,為適應國際戰略形勢的變化,法國發表了冷戰後的第一部國防白皮書,並把網絡信息攻擊視為未來15 年最大的威脅之一,在此基礎上,法國分別於2008年和2015年相繼推出了《信息系統防禦與安全:法國戰略》和《法國國家數字安全戰略》,體現出了法國對網絡信息防護的重視。2018年2月發佈的《網絡防禦戰略評論》更是明確提出了「『數字主權』是國家主權的組成部分」,數據安全的地位上升到新的戰略高度。
二、 重點法律解析
01 法國《信息技術與自由法案》
(1)定位
法國1978年制定的《信息技術與自由法案》涉及個人數據保護,也是這是法國數據保護的起源法律之一。2004年8月6日在「保障個人信息安全」方面有所修訂。
(2)特點
該方案明確闡述了信息技術發展與信息安全的關係,即:「信息技術應該為每個公民服務。它的發展應在國際合作的背景下進行。它不得侵犯人的身份、人權、隱私及公共自由等。」
(3)主要內容
該方案提出了數據跨境的前提:如果作為數據接收方所在國家的非歐洲共同體成員國家,在實際或可能處理的個人數據方面,沒有為個人隱私、自由和基本權利提供足夠的保護,則數據控制者不得將個人數據傳輸到非歐洲共同體成員國;國家提供保護的充分性應特別考慮到該國現行規定和該國適用的安全措施,以及數據處理的具體特徵,包括其目的和持續時間、數據性質、數據來源、目的地等特徵。
以及不滿足前提的情況下,依然可以進行數據跨境的例外條件,如:以保護數據主體的生命為目的;以保護公共利益為目的;為履行法律義務,確保法定權利的正常行使;依據法定條件,將信息錄入公共登記冊,並根據立法和監管規定,信息所錄入的登記冊本身旨在供公眾參考,且公開供公眾諮詢或由任何證明合法利益的人使用;履行數據控制者與數據主體之間的合同,或為響應數據主體的要求而採取的合同前措施;在數據控制者與第三方之間訂立或履行合同,無論是為了數據主體的利益而訂立或將要訂立的合同。
02 法國《國家安全與防務白皮書》
(1)定位
白皮書是法國發佈其國家安全和軍事戰略的重要途徑。1994年,為適應國際戰略形勢的變化,法國發佈了冷戰後的第一部國防白皮書。時隔十餘年後,法國對國際安全戰略形勢做出了新的判斷。2008年6月17日,法國政府正式發表《國家安全與防務白皮書》。這是一份反映法國國家安全戰略和軍事戰略發展的重要文件。該白皮書對冷戰後尤其是21世紀的世界形勢做出了新的判斷,並在此基礎上提出了法國主要國家安全戰略,明確了法國的歐洲防務政策和北約政策,並確定法國國防發展的方向和原則。
(2)特點
《法國國防與國家安全白皮書》首次將網絡安全提升到國家安全的層面,把網絡信息攻擊視為未來15 年最大的威脅之一,強調法國應具備有效的信息防衛能力,對網絡攻擊進行偵查、反擊,並研發高水平的網絡安全產品。
(3)主要內容
白皮書提出要以更全面的眼光考察國家安全問題,以更全面的方式考慮法國的安全利益,而不是僅局限於防務問題。它將國家安全戰略定義為旨在消除「所有可能對國家生存造成損害的危險和威脅」的戰略。國家安全領域包括防務政策,但並不局限於此。國家的其他政策,如對外政策和經濟政策也將直接服務於國家安全。
03 法國《信息系統防禦與安全:法國戰略》
(1)定位
2008年發佈的《國防和國家安全白皮書》(簡稱「《白皮書》」)認為,未來十五年間,法國面臨的威脅主要源於針對國家信息基礎設施的大規模黑客攻擊。這一判斷促使法國政府做出大幅加強國家網絡防禦能力的決定。2009年成立的國家信息系統安全局(ANSSI)正是履行該承諾的第一步。該文件(於2011年2月頒發)中陳述的信息系統防禦和安全方面的國家戰略,正好體現了《白皮書》中蘊含的雄心壯志,該文件也是基於《白皮書》的落實和延伸。
(2)特點
戰略明確四個戰略目標:成為網絡防禦的世界級強國;通過保護主權信息,確保法國決策自由;加強國家關鍵基礎設施的網絡安全;確保網絡空間安全。
(3)主要內容
戰略提出七項基本工作:提前準備並分析環境,以便做出合理決定;檢測並阻止攻擊,警告並實時監控可能的受害者;提高和保持科研、技術、工業和人力資源能力,以便維持必要的自主性;保護國家信息系統和關鍵基礎設施運營商,以便獲得更好的國家抗擊強度;修訂我們的法律以適應技術變革和新用途層出不窮的趨勢;在信息系統安全、打擊網絡犯罪和網絡防禦等方面開展國際合作,以便更好地保護國家信息系統;溝通、告知和說服,以便法國人能夠採取措施應對與信息系統安全相關的挑戰。
04 法國《法國國家數字安全戰略》
(1)定位
2015年10月19日,法國總理ManuelValls親自簽署並發佈新版《法國國家數字安全戰略》(FrenchNationalDigitalSecurityStrategy),該《戰略》反映了當前和未來法國對網絡空間和數字安全的核心主張和總體安排。《法國國家數字安全戰略》是法國數字轉型時期的一個重要標杆性戰略,體現出法國將數字安全作為保障和推動國家經濟、政治和社會發展的關鍵戰略布局。該《戰略》不僅契合了法國和歐盟的重大現實需要,也對全球各國的網絡安全和信息化發展具有良好的借鑒意義。
(2)特點
《戰略》強調法國應當發展必要的科學技術和產業能力,保護信息主權和數字安全,尤其應當在數字安全領域實現自主發展,並在國際舞台上獲得更大影響力。具體舉措包括通過產業政策和政府採購推動法國和歐洲安全產品和服務的發展,加大法國數字產品和服務的國際宣傳力度,推動法國和歐盟作為該領域產品不可或缺的全球利益相關者脫穎而出,在網絡空間青少年意識教育和保護婦女兒童方面成為國際標杆,推動《布達佩斯網絡犯罪公約》的發展進程和全球適用,加強法國在國際網絡安全討論中的參與度和影響力,協助歐盟以及其他國家建立網絡安全能力,促進全球網絡空間的穩定。
(3)主要內容
該《戰略》目標鎖定了五大領域,這五個領域的主線分別是涉及法國國家根本利益相關的關鍵基礎設施和重要信息系統安全;與法國核心價值觀直接相關的言論自由、數據安全與隱私保護;法國數字安全的素養和教育,法國數字安全技術和產業發展;以及法國數字安全在歐盟和國際上的布局。雖然五大領域涉及面廣,但是《戰略》內容具體務實,不僅有理念性和原則性戰略方向,還對應了具體的計劃、方法、項目和實施主體,且保持了與之前相關戰略、政策、法律的延續性,具有較強的指導性和可操作性。
05 法國《網絡防禦戰略評論》
(1)定位
2018年2月,法國國防和國家安全總秘書處(SGDSN)發佈《網絡防禦戰略評論》(Revue strategique de Cyberdefense),該報告提出法國網絡防禦模式,分析其特點,提出六項任務及網絡防禦的四大操作鏈。
(2)特點
該文件明確提出「數字主權」是國家主權的組成部分。該報告針對全球互聯網巨頭大量非法佔有、壟斷數據財富正式提出「數字主權」概念,稱數字主權是國家主權的重要組成部分,是法國維護網絡安全,保護其自主決策和行動能力的重要保障。報告指出,面對不斷增長的社會數字化產生的新威脅,法國必須維護其行使主權的權利。
(3)主要內容
法國的網絡防禦模式將進攻能力和防禦能力區分開來,通過將網絡保護的任務和手段與情報和進攻行動的目標區分開來,加強了國家對政府和經濟領域的信息系統安全的干預,重點領域分工,尊重個人隱私,允許私人行為者與負責網絡保護的國家服務之間建立信任關係。而且法國網絡防禦模式共有六項任務,包括預防、預測、保護、監測、歸因、應急響應(補救措施、犯罪懲罰及軍事行動)。
06 法國《個人數據保護法》
(1)定位
法國《個人數據保護法》於2018年11月7日生效,該法案系法國落實歐盟《通用數據保護條例》的立法舉措,目的在於保護公民的個人數據信息安全。
(2)特點
為避免個人信息數據被濫用,該法擴展了數據控制者和運營商的審查義務,數據控制者和運營商除要遵守「避風港規則」外,還應對特定文件作備案登記,對數據使用人的高風險活動進行事前審查,對重要的數據信息作加密處理等。此外,如數據控制者和使用者係為了社會公共利益而使用數據信息的,相關部門可另行制定規定,明確合理使用的範圍。
(3)主要內容
該法提出,滿足以下條件時,個人數據的控制者可以傳輸數據到非歐盟國家:適用於為預防、調查、偵查或起訴刑事犯罪或執行刑事處罰而進行的個人數據處理;如果個人數據來自另一個國家,且傳輸數據的國家已根據其國內數據相關法律法規的有效授權進行數據傳輸;一項具有法律約束力的文書,證明為個人數據的保護提供了保障;或者沒有此類決定或文書的情況下,數據控制者已評估數據轉移的所有情況,並認為存在有效的保障措施。(由於字數限制,法國《數據保護法》等政策的相關內容解讀請詳見該報告PDF版)
意大利:隱私成為「電子公民身份」的基本組成
一、 立法總體情況
意大利對個人數據保護源於早期的隱私權概念,並上升到了人權高度。意大利1947年憲法第二條規定,「共和國無論對個人還是對表現其個性的社團成員,均承認並保障其人權之不可侵犯,並要求履行政治經濟和社會團結方面的不可違背的義務。」在意大利憲法的基礎上,1996年,意大利以第675號法令通過了《數據保護法》,將隱私保護視為更大整體的一部分,即:個人數據的處理應「尊重自然人的權利,基本自由和尊嚴,特別是在隱私和個人身份方面」。因此,隱私成為「電子公民身份」的一個基本組成部分。
2003年,在意大利憲法和《數據保護法》等法律法規的基礎上,國會制定通過了《意大利個人數據保護法典》。提出了「每個人都有權保護與自己有關的個人數據」的個人數據保護基本原則,以及「確保在處理個人數據時尊重數據主體的權利、基本自由和尊嚴,特別是在保密、個人身份和個人數據保護權方面」的法規義務。後面的《電子商務法》和《消費者法典》則是適應於不同場景的個人數據保護。
國家戰略方面,2013年,意大利發佈了《國家網絡空間安全戰略框架》(National Strategic Framework for Cyberspace Security)。戰略涵蓋了對國家安全、因為網絡安全問題而對經濟帶來危害的描述,對意大利網絡安全能力的評估,公共和私營部門作為利益相關方在網絡安全中的責任劃分。而與之相配套的《網絡空間保護及ICT安全國家計劃》確定了具體的戰略和業務目標。這兩份重量級戰略文件與意大利的數字議程結合在一起,有效推動了該國的數字經濟發展。
二、 重點法律解析
01 意大利《共和國憲法》
(1)定位
意大利共和國憲法是在1947年12月22日的制憲會議大會上通過的。憲法是國家的根本大法,是特定社會政治經濟和思想文化條件綜合作用的產物,它集中反映各種政治力量的實際對比關係,確認革命勝利成果和現實的民主政治,規定國家的根本任務和根本制度,即社會制度、國家制度的原則和國家政權的組織以及公民的基本權利義務等內容。
(2)特點
1947年憲法第二條規定:「共和國承認並保障人類不可侵犯的權利,不管是作為個體還是作為在發展其人格的社會結構中,並且要求履行在政治、經濟和社會共同體中不可推卸的義務。」這是意大利早期的「人權」。隨後,在該法所確立的「人權」基礎上,進一步衍生出「隱私權」,並進而產生了「個人數據保護」的概念。
(3)主要內容
