新闻动态

跨境数据传输是日常业务中经常且至关重要的组成部分
跨境数据传输是日常业务中经常且至关重要的组成部分。在过去的20年中,由于全球通信网络和业务流程的发展,全球数据流的模式已迅速发展。随着数据从数据中心移到数据中心和/或跨边界移动,安全漏洞已成为切实的风险。有可能违反国家和国际数据传输法规和隐私法。随着越来越多的国家实施规范跨境数据传输的隐私法律,这些风险变得越来越普遍。这些法律通常禁止跨境转移,除非满足某些条件或对转移公司施加监管义务。 随着跨境数据活动的普遍增加,跨境诉讼也有所增加,因此,数据披露活动也有所增加。随着全球信息技术和隐私法规的变化,必须告知法律和技术从业者最佳实践,适用的法律法规和安全协议,以确保数据中心之间,数据中心之间的传输以及与跨站点连接相关的数据安全。边境转移。 在跨境数据问题中,要有效保护数据,您必须考虑其生命周期。数据生命周期的主要功能是: 建/捕获:无论是从网站捕获,文件传输还是物理获取,接收或创建数据都会影响处理。每种创建或捕获方法都需要不同形式的保护,以确保信息得到保护 索引和分类:安全获取数据后,必须应用适当的规则。第一步是识别获取的数据类型。它是个人身份信息(PII)吗?它是图像还是文档?什么样的文件?将数据分类为正确的“存储桶类型”将有助于遵守国际数据隐私法规,还将使披露过程更加有效。 存储/管理: 数据存储位置将驱动应用哪些保护控件。如果数据由PII或潜在的PII组成,则法律上可能要求组织以基于磁盘的加密格式存储数据并加密数据的备份副本。 检索/发布:在跨边界安全地传输数据之后,必须确保在传输,存储和显示的每个阶段都对数据进行加密,以使其可供使用。数据无法在未传输到的国家/地区解密,因此必须控制对能够进行跨境传输的系统(如网络路径)的访问。 流程:为确保数据仅用于授权目的并遵守适用法律,应用程序控制和元数据标记是有用的工具。 存档:当不再需要数据时,会出现符合适用政策和法律要求的长期存储问题。备份是现场还是异地?您的备份是否跨越国际边界?备份是否受其他国家的隐私和数据保护法约束?这些问题的答案将有助于确保减轻所有潜在的风险领域。 销毁:根据适用法律,在每个阶段,必须使受保护的数据不可用。确保销毁档案,文件,物理副本和任何其他副本。但是,对于从定期排定的销毁周期中排除的数据,需要建立适当的流程。例如,受法律保留和发现请求约束的数据,以及受跨国界隐私法规约束的数据。 即使采用最强大的策略,流程和系统,也需要持续保持警惕。组织应: •监视法规和安全环境的变化•确保制定适当的流程来应对合规性或技术安全控制方面的挑战。 •确保可以管理具有跨边界或跨辖区影响的数据泄露。 有意义的数据保护 在制定一套真正的国际数据安全和隐私控制标准之前,对各种国内外组织的数据进行有意义的保护仍将是一个问题。开展国际业务的公司必须制定有效的策略,以履行其当前和未来与国际数据传输和数据安全最佳实践相关的义务。 与时俱进的最佳实践,实施信息治理计划,确定有效的缓解技术和持续验证以及强大的事件响应能力,将使组织能够应对跨境数据传输和安全性带来的挑战。
2020-11-16
跨境文件传输换上镭速传输,看看能提速多少?
跨境文件传输、跨国文件传输,这是最近我们听到很多客户提出的文件传输诉求。尤其是对影视、传媒、互联网、生命科学行业来说,文件跨国传输、跨境传输是再日常不过的事情。但是传统的传输工具FTP对现在的数据量来说,已经很难跟上速度了。 镭速传输作为提供一站式大文件数据传输解决方案的服务商,拥有自主研发的Raysync超高速传输协议。该协议是镭速传输基于云计算、互联网、大数据架构应用,自主研发的超高速传输协议,突破传统FTP,HTTP的传输缺陷,传输速率相较于FTP提升100倍,带宽利用率达96%以上,能够轻松满足TB级别大文件和海量小文件极速传输需求。 以10GB大文件为例,测试环境设置为: 北京阿里云——纽约阿里云 配置:4核8G内存 带宽:200MB/s 丢包:5% 延时:200ms (传输实况图) 测试结果如下: 10GB大文件跨国传输,FTP需要传输34小时,使用专业的文件传输工具镭速传输传输后,速度降至7分30秒,实现了传输效率272倍的提升。 在文件实际跨境传输、跨国传输中,这种提速对企业发展是十分有利的。应用先进技术进行文件传输和管理文件传输过程,可以提升市场响应速度和业务流程速度,加快企业生产、前进的步伐。更多文件传输难题,欢迎咨询镭速传输,我们将为您提供专业的解答和有效的解决方案。
2020-10-21
国际:跨境数据传输中的充分或等效保护问题
作为一种常见的商业惯例,跨境数据传输的激增伴随着日益严峻的法律和法规环境的规范。现在讨论了其中一些挑战,并提供了四步方法来帮助公司在将数据传输到其他司法管辖区的当事人时确保其合规性。 介绍 客户问:“我的新加坡办事处可以将个人数据转移到海外吗?” (未具名的)新加坡数据保护律师的回答是:“好吧,前提是您确保该数据获得了与新加坡法律相当的保护标准。” 他说出斜体字是因为他解释了《 2012年新加坡个人数据保护法》(2012年第26号)(“ PDPA”)。 因此,客户自然会问:“但是,并非所有的数据隐私法都大致相同吗?” 律师对此说:“好,这是一个难题。” 客户抗议:“你只是想向我收取更多的钱。不是吗?” 但这是一个难题。不,这不是给发票充气的借口。 随着越来越多的企业在多个地区开展业务并采用基于云的解决方案,跨境数据传输的使用正在增加。因此,在数据保护或隐私法下规避跨境数据传输限制已成为一种必要。 这可能是一个不同的法律体系如何运作的问题,但是在大多数辖区中,跨境数据传输限制意味着要确保您发送数据的地点(目的地辖区)提供了“适当级别”的保护。 