俄罗斯安理会在2017年10月26日的会议上指示俄罗斯通信部和外交部在金砖国家(巴西,俄罗斯,印度,中国和南非)的框架内,发起关于建立自己的“重复根系统”的讨论。 “域名服务器(DNS),独立于[国际组织] ICANN,IANA和VeriSign的控制,并能够在出现故障或目标影响的情况下满足这些国家/地区用户的要求。”
鉴于这些事件,我们要考虑金砖国家法律在数据保护问题上的一致性问题。 此外,我们将重点关注对个人数据的保护:基于哪些法律基于保护以及哪些主要弊端。
略论基础知识。
金砖五国由五个国家组成:巴西,俄罗斯,印度,中国和南非共和国。
2015年7月9日,在乌法举行的第七届金砖国家峰会上,乌法宣言获得通过。 该宣言内容繁多,涉及全球许多热门话题,但我们仅涉及与信息和通信技术的关系被宣告的一点。 因此,《乌法宣言》第33段指出:
- 有必要加强包括互联网在内的信息通信技术领域的合作
- 在金砖国家信通技术领域合作工作组内成立的决定
- 建立系统的需要
- 确保用户个人信息的机密性和保护
“我们重申,不允许使用信息通信技术和互联网来侵犯人权和基本自由,包括隐私权,并重申个人在互联网之外的权利也必须受到保护。”
声明的全文可以在这里找到。
金砖国家的个人数据保护重点
俄罗斯联邦的PD保护
迄今为止,金砖四国中的俄罗斯联邦在这方面取得了最远的进展,我们注意到在捍卫局部民主的问题框架内所做的主要论点。
在PD保护领域已经形成了立法,其中包括:
- 宪法规范(第23、24条);
- 特殊法-2006年7月27日的俄罗斯联邦联邦法律第152-号“关于个人数据”;
- 行业法律规范;
- 附则。
此外,还建立了一个特殊的授权机构,其活动可确保:
- 对法律要求的执行情况进行集中控制和监督的中央系统的有效运作;
- 考虑个人数据主体的上诉;
- 维护PD操作员的登记册;
- 与公民和PD运营商进行信息合作。
还应注意,正在逐步形成统一的执法惯例。 目前,俄罗斯已存在符合国际标准的PD保护系统,并且该系统正在运行。
如果您对根据俄罗斯联邦的法律法规对个人数据的处理不够清楚,并且希望对法律有更完整的了解,我们建议您熟悉我们的第152号联邦法律白皮书 。中国的PD保护
这里的一切都很复杂。 没有关于保护PD的一般法律。 但是,让我们看一下要点。
《中华人民共和国宪法》保证保护个人尊严和通信的机密性。 保护PD的规定包含在单独的法律行为中,我们现在将对其进行简要回顾。
2012年11月5日,通过了“在提供公共和商业服务的信息系统中保护个人信息的准则”,其中给出了以下定义:
个人数据-有关特定个人的任何信息,通过其自身或与其他信息结合使用,可以对其进行识别管理层规定了PD操作员有责任获得PD对象的同意进行处理,并告知其处理目的,保质期,保护PD的措施等。
关于PD的本地化,请参见第5.4.5条:
在未获得PD主体明确同意,监管许可或未获授权机构同意的情况下,PD的经营者不得将PD转让给任何位于国外的人,包括居住在国外的任何人或在国外注册的任何组织和公司。此外,2013年10月25日通过的消费者保护法还提到了个人数据:
第二十九条企业家在收集和使用个人数据时,必须遵循合法,合法和必要的原则,明确告知信息收集和使用的目的,方法和范围,并征得消费者的同意。
企业家必须采取技术和其他必要措施,以确保信息的安全性并防止泄露或泄露消费者PD。对于不遵守法律的行为,将处以严重的行政罚款。
此外,有许多法律行为以某种方式影响对PD主体的保护。
- 2009年的《中华人民共和国侵权责任法》,保护隐私权,特别是规定了医疗机构在未经PD当事人同意的情况下分发PD的责任
- 2012年12月28日中国国会通过的“加强互联网信息保护的决定”
- 2013年7月19日通过的《电信和互联网用户个人信息保护条例》
- 2015年3月15日,由国家工商行政管理总局制定并通过的《侵犯消费者权益的责任》生效。
关于消费者保护方面的个人数据定义,最后提到的行为特别有意义。 根据《措施》,以下数据与消费者违约概率有关:
- 名
- 性别
- 职业
- 出生日期;
- 护照号码;
- 住址
- 联系信息;
- 有关收入和财产的信息;
- 健康信息;
- 消费习惯。
2017年6月1日,《网络安全法》生效。 《网络安全法》是第一部规范中国大陆地区几乎所有问题的综合法律。 当然,它包括适用于PD。
个人数据和其他重要数据的存储应仅在中国境内提供(第37条)。