該憲法指出:意大利是以勞動為基礎的民主共和國,其主權屬於人民,人民在憲法所規定的形式和範圍內行使主權;共和國無論對個人還是對表現其個性的社團成員,均承認並保障其人權之不可侵犯,並履行其在政治經濟和社會團結方面的不可違背的義務。
02 意大利《數據保護法》
(1)定位
1996年,意大利以第675號法令通過了《數據保護法》,確立了個人數據保護權,並將其作為一項單獨的法定權利。
(2)特點
意大利數據保護法(1996年12月31日第675號)將隱私保護視為更大整體的一部分,即:個人數據的處理應「尊重自然人的權利,基本自由和尊嚴,特別是在隱私和個人身份方面」。因此,隱私成為「電子公民身份」的一個基本組成部分。
(3)主要內容
意大利《數據保護法》指出,正在被處理的個人數據應受到保存和控制,同時也考慮到其性質和處理的具體特徵,通過適當的安全措施,將其破壞或丟失(即使是偶然的)未經授權訪問數據或被非法處理或以與數據不一致的方式處理的風險降至最低。此外,該法規也指出了個人信息處理的基本原則:合法和公平地處理;出於特定、明確和合法的目的收集和記錄,並以不與所述目的相抵觸的方式用於進一步的處理操作;準確無誤,並在必要時保持最新狀態;與收集或隨後處理的目的有關且不超過法定的限度;以允許識別數據主體的形式保存的時間不超過收集或隨後處理數據的目的所需的時間。
03 意大利《個人數據保護法典》
(1)定位
進入二十世紀以來,為了落實歐盟數據保護規則改革,意大利也迅速做出立法調整。2003年,國會制定通過了《個人數據保護法典》,將關於個人隱私保護和個人數據保護的規定都集中到該法典之中。隨着情勢的變更,該法典也在不斷地修正完善。
(2)特點
該法典提出「每個人都有權保護與自己有關的個人數據」的個人數據保護基本原則,以及「確保在處理個人數據時尊重數據主體的權利、基本自由和尊嚴,特別是在保密、個人身份和個人數據保護權方面」的法規基本目的。
該法案提出了最小化原則:信息系統和軟件應該最小化配置個人數據的使用和識別,基於數據處理方式,如果個人數據處理需求通過使用匿名數據或合適的安排可以實現,則「允許識別數據對象」的數據處理模式只應在必要的情況下使用。
(3)主要內容
法典提出,在以下情況中個人數據可以合法的跨境傳輸:
1)數據主體已明確同意,如果涉及敏感數據,需以書面形式表示同意;
2)如果傳輸對於數據處理者而言是作為合同主體的一方履行其合同義務所必須的,或者在簽訂合同之前應個人數據主體之要求而採取措施,或為了簽訂或履行以個人數據主體的利益而簽訂的合同;
3)數據傳輸對維護法律或法規所提及的重大公共利益是必要的;
4)如果數據傳輸對於保護第三方的生命健康是必要的。如果此目的涉及特定個人數據主體,且該特定個人數據主體無法授權同意,則可以由能夠合法代理數據主體的實體或直系親屬、家庭成員,與數據主體同住的人,或者其他相關人代為授權同意;
5)如果數據傳輸對辯護律師進行調查是必要的,或者是為了確立或辯護法律索賠(前提是該數據僅為上述目的而轉移,並且不超過適用於商業和工業保密的現行立法所需的時間);
6)如果數據傳輸是應查閱行政記錄或公開提供的登記冊、清單、記錄或文件所載信息的請求而進行的,則按照適用於這一標的物的規定進行;
7)如果數據傳輸是必要的,比如完全出於科學或統計目的、或僅用於歷史目的等;
8)如果數據傳輸涉及到法人、機構或協會相關的數據。
04 意大利《電子商務法》
(1)定位
2003年第70號法令通過的《電子商務法》,目的是制定電子商務框架,明確建立了電子商務領域使用的數據保護強制性規則。
(2)特點
法令第16條免除了「信息侵權」的賠償責任,條件是提供者:
1)「不了解活動或信息是非法的,並且,關於損害賠償訴訟,不了解使活動或信息的非法性顯而易見的事實或情況;
2)立即採取行動,在與主管當局進行適當溝通且知道此類事實後,立即刪除信息,或禁止訪問此類信息」。
(3)主要內容
法令指出,供應商必須以清晰、可理解和明確的方式通知其他各方如何保留和存檔合同。在向消費者發送合同摘要之前,供應商必須向他們提供此信息。上述合約應以持久格式存儲。此外,法令指出,為了使「點擊包裝」合同有效,提供商必須發送交易相關信息供消費者確認,包括:適用於合同的一般和具體條件的摘要;所提供商品或服務的主要特徵的詳細信息;有關價格,付款方式,交付成本,稅收以及消費者悔改和撤回的權利的詳細信息,包括行使這些權利的條款和條件。
05 意大利《消費者法典》
(1)定位
2005年第206號法令通過的《消費者法典》,是保護消費者和用戶權利的基本參考法律。
(2)特點
該法典主要設定了涉及消費者數據保護的規則,反應了歐盟計劃的指導方針。
(3)主要內容
法典提出通過提高消費者的權益意識(教育和消費者信息)來加強對消費者和用戶的保護,並促進協會關係和集體行動工具的發展,從而提高消費者的法律地位(個人和集體層面)。
06 意大利《國家網絡空間安全戰略框架》
(1)定位
2013年,意大利發佈了《國家網絡空間安全戰略框架》(National Strategic Framework for Cyberspace Security)。戰略涵蓋了對國家安全、因為網絡安全問題而對經濟帶來危害的描述,對意大利網絡安全能力的評估,公共和私營部門作為利益相關方在網絡安全中的責任劃分。
(2)特點
目前的《國家網絡安全戰略框架》強調了網絡威脅的性質和不斷演變的趨勢,以及國家ICT網絡的脆弱性。它概述了參與網絡安全的公共和私人利益攸關方的角色和任務,並確定了工具和程序,以加強國家應對網絡空間帶來的新挑戰的準備。
(3)主要內容
該戰略提出了加強國家網絡防禦能力的六大指導方針:
1)增強所有與網絡安全相關的機構的技術、運營和分析能力,以利用國家能力對多維度網絡威脅進行分析、預防、緩解和有效應對;
2)加強保護關鍵基礎設施和戰略資產免受網絡攻擊的能力,同時確保其業務連續性並完全符合國際要求、安全標準和協議;
3)促進旨在積極推動保護國家知識產權和技術創新的所有公私夥伴關係;
4)在公民和機構中推廣安全文化,同時利用學術界的專業知識,提高用戶對網絡威脅的認識;
5)加強有效抑制網絡犯罪活動的能力,符合國家和國際規範;
6)全力支持網絡安全領域的國際合作,特別關注意大利作為其成員的國際組織及其盟國正在進行的舉措。
俄羅斯:法規和戰略雙重落實數據安全保護
一、 立法總體情況
俄羅斯數據與信息安全法規體系是以《俄羅斯聯邦憲法》為基礎的統一立法。1995年2月頒佈的《關於信息、信息化與信息保護法》首次提及公民個人信息,並予以法律保護,至2006年7月才正式頒佈《個人數據法》,聯合《國家秘密法》《俄羅斯聯邦安全法》和《商業秘密法》等法規構建起數據與信息安全法律制度體系。
俄羅斯國家數據安全制度體現在四個重要方面:信息安全貫穿俄羅斯國家數據安全始終,個人數據安全突出俄羅斯國家數據安全特點,網絡數據安全凸顯網絡安全與國家安全的密切關係,商業數據安全凸顯國家經濟安全。
二、 重點法律解析
01《俄羅斯聯邦憲法》
(1)定位
《俄羅斯聯邦憲法》頒佈時間為1993年12月12日,作為國家最高法律,載有信息安全法律框架的一般性基礎規則,即信息關係主體法律地位的關鍵要素。
(2)特點
《憲法》確立隱私權屬於公民憲法權利。人人享有私生活不可侵犯、個人及家庭秘密、保護自己的名譽和名聲的權利,「非經同意不允許收集、保管、使用和傳播個人的私生活信息」。
(3)主要內容
《俄羅斯聯邦憲法》共分為九章137條,第一章為憲法根本制度、第二章為人和公民的權利和自由、第三章為聯邦體制、第四章為俄羅斯聯邦總統、第五章為聯邦會議、俄羅斯聯邦政府、第七章司法權、第八章為地方自治、第九為憲法的修改和重新審議。
02 俄羅斯《信息、信息技術和信息保護法》
(1)定位
《信息、信息技術和信息保護法》頒佈時間為2006年(修訂前名稱為《信息、信息化和信息保護法》),是俄羅斯第一部關於數據與信息安全的聯邦法律,也是俄羅斯互聯網網絡安全和數據安全領域的重要立法。
(2)特點
1)本地化數據存儲。互聯網信息運營者需要在產生、傳播和處理數據的6個月內,將相關主體信息存儲到俄羅斯境內,包括文字、語音、圖像等信息。
2)信息可作為資產。信息資源是財產的組成部分和所有權的客體,明確了信息可為資產,其主體可以是公民、國家機關、地方自治機關或者機構及社會團體。
3)信息擁有者、信息系統運營者需要承擔的信息保護義務。數據處理許可及告知制度進行了規定:「非國家機構和私人從事有關個人資料處理和向使用者提供個人資料的活動應經過必需的特許(申請許可證,申領執照)。」
(3)主要內容
2006年《關於信息、信息技術和信息保護法》由俄羅斯聯邦議會審議通過,該法主要規定了整個信息立法系統的準則,以及包括信息安全的立法保護,調整了相關主體在進行尋找、獲得、傳遞、生產和傳播信息以及使用信息技術和進行信息保護時產生的法律關係,旨在保護公民免受惡意信息侵害的要求,並規定搜索引擎應排除在俄羅斯境內發佈該國所禁止的信息的網絡鏈接。俄羅斯可通過打造域名系統、自主地址解析系統、可信路由節點等措施,實現俄羅斯互聯網和本國數據的自主可控,減少對境外網絡的依賴。
03《俄羅斯聯邦個人數據法》
(1)定位
《俄羅斯聯邦個人數據法》頒佈時間為2006年7月27日,是個人信息保護領域重要法律,也是數據與信息安全法律制度體系中主要法律準則。
(2)特點
1)個人信息匿名化處理條件。個人信息的匿名化只能在獲得個人同意的情況下進行,或者在俄羅斯聯邦法律在個人數據領域中規定的其他情況下才能進行。
2)強化數據安全,保護數據主權。在跨境數據流動方面,實行嚴格管控制度,推行數據本地化制度其中包括隱私保護、維護網絡安全、便利執法等具體監管目標,並且要求開始跨境傳輸個人數據之前,處理者有義務確保在個人數據傳輸到的外國國家對個人數據主體的權利提供充分的保護。
(3)主要內容
2020年12月10日,俄羅斯聯邦會議國家杜馬發佈《俄羅斯聯邦個人數據法》修正案,進一步明確公共個人數據處理規則,旨在建立保護個人數據主體權利和自由的機制。
04《俄羅斯聯邦安全法》
(1)定位
《俄羅斯聯邦安全法》頒佈時間為1992年,是國家安全制度的基本法,也是安全法律體系的基石。
(2)特點
1)合規監管齊推進。俄羅斯聯邦主體的國家機關和地方政府在其職權範圍內確保俄羅斯聯邦在安全領域的立法的實施。
2)組建安全理事會。審議俄羅斯聯邦與外國的安全、國防組織、軍事建設、國防生產、軍事技術合作以及其他與俄羅斯憲法秩序、主權、獨立和領土完整有關的問題聯合會,以及安全領域的國際合作問題。
(3)主要內容
《俄聯邦安全法》分四章,共20條,第一章是總則部分,明確指出安全法適用於國家安全、公共安全、生態安全、人員安全、法律規定的其他安全活動的內涵和基本原則,確定了俄羅斯聯邦安全會議的地位、聯邦和地方權力機構的職能,第二章規定了國家權力機關、聯邦主體權力機關、自治地方和其他權力機關的職能和權限,第三章明確了安全會議的地位、性質、任務、職能、成員、書記、活動組織、決議,第四章規定了該法生效時間及相應失效的法律。
05 俄羅斯《商業秘密法》
(1)定位
