新闻动态

日本:APPI修订版包括加强跨境数据传输的法规
个人信息保护委员会于2019年11月29日发布了有关《个人信息保护法》(2016年修订的2003年第57号法案)的主要修订的文件(``修订文件'')( APPI'),基于其三年的审查。 特别是,修订版文件尤其涉及披露程序,业务运营商的责任,数据使用措施的方法,跨境数据传输,法律处罚以及通过公共和私营部门处理个人信息的问题。 企业需要注意的主要修正包括(除其他外)扩大数据主体的权利,以(包括)暂停和删除个人数据,法规第三方受让人结合使用的Cookie与其他数据来生成个人数据,引入强制性数据泄露通知,放宽对假名数据的义务以及加强对跨境数据传输的监管。 此外,修订文件要求升级和正确运行当前的披露请求系统,以使公司保留的个人信息对个人更有用。此外,由于信息社会的进步已经改变了与披露有关的风险,修订文件建议扩大保留的个人数据的范围,以进行披露。此外,修订文件建议对退出规则进行修订,并强调指出,目前的退出程序很难为个人使用。 仍有许多问题需要进一步澄清 对于尚未遵守通用数据的公司,通用数据保护条例(条例(EU)2016/679)('GDPR')和关于隐私和电子通信的指令2002/58 / EC的影响最大。将是对数据主体权利和Cookies法规的修订。此外,数据导出者要有新的要求,以告知数据主体其数据传输到哪个国家以及那里制定了何种数据保护规则可能产生重大影响,具体取决于所需的详细程度。此外,强制违规通知可能会产生中等影响,具体取决于要求的详细信息。 此外,修订文件还建议对经营者持有的个人信息进行进一步的解释。PPC指出,这些经过增强的解释将使个人对企业拥有的个人信息有更好的理解,并支持对个人信息的正确处理。此外,修订文件支持对适当使用义务的说明。最后,修订文件建议对个人信息处理人员进行认证的多样化,以使在利基业务领域开展活动的组织获得认证。 有一些重要的问题引起了很多关注,但未包含在修订文件中,例如,引入了类似于GDPR认可范围的数据可移植性权利,以及引入了行政罚款。我相信这两个问题不太可能在下一轮APPI修订中引入。尽管修订文件中有受GDPR 影响的规定,但有一些规定可能会视具体情况而异,具体取决于日本立法。此外,鉴于当前的大纲非常简短,因此仍有许多问题需要进一步澄清,可能会包含在本月晚些时候发布的大纲的完整版本中。
2020-10-20
土耳其:国际数据跨境传输
在全球经济中,跨境数据传输是国家数据保护机构监管重点中高度相关的问题,土耳其在这方面也不例外。2020年5月7日,土耳其个人数据保护局('KVKK')发布了一份公告,其中包含有关跨境数据传输承诺书的重要说明。 背景 根据第6698号《个人数据保护法》(“数据保护法”),除了获得数据主体的明确同意外,数据控制者还可以在没有足够数据保护的情况下将个人数据传输到国家/地区。双方应以书面承诺提供保护级别,并获得董事会的批准。 麻管局尚未公布具有适当保护水平的国家清单,这之后必须使我们认为,就目前而言,就数据传输而言,所有国家都是不安全的。因此,对于将数据转移到国外以符合《数据保护法》的数据控制者而言,此类承诺书是关键过程。 董事会已于2018年5月16日在其网站上发布了跨境数据传输的标准条款。这些是必不可少的条款,必须包含在将个人数据传输到土耳其认为没有提供足够保护的国家的合同中。与数据处理器相比,最低条款包括对传输到数据控制器的单独规定。董事会设想的最低内容与欧盟的标准合同条款(SCC)相似。 考虑到实施中出现的问题,KVKK在最新公告中进一步扩展了承诺书流程的原则和程序,以指导土耳其的数据控制者。 程序重点 KVKK强调,数据控制者在申请执行局批准跨境数据传输的程序时需要考虑以下几点: 数据控制者必须向KVKK提供授权人的识别信息,并提供证明这些人是跨境数据传输应用程序中数据控制人的授权签署人的辅助法律文件。如果通过代理提出申请,则还需要提交代理的原始或认证副本。 签名和公司盖章必须放在承诺书及其附件的末尾。每页必须带有签名者的缩写。 每一份外语文件都必须翻译成土耳其语并经过公证。 承诺书必须至少包括KVKK发布的承诺书模板中预见的条款。如果承诺书中要包含其他条款,则这些条款必须包含在“其他条款”标题下。 承诺书下的所有承诺都必须以将来时起草(即“数据传输者将通知数据接收者,将根据该承诺书和《个人数据保护法》第6698号来处理所传输的个人数据')。 实质性要点 数据控制者必须注意以下承诺信的内容。根据数据当事人的明确同意进行的数据传输将不包含在承诺书中。 KVKK已发布了两种不同形式的承诺函模板,用于转移到数据控制器和数据处理器。在这种情况下,必须准确识别各方之间的关系以及各方在数据传输中的角色,并且必须使用正确的承诺函模板。此外,对当事方的法律地位和任何证明文件的详细解释清楚,表明当事方之间的关系(例如协议)必须与承诺书一起提交给KVKK。 承诺书中的术语必须遵循《数据保护法》或第二条规定。 各方必须对数据传输流程做出明确的解释,并且必须将个人数据,数据主体,处理目的以及数据传输的法律依据进行关联。 在准备承诺书的整个过程中,数据控制者必须遵守《数据保护法》第4条规定的个人数据处理一般原则。 KVKK在其公告中还澄清了当事方需要在承诺书附件中做出的解释,其中简要说明了数据传输流程的细节。以下是KVKK的解释摘要。 数据主体组:数据控制者必须避免使用诸如“类似,类似,可能,可能”之类的模棱两可的表达,并且必须清楚地指出数据主体组。 个人数据类别:在确定要传输的数据类别时,数据控制者必须遵守处理原理和要传输的数据类别,并且必须与传输目的相关,受限且成比例。数据类别也必须以清晰易懂的方式进行引用,并且在这方面不得使用模糊的表述。数据类别和数据主体组必须彼此链接,以便可以看到将传输哪个数据主体组的哪个数据类别。 转移目的:转移目的和数据类别之间的相关性必须在承诺书中显示。转移目的必须是明确,明确和合法的。数据控制者必须提供足够且易于理解的信息,以表明其传输目的符合该原则。 数据传输的法律依据:数据控制者必须通过在数据类别之间建立链接来明确指出传输的法律依据,以便可以理解哪种数据类别是在哪种法律基础上进行传输的。KVKK明确表示,为了基于合法利益进行跨境数据传输,数据控制者必须按照理事会2019年3月25日第2019/78号决定进行平衡测试,以达成并指出承诺信,为此目的的积极结论。 收件人组:收件人组是指与数据收件人位于同一国家/地区的数据控制者或数据处理器,数据收件人将对其进行后续数据传输。 仅当根据适用法律的数据接收方的法定义务将数据传输到主管机构和组织时,才有可能进行后续数据传输。否则,不能在承诺书的范围内进行从数据接收者到数据接收者的另一次数据传输,或者从该数据接收者到位于另一家公司的数据处理器的后续数据传输。在这种情况下,必须执行单独的承诺书。 KVKK还强调指出,在确定所需的技术和组织数据安全措施时,必须考虑其《个人数据安全指南》(技术和行政措施)。必须在单独的标题下解释技术和行政措施,并且与这些措施有关的支持文件必须随附在申请中。 此外,如果转移了任何特殊类别的个人数据,则必须根据董事会2018年1月31日的第2018/10号决定,通过提交支持文件获得其他要求的数据安全措施并在承诺书中予以标识。 KVKK强调,要包括在承诺书中的更多信息包括: 数据控制者注册中心('VERBIS')上的信息:数据控制者是否有义务与其理由一起进行注册,并且如果有注册义务,则VERBIS信息必须包括在承诺书中。 附加信息:保留期限和其他相关信息将在本节下提供,必须通过说明其理由来指明,并至少说明最长期限。如果法律规定了特定的保留期限,则承诺函中也必须注明适用的法律。 联系人信息:承诺信中必须包含有关联系人的信息。 数据传输到数据处理器的具体说明:必须在标题为“数据控制器”和“数据控制器”的部分中详细说明数据控制器或数据处理器的活动以及数据传输后的数据传输和处理活动。承诺书中的“数据处理器”,用于从数据控制器到数据处理器的数据传输。 最后,在上述承诺书中标题为“数据处理活动”的部分下,必须根据转移目的对与转移数据的处理活动有关的情况作出明确的解释。
