v1-数据合规白皮书-cstc.docxVIP

国际政策法律环境 欧盟 欧盟立法密集，深刻影响全球数据安全治理格局。2016年4月27日，欧盟发布2016/679号条例《通用数据保护条例》（GDPR），取代95/46/EC号指令（欧盟数据保护指令）。条例制定了个人数据保护的一般规范，为欧盟内外个人数据的自由流动提供了确定性保护，开启了其成员国新一轮数据立法，是欧盟新形势下数据治理的里程碑事件。7月6日，首部网络安全相关法律《网络与信息系统安全指令》（NISD）颁布，旨在加强基础服务运营商、数字服务提供商的网络与信息系统安全，并要求成员国及时转化为国内立法，与GDPR分别从安全和基本权利保障两个层面实现其网络治理战略意图。2018 年 10月 23日 ，第 2018/1725 号条例《联盟机构个人数据处理保护条例》发布，作为GDPR的补充对欧盟机构处理个人数据时对自然人的保护提出基本要求，明确了数据主体的权利范围及主要监管机关的职能和义务。为保障非个人数据在欧盟境内自由流动，更大程度地激发和释放数据价值，于11月14日发布2018/1807号条例《非个人数据自由流动条例》，对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题作了具体规定，并考虑了服务提供商负担过度及市场扭曲的问题，进一步完善了欧盟数据治理框架。2019年4月17日，又一重磅网络安全顶层设计法律，第2019/881号条例《关于ENISA和信息通信技术网络安全认证的条例》（又称《2019网络安全法案》）正式颁布。这是欧盟网络安全治理的里程碑事件。法案指定欧盟网络和信息安全署（ENISA）为永久性欧盟网络安全机构，确立了第一份欧盟范围的网络安全认证计划，以确保向欧盟境内提供的产品、流程和服务满足其网络安全标准。6月20日，《数据开放指令》发布。 欧盟“数据”和“安全”相关法律出台密集，与其“数字化单一市场”战略齐头并进，培育了良好的数据安全治理环境，深刻影响国际数据治理格局，包括美国、日本、韩国、印度、加拿大等在内的十几个国家为了打通欧盟立法产生的数据壁垒，与其已经达成或正在谈判以达成数据传输保护协议。其中，在美国爆光监听丑闻及棱镜事件后，欧盟认为欧美长达15年的《安全港协议》不足以保护欧盟公民隐私。2016年2月2日，美国与欧盟达成新的隐私盾（EU-US Privacy Shield）协议，新协议要求美国企业履行更加严格的义务以保护欧盟公民的个人数据，并必须做出相应承诺。新协议实施不久便遭受阻碍，被 \t /article/zuixindt/201612/_blank 法国多家隐私保护组织起诉至法院。?2019年1月23日，日本与欧盟达成数据共享协议，在欧盟对其进行充分性认定前，日本实施了额外的保障措施，以确保由欧盟转移的数据享有符合欧洲标准的保护保障。并进行至少每四年一次的协议运作审查。 2020年7月16日，欧洲法院推翻了欧盟与美国2016年达成的数据传输协议——“隐私盾”（Privacy Shield），裁定该协议无效。受此影响，成千上万的公司可能不得不停止在美国的服务器上存储欧盟居民的信息。 2020年11月4日，欧盟推出与美国共享数据的合规条款。欧盟委员会将发布更新的标准合同条款（SCC），概述公司和组织如何与美国共享数据而又不违反欧盟的隐私法律。SCC为欧洲公司与美国和其他第三方国家/地区交换数据提供了一种法律机制，将使得欧洲组织能明确在什么情况下进行跨境数据传输是合法的。欧洲法院于7月废除了欧盟与美国的“隐私盾”数据共享协议，并向使用SCC的公司提出警告，这使企业的数据跨境传输面临法律层面的不确定性。更新的SCC将符合欧盟《通用数据保护条例》规定，并完善可能涵盖的范围，为企业的数据传输提供合规指导。 美国 美国多点式数据立法，捍卫其多元化社会利益。目前美国尚无联邦层面的综合性数据安全正式立法，但美国从联邦层面多次强调将数据作为执法优先项，并于2019年底相继提交 《国家安全和个人数据保护法提案》、《数据保护法提案》，并受欧盟数据立法影响，2018年6月28日，美国在州层面通过第一部数据隐私法案——《加利福尼亚州消费者隐私保护法》(CCPA)，并于2020年1月1日正式生效。法案强化了数据主体对个人信息的控制权,规范了企业收集处理数据的方式。此前，在2018年1月,特朗普签署了《外国情报监视法案修正案》第702条的更新授权,延续其霸权形式的互联网监视及情报收集计划，同意授权美国国家安全局(NSA)监听境外目标人员并收集其相关数据情报。2018年3月23日，特朗普签署《澄清合法使用海外数据法》即“CLOUD法案”，法案提升了美国执法机构对境外存储数据的执法权限,即无论网络服务提供商的数据是否存储在美国境内，只要是提供商拥有、控制或监管，均须按照该法令的要求保存、备份和披露。同