相比之下,美国采取以行业自律和市场调节机制为主的松散立法,对数据保护采取“长臂管辖”原则,扩大了执法部门对境外数据的权限,同时对于儿童信息数据、电子通讯数据等特殊数据进行了立法保护。
《云服务商个人数据保护指南》指出,虽然各国对个人数据保护的态度不同,监管内容也有差异,但无论严苛或宽松,大致可归纳为如下九项要求:
l 个人数据的定义范围不断扩大;
l 设立数据保护官;
l 数据主体的权利,包括知情权、删除权、纠正权等;
l 数据保护义务,包括数据完整性、数据安全性等;
l 对个人敏感信息进行特殊保护;
l 跨境传输要求,何种情况下可以进行跨境传输;
l 数据泄露披露,包括报告监管机构,通知数据主体;
l 对特殊类型数据的处理,如儿童数据等;
l 成立独立的监管机构。
此外,《云服务商个人数据保护指南》还列举了国内外数据保护方面的相关标准,如:中国国家标准化管理委员会发布的《个人信息安全规范》,公有云个人隐私数据保护方面的首个国际标准ISO/IEC 27018,欧洲云计算服务供应商联盟 (CISPE )发布的《个人数据保护行为准则》等。
在云计算数据安全领域,中国信息通信研究院在“2017可信云大会”上发布了《云服务用户数据保护能力参考框架》。该标准从用户视角出发,规定了云计算数据保护能力的十六大类指标,全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段,使企业在达到“可信”的基础之上,实现对“安全”的全面保障。
在数据处理层面,云服务商作为数据处理过程中的关键角色,与云用户、第三方服务提供商的合作中均涉及数据处理规范性的问题。中国信息通信研究院已启动云服务商数据处理协议相关标准的制定工作。《云服务商数据处理协议参考框架》将针对云服务过程中面临的安全问题,规范云服务商与各方签订数据处理协议应包含的内容,帮助云服务商建立规范完备的数据处理体系。 五大措施助力云服务商 提升个人数据保护能力
面对各国个人数据保护的法律监管要求,《云服务商个人数据保护指南》建议云服务商针对不同场景、分别采取五大措施,提升企业在个人数据保护方面的能力。
《云服务商个人数据保护指南》提出,应明确不同场景下的数据主体。当数据主体为云用户,数据由云服务商控制时,云服务商可以采取以下措施规范自身行为: 建立跨部门合作。个人数据保护合规至少需要安全、法务、管理部门、开发部门、运维部门、财税部门等相关部门共同组建合规团队,在协作下完成个人数据保护合规工作。 标准化的隐私协议。企业应根据相关法律法规,以易于访问的方式公开隐私协议,协议内容应清晰易懂。 个人数据保护措施。企业可以从几个方面着手,如:设置专职的数据保护人员、升级数据安全管理制度、提高工作人员数据保护意识、提高数据全生命周期的安全保护能力等。
发表于 2025-8-9 20:08
收藏