中(zhōng)國新的網絡安全法已經生(shēng)效,這意味着全球範圍内新增一(yī)個國際數據隐私法,這可能給跨國企業帶來更多挑戰。
企業可以在2018年再開(kāi)始遵守歐盟的《一(yī)般數據保護條例》(GDPR),與歐盟GDPR相同,中(zhōng)國的數據隐私法于2016年11月獲得批準,并于2017年6月1日生(shēng)效。新法律主要适用于“網絡運營商(shāng)”和“關鍵信息基礎設施(CII)”,有專家表示該法律在定義方面過于廣泛。
“對此,該法律表明,任何維護計算機網絡的公司(甚至在自己辦公室内),都可被認定爲’網絡運營商(shāng)’,這個解釋足以包含大(dà)部分(fēn)公司。那些通過網絡在中(zhōng)國内部開(kāi)展業務的境外(wài)公司也可能涵蓋在内,”紐約國際律師事務所Proskauer隐私法博客專家指出,“CII提供商(shāng)通常被視爲“可能損害中(zhōng)國國家安全或公共利益的服務(丢失或遭破壞)”,該法律将信息服務、交通運輸、水資(zī)源和公共服務命名爲其他服務提供商(shāng),政府對哪些類型的公司可能被視爲CII提供商(shāng)擁有最終解釋權。”
盡管目前尚不清楚中(zhōng)國的數據隐私法适用哪些情況,但責任很明确,包括:
收集個人信息需要獲得用戶同意;
保存網絡安全事件日志(zhì);
修複漏洞并部署網絡安全計劃;
備份和加密數據;
在中(zhōng)國存儲中(zhōng)國公民和非公民數據。
不一(yī)緻的國際數據隐私法
中(zhōng)國新的網絡安全法給試圖遵守各種國際數據隐私法的企業帶來另一(yī)種挑戰。
根據企業協作軟件制造商(shāng)Synchronoss公司全球數據隐私官Deema Freji表示,國際數據隐私法的麻煩在于,全球有很多隐私法,所有隐私法都有各自不同的解釋和細微差别。
“有些是針對具體(tǐ)國家,有些則針對具體(tǐ)行業。随着技術不斷發展,數據正在随時随地以電(diàn)子方式傳輸,并跨越國界。企業很難确定哪些法律适用于其數據,”Freji稱,“是存儲數據國家的法律,數據解密所在國家的法律,還是數據傳輸國家的法律?你可以想象,這些都是難以回答的問題,事實上,有些企業向法庭發問,試圖得到一(yī)些指導意見。”
Druva公司首席信托官Drew Nielsen稱,在國際數據隐私法方面達成共識更像是迫使國家保護其他國家的某些利益。
“如果你看看GDPR,這是關于讓公民控制自己的信息,而歐盟内成員(yuán)國可在現行法規之上,對處理器和控制器提出更嚴格的要求,”Nielsen指出,“另一(yī)方面,面對中(zhōng)國網絡安全法的企業必須承擔暴露核心技術和知(zhī)識産品給中(zhōng)國政府造成的影響。”
Privacy Professor公司首席執行官Rebecca Herold稱,在國際數據隐私法之間構建一(yī)緻性方面并沒有太多進展。
“現在世界各地存在很多類型的隐私和安全法律;單在美國就有數千種。在各個國家之間并沒有建立共識。然而,對于某些特定類型的活動和數據,例如信用卡數據,全球都必須遵守相同的标準;這也是一(yī)種共識,”Herold說道,“在隐私和安全方面很少有共識,但總體(tǐ)而言,目前世界各地有成千上萬種不同的法律、法規和标準,每個國家、地區甚至城市都會有所不同。”
遵守各種數據隐私法
面對各種國際數據隐私法,跨國企業保持合規性并不容易。
Goldberg &Clements PLLC公司董事長兼訴訟人Richard Goldberg表示,這些國家法還可能相互矛盾。
“當美國政府要求在歐盟設有辦事處(或數據存儲)的公司提供文件時,該公司可能受到歐盟法律的約束,禁止傳輸文件給美國。(在某些情況下(xià),該公司還需要獲得員(yuán)工(gōng)的許可)。新增加的限制肯定讓其難以跨國維持員(yuán)工(gōng),”Goldberg稱,“在很多情況下(xià),我(wǒ)都建議跨國企業他們應該避免進軍某些國家,即使那些國家擁有似乎有利可圖的業務增長水平,但風險和相關監管成本太高。”
Herold稱,企業需要建立正确的流程以确保遵守各種國際數據隐私法。
“在企業設有辦事處或者擁有員(yuán)工(gōng)、客戶、客戶端、患者和承包商(shāng)的所有地點,企業必須遵守所有安全和隐私法律、法規、标準和法律要求,”Herold指出,“如果他們不這樣做,他們會發現自己不符合合規性,并可能面臨罰款、其他類型的處罰,甚至被勒令停止在這些地點的業務。”
Varonis Systems公司現場工(gōng)程副總裁Ken Spinner等專家稱,試圖在每個地區保持合規性可能太難。
“我(wǒ)認爲對于全面合規性并沒有捷徑,特别是越來越多跨境法規得以制定,”Spinner表示,“然而,數據保護專業人士會告訴你,如果你選擇法律最嚴格的國家(例如德國),你基本可滿足其他地方的大(dà)部分(fēn)法律要求。”
Nielsen稱,第一(yī)步是“了解你的數據攻擊面情況,并完全清楚企業收集以及處理的數據類型,以及相關影響。”
“接着,了解你企業涉足的國家和地區。然而,選擇具有足夠重疊控制的安全和合規框架,涵蓋所有地區最廣泛的要求,”Nielsen稱,“沒有合規框架可涵蓋100%的控制,但企業可選擇最适合其業務的框架,盡量減少合規工(gōng)作。”
Freji指出,盡管國際數據隐私法有不同的細微差别,根基一(yī)般相同,同時,了解你的數據流向以及誰可訪問數據是很好的起點。
“作爲基準框架,企業必須确保他們能夠保護數據;确保在收集數據時獲得許可;确保員(yuán)工(gōng)在安全和隐私方面得到培訓,并根據其業務所在地理區域,确定需要遵守哪些法規,”Freji稱,“他們将需要對數據進行分(fēn)類,因爲這些法律并不适用于企業所有信息,而隻是其中(zhōng)部分(fēn)。企業需要認識到,很多國家還在制定其法律,或者在試圖跟上快速發展的技術進步,監管意圖與電(diàn)子數據如何創建、存儲、處理和移動的現實之間通常會有一(yī)段鴻溝。”
上一(yī)篇:企業被黑客攻擊,“怼回去(qù)”合法嗎(ma)?
下(xià)一(yī)篇:網站易被攻擊原因及保護措施