查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
跨境电子数据流动中的个人信息保护
【作者】 徐丹璐【合作机构】 恒都律师事务所
【中文关键词】 跨境电商;个人信息;利益平衡原则【主题分类】 安全法
【发布时间】 2018.05.17
【全文】法宝引证码CLI.A.226477    
  当我们对国外网站的用户信息泄露津津乐道、奉为谈资的时候,殊不知自己的信息可能也漂洋过海的到了另一端,光荣地成为遭受危险的一员。除了加强国内公司或平台对于个人信息的保护力度及法规完善外,在全球一体化的背景下,个人信息数据的跨境流动也值得关注。本文拟结合国内外的立法实践,对于跨境电子数据流动中的个人信息保护进行相应分析,希望对实践有所助益。
  一、跨境电子数据流动的风险
  顾名思义,所谓跨境电子数据流动是指电子数据跨越国境进行交换或流动。从电子数据的内容分类来看,其主要分为国家层面的信息和公民个人信息。由此带来的风险也可分为两类:一类是国家安全风险,国外情报机构可能利用电子数据的便携特性进行机密文件等的跨境转移,造成国家秘密的流失,不利于国家安全;另一类是个人信息安全风险,无论是出境旅游中人身和数据的双重跨境,还是跨境电子商务中的单纯数据流动,包含个人姓名、证件号码、账户信息等的数据都有被非法利用的风险。
  在此值得一提的是电子数据的特性,如所需存储空间小、单位空间内存储量大、易复制、通过网络快速传播等等,均为电子数据的快速流动创造了便利,也为监管和保护合法电子数据带来了挑战。
  二、外国应对跨境电子数据流动的措施
  不同国家在面对跨境电子数据流动的监管困境时,采用了不同的应对方法,各有侧重。受篇幅所限,本文仅简要从各国的重点规制方向方面予以阐述。
  1. 欧盟:数据保护过程中“属地”和“属人”的双重关卡
  欧盟有关个人数据保护的严厉程度一贯走在世界前列,并致力于构建全欧盟统一的数据保护标准,特别是2016年通过的《一般数据保护条例》,对于住所在欧盟的数据控制者、处理者(属地),以及住所不在欧盟,但其在欧盟境内主体提供商品和服务的过程中对欧盟境内主体个人数据进行控制或处理的(属人),无形中将在欧盟境内提供商品和服务的境外企业或个人也纳入监管的范围。
  《一般数据保护条例》废除了欧盟各成员国关于数据处理及跨境流动的许可备案程序,要求从企业内部进行监管,如要求设立专门数据保护人员和进行数据处理相关的文档化管理等。《一般数据保护条例》规定的跨境电子数据合法路径包括:充分性决定、有约束力公司规则、标准合同条款及经批准的行为规则等。路径看似多元,但仅就充分性决定来看,自实施以来通过的国家不足10个,可见欧盟对于跨境电子数据流动采用的行业自律和第三方监管措施是极为严厉的。
  2. 美国:缔结跨国、跨区域的多边数据保护相关约定
  美国在跨境电子数据流动方面,一直致力于通过缔结多边数据保护约定进行相应规制。2011年,亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR),由获得认可的评估机构对商业机构保护个人隐私与信息的水平进行认证并公布,企业可自愿参与,同时规定加入该规则体系的前提条件之一是,申请人的国内具有高水平的隐私保护法律,其相关法律应当通过AEPC监督小组的审核。由此也带动了澳大利亚、日本等国对于国内隐私保护法律的修正,以彰显其对跨境跨地域合作的重视。
  2009年起,奥巴马总统在任时极力推动建立的跨太平洋伙伴关系协定(TPP),支持跨境数据的自由流动,反对对跨境数据流动的限制以及数据的本地存储等业已成型的规则。尽管特朗普执政后即宣布退出,但这一过程显示的美国作为超级大国企图通过主导区域规则制定的意图,以及跨境数据保护带来的多重难点,仍然值得我们关注。
  三、中国应对跨境电子数据流动
  全国人大2016年11月通过《网络安全法》已经于2017年6月1日起实行。其中也对电子数据的跨境流动进行了相应的规制,并集中体现在第三章“第二节关键信息基础设施的运行安全”部分,可进行相应提炼如下。
  1. 数据境内存储:第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.226477      关注法宝动态: