中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。
企业可以在2018年再开始遵守欧盟的《一般数据保护条例》(GDPR),与欧盟GDPR相同,中国的数据隐私法于2016年11月获得批准,并于2017年6月1日生效。新法律主要适用于“网络运营商”和“关键信息基础设施(CII)”,有专家表示该法律在定义方面过于广泛。
“对此,该法律表明,任何维护计算机网络的公司(甚至在自己办公室内),都可被认定为’网络运营商’,这个解释足以包含大部分公司。那些通过网络在中国内部开展业务的境外公司也可能涵盖在内,”纽约国际律师事务所Proskauer隐私法博客专家指出,“CII提供商通常被视为“可能损害中国国家安全或公共利益的服务(丢失或遭破坏)”,该法律将信息服务、交通运输、水资源和公共服务命名为其他服务提供商,政府对哪些类型的公司可能被视为CII提供商拥有最终解释权。”
尽管目前尚不清楚中国的数据隐私法适用哪些情况,但责任很明确,包括:
- 收集个人信息需要获得用户同意;
- 保存网络安全事件日志;
- 修复漏洞并部署网络安全计划;
- 备份和加密数据;
- 在中国存储中国公民和非公民数据。
不一致的国际数据隐私法
中国新的网络安全法给试图遵守各种国际数据隐私法的企业带来另一种挑战。
根据企业协作软件制造商Synchronoss公司全球数据隐私官Deema Freji表示,国际数据隐私法的麻烦在于,全球有很多隐私法,所有隐私法都有各自不同的解释和细微差别。
“有些是针对具体国家,有些则针对具体行业。随着技术不断发展,数据正在随时随地以电子方式传输,并跨越国界。企业很难确定哪些法律适用于其数据,”Freji称,“是存储数据国家的法律,数据解密所在国家的法律,还是数据传输国家的法律?你可以想象,这些都是难以回答的问题,事实上,有些企业向法庭发问,试图得到一些指导意见。”
Druva公司首席信托官Drew Nielsen称,在国际数据隐私法方面达成共识更像是迫使国家保护其他国家的某些利益。
“如果你看看GDPR,这是关于让公民控制自己的信息,而欧盟内成员国可在现行法规之上,对处理器和控制器提出更严格的要求,”Nielsen指出,“另一方面,面对中国网络安全法的企业必须承担暴露核心技术和知识产品给中国政府造成的影响。”
Privacy Professor公司首席执行官Rebecca Herold称,在国际数据隐私法之间构建一致性方面并没有太多进展。
“现在世界各地存在很多类型的隐私和安全法律;单在美国就有数千种。在各个国家之间并没有建立共识。然而,对于某些特定类型的活动和数据,例如信用卡数据,全球都必须遵守相同的标准;这也是一种共识,”Herold说道,“在隐私和安全方面很少有共识,但总体而言,目前世界各地有成千上万种不同的法律、法规和标准,每个国家、地区甚至城市都会有所不同。”
遵守各种数据隐私法
面对各种国际数据隐私法,跨国企业保持合规性并不容易。
Goldberg &Clements PLLC公司董事长兼诉讼人Richard Goldberg表示,这些国家法还可能相互矛盾。
“当美国政府要求在欧盟设有办事处(或数据存储)的公司提供文件时,该公司可能受到欧盟法律的约束,禁止传输文件给美国。(在某些情况下,该公司还需要获得员工的许可)。新增加的限制肯定让其难以跨国维持员工,”Goldberg称,“在很多情况下,我都建议跨国企业他们应该避免进军某些国家,即使那些国家拥有似乎有利可图的业务增长水平,但风险和相关监管成本太高。”
Herold称,企业需要建立正确的流程以确保遵守各种国际数据隐私法。
“在企业设有办事处或者拥有员工、客户、客户端、患者和承包商的所有地点,企业必须遵守所有安全和隐私法律、法规、标准和法律要求,”Herold指出,“如果他们不这样做,他们会发现自己不符合合规性,并可能面临罚款、其他类型的处罚,甚至被勒令停止在这些地点的业务。”
Varonis Systems公司现场工程副总裁Ken Spinner等专家称,试图在每个地区保持合规性可能太难。
“我认为对于全面合规性并没有捷径,特别是越来越多跨境法规得以制定,”Spinner表示,“然而,数据保护专业人士会告诉你,如果你选择法律最严格的国家(例如德国),你基本可满足其他地方的大部分法律要求。”
Nielsen称,第一步是“了解你的数据攻击面情况,并完全清楚企业收集以及处理的数据类型,以及相关影响。”
“接着,了解你企业涉足的国家和地区。然而,选择具有足够重叠控制的安全和合规框架,涵盖所有地区最广泛的要求,”Nielsen称,“没有合规框架可涵盖100%的控制,但企业可选择最适合其业务的框架,尽量减少合规工作。”
Freji指出,尽管国际数据隐私法有不同的细微差别,根基一般相同,同时,了解你的数据流向以及谁可访问数据是很好的起点。
“作为基准框架,企业必须确保他们能够保护数据;确保在收集数据时获得许可;确保员工在安全和隐私方面得到培训,并根据其业务所在地理区域,确定需要遵守哪些法规,”Freji称,“他们将需要对数据进行分类,因为这些法律并不适用于企业所有信息,而只是其中部分。企业需要认识到,很多国家还在制定其法律,或者在试图跟上快速发展的技术进步,监管意图与电子数据如何创建、存储、处理和移动的现实之间通常会有一段鸿沟。”