但是,什么是适当的,可能会有所不同。在这里,魔鬼经常会出现在细节中(或替代地,在提供的发票中)。 充分性-由公共决策确定 解决充分性的一种方法是通过监管机构进行评估,其中最著名的例子是欧盟委员会(EC)根据《通用数据保护条例》(《规章》(EU) )2016/679)('GDPR')。 在此过程中,欧盟提出了一项建议,以考虑特定的非欧盟管辖区是否满足GDPR的充分性要求。随后,由欧洲数据保护委员会发布意见,然后由欧盟国家的代表进行审议(并可能获得批准)。然后,此过程最终通过了EC 1的决定。 当针对特定司法管辖区发布肯定的充分决策时,EC实质​​上是将该司法管辖区“白名单”,即确定其具有对个人数据的足够保护水平,从而不会将个人数据从欧盟内部转移到该国家/地区需要任何进一步的授权。 对迄今为止发布的适当性决定中使用的分析步骤进行比较回顾,本身将是一件有趣的文章,但是对于本文而言,窥视最近的适当性决定就足够了,即关于日本的适当性决定(2019年1月23日)2。 在这种情况下,分析总结并回顾了日本数据保护法,例如《个人信息保护法》(“ 2003年第57号法”)(“ APPI”),其中包括: 审查APPI下的概念; APPI下的权利,义务,排除和其他保护措施; 监督和执行,涉及执行和司法补救的权力;和 审查该国法律对公共当局的影响及其在访问该数据时受到检查/限制的能力(Schrems 3案之后的一个重要主题)。 值得注意的是,这里没有提及统计数据或对执行成本的任何分析,也没有提及有关诉诸司法的困难或便利的讨论。换句话说,该分析未涉及非专业人员可能考虑的“现实世界中的考虑因素”。但是,由于难以量化和评估实际的“实地”问题,因此可以理解。 对于企业而言,此过程对其提供的清晰度很有帮助。但是,与许多政府程序一样,这可能需要时间。该过程自1990年代就已经存在,但是,截至本文撰写之时,只有十几个司法管辖区收到了一项适当的积极裁决,而日本只是亚太地区第二个作出此裁决的司法管辖区。 充足性-通过私人协议/安排实现 考虑到快速有效地开展业务的实际需求,这一速度问题使得有必要考虑对私人协议(例如双边/多方合同)和安排(例如政策,流程和审计)的依赖。 私人协议和安排最终将重点放在单个政党(一个或多个政党)上,以及他们亲自采取的私有步骤以确保从国家/地区转移数据符合标准。在GDPR的背景下,数据传输工具包括使用约束性公司规则(“ BCR”)4,同意协议以及使用模型条款的数据传输协议。 从立法角度来看,这种方法通常包括多个方面,涉及评估在每种情况下实施的保障措施的可行性。 这种方法并不意味着目的地司法管辖区的实际立法或监管状况不相关,而是将重点转移到个人安排上,以实现合规。 当然,公共安排和私人安排之间的区别并不精确。部门/行业一级的集体私人行动也可以通过提出标准来影响安排。这可以导致私人制定的标准获得认可,一旦它们在采用方面达到临界质量,最终将为实施制定一条监管/立法途径5。 新加坡根据《个人资料保护法》第26条规定的数据传输规则规定了一项义务,即“确保组织为这样转移的个人数据提供与《个人资料保护法》6所提供的保护相当的保护标准。这表明,与充分性决定一样,焦点仍然集中在标准上,需要与PDPA标准进行比较。 本部分由《 2014年个人数据保护条例》作为补充,该条例为寻求传输数据的组织提出了一系列可能的途径。这些包括: 征得数据当事人的同意; 证明转让对于缔结或履行合同是必要的;和 识别和适用某些豁免(例如,免除同意义务,可公开获得的数据,传输中的数据)7。 但是最重​​要的是,至关重要的是,跨境转移的当事方之间要执行具有法律约束力的特定协议,并用条款来规范各自与该转移有关的义务。 制定私人协议的范围:四个关键步骤 当然,只要有私人协议,就需要评估和解决当地法律对此类协议的影响。 在比较相关标准的过程中,很可能存在在不同的国家规则之间进行比较的问题。不同的地方法律可能会规定不同的要求,例如,包括通知转让给数据保护监管机构,采取措施注册转让安排以供批准,履行特定义务并要求各方之间明确/明确达成协议等步骤,或者使用标准化协议表格。 要浏览竞争标准,理解游戏中的观点并提出以下问题也很重要: 转移的原因是什么? 工作中有保障措施吗? 是否有解决数据泄露或潜在风险的协议或流程? 随着时间的流逝会发生什么变化? 任何协议的条款和条件都可能恰好适合于这些不同方面,并确保存在可用于补充合同保障措施的运营流程。 这表明在每个司法管辖区至少应采用以下四个关键步骤: 考虑跨境转移安排是否属于/符合来源国管辖范围内允许的任何类别的跨境数据转移。这还应包括考虑到有适当的转让安排就可以确保这些许可继续适用的必要条件。 遵循监管步骤和协调(无论在始发地还是目的地地域)。 用适当的私人协议,操作流程和保障措施对所有转让安排进行补充-确保这些措施始终适合于所涉转让的性质。 在开始时然后在以后定期验证协议,过程和保护措施是否违反始发地和目的地管辖区的法律。 结论 那么,在本文开始时对客户的冷嘲热讽是否值得? 这种复杂性是否足以向客户收取更多的钱? 确实,这听起来确实像是要采取详细步骤,起草协议,考虑可能的排列方式。可能全部转化为额外费用吗? 就像所有优秀的律师都会说的那样:这取决于。 跨境转移安排的种类繁多,不能完全适合一个模型。 其中一些模型是“成本轻型”的(因为它们可能易于应用,而不会在法律和法规方面严重加重负担,尽管运营保障和流程也可能具有一张或多张发票)。自己的8)。 还有一些人可能需要更加集中精力来使事情井然有序。 因此,细节(或发票)中的魔鬼可能比原先想象的要小或大得多。 但是话又说回来,用足够的知识武装自己来执行上述四个关键步骤可能会帮助您熟悉他。 毕竟,比您不了解的恶魔还要好,您知道的恶魔。
2020-10-20
加拿大:USMCA之后的跨境转移和数据本地化
《美国-墨西哥-加拿大协议》(“ USMCA”)的条款涵盖了其签署国之间交换个人信息的新颖主题,可以说为欧盟委员会对加拿大的适当性决定的地位引入了新的不确定性因素。BLG LLP的高级研究员Max Jarvie讨论了此问题,同时参考了USMCA的措辞以及它对区域数据本地化和数据传输要求的影响程度。 USMCA 1即将在加拿大,美国和墨西哥2的所有三个成员国中生效,取代了北美自由贸易协定(NAFTA)。当三方在2018年11月首次正式同意USMCA的案文3时,许多评论员就加入了第19章“数字贸易”。第19章直接讨论了北美自由贸易协定所没有的主题,将自由贸易的哲学明确地扩展到了数字产品和包括个人信息在内的信息流的范围内。 第19章对个人信息的潜在影响正确地引起了隐私专业人士的关注,隐私专业人士对与跨境信息流和数据本地化有关的特殊规定置若zero闻,这限制了加拿大未来的立法和政策选择,而信息流正变得越来越重要。经济和社会政策4与国家安全5。此外,自第一轮批评于2018年问世以来,加拿大联邦政府发布了其《数字宪章》,其中包括(除其他事项外)致力于改革加拿大联邦隐私法的承诺6。在新的USMCA约束可能适用于该法律的条款的前提下,并且鉴于加拿大希望根据《通用数据保护条例》(EU(EU)2016/679)(“ GDPR”)7维持其充分性决定, USMCA确实在微妙的时间生效。 尽管提出的担忧是合理的,但有理由认为,USMCA的当事方已经为自己协商了足够的灵活性以制定政策并在最需要灵活性的情况下(例如个人信息领域)制定法律。结果,加入USMCA似乎不太可能严重影响加拿大根据GDPR获得充分决策的机会。 在得出这些结论时,本文考虑了第19章之内和之后的USMCA起草的逻辑,及其对加拿大限制跨境信息流和施加数据本地化要求的权力的影响。 通过电子手段进行信息的跨境转移 USMCA第19.11条否认会员国有权禁止或限制通过电子信息手段(包括个人信息)进行跨境转移,前提是该活动是为了“业务行为8”。正如其他评论员所指出的那样,该规定在某种程度上是《跨太平洋伙伴关系全面进步协议》(CPTPP)9的“电子商务”章节的第14.11条的抄袭/粘贴,并附有一些修订10。 尽管有禁令,USMCA条款(包括CPTPP在内)仍包含一个限定词,其含义是只要措施符合测试的四个分支,就不会阻止成员国采取或维持与禁令相抵触的措施。即,该措施必须: 解决合法的公共政策目标; 不得以构成不合理或任意歧视的方式应用; 不构成对贸易的变相限制;和 该措施施加的限制不得大于实现目标11所必需的限制。 “合法的公共政策目标”一词非常广泛,并且通过允许采用或维持“措施”而不是仅仅通过法律来进一步扩大限定词。可以说,它涵盖了政府的指令和政策。因此,随着禁令的发展,成员国似乎有很大的自由度制定与第19.11条的义务相抵触的政策。还值得一提的是,不禁止或限制的违约义务似乎或多或少地符合自由贸易协定的整个目的。 计算设施的位置 与第19.11条相比,USMCA第19.12条中规定的数据本地化规定与CPTPP的相应规定之间存在明显差异。尽管必须指出的是,《美国美国商会法案》第19.12条的适用范围相对有限-任何成员国都不能要求公司在成员国领土内使用或放置计算设施作为在该领土上开展业务的条件12,但不一定如此防止在例如特定合同的上下文中将数据本地化作为一项要求-此条款的USMCA版本中没有所有调节语言。毫无疑问,这引起了危险信号,正如其他人观察到的13。 例如,USMCA第19.12条中没有声明成员国可能有自己的监管要求的措辞,这一点已包含在CPTPP 14的相应部分中,这涉及到美国和加拿大监管框架之间的巨大鸿沟。涉及隐私和数据保护。可能更令人担忧的是,尽管CPTPP数据本地化条款包含与数据传输相同的四分支例外测试,但USMCA中完全没有这种例外。 幸运的是,有理由认为,第19章本身,第32章以及USMCA的其他方面提供的工具可在各种情况下为加拿大数据本地化控件提供一定程度的保护。特别是对于后一点,USMCA起草的总体逻辑似乎为省级政府采取他们认为合适的任何措施提供了令人惊讶的广阔范围。下面,依次讨论这些注意事项。 第19章 首先,应该指出的是,第19.2(3)条说,第19章不适用于政府采购或由政府或代表政府持有或处理的信息,或与该信息有关的措施,包括与收集信息有关的措施15。这样,涉及本地政府自身的个人信息的数据本地化政府指令,例如联邦政府现有的云计算电子数据居住方向(“方向”),将不会受到影响16。 其次,根据第19.11条的规定,加拿大可以限制或禁止涉及向美国发送个人信息的数据传输。对美国政府对加拿大人进行秘密监视的担忧17,或者在美国大多数州缺乏健全的个人信息保护法律,可能会成为该条所要求的“合法公共政策目标”的基础。出于所有实际目的,对个人信息的电子传输进行充分的限制或完全禁止将阻止个人信息存储在美国。 自然,这可能被视为间接执行第19.12条所禁止的直接行为的尝试,美国因此而对此提出质疑18。 第32章 因此,加拿大可以参考USMCA的第32章“例外与一般规定”。第32.1(2)条规定,就USMCA第19章而言,《美国贸易服务总协定》(GATS)19第XIV条第(a)-(c)款已作必要修改,并已纳入USMCA中。。根据这样的修改,《服务贸易总协定》第十四条规定,除其他事项外,成员可以采取或强制采取必要措施以确保遵守法律或法规,前提是这些法律或法规本身不违反USMCA的规定。