中國新的網絡安全法已經生效,這意味著全球范圍內新增一個國際數據隱私法,這可能給跨國企業帶來更多挑戰。
企業可以在2018年再開始遵守歐盟的《一般數據保護條例》(GDPR),與歐盟GDPR相同,中國的數據隱私法于2016年11月獲得批準,并于2017年6月1日生效。新法律主要適用于“網絡運營商”和“關鍵信息基礎設施(CII)”,有專家表示該法律在定義方面過于廣泛。
“對此,該法律表明,任何維護計算機網絡的公司(甚至在自己辦公室內),都可被認定為’網絡運營商’,這個解釋足以包含大部分公司。那些通過網絡在中國內部開展業務的境外公司也可能涵蓋在內,”紐約國際律師事務所Proskauer隱私法博客專家指出,“CII提供商通常被視為“可能損害中國國家安全或公共利益的服務(丟失或遭破壞)”,該法律將信息服務、交通運輸、水資源和公共服務命名為其他服務提供商,政府對哪些類型的公司可能被視為CII提供商擁有最終解釋權。”
盡管目前尚不清楚中國的數據隱私法適用哪些情況,但責任很明確,包括:
收集個人信息需要獲得用戶同意;
保存網絡安全事件日志;
修復漏洞并部署網絡安全計劃;
備份和加密數據;
在中國存儲中國公民和非公民數據。
不一致的國際數據隱私法
中國新的網絡安全法給試圖遵守各種國際數據隱私法的企業帶來另一種挑戰。
根據企業協作軟件制造商Synchronoss公司全球數據隱私官Deema Freji表示,國際數據隱私法的麻煩在于,全球有很多隱私法,所有隱私法都有各自不同的解釋和細微差別。
“有些是針對具體國家,有些則針對具體行業。隨著技術不斷發展,數據正在隨時隨地以電子方式傳輸,并跨越國界。企業很難確定哪些法律適用于其數據,”Freji稱,“是存儲數據國家的法律,數據解密所在國家的法律,還是數據傳輸國家的法律?你可以想象,這些都是難以回答的問題,事實上,有些企業向法庭發問,試圖得到一些指導意見。”
Druva公司首席信托官Drew Nielsen稱,在國際數據隱私法方面達成共識更像是迫使國家保護其他國家的某些利益。
“如果你看看GDPR,這是關于讓公民控制自己的信息,而歐盟內成員國可在現行法規之上,對處理器和控制器提出更嚴格的要求,”Nielsen指出,“另一方面,面對中國網絡安全法的企業必須承擔暴露核心技術和知識產品給中國政府造成的影響。”
Privacy Professor公司首席執行官Rebecca Herold稱,在國際數據隱私法之間構建一致性方面并沒有太多進展。
“現在世界各地存在很多類型的隱私和安全法律;單在美國就有數千種。在各個國家之間并沒有建立共識。然而,對于某些特定類型的活動和數據,例如信用卡數據,全球都必須遵守相同的標準;這也是一種共識,”Herold說道,“在隱私和安全方面很少有共識,但總體而言,目前世界各地有成千上萬種不同的法律、法規和標準,每個國家、地區甚至城市都會有所不同。”
遵守各種數據隱私法
面對各種國際數據隱私法,跨國企業保持合規性并不容易。
Goldberg &Clements PLLC公司董事長兼訴訟人Richard Goldberg表示,這些國家法還可能相互矛盾。
“當美國政府要求在歐盟設有辦事處(或數據存儲)的公司提供文件時,該公司可能受到歐盟法律的約束,禁止傳輸文件給美國。(在某些情況下,該公司還需要獲得員工的許可)。新增加的限制肯定讓其難以跨國維持員工,”Goldberg稱,“在很多情況下,我都建議跨國企業他們應該避免進軍某些國家,即使那些國家擁有似乎有利可圖的業務增長水平,但風險和相關監管成本太高。”
Herold稱,企業需要建立正確的流程以確保遵守各種國際數據隱私法。
“在企業設有辦事處或者擁有員工、客戶、客戶端、患者和承包商的所有地點,企業必須遵守所有安全和隱私法律、法規、標準和法律要求,”Herold指出,“如果他們不這樣做,他們會發現自己不符合合規性,并可能面臨罰款、其他類型的處罰,甚至被勒令停止在這些地點的業務。”
Varonis Systems公司現場工程副總裁Ken Spinner等專家稱,試圖在每個地區保持合規性可能太難。
“我認為對于全面合規性并沒有捷徑,特別是越來越多跨境法規得以制定,”Spinner表示,“然而,數據保護專業人士會告訴你,如果你選擇法律最嚴格的國家(例如德國),你基本可滿足其他地方的大部分法律要求。”
Nielsen稱,第一步是“了解你的數據攻擊面情況,并完全清楚企業收集以及處理的數據類型,以及相關影響。”
“接著,了解你企業涉足的國家和地區。然而,選擇具有足夠重疊控制的安全和合規框架,涵蓋所有地區最廣泛的要求,”Nielsen稱,“沒有合規框架可涵蓋100%的控制,但企業可選擇最適合其業務的框架,盡量減少合規工作。”
Freji指出,盡管國際數據隱私法有不同的細微差別,根基一般相同,同時,了解你的數據流向以及誰可訪問數據是很好的起點。
“作為基準框架,企業必須確保他們能夠保護數據;確保在收集數據時獲得許可;確保員工在安全和隱私方面得到培訓,并根據其業務所在地理區域,確定需要遵守哪些法規,”Freji稱,“他們將需要對數據進行分類,因為這些法律并不適用于企業所有信息,而只是其中部分。企業需要認識到,很多國家還在制定其法律,或者在試圖跟上快速發展的技術進步,監管意圖與電子數據如何創建、存儲、處理和移動的現實之間通常會有一段鴻溝。”
京公網安備 11010502049343號