2015年9月1日,2014年7月21日第242号联邦法“关于修改俄罗斯联邦某些立法以澄清个人数据的处理方式”中定义的关于存储本地化和处理个人数据的某些程序的规定。信息和电信网络。”
2017年9月1日,Roskomnadzor发布了有关遵守法律所做工作的报告,我们在
本文中对此进行了详细
介绍 。
好吧,这是我们的。 在其他国家呢? Roskomnadzor的专家进行了分析,并在此基础上在网络上发布了他们的“对本地化包含公民个人数据的数据库的国际经验的分析评论”,想要阅读该文件的全文,请在
此处找到。
该文件内容广泛,既包含外国惯例,也包含对俄罗斯惯例执行情况的审查。 我们将简要介绍一下国外惯例。
因此,参加对国家的评论:
- 澳洲
- 越南
- 印尼
- 印度的
- 哈萨克斯坦
- 的加拿大
- 中国
- 马来西亚
- 奈及利亚
澳洲
2012年,澳大利亚通过了一项法律,规定为相关目的提供电子病历的提供(《 2012年个人控制电子病历法》第63号),其中除其他外,确定了人们有权获取电子病历中的信息公民的医疗记录,以确保在澳大利亚存储此类信息。
因此,根据艺术的第1部分。 该法令第77条规定,为PCEHR系统的目的而存储记录的系统操作员,注册存储库操作员,注册门户网站操作员或注册合同服务提供商,无论记录是出于其他目的而存储)还是有权访问有关此类记录的信息, :
- 在澳大利亚境外保存记录或记录笔记;
- 处理或处理与澳大利亚境外记录有关的信息;
- 允许其他人保留记录或使用澳大利亚境外的记录,以处理或处理与澳大利亚境外记录有关的信息。
对于违反这些禁令的行为,将处以120罚款的罚款。
同时,文章的第2部分 该法第77条规定,出于操作或管理PCEHR系统的目的,系统运营商有权:
- 在澳大利亚境外存储和接受此类文件,但前提是这些记录不包括有关消费者或PCEHR系统成员的个人信息或识别个人或法人的信息;
- 在澳大利亚境外处理此类信息,但前提是该信息不是有关消费者或PCEHR系统成员的个人信息和/或识别个人或法人的信息。
处理与健康相关的信息的组织应在澳大利亚建立数据中心,或将处理工作委托给在澳大利亚设有此类中心的澳大利亚公司。 仅允许以匿名形式处理有关外界公民身份的信息。越南
2013年9月,越南颁布了一项关于管理,提供和使用Internet服务以及Internet上的信息内容的法令。 因此,在越南,所有提供Internet服务的公司都必须至少有一台带有数据库的服务器。
2013年10月,信息和通信部散发了一份通报草案,其中提供了有关该法令执行情况的更多数据,包括要求:如果在越南有服务器系统需求,则整个服务器系统都在越南境外,必须满足这些要求。
印尼
2012年,印尼政府要求参与公共服务提供的政府机构,组织确保在印尼建立数据中心。
《电子系统运行和运行》第82条的规定规定,为此目的,电子系统运营商还必须在印度尼西亚领土上建立灾难恢复中心。
2014年,通信部扩大了为更广泛的机构(任何使用信息技术提供服务的机构和组织)寻找灾难恢复数据中心的要求。
此外,电子系统运营商必须确保在印尼存储交易数据。 根据GR 82,存储电子系统供应商与其在印度尼西亚的客户之间的电子交易产生的数据的要求适用于私有和公共电子系统供应商。
印度的
根据印度国家数据交换和可访问性政策,使用公共资源收集的所有数据都必须存储在印度。
2014年2月,印度国家安全委员会提议确保对印度公民在印度的所有个人数据进行本地化。
假定可以指示所有电子邮件服务提供商在印度托管其收集印度数据的服务器。 此外,如果主服务器存储在国外,国家安全委员会的倡议禁止为此类服务器创建镜像。
当前,《印度电信法》规定,所有客户信息和用户信息(漫游信息除外)必须存储在印度,禁止从印度境外远程访问此类信息。
哈萨克斯坦
哈萨克斯坦于2013年通过了《哈萨克斯坦共和国个人资料法》,并于2015年对其进行了修订。 2015年的变化与引入在哈萨克斯坦存储(本地化)个人数据的要求有关。 在哈萨克斯坦存储个人数据的要求于2016年1月1日生效。
本地化个人数据的要求仅需要在哈萨克斯坦共和国领土上存储包含个人数据的数据库。
法律没有要求先将个人数据存储在哈萨克斯坦,然后再将其传输到其他国家。 因此,可以首先在国外进行数据库的收集,处理,使用和修改,然后将数据库与个人数据一起保存在哈萨克斯坦共和国境内。 在这种情况下,公司应准备提供证据,证明包含个人数据的数据库随后被存储在哈萨克斯坦。