特别被称为属于此例外的法律或法规包括与“在处理和传播个人数据以及保护个人记录和帐户的机密性方面保护个人隐私”的法律或法规有关的法律或法规。 在这方面,有趣的是,加拿大领先的法律和技术问题学者和评论员迈克尔·盖斯特(Michael Geist)在2018年对USMCA的评论中指出,加拿大谈判者可能将GATS规定解释为为隐私保护,从而使不列颠哥伦比亚省和新斯科舍省保留其省级数据本地化法律20。 Geist的评论发表后不久,卑诗省信息与隐私协会(FIPA)提出了对USMCA对卑诗省法律中的数据本地化控制的影响的担忧,发表了一份联邦政府的声明,似乎在佐证Geist的观点。假设。声明内容为:'已完成法律分析,并确定根据信息自由和隐私保护法对加拿大公共机构在加拿大数据本地化的立法保护没有受到影响。在协商过程中,卑诗省与渥太华紧密合作,以确保这些数据本地化保护在新协议中得以维持21。 尽管有盖斯特说了什么,但GATS例外语言将其放宽限制在那些与所影响的协议条款“不矛盾”的法律上。鉴于第19.12条对数据本地化包含了无条件的禁止,表面上这表明GATS例外无法提供任何合法手段来支持数据本地化。 盖斯特的假设是否正确?如果是这样,联邦政府为什么会向FIPA做出这样的声明? 可以想象对USMCA和GATS第19.11和19.12条的复杂解释会支持Geist的结论。例如,让我们想象一下一项法律,该法律禁止在加拿大境外转移个人信息,该法律符合合法的公共政策目标。这样的法律将具有禁止在美国存储该信息的必然效果。有理由提出这样的论点,即关于禁止在加拿大境外转移的一般法律是对第19.12条的变相或建设性违反。但是,根据我们是否将建设性违规视为“前后矛盾”,将GATS语言并入可以排除这种争论。“不一致”是与形式逻辑紧密相关的概念;当事物彼此相反,在某种程度上意味着一种事物对另一种事物的否定时,它们就被认为是不一致的。“建筑”是一个法律概念,例如认为,表示一种法律小说,用于在未正式满足某种条件的情况下将其视为已满足某些条件。如果USMCA的起草者希望“不矛盾”一词具有更广泛的含义,他们会这么说。因此,根据合法政策目标的要求,合并第十四条《服务贸易总协定》可以提供一种克服19.12否则本来不会适度的语言的方法。 但是,还有另一种可能性,那就是更直接,并且会产生有趣的后果。 义务范围 USMCA的前身NAFTA载有关于成员国继承其继承国没有义务的程度的规定。《北美自由贸易协定》第105条规定:“各州应确保采取一切必要措施,以使州和省级政府对本协议的规定生效,包括遵守本协议的规定(本协议另有规定的除外)22。 ' 这种语言并没有延续到USMCA的第1章中,但是不能归结为1980年代以来国际法规范的演变。惊人相似的语言,例如,是存在于全面经济和贸易协定(“CETA”),在2014年结束的第二十1.8 23。而且,类似的语言确实出现在USMCA中-但仅对第14 24章有效,而不作为一般义务。第19章中没有出现具有同等作用的语言。 一些分析人员将USMCA第1.4节(该条规定每个成员国有义务确保已委派监管,行政或其他政府权力的人员)按照成员国的义务行事25,等同于NAFTA第105 26条。。但是,这毫无意义,特别是在加拿大联邦制在省级政府和联邦政府之间实行宪法分权的情况下。各省所拥有的权力不受联邦政府的“委托”。从CETA的案文中可以明显看出加拿大政府的谈判人员普遍意识到这一点,该案不仅包括确保各级政府实施条约第1.8条规定的一般义务,还包括“授权的政府机构在第1.10条中的规定与USMCA第1.4条的案文相呼应27。 因此,根据USMCA看来,加拿大联邦政府没有明确的义务要求各省执行该协议。 根据加拿大的宪法安排,各省也不会在任何情况下自动受到约束。相反,在一项国际条约影响宪法赋予各省的权力的情况下,只有在某省将该条约纳入省内法律的情况下,它才能对加拿大省法律产生影响28。加拿大宪法与美国宪法的“至高无上条款”不相称,在国际条约的背景下可以利用该宪法来迫使各省通过制定联邦法律来履行该条约的义务29。 NAFTA 30已经预见到了这些问题,评论员指出,没有省级政府将NAFTA纳入自己的法律31。也没有迹象表明各省计划针对USMCA这样做。联邦政府的实施法规是将USMCA纳入美国国内法的唯一手段。 因此,USMCA不仅没有包括强制加拿大联邦政府确保区域和地方政府遵守第19章的语言,即使是在最大努力的基础上32;即使有这种用语,加拿大法律中也没有任何内容可以授权联邦政府强制遵守省管辖范围内的任何地区。关于第19章的主题,尽管人们普遍认为联邦政府有能力通过其贸易和商业力量来监管跨境信息流,但是数据本地化很可能属于省级立法机构的权限影响财产和公民权利以及仅属于地方或私人性质的事项33,以及控制哪些信息流经省境的权力。 的确,关于上述内容,一些管理个人信息的省级法律已经有管理省外信息流的规定。例如,SA 2003 c的《阿尔伯塔省个人信息保护法》第13.1节规定了在外包的情况下向阿尔伯塔省境外发送个人信息时的通知要求,而《魁北克法令》中的《尊重个人信息保护法》第17节CQLR私营部门c。P-39.1要求,在魁北克境外转移个人信息的组织必须确保,未经有关人员同意,不得将这些信息用于与文件目的无关的目的或传达给第三方。 这些细腻之处无法逃脱加拿大谈判代表的注意。尽管盖斯特(Geist)可能是正确的,但向FIPA传达的“法律分析”也可能包括这些跨司法管辖区的考虑因素,以及USMCA中缺乏任何一般性的“义务范围”规定。如果要加紧努力,可能是各省可以简单地拒绝遵守USMCA的要求,而联邦政府没有义务强迫遵守。 如果是这样的话,那么对于加拿大对欧盟的适足性决定的审查也会产生有趣的后果。