中國新的網(wǎng)絡(luò)安全法已經(jīng)生效,這意味著全球范圍內(nèi)新增一個(gè)國際數(shù)據(jù)隱私法,這可能給跨國企業(yè)帶來更多挑戰(zhàn)。
企業(yè)可以在2018年再開始遵守歐盟的《一般數(shù)據(jù)保護(hù)條例》(GDPR),與歐盟GDPR相同,中國的數(shù)據(jù)隱私法于2016年11月獲得批準(zhǔn),并于2017年6月1日生效。新法律主要適用于“網(wǎng)絡(luò)運(yùn)營商”和“關(guān)鍵信息基礎(chǔ)設(shè)施(CII)”,有專家表示該法律在定義方面過于廣泛。
“對(duì)此,該法律表明,任何維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的公司(甚至在自己辦公室內(nèi)),都可被認(rèn)定為’網(wǎng)絡(luò)運(yùn)營商’,這個(gè)解釋足以包含大部分公司。那些通過網(wǎng)絡(luò)在中國內(nèi)部開展業(yè)務(wù)的境外公司也可能涵蓋在內(nèi),”紐約國際律師事務(wù)所Proskauer隱私法博客專家指出,“CII提供商通常被視為“可能損害中國國家安全或公共利益的服務(wù)(丟失或遭破壞)”,該法律將信息服務(wù)、交通運(yùn)輸、水資源和公共服務(wù)命名為其他服務(wù)提供商,政府對(duì)哪些類型的公司可能被視為CII提供商擁有最終解釋權(quán)。”
盡管目前尚不清楚中國的數(shù)據(jù)隱私法適用哪些情況,但責(zé)任很明確,包括:
收集個(gè)人信息需要獲得用戶同意;
保存網(wǎng)絡(luò)安全事件日志;
修復(fù)漏洞并部署網(wǎng)絡(luò)安全計(jì)劃;
備份和加密數(shù)據(jù);
在中國存儲(chǔ)中國公民和非公民數(shù)據(jù)。
不一致的國際數(shù)據(jù)隱私法
中國新的網(wǎng)絡(luò)安全法給試圖遵守各種國際數(shù)據(jù)隱私法的企業(yè)帶來另一種挑戰(zhàn)。
根據(jù)企業(yè)協(xié)作軟件制造商Synchronoss公司全球數(shù)據(jù)隱私官Deema Freji表示,國際數(shù)據(jù)隱私法的麻煩在于,全球有很多隱私法,所有隱私法都有各自不同的解釋和細(xì)微差別。
“有些是針對(duì)具體國家,有些則針對(duì)具體行業(yè)。隨著技術(shù)不斷發(fā)展,數(shù)據(jù)正在隨時(shí)隨地以電子方式傳輸,并跨越國界。企業(yè)很難確定哪些法律適用于其數(shù)據(jù),”Freji稱,“是存儲(chǔ)數(shù)據(jù)國家的法律,數(shù)據(jù)解密所在國家的法律,還是數(shù)據(jù)傳輸國家的法律?你可以想象,這些都是難以回答的問題,事實(shí)上,有些企業(yè)向法庭發(fā)問,試圖得到一些指導(dǎo)意見。”
Druva公司首席信托官Drew Nielsen稱,在國際數(shù)據(jù)隱私法方面達(dá)成共識(shí)更像是迫使國家保護(hù)其他國家的某些利益。
“如果你看看GDPR,這是關(guān)于讓公民控制自己的信息,而歐盟內(nèi)成員國可在現(xiàn)行法規(guī)之上,對(duì)處理器和控制器提出更嚴(yán)格的要求,”Nielsen指出,“另一方面,面對(duì)中國網(wǎng)絡(luò)安全法的企業(yè)必須承擔(dān)暴露核心技術(shù)和知識(shí)產(chǎn)品給中國政府造成的影響。”
Privacy Professor公司首席執(zhí)行官Rebecca Herold稱,在國際數(shù)據(jù)隱私法之間構(gòu)建一致性方面并沒有太多進(jìn)展。
