1、The cybersecurity legal landscape
内容摘要:
(2017年12月12日)Robert Half Legal的Joel Wuesthoff讨论了网络安全的法律环境,以及它对持有或使用个人身份信息的律师事务所、诉讼当事人以及公司和组织的意义。
关注网络安全的法律环境有如下必要性:一,数据安全问题有增无减,很多知名公司(雅虎、Home Depot、Target等公司)已经受到过公开的网络攻击,律所也面临着同样的问题;二,作为敏感企业数据的保管者,律所是黑客的首要目标,而数据泄露关系到律所的成本,包括品牌和声誉的损失。因此,律师必须始终关注不断发展的网络安全问题,以便他们能够最好地准备好保护公司和客户的数据。
关注数据安全要从多个方面考量,首先要测量数据的价值。从商业角度来看,最有价值的类型是机密或专有数据和敏感的个人信息。就大数据而言,IBM高级项目总监James Kobielus建议将信息价值与导致积极业务成果的决策的潜力挂钩。另外,通过考虑Kobielus所说的“四个V”(Volume规模性、Variety多样性、Velocity及时性、Veracity准确性)数据来计算出一定数量的信息。
公司面临数据泄露方面的各种法律威胁,。私人当事人有时可以通过法律途径对公司提起诉讼,指称未能保护其个人数据。这些行为可能包括起诉违反隐私政策或提起侵权索赔,包括过失行为、精神损害和隐私权损失。因为金钱损失可能难以计算,原告也可以在衡平法理由上寻求数据泄露行为的强制救济,以防止未来的伤害或减轻伤害。当事人也可能指责公司违反某些州或联邦有关记录保存或处置的法规,如赋予私人行动权利的加利福尼亚州的《客户记录法》、《公平信用报告法》(FCRA)、《儿童在线隐私保护规则》(COPPA)、《数据安全违规通知法案》等。为了胜诉数据泄露索赔,原告必须证明可知的损害,如果所指称的损害具有足够的具体性和迫切性,则可以认定有充分的损害索赔。就最近的趋势而言,数据泄露案件中的危害类别包括:实际存在的财务损失、 实际滥用信息、所谓的近期滥用信息的风险等。联邦贸易委员会还执行具体的规定,包括在COPPA,FCRA和美国谢绝谢绝来电计划通过的规定。
本文为为律师和公司提供了一些实践指引。第一道防线是对原告的起诉行为发起攻击。被告必须证明:(一)事实上的伤害是具体和特殊的,以及实际或迫在眉睫;(二)被告行为带来的伤害是相当可观的;(三)有利的裁决可以弥补伤害。第二道防线是争辩原告没有受到损害,也没有提出索赔。
美国国土安全部的公平信息实践原则(FIPPs)为处理个人信息提供了额外的框架。他们同样强调数据最小化(仅收集与特定目的直接相关和必要的数据,并且只在需要时才保留数据来实现该目的)和使用限制(仅使用和分享数据用于既定目的)。FIPP还强调通过实施适当的安全保护措施保护个人数据不受侵害和未经授权的使用。为此,律师和法律顾问可以采取一些实际措施来减少数据泄露的可能性。应当注意的方面有:(一)与IT协作,即法律应与IT团队合作,定义、分类、发现和保护客户端和其他机密数据。;(二)聘请数据安全和隐私专家;(三) 进行风险评估;(四)建立流程和协议;(五) 监督和执行政策;(六) 制定计划,其中要考虑的因素包括企业将使用何种类型的网络安全、如何进行监控以跟踪敏感公司和客户数据的位置、如何主动计划第三方数据妥协等等。
另外,美国律师协会的网络安全法律工作组是法律行业的一个重要工具,它提供了一套连贯的资源,包括国家的网络政策、报告和建议。
原文链接:
链接: https://pan.baidu.com/s/1nvmTQ0h
密码: k5hn
2、跨境数据流动规则分析——以欧美隐私盾协议为视角
作者:曹杰,王晶
内容摘要:
隐私盾协议前身为安全港协议,源自欧盟高标准的数据保护要求。早在1995年,欧盟就尝试在境内制定统一的数据保护制度规范跨境数据流动,即 《数据保护指令》(Data Protection Directive),该指令明确只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下,才可以进行数据转移。在 《数据保护指令》的驱动下,欧盟认为美国无法达到 “充分保护”的水平,于是在 2000 年 7 月和美国签订了安全港协议确保美国公司尊重欧盟的规则,允许个人数据在欧盟成员和美国之间合法流动,寻求美国公司持有的个人信息得到同样程度的保护。斯诺登事件之后,欧美数据流动制度不协调的矛盾凸显,最终导致安全港协议的失效。然而就在安全港协议失效的一年内,欧美在跨境数据流动创造的商业利益驱使下迅速达成了隐私盾协议,在原则上构成对安全港协议的代替,,允许美国公司继续把欧盟公民的个人数据转移到美国。