《商業秘密法》於2004年7月29日頒佈,致力於保護企業、組織和機構數據權益。
(2)特點
1)國家秘密的數據信息應按照規定進行加密,根據其泄露後對俄羅斯國家安全造成的損害程度進行分級管理,接觸和使用國家秘密信息的機構和組織應按要求,採取必要的防護措施以確保相關數據信息的安全。
2)從事涉密信息保護手段/工具研發的企業,應具備相關資質。
3)企業、機構和組織取得相應的涉密信息使用許可證後,方可申請和使用涉及國家秘密的相關數據信息,並在使用過程中按照信息的保密級別採取相應的保密措施。
(3)主要內容
《國家秘密法》規範了商業秘密所有者的權利義務。明確指出列為商業秘密的相關數據信息受法律保護,任何第三方未經授權不得隨意訪問。國家相關權力機關(包括公共機構)為履行職責需要獲取此類信息,須出示相關主管機構負責人簽署的正式文件,文件應說明數據使用的具體目的,以及其申請獲取數據的法律依據。為確保涉及商業秘密的數據安全,該法規定,商業秘密所有者應根據《商業秘密法》及其他聯邦法律規定,及時建立相應的商業秘密保護制度,編製構成商業秘密的信息清單,採取必要的技術保護手段和方法,並明確相關數據的訪問、處理、存儲、對外發佈流程和條件。
06 俄羅斯《國家秘密法》
(1)定位
《國家秘密法》於1993年7月21日頒佈。活動範圍限制在軍事、對外經濟、偵察、反偵察和相關業務調查領域,進一步防止因國家機密保護活動可能對公民權限制的可能性。
(2)特點
規定了受保護信息載體的法律監管措施,對涉密信息的載體管理作出了明確規定,如:
1)如果載體是由不同密級的信息文件資料組成的,其每部分都應蓋有相應的密級印章(密別印),則整個載體要加蓋與組成部分中最高密級相同的密級印章(密別印);
當不可能證明所獲取(制定)的信息文件資料與現有清單中所包含的信息文件資料相符時,國家權力機關、企業、機構和組織中的負責人應當按照擬定密級對其預先進行保密;
3)擁有國家秘密信息文件資料的國家權力機關、企業、機構和組織,當其職能和所有制形式發生改變時,以及當被清算或被終止從事使用國家秘密信息文件資料的工作時,應當採取措施保護這些信息文件資料及其載體;
4)國家秘密信息文件資料的載體應當按規定程序予以銷毀、上交存檔或移交給法定的相應機構等。
(3)主要內容
俄羅斯蘇維埃社會主義共和國最高委員會通過了《俄羅斯聯邦國家秘密法》(1993年7月21日第5485-1號),規定了列入國家秘密的信息關係範圍,信息的保密和解密,信息保護,以及俄羅斯安全保障問題。在俄羅斯國家歷史中,就有關國家安全相關信息的限制與保障問題,建立可以通過公開的法律標準來解決的途徑。
07 俄羅斯《個人數據處理規定》
(1)定位
《不使用自動化設備進行個人數據處理規定》(簡稱:「個人信息處理規定」)於2008年9月15日頒佈,其主旨在於為執行「個人數據」聯邦法,在不使用自動化工具的情況下處理個人數據的特殊性規定。
(2)特點
1)在不使用自動化工具的情況下處理個人數據時確保個人數據安全的措施。
2)對部分個人數據的銷毀或去個性化,保持處理記錄。
(3)主要內容
《規定》共計包含三章節,第一章節為一般規定,第二章節為不使用自動化工具進行的個人數據處理組織的特點,第三章節為在不使用自動化工具的情況下處理個人數據時確保個人數據安全的措施,對不使用信息系統進行個人數據處理活動進行全面規範。
08 俄羅斯《個人數據處理防護要求》
(1)定位
《個人數據相關信息系統在處理個人數據過程中的防護要求》(簡稱:《個人數據處理防護要求》)於2012年11月1日頒佈,本文件規定了個人數據在個人數據信息系統(以下簡稱信息系統)中的個人數據處理過程保護要求及保護級別。
(2)特點
1)個人數據保護系統應考慮因技術安全威脅而確定的組織和(或)技術措施。
2)實行分類分級保護,在信息系統中處理個人數據時,建立了4個級別的個人數據保護。
(3)主要內容
對個人數據存儲系統進行分級並對其安全防護措施進行規範。
北美洲
美國:堅持市場主導和行業自治
一、 立法總體情況
美國是世界上最早提出隱私權並予以法律保護的國家之一,政府長期秉持數據開放和數據自由流動相結合的數據治理理念,持以市場為主導、以行業自治為主要手段,但至今仍沒有出台全面的聯邦數據隱私法。就層級而言,美國在從聯邦到州地方各級政府都實行三權分立的基礎上,同時實行聯邦和州兩個層次之間的縱向分權,立法也更加分散多元化。
聯邦層面上,1986年《計算機欺詐和濫用法》、2021年《關於加強國家網絡安全的行政命令》是由總統簽署發佈,聚焦於網絡安全的保護;1974年《隱私法案》、1986年《電子通信隱私法》、2018年《澄清海外合法使用數據法案》是經由國會通過,針對個人信息和隱私的保護。
州層面上,由州長簽署發佈的2018年加利福尼亞州《消費者隱私法案》、2021年弗吉尼亞州《消費者數據保護法》,作為專門針對加州消費者的隱私保護法律,對其他州的立法進程具有重要標杆作用和參考價值。
二、 重點法律解析
01 美國《隱私法案》
(1)定位
1974年12月,美國國會通過《隱私法案》,該部立法是美國為保護公民隱私權和知情權出台的重要法律,旨在平衡政府保有個人信息需求和個人隱私權保護之間的利益分歧,以保障公民免受聯邦機構收集、維護、使用和披露有關個人個人信息,無端侵犯其隱私的權利。
(2)特點
《隱私法案》針對聯邦行政部門收集、利用和保護個人數據等方面做出規定,適用於美國公民和在美國取得永久居留權的外國人。
(3)主要內容
《隱私法案》明確了信息主體的主要權利、政府機構的主要義務以及民事救濟措施等內容,對政府機構應當如何收集個人信息、什麼內容的個人信息能夠儲存、收集到的個人信息如何向公眾開放及信息主體的權利等都做出了比較詳細的規定。
《隱私法案》側重於四個基本政策目標:限制披露各機構保存的個人信息記錄,賦予個人更多訪問機構保存記錄的權利,授予個人修改信息記錄的權利,要求政府機構遵守收集、維護和公開記錄的法定規範。
02 美國《電子通信隱私法》
(1)定位
1986年,美國國會制定了《電子通信隱私法》(Electronic Communications Privacy Act of 1986,ECPA),旨在延伸原先在電話有線監聽方面的規制,包含通過計算機的電子數據傳輸。
(2)特點
《電子通信隱私法》詳細規定了執法機關訪問電子通信和相關數據的標準,不僅針對動態傳輸的有線、口頭與電子通信保護作出了具體規定,還規範了對靜態存儲的電子通信的安全保障要求,協調國家安全與個人隱私、通信秘密保障之間的衝突。
(3)主要內容
《電子通信隱私法》包括「筆式記錄器法」(Pen Register Act)、「竊聽法」(Wiretap Act)、「存儲通訊法」(Stored Communications Act)三個主要章節。「筆式記錄器法」針對執法機關利用筆式記錄器或類似的追蹤記錄設備,記錄或解碼由傳輸有線或電子通信的儀器或設施傳輸的撥號、路由、尋址或信令信息的設備或過程,但該等信息不包括任何通信的內容;「竊聽法」管理實時性攔截通過線路進行傳輸的通訊,並將範圍擴大到電子通信;「存儲通訊法」涉及對存儲的有線和電子通信或賬戶記錄的訪問和披露,特別的是這部分首次界定了「電子儲存」的概念。
03 美國《計算機欺詐和濫用法》
(1)定位
1986年10月16日,由美國總統R.里根(Ronald Reagan)簽署《計算機欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA),是美國第一部專門針對計算機犯罪的聯邦法律,被認為是懲治黑客攻擊計算機網絡犯罪的里程碑。
(2)特點
《計算機欺詐和濫用法》鼓勵研究者出於公共利益去根除漏洞,為善意的安全研究人員提供明確的規定以促進網絡安全的發展。
(3)主要內容
《計算機欺詐和濫用法》列舉了獲取國家安全信息、泄露機密、侵入政府電腦、獲取欺詐和獲取價值、損壞計算機或信息、販賣密碼、威脅要損壞計算機七類犯罪活動,以及「侵入計算機的局外人」、「超出其授權範圍的入侵者」兩種違法情形。
04 美國《澄清海外合法使用數據法案》
(1)定位
2018年3月23日,美國國會通過了《澄清境外合法使用數據法案》(簡稱《雲法案》,打破了以往跨國數據類證據調取過程中遵循的數據屬地管轄模式,構建了一套全新的以數據控制者實際數據控制權限為衡量依據的標準框架。
(2)特點
《雲法案》單方面賦予美國政府對全球絕大多數互聯網數據的「長臂管轄權」,有關人士指出,這是美國政府對他國數據主權的挑釁,不僅侵犯個人隱私,而且與多國立法存在衝突,威脅到跨國企業的互利合作。
(3)主要內容
《雲法案》主要規定包括:美國政府證據調取範圍、明確服務提供者域外司法協助義務、服務提供者域外司法協助義務的例外、外國政府向美國企業請求獲取數據的司法協助等。《雲法案》提出,無論服務提供者的通信、記錄或其他信息是否存儲在美國境內,只要相關通信內容、記錄或其他信息為該服務提供者擁有、控制或者監管,均應當按照法令要求,保存、備份、披露。
05 美國《消費者隱私法案》
(1)定位
2018年6月,美國加利福尼亞州州長簽署公布《消費者隱私法案》(California Consumer Protection Act,CCPA),並於2020年1月1日生效。《消費者隱私法案》為消費者控制個人信息提供了合法途徑,被認為是全美當前最嚴格的隱私立法。
(2)特點
儘管,《消費者隱私法案》是一部專門針對加州消費者的隱私保護法律,但加州的經濟體量與科技創新實力居於世界領先,因此該部立法的意義深遠超出其原本的立法層級,對其他州的立法進程起到重要標杆作用。
(3)主要內容
《消費者隱私法案》的主要內容包括法案出台的背景、消費者的權利、企業的義務以及法案中用語的詳細解釋四個部分。《消費者隱私法案》規定 , 一旦企業違反隱私保護要求, 將面臨支付給每位消費者最高750 美元的賠償金以及最高7500美元的罰款。
06 美國《關於加強國家網絡安全的行政命令》
(1)定位
2021年5月12日,美國總統拜登簽署《關於加強國家網絡安全的行政命令》(簡稱《行政命令》),旨在採用大膽舉措提升美國政府網絡安全現代化、軟件供應鏈安全、事件檢測和響應以及對威脅的整體抵禦能力,是美國政府對SolarWinds供應鏈攻擊、微軟Exchange漏洞攻擊,以及Colonial Pipeline輸油管道等一連串備受矚目的重大網絡安全事件的響應。
(2)特點
《行政命令》將預防、發現、評估和補救網絡事件作為首要任務,並提出建立網絡安全審查委員會,就影響聯邦信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞等進行審核和評估。
(3)主要內容
行政命令包括九個部分的內容:政策、移除威脅信息共享的障礙、聯邦政府網絡安全現代化、增強軟件供應鏈的安全、成立網絡安全審查委員會、聯邦政府網絡安全漏洞和事件應急響應標準化、加強聯邦政府網絡中網絡安全漏洞的檢測能力、加強聯邦政府網絡安全事件的調查、修復能力、國家安全系統。
07 美國《消費者數據保護法》
(1)定位