尽管很有可能需要对加拿大的隐私法进行改革,以获得相对于GDPR的任何长期适当决定,但如果以上分析正确,则任何对USMCA对加拿大立法权施加限制的担忧支持充分性决策的方式将大大减少。 在有限的情况下,欧盟委员会可能会发现由于加拿大采用USMCA而产生的余留问题,但是尽管联邦政府承担了义务,各省仍可以采取其认为适当的措施,这可以确保各省可以提供必要的保护用于个人信息。实际上,就欧盟的法律分析而言,省级权力可能更为重要。从欧盟的角度来看,它所关注的欧盟数据主体的大部分个人信息传输可能将由省管辖而不是联邦管辖。 如上所述,当我们还考虑了USMCA第19和32章中联邦政府本身可用的各种工具时,如果加拿大未能获得新的充分性决定,则USMCA第19章的规定似乎不太可能成为原因。 结论 协调国际法规定的义务是一项艰巨的任务,通常涉及某种形式的零和分析。因此,许多评论员抓住一项文书中的禁止或限制不足为奇,这在其他地方造成了取舍的危险,这并不奇怪。确实可以吃到的蛋糕也很少见。但是,在加拿大,这种情况下,排除因素,缺乏一般义务以及特殊的宪法安排的结合可能产生了这种蛋糕的配方。时间会证明一切。
2020-10-20
国际:欧盟-美国跨境数据传输
《通用数据保护条例》(欧盟(EU)2016/679)(“ GDPR”)禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国,但是,《瑞士-美国隐私保护法》框架和欧盟-美国隐私保护框架(“隐私保护”)允许美国和欧盟的公司在跨境传输个人数据时遵守数据保护法规。概述了当前可用于跨界传输个人数据的机制,并讨论了数据传输限制和数据本地化要求的利弊。 全球数据流和连接性正在创造前所未有的经济机会。跨境数据访问,使用和交换对于数字时代的经济增长至关重要。数据的自由流动使企业和消费者无论身在何处都能获得最佳的可用技术和服务。日常业务活动(例如提供商品或服务,管理全球员工队伍以及维护供应链)要求在公司位置之间以及向全球的服务提供商,客户和其他人员传输数据。组织自由移动数据的能力至关重要,因为它与全球经济的增长和成功息息相关。 2019年,世界人口估计为77亿人1。截至2019年6月30日,互联网用户数量估计为45亿,占世界人口的58.8%2。自2014年以来,全球互联网用户数量增长了超过19亿,这意味着在短短五年内增长了75%以上3。这些前所未有的互联网访问和连接水平导致了数据经济的快速增长。无论是直接还是间接利用全球规模的数据基础架构(例如云计算),全球连接都可以实现跨境经济活动,使个人,初创企业和小型企业能够参与全球市场。当今数字经济的进步要求海量电子数据跨辖区无缝地流动。最近的一项研究发现,尽管全球商品和金融流量趋于平缓,但在2005年至2014年之间,跨境数据流量增长了45倍4。同一项研究还发现,全球数据流在2014年将全球国内生产总值提高了约2.8万亿美元5,到2025年可能达到11.1万亿美元6。 尽管允许数据跨国际自由流通有无数好处,但在欧盟的情况下,许多国家和政治联盟对跨境数据传输实施了法律限制。为了国家安全和执法目的,已经实行了转移限制,以打击不分青红皂白的外国政府监视。其他限制措施基于政府加强国内产业和支持国有企业的努力。 但是,最终,这些限制并没有创造就业机会和促进经济增长,反而会降低效率,增加本地企业的成本并阻碍与国外客户的联系。另外,它们阻止本地消费者获得他们选择的产品和服务。随着数据驱动型组织的增多,对跨境转移的限制可能使国内经济与数字经济相关的增长潜力隔离。数据的自由流通不仅使数据驱动型组织受益,对于制造商,医疗保健提供者和金融机构等传统企业也至关重要。这些类型的组织可能未开发支持Internet的产品,但它们依靠Internet来销售和营销其产品,处理交易并管理其员工。 跨境数据传输的限制 毫不费力地跨国际边界转移大量数据的能力引起了许多隐私问题,并且可能破坏传输出口方现有的数据保护要求。这激发了各国实施转让限制的动机,并且越来越有这样做的趋势。数据传输限制通常分为两类: 跨境数据传输限制;和数据本地化规则。 跨境数据传输限制允许组织仅将数据传输到被认为已充分保护个人数据或采取其他保护措施的司法管辖区,然后再将数据传输到原籍国之外。相反,数据本地化规则更加繁琐,并且通过要求将数据或数据副本本地存储在来源国的服务器上,给全球组织带来了更大的管理负担。因此,跨境转移限制往往更有效,经济上的破坏也较小。就是说,在数字革命之前,已经建立了许多当前已经广泛使用的跨境数据传输机制,因此并未精心设计来解决数据流的方式。 欧盟是数据传输限制的较早采用者,将该概念嵌入了数据保护指令95/46 / EC(“指令”)中。GDPR在2018年5月取代了该指令,但保留了禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国的一般性禁令。欧盟委员会可能会根据其国内法或它所遵循的国际承诺,确定欧盟以外的第三国或地区确保足够水平的数据保护。这是“必要等效性”的确定。迄今为止,只有13个国家被欧盟委员会正式认可为个人数据提供了充分的保护7。结果,个人数据只能从欧盟自由地流到这13个国家。在美国,是否足够的发现仅限于“隐私盾”涵盖的个人数据传输。超过5,000家公司已通过了2016年实施的Privacy Shield认证,并取代了2000年创建的Safe Harbor。这些公司依靠此认证作为将个人数据从欧盟或瑞士自由转移到公司的机制美国盾牌认证的实体。 如果接收实体不在“适当的”国家/地区,则欧盟出口商必须使用批准的数据传输机制将个人数据传输到该实体。