《网络安全法》确认了网络运营商在保护个人信息方面的义务,这是由现行法律和法规要求决定的,包括监测合法性原则遵守情况的权利,收集和使用个人数据的必要性和相关性以及监测“信息和接收要求的执行情况”的权利。同意”(第41条),仅将个人数据用于相关人员已同意的目的(第41条), 采取措施保护个人数据的安全性(第42条),并保护个人评估和更正个人信息的权利(第43条)。
此外,《网络安全法》还包括一些有关个人数据保护的新规则,包括关于违反数据保护的通知的要求(第42条),数据匿名作为通知和获得同意的要求的例外(第42条),以及个人要求网络运营商修改或删除其个人数据的权利,以防有关他的信息错误或用于与他不符的目的(第43条)。
在中国,PD保护的主要问题包括:- 缺乏用于保护PD的授权机构;
- 缺乏关于PD的单一特别法律;
- 缺乏单一的概念框架(嗯,这对我们来说也不顺利);
- 保护PD的基本规则包含在具有咨询性质的法律行为中(例如,《指南》);
- 缺乏关于处理PD的通知以及参与处理PD的运营商注册的通知。
巴西的PD保护
《巴西宪法》保护人的尊严,私密性和通信私密性。 和中国一样,没有关于保护PD的一般法律,关于保护PD的规定也包含在单独的法律行为中。
2014年4月23日的巴西互联网法(Marco Civil da Internet)。:
- 它确立了使用Internet的一般原则,用户的权利和保证,提供者的义务以及在Internet上提供服务的规则。
- 该法律包含大量有关隐私和个人数据保护的规则。
- 要在Internet上处理AP,您必须获得用户的自愿和知情同意。
- 仅出于特定目的才允许PD处理,这在用户协议或使用Internet服务的规则中已指明
至于PD的本地化。 最初,法律草案包含在该州存储巴西公民的PD的要求。 在随后的版本中,该条款被排除在外,但引入了总统的权利来发布有关此问题的法令。 在法律的最终版本中,未提出数据本地化的问题。 这项要求被排除在法律之外是国际公司和美国游说的结果。
特别令人关注的是该法中关于管辖权问题的决定(第11条)。 一般规则如下:
如果PD的收集,存储或处理中至少有一项发生在巴西州,则Internet提供商和Internet应用程序提供商必须遵守巴西法律,包括PD的保护。
但是还有其他条件:
- 一般规则适用于在巴西收集的PD,并且如果至少一个终端位于巴西,则适用于通信内容
- 即使此类活动是由外国法人进行的,该一般规则仍适用,但前提是:
a)外国法人为巴西无限数量的人提供服务;
要么
b)至少有一个外国公司集团的人在巴西成立。
巴西的PD保护主要问题:- 缺乏用于保护PD的授权机构;
- 缺乏关于PD的单一特别法律;
- 缺乏对个人数据的统一定义;
- 缺乏对PD(敏感的个人数据)特殊类别的定义;
- 除互联网外,在某些行业和领域中,PD缺乏保护;
- 缺乏关于处理PD的通知以及参与处理PD的运营商注册的通知。
印度的PD保护
印度宪法第21条保障所有人的生命权和人身自由。
在印度,没有关于保护PD的特别普通法。
《 2000年信息技术法》包含关于保护特殊类别的个人数据的特别条款(第43A条)。 PD的运营商有义务采取必要的措施来保护PD,并对因数据泄漏造成的损害负责。
2011年通过了“关于确保特殊类别的个人数据和信息的安全的做法和程序规则”。 据他们说:
个人数据-与个人有关的任何信息,结合个人数据运营商持有的其他信息,可以识别此个人。PD的特殊类别包括(《规则》第3段):
- 密码
- 财务信息(包括银行帐户和信用卡详细信息);
- 健康数据;
- 性取向
- 生物特征数据。
PD特殊类别的本地化。 根据规则7,仅当有必要履行法人与PD主体之间的合同时,或者当主体同意数据传输时,才可以允许印度公民PD的跨境转移。
印度的一些行业法律(包括保险法和银行法)中都包含保护机密和个人数据的规则。
印度局部放电保护的主要问题:- 缺乏用于保护PD的授权机构;
- 缺乏关于PD的单一特别法律;
- 缺乏关于处理PD的通知以及参与处理PD的运营商注册的通知。
结论
与俄罗斯联邦不同,保护PD免受其他金砖国家的立法和做法都滞后。 同时,近年来在所有金砖国家中观察到:
- 与数字时代的新信息威胁有关的PD保护系统的开发兴趣
- 通过新规定
- 引入或计划建立一个专门的机构来保护PD受试者
- 努力实施最佳做法以及国际原则和标准
我们希望俄罗斯将继续改善立法体系,引进最佳做法,避免不必要的禁止性措施。