转发以前微信公众号发的文章,Sec-UN独家。
现在越来越多的公司开展跨国业务,不可避免的牵扯到对所在国个人信息的收集,甚至包括部分个人敏感数据的收集。目前越来越多的国家发布了网络隐私保护、敏感数据保护的法律法规。今天主要以最典型的欧盟为例简单8一下。
欧盟及其前身的各成员国,自1973年开始就陆续颁布了一系列的数据保护相关法律法规,今天是小文,就不详细一个一个讲历史了,以1981年《有关个人数据自动化处理之个人保护公约》中内容为例,其内容规定:
对于个人数据进行自动化处理时,应当遵循下列原则:
a.公正、合法地获取和处理;
b.以明确、合法的目的进行存储,并不得以不符合这些目的的方法使用;
c.依据存储数据的目的,处理必须适当、相互关联并且不超越此目的范围;
d.数据必须准确,必要时随时更新;
e.数据以特定形式存储,可允许对数据主体进行与数据保存目的相应的必要的识别。
对于特殊类别数据(敏感数据),公约也做了规定:泄露种族血缘、政治见解、宗教或者其他信仰的个人数据,关于健康或者性生活的个人数据,原则上不得进行自动化处理,除非国内规定了适当的保护措施。
后面欧盟一系列的法律法规也对数据安全、数据跨国处理提出了要求。简单概括来说,其要求所有能定义到个人的信息都是敏感数据,敏感数据全部处理都要按人家规矩来,你要负责,同时按这个规矩要求,涉及到敏感数据的处理也不能离开欧盟(可以在印度)。
美国,澳大利亚等等也都陆续发了一些法律法规,就在7月,俄罗斯也出台了一个前所未有严格的法律规定,要求所有收集俄罗斯公民信息的互联网公司都应当将这些数据存储在俄罗斯国内。
可以说,严格按照这些法律法规要,目前开展跨国业务的公司基本都会存在违规现象,只要人家想抓,随时都可以来罚你几笔。看看欧盟,已经从google、微软等刮了几笔了。实际上,完全按照这些法律法规开展业务基本是不能的,这些东西基本就是一个杀器供着,是各个国家用来彼此威慑和交换利益的^_^
那对国内这些公司来有啥启示呢?
1、开展业务、建设系统前一定要了解对方国家法律,如果业务开展过程中牵涉到敏感数据,需要在系统中进行实现,如做本地化部署、进行数据加密、支持个人请求数据删除等技术措施。
2、不要保留国内开展业务养成的坏习惯,不相关、没有声明的就是就别收集,尤其是跟隐私有关数据就别收集,不要自找麻烦。
3、内外做好公关,对外别让人当出头鸟大,对内忽悠制定出比国外更严格的要求,到时候出事用来交换俘虏^_^