您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[炼石]:2024全球数据安全法规研究报告 - 发现报告
当前位置:首页/行业研究/报告详情/

2024全球数据安全法规研究报告

信息技术2024-06-08炼石有***
AI智能总结
查看更多
2024全球数据安全法规研究报告

全球数据安全法规研究报告 (2024版) V1.0.0 國浩律師事务所烁石 GRANDALLLAWFIRMCipherGeteway 前言 全球数据安全法规研究报告(2024版) 全球数据安全形势严峻。信息技大革命日新月异,数字经济谨勃发展,深 刻改变着人类生产生活方式,对各国经济社会发展、全球治理体系、人类文明 进程影响深选。作为数学技的关要系,全球数据发增长,海量集紧,为实现创新发展、重塑人们生活的重要力量,关各国安全与经济社会发展。在全球分工合作日益密切的背景下,确保信息技术产品和服务的供应链安全对 于提升用户信心、保护数据安全、促进数字经济发展至关重要。当前,全球主大数据安全事件频发,数据安全风险的危害性和外湿性已对政治、科技、经济和社会等多个领域产生了负面影响。为切实保障数据安全,国际社会各方在实践中不断探索治理路径,并基于不同价值理念,形成了各具特色的数据安全保 护路径。近年来,我国《网络安全法》数据安全法》《个人信息保护法》等 款据安全相关法伴法规的相继想布,为数据安全建设提供了制度支撑和法伴保障。我国数据安全产业发展相对于世界发达国家,起步较晚,通过参考其他国家地区的数据安全政策和战略方针,能够有助于我们更深入理解我国数据安全产业的发展方向。 各国数据安全体系逐步形成。欧洲、北关洲、南美洲、亚洲、大洋洲以及 非洲的国家和地区都在积极构建各自的数据安全法规体系。欧暨通过通用数 据保护条例3(GDPR)强化了个人数据保护,确立了数据主体的广泛极利; 国浩律師事务所炼石 德国在GDPR框架下进一步强化了本国✁数据保护法规;法国同样遵循GDPR主量个人隐然权✁保护;美国脱欧后通过数据保扩法案多保持了与GDPR相 ✁标准,并加入了适应本国情况✁条款;意大利在遵话GDPR✁同时,导扰数据保护与经济发展✁平领点;俄多斯通过《个人数据法》强调了数据✁本地化存情和国家控制;美国强调了在数据控制权和跨境数据流动上✁灵活性;加享大平衡了个人信息保护与电子商业发展;巴西和印变作为新兴经济体,构建 了得国情✁数据安全法规;日本✁个人信息保护法多适盈了数字化转型✁ 需求;韩国✁《个人信总保护法》强调了个人信总✁保护和合理利用;澳大利 亚✁《隐私法》注量个人隐私保护并适应数学经济;南非在逐步建立数据保护去规,以保护个人效据和促进合法利月。 数据跨境安全成为重中之重。随看数据✁全球流动日益频察,不同国家间 ✁数据保护水平和法规要求存在差异,各国在维护自身数据安全✁同时,也需要考患如何在国际层面上实现有效协作。为了应对跨境数据流动带来✁挑战, 客国不仅在国内立法中对数据传输设定了严格✁规则,还在国合作中导求共 识。例如,欧盘✁GDPR对数据跨境传输提出了高标准✁垂求,推动了与其他 国家✁欧据保护协议(AdequacyDecisions)✁签订,确保了款据流向✁国家 现地区能提供与欧盗相当✁保护水平。同时,美国通过双过和多边协议,如险 私店协设(PrivacyShield),与欧盟等地区建立了数致据传输机制,在保护 放据在跨境传辅中✁隐器和安全。比外,数据本地化要求也成为一些国家确保数据安全✁手段之一。锻罗斯✁《个人数据法》强调了数据本地化存储,以增 强对数据流动✁监管能力。而中国则通过《终安全法》数据安全法》 人信息保护法》对数据出境活动进行了规范,保护重要款据和个人信息不被非 法获取、泄露或者临用。 