在国外进行初始数据存储时,重要的是确保国外和哈萨克斯坦的数据库同步。 同步频率未在《个人数据法》中定义。
哈萨克斯坦的个人数据应同时由数据库所有者和数据库操作员存储。
的加拿大
在加拿大,联邦立法不要求对加拿大公民的个人数据库进行本地化。 但是,在两个省(新斯科舍省和不列颠哥伦比亚省)都存在这种要求。
直到2017年12月,不列颠哥伦比亚省才制定了《信息自由和隐私法》。 根据艺术。 30.1。 根据法律,公共机构必须确保仅在加拿大进行该机构所拥有的个人信息的存储以及对其的访问。 同时,数据当事人可以同意在另一个司法管辖区存储或使用个人信息。
在新斯科舍省,包含个人数据的数据库的存储受《个人信息保护法》规定的约束。 新斯科舍省的本地化法律与不列颠哥伦比亚省的本地化法律相同(第5条第1款)。
中国
2011年,中国人民银行发布了关于提高个人财务信息保护水平的通知。
中国的个人财务信息是指个人信息(姓名,性别,国籍,照片),个人财产信息,个人帐户信息,个人信用信息,交易信息,其他衍生信息(通过分析主要信息获得的信息),其他个人信息,在业务合作,合同关系过程中为世行所熟知。
该通知禁止银行在中国境外存储,处理或分析在中国收集的任何个人财务信息,或向离岸公司提供在中国收集的个人财务信息。
违反通知中的要求,中国人民银行有权责令有关银行纠正其违规行为,并要求该银行惩处负责人员。
此外,自2017年6月1日起,《网络安全法》生效,该法律对关键信息基础架构的运营商,网络运营商以及网络产品和服务的供应商设定了新的限制。
因此,《网络安全法》第37条规定,关键信息基础架构的运营商必须将他们收集或产生的个人信息存储在中国大陆的中国大陆。 但是,当由于业务需要而确实需要确保将个人信息存储在大陆以外时,关键信息基础架构的运营商必须遵循国家网络信息部门和国务院有关部门共同制定的措施进行安全评估; 但是在法律和行政法规另有规定的情况下,必须遵守这些规定。
如果关键信息基础架构的运营商在未经安全评估的情况下在大陆以外存储数据或向大陆以外的个人或组织提供网络数据而违反了法律第37条,则相关主管部门会给予警告,没收非法所得的收益,并处以最高50倍的罚款。 000至500,000元人民币
(按2018年5月29日的中央银行汇率,每1元人民币
9.74卢布),并可能发布关于暂时中止业务的决定等。 并暂停活动以消除违法行为,终止网站的运营并吊销相应的活动许可证。 对违法行为进行控制的责任人,可以处一万元以上十万元以下的罚款。
同样,本地化要求适用于包含医学信息的数据库。 因此,中国国家卫生和计划生育委员会采取的管理公共卫生信息的措施规定,医疗机构,社会保障组织(社会服务机构)和计划生育机构不得在服务器上存储有关公共卫生的信息。在国外或以其他方式托管或租用外国服务器。
关于外国公司在中国的活动,我们注意到会定期向其在中国的代表处发送通知,要求对个人数据在中国的存储进行本地化。 万一被拒绝,这些公司的互联网服务将根据授权执行机构的决定而暂时被封锁。马来西亚
2010年,《马来西亚个人数据保护法》禁止在国外转移个人数据。
个人数据的跨境传输只有在某些条件下以及在许多特殊情况下才可能进行。 如果需要履行主体与运营商之间的合同,满足运营商与第三方之间的合同的需要,则必须征得其同意,该合同是根据个人数据主体的要求或利益达成的。
奈及利亚
在尼日利亚,2013年,国家信息技术发展局发布了《尼日利亚信息和通信技术内容发展指南》。 根据《指南》的规定,参与公民数据和信息识别的组织必须确保此类数据库在该国的本地化。
而不是后记
从其他国家/地区的法律示例中可以看出,我们不是唯一以一种方式或另一种本地化方式从事业务的人。 但是,一如既往,我们有自己的立法特征。 与上述示例相反,我们的法律规定,该法律的效力甚至扩大到在俄罗斯联邦没有代表处的组织。 在这里回顾交通部的评论:
“ ...对某些个人数据处理流程进行本地化的义务适用于外国运营商,只要他们在俄罗斯联邦领土上进行定向活动,并且《联邦法》第18条第5款中没有明确规定例外情况“关于个人数据”(例如,一项国际协议达到进行处理的目的。”
PS 在这里,您可以下载有关第152号联邦法律的白皮书 。这是一本出版的书籍,旨在帮助消除有关个人数据处理的困惑,并清楚地描述了根据俄罗斯法律引入个人信息IP的过程。 话题从头开始。 这有助于满足广泛读者的需求。