欧盟委员会已批准标准合同条款('SCCs')作为确保适当性的一种方法。迄今为止,SCC是最普遍使用的传输机制,因为它们价格便宜且安装迅速。SCC是该指令的遗留物,其效用日益受到质疑。它们通常在线性数据传输方面表现最佳,但是其刚性结构通常不适合数据传输网络以及服务提供商和分包商之间的继续传输,这种情况经常是基于流动的,特别是在基于云的情况下平台。此外, SCC的替代方法是具有约束力的公司规则(“ BCR”)。BCR是基于欧盟数据保护原则的一套内部规则或行为准则,各组织自愿制定并遵循这些原则或规则,以确保为在欧盟以外转移给非欧盟集团实体的个人数据提供充分的保护。BCR必须获得欧盟数据保护机构的批准,并且批准过程可能漫长且昂贵。因此,截至2018年5月,只有131个跨国组织采用了BCR。GDPR还允许转移到已制定行为准则或认证的第三国或国际组织。但是,迄今为止,尚未批准任何此类行为准则。 最近对增加数据传输限制的要求可以追溯到有关政府监视的高调启示。2015年,欧洲法院(CJEU)取消了美欧安全港框架8。在被称为“ Schrems I”的情况下,安全港框架被裁定为无效,其依据是美国立法并未将对个人权利的干涉限制在严格必要的范围内。安全港框架已经实施了15年,拥有超过4,500个经过认证的组织。认证组织被迫寻找替代传输机制,以允许这种无效后继续将数据流向美国。在大多数情况下,组织依靠SCC允许继续将数据传输到美国,或者后来转向为响应Schrems I决定而开发的Privacy Shield。 最近通过“ Schrems II”案再次提出了增加数据传输限制的要求。CJEU面临的基本问题是,美国执法机构在商业交易中访问转移到美国的欧盟公民个人数据的能力是否违反了欧盟数据保护法,以及SCC是否由于未能充分保护而无效?欧盟数据保护权。在听证会上,施雷姆斯的律师还要求将“隐私保护盾”宣布为无效,并且围绕“隐私保护盾”提供的数据保护水平进行了激烈的辩论。CJEU的判决要到2020年上半年才到期,这可能会在欧盟数据保护领域造成真正的地震,因为这可能导致SCC失效,在实践中几乎普遍使用的一种机制,用于将个人数据从欧盟转移到非欧盟国家/地区的合法性。欧洲法院对提到的广泛问题的决定也可能会影响“隐私盾”的有效性。因此,Schrems II的结果可能会对欧盟的数据传输和全球经济造成严重影响,尤其是因为除了隐私保护盾以外,没有其他SCC的真正替代品,隐私保护盾仅适用于向美国的传输,并且也有潜在的BCR风险。 ,以及GDPR减损9,仅适用于有限的情况。因此,在没有SCC的情况下,大多数组织将被迫求助于BCR,BCR通常适合那些拥有更成熟的隐私框架的群体。BCR通常也只能使同一公司集团内的数据传输合法化,因此具有BCR的企业仍将需要寻找其他解决方案以将其个人数据传输到其集团之外,例如,转移到服务提供商。 尽管数据传输限制在作为全球经济的一部分而移动时提供了对数据的增强保护的好处,但它们仍然限制了数据的自由流通,并给组织带来了行政和财务负担。确保业务运营符合适用的数据保护法律可能会非常昂贵。例如,数据传输限制增加了与建立定制数据存储中心以适应国家法律相关的财务负担。欧盟的某些组织不得不投入大量资源来重组其IT系统,以限制源自欧盟的个人数据违反GDPR的规定而转移到“不适当的”司法管辖区。另一方面,一些美国 基地企业选择避免在欧盟进行资本投资,因为GDPR的苛刻合规要求不鼓励在欧盟成员国设立子公司或办事处。如果不鼓励企业进入或投资新市场,则消费者和企业都可能无法获得世界一流的产品和服务。 数据本地化 数据本地化要求可能广泛适用于在国内处理的所有个人数据,或者可能是针对特定部门的,仅适用于某些类型的数据,例如健康或财务数据。数据本地化要求通常会完全禁止将数据转移到国外,或者要求建立或使用本地基础结构和服务器来存储个人数据,从而允许在原始数据前提下将数据副本从原籍国转移出去。仍在国内。从政策的角度来看,数据本地化规则的趋势正在增长,并且某些管辖区已基于数据安全性问题和当地经济刺激的努力提出或颁布了数据本地化要求。例如,于2017年6月1日生效的《 2016年中国网络安全法》,越南的网络安全法第24/2018 / QH14号都包含本地化要求,印度目前正在考虑一项数据保护法案草案《 2018年个人数据保护法案》(2018年7月27日),其中将包含本地化要求。印度目前有适用于财务数据的数据本地化要求,并且数据保护法案草案考虑更广泛地应用数据本地化规则,例如要求将所有个人数据的副本存储在印度。 那些赞成数据本地化限制的人认为,实施此类限制有许多公认的好处。结果,世界各地提出了许多本地化建议。赞成者认为,本地化限制导致: 通过提供对数据的便捷访问来增强国家安全; 增强数据安全性;和 通过刺激当地经济促进国内产业和就业保护。 无论是出于对国家安全监视的关注,保护国内工业的愿望,还是对它们的某种组合,这些提议都是基于许多错误的假设,最终都无法达到既定目标。 关于数据本地化要求促进国内产业的建议是不正确的-这些限制产生相反的效果。本地化通过限制对全球供应链的访问来限制组织在全球市场中竞争的能力。数据本地化要求也使本土企业无法与母国边界之外的数十亿潜在客户隔离。这种隔离的结果是,它还减少了投资,减少了获得资本和客户的机会。因此,数据本地化要求可能会导致实际的经济成本,而不是刺激经济增长。欧洲国际政治经济中心进行的一项研究,研究了七个司法管辖区中拟议或颁布的立法的影响,10。 关于数据本地化要求的另一个神话是,它们提高了安全性。现实情况是,数据安全性不仅取决于服务器的物理位置,还取决于过多的控件以及系统的整体可靠性和弹性。