期刊介绍
期刊导读
- 09/14中国外骨骼装备亮相,军民两用前景广阔,美媒
- 09/10【网安智库】数据出境安全管理制度研究及启示
- 09/10军民两用?委内瑞拉海军的微型潜艇疑似“富豪
- 09/09投资者提问:公司正在研制的新型相控阵天线系
- 09/04入股武汉导航院 航锦科技发力军民两用芯片
【网安智库】数据出境安全管理制度研究及启示
大数据时代,数据被誉为“21 世纪的石油和金矿”。随着数据的基础性战略资源地位日益凸显,数据安全对国家安全的影响日益深刻,数据逐渐成为各国新一轮国际政治博弈中争夺的重要资源,数据跨境流动和出境安全管理也成为各方关注的敏感议题。本文选取了欧盟、美国、澳大利亚三个在数据出境安全管理方面有着突出特点的国家,分析各自的基本情况和主要特点,结合国内实际,思考我国如何构建数据出境安全管理体系。
典型国家或地区数据出境安全管理基本情况
欧盟
欧盟长期以来注重个人数据的跨境流动管理。从 1995 年的《数据保护指令》(Directive95/46/EC)到今年生效的《一般数据保护条例》(GDPR),在第 29 条工作组持续努力下,欧盟已经逐步建立起一套较为完善的个人信息出境管理体系,为业务涉及个人数据出境的企业或机构提供了多种合规渠道和工具。其中包括:
数据保护“充分性”认定
欧盟委员会预先对数据出境接收国或地区的数据保护水平进行评估,数据可不受限制地传输至被认定为具有充分数据保护水平的国家或地区。在 GDPR 中,欧盟可评估的对象类型得到了进一步扩展,一个国家的特定地区、行业领域或国际组织也可以成为“充分性”认定的对象。
约束性公司规则(BCR)
约束性公司规则适用于跨国公司不同地区分支机构之间的数据传输,需要规定数据保护原则、数据主体的权利、跨国企业的责任及争议解决方式和救济措施等事项,并获得企业分支机构所在国数据监管部门批准方能生效,成为企业向不具备“充分性”保护水平的国家或地区传输数据的法律依据。
标准合同条款
迄今,欧盟第 29 条工作组已经发布三个标准合同范文,其中明确数据发送方、接收方的职责和义务。采纳标准合同条款的企业可将数据出境至不具有充分数据保护水平的国家或地区。GDPR 增加了成员国数据监管机构制定其他标准合同条款的渠道,以期为企业提供更多的符合实际需求的合同文本选择。
此外,基于贸易发展的诉求,欧盟也通过签订双边协议的方式,为欧盟与特定国家之间的个人数据跨境流动开通便利的合法渠道,最著名的即是欧盟与美国之间签订的《隐私盾协议》。
美国
美国的数据管理和数据出境安全管理项目的制度主要包括受控非密信息清单(CUI)和商业出口管制制度。
受控非密信息清单(CUI)
美国按照不同保护程度将政府数据资源划分为保密数据、敏感数据与公开数据三类,并对其分别采取相应的管理措施。其中,敏感数据介于保密数据与公开数据之间,不属于国家秘密,但一旦公开却有可能造成某种损害或潜在损害,需要限制公开或控制其传播。美国将该类数据定义为“受控非密信息”,即“根据法律、法规和政府范围内的政策,需要进行保护和控制传播的信息”。
为改善美国政府文件规定的受控非密信息过于分散、行业自治且无统一要求的现状,2010年 11 月 4 日,奥巴马总统发布《受控非密信息》 号总统令,要求由美国档案局牵头,各相关政府部门协同参与梳理,统一美国法律、规定、政府政策规定的受控非密信息分类及依据,形成受控非密信息清单(CUI)。同时, 号总统令设计了一套统一登记、统一标识等严密制度规范对受控非密信息进行管理。
美国对受控非密信息推行登记备案及标识管理制度,由美国文件和档案管理局牵头负责,由实际掌握受控非密信息的政府部门具体执行。文件和档案管理局负责制定发布受控非密信息识别指南、标识指南、保护方法等文件,建设受控非密信息登记系统。目前,档案和文件管理局已发布 7 个指南及公告 , 其中有 6 个是公开的 ,1 个非公开--受控非密信息标识办法。实际掌握受控非密信息的政府部门根据上述文件,识别确定本部门掌握的受控非密信息类型,提交档案与文件管理局批准,然后在受控非密信息登记系统进行注册登记。
商业出口管制制度
美国商业出口管制主要针对军民两用产品和技术,如核、生化、电子设备等敏感物项和技术。在实践中,美国以《出口管理法》作为基础立法,在原有商业出口管制的基本制度基础上,制定了《出口管理条例》(EAR, Export Administration Regulation),并由商务部工业与安全局 (BIS) 负责执行。美国的商业出口管制主要通过对特定产品和特定对象(包括特定的国家、社团组织、公司、个人)的禁运来进行监管,被禁运的产品或对象需要在取得出口许可证的
文章来源:《军民两用技术与产品》 网址: http://www.jmlyjsycp.cn/zonghexinwen/2020/0910/443.html