炼石-国外数据安全政策研究报告（2022年）V1.0.0.docxVIP

1

国外数据安全政策研究报告

炼石网络与国浩律所合作，共同梳理了欧洲、北美洲、南美洲、亚洲、大

洋洲、非洲六大洲，包括欧盟、德国、法国、英国、意大利、俄罗斯、美国、

加拿大、巴西、日本、印度、韩国、澳大利亚、南非等14个国家或组织的87

项数据安全政策及战略，从各国立法总体情况、法律位阶、法律间关系、各法

的定位、内容要点等维度进行分析。由于作者水平有限，难免会有遗漏和偏差，

希望读者指正。

2

全球数据安全政策总览

国外数据安全政策研究报告

3

国外数据安全政策研究报告

欧盟的数据安全立法无论是在立法时间还是立法系统性上，都处于全

球领先位置。作为一个经济共同体，欧盟在数据安全立法方面的出发点与

一般实体国家存在区别，其更强调技术导向的数据共享与自由流动，消除

成员国家间的信息屏障。为达到这一目标，欧盟必须在数据存储处理、公

民基本权利、数据安全保护和监管、数据跨境流动等方面构建完善的法律

框架。

欧盟的政策决策特点是多方面互动的，欧洲委员会、欧洲议会、欧洲

理事会、欧盟理事会、欧盟委员会等机构参与制定欧盟法律法规。欧盟的

法律基本框架大体可分为3个层次：一级法律，主要指条约；二级法律，

4

随着互联网信息技术的发展及其应用的不断普及化，《108号公约》

据流通的附加协定》；

[1]

5

?

2018年10月，乌拉圭与20个欧洲理事会成员国签署了一项欧洲理事

力的国际性文件，反映了欧洲国家就个人数据保护作为人权保护达成的共

识，并推进更多的国家参与和加入。公约建立了有关个人数据保护的基本

原则以及各缔约国之间的基本义务，并将对个人基本自由与权利的保护作

为缔约国履行条约规定的国家义务的出发点。此外，公约委员会的建立，

在一定程度上建立起了针对个人数据保护的多国合作框架。

在适用范围上，公约明确是缔约国管辖范围内的个人数据处理活动，

涵盖私营部门和公共部门，不再局限于此前版本所界定的“自动化的个人

数据处理”活动，不再适用于自然人在纯粹的个人或家庭活动中进行的数

据处理活动。

公约针对数据安全方面提出，缔约国应当规定数据控制者，在适当的

情形下包括数据处理者，采取适当的安全措施以防范个人数据遭受意外的

或未经授权的访问、损毁、丢失、利用、修改或传播。同时，也引入了缔

约国应当规定数据控制者将个人数据泄露事件及时通报监管机构的要求。

6

在个人数据跨境流通上，公约力求确保在处理个人数据过程中给予适

当保护的同时，促进数据在各国间实现自由流通。公约明确，任何缔约国

不得仅为保护个人数据之目的禁止数据跨境传输，或者设置特别授权条

件。非成员国的跨境传输，需在公约规定的适当个人数据保护水平得到保

障的情形下进行。

《95指令》直接以指令而非条约的形式要求各成员国完善数据保护立

法，致力于协调各国对自然人在数据处理领域的基本权利和自由的保护，

消除个人数据在共同体内部自由流通的障碍。首次提出知情同意原则，将

“数据主体已明确表示同意”作为数据处理的合法条件之一；采用统一立

法模式，规定建立独立的数据保护机构，是个人信息保护法中主张域外效

力的典型代表。

7

在处理个人数据的安全性方面，《95指令》提出，会员国应规定，控

制者必须实施适当的技术和组织措施（特别是在处理涉及通过网络传输数

据的情况下），以保护个人数据免受意外或非法破坏或意外丢失、更改、

未经授权的披露或访问，防止所有其他非法形式的处理。考虑到最新技术

及其实施成本，此类措施应确保与处理行为潜在的风险和要保护的数据的

性质相适应的安全水平。

在数据保护监管方面，《95指令》提出，各成员国应建立监管机构，

并赋予他们完全独立的行使职能。监管机构应被赋予的权利包括调查权、

干预权、法律诉讼权等。

03欧盟《通用数据保护条例》

8

2018年11月14日，欧洲议会和欧盟理事会共同颁布《非个人数据自

由流动条例》（简称《条例》），并于2019年5月28日正式实施。《条

9

例》旨在统一有关非个人数据的自由流动规则，与已经实施生效的GDPR

形成数据治理的统一框架，以此平衡个人数据保护、数据安全，推进欧盟

在单一数字市场战略下打造富有竞争力的数字经济。

05欧盟《网络安全法案》

2019年4月17日，欧洲议会和欧盟理事会通过了《网络安全法案》（简

称《法案》），并于2019年6月27日正式施行，旧版网络安全法案（N

o526/2013）被废除。《法案》确立了第一份欧盟范围的网络安全认证计

划，对于欧盟各成员国网络和信息通讯安全体系的构建、安全风险防控能

力的提升具有十分重要的意义。

《法案》指定了欧盟网络和信息安全署（ENIS