在一个地区整合数据可能会导致集中的“攻击地点”,容易受到破坏,腐败,区域基础设施不一致和自然灾害的影响。此外,数据本地化可能会通过迫使组织依赖本地存储提供商来伤害国内行业。尽管这可能会促进本地数据中心和云计算行业的增长,但从更广泛的公共政策来看,这种方法充其量只是近视。这些本地提供商可能缺乏适当保护数据的资源,与其他地区的经验丰富的运营商提供的灵活的云存储选项相比,它们通常要求本地企业花费更多的资金。从长远来看,竞争而不是贸易保护主义将产生积极的结果,并且能够利用世界各地最有效,最可靠的服务的组织可以更好地促进经济增长。 由于这些原因,数据本地化是对数据自由流动的主要威胁,因此不利于有效的全球信息经济。相比之下,消除数据本地化的障碍为共享繁荣创造了机会。美国商会在2016年的一项研究中发现,从长远来看,全球数据自由化将创造数十万个新的就业机会,并节省数十亿美元的国家成本,最终将提高包括韩国在内的国家的GDP( 330.1亿美元),土耳其(减少71.5亿美元),印度尼西亚(减少293.8亿美元),越南(减少34.6亿美元),尼日利亚(减少234.3亿美元)和整个欧盟(减少2755.7亿美元)。该研究得出的结论是,随着时间的流逝,解锁跨境数据流将使全球GDP总量增加1.72万亿美元11。 结论 有点自相矛盾的是,随着数字全球经济的增长,数据传输限制和数据本地化要求继续激增。这些限制虽然是作为保护个人数据的保护措施而精心设计的,但它们往往会降低效率并为经济增长创造障碍。数据的自由流通不仅有益于数据驱动的组织,也有益于寻求在全球市场竞争的传统企业。对数据移动的法律限制,无论是以传输限制形式还是更严格的本地化要求形式,都可能威胁到21世纪的经济增长。
2020-10-20
日本:APPI修订版包括加强跨境数据传输的法规
个人信息保护委员会于2019年11月29日发布了有关《个人信息保护法》(2016年修订的2003年第57号法案)的主要修订的文件(``修订文件'')( APPI'),基于其三年的审查。 特别是,修订版文件尤其涉及披露程序,业务运营商的责任,数据使用措施的方法,跨境数据传输,法律处罚以及通过公共和私营部门处理个人信息的问题。 企业需要注意的主要修正包括(除其他外)扩大数据主体的权利,以(包括)暂停和删除个人数据,法规第三方受让人结合使用的Cookie与其他数据来生成个人数据,引入强制性数据泄露通知,放宽对假名数据的义务以及加强对跨境数据传输的监管。 此外,修订文件要求升级和正确运行当前的披露请求系统,以使公司保留的个人信息对个人更有用。此外,由于信息社会的进步已经改变了与披露有关的风险,修订文件建议扩大保留的个人数据的范围,以进行披露。此外,修订文件建议对退出规则进行修订,并强调指出,目前的退出程序很难为个人使用。 仍有许多问题需要进一步澄清 对于尚未遵守通用数据的公司,通用数据保护条例(条例(EU)2016/679)('GDPR')和关于隐私和电子通信的指令2002/58 / EC的影响最大。将是对数据主体权利和Cookies法规的修订。此外,数据导出者要有新的要求,以告知数据主体其数据传输到哪个国家以及那里制定了何种数据保护规则可能产生重大影响,具体取决于所需的详细程度。此外,强制违规通知可能会产生中等影响,具体取决于要求的详细信息。 此外,修订文件还建议对经营者持有的个人信息进行进一步的解释。PPC指出,这些经过增强的解释将使个人对企业拥有的个人信息有更好的理解,并支持对个人信息的正确处理。此外,修订文件支持对适当使用义务的说明。最后,修订文件建议对个人信息处理人员进行认证的多样化,以使在利基业务领域开展活动的组织获得认证。 有一些重要的问题引起了很多关注,但未包含在修订文件中,例如,引入了类似于GDPR认可范围的数据可移植性权利,以及引入了行政罚款。我相信这两个问题不太可能在下一轮APPI修订中引入。尽管修订文件中有受GDPR 影响的规定,但有一些规定可能会视具体情况而异,具体取决于日本立法。此外,鉴于当前的大纲非常简短,因此仍有许多问题需要进一步澄清,可能会包含在本月晚些时候发布的大纲的完整版本中。
2020-10-20
土耳其:国际数据跨境传输
在全球经济中,跨境数据传输是国家数据保护机构监管重点中高度相关的问题,土耳其在这方面也不例外。2020年5月7日,土耳其个人数据保护局('KVKK')发布了一份公告,其中包含有关跨境数据传输承诺书的重要说明。 背景 根据第6698号《个人数据保护法》(“数据保护法”),除了获得数据主体的明确同意外,数据控制者还可以在没有足够数据保护的情况下将个人数据传输到国家/地区。双方应以书面承诺提供保护级别,并获得董事会的批准。 麻管局尚未公布具有适当保护水平的国家清单,这之后必须使我们认为,就目前而言,就数据传输而言,所有国家都是不安全的。因此,对于将数据转移到国外以符合《数据保护法》的数据控制者而言,此类承诺书是关键过程。 董事会已于2018年5月16日在其网站上发布了跨境数据传输的标准条款。这些是必不可少的条款,必须包含在将个人数据传输到土耳其认为没有提供足够保护的国家的合同中。与数据处理器相比,最低条款包括对传输到数据控制器的单独规定。董事会设想的最低内容与欧盟的标准合同条款(SCC)相似。 考虑到实施中出现的问题,KVKK在最新公告中进一步扩展了承诺书流程的原则和程序,以指导土耳其的数据控制者。 程序重点 KVKK强调,数据控制者在申请执行局批准跨境数据传输的程序时需要考虑以下几点: 数据控制者必须向KVKK提供授权人的识别信息,并提供证明这些人是跨境数据传输应用程序中数据控制人的授权签署人的辅助法律文件。如果通过代理提出申请,则还需要提交代理的原始或认证副本。 