因此,炼石与国浩律所更新此前发布✁2C22年全球款据安全法规研究报告(2024版),送代至《全球数据安全法规研究报告(2024版)》,本次 报告更新近两年欧洲、北美洲、南美洲、亚洲、大洋洲、非洲六大洲,包括欧 盟、德国、法国、英国、意大利、供罗斯、美国、加拿大、巴西、日本、印度、韩国、澳大利亚、南非等14个国家或组织✁数据安全重要法观政策和战路, 由87项更新至140项,从各国立法总体情况、法律位阶、法律间关系、各法 ✁定位、内容要点等维度进行分析,进一步补充了数据跨境安全版本内容。由 于作者水罕有限,难免会有遗漏和偏差,希望读者指正。 国浩律師事务所炼石 全球数据安全法规总览 全球数据安全法规研究报告(2024版) 国浩律師事务所烁石 ANDALLLAWFIRM 全球数据跨境法规总览 全球数据安全法规研究报告(2024版) 国浩律師事务所炼石 LLAWFIRM 欧洲国家 全球数抵安全法规研究报告(2024版) 欧盟:立法趋向统一,平衡数据流动与安全 、立法总体情况 欧温✁数据安全立法无论是在立法时间还是立法系统性上,都处于全球领先位置。作为一个经济共同体,欧盟在数据安全立法方面✁出发点与一股实体国家存在区别,其更强调技大导向✁数据共享与自由流动,消除成员国家间✁信息屏障。为达到这一目标,欢盟必须在数据存储处理、公 民基本权利、数据安全保护和监管、数据跨境流动等方面构建完善✁法律 框架。 欧盟数据安全立法体系 欧盟✁政策决策特点示多方面互动✁,欧洲委员会、欧滞议会、欧 国浩律師事务所炼石 理事会、欧盟理事会、欧盟费员会等机构参与制定款盟法律法规。欧盟✁ 律基本框案大体可分为3个层次:一级法律,主要招条约;二数法律包括指令、法规、决定、意见建议等;三级法神为判例法,主要指根据二级法神作出✁对具体事件或案例✁判决或裁定。 欧盟针对数据安全立法,一级法律层面上,1981年《个人数据自动化处理中✁个人保护公约》,是世界上萝一部关于数据保护✁国际公约;二级法律层面上,1995年《关于涉及个人数据处理✁个人保护以及此类数据 目由冠通✁第95/46/EC/号指令$、2016年6通用数适保护条例(GDPR)3 2018年&非个人致薪自由流动录例》、2018年《关于欧显客类营方机构 处理个人数据✁录例3,形成数据沿理✁统一柱案;2019年《网络安全法案》,确立了第一份欧盟范国✁网络安全认证计划;2020年《欧洲数抵战陷》,教力于实现真正✁单一数据市场✁虑景:2022年《数据治理法案》 2022年《数字市场法案》、2023年《政字服务法案》、2024年《数据法》, 作为落实《欧洲数据战路》所采取✁益要立法举措,为欧洲新✁数据治理方式奖定了基础;2023年数学运营复点力法》,2023年关于在欧监 全境实现高虚统一网路安全措箭✁指令》,以及正在立法进程中✁网络团结法》《网路复愿力法》,均对欧监网路安全相关事项进行了规定;20 普理法律,对欧盟人工智能系统进行了系统规是。值得注意✁是,2022年《数据保护法执行指令(LED)3和《关于欧监客类官方机构处理个人数据✁条例(EUDPR)3通用数据保护条例(GDPR)》共同构成保障 DALL'LAW 个人数据保护基本权利✁欧暨框架✁三大支柱。 在数据跨境安全立法方面,欧盟对外实行充分性认定规则,主要体现在《95指令》《通用数据保护条例》、约束性企业规则(BCRs)和标准合同条款(SCCs),以及关于GDPR第42和43条规定✁认证和认 证标准✁指南》等文件中。 二、重点法律解析 01欧盟《108号公约3 (1)定位 01(01) 1981年,欧洲委员会通过了多个人数据自动化处理中✁个人保护公约》 保护✁国际公约。旨在确保在每个缔约方在其管转范围内✁公民,不管其国辑或居住地,在对其个人数据进行自动化处理过程中得到保护,尊重其权利和基本自由,特别是对于隐私双方面✁尊重。 随着互联网信息技术✁发展及其应用✁不断普及化,《108号公约》也历经数次您订: ·1999年,欧洲理事会对《108号公约》进行了首次修订: 。2001年,欧洲委员会对其进行了补充,加入有关监管机构和跨境数 据流通✁附加协定》["; 。