2020-10-20
国际:欧盟-美国跨境数据传输
《通用数据保护条例》(欧盟(EU)2016/679)(“ GDPR”)禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国,但是,《瑞士-美国隐私保护法》框架和欧盟-美国隐私保护框架(“隐私保护”)允许美国和欧盟的公司在跨境传输个人数据时遵守数据保护法规。概述了当前可用于跨界传输个人数据的机制,并讨论了数据传输限制和数据本地化要求的利弊。 全球数据流和连接性正在创造前所未有的经济机会。跨境数据访问,使用和交换对于数字时代的经济增长至关重要。数据的自由流动使企业和消费者无论身在何处都能获得最佳的可用技术和服务。日常业务活动(例如提供商品或服务,管理全球员工队伍以及维护供应链)要求在公司位置之间以及向全球的服务提供商,客户和其他人员传输数据。组织自由移动数据的能力至关重要,因为它与全球经济的增长和成功息息相关。 2019年,世界人口估计为77亿人1。截至2019年6月30日,互联网用户数量估计为45亿,占世界人口的58.8%2。自2014年以来,全球互联网用户数量增长了超过19亿,这意味着在短短五年内增长了75%以上3。这些前所未有的互联网访问和连接水平导致了数据经济的快速增长。无论是直接还是间接利用全球规模的数据基础架构(例如云计算),全球连接都可以实现跨境经济活动,使个人,初创企业和小型企业能够参与全球市场。当今数字经济的进步要求海量电子数据跨辖区无缝地流动。最近的一项研究发现,尽管全球商品和金融流量趋于平缓,但在2005年至2014年之间,跨境数据流量增长了45倍4。同一项研究还发现,全球数据流在2014年将全球国内生产总值提高了约2.8万亿美元5,到2025年可能达到11.1万亿美元6。 尽管允许数据跨国际自由流通有无数好处,但在欧盟的情况下,许多国家和政治联盟对跨境数据传输实施了法律限制。为了国家安全和执法目的,已经实行了转移限制,以打击不分青红皂白的外国政府监视。其他限制措施基于政府加强国内产业和支持国有企业的努力。 但是,最终,这些限制并没有创造就业机会和促进经济增长,反而会降低效率,增加本地企业的成本并阻碍与国外客户的联系。另外,它们阻止本地消费者获得他们选择的产品和服务。随着数据驱动型组织的增多,对跨境转移的限制可能使国内经济与数字经济相关的增长潜力隔离。数据的自由流通不仅使数据驱动型组织受益,对于制造商,医疗保健提供者和金融机构等传统企业也至关重要。这些类型的组织可能未开发支持Internet的产品,但它们依靠Internet来销售和营销其产品,处理交易并管理其员工。 跨境数据传输的限制 毫不费力地跨国际边界转移大量数据的能力引起了许多隐私问题,并且可能破坏传输出口方现有的数据保护要求。这激发了各国实施转让限制的动机,并且越来越有这样做的趋势。数据传输限制通常分为两类: 跨境数据传输限制;和数据本地化规则。 跨境数据传输限制允许组织仅将数据传输到被认为已充分保护个人数据或采取其他保护措施的司法管辖区,然后再将数据传输到原籍国之外。相反,数据本地化规则更加繁琐,并且通过要求将数据或数据副本本地存储在来源国的服务器上,给全球组织带来了更大的管理负担。因此,跨境转移限制往往更有效,经济上的破坏也较小。就是说,在数字革命之前,已经建立了许多当前已经广泛使用的跨境数据传输机制,因此并未精心设计来解决数据流的方式。 欧盟是数据传输限制的较早采用者,将该概念嵌入了数据保护指令95/46 / EC(“指令”)中。GDPR在2018年5月取代了该指令,但保留了禁止将个人数据转移到没有为个人数据提供足够保护水平的第三国的一般性禁令。欧盟委员会可能会根据其国内法或它所遵循的国际承诺,确定欧盟以外的第三国或地区确保足够水平的数据保护。这是“必要等效性”的确定。迄今为止,只有13个国家被欧盟委员会正式认可为个人数据提供了充分的保护7。结果,个人数据只能从欧盟自由地流到这13个国家。在美国,是否足够的发现仅限于“隐私盾”涵盖的个人数据传输。超过5,000家公司已通过了2016年实施的Privacy Shield认证,并取代了2000年创建的Safe Harbor。这些公司依靠此认证作为将个人数据从欧盟或瑞士自由转移到公司的机制美国盾牌认证的实体。 如果接收实体不在“适当的”国家/地区,则欧盟出口商必须使用批准的数据传输机制将个人数据传输到该实体。欧盟委员会已批准标准合同条款('SCCs')作为确保适当性的一种方法。迄今为止,SCC是最普遍使用的传输机制,因为它们价格便宜且安装迅速。SCC是该指令的遗留物,其效用日益受到质疑。它们通常在线性数据传输方面表现最佳,但是其刚性结构通常不适合数据传输网络以及服务提供商和分包商之间的继续传输,这种情况经常是基于流动的,特别是在基于云的情况下平台。此外, SCC的替代方法是具有约束力的公司规则(“ BCR”)。BCR是基于欧盟数据保护原则的一套内部规则或行为准则,各组织自愿制定并遵循这些原则或规则,以确保为在欧盟以外转移给非欧盟集团实体的个人数据提供充分的保护。BCR必须获得欧盟数据保护机构的批准,并且批准过程可能漫长且昂贵。因此,截至2018年5月,只有131个跨国组织采用了BCR。GDPR还允许转移到已制定行为准则或认证的第三国或国际组织。但是,迄今为止,尚未批准任何此类行为准则。 最近对增加数据传输限制的要求可以追溯到有关政府监视的高调启示。2015年,欧洲法院(CJEU)取消了美欧安全港框架8。在被称为“ Schrems I”的情况下,安全港框架被裁定为无效,其依据是美国立法并未将对个人权利的干涉限制在严格必要的范围内。安全港框架已经实施了15年,拥有超过4,500个经过认证的组织。认证组织被迫寻找替代传输机制,以允许这种无效后继续将数据流向美国。在大多数情况下,组织依靠SCC允许继续将数据传输到美国,或者后来转向为响应Schrems I决定而开发的Privacy Shield。 最近通过“ Schrems II”案再次提出了增加数据传输限制的要求。CJEU面临的基本问题是,美国执法机构在商业交易中访问转移到美国的欧盟公民个人数据的能力是否违反了欧盟数据保护法,以及SCC是否由于未能充分保护而无效?欧盟数据保护权。在听证会上,施雷姆斯的律师还要求将“隐私保护盾”宣布为无效,并且围绕“隐私保护盾”提供的数据保护水平进行了激烈的辩论。CJEU的判决要到2020年上半年才到期,这可能会在欧盟数据保护领域造成真正的地震,因为这可能导致SCC失效,在实践中几乎普遍使用的一种机制,用于将个人数据从欧盟转移到非欧盟国家/地区的合法性。欧洲法院对提到的广泛问题的决定也可能会影响“隐私盾”的有效性。因此,Schrems II的结果可能会对欧盟的数据传输和全球经济造成严重影响,尤其是因为除了隐私保护盾以外,没有其他SCC的真正替代品,隐私保护盾仅适用于向美国的传输,并且也有潜在的BCR风险。 ,以及GDPR减损9,仅适用于有限的情况。因此,在没有SCC的情况下,大多数组织将被迫求助于BCR,BCR通常适合那些拥有更成熟的隐私框架的群体。BCR通常也只能使同一公司集团内的数据传输合法化,因此具有BCR的企业仍将需要寻找其他解决方案以将其个人数据传输到其集团之外,例如,转移到服务提供商。 尽管数据传输限制在作为全球经济的一部分而移动时提供了对数据的增强保护的好处,但它们仍然限制了数据的自由流通,并给组织带来了行政和财务负担。确保业务运营符合适用的数据保护法律可能会非常昂贵。例如,数据传输限制增加了与建立定制数据存储中心以适应国家法律相关的财务负担。欧盟的某些组织不得不投入大量资源来重组其IT系统,以限制源自欧盟的个人数据违反GDPR的规定而转移到“不适当的”司法管辖区。另一方面,一些美国 基地企业选择避免在欧盟进行资本投资,因为GDPR的苛刻合规要求不鼓励在欧盟成员国设立子公司或办事处。如果不鼓励企业进入或投资新市场,则消费者和企业都可能无法获得世界一流的产品和服务。 数据本地化 数据本地化要求可能广泛适用于在国内处理的所有个人数据,或者可能是针对特定部门的,仅适用于某些类型的数据,例如健康或财务数据。数据本地化要求通常会完全禁止将数据转移到国外,或者要求建立或使用本地基础结构和服务器来存储个人数据,从而允许在原始数据前提下将数据副本从原籍国转移出去。仍在国内。从政策的角度来看,数据本地化规则的趋势正在增长,并且某些管辖区已基于数据安全性问题和当地经济刺激的努力提出或颁布了数据本地化要求。例如,于2017年6月1日生效的《 2016年中国网络安全法》,越南的网络安全法第24/2018 / QH14号都包含本地化要求,印度目前正在考虑一项数据保护法案草案《 2018年个人数据保护法案》(2018年7月27日),其中将包含本地化要求。印度目前有适用于财务数据的数据本地化要求,并且数据保护法案草案考虑更广泛地应用数据本地化规则,例如要求将所有个人数据的副本存储在印度。 那些赞成数据本地化限制的人认为,实施此类限制有许多公认的好处。结果,世界各地提出了许多本地化建议。赞成者认为,本地化限制导致: 通过提供对数据的便捷访问来增强国家安全; 增强数据安全性;和 通过刺激当地经济促进国内产业和就业保护。 无论是出于对国家安全监视的关注,保护国内工业的愿望,还是对它们的某种组合,这些提议都是基于许多错误的假设,最终都无法达到既定目标。 关于数据本地化要求促进国内产业的建议是不正确的-这些限制产生相反的效果。本地化通过限制对全球供应链的访问来限制组织在全球市场中竞争的能力。数据本地化要求也使本土企业无法与母国边界之外的数十亿潜在客户隔离。这种隔离的结果是,它还减少了投资,减少了获得资本和客户的机会。因此,数据本地化要求可能会导致实际的经济成本,而不是刺激经济增长。欧洲国际政治经济中心进行的一项研究,研究了七个司法管辖区中拟议或颁布的立法的影响,10。 关于数据本地化要求的另一个神话是,它们提高了安全性。现实情况是,数据安全性不仅取决于服务器的物理位置,还取决于过多的控件以及系统的整体可靠性和弹性。在一个地区整合数据可能会导致集中的“攻击地点”,容易受到破坏,腐败,区域基础设施不一致和自然灾害的影响。此外,数据本地化可能会通过迫使组织依赖本地存储提供商来伤害国内行业。尽管这可能会促进本地数据中心和云计算行业的增长,但从更广泛的公共政策来看,这种方法充其量只是近视。这些本地提供商可能缺乏适当保护数据的资源,与其他地区的经验丰富的运营商提供的灵活的云存储选项相比,它们通常要求本地企业花费更多的资金。从长远来看,竞争而不是贸易保护主义将产生积极的结果,并且能够利用世界各地最有效,最可靠的服务的组织可以更好地促进经济增长。 由于这些原因,数据本地化是对数据自由流动的主要威胁,因此不利于有效的全球信息经济。相比之下,消除数据本地化的障碍为共享繁荣创造了机会。美国商会在2016年的一项研究中发现,从长远来看,全球数据自由化将创造数十万个新的就业机会,并节省数十亿美元的国家成本,最终将提高包括韩国在内的国家的GDP( 330.1亿美元),土耳其(减少71.5亿美元),印度尼西亚(减少293.8亿美元),越南(减少34.6亿美元),尼日利亚(减少234.3亿美元)和整个欧盟(减少2755.7亿美元)。该研究得出的结论是,随着时间的流逝,解锁跨境数据流将使全球GDP总量增加1.72万亿美元11。 结论 有点自相矛盾的是,随着数字全球经济的增长,数据传输限制和数据本地化要求继续激增。这些限制虽然是作为保护个人数据的保护措施而精心设计的,但它们往往会降低效率并为经济增长创造障碍。数据的自由流通不仅有益于数据驱动的组织,也有益于寻求在全球市场竞争的传统企业。对数据移动的法律限制,无论是以传输限制形式还是更严格的本地化要求形式,都可能威胁到21世纪的经济增长。
2020-10-20
国际:跨境数据传输中的充分或等效保护问题
作为一种常见的商业惯例,跨境数据传输的激增伴随着日益严峻的法律和法规环境的规范。现在讨论了其中一些挑战,并提供了四步方法来帮助公司在将数据传输到其他司法管辖区的当事人时确保其合规性。 介绍 客户问:“我的新加坡办事处可以将个人数据转移到海外吗?” (未具名的)新加坡数据保护律师的回答是:“好吧,前提是您确保该数据获得了与新加坡法律相当的保护标准。” 他说出斜体字是因为他解释了《 2012年新加坡个人数据保护法》(2012年第26号)(“ PDPA”)。 因此,客户自然会问:“但是,并非所有的数据隐私法都大致相同吗?” 律师对此说:“好,这是一个难题。” 客户抗议:“你只是想向我收取更多的钱。不是吗?” 但这是一个难题。不,这不是给发票充气的借口。 随着越来越多的企业在多个地区开展业务并采用基于云的解决方案,跨境数据传输的使用正在增加。因此,在数据保护或隐私法下规避跨境数据传输限制已成为一种必要。 这可能是一个不同的法律体系如何运作的问题,但是在大多数辖区中,跨境数据传输限制意味着要确保您发送数据的地点(目的地辖区)提供了“适当级别”的保护。 但是,什么是适当的,可能会有所不同。在这里,魔鬼经常会出现在细节中(或替代地,在提供的发票中)。 