2021年3月2日,美國弗吉尼亞州州長拉爾夫-諾森(Ralph Northam)簽署了《消費者數據保護法》(Consumer Data Protection Act ,簡稱「CDPA」),於2023年1月1日生效。這一法案的出台,使得弗吉尼亞州成為美國第二個具備數據隱私立法的州。
(2)特點
《消費者數據保護法》參考借鑒了加州《消費者隱私法案》以及歐盟GDPR的成果,在推進企業保護消費者數據隱私、賦予消費者相關權利等方面更為完善。
(3)主要內容
《消費者隱私法案》除了賦予消費者訪問、更正、刪除和獲取個人數據副本的權利外,還明確消費者享有自由選擇出售自身個人數據以及允許自身個人數據用於定向廣告或分析決策的權利。
08 美國《統一個人數據保護法》
(1)定位
2021年8月,美國統一法律委員會(ULC)投票通過了《統一個人數據保護法》(Uniform Personal Data Protection Act ,UPDPA),這是一項旨在統一各州隱私立法的示範法案,於頒佈之日起180日生效。
(2)特點
《統一個人數據保護法》基於數據實踐有利於或不利於數據主體的可能性,對「兼容」、「不兼容」和「禁止」的數據實踐作出區分;對假名數據提供寬泛的豁免。
(3)主要內容
《統一個人數據保護法》主要內容包括:適用範圍,個人數據主體所持有的個人數據,個人數據主體的訪問權和更正權,假名數據,兼容、不兼容和禁止的數據實踐,收集控制者、第三方控制者和實踐者的責任,自願共識標準,執行和規則制定。該法適用於在該州範圍內的由數據控制者或者數據處理者開展的活動,包括商務、生產產品或者是為本州居民提供服務。
加拿大:預防為主、綜合治理數據安全問題
一、 立法總體情況
加拿大是世界上最早建成國家光纖網的國家之一,其電子政務建設多年處於全球領先地位。互聯網的高度普及和服務的飛速發展使得加拿大擁有世界上高水平的互聯網基礎設施。互聯網所引發的安全問題也使得加拿大成為世界上最早倡導保護互聯網安全的國家之一。加拿大不但在國家戰略和法律層面強調網絡安全保護,更倡導政府部門之間的合作和互聯網行業的自律,其在互聯網治理方面呈現出預防為主綜合治理的特點。
國家戰略方面,2018年6月12日,加拿大公共安全部長拉爾夫·古德爾、國防部長哈爾吉特·薩詹及加拿大創新、科學與經濟發展部部長納夫迪普·貝恩斯共同發佈了該國的新版國家網絡安全戰略,該戰略作為加拿大在網絡安全方面的路線圖,旨在實現加拿大在安全方面的目標和優先事項。這份戰略將指導加拿大政府開展網絡安全活動,以保護加拿大人的數字隱私、安全和經濟。該戰略還將加強加拿大打擊、抵禦網絡犯罪以及提高本國的網絡安全彈性。
數據安全方面,加拿大最初的法律適用主體是政府。1983年,加拿大頒佈《隱私法》,規範聯邦政府收集、使用和披露個人信息的行為。《信息訪問法案》於1983年7月1日生效,方案目的是提高聯邦機構的問責制和透明度,以塑造一個開放和民主的社會,並對這些機構的行為進行合規監督。此外,加拿大後續又出台了以私人、企業、組織為適用主體的法律。2000年,《個人信息保護和電子文檔法案》(以下簡稱「PIPEDA」)通過,該法案規定了私人或者企業在進行商業活動時使用個人信息的範圍與準則。(註:有刪減)
網絡安全方面,2012年3月,加拿大發佈了針對其安全情報服務的報告《加拿大網絡安全對關鍵基礎設施威脅的評估》,評價了加拿大四個主要部門(能源設施、交通、金融、信息通信技術)中關鍵基礎設施所面臨的網絡安全威脅環境。該報告明確指出,實現充分全面的「態勢感知」是業主/運營商面臨的主要挑戰,並表明減少相互依賴所產生的風險需要私營/公共部門採取協作的方法。
二、 重點法律解析
01 加拿大《隱私法》
(1)定位
1983年,加拿大頒佈《隱私法》,規範聯邦政府收集、使用和披露個人信息的行為,於 1983 年 7 月 1 日生效。目的是擴大加拿大現行法律的範圍,這些法律保護個人對政府機構持有的關於他們自己的個人信息的隱私,並使個人有權訪問該信息。
(2)特點
限制了政府收集信息的尺度:除非與該機構的運營計劃或活動直接相關,否則政府機構不得收集任何個人信息,並規定了個人的知情權:政府機構應將收集信息的目的告知該機構所收集個人信息的任何相關個人信息主體。限制了政府使用信息的尺度:未經相關個人的同意,政府機構不得使用政府機構控制下的個人信息。(除非是政府彙編信息或披露信息等「公共」目的)
(3)主要內容
本部分重點收集了該法關於個人信息定義的主要內容,具體如下:
個人信息是指以任何形式記錄的有關可識別個人的信息,包括但不限於前述規定的一般性:
1) 與個人的種族、民族或族裔、膚色、宗教、年齡或婚姻狀況有關的信息;
2) 與個人的教育或醫療、犯罪或就業歷史有關的信息,或與該個人參與的金融交易有關的信息;
3) 分配給個人的任何識別號碼、符號或其他特定數字;
4) 個人的住址、指紋或血型;
5) 個人的個人意見或意見,除非是關於另一個人或關於政府機構或條例中規定的政府機構的一部分向另一人提出的補助金、獎勵或獎品的提議;
6) 個人向政府機構發出的暗示或明示屬於私人或機密性質的信函,以及對可能揭示原始信函內容的此類信函的答覆;
7) 另一人對該個人的看法或意見;
8) 另一人對(e)款所指的機構或機構一部分向該個人提出的補助金、獎勵或獎品的提議的意見或意見,但不包括與另一個人的意見或意見一致的另一個人的姓名;
9) 個人姓名與與該個人有關的其他個人信息一起出現,或者姓名本身的披露會泄露有關該個人的信息;
10) 關於現在或曾經是政府機構官員或僱員的個人的信息,這些信息與該個人的職位或職能有關,包括:該人是或曾經是政府機構的高級職員或僱員,以及個人的職務、營業地址和電話號碼等。
02 加拿大《信息訪問法案》
(1)定位
《信息訪問法案》於1983年7月1日生效,方案目的是提高聯邦機構的問責制和透明度,以塑造一個開放和民主的社會,並對這些機構的行為進行合規監督。
(2)特點
該法案為政府機構控制下的信息設定了訪問權。該法體現了三個原則:政府信息應向公眾提供;有權查閱的例外應有具體的限制;政府信息公開的決定應由獨立於政府的他方審查。這樣,個人信息主體對於政府控制的個人信息在訪問權限和審查程序上都有了法律上的有力保障。
(3)主要內容
該方案提出,涉及到一些國際事務和國防的特殊情況,加拿大政府機構負責人可以拒絕披露本部分要求的任何記錄,包括信息披露可能損害國際事務的行為、加拿大國防相關的信息等,包括但不限於以下內容:
與軍事戰術或戰略相關的,或與軍事演習或行動相關的,或與偵測、預防或鎮壓敵對活動相關的;關於武器或其他國防設備(正在涉及、開發、生產或考慮作為武器)的任何相關事物的數量、特徵、能力或部署;有關任何防衛機構、任何軍事力量、單位或人員的基本信息;為有關的情報目的而獲取或準備的數據;加拿大政府在審議、協商過程中,或在處理國際事務過程中,所使用的關於外國、國際組織或外國公民的相關信息;關於收集、評估或處理(d)條或(e)條所述信息,所採用的方法、技術設備等來源信息;關於加拿大政府、外國政府或國際組織,為目前或今後的國際談判,所採取或即將採用的立場;與其他國家或組織進行的外交通信或與加拿大駐外大使館進行的官方通信;與加拿大或其他國家使用的通信或密碼系統有關的信息。
03 加拿大《個人信息保護和電子文檔法案》
(1)定位
2000年,《個人信息保護和電子文檔法案》(以下簡稱「PIPEDA」)通過,該法案規定了私人或者企業在進行商業活動時使用個人信息的範圍與準則。
(2)特點
作為加拿大最主要的聯邦法規之一,PIPEDA是隱私權的立法保障。加拿大所有企業在從事商業活動的過程中收集、使用和披露個人信息時,均受到《個人信息保護和電子文檔法案》制約。
(3)主要內容
該方案關於數據跨境方面,滿足以下要求,則可以數據跨境(跨境部分來自於主觀解讀,具體詳情請參照法規原文:
有正在或可能就違反外國法律而進行或可能進行的調查或訴訟有關;有必要披露,以便從個人或機構獲得有助理進行調查或審計的信息;信息的使用限制在最初共享信息的目的範圍內;確保以保密方式處理有關資料,並未經同意,不得進一步披露;開展和發表與個人信息保護相關的研究;特定的用戶,比如人員交流、分享知識和專長等。
04 加拿大《關鍵基礎設施威脅評估》
(1)定位
2012年3月,加拿大發佈了針對其安全情報服務的報告《網絡安全對關鍵基礎設施威脅的評估》(簡稱:「關鍵基礎設施威脅評估」),評價了加拿大四個主要部門(能源設施、交通、金融、信息通信技術)中關鍵基礎設施所面臨的網絡安全威脅環境。加拿大認為對於關鍵基礎設施的保護最主要的責任在於所有者和使用者。為了規避風險,加拿大還定期對關鍵部門的網絡風險進行評估。
(2)特點
該報告明確指出,實現充分全面的「態勢感知」是業主/運營商面臨的主要挑戰,並表明減少相互依賴所產生的風險需要私營/公共部門採取協作的方法。
(3)主要內容
報告主要指出,信息安全問題由於技術變革出現,但人們發現,解決這一問題不僅僅需要在技術/操作層面實現,也需要在國家層面採取更全面的辦法。信息安全問題的挑戰在於保護整個以信息為基礎的社會,而不是僅僅保護關鍵信息基礎設施。因此,加拿大安全和情報部門需要更加重視針對政府和商業機密的網絡攻擊,阻止通過網絡間諜竊取知識產權的非法行為。相關部門或組織應該以適當的方式承擔相關的安全成本,確保安全事件發生的低概率,這不僅能夠更好地維護相關部門或組織關於關鍵基礎設施的商業利益,同時也造福於公眾,從而增加他們對相關主體以及政府的信息。
05 加拿大《新版國家網絡安全戰略》
(1)定位
2018年6月12日,加拿大公共安全部長拉爾夫·古德爾、國防部長哈爾吉特·薩詹及加拿大創新、科學與經濟發展部部長納夫迪普·貝恩斯共同發佈了該國的新版國家網絡安全戰略,該戰略作為加拿大在網絡安全方面的路線圖,旨在實現加拿大人在安全方面的目標和優先事項。
(2)特點
這份戰略將指導加拿大政府開展網絡安全活動,以保護加拿大人民的數字隱私、安全和經濟。該戰略還將加強加拿大打擊、抵禦網絡犯罪的執法力度,提高本國的網絡安全彈性。加拿大新版國家網絡安全戰略將為促進創新和經濟增長以及加拿大的網絡人才發展提供資金。
(3)主要內容
該戰略確定了加拿大政府的引導作用,並傳達了加強與加拿大利益攸關方和夥伴合作的重要性。該戰略包括許多舉措,例如將政府的網絡安全業務合併到由通信安全機構領導的加拿大網絡安全中心的創建中,以及在RCMP內建立國家網絡犯罪協調單位。
06 加拿大《數字憲章實施法案2020》
(1)定位
2020年11月17日,加拿大政府官網發佈公告稱,由加拿大科技創新與經濟發展部部長貝恩斯提議的《數字憲章實施法案2020》已進入加拿大下議院的立法一讀程序。本法適用於與個人信息相關的各個組織,如在商業活動中存在收集、使用或披露個人信息等情況的組織。
(2)特點
該法通過建立規則以保護個人對其個人信息的隱私權,並保障相關組織只能出於合理適當的目的去收集信息,並使用恰當的方式保護個人信息。該法案試圖確保公民受到更現代化、更回應現實的法律保護,同時,在技術不斷發展的背景下,也希望創新企業能從明確的規則中受益。提出了技術和防護目的的相稱性:對個人信息進行去識別化的組織必須確保適用於該信息的任何技術和管理措施與信息去識別化的目的和個人信息的敏感性成比例。