签名和公司盖章必须放在承诺书及其附件的末尾。每页必须带有签名者的缩写。 每一份外语文件都必须翻译成土耳其语并经过公证。 承诺书必须至少包括KVKK发布的承诺书模板中预见的条款。如果承诺书中要包含其他条款,则这些条款必须包含在“其他条款”标题下。 承诺书下的所有承诺都必须以将来时起草(即“数据传输者将通知数据接收者,将根据该承诺书和《个人数据保护法》第6698号来处理所传输的个人数据')。 实质性要点 数据控制者必须注意以下承诺信的内容。根据数据当事人的明确同意进行的数据传输将不包含在承诺书中。 KVKK已发布了两种不同形式的承诺函模板,用于转移到数据控制器和数据处理器。在这种情况下,必须准确识别各方之间的关系以及各方在数据传输中的角色,并且必须使用正确的承诺函模板。此外,对当事方的法律地位和任何证明文件的详细解释清楚,表明当事方之间的关系(例如协议)必须与承诺书一起提交给KVKK。 承诺书中的术语必须遵循《数据保护法》或第二条规定。 各方必须对数据传输流程做出明确的解释,并且必须将个人数据,数据主体,处理目的以及数据传输的法律依据进行关联。 在准备承诺书的整个过程中,数据控制者必须遵守《数据保护法》第4条规定的个人数据处理一般原则。 KVKK在其公告中还澄清了当事方需要在承诺书附件中做出的解释,其中简要说明了数据传输流程的细节。以下是KVKK的解释摘要。 数据主体组:数据控制者必须避免使用诸如“类似,类似,可能,可能”之类的模棱两可的表达,并且必须清楚地指出数据主体组。 个人数据类别:在确定要传输的数据类别时,数据控制者必须遵守处理原理和要传输的数据类别,并且必须与传输目的相关,受限且成比例。数据类别也必须以清晰易懂的方式进行引用,并且在这方面不得使用模糊的表述。数据类别和数据主体组必须彼此链接,以便可以看到将传输哪个数据主体组的哪个数据类别。 转移目的:转移目的和数据类别之间的相关性必须在承诺书中显示。转移目的必须是明确,明确和合法的。数据控制者必须提供足够且易于理解的信息,以表明其传输目的符合该原则。 数据传输的法律依据:数据控制者必须通过在数据类别之间建立链接来明确指出传输的法律依据,以便可以理解哪种数据类别是在哪种法律基础上进行传输的。KVKK明确表示,为了基于合法利益进行跨境数据传输,数据控制者必须按照理事会2019年3月25日第2019/78号决定进行平衡测试,以达成并指出承诺信,为此目的的积极结论。 收件人组:收件人组是指与数据收件人位于同一国家/地区的数据控制者或数据处理器,数据收件人将对其进行后续数据传输。 仅当根据适用法律的数据接收方的法定义务将数据传输到主管机构和组织时,才有可能进行后续数据传输。否则,不能在承诺书的范围内进行从数据接收者到数据接收者的另一次数据传输,或者从该数据接收者到位于另一家公司的数据处理器的后续数据传输。在这种情况下,必须执行单独的承诺书。 KVKK还强调指出,在确定所需的技术和组织数据安全措施时,必须考虑其《个人数据安全指南》(技术和行政措施)。必须在单独的标题下解释技术和行政措施,并且与这些措施有关的支持文件必须随附在申请中。 此外,如果转移了任何特殊类别的个人数据,则必须根据董事会2018年1月31日的第2018/10号决定,通过提交支持文件获得其他要求的数据安全措施并在承诺书中予以标识。 KVKK强调,要包括在承诺书中的更多信息包括: 数据控制者注册中心('VERBIS')上的信息:数据控制者是否有义务与其理由一起进行注册,并且如果有注册义务,则VERBIS信息必须包括在承诺书中。 附加信息:保留期限和其他相关信息将在本节下提供,必须通过说明其理由来指明,并至少说明最长期限。如果法律规定了特定的保留期限,则承诺函中也必须注明适用的法律。 联系人信息:承诺信中必须包含有关联系人的信息。 数据传输到数据处理器的具体说明:必须在标题为“数据控制器”和“数据控制器”的部分中详细说明数据控制器或数据处理器的活动以及数据传输后的数据传输和处理活动。承诺书中的“数据处理器”,用于从数据控制器到数据处理器的数据传输。 最后,在上述承诺书中标题为“数据处理活动”的部分下,必须根据转移目的对与转移数据的处理活动有关的情况作出明确的解释。
2020-10-20
测评 | 这样传输跨境文件,比同一区域两台机器互传还快!
非结构数据的迅猛增长如洪水猛兽势不可挡,大量的业务信息在全球范围内快速可靠的传递已逐渐成为成为对跨境组织和企业的基本要求,也是影响业务成功与否的关键因素。企业团队需要跨越全球进行远距离合作,进行TB级别的数据文件分发、共享和交换,这就要求数据在全球进行高速传输。 镭速的UDP优化传输技术是一种创新软件,它消除了基于 TCP 的传统文件传输技术(如 FTP 和 HTTP)的根本缺点。因此镭速的传输速度比 FTP/HTTP 快数百倍,节省传输时间,不受限于文件大小、传输距离或网络条件,包括通过卫星、无线以及固有远距离且不可靠的洲际链路进行的传输。 跨境远程实例对比: 服务器A:阿里云美国 100Mbps带宽 服务器B:阿里云深圳 100Mbps带宽 传输方式:美国—中国 FTP传输: 镭速传输: 结论:同一传输环境下,镭速传输速率比FileZilla FTP传输速率高200倍左右! 跨国传输环境下,镭速传输的文件传输实际速率: 镭速传输是企业级文件传输的专业服务商,也是国内首批提供商用高性能文件传输产品的企业。镭速在IT、影视、生物基因、制造业等众多行业为客户实现高性能、稳定安全的数据传输服务。
2020-09-28

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