充分性-由公共决策确定 解决充分性的一种方法是通过监管机构进行评估,其中最著名的例子是欧盟委员会(EC)根据《通用数据保护条例》(《规章》(EU) )2016/679)('GDPR')。 在此过程中,欧盟提出了一项建议,以考虑特定的非欧盟管辖区是否满足GDPR的充分性要求。随后,由欧洲数据保护委员会发布意见,然后由欧盟国家的代表进行审议(并可能获得批准)。然后,此过程最终通过了EC 1的决定。 当针对特定司法管辖区发布肯定的充分决策时,EC实质​​上是将该司法管辖区“白名单”,即确定其具有对个人数据的足够保护水平,从而不会将个人数据从欧盟内部转移到该国家/地区需要任何进一步的授权。 对迄今为止发布的适当性决定中使用的分析步骤进行比较回顾,本身将是一件有趣的文章,但是对于本文而言,窥视最近的适当性决定就足够了,即关于日本的适当性决定(2019年1月23日)2。 在这种情况下,分析总结并回顾了日本数据保护法,例如《个人信息保护法》(“ 2003年第57号法”)(“ APPI”),其中包括: 审查APPI下的概念; APPI下的权利,义务,排除和其他保护措施; 监督和执行,涉及执行和司法补救的权力;和 审查该国法律对公共当局的影响及其在访问该数据时受到检查/限制的能力(Schrems 3案之后的一个重要主题)。 值得注意的是,这里没有提及统计数据或对执行成本的任何分析,也没有提及有关诉诸司法的困难或便利的讨论。换句话说,该分析未涉及非专业人员可能考虑的“现实世界中的考虑因素”。但是,由于难以量化和评估实际的“实地”问题,因此可以理解。 对于企业而言,此过程对其提供的清晰度很有帮助。但是,与许多政府程序一样,这可能需要时间。该过程自1990年代就已经存在,但是,截至本文撰写之时,只有十几个司法管辖区收到了一项适当的积极裁决,而日本只是亚太地区第二个作出此裁决的司法管辖区。 充足性-通过私人协议/安排实现 考虑到快速有效地开展业务的实际需求,这一速度问题使得有必要考虑对私人协议(例如双边/多方合同)和安排(例如政策,流程和审计)的依赖。 私人协议和安排最终将重点放在单个政党(一个或多个政党)上,以及他们亲自采取的私有步骤以确保从国家/地区转移数据符合标准。在GDPR的背景下,数据传输工具包括使用约束性公司规则(“ BCR”)4,同意协议以及使用模型条款的数据传输协议。 从立法角度来看,这种方法通常包括多个方面,涉及评估在每种情况下实施的保障措施的可行性。 这种方法并不意味着目的地司法管辖区的实际立法或监管状况不相关,而是将重点转移到个人安排上,以实现合规。 当然,公共安排和私人安排之间的区别并不精确。部门/行业一级的集体私人行动也可以通过提出标准来影响安排。这可以导致私人制定的标准获得认可,一旦它们在采用方面达到临界质量,最终将为实施制定一条监管/立法途径5。 新加坡根据《个人资料保护法》第26条规定的数据传输规则规定了一项义务,即“确保组织为这样转移的个人数据提供与《个人资料保护法》6所提供的保护相当的保护标准。这表明,与充分性决定一样,焦点仍然集中在标准上,需要与PDPA标准进行比较。 本部分由《 2014年个人数据保护条例》作为补充,该条例为寻求传输数据的组织提出了一系列可能的途径。这些包括: 征得数据当事人的同意; 证明转让对于缔结或履行合同是必要的;和 识别和适用某些豁免(例如,免除同意义务,可公开获得的数据,传输中的数据)7。 但是最重​​要的是,至关重要的是,跨境转移的当事方之间要执行具有法律约束力的特定协议,并用条款来规范各自与该转移有关的义务。 制定私人协议的范围:四个关键步骤 当然,只要有私人协议,就需要评估和解决当地法律对此类协议的影响。 在比较相关标准的过程中,很可能存在在不同的国家规则之间进行比较的问题。不同的地方法律可能会规定不同的要求,例如,包括通知转让给数据保护监管机构,采取措施注册转让安排以供批准,履行特定义务并要求各方之间明确/明确达成协议等步骤,或者使用标准化协议表格。 要浏览竞争标准,理解游戏中的观点并提出以下问题也很重要: 转移的原因是什么? 工作中有保障措施吗? 是否有解决数据泄露或潜在风险的协议或流程? 随着时间的流逝会发生什么变化? 任何协议的条款和条件都可能恰好适合于这些不同方面,并确保存在可用于补充合同保障措施的运营流程。 这表明在每个司法管辖区至少应采用以下四个关键步骤: 考虑跨境转移安排是否属于/符合来源国管辖范围内允许的任何类别的跨境数据转移。这还应包括考虑到有适当的转让安排就可以确保这些许可继续适用的必要条件。 遵循监管步骤和协调(无论在始发地还是目的地地域)。 用适当的私人协议,操作流程和保障措施对所有转让安排进行补充-确保这些措施始终适合于所涉转让的性质。 在开始时然后在以后定期验证协议,过程和保护措施是否违反始发地和目的地管辖区的法律。 结论 那么,在本文开始时对客户的冷嘲热讽是否值得? 这种复杂性是否足以向客户收取更多的钱? 确实,这听起来确实像是要采取详细步骤,起草协议,考虑可能的排列方式。可能全部转化为额外费用吗? 就像所有优秀的律师都会说的那样:这取决于。 跨境转移安排的种类繁多,不能完全适合一个模型。 其中一些模型是“成本轻型”的(因为它们可能易于应用,而不会在法律和法规方面严重加重负担,尽管运营保障和流程也可能具有一张或多张发票)。自己的8)。 还有一些人可能需要更加集中精力来使事情井然有序。 因此,细节(或发票)中的魔鬼可能比原先想象的要小或大得多。 但是话又说回来,用足够的知识武装自己来执行上述四个关键步骤可能会帮助您熟悉他。 毕竟,比您不了解的恶魔还要好,您知道的恶魔。
2020-10-20
跨境数据流的经济效益之美国的通讯
在过去的几年中,1998年电子商务工作计划的几次讲习班,讨论会和各种意见书提高了跨境数据流对数字经济和WTO电子商务讨论的重要性和相关性。1以下呈件更详细地探讨了跨境数据流在多大程度上创造了新的贸易和经济机会,同时还讨论了适当的监管方法或应对措施。 首先,回顾有关如何使用数据创造经济价值的现有研究和分析,以探索在数字经济中收集,分析和使用的数据的广度和范围的各个方面,以及为世贸组织未来有关支持数字增长并确保监管平衡的政策措施的可能讨论提供有用的背景。经合组织进行的研究清楚地表明了互联网和其他信息通信技术(ICT)如何驱动新的商业模式的发展,这些新的商业模式正在改变生产和交易商品和服务的方式和地点(OECD,2017a和2018)。大量借鉴了经合组织的研究和对该领域文献的评论,这些研究表明在这个数字时代,贸易和生产在很大程度上依赖于跨国际边界的移动,存储和使用数字信息(数据)。美国有兴趣探索与世贸组织其他成员更深入地分享这项研究的机会,以此作为本报告的后续行动。 在电子商务工作计划下进行的讨论突出表明,在境内和境外无所不在的数据交换引起了政府和公民对收集,传输和使用大量信息的后果的关注。与隐私和安全性有关的担忧导致要求对互联网和数据流进行更多监管。结果,政府越来越寻求规范数据的跨境传输,或者要求将数据存储在本地。 这些措施的含义尚未得到充分理解,导致了两极化的辩论。一方面,人们担心新出现的措施对商业活动的影响以及从数字贸易中受益的能力;另一方面,对于实现合法的公共政策目标(例如保护隐私)存在担忧。面临的挑战是要找到一种平衡点,以实现关键的公共政策目标,同时又要保留数据支持的贸易带来的重大经济和贸易利益。 为了支持工作计划在这一领域的进一步讨论,并与部长们关于“振兴我们的工作”的指示相一致,2美国正在寻求通过提交该文件,促进会员对什么是数据以及如何理解数据的理解。它支持经济活动和贸易。 数据与数字转换 将数字技术整合到日常生活和工作中的作用无非是革命性的。数字化已经渗透到经济活动的方方面面,而且其影响只会持续扩大和加速。数字化使消费者能够访问来自世界各地的全球信息和产品,从而日益增强了他们的能力。它们受益于更好的偏好匹配,更低的价格,更多的品种和更大的便利性(USITC,2013)。 数字化也催生了新的“信息产业”,例如云计算和数据分析,它们正在为GDP做出重要贡献(OECD,2017b)。数据的使用还通过促进新的生产革命并改变了粮食的种植和分配方式,改变了制造业。它还正在改变发展援助提供者在改善经济增长,健康,备灾和其他发展优先事项方面如何应对和克服关键挑战。 这种数字化转型导致国家内部和国家之间的数据流空前增加。对全球带宽使用的估计表明,2009年至2013年之间的年复合增长率约为40%(TeleGeography,2015年),而最近的研究表明,2014年的数据传输量是2005年的45倍(MGI,2016年)。据估计,这将为全球经济活动贡献7.8万亿美元,占全球GDP的10%(MGI,2016)。变化的速度没有丝毫放缓的迹象。发达国家和发展中国家的互联网经济规模预计都将继续增长。 什么是数据? 随着数据越来越成为经济活动和贸易的命脉,重要的是要了解数据的含义,流向以及如何从其使用中获取价值。互联网是“网络网络”,因此,它依赖于跨网络传输数据的能力(Mandel,2014年)。从一台计算机发送到另一台计算机的文件首先被分解为“信息包”,然后通过网络传输到目的地。每个数据包可能会采用不同的路由,具体取决于数据包的大小和网络中的流量,并且在到达时,将数据包重组以重现原始文件。 数据的应用为个人,企业和经济创造了价值。例如,具有100个个人购物条目的Excel文件可能会与具有100个个人健康记录的Excel文件占据相同的存储空间,但是根据最终用户(超级市场或健康服务提供商)的观点,其潜在价值是非常不同的。合并后的数据的价值大于其各个部分的总和时,其价值也会增加。例如,将购物条目与对营养的兴趣相关联可以使广告针对健康意识较强的购物者。此外,随着业务动态的变化,今天未使用的信息明天将变得有价值。 作为一种经济类别,数据被描述为新石油(《经济学人》,2017年),但是这种描述具有误导性。尽管对经济至关重要,但数据并不稀缺,因此不能穷尽或轻易垄断。此外,一个人(或公司)对数据的使用并不能阻止其他人(或公司)对数据的使用:几乎可以免费复制和传输数据。试图在特定区域内围栏数据(好像它是需要保护的稀缺资源)可能是特别自欺欺人的:通常只有将数据集成到使用以下数据集的更广泛的交互式系统中才能实现数据的价值:跨越不同的人口和领土。从富人中排除自己,多样化的数据环境可能只会否认经济可以通过这种互动产生有价值的见解和效率。关于健康,天气和土壤的数据只是受益于全球整合的数据集的一些明显示例。 公司如何使用数据? 在全球价值链(GVC)的数字化世界中,公司越来越依赖数据来支持其活动,无论是进行研发(R&D),协调生产还是覆盖客户和供应商。跨境数据流使国际生产网络得以组织,有助于产生与全球价值链相关的收益(见OECD,2013b和Kowalski等,2015)。GVC依靠跨边界移动的数据来提供对地理位置分散的流程的总体控制和协调。公司使用来自其全球分支机构的数据来进行大量内部或后台任务甚至常规决策。这可能包括将人力资源(HR)数据移入和移出总部,将数据发送到国外的R&D设施,使用基于云的软件,管理生产流程并从事售后服务。有效的供应链管理不仅要求商品,服务和资金的顺畅流动,还要求思想和管理知识的顺畅流动(Baldwin,2012)。 无论是通过使用通过互联网提供的生产力增强软件和技术,还是对当前生产性资源的优化使用,使用新颖,先进且价格合理的数字解决方案都可以帮助提高生产力。此外,使用新的数字解决方案可能有助于降低供应商的搜索成本并提高与国际供应商的合同安排的可靠性(Besedes,2008年),从而可以减少国际交易中的搁置(Ornelas和Turner,2008年) )。 跨边界移动数据也是快速增长的新服务供应模型的重要组成部分,例如云计算,大数据分析以及与新兴物联网(IoT)相关的服务。这些新的信息产业为企业从事国际经济活动提供了新的机会。数据流可以帮助公司更有效地扩大提供此类服务的规模,在遥远的市场中找到新客户,并整合到扩展的或新的价值链中,并且可以成为提供以前难以提供的服务的渠道。贸易(例如医疗或会计服务)。 数据既用作生产,货物和服务交付的输入,又用作数字产品或服务中的产出。数据的使用遍及整个经济领域。我们再也不能将数据视为与ICT企业有关的问题,重要的是,与跨境使用数据相关的收益可能特别有益于发展中国家的中小企业和企业。实际上,数字技术最显着的效率提升通常归因于非ICT行业,例如医疗保健,交通运输,甚至是农业(MGI,2016年)。 哪些类型的公司使用数据? 越来越明显的是,数据与现代经济的各个部门相关,从农业到运输再到制造业。最初最容易受到跨境数据流影响的公司是在ICT部门运营的公司(这些行业与所有其他部门的集成度越来越高)。例如:云计算,其中信息在与用户访问不同国家的远程服务器上存储和处理。大数据分析和处理,其中通常对来自不同国家的大型数据集进行编译和分析,以为业务决策或研究成果提供信息;互联网广告,公司出售或使用有关在线购买或互联网浏览行为的个性化或汇总的消费者行为信息; 但是,跨境数据使用不仅限于技术公司或ICT公司。所有经济领域的公司在日常运营中都使用电子支付系统进行国际交易,基于Internet的广告和零售以接触全球客户以及云计算。商品和服务的生产包括在流程的每个步骤中传递信息。 例如: • 现在,大型采矿业务通常会跨边界管理和控制采矿资产(卡车和采矿设备)。 • 汽车制造商越来越多地根据与驾驶行为有关的信息提供个性化服务,这些信息可以向驾驶员发出机械故障或交通信息的警报。通常,该信息的处理集中在驾驶汽车以外的国家/地区。 • 在航空中,性能数据是在飞行途中收集的,目的是识别潜在的维护问题,并在飞机降落之前向地面人员提醒任何问题。 • 传统服务,特别是在跨边界(即通过模式1)进行服务时,总是依赖于数据传输。诸如会计或律师事务所之类的咨询业务可能需要转移诸如客户购买之类的个人信息或有关员工的个人文件。从事医疗诊断服务的公司通常会在线向客户提供诊断信息,但也可能需要转移病历文件。同样,研究疾病治疗方法的医学研究组织也依赖于在全球范围内收集并集中分析的健康数据。 • 在农业领域,随着传感器将现实世界转换为机器可读格式的能力增强,“数据传播”正在发生。尽管农业通常代表着数字技术采用范围的低端,但是农业和食品中的过程却越来越数字化。例如,传感器收集的土壤湿度数据,结合天气预报,土壤测绘和农作物信息,可用于灌溉系统的自动优化。数据越来越多地用于响应消费者对生产信息不断增长的需求。产品包装现在可以包括生产该产品的农夫的姓名,或选择要出售的水果的劳工的姓名。这有助于消费者做出购买决定,并开辟了新的应对方式, 数据如何使中小企业和发展中国家受益? 通过国际数据传输,可以创建新型的中小型企业:“天生全球性”的“微型跨国公司”(MGI,2016年)。获得免费或价格优惠的在线商业服务有助于提高其竞争力,帮助中小企业克服传统障碍进行国际贸易。例如,云计算允许中小型企业以很少的前期投资就可以访问IT服务,因此可以响应需求的变化而迅速扩展其IT功能。更好,更快地获取关键知识和信息还可以帮助中小型企业克服信息方面的不利条件,并在更稳定的基础上进行竞争。最后,互联网和国际数据传输可帮助中小型企业提高其获取和履行全球合同以及访问全球供应链的能力,以及覆盖多个市场中没有本地业务的消费者。结果,中小型企业越来越成为全球价值链中的牵头公司,并与其他中小型企业作为投入的提供者建立联系(Meltzer,2015)。 数字时代提供的机会不仅限于发达国家的公司。在发展中国家,越来越多的移动设备可以访问Internet,这带来了一系列新的经济机会。移动设备正用于联系客户,执行金融交易,建立客户数据库以及协调国内外的及时供应链交付。发展中国家的公司可以通过使用支持数据的数字解决方案来克服从事国际贸易的高成本,从而帮助他们进行市场研究,制定战略决策并与全球客户保持联系。发展中国家的公司还能够获得技术成熟且价格具有竞争力的数字业务输入,而这些输入可能在国内市场上是无法获得的,例如法律,金融和会计服务,从而提高其全球竞争能力。所有这些机会都基于对数据的访问和跨边界移动。 根据亚太MSME贸易联盟(AMTC)的说法,数字技术的使用可以将MSME的出口成本降低多达40%(对于制造商)和82%(对于服务提供商)。AMTC成员已将跨境数据限制确定为MSME特别关注的四个关键监管问题之一,并认识到限制公司自由跨境自由移动数据能力的法律会影响互联网贸易的机会。联盟指出,如果较小的公司无法访问负担得起的计算和数据服务,则可以完全将其拒之门外(亚太MSME贸易联盟2018)。 创新和利用数字技术扩大经济机会 数字技术进步正在推动金融和电子支付领域的创新 肯尼亚基于移动电话的金融服务平台M-Pesa最近推出了一项服务,该服务允许其用户在全球范围内收发资金。M-Pesa是一种基于手机的付款和汇款服务,它依赖于数据的跨境转移。它“允许用户将钱存入手机中存储的帐户中,使用SMS技术将余额发送给其他用户(包括商品和服务的卖方),并用定金赎回定期的钱”(Jack and Suri,2010)。随着2018年11月M-Pesa Global的推出,用户可以向东非的其他用户发送和接收数字货币余额,可以通过Western Union和其他汇款服务在全球范围内收发货币,以及直接向选定国家/地区的银行账户转账(Safaricom,2018)。 一些传统的非洲金融机构也正在利用技术来扩大区域规模。Ecobank成立于1985年,位于多哥,目前在33个国家/地区设有分支机构,比任何其他非洲银行都多。南非标准银行在20个非洲国家/地区开展业务,而设在尼日利亚的非洲联合银行也有类似的区域覆盖范围。技术被认为是该地区扩张的主要因素。Ecobank可以集中设计和处理数据,即使没有物理设备也可以提供服务。Ecobank的移动应用程序拥有超过500万用户(Economist,2018年)。 行动应用程式和游戏 移动应用程序开发(即, “应用程序”),继续在世界各地的业务增长。腾讯,阿里巴巴等中国公司以及印度公司Jio,均跻身全球下载量最大的应用程序开发商之列。在不同的市场中,对可下载应用程序的需求也在增长,中国,巴西,印度和俄罗斯构成了全球前五名下载市场中的四个。全球各地的企业家正在为Apple和Android平台创建应用程序。 进步政策研究所(Progressive Policy Institute)的一项研究估计,越南在2015年全国范围内约有29,000个“应用程序经济”工作,是东盟地区最大的工作。对拉丁美洲的类似分析发现,2016年阿根廷在该领域拥有约33,250个工作岗位,包括大型技术公司,如MercadoLibre,Despegar,Globant和OLX。App Economy包括开发应用程序的人员以及销售人员,项目经理,数据库程序员和相关人员。越南的应用行业包括本地程序员和公司以及来自日本,美国和其他地方的外资公司(Mandel,2015年)。 在共享经济中促进业务发展的移动应用程序在发展中国家也迅速普及。新加坡公司Grab于2018年初收购了美国公司Uber在柬埔寨,印度尼西亚,马来西亚,缅甸,菲律宾,新加坡,泰国和越南的业务。印度尼西亚的Go-jek和印度的Ola是依赖于移动应用的其他示例能够在多个经济体中提供运输服务的同时集中处理用户数据的能力。 视听创新 USITC最近检查了数字音乐市场,其中包括流媒体或下载的内容,例如录制的歌曲,音乐会(现场和录制的),在线广播和播客。数字流媒体已经超越了所有其他音乐消费模式,成为音乐行业增长的最大推动力。与视频类似,技术的进步和不断变化的消费者习惯使音乐产业从传统的按歌曲和按专辑的模式发展为提供无限流内容的格式。智能手机的普及和支持大规模数据存储和传输的云技术的发展在很大程度上推动了这一变化。 非洲有几种区域音乐流媒体服务,包括姆多多(肯尼亚),斯派莱特(尼日利亚),iRoking(尼日利亚),蒂戈音乐(坦桑尼亚)和辛菲·非洲(南非)。这些平台专注于非洲地区的内容,并使本地音乐家能够接触到更多的观众。此类音乐流媒体平台依靠跨境数据流为用户提供内容。2018年11月,环球音乐集团与Boomplay达成了许可协议,Boomplay是一种快速增长的非洲音乐流媒体服务,可在尼日利亚,加纳,肯尼亚,坦桑尼亚,卢旺达,乌干达和赞比亚使用。Boomplay由Transsion Holdings拥有,后者是一家中国制造商,该公司于2018年超越三星成为非洲销量第一的智能手机公司。 新兴的监管挑战 数字化正在扩大贸易的规模,范围和速度,使公司能够将新产品和服务带给全球更多的数字连接客户。它还使公司(尤其是规模较小的公司)能够使用新的和创新的数字工具来克服增长障碍,帮助支付,促进协作,通过使用基于云的服务来避免对固定资产的投资以及使用诸如众筹。这种新经济的命脉是数据。 政府正在努力解决的一个关键问题是个人数据的处理。企业在其运营中使用不同类型的数据:公司数据,最终客户数据,人力资源数据,商人数据,通信数据和技术数据(仅举几例)。经合组织隐私框架将这些数据中的大部分视为“个人可识别”(并反映在许多国家法律中)为“与已识别或可识别个人(数据主体)有关的任何信息”。这意味着,如果一条数据或一组数据的一个方面是可识别的,则该数据的所有方面都将成为个人的。在不同司法管辖区中被认为是个人数据的定义相互矛盾(国家贸易委员会,2014年和2015年a)使界定什么是非个人的界限进一步复杂化。