续俊旗:各国应加强合作,共同促进数据流动监管的标准制定
2016-02-02 09:36:54
  • 0
  • 0
  • 2
  • 0

    核心观点:(1)云服务商安全能力评估指标可参考美国NIST;(2)在数据保护方面我国立法应具有前瞻性,并与国际各国协同合作;(3)数据流动监管审查标准需在实践中摸索正确方式。

一、云服务商安全能力评估指标可参考美国NIST

    关于云服务商安全能力评估指标问题,可以参考美国标准研究院NIST的相关成果,该成果比较成熟、中性客观,适合国内借鉴。这个需要较强的技术、标准知识,不属于我的能力范围。但是,提几点原则性的建议:首先,既然云服务是IT服务的一种技术模式,那对于非常重要的数据,最好就不要放到云里去,风险高,收益低,得不偿失。其次,数据要分类处理,有些是体现个人身份的数据,有些是已经明确能识别个人身份的数据,有些是可能识别个人身份的数据,不同类型的数据要区别对待。当然,这种数据分类是动态的、相对的概念,需要在特定的业务、应用场景下来判断。还有一些重要的原则大家都很清楚,比如尽管都是个人身份数据,一般性数据采取默示同意原则,对于敏感数据、个人隐私就需要采取明示同意原则。

二、在数据保护方面我国立法应具有前瞻性,并与国际各国协同合作

    关于欧盟最新的《一般数据保护条例》,目前条例草案还需要等到欧洲议会和欧洲理事会的审批通过后才能生效,此外还有两年的实施过渡期,预计将于2018年正式生效。欧盟另外还在制定《网络与信息安全指令》。两者有区别,一个是条例,能够直接针对欧盟成员国和公民实施;一个是指令,不能直接实施,需要成员国转化为国内法后才能实施。这也在一定程度上能够说明数据保护相对比较容易在欧盟内部达成共识,而网络与信息安全的问题涉及到各成员国网络主权的问题,需要不断地讨价还价,反映了欧盟社会对这个价值观的认同有差别。中国目前在制定《网络安全法》等相关法律法规,下一步会不会专门制定数据保护或个人信息保护的基本法还未确定。网络安全法主要以网络的运行安全以及数据安全为原则制定,中国在立法过去较多地主要参考欧洲立法,即大陆法系的成文法立法模式。在数据保护上,也将更多地借鉴欧盟的做法。另一个问题是对于数据保护程度问题。当前有一个有趣的现象,在欧洲尤其是德国相对于美国容易获得禁令,一方面,美国在调整知识产权保护与知识产权滥用之间的平衡度,另一方面,也反映了欧盟一贯的对知识产权严格保护的立场。甚至有一些美国同行都认为欧洲在知识产权问题上是不是太僵化,应该与时俱进,因为产业生态在发生剧烈的变化。造成这种差异的背后原因可能是文化差异和历史传统等多因素造成的。在数据保护方面,欧盟也是比中国、美国更严格,原因除了本国/地区产业发展程度外,与文化、价值理念等不无关系。有一项调查统计,在欧洲最重要的十项价值里,个人数据保护排在第二位,也说明了这种基本价值观在文化传统上的根深蒂固。随着技术、业务的高歌猛进,GDP的高速增长,也许我们应该反思,是不是有时候应该往后退一些,一些基础的价值观、精神文明不能因为发展要丢弃,产业发展和文化、基本价值观等应并行发展。因此,国内在进行网络与信息安全立法时,一定要有前瞻性的视野,立足当下,着眼未来。在数字经济时代,数据保护是全球性问题,需要国家间协同合作,促进数据保护的执法和司法的实际执行。

三、 数据流动监管审查标准需在实践中摸索正确方式

    数据流动监管作法各国各异,一般多采用数据外流的预先审查、安全评估、要求运营商采取措施防止数据跨境流出、标准的格式合同、安全协议等方式加以控制。从发展方向上看,一个是要求在本地建立数据中心,另外一个就是数据的本地化,即数据的收集、存储、和加工都需要在境内采取。现在国内立法讨论,数据本地化和跨境流动是一个重点和立法的热点、焦点。那么,应该怎么管?当前,重要数据已经成为国家战略性的资产是把所有数据严格控制还是适当放开,归根结底还是一个数据分类管理的问题。比如政府部门的数据和银行、金融类的数据不可能随便转移到境外,要严格控制,其他的一般性信息,则可以自由流转,而中间的数据则施加必要的限制条件后再进行跨境传输。总之,具体如何操作、实施,数据跨境流动审查标准如何建立,是一个比较复杂的问题,需要在实践中不断探索。


 
最新文章
相关阅读