- 2021—2022年中國網絡安全發展藍皮書
- 中國電子信息產業發展研究院編著
- 1961字
- 2023-12-06 17:42:37
第二節 數據安全治理加快推進
當前,數據安全已成為數字經濟時代最緊迫和最基礎的安全問題。加強數據安全治理已成為維護國家安全和國家競爭力的戰略需要。2021年,世界各國通過強化數據泄露報告義務、持續調整細化數據跨境流動規則、重點關切特殊類型數據及特殊場景數據安全保護,全面加強數據安全治理。
一、強化數據泄露報告義務
2021年1月,歐洲數據保護委員會發布《數據泄露通知指南》。該指南提出,數據控制者應在發現數據泄露后不遲于72小時向專員公署發送報告,如果超出72 小時的時限,應提供證明表明延誤理由的正當性;如果風險不大,則無須報告專員公署,但是數據控制者應通知數據保護官并記錄事件行為。這個報告的內容:個人數據泄露事故性質的描述,包括可能的數據主體的類別、大致數量以及相關個人數據的類別、大致數量;數據保護官的名稱和聯系方式;對個人數據泄露可能后果的具體描述;為解決個人數據泄露而采取或建議采取的措施的具體描述。
2021年3月,瑞士聯邦數據保護委員會(FDPIC)發布《針對新修訂的<數據保護法>的適用指南》。該指南指出,如果數據主體的隱私或基本權利遭受不利影響的風險很高,則數據控制者必須向FDPIC報告相關情況。這樣,該指南就強化了數據泄露報告義務。
2021年3月,新加坡發布《數據泄露管理及通知指南(修訂版)》。該指南指出,相關機構在應對數據泄露時,應將數據泄露報告給新加坡個人數據保護委員會。
二、持續調整細化數據跨境流動規則
2021年1月,韓國個人信息保護委員會發布《個人信息保護法(修正案草案)》。該修正案草案進一步明確數據跨境流動的多種渠道,以承接國際上通常采取的跨境數據流動機制。同時規定個人信息在跨境的過程中,一旦存在違法行為,則立刻中止跨境行為,以確保個人信息安全。
2021年4月,歐盟數據保護委員會發布《關于數據傳輸國際協議的第04/2021號聲明》。該聲明提出成員國必須對2016年5月之前涉及個人數據跨國流動的國際協議進行重新評估,且必要時進行重新審查。
2021年6月,歐盟委員會通過《適用于國際轉移的標準合同條款》《適用于歐盟/歐洲經濟區控制者和處理者的標準合同條款》兩套新的標準合同條款。這兩套新的標準合同條款確保中小企業遵守安全數據傳輸的要求,同時允許數據在沒有法律障礙的情況下自由跨境流動。
2021年9月,歐盟數據保護委員會通過《關于GDPR 第三條適用與第五章數據跨境傳輸條款間相互作用的指南》。該指南明確允許健康數據跨境共享、處理的情形。這個指南的內容:未經衛生防控部門批準,嚴禁在境外存儲、處理、生成、傳輸健康相關數據;明確允許健康數據跨境傳輸的10種情形——海外就醫數據、遠程醫療數據、實驗室檢測數據、科學研究數據、保險理賠數據、政府機構合作組織需要數據、醫療設備及可穿戴設備數據、藥物警惕性數據、經醫療機構批準可境外傳輸存儲的數據以及患者提出正式申請的數據。
2021年10月,七國集團(G7)就管理跨境數據使用達成一致協議。該協議在歐洲國家使用的高度管制的數據保護制度和美國更開放的方式之間確定了一個中間立場。該協議指出,數據應能夠在信任的情況下自由跨境流動,但同時要保證個人數據必須受到可執行的高標準保護。
三、重點關切特殊類型數據及特殊場景數據安全保護
2021年1月,歐洲理事會第108 號公約咨詢委員會發布《面部識別指南》,旨在為政府、面部識別開發人員、制造商、服務提供商和使用面部識別技術的實體提供一套措施,以實現對人權和個人數據的保護。
2021年3月,歐洲數據保護委員會發布《聯網車輛和移動設備相關應用中的個人數據處理指南》。該指南提出聯網車輛個人數據保護應通過默認設計遵循相關性和數據最小化原則,并對數據主體權利及車載Wi-Fi技術在非個人信息處理方面等提出建議。該指南針對在聯網車輛中處理的生物特征和位置數據的問題,建議用戶能夠控制其數據在車輛中的收集和處理方式,且提出數據不應傳輸給任何第三方,數據主體應能夠在出售車輛之前永久刪除任何個人數據。
2021年3月,英國信息專員辦公室(ICO)發布《政治競選中個人數據使用指南》,為出于政治競選目的處理個人數據的主體提供清晰實用的建議。該指南指出,如果主體出于政治競選目的處理個人數據,但沒有采取合理步驟遵循該指南,則很難證明自身的數據處理行為是公平且合法的,ICO 將有權采取評估通知、警告、譴責、強制執行通知和行政罰款等行動。
2021年3月,波蘭數據保護管理局發布《生物識別數據使用指南》。該指南指出,生物識別數據的使用嚴重干擾個人隱私,并有可能暴露特定類別。該指南建議數據控制者和數據處理者應當評估是否必須通過生物識別數據來對個人進行身份驗證,是否考慮了其中可能存在的安全問題等。
2021年10月,美國加州推出《遺傳信息隱私法》,旨在進一步加強基因檢測公司的個人信息保護。該隱私法要求,直接面向消費者的基因檢測公司應向消費者提供本公司收集、使用、維護和披露基因數據的政策和程序,并獲得消費者明確同意。