因此,从概念上讲,很难确定个人数据,而新兴法规可能会影响超出任何国家传统上认为是个人数据的数据。 除了对个人身份信息的定义不同以外,不同的制度还可能导致关于如何处理数据的不同规则。尽管围绕隐私标准已经达成了一些全球共识,例如在OECD准则中有所体现,但这种监管上的分散可能导致合规难度和成本增加。由于公司越来越依赖数据传输来支持其业务活​​动,因此贸易影响可能是巨大的,而且在许多情况下,此类数据传输与个人身份数据主体有关。国家贸易委员会(2015)重点介绍了公司使用个人数据的以下方式: • 研究与开发越来越需要协调研究人员,科学家,设计师和IT专家在不同的地方工作,并共享想法,信息,原型和测试数据。 • 人力资源管理对于协调跨国活动很重要。人力资源管理过程中涉及的许多数据都是个人性质。 • 协调生产和供应链管理流程。在地理上分散的生产中执行总体控制和协调要求跨不同位置移动数据以组织商品和服务的输入流,与分包商和供应商合作以及处理内部运营。这尤其需要发送有关库存,销售,需求预测,订单状态,人力资源和生产计划的数据,其中许多数据可能与个人有关。 • 工厂内生产。随着生产的机械化程度越来越高,需要数据传输来指导机器人技术。在工作层上的传感器发送实时数据,然后可以对其进行分析并采取行动。这种工厂内生产越来越需要包含个人信息的数据的传输:与机器人(所谓的“ cobots”)一起工作的员工在行动中使用的数据需要被传输。就农业供应链而言,企业越来越多地与消费者共享有关从事农产品生产和交付过程的人员的信息。 • 销售和售后。公司一直在寻找客户,他们经常依靠从以前的客户或研究人员那里收集的广告和数据。越来越多的公司开始专注于售后服务,而要提供有效的售后服务,则需要对所售产品的性能进行监控,以进行维护,修理和备件处理。消费者对所售产品使用情况的交互也涉及一个组件,其中涉及移动数据。 除了担心隐私之外,敏感的业务数据也对恶意行为者具有吸引力,并且政府正在积极考虑制定法规,最佳实践,标准和框架以增强安全性。无论是保护个人数据还是其他对商业敏感的数据,一种方法是禁止其输出,但前提是本地存储和处理的风险较小。实际上,情况恰恰相反:发达的流程和技术,使专门的专业知识在网络安全方面具有规模经济,通常使国外的存储和处理能力优于许多本地市场。 鉴于公司需要跨境移动数据以有效参与数据存储,处理和分析的数字生态系统,因此,与隐私和安全性相关的各种法规要求有时甚至是相互冲突的法规要求,对于企业而言是持续而紧迫的挑战。政府和公司。在许多方面,挑战与物理产品的安全性或可靠性无异,长期以来,贸易规则一直在努力寻求提供可行的解决方案以实现贸易:国际标准可以在可能的情况下为产品或产品提供共同的基准。服务必须满足才能进行交易。 如果国家标准基于不同的价值观或缺乏国际共识而出现差异,则可以在经济体之间建立确保尊重国家要求并可以强制执行国家要求的机制,即所谓的“互操作性制度”。为了安全起见,公司现在可以采用许多ISO标准来证明它们符合共识最佳实践。隐私权制度的发展更加自主,但是已经出现了一些互操作性制度来应对贸易挑战,其中最引人注目的是美国和欧盟之间的隐私权保护以及APEC跨境隐私权规则系统。努力确保此类机制在贸易规则下具有公认的地位-与标准和相互承认安排的地位类似-是推进此问题的一种可能方法。 结论 诸如互联网之类的数字基础设施在全球范围内发展,但在一个国家之间边界和监管差异仍然存在的世界中,它们对国内和国际政策提出了挑战。要获得数字化对贸易的好处,将越来越需要就确保数据和其他横向问题不同监管制度具有互操作性的方法进行国际对话。贸易协定承认缔约方的管制权,但也力求确保这种管制以透明的方式实现,以非歧视性的方式适用,并且不会对贸易造成不当负担。 补充正在进行的有关电子商务和数字贸易的雄心勃勃的协议的谈判。重要的是,所有WTO成员,无论是否参加这些谈判,都必须了解跨境数据流的各种贸易影响以及对所面临挑战的政策回应。这项工作的下一步可能包括邀请国际组织,如经合组织和亚太经合组织,在今后的反恐委员会会议上介绍其在这一领域的最新工作。CTS还可以检查正在开发的以最小贸易限制的方式解决隐私问题的机制,从而在保持合法公共政策目标的同时促进贸易繁荣。
2020-09-27
TPP关于跨境数据传输的规定
让我们从与我们的主要主题最相关的条款开始-跨境数据传输的条款。跨境数据传输是指位于不同国家/地区的组织之间的数据传输。 这些数据交换有时会很复杂,因为数据保护法律可能会有所不同。一些国家/地区的法律比其他国家/地区更具限制性。有些国家甚至根本没有这样的立法。因此,当公司进行跨境数据传输时,它必须意识到其法律义务,以避免严厉的处罚。 TPP的第14.11条(“通过电子方式进行信息的跨境传输”)规定了管理此类数据传输的立法框架。它规定 “……当这项活动是为了进行承保人的业务时,每一缔约方应允许通过电子手段,包括个人信息,进行跨境信息传递……” 在TPP中,“隐蔽人士”可以指属于任何一方的公民或企业。另一方面,“缔约方”是指TPP对其生效的任何国家。 简而言之,TPP促进跨境数据传输,即使它们涉及个人信息也是如此。这与欧盟的法规形成鲜明对比。在那里,关于跨境数据传输的法律更具限制性。此外,如果转让涉及个人信息。实际上,这就是为什么目前存在着有关欧盟-美国安全港失效的大问题。 这是了解这一点的简单方法。如果您是一家在美国和欧盟都有业务的跨国公司,并且想将在欧盟收集的个人数据(可能是通过在那里进行的业务交易)转移到美国的服务器中进行进一步处理,则可以在没有首先克服主要法律障碍的情况下做到这一点。 但是,如果您在美国(假设美国立法机关批准了TPP)和另一个TPP参与国/地区开展业务,并且您想做同样的事情,那么从法律的角度来看,它将变得更加无缝,因为TPP显然支持它。 这些跨境数据流法规对业务交易具有重大影响。限制跨境数据传输的法律可能会对基于云的服务,外包,全球制造,旅行,供应链以及几乎任何需要从一个国家到另一个国家交换信息的商业交易产生不利影响。 因此,企业将很高兴地知道,在TPP覆盖的国家/地区进行此类交流时,不受此类限制。
2020-09-27
GDPR中个人数据的跨境传输指南