(3)主要內容
該法案提出去標識化的定義,即:通過技術手段來修改個人信息或從個人信息中創建信息,以確保該信息不會被識別,或者在合理可預見的情況下無法單獨使用或與其他信息結合使用來識別個人。
此外,該方案提出了「組織問責制」,並規定,每個組織都必須施行隱私管理計劃,主要包括基於個人信息的保護、接收和處理信息的索取和投訴、依法合規並組織人員培訓、撰寫組織為履行義務而制定的政策和程序材料。
南美洲
巴西:以憲法為核心,合規監管雙發力
一、立法總體情況
巴西形成以《巴西聯邦憲法》為中心,合規監管雙發力的立法體系。《巴西聯邦憲法》提出個人隱私權不可侵犯」的要求,成為數據安全立法基石,2018年《巴西通用數據保護法》頒佈,形成巴西數據安全行政法規、規章法律框架,成為巴西的主要個人數據保護法律,圍繞數據安全和個人信息保護,巴西頒佈《巴西信息獲取法》和《巴西網絡民法》對規範互聯網法律框架,對巴西公共信息獲取提出保護要求。
經濟是肌體,金融是血脈,巴西對於特定行業也有關於數據保護的法規,受巴西中央銀行(BCB)監管的實體必須遵守《巴西銀行保密法》和《巴西網絡安全條例》。根據《巴西銀行保密法》,金融實體必須對「其所有的信貸和借記交易以及提供的服務」保密,《巴西良好數據法》《政府第9936/19號法令》《巴西中央銀行第4737/19號決議》都共同規範了包含個人或法人實體支付記錄信息的數據庫的創建和管理,旨在建立信用記錄。
二、重點法律解析
01 巴西《憲法》
(1)定位
巴西參議院全體會議於 2021 年 10 月 20 日批准了《憲法》修正提案 PEC 第 17/2019 號的文本,該提案已獲眾議院批准。PEC 第 17/2019 號修改了巴西聯邦憲法,將保護個人數據列入基本權利和保障。
(2)特點
巴西《憲法》確立了聯邦在保護和處理個人數據方面的專屬立法權。
(3)主要內容
巴西於1988年10月頒佈的《憲法》不僅保護包括通信、電報、電話和數據通信保密性在內的隱私權,還涉及消費者保護。此次修正中,《憲法》第 5 條涉及個人和集體權利的修正案增加了一個新部分,指出「保護個人數據的權利,包括在數字媒體中的權利,是根據法律條款得到保障的。
02 巴西《通用數據保護法》
(1)定位
2018 年 8 月,《通用數據保護法》(LGPD)經巴西總統米歇爾·特梅爾的簽署正式通過,自2020 年 9 月起生效,對違規行為的處罰也在2021年8月生效。該法是對 2014 年 4 月23 日第 12965 號法律《巴西互聯網法》的修訂。《通用數據保護法》受歐盟《通用數據保護條例》(GDPR)的極大影響,是巴西首部有關個人數據保護的綜合性立法,顯著增加了巴西個人數據保護的要求,進一步提升了巴西的數據保護能力。同時,巴西根據該法成立了數據保護監管機構國家數據保護局。
(2)特點
LGPD是一項綜合性法律,就個人數據的收集、使用、處理和存儲制定了詳細的規則,它將覆蓋巴西所有的經營行業,影響全部私營和公共實體,且無論個人數據的處理是否發生在數字和物理環境中。在個人權益方面,用戶群體將有權要求互聯網服務提供者更正或排除其在運營過程中所收集的個人信息,並有權訪問此類數據。
(3)主要內容
《巴西通用數據保護法》共分為十章65條,包括基本規定、個人數據的處理、數據主體的權利、政府部門對個人數據的處理、數據跨境傳輸、個人數據處理代理人、數據安全和良好實踐、監管、國家保護局和國家個人數據和隱私保護委員會,以及最終和過度條款等內容。
03 巴西《網絡民法》
(1)定位
2014年4月,巴西通過《網絡民法》(Law No. 12965/2014),它明確了用戶、企業和公共機構在巴西境內使用互聯網的原則、權利與義務。2015年1月,巴西司法部啟動對《網絡民法》部分條款的修正工作,對《網絡民法》進行修正。2016 年 5 月 20 日,迪爾瑪·羅塞夫總統簽署了規範互聯網法律框架的《網絡民法》第 8771/2016 號聯邦法令。
(2)特點
關於日誌、個人數據和私人通信的保護,修訂後的《網絡民法》定義了「用戶註冊信息」,並確定行政當局在要求提供者提供用戶註冊信息時,必須說明其明確授權訪問此類信息的法律依據,以及請求的動機。不收集用戶註冊信息的提供者應將此事實告知當局,並免除提供此信息的義務。此外,修訂後的《網絡民法》特別關注數據隱私,為連接和應用程序提供商採用的日誌、個人數據和私人通信建立安全和保密標準。
(3)主要內容
修訂後的《網絡民法》共四個章節,主要包括一般規定、網絡中立性、對記錄個人資料和私人通訊的保護、監督和透明度等內容。
04 巴西《巴西良好數據法》
(1)定位
《巴西良好數據法》規範了包含個人或法人實體支付記錄信息的數據庫的創建和管理,旨在建立信用記錄。
(2)特點
賬號註冊人擁有免費訪問數據庫中個人及相關信息權利,經理有責任通過電話或其他方式維護安全系統。
處理個人數據過程中,提前告知存儲、數據庫管理員的身份、處理個人數據的目的以及共享時數據的接收者。
(3)主要內容
《良好數據法》規範數據庫的形成和諮詢,其中包含自然人或法人的信息所形成信用記錄,適用於個人或法人業績信息數據庫的形成和諮詢,不影響1990年9月11日第8078號法律——消費者保護和辯護的規定,維護的數據庫將受特定立法的管轄。(由於字數限制,《巴西銀行保密法》《巴西信息獲取法》《網絡安全條例》《巴西政府第9936/19號法令》《巴西中央銀行第4737/19號決議》等政策的相關內容解讀請詳見該報告PDF版)
亞洲
日本:兼顧綜合性與特定性領域
一、 立法總體情況
相較於歐美在個人信息保護方面的立法,日本個人信息保護的立法起步較晚,其在立法過程中,在廣泛借鑒歐美先進立法經驗的同時,也充分考慮了日本本國的實際情況。基於數據驅動創新和個人信息保護的平衡,日本採取了較為中立的統分結合立法監管模式,通過採取統一綜合立法和特定領域制定個別法的方式,實現對個人信息使用的嚴格規制,同時也保證數據流動性以激勵企業創新。
在個人信息保護方面,自1988年《行政機關計算機處理的個人信息保護法》正式公布生效至今,歷經多次修訂,如今現行的《個人信息保護法》(2020年)搭建了日本個人信息保護的立法制度體系。
在網絡安全方面,2000年《保護信息系統免受網絡攻擊行動計劃》是日本在該領域首個政策文件,2013年《網絡安全戰略》、2014年《網絡安全基本法》、2015年《網絡安全戰略(第二版)》、2018年《網絡安全戰略(第三版)》、2022年最新版《網絡安全戰略》,構建了網絡空間相關的法律框架,致力於構建「自由、公平、安全的網絡空間」。
二、 重點法律解析
01 日本《行政個人信息保護法》
(1)定位
1988年12月,日本立法機構頒佈了《行政機關計算機處理的個人信息保護法》(簡稱:「行政個人信息保護法」),並於1988年10月開始實施,這是日本專門針對個人信息保護的首次國家層面的立法。
(2)特點
《行政機關計算機處理的個人信息保護法》僅適用於行政機關,而且僅對計算機處理個人信息進行保護,而不涉及人工處理信息的行為。
(3)主要內容
《行政機關計算機處理的個人信息保護法》的主旨有兩個方面,一是保護個人權利利益,也是首要的目的,二是為了確保對個人信息的保護不會成為行政機關正常運行的阻礙,促使行政機關平穩順利的運行。該法將保護對象分成了三類,分別是個人信息、持有的個人信息以及個人信息檔案。
02 日本《個人信息保護法》
(1)定位
2003年5月,日本正式通過《個人信息保護法》,於2005年4月1日正式施行。該法是在《行政機關計算機處理的個人信息保護法》的基礎上制定,明確了基本理念方針等總則性內容及與民間企業相關的一般法性內容,在日本個人信息保護法制體系中相當於基本法的重要地位。
(2)特點
日本《個人信息保護法》(2020年)增強了用戶權利,加重了數據處理者的義務,新增假名化信息加工相關條款,擴大域外適用範圍,加重了懲罰措施。
(3)主要內容
日本《個人信息保護法》(2020年)主要包括總則、國家及地方公共團體的職責、個人信息保護措施、個人信息處理者的義務、個人信息保護委員會、雜則、罰則等內容。新版《個人信息保護法》重點關注人臉識別信息使用,引入了「假名加工信息」和「匿名加工信息」兩類新的信息類型,細化了數據泄露報告制度,加強了數據跨境傳輸監管。
在數據跨境監管方面,新版《個人信息保護法》從兩方面增加了個人信息處理者向日本境外第三方傳輸數據的限制要求。一方面,在個人同意的情況下進行數據跨境傳輸時,數據輸出方應當向數據主體提供國家名稱、相關國家的個人信息保護制度、應當採取的安全保障措施等相關信息;另一方面,採取數據傳輸合同的方式進行數據跨境傳輸時,合同必須採用與《個人信息保護法》等效的數據安全保護標準和必要措施,持續確保數據輸入方對個人數據的正確適當處理。
03 日本《網絡安全戰略》
(1)定位
2013年6月10日,日本國家信息安全中心發佈《網絡安全戰略——構建世界領先的堅強而充滿活力的網絡空間》。這一戰略明確提出構建「世界領先的」、「堅強的」、「充滿活力的」網絡空間,標誌着網絡安全政策從信息安全政策中獨立出來。
(2)特點
《網絡安全戰略》最新版制定了三個網絡安全戰略目標:提高經濟社會活力與持續性發展、營造國民安心舒適生活的數字社會、為國際社會的和平穩定和日本的安全保障做出貢獻。
(3)主要內容
《網絡安全戰略》最新版主要包括制定的宗旨和背景、戰略的基本理念、圍繞網絡空間的課題認識、為達成三個戰略目標採取的措施以及推進體制。《網絡安全戰略》確定了規劃和實施有關網絡安全措施的五項基本原則:確保信息的自由流通、法治、開放性、自主性和多方合作。為確保「自由、公平、安全的網絡空間」目標的實現,《網絡安全戰略》還給出了三大推進方向:在數字化改革的基礎上,同步推廣數字化轉型與網絡安全;縱觀整個網絡空間,確保公共空間的互聯互通和鏈條化;強化安全防護能力。
04 日本《網絡安全基本法》
(1)定位
2014年11月6日,日本國會表決通過《網絡安全基本法》,旨在加強日本政府與民間在網絡安全領域的協調和運用,更好地應對網絡攻擊。
(2)特點
《網絡安全基本法》首次從法律上定義了「網絡安全」的概念,在 2000 年基本法的基礎之上明確了網絡安全的基本原則與政策,規定設立網絡安全戰略總部,負責制定網絡安全戰略並保障其實施。
(3)主要內容
《網絡安全基本法》包括總則、網絡安全戰略、基本政策、網絡安全戰略本部、罰則五個章節。其中,在網絡安全戰略方面,《網絡安全基本法》提出,政府為確保必要資金作為實施網絡安全戰略所需之經費,應採取必要措施以順利實施戰略,諸如每年在國家財政允許的範圍內將其納入預算等。在網絡安全戰略本部方面,日本政府於 2015 年 1月將信息安全政策委員會升級為獲得法律授權的「網絡安全戰略本部」,作為日本推進網絡安全政策的最高指揮機構。
印度:構建數據安全保障新法律體系
一、 立法總體情況