“現(xiàn)在世界各地存在很多類型的隱私和安全法律;單在美國就有數(shù)千種。在各個(gè)國家之間并沒有建立共識(shí)。然而,對(duì)于某些特定類型的活動(dòng)和數(shù)據(jù),例如信用卡數(shù)據(jù),全球都必須遵守相同的標(biāo)準(zhǔn);這也是一種共識(shí),”Herold說道,“在隱私和安全方面很少有共識(shí),但總體而言,目前世界各地有成千上萬種不同的法律、法規(guī)和標(biāo)準(zhǔn),每個(gè)國家、地區(qū)甚至城市都會(huì)有所不同。”
遵守各種數(shù)據(jù)隱私法
面對(duì)各種國際數(shù)據(jù)隱私法,跨國企業(yè)保持合規(guī)性并不容易。
Goldberg &Clements PLLC公司董事長兼訴訟人Richard Goldberg表示,這些國家法還可能相互矛盾。
“當(dāng)美國政府要求在歐盟設(shè)有辦事處(或數(shù)據(jù)存儲(chǔ))的公司提供文件時(shí),該公司可能受到歐盟法律的約束,禁止傳輸文件給美國。(在某些情況下,該公司還需要獲得員工的許可)。新增加的限制肯定讓其難以跨國維持員工,”Goldberg稱,“在很多情況下,我都建議跨國企業(yè)他們應(yīng)該避免進(jìn)軍某些國家,即使那些國家擁有似乎有利可圖的業(yè)務(wù)增長水平,但風(fēng)險(xiǎn)和相關(guān)監(jiān)管成本太高。”
Herold稱,企業(yè)需要建立正確的流程以確保遵守各種國際數(shù)據(jù)隱私法。
“在企業(yè)設(shè)有辦事處或者擁有員工、客戶、客戶端、患者和承包商的所有地點(diǎn),企業(yè)必須遵守所有安全和隱私法律、法規(guī)、標(biāo)準(zhǔn)和法律要求,”Herold指出,“如果他們不這樣做,他們會(huì)發(fā)現(xiàn)自己不符合合規(guī)性,并可能面臨罰款、其他類型的處罰,甚至被勒令停止在這些地點(diǎn)的業(yè)務(wù)。”
Varonis Systems公司現(xiàn)場工程副總裁Ken Spinner等專家稱,試圖在每個(gè)地區(qū)保持合規(guī)性可能太難。
“我認(rèn)為對(duì)于全面合規(guī)性并沒有捷徑,特別是越來越多跨境法規(guī)得以制定,”Spinner表示,“然而,數(shù)據(jù)保護(hù)專業(yè)人士會(huì)告訴你,如果你選擇法律最嚴(yán)格的國家(例如德國),你基本可滿足其他地方的大部分法律要求。”
Nielsen稱,第一步是“了解你的數(shù)據(jù)攻擊面情況,并完全清楚企業(yè)收集以及處理的數(shù)據(jù)類型,以及相關(guān)影響。”
“接著,了解你企業(yè)涉足的國家和地區(qū)。然而,選擇具有足夠重疊控制的安全和合規(guī)框架,涵蓋所有地區(qū)最廣泛的要求,”Nielsen稱,“沒有合規(guī)框架可涵蓋100%的控制,但企業(yè)可選擇最適合其業(yè)務(wù)的框架,盡量減少合規(guī)工作。”
Freji指出,盡管國際數(shù)據(jù)隱私法有不同的細(xì)微差別,根基一般相同,同時(shí),了解你的數(shù)據(jù)流向以及誰可訪問數(shù)據(jù)是很好的起點(diǎn)。
“作為基準(zhǔn)框架,企業(yè)必須確保他們能夠保護(hù)數(shù)據(jù);確保在收集數(shù)據(jù)時(shí)獲得許可;確保員工在安全和隱私方面得到培訓(xùn),并根據(jù)其業(yè)務(wù)所在地理區(qū)域,確定需要遵守哪些法規(guī),”Freji稱,“他們將需要對(duì)數(shù)據(jù)進(jìn)行分類,因?yàn)檫@些法律并不適用于企業(yè)所有信息,而只是其中部分。企業(yè)需要認(rèn)識(shí)到,很多國家還在制定其法律,或者在試圖跟上快速發(fā)展的技術(shù)進(jìn)步,監(jiān)管意圖與電子數(shù)據(jù)如何創(chuàng)建、存儲(chǔ)、處理和移動(dòng)的現(xiàn)實(shí)之間通常會(huì)有一段鴻溝。”