通用数据保护条例于2018年5月生效,为处理个人数据引入了更严格的规则,并将其领土范围大大扩展到了欧盟边界之外。本指南概述了GDPR对于将个人数据从欧盟国家跨境转移到非欧盟国家的要求,以及您的组织应采取的符合GDPR的步骤。 向非欧盟国家转移数据的法律框架在不断发展。由于数据的跨境传输对于出口数据的公司和导入数据的公司(例如,在阿尔巴尼亚成立的组织)同等重要,因此,有关这些传输的可行选择的简要指南非常受关注。 欧盟内部转移 在欧盟内部传输个人数据的情况下,GDPR不会对GDPR的直接适用性施加任何其他要求。但是,当控制器聘请处理器时,数据控制器与数据处理器之间的关系需要通过协议来控制,并且要遵守在这些情况下GDPR规定的最低标准。处理者与处理者之间的协议(GDPR第28条)规定了处理的主题和持续时间,处理的性质和目的,个人数据的类型和数据主体的类别以及控制者的义务和权利。 非欧盟数据传输:遵从GDPR的步骤 对于非欧盟数据传输,GDPR预见了可以进行此类传输的特定情况。尤其是,从事非欧盟个人数据传输的组织将需要验证 欧盟委员会是否有充分的决定,如果没有,则通过合同协议提供额外的保证。 第一步:欧盟委员会是否有充分的决定? 欧盟委员会可以发布有关非欧盟国家/地区数据保护级别的决定(例如,欧盟-美国隐私保护盾)。这些决定基于对第三国是否具有与欧盟等同的适当数据保护法律保障的全面评估。充分性决定的结果是消除了从欧盟(以及挪威,列支敦士登和冰岛)到该第三国的数据传输的任何障碍,而无需任何进一步的数据保护要求。 第二步:转移必须遵守适当的保障措施 如果第三国不属于适当性决定的范围,则欧盟组织应考虑以下替代方法之一: 标准合同条款欧盟委员会还可以采用标准合同条款,以方便欧盟控制者在将个人数据传输到非欧盟控制者或处理者时提供足够的数据保护保护措施。到目前为止,欧盟委员会已经发布了两套标准合同条款:数据从欧盟控制方转移到非欧盟或EEA控制方,而欧盟控制方转移到非欧盟或EEA处理方。数据保护机构也可以采用示范条款。但是,这些条款需要得到委员会的批准。最后但并非最不重要的一点是,跨境转移也可以根据数据导出者和数据导入者之间商定的临时合同条款进行,这些条款 必须得到主管DPA的批准。 具有约束力的公司规则(BCR)如果将个人数据从一个公司实体转移到另一个公司实体(不考虑地区),则数据的传输将根据具有约束力的公司规则(BRC)进行。具有约束力的公司规则是经主管监管机构批准的具有法律约束力的规则,该规则规范从事联合经济活动的企业集团或企业集团的成员及其雇员(包括位于欧盟以外的企业)内部的个人数据的传输和处理领土。与标准合同条款相比,BCR的优势在于,一旦获得了数据保护机构的批准,便可以在不考虑地区的情况下进行所有将来的集团内部转移,而无需任何其他要求。 附加保障措施除了上述选择之外,GDPR还为数据传输引入了两种替代性充分性工具:批准的认证机制和批准的行为准则。两种机制都允许数据传输,前提是数据导入者做出有约束力的和可强制执行的承诺,以为数据保护应用适当的保护措施。 数据传输豁免 在许多情况下,在没有上述传输机制的情况下可以进行个人数据传输。这些情况有限,包括以下情况: 数据主体明确同意; 转让对于订立或履行合同是必要的; 有公共利益的重要原因; 有必要建立,行使或捍卫法律主张; 对于数据主体或其他人的切身利益是必要的; 它涉及公共登记数据; 此外,GDPR对涉及数量有限的数据主体的非重复传输引入了新的限制,即减损。在没有其他合法依据的情况下,当出于强制数据出口者的合法利益的目的而没有被数据主体的合法利益以及出口者为转移的数据提供足够的保障的情况下允许转移。在这种情况下,出口商必须将有关转移的情况告知相关的数据保护局和数据主体。 结论 数据传输合规性仍然是组织的重要问题,这些组织的业务活动涉及在非欧盟第三国转移个人数据。鉴于在违反数据保护规则的情况下制裁的严厉性(高达2000万欧元或占全球年营业额的4%),为采用正确的转让机制做好准备至关重要。因此,作为第一步,有必要确定那些涉及非欧盟数据传输的过程。如果没有适当的决定,组织将需要考虑并提供适当的保护措施(标准合同条款或BCR)。不应低估认证计划和行为准则作为可能的转移机制的便利性。同时,在特殊情况下,克减是可能的,
2020-09-11
中国新网络安全法入门:隐私,跨境传输要求和数据本地化
中国新的《网络安全法》是我们今年将要看到的最重要的隐私和网络安全法规之一,各种规模的公司都需要了解其要求,无论它们是否在中国设有办事处。新法律将于2017年6月1日生效,这意味着公司还有几周的时间来熟悉法律并努力实现合规性。但是,仅仅回顾法律本身是不够的:为了真正理解法律的要求,重要的是在更广泛的中国法律制度背景下退后一步来查看法律。这篇文章详细介绍了这项复杂的新法律及其对企业的影响,并提供了从更全面的角度理解中国隐私法前景所需的其他背景。 首先,中国的数据保护法现状如何? 像美国一样,与世界上越来越多的国家不同,中国没有综合性的数据保护法。相反,它通过许多行业特定的法律来规范隐私和网络安全问题,例如《执业医师法》,《商业银行法》,《邮政法》以及《保护电信和互联网用户个人信息的规定》。此外,中国没有一个中央数据保护机构负责执行隐私法。缺乏集中的数据保护机构意味着要跟上执法行动和发布任何法律指南可能会更加困难,尤其是对于不熟悉中国法律环境的外国公司。 更复杂的是,《网络安全法》是在其他两项重要法律之后通过的:《国家安全法》和《反恐怖主义法》。这三部法律协同运作,以规范中国网络安全和隐私法的许多方面,同时有可能赋予中国政府更广泛的监视权。一般而言,联合国人权事务高级专员因其“范围极为广泛”而措辞模糊的《国家安全法》允许政府采取“一切必要”措施维护中国的主权(包括中国的主权)。通过实施广泛的监视措施进行推测)。与此同时,《反恐怖主义法》要求电信和互联网提供商允许访问并向政府当局提供其他形式的帮助(例如解密),以防止和调查恐怖袭击。简而言之,中国新的《网络安全法》在本已复杂的数据保护法律法规中增加了新的皱纹,其中至少有一些表面上旨在抵御对中国主权的威胁(真实或想象中的威胁)。 新的网络安全法的本质是什么?它是像《欧盟数据隐私指令》这样的综合法律吗? 不完全是。经过数次立法草案的公众咨询后,中国立法机关于去年11月通过了新的《网络安全法》,尽管该法律实际上直到2017年6月1日才生效。最近,4月11日,政府发布了该草案。个人信息和重要数据的跨境传输安全评估措施,旨在成为《网络安全法》的主要实施规则(以下简称“实施细则草案”)。如果最终确定实施细则草案,则将对某些数据从中国的转移施加额外的限制(如下文进一步详细讨论)。虽然不是一部涵盖各个行业隐私和网络安全各个方面的综合法律。 《网络安全法》的主要规定是什么? 该法律涵盖了一系列主题,从个人信息的隐私到安全标准。一般来说,网络运营商必须: 无论数据用途的预期用途或类型如何,都应征得数据当事人的知情同意,以收集其个人信息。目前尚不清楚是否必须表达同意或暗示同意。 保留网络安全事件日志,并将该日志保留不少于六个月; 实施网络安全事件计划; 发现任何安全漏洞后,应立即进行补救,并对其服务进行安全维护(如果网络运营商通过其网络提供服务); 在其组织内工作以确保其网络安全性的完整性; 备份并加密数据。 同时,CII提供者必须: 参与与网络运营商相同的网络安全实践,以及一些其他要求,例如每年对其网络安全实践进行审查; 在中国存储个人信息和“重要数据”(有关更多信息,请参见下文)。 此外,法律要求网络安全产品在出售前必须经过认证,符合某些标准(尚待阐明)。有人推测此要求是中国政府获取某些产品和数据的一种手段。 另一个要点与“个人数据”的定义有关。虽然先前的法律草案将个人信息定义为仅属于中国公民,但法律的最终草案将个人数据称为“自然人”。因此,法律似乎适用于非公民和公民的个人数据。
2020-09-11

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