作為實施數據本地化與跨境流動限制政策的典型國家,印度隨着其數字經濟的發展,近年來相繼頒佈了一系列的重要法律或文件,形成了以《信息技術法》為母法、以《個人數據保護法案》為基礎,以中央立法為中心,以各邦具體行政法規為輔助的數據安全保障法律體系,其中涵蓋電子簽名、電子政務、網絡犯罪等數字時代的諸多問題,為印度的電子商務發展、網絡信息安全提供了全面的法律框架。
二、 重點法律解析
01 印度《信息技術法》
(1)定位
1999年,印度信息產業部以聯合國國際貿易法委員會的《電子商務示範法》為藍本制定了《信息技術法》,該法在2000年5月經印度國會通過,並於2000年10月17日正式生效。《信息技術法》是印度頒佈的第一部有關網絡活動的基本法,自此印度成為在計算機和互聯網領域擁有專門立法的國家。
(2)特點
實體法與程序法並舉:該法不僅規定電子合同、電子簽名等實體法律內容,而且對電子證據、管轄權、上訴法庭等程序問題進行了規定。
注重效率與安全:該法出於交易安全的考慮,規定「確認回執」。隨着電子商務的快速發展,2008年《信息技術法案》刪除了「回執」的要求,有利於加快電子商務流通。同時,印度政府試圖改革國家加密政策,以方便電子商務的發展,以及對於網絡恐怖主義和網絡洗錢行為的監控。此外,該法2008年加強網絡犯罪的懲罰,2011年細化網絡服務提供商的責任,既保障了安全,又實現了效率。
政府主導,兼顧當事人自主:印度採用政府主導模式,對於電子認證機構均實施強制許可制度,任何未獲得官方許可的機構不得從事電子認證服務。
(3)主要內容
明確立法目的:主要包括兩個方面,一是確認電子商務活動的法律地位;二是規範電子商務活動,並防範與打擊針對計算機和網絡的犯罪。
提出成立專門受理計算機和網絡領域案件的「網絡上訴法庭」:明確其人員組成、法庭組成、管轄範圍、審理程序和權限。
規定8類行為構成「破壞計算機和計算機系統」犯罪:一經查實,犯罪者要負擔的民事賠償金額最高可達1000萬盧比(約合200萬元人民幣)。這八類行為包括未經許可侵入他人計算機、計算機系統和網絡,私自下載他人計算機或系統中的數據信息,製造和散播計算機病毒等。如篡改計算機源文件,故意隱瞞、銷毀、破壞、更改計算機源代碼的行為可判處3年監禁或多達2萬盧比的罰款。
印度在2006年和2008年修正增加新的計算機犯罪類型:兩次修改主要對新型的網絡犯罪作出規定,並在2008年的修正案中重點規定網絡恐怖主義的內容,將網絡反恐上升到新的高度。
02 印度《個人數據保護法案》
(1)定位
2018年7月27日,印度「數據保護專家委員會」起草的《個人數據保護法案》公布並公開徵求意見;2019年12月4日,印度總理納倫德拉 • 莫迪領導的聯邦內閣批准了修改後的法案,即《2019年印度個人數據保護法案》(2019年第373號法案)。該法案旨在為印度「確立強有力的數據保護框架和設立數據保護局,賦予印度公民相關個人數據權利,以確保他們關於『隱私和個人數據保護』的基本權利」。
(2)特點
立法目的具有多重性:該法案強調「隱私權」 是一項基本權利,法律有必要將個人數據作為隱私信息的重要方面予以保護。法案也提出保護公民利益、貿易和工業利益、國家利益,希望以公民利益為重點,但也同時強調「為了國家安全,政府機構有權訪問個人數據並進行調查」。可見,該法案目的雖以保護個人自由和基本權利為核心,終極目的仍是「國家利益至上」,併兼顧其他不同目標。
採用統一立法模式:印度各邦可以制定各自的法律,但若該法案的條款與現行有效的任何其他法律不一致時,本法案具有優先效力。
立法內容具有印度特色:從數據保護立法內容上看,印度制定的個人數據保護法在許多方面與歐盟《通用數據保護條例》趨同,體現了國際數據保護立法的大趨勢。在域外管轄方面,效仿歐盟規定了寬泛的涉外管轄範圍,只要涉及收集和處理本國居民的個人數據,則不論企業是否在境內有實體均受管轄。
(3)主要內容
明確法案的適用範圍:包括在印度境內進行的個人數據收集、披露、共享、處理活動;由印度各邦、公司、公民或其他個人以及根據印度法律成立的團體進行的個人數據處理活動;在印度進行的業務、向印度數據主體提供商品或服務的活動、對印度境內數據主體畫像活動有關的個人數據處理活動。但法案不適用於匿名數據的處理。
明確數據受託人對數據主體應承擔的數據保護義務:確保數據受託人必須以符合數據主體的最佳利益行事。主要包括處理個人數據的禁止行為、處理個人數據目的的限制、收集個人數據的限制、收集或處理個人數據的通知要求、處理的個人數據質量、保留個人數據的限制、數據受託人的責任、處理個人數據所必需的同意。
明確數據主體的權利:規定數據主體的權利和行使權利的一般條件,包括確認和訪問權、數據可移植權、被遺忘權、糾正權、刪除權、申訴權等。其中刪除權即當處理目的不再需要時刪除其個人數據的權利,作為數據主體限制或阻止數據受託人繼續披露個人數據「被遺忘權」的補充。
個人數據跨境傳輸:法案提出個人數據跨境傳輸須在境內留有副本。每個數據受託人應確保在位於印度的服務器或數據中心存儲至少一份個人數據服務副本。法案規定,關鍵個人數據僅能在位於印度的服務器或者數據中心處理。此外,法案給予政府對個人數據出境的自由裁量權。
提出最嚴厲的處罰措施:法案規定任何未經客戶同意共享客戶數據的組織將被處以1億5千萬盧比的罰款或占其全球營業額4%的罰款。數據泄露的處理、報告延遲將處以5千萬盧比的罰款或佔全球營業額2%的罰款。
03 印度《國家網絡安全政策》
(1)定位
2013年7月2日,印度通信與信息技術部發佈了《印度國家網絡安全政策》文件,旨在組建國家網絡安全治理機制。
(2)主要內容
該《政策》提出擬實現的14項目標和擬採取的若干戰略:包括創建一個安全的網絡生態系統,使IT系統和在網絡空間中發生的交易得到足夠的信任,並強化IT在印度所有經濟部門中的利用;創建一個可信框架,以實現安全策略的設計,並通過產品、過程、技術和人員的一致性評估,促進其與全球安全標準和最佳實踐的兼容;加強監管框架以確保安全的網絡空間生態系統;創建和加強全國性的、部門性的全天候無間斷的網絡安全機制等。
明確擬採取的戰略:包括創建穩固的網絡生態系統以及保險框架、鼓勵開放標準、加強監管框架、創建安全威脅早期預警、漏洞管理和應對安全威脅的機制、保障電子政務服務安全、關鍵信息基礎設施的保護與彈性、推動網絡安全的研究與開發、降低供應鏈風險以及人力資源開發等。
04 印度《印度數據保護框架白皮書》
(1)定位
2017年11月底,印度電子信息技術部發佈《印度數據保護框架白皮書》,向社會公眾徵求意見。《白皮書》為數據保護提供固定法律框架,也為後續起草數據保護法做準備,旨在推動數字經濟增長,保護公民個人數據安全。
(2)特點
《白皮書》結合當前印度現有法律法規中相關數據保護條款,並參考歐盟、美國、英國、澳大利亞、南非等國家的立法實踐,在數據保護範圍和豁免、數據處理、機構義務和個人權利、監管和執行等方面進行深入探索和論證。
(3)主要內容
《白皮書》提出數據保護框架的七大原則:技術不可知原則、整體應用原則、知情同意原則、數據最小化原則、控制者責任原則、結構化執行原則和威懾性懲罰原則。
明確使用範圍:《白皮書》為明確其數據相關法律法規的適用範圍,提出了諸多觀點,並共公眾提出建議。《白皮書》提出對於數據保護地域範圍,應適用於印度領域內,還是可適用於領域之外。應當如何規制在印度沒有常駐地的外國機構處理印度居民數據。對於數據保護主體範圍應適用於自然人還是法人,對於公共機構和私人機構應該一般法律規制還是分別立法規制,數據保護法是否應該溯及既往,是否應該給予一定的寬限期,《白皮書》廣泛徵詢意見。
明確個人數據、個人敏感數據、數據處理、數據控制者和數據處理者定義:對於關鍵定義的闡述,《白皮書》參照印度SPDI規章、歐盟GDPR等多項法律文件,進一步明確其核心定義。
提出數據保護豁免:《白皮書》中列舉個人數據保護的豁免情形,例如以家庭、新聞、藝術或文學、學術研究、歷史學、統計、刑事調查保護或國家安全為目的進行的數據處理。對於上述豁免情形,該類數據應合法獲取,且法律已給予該類個人數據足夠程度的保護。
規定跨境數據流動細則:對於是否應該在數據保護法中設置專門的跨境數據流動促進條款,如何設置標準、門檻或測試予以保護,對於一些特殊類型的數據如個人敏感信息是否應該禁止跨境流動,《白皮書》廣泛徵詢意見。
數據處理、機構義務和個人權利:包括同意、兒童同意、通知、目的說明和限制使用、個人敏感數據處理、存儲限制和數據質量、個人參與權等。
監管和執行:《白皮書》對於執行方式、職責承擔、執行工具、審判程序、救濟手段等方面提出建議。
韓國:「四法四令」構築數據安全防線
一、 立法總體情況
韓國「四法四令」編織數據安全合規密網。《個人信息保護法》(PIPA)作為韓國數據保護的一般法律,主要適用於私人部門和公共機構處理個人信息的情形。韓國國會又通過了《個人信息保護法》《信息通信技術與安全法》和《信用信息保護法》數據法律的修正案,並將數據保護條款納入《網絡法案》,至此《個人信息保護法》最終成為了一部真正意義上的個人信息數據保護法律,與《信息通信技術與安全法》、《信用信息保護法》相互聯繫,又各有側重,共築數據安全體系。
二、 重點法律解析
01 韓國《個人信息保護法》
(1)定位
《個人信息保護法》頒佈時間為2011年3月29日,作為韓國管轄權範圍內具有統一性、一般性、專門性的個人數據保護法律。對個人信息保護的基本原則、個人信息保護的基準、信息主體的權利保障、個人信息自決權的救濟等問題作出了全面的規定。
(2)特點
1)明確數據跨境流動的多種渠道。擴大跨境數據流動的合法途徑,以承接國際上通常採取的跨境數據流動機制,同時規定,個人信息在跨境的過程中,一旦存在違法行為,則立刻中止跨境行為以確保個人信息安全。
2)建立隱私政策審查機制。引入隱私政策的審查系統,以輔助個人信息保護委員對企業的隱私政策進行評估,確保隱私政策的充分性。
3)引入數據可攜權。企業必須有能力為其用戶提供其擁有的所有關於數據主體個人信息的拷貝,以及將個人信息傳至另一個服務提供商的能力。
4)對於自動化決策的拒絕權和解釋權。數據主體不受對個人有法律影響或重大影響的純粹自動化決策(包括畫像)的限制和制約,有權提出異議。同時,個人有權獲知關於自動化決策的相關信息。
(3)主要內容
《個人信息保護法》主要包括十章節76條,主要包括個人信息保護原則、數據主體權利、國家責任和與其他法律關係、隱私策略制定、個人信息處理和安全管理、數據主體權利保障、信息通信服務提供者等處理個人信息的特殊情況、個人信息糾紛調節委員會、個人信息集體訴訟等,規定了個人信息的管理、個人信息的安全措施、信息主體的權利保障、個人信息的團體訴訟等制度,旨在保護所有公民的個人信息權益,以防信息收集、泄露、不當使用與濫用。法律的適用範圍涵蓋公共與私人部門管理的一切個人信息,通過規定與個人信息的處理和保護有關的事項,保護個人的自由和權利,實現個人的尊嚴和價值。
02 韓國《信息保護法》
(1)定位
《信息通信網絡利用促進和信息保護法》(簡稱「信息保護法」)頒佈日期為2001年1月16日,法規從電信業個人信用信息的收集、使用與保護進行全面和具體的規範,是韓國電信業的基本法律。
