2021—2022年中国网络安全发展蓝皮书
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第二节 数据安全治理加快推进

当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题。加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。2021年,世界各国通过强化数据泄露报告义务、持续调整细化数据跨境流动规则、重点关切特殊类型数据及特殊场景数据安全保护,全面加强数据安全治理。

一、强化数据泄露报告义务

2021年1月,欧洲数据保护委员会发布《数据泄露通知指南》。该指南提出,数据控制者应在发现数据泄露后不迟于72小时向专员公署发送报告,如果超出72 小时的时限,应提供证明表明延误理由的正当性;如果风险不大,则无须报告专员公署,但是数据控制者应通知数据保护官并记录事件行为。这个报告的内容:个人数据泄露事故性质的描述,包括可能的数据主体的类别、大致数量以及相关个人数据的类别、大致数量;数据保护官的名称和联系方式;对个人数据泄露可能后果的具体描述;为解决个人数据泄露而采取或建议采取的措施的具体描述。

2021年3月,瑞士联邦数据保护委员会(FDPIC)发布《针对新修订的<数据保护法>的适用指南》。该指南指出,如果数据主体的隐私或基本权利遭受不利影响的风险很高,则数据控制者必须向FDPIC报告相关情况。这样,该指南就强化了数据泄露报告义务。

2021年3月,新加坡发布《数据泄露管理及通知指南(修订版)》。该指南指出,相关机构在应对数据泄露时,应将数据泄露报告给新加坡个人数据保护委员会。

二、持续调整细化数据跨境流动规则

2021年1月,韩国个人信息保护委员会发布《个人信息保护法(修正案草案)》。该修正案草案进一步明确数据跨境流动的多种渠道,以承接国际上通常采取的跨境数据流动机制。同时规定个人信息在跨境的过程中,一旦存在违法行为,则立刻中止跨境行为,以确保个人信息安全。

2021年4月,欧盟数据保护委员会发布《关于数据传输国际协议的第04/2021号声明》。该声明提出成员国必须对2016年5月之前涉及个人数据跨国流动的国际协议进行重新评估,且必要时进行重新审查。

2021年6月,欧盟委员会通过《适用于国际转移的标准合同条款》《适用于欧盟/欧洲经济区控制者和处理者的标准合同条款》两套新的标准合同条款。这两套新的标准合同条款确保中小企业遵守安全数据传输的要求,同时允许数据在没有法律障碍的情况下自由跨境流动。

2021年9月,欧盟数据保护委员会通过《关于GDPR 第三条适用与第五章数据跨境传输条款间相互作用的指南》。该指南明确允许健康数据跨境共享、处理的情形。这个指南的内容:未经卫生防控部门批准,严禁在境外存储、处理、生成、传输健康相关数据;明确允许健康数据跨境传输的10种情形——海外就医数据、远程医疗数据、实验室检测数据、科学研究数据、保险理赔数据、政府机构合作组织需要数据、医疗设备及可穿戴设备数据、药物警惕性数据、经医疗机构批准可境外传输存储的数据以及患者提出正式申请的数据。

2021年10月,七国集团(G7)就管理跨境数据使用达成一致协议。该协议在欧洲国家使用的高度管制的数据保护制度和美国更开放的方式之间确定了一个中间立场。该协议指出,数据应能够在信任的情况下自由跨境流动,但同时要保证个人数据必须受到可执行的高标准保护。

三、重点关切特殊类型数据及特殊场景数据安全保护

2021年1月,欧洲理事会第108 号公约咨询委员会发布《面部识别指南》,旨在为政府、面部识别开发人员、制造商、服务提供商和使用面部识别技术的实体提供一套措施,以实现对人权和个人数据的保护。

2021年3月,欧洲数据保护委员会发布《联网车辆和移动设备相关应用中的个人数据处理指南》。该指南提出联网车辆个人数据保护应通过默认设计遵循相关性和数据最小化原则,并对数据主体权利及车载Wi-Fi技术在非个人信息处理方面等提出建议。该指南针对在联网车辆中处理的生物特征和位置数据的问题,建议用户能够控制其数据在车辆中的收集和处理方式,且提出数据不应传输给任何第三方,数据主体应能够在出售车辆之前永久删除任何个人数据。

2021年3月,英国信息专员办公室(ICO)发布《政治竞选中个人数据使用指南》,为出于政治竞选目的处理个人数据的主体提供清晰实用的建议。该指南指出,如果主体出于政治竞选目的处理个人数据,但没有采取合理步骤遵循该指南,则很难证明自身的数据处理行为是公平且合法的,ICO 将有权采取评估通知、警告、谴责、强制执行通知和行政罚款等行动。

2021年3月,波兰数据保护管理局发布《生物识别数据使用指南》。该指南指出,生物识别数据的使用严重干扰个人隐私,并有可能暴露特定类别。该指南建议数据控制者和数据处理者应当评估是否必须通过生物识别数据来对个人进行身份验证,是否考虑了其中可能存在的安全问题等。

2021年10月,美国加州推出《遗传信息隐私法》,旨在进一步加强基因检测公司的个人信息保护。该隐私法要求,直接面向消费者的基因检测公司应向消费者提供本公司收集、使用、维护和披露基因数据的政策和程序,并获得消费者明确同意。

上一章目录下一章