隐私盾协议的核心是对大西洋两岸跨境转移个人数据的隐私保护进行规范,主要在于对美国公司的约束。隐私盾协议之外还有两个协议与其互为补充: 美国 - 欧盟 “保护伞”协议(Umbrella) 即数据隐私和保护协议 (Data Privacy and Protection Agreement) 与 2015年美国司法赔偿法案 (US Judicial Redress Act of 2015) (Hufbauer,2016)。
隐私盾协议与安全港协议、TPP 协议有三处共同点。一是三大协议均对数据隐私的基本原则达成共识,即为了改善和提高公民的隐私保护程度。二是三个协议都从数据的质量 (确定数据的使用目的和使用数据获得消费者认可)、透明度 (数据处理的开放程度) 和具体实施机制三个方面认可和划定跨境数据保护的衡量标准。隐私盾协议和安全港协议的七大原则 (见表 1) 都系统地将这三个衡量标准细化和落实: 七大原则之中, “通知”、 “选择”、 “向前传递责任”、“数据融合和目的限制”几项是对数据质量规定的细化,“接入”、“安全”是对数据透明度规定的细化,“追索、责任和实施”主要阐述具体实施机制。三是三个协议的约束对象均是商业活动中的跨境数据流动,而不是政府公共数据。
隐私盾协议也有自己的特色。一是跨境数据收集方承担的义务更多,数据保护标准更加细致严格。在 “向传递责任”原则上,隐私盾协议增加了对第三方的约束力。在 “数据整合和目标限制”原则中,隐私盾协议在安全港协议的基础上额外增加了信息可识别性的要求,认为在用于数据整合和目标限制含义内的处理目的时,信息应当以使个人可识别的形式保留。TPP 协议出发点与隐私盾协议、安全港协议不同,是从促进跨境数据自由流动的思想出发,因此对于跨境数据收集的规定显得比较宽泛,从原则上要求跨境电子信息的传输不能构成任意的或者不合理歧视的方式适用,不能对贸易构成变相限制;不对信息传输施加超出实现目标所需要的限制。二是实施机制执行力提升和提供丰富的救济手段。隐私盾协议的执行条款在安全港协议的基础上增加了细则,加大了可实施性。此外,欧盟成员还能从隐私盾协议中获得比安全港协议更多的救济可能。三是构成对情报机构收集信息的权利限制。安全港协议未提及情报机构收集情报可能构成的跨境数据流动中的隐私侵犯问题,隐私盾协议对此给出了一个答案,在国家情报局长的信中针对由美国法令、总统指令以及行政命令中施加的有关电子信号收集进行了限制,即 “这种信息收集应当是有针对性的而不是大范围的”,还指出美国情报机构必须要尽可能在信号情报收集的方式和内容上切合实际 。
通过以上协议条款比较不难看出跨境数据流动规则实践中,有一些亟需克服的困难。一是如何在双多边谈判中建立一个折中的框架,实现数据开放和隐私保护并重。二是如何统一碎片化的数据保护规制,提高跨境数据流动规则的实施能力。。
与欧美相比,我国在跨境数据流动政策上的探索起步较晚,较不成熟,很有必要借鉴欧美经验,综合考量跨境数据流动中的个人利益、企业利益以及国家利益,从以下几个方面做出努力。一是 ,促进跨境数据流动。,有效保护个人隐私。应当加快推进与网络安全法相配套的法规制定,对数据保护相关标准予以明确和细化包括对第三方责任的规定、对敏感数据 (如未成年人) 的分类保护以及相应的追索机制的完善,通过提高法律法规的执行力倒逼企业提升个人隐私保护意识和制定隐私保护章程,降低网络犯罪风险,使个人隐私得到适当的保护。三是积极参与规则制定,维护中国企业利益。国可以一方面积极参与国际平台上有关跨境数据流动规则的研讨,代表中国企业利益发出中国声音,另一方面可考虑借助 RCEP、FTAAP 等区域谈判寻求建立符合中国利益的跨境数据流动规则,并逐步将区域规则推广至全球。
原文链接:
http://kns.cnki.net/KCMS/detail/detail.aspx?dbcode=CJFQ&dbname=CJFDLAST2017&filename=GJTS201704009&v=MDQzNzBkdUZDbmxXcnpJSWlmZmZiRzRIOWJNcTQ5RmJZUjhlWDFMdXhZUzdEaDFUM3FUcldNMUZyQ1VSTDJlWmU=