(2)特點
1)重要信息的限制跨境流動
該法明確限制重要信息向國外流出。規定政府可要求信息通信服務提供者或用戶採取必要手段防止任何有關工業、經濟、科學、技術等的重要信息通過信息通信網絡向國外流動,這類的重要信息包括:(A)國家安全與主要政策相關信息;(B)國內開發的尖端技術或設備相關內容的信息。
政府可要求處理這些信息的信息通信服務提供者採取下列措施:(A)安裝可防止非法利用信息通信網絡的系統性或技術性設備;(B)建立相關制度,安裝相關技術設備;(C)可防止非法破壞或操作信息的系統性與技術性措施;(D)可防止信息通信服務提供者泄露履行職務過程中了解到的信息的措施。
2)對於公職人員收集、處理數據要求
(A)科學技術信息和通信副部長或韓國通信委員會信息和通信服務提供者收到提交或收集的文件和數據的保護請求時,不得向第三方提供或向公眾披露。
(B)科學技術信息和通信副部長或韓國通信委員會信息和通信通過網絡接收數據提交等,或者對收集的數據進行數字化處理的,應當採取制度和技術安全措施,防止個人信息和商業秘密泄露。
(3)主要內容
《信息通信網絡法》分為九章76條(其中第三章已刪除)致力於促進網絡使用信息和通信,除了保護服務用戶信息和通信其目的是通過創造一個健全和安全的方式使用網絡的環境,為改善人們的生活和促進公共福利做出貢獻。第一章為總則、第二章為信息和通信促進網絡使用、第四章信息和通信營造安全的服務使用環境、第五章信息和通信網絡中的用戶保護等、第六章信息和通信確保網絡穩定性等、第七章電信計費業務、第八章國際合、第九章附則。
03 韓國《信用信息使用和保護法》
(1)定位
《信用信息使用和保護法》頒佈時間為2009年4月1日,是韓國第一部關於金融業商業交易中信用信息提供和使用的法規。
(2)特點
1)規定數據處理的流程。「處理」數據是指徵信信息的收集(包括調查,下同)、創建、連接、聯鎖、記錄、存儲、保存、處理、編輯、檢索、輸出、更正、恢復、使用、組合等。
2)明確個人信息通過「化名處理和匿名處理」,要求在不使用附加信息的情況下無法被識別
「化名信息」是指以化名方式處理的個人信用信息。
「匿名處理」是指對個人信用信息進行處理,使其無法再識別特定個人、信用信息主體。
(3)主要內容
《信用信息法》共計分為7章52條,致力於健全信用信息相關產業,促進信用信息的有效使用和系統管理,妥善保護個人生活機密,防止信用信息被濫用和濫用,建立健全信用秩序。其中共包括:第一章總則、第二章信用信息業務許可等、第三章信用信息的收集和處理、第四章信用信息的分發與管理、第五章信用信息相關行業、第六章信用信息主體保護、第七章補充。
04 韓國《位置信息保護和使用法》
(1)定位
《位置信息保護和使用法》頒佈時間為2010年3月22日,是個人位置隱私信息保護首部法律。
(2)特點
明確個人位置信息的法律定義,並要求個人位置信息的處理者應當採取技術措施保護,首先應當採取安裝防火牆、使用加密軟件等技術措施,其次位置信息經營者等應確保確認位置信息的收集、使用和提供的數據自動記錄保存在位置信息系統中。
(3)主要內容
《位置信息法》分為六章43條,第一章為總則、第二章位置信息業務登記、第三章位置信息保護、第四章個人位置信息用於緊急救援、第五章建立使用位置信息等的基礎、第六章處罰,致力於保護個人生活的機密性,不被泄露、誤用和濫用位置信息,並通過安全使用位置信息促進位置信息的使用,從而改善民生和促進公共福利。
05 韓國《信息和通信網絡法實施令》
(1)定位
《信息和通信網絡利用和信息保護促進法實施令》頒佈日期為2008年2月29日,該法令進一步落實《信息和通信網絡利用和信息保護促進法》中個人信息全生命周期保護需求(簡稱:信息和通信網絡法實施令)。
(2)特點
該法規支持信息和通信服務提供者的政策調查、研究和制度建立等手段加強信息保護,分析與信息和通信服務使用相關的對策研究,提高信息通信服務提供者的信息保護能力和專業知識,如首席信息安全官的教育,與信息通信服務安全相關的國際交流與合作,其他安全所需的項目信息通信系統和信息安全管理。
(3)主要內容
《信息和通信網絡法實施令》共計分為七章(原第三章已刪除)74條,致力於本信息和通信規定網絡利用促進和信息保護法委託及其實施所需的事項。第一章章節為總則、第二章信息和通信促進網絡使用、第四章信息和通信營造安全的服務使用環境、第五章信息和通信網絡中的用戶保護等、第六章信息和通信確保網絡穩定性等、第七章補充。
06 韓國《信用信息使用和保護法實施令》
(1)定位
《信用信息使用和保護法實施令》頒佈日期為2009年10月1日,細化落實《信用信息使用和保護法》規定要求的具體事項。
(2)特點
落實數據處理中的數據保護要求。具體而言,包括數據收集、存儲、使用、加工、傳輸等處理活動中對於數據保護的要求。
1)機構向數據專業機構提供信息集,應當採取以下措施提供:
多個信息集鏈接多個信息,應替換為不能識別個人但可以區分的信息(以下簡稱「組合鍵」);包含個人信用信息的數據集應作為假名處理。
2)合併請求機構向數據專業機構提供信息集或者數據專業機構向合併請求機構交付合併信息集時,採取加密等保護措施,使第三方無法知曉其內容。
3)信息傳輸時,必須使用商用加密軟件或安全算法進行加密
4)信用信息公司等應實施技術、物理和行政安全措施:訪問控制設備的安裝和運行事宜,例如阻止第三方非法訪問信用信息的入侵防禦系統;防止錄入徵信系統信息被篡改、毀損、毀損的事項;按崗位、任務區別授予信用信息處理查詢權的事項,定期檢查信用信息查詢記錄的事項;為保證信用信息穩定所必需的其他事項。
(3)主要內容
《信用信息法實施令》共計分為五章38條,致力於對於《信用信息法》具體法律細化執行落實。其中第一章為總則、第二章徵信業務等許可、第三章徵信信息採集與處理、第四章信用信息分發與管理、第五章信用信息相關行業。
07 韓國《個人信息保護法施行令》
(1)定位
《個人信息保護法施行令》頒佈日期為2001年9月29日,規定《個人信息保護法》授權的事項及其實施所需的事項。
(2)特點
個人信息的處理要求確認是否採取了確保安全所需的措施,例如假名化或加密。確保個人信息安全的措施則如下:
1)個人信息安全處理的內部管理計劃的制定和實施;
2)控制訪問個人信息和限制訪問權限的措施;
3)應用可以安全存儲和傳輸個人信息的加密技術或與之對應的措施;
4)個人信息侵害事件的訪問記錄保存和防止偽造、篡改的措施;
5)個人信息安全程序的安裝和更新;
6)提供存儲設施或安裝鎖定裝置等物理措施以安全存儲個人信息。
(3)主要內容
《信用信息法實施令》共計分為五章38條,致力於對於《信用信息法》具體法律細化執行落實。其中第一章為總則、第二章徵信業務等許可、第三章徵信信息採集與處理、第四章信用信息分發與管理、第五章信用信息相關行業。
08 韓國《位置信息保護和使用法實施令》
(1)定位
《位置信息保護和使用法實施令》頒佈日期為2008年2月29日,落實《信用信息使用和保護法》中位置信息實施要求。
(2)特點
1)設定位置信息管理負責人。制定處理和管理程序和指南,規定位置信息處理者的職責和責任,記錄提供位置信息等事實的處理台賬的運行管理。
2)位置信息保護措施的定期自查。實施身份驗證,確認位置信息和位置信息系統的訪問權限,安裝防火牆等措施,阻止向位置信息系統發起的未經授權的訪問。
3)採取必要技術手段保護位置信息安全。位置信息系統應當接入電子自動記錄保存裝置的運行,安全程序的安裝和運行,以防止位置信息系統被侵犯,應使用可以安全存儲和傳輸位置信息的加密技術或與之對應的措施。
(3)主要內容
《位置信息法實施令》主要分為40條內容,從個人位置信息收集、登記到安全保護措施及細化到人責任落實《信用信息法》。
大洋洲
澳大利亞:隱私安全保護上升為國家頂層戰略
一、 立法總體情況
澳大利亞是最早重視隱私安全的國家,該國於1988年頒佈的《隱私法》在首都堪培拉和聯邦層面內得到適用,此後該國其他州也相繼頒佈了適用於自身隱私法規。這些法律法規經過歷年修訂,該國將信息隱私原則和國民隱私原則統合為澳大利亞隱私原則,規範了私人信息數據從採集、存儲、安全、使用、發佈到銷毀的數據生命全周期管理方法,後續將隱私安全保護上升為頂層戰略,頒佈了《公共服務大數據戰略》和2020《網絡安全戰略》,為了落實戰略,頒佈了《國家數據安全行動計劃》。
二、 重點法律解析
01 澳大利亞《隱私法》
(1)定位
《隱私法》於1988年頒佈,是個人信息保護的一項法律。
(2)特點
1)APP實體必須採取合理措施保護個人信息免遭濫用、侵犯和丟失,以及未經授權的訪問、修改或披露,並在收集個人信息的目的不再需要時銷毀或取消其身份。
2)制定了有關收集、管理、處理、使用、披露和以其他方式處理個人信息的要求。
3)向境外傳輸個人信息之前,APP實體必須採取合理措施,確保海外接收方不會違反與該個人信息有關的APP。
(3)主要內容
澳大利亞隱私權的相關立法體現在聯邦、省和地區的法案中。1988年制定的澳大利亞《隱私權法》( the Privacy Act 1988)是關於個人信息保護的一項法律,該隱私權法最大的特色即為制定隱私權保護原則,該原則是對於有關個人信息的操作管理設定概括性的標準,它所適用的情形包括:個人信息的收集(例如,填寫表格) ; 個人信息的使用和透露;個人信息的準確性:個人信息持有的安全性;個人取閱個人信息的權利等等。
《隱私權法》的規範範圍甚廣,包含稅務、醫療、信用資料等範疇,其就隱私權問題處理模式的規定也相當完整,各類別信息的處理方式均深受信息隱私權的限制。《隱私權法》中規定的原則不是規範性的原則,也就是說該法並沒有規定組織機構在每種情形下應該做什麼。相反,該法提供了如何操作個人信息的原則,每個組織或機構需要根據各自情況遵守這些原則。如果組織或機構違反了隱私原則,隱私權專員辦公室可以進行調查,如果個人的隱私權益受到了侵犯,個人主體也可以向辦公室投訴實施侵權行為的組織或機構。
02 澳大利亞《關鍵基礎設施安全法》
(1)定位
《關鍵基礎設施安全法》於2018年4月11日頒佈,構建了完善的關鍵信息基礎設施風險保護制度框架,提升與關鍵基礎設施資產管理相關的核心安全實踐,以及確保負責任的實體採取全面、主動的方法來識別、預防和降低風險。
(2)特點
1)法規中提到40次「安全性和可靠性」字眼,其中涉及電力網絡或電力系統、天然氣輸送管道、金融服務和市場等方面。
2)數據存儲或處理服務是指,在商業基礎上提供,涉及使用一台或多台計算機,使最終用戶能夠存儲或備份數據。
3)嚴格落實信息保護監管要求。部長要求關鍵基礎設施資產的報告實體或運營商提供某些信息或文件。在特定情況下授權製作記錄、使用或披露受保護信息,但在其他情況下屬於犯罪行為,禁止自證其罪的特權不適用於根據本部分提供信息或文件的要求。
4)對國家最重要的資產所有者和運營者提供更高的網絡安全義務,主要圍繞加強與政府的關係。
5)完善了信息共享的規定,使受監管實體和政府更容易共享信息以履行其義務。
