主办单位:中国贸易报社

第A6版:法律 上一版3  4下一版
第A6版            法律
 
今日关注

2019年3月19日 星期    返回版面目录

放大 缩小 默认        

了解当地法律 做好数据合规

来源:中国贸易报  作者:本报记者 陈璐

大数据时代,信息技术发展异常迅猛。为帮助企业在国际经营活动中防范数据合规风险,厘清全球主要法域在个人信息保护、数据安全、网络安全以及跨境数据传输等方面的规制现状和最新动态,做好信息安全管理,中国贸促会商事法律服务中心日前在北京举办“网络安全、隐私与数据保护”专题讲座。美国众达律师事务所合伙人毛里西奥·派斯(Mauricio Paez)介绍了目前美国数据合规相关法律与监管措施,旨在为企业提供切实可行的风险防控建议。

“数字经济催生了数据隐私以及网络安全保护等权利与自由。”毛里西奥·派斯称,在美国,公司持有和使用数据、信息和系统受到各个具体行业适用的联邦法律以及通用的数据安全、隐私和/或通知法律管辖,这些法律由众多联邦和州级机关负责执行。部分法律还对监管执法行动、损害赔偿金、私人诉讼权和金钱救济以及事实过失等做出具体规定。

“美国联邦层面的隐私与网络安全法律标准属于拼凑式。”毛里西奥·派斯指出,联邦层面的相关法律,比如,《格雷姆—里奇—比利雷法案》(《金融服务现代化法案》)适用于金融服务提供方的隐私和安全法律。该法案要求企业采取相应的技术和行政管理安全措施,以保护客户账户信息安全,并遵守个人数据隐私要求。该法案在信息安全标准的跨部门指导原则方面,对控制客户信息风险的策略、制度和程序进行了规定。比如,董事会必须参与审议信息安全计划;要求对消费者报告或报告中的信息进行安全处理;要求制定和实施风险响应计划,以应对未经授权访问客户信息的临时要求。《2015年网络安全法》允许美国政府与技术和制造公司之间共享互联网流量信息,但不允许共享具有个人识别性以及与网络安全无关的信息。

“美国50个州以及哥伦比亚特区、波多黎各、关岛和维京群岛均要求,一旦出现未经授权访问或获取未加密个人识别信息的情况,必须对受影响的个人和政府机构发出法律通知,除非该访问或获取不具有个人伤害风险。但各州对数据合规相关领域的要求也不尽相同。” 毛里西奥·派斯举例称,比如,美国有13个州的法律要求采取“合理的安全程序”,但这些州的法律在具体要求方面有所不同。部分州只是要求公司实施“合理的安全程序和惯例做法”,但并未界定具体的内容(例如加州)。内华达州将“支付卡行业数据安全标准”的要求编入法律,且要求数据加密。部分州禁止访问员工的个人设备并获取社交账户认证信息,且要求销毁特定员工的记录。加州的《在线隐私法》和《反客户信息披露法》要求公布与消费者相关的在线数据收集和使用的惯例做法,包括第三方数据分享。

此外,被业界认为“美国国内最严格的隐私立法”——《加州消费者隐私法案》,由加州州长杰里·布朗于去年签署,将于2020年1月生效。该法案规定了针对数据泄露的法定损害赔偿金,授予消费者更多对其个人信息在线传播的控制权与知情权,对企业提出更多通知、披露以及对消费者要求做出回应的相关义务。

“这是数据隐私立法的发展方向,今后还将有更多相关规定出台。”毛里西奥·派斯指出,该法案适用于处理加州居民个人信息的企业,无论该企业是否位于加利福尼亚州。企业是指符合下列一项或多项标准的任何以盈利为目的的实体:年度总收入超过2,500万美元;每年购买、收取、出售或共享的个人信息涉及50,000或更多加州消费者、家庭或设备;或其50%或以上的年收入源自销售消费者个人信息。此外,还包括控制符合上述标准的企业或受其控制并与其共享相同品牌(如相同的名称、服务或商标)的任何实体。

对于数据泄露的通知与应对,毛里西奥·派斯认为,企业应该不迟于72小时通知主管数据保护机构(泄露不可能导致个人权利和自由遭受风险的情况除外),通知内容包括泄露的性质、数据保护官、可能的后果和对数据泄露采取的措施;通知受影响的个人(若可能给其权利自由带来很高风险),通知无延迟若(数据加密则可以豁免)。此外,数据控制者须保留内部数据泄露记录,参考欧洲数据保护委员会发布的指南、建议、最佳做法。

关于我们 | 报纸征订 | 投稿方式 | 版权声明
主办单位:中国贸易报社 | 通讯地址:北京市三元西桥中国贸易报社