2012年,欧洲理事会再次针对其进行修订,通迁✁建议稿决定将名称 国浩律師事务所炼石 适用范图; 2018年5月,第128届部长委员会(CommitteeofMinisters)会 没通过了对该公约✁量新一次修订,此次修订侧重吸纳更多✁国家加入公约,从而形成以公约为基础✁数据保护法律制度"; ·2018年10月,乌拉圭与20个欧洲理事会成员国签署了一项欧洲理事会条约,作为《剪108号公约》✁修订议定书叫: (2)特点 《108号公约》作为全球范围内第一份有关数据保护✁具有法律约束力✁国际性文件,反映了欧洲国家就个人数活保护作为人权保护达成✁共识,并推进更多✁国家参与和加入。公约建立了有关个人数据保护✁量本系则以及各缔约国之间✁基本义务,并将等对个人画本自由与权利✁保护作为缔约国履行条约规定✁国家义务✁出发点。比外,公约委员会✁建立,在一定程度上建立起了针对个人数据保护✁多国合作框渠: (3)丰要内穿 《108号公约》(2018年版)由一般规则、数据保护基本原则、个人 数据跨境流通、监管机构、相互办作、公约要员会、公约修正案、最后条 款等八章节、32条款构成。 在适用范围上,公约明确是缔约回管辖范国内✁个人数据处理活动, 改据处理”活动,不再造用于自然人在纯粹✁个人或家庭活动中进行✁数 国浩律師事务所烁石10 JGRANDALLLAWFIRN 据处理活动。 公约针对数据安全方面提出,缔约国应当规定数据控制者,在造当✁情形下包括数据处理者,采取适当✁安全措施以防范个人数据遭受意外✁既未经授权✁访问、损效、去失、利月、修改或传播。同时,也引人了竭约国应当规定数据控制著将个人数据泄露事件及时通报监管机构✁要求。 在义务上,公约对数据处理主体提出了更广泛✁义务,如“评估其计划实施✁对数慰主体✁客项校利和基忘自由可能产生影响✁数据处理行为✁风险”,以降低侵害人权或基本自由✁风险;“在数据处理✁各个阶 段,采取考虑到个人政竭保护权利✁技术和组织措施”。 在个人致崛跨境流通上,公约力求确保在处理个人数据过程中给予适当保护✁同时,促进数框在客国间实现自由流通。公约明确,住何缔约国不得仅为保护个人数据之目✁禁止数据跨境传输,或者设置特别授权余件。非成员国✁跨境传输,需在公约规定✁适当一人数据保护水平得到保障✁情形下进行。 02欧盟&95指令3(1)定位 1995年10月24日,欧洲议会和欧监盟理事会通过了关于涉及个人 数据处理✁个人保护以及此类数落自目流通✁第95/46/EC/号指令》(简 称《95指令》)。95指令》为欧盟成员国制定和实施政据保护法律提 石 供了一个基本柱架和维形,促成各成员国故据保护标准✁望向统一,推动 国浩律事务所国浩律颜事移所 了全录个人效据保护铁序✁理立。 (2)特点 95指令》直接以指令而非条约✁形式要求各成员国完善效据保护立法,致力于协调各国对自然人在数据处理恢域✁基本权利和自由✁保护,消除个人数据在共同体内部自由流通✁障碍。音次提出知情同意则,格 “数活主体已明增表示同意”作为数据处理为合法条件之一;来用一立 法模式,规定建理立独立✁数据保沪构,是个人信感保护法中主张或外效 力✁典型代表。 (3)主要内容 95指令》包活72条序言和34条条款,昌在提高欧洲个人信息保护法律✁统一程度,补1980年出台✁第108号公约》:虽对成员国具 有约束力,但真正执行国家并不多,实施效果也存在差异✁现实情况,进 而应对高速发层✁信息技术时代带来✁保护个人致提权利、消除法规不一所造成✁数据流通降酶✁双重挑战。 在处理个人数据✁安全性方面,《95指令3提出,会员国应规定,控制者必须实施适当✁技术和距职言施(特别是在处理涉及通过网络传输数脂✁情况下厂,以保护个人数落免变意外或非法做环或意外去失、更改、未经没权✁披露或访间,防止所有其他非法形式✁处理。考虑到最新技术及其实施或本,此类措施应确保与处理行为潜在✁风险和要保护✁数据✁ 性质相适应✁安全水平。 国浩律事榜所烁石 JGRANDALLLAWFIRM 在数据保护监管方面,《95指令》提出,各成员国应理立监管机构,并账予他们完全独立地行使职能。监管机构应被累予✁权利包括调查权、干预权、法神诉讼权等。 在个人数据跨境流动方面,《95指令》明确,成员国向第三国转移个人