(3)主要內容
《關鍵基礎設施保護法案》頒佈後,經歷了2次修訂。作為2018 年《關鍵基礎設施安全法案》的最新修正案,2021年修正案將在獲得總督御准後的第二天生效。這些變化將為責任主體設立新的義務,以建立和維護關鍵基礎設施風險管理計劃,以及關鍵基礎設施資產運營者所需的網絡安全義務的新框架。2021年修正案是對2018年修正案的第二部分的改革。在確定需要加強監管框架後,澳大利亞政府在 SOCI 法案現有要求的基礎上,通過 2021 年安全立法修正案(關鍵基礎設施)法案,頒佈了第一部分改革。
2022年修正案旨在加強關鍵基礎設施資產的所有者和運營者的風險管理、準備、預防和復原能力,以保障正常經營活動。他們還尋求改善行業和政府之間的信息交流,以更全面地了解威脅,規定了大多數相互關聯和依賴的關鍵基礎設施資產屬於具有國家戰略意義的系統。這些關鍵基礎設施資產對國家至關重要,因為它們在各個部門之間相互依存,如果受到干擾,可能會對其他關鍵基礎設施資產和部門造成潛在的連鎖後果。
03 澳大利亞《電信法》
(1)定位
《電信法》於1997年頒佈,確立了執法和情報部門要求私營部門提供針對加密技術的自願性和強制性技術協助的法律框架。
(2)特點
被納入國家關鍵基礎設施範圍內的電信運營商按照電信安全改革框架,採取措施全面提高網絡安全水平。
(3)主要內容
《電信法》共計包括四個附表,附表一為標準運營商許可條件包括是個章節88條,附表二為標準服務提供商規則包括六章節20條,附表三為承運人的權利與豁免包括三章節63條,附表四ACMA可審查決定包括兩章節。
04 澳大利亞《公共服務大數據戰略》
(1)定位
《公共服務大數據戰略》於2013年8月頒佈,助力澳洲政府使用高效和智能化大數據分析,使政府在政策制定、服務提供諸多方面受益。
(2)特點
數據公開要注意保護公民的隱私。政府要求各部門各機構在開放數據之前首先要考慮到數據隱私和安全問題,尤其是在跨部門使用的時候更要認真檢查。從各類數據的產生,到聚集成各類數據集,直至數據流向目的地,數據應用分析的整個過程每個環節都要設立有效的控制手段。
(3)主要內容
《公共服務大數據戰略》設定了澳大利亞到2030年成為現代數據驅動型社會的願景,並表明政府致力於以消費者受益和保護消費者的方式促進有價值的數據流動。
05 澳大利亞《網絡安全戰略》
(1)定位
《網絡安全戰略》於2020年8月6日頒佈,明確了澳大利亞在網絡安全領域的原則和目標。
(2)特點
《戰略》要求提高社區的網絡安全係數,政府將推行「數字身份」計劃使民眾可以選擇使用可信任的數字身份證書來訪問政府和私營部門提供的網絡服務,以保護相關主體免受身份盜竊、網絡犯罪的侵害,保證相關主體更輕鬆、更安全地使用網絡服務。同時還要做到以下幾點:一是積極努力提高民眾對網絡安全威脅的認識,並推動整個社區採取安全可靠的在線行為;二是建立針對家庭和澳大利亞老年人的7×24小時網絡安全建議熱線;三是增加對受害者支持的資金;四是引入自願性的物聯網業務守則,以幫助消費者做出明智的購買決定。
(3)主要內容
《網絡安全戰略》(以下簡稱「《戰略》」)旨在加強未來10年內澳大利亞的網絡安全,強調要將打擊網絡犯罪、推進「數字身份」計劃、扶持中小企業和擴大地區影響等方面作為今後國家網絡安全戰略的政策目標,這是澳大利亞現任政府在結合歷史和現實的基礎之上,針對當前新冠疫情的客觀環境進行分析判斷後得出的結論。
06 澳大利亞《國家數據安全行動計劃》
(1)定位
《國家數據安全行動計劃》於2022年4月6日頒佈,首個國家數據安全行動計劃,形成國家數據安全框架。
(2)特點
1)保護公民的數據(收集、處理和存儲在數字系統和網絡上的信息)免受侵害。
2)為政府、企業和個人建立數據安全設置和要求,以安全、問責和控制為重點運作。
(3)主要內容
《行動計劃》旨在補充莫里森政府加強澳大利亞網絡安全的工作,其中包括:通過啟動打擊網絡犯罪的國家計劃來支持各行業在線發展;通過資助由澳大利亞聯邦調查局領導的專門的網絡犯罪中心,打擊網絡犯罪分子,確保對國家安全立法進行里程碑式改革,以更好地保護關鍵基礎設施;通過重要立法徹底改變澳大利亞機構調查和起訴網絡犯罪的方式,使所有澳大利亞人更安全;確保執法機構擁有打擊暗網犯罪的權力;通過勒索軟件行動計劃打擊網絡攻擊,保護澳大利亞人免受勒索軟件的侵害;通過與美國簽署CLOUD法案協議,促進與美國當局的數字信息交流;發起公共信息運動,以提高澳大利亞的網絡安全。
非洲
非洲:完善數據保護立法,維護國家數據主權
一、 立法總體情況
隨着非洲數字基礎設施的不斷完善,數字技術已滲透延展到非洲各國的政治、經濟和軍事等各個領域。因此,加強個人信息保護,保障數據安全已成為非洲各國建設的重中之重。為此,非洲各國通過不斷完善數據保護立法,以實現維護國家的數據主權,保障國家的安全、促進經濟健康發展。目前,在南非、尼日利亞、埃及、肯雅、烏干達、盧旺達等國,已擁有全面的數據保護法律,而南非《個人信息保護法》最具特色。
二、 重點法律解析
01 南非《個人信息保護法》
(1)定位
南非《個人信息保護法》的實質性規定已於2020年7月1日生效(對於信息獲取的監督規定於2021年6月30日生效)。該法案通過規定處理個人信息的條件,確定處理個人信息的最低要求,明確數據主體的相關權利,以此來保護公共和私人機構處理的個人信息安全。
(2)特點
首次在立法層面全面加強數據安全保護。該法是南非第一部全面的數據保護法,旨在促進公共及私人機構加強對所處理個人信息的保護。該法對組織實現合規給予了12個月的寬限期;明確細化罰則,違反規定的組織可能面臨最高1000萬南非蘭特(約合400萬人民幣)的行政罰款、還可能被提起民事訴訟或被要求承擔刑事責任等。該法是全球為數不多的為法人(例如公司和信託公司)提供數據資產保護的法律之一。
推動南非的數據保護立法與國際接軌。該法的實施是南非隱私保護領域的重大進步,通過規範自然人和法人的信息處理行為、為南非處理個人信息的企業設置更多義務,使南非在數據保護立法方面與國際接軌。
(3)主要內容
明確適用範圍及個人信息定義:從適用對象看,POPIA普遍義務適用於「責任方」(即確定處理目的和處理方式的個人數據主要處理者),其有限義務也適用於「運營商」(即數據處理者)。從地域範圍看,該法適用於責任方負責處理個人信息且其住所地在南非,或雖然住所地在其他地方但是其在南非使用自動或非自動手段來處理個人信息的情形。同時,法律包含「個人信息」的開放式定義,該定義通常是指可識別的在世的自然人、可識別的公司或類似法人的有關信息。
規定合法處理個人信息的條件:該法提供了一種通用的信息保護機制,同時適用於公共與私營部門。與歐盟《數據保護指令》(95指令)相似,該法規定了合法處理個人信息的八個條件,包括:問責制、處理限制、目的規範、進一步處理限制、信息質量、開放性、安全保障、數據主體的參與。
要求企業採取措施,落實安全保障:該法確保其持有和控制的個人信息免遭未經授權的訪問、使用和丟失。其中包括採取適當的物理、技術及組織措施保護個人信息安全,確保安全措施級別與所涉及的個人信息的數量、性質和敏感程度保持一致。該法還要求企業應任命一名信息官和一名副信息官,以確保企業行為符合規定,且可以處理數據主體的投訴,企業還應保留所有與處理相關的過程性文件。
提出特殊個人信息處理要求:該法禁止處理特殊的個人信息(有關個人的宗教信仰、種族、犯罪行為、健康、性生活,政治立場,甚至工會會員)。雖然可以通過徵得數據當事人的同意來取消此禁止,但是數據當事人可隨時撤消該同意。
豐富數據跨境流動要求:該法規定企業不得將數據主體的個人信息轉讓給國外第三方,除非作為信息接收者的第三方受到具有同等保護水平的法律、約束性公司規則或約束性協議的限制。
細化監督機構的權責與職能:該法規定監督機構的權責與職能包括:提供教育,監控與強制執行,與利害關係人協商,處理投訴,組織研究並向國會報告等。
明確罰則,並賦予數據主體救濟性權利:不遵守該法的處罰包括最高10年的監禁或不超過1000萬南非蘭特(約577176美元)的行政罰款。此外,該法制定了新的民事救濟辦法,使數據主體有權在嚴格責任的基礎上對個人信息負責的各方提起索賠。
聲明:北京鍊石網絡技術有限公司對本文的內容及相關產品信息擁有受法律保護的著作權,未經授權許可,任何人不得將文章的全部或部分內容以轉讓、出售等方式用於商業目的使用。轉載、摘編使用本文章的文字或者觀點的應註明來源。文章中所載的材料和信息,包括但不限於文本、圖片、數據、觀點、建議等各種形式,不能替代律師出具的法律意見。違反上述聲明者,本公司將追究其相關法律責任。文章撰寫過程中,為便於要點說明和涵義解釋,引用了一系列的參考文獻,內容如有侵權,請聯繫本公司修改或刪除。
(關注本賬號,私信小編,可打包下載《2022年國外數據安全政策研究報告》原文PDF版以及14個國家的80餘項數據安全政策原文PDF版)
![[MAMA 2022] IVE, KEP1ER, NMIXX, LE SSERAFIM, NEWJEANS - 'Cheer Up' Lyrics (Color Coded Lyrics) - 天天要聞](https://i.ytimg.com/vi/emQIKe2tGl8/hq720.jpg?sqp=-oaymwEcCNAFEJQDSFXyq4qpAw4IARUAAIhCGAFwAcABBg==&rs=AOn4CLBitWecJGXwnCsgIXjiSuzCmdM-1w)
![NewJeans在宣布獲大賞後全員毫無反應 「你們忘了嗎?我們是NewJeans啊」XD| [K-潮流] - 天天要聞](https://i.ytimg.com/vi/VpJrVDAgBLs/hq720.jpg?sqp=-oaymwEcCNAFEJQDSFXyq4qpAw4IARUAAIhCGAFwAcABBg==&rs=AOn4CLAaXE8uvu_gvrtmhqxrfNkwM21qLA)
![[2022 MAMA] IVE&Kep1er&NMIXX&LE SSERAFIM&NewJeans - CHEER UP | Mnet 221129 방송 - 天天要聞](https://i.ytimg.com/vi/d2heDnR3sjc/hq720.jpg?sqp=-oaymwEcCNAFEJQDSFXyq4qpAw4IARUAAIhCGAFwAcABBg==&rs=AOn4CLAaAaOJ1FOuMVt8zl0aAdxxx1s2FQ)
![[2022 MAMA] IVE&Kep1er&NMIXX&LESSERAFIM&NewJeans-ELEVEN+WADADA+O.O+FEARLESS+Hypeboy | Mnet 221129 방송 - 天天要聞](https://i.ytimg.com/vi/IJks7TIDfnk/hq720.jpg?sqp=-oaymwEcCNAFEJQDSFXyq4qpAw4IARUAAIhCGAFwAcABBg==&rs=AOn4CLBY-vECgvowNPEf_1BO1TlRrKZwjw)
