数据传输方式可分为哪三种
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师;汪婷,上海大邦律师事务所顾问,熵值
互联网诞生之初,数据跨境流动是自由的,但自2016年起,各国纷纷颁布法律限制数据跨境传输以保护网络安全、数据安全、个人信息安全。法律是政治性的,所以就有优待和苛刻,今天我们就来比较一下欧盟、美国、中国的跨境数据传输的规定,看看欧美有没有彼此优待?有没有对中国不合理地提高标准?以及我国企业如果被歧视性对待,我们有没有反制措施?
一、各国的数据跨境传输规则
1、欧盟。欧盟《数据保护通用条例》(以下简称GDPR)对欧盟境内个人数据向欧盟境外传输有着严格的管控,但也提供多种途径实现个人数据的跨境传输,主要分为三种机制:第一种是基于充分性认定机制(又称白名单);第二种是采取适当保障措施的机制,包括签订标准合同(Standard Contractual Clause 或者SCC)、通过约束性企业规则(Binding Corporate Rules或者BCR)、认证机制、行为准则(CoC)等;第三种为获得数据主体同意、履行合同所必要等。
2、美国。相比欧盟严格的管控政策,美国主张个人数据跨境自由流动,采取了行业自律模式辅助于政府监管的方式保护数据跨境。行业自律方面,企业制定隐私政策的标准,最具代表性的为ISO/IEC29100系列标准,包括《隐私保护框架》、《隐私体系框架》、《隐私能力保护评估模型》、《隐私影响评估》、《个人可识别信息保护指南》等。
美国的法律体系有联邦法律和州法律两个层面。政府监管方面,在联邦立法层面,美国数据保护立法多按照行业和领域进行分类,如《金融现代化法案》(GLBA)、《健康保险隐私及责任法案》(HIPAA)、《外国投资风险评估现代化法案》(FIRRMA)、《出口管制条例》(EAR)等;在州立法层面,美国各州也在陆续出台相应的数据隐私法案,如《加州消费者隐私法案》(CCPA)、《加州隐私权利法》(CPRA)、《弗吉尼亚州消费者数据保护法》(VCDPA)、《科罗拉多州隐私法》(CPA)等。
同时,美国并未放开国内重要数据的管控,如《外国投资风险评估现代化法案》、《出口管制条例》等法案通过外商投资安全审查、出口管制等手段对关键领域数据采取相关的跨境限制措施。
3、中国。自2016年起,我国《网络安全法》、《数据安全法》和《个人信息保护法》三大数据法规及重要配套法规陆续出台,进一步完善个人信息出境的保护规则,明确要求个人信息处理者在向境外提供个人信息时应采取相应的保护措施。《个人信息保护法》则进一步明确我国个人信息出境有三种路径,即通过网信部门的安全评估、专业机构的个人信息保护认证以及签订网信部门的标准合同。
二、欧盟向中国和美国跨境传输个人数据的路径
之前,欧盟和美国传输个人数据有个隐私盾制度的捷径,但目前已经被欧盟法院废除,目前欧盟向美国与中国跨境传输的路径实际上差不多,企业均需要采取除了白名单机制以外的其他替代性途径实现数据的跨境传输。
1. 白名单和标准合同
欧盟GDPR规定的充分性认定机制(又称白名单),是指经过欧盟认定的对个人数据保护充分的国家、地区或国际组织,可以直接向其传输数据,不必采取进一步的保护措施。而通过“充分性认定”确定有限的数据跨境自由流动的白名单国家不包括中国,因此欧盟向中国跨境传输个人数据,则必须寻找相应的替代性途径,包括采取适当保障措施的机制如签订欧盟颁布的标准合同条款。
2. 被废弃的欧美数据传输隐私盾捷径
2016年美国与欧盟曾签订了美欧数据跨境转移机制《隐私盾协议》(Privacy Shield),允许获得“隐私盾”认证的公司自由地在欧盟与美国之间传输个人数据。因此,欧盟通过“充分性认定”确定有限的数据跨境自由流动的白名单国家包括美国,故企业从欧盟向美国跨境传输数据则不必采取进一步的保护措施。但是2020年7月欧盟法院曾判决认定《隐私盾协议》无法为欧盟转移到美国的个人数据提供充分保护,而裁定《隐私盾协议》无效。
3. 欧美数据传输新捷径尚未开通
但是,据欧盟官网消息,2022年3月25日,欧盟与美国宣布双方原则上已就新的跨大西洋数据隐私框架(Trans-Atlantic Data Privacy Framework)达成一致,该框架将促进跨大西洋数据流动。尽管如此,欧盟与美国间新的数据跨境协议没有正式生效前,欧盟向美国跨境传输个人数据,也无法通过白名单机制,必须采取其他替代性的途径进行个人数据跨境传输。
三、美国向中国与欧盟跨境传输个人数据的路径
如前所述,美国一方面主张个人数据跨境自由流动,另一方面也并未放开国内重要数据的管控。
美国对数据跨境传输的路径没有特定规制,但在对欧盟和中国的策略和态度上还是存在很大差异的。如前所述,欧盟与美国已就新的跨大西洋数据隐私框架达成共识,努力促进双方间数据的自由流动。相比而言,美国对我国科技企业陆续开展非正当的管制措施,如自2020年以来,美国以用户数据隐私和国家安全审查为由对TikTok(抖音海外版)和微信国际版进行打压,也显示出美国向我国进行数据跨境传输的政策日趋严格。
特别地,2019年美国《国家安全和个人数据保护法案2019》(NSPDPA,尚未生效),对于美国用户数据出境,尤其是传输至中国进行明确的限制,旨在规制所有基于数据提供在线服务公司(包括“受管辖公司”),不得将任何用户数据或解密该数据所需的信息(如加密密钥)直接或间接地传输到中国、俄罗斯等任何“有疑虑国家”,而其定义的“受管辖公司”实际非常广泛,大部分互联网企业都可归入其管制范围。如果NSPDPA法案最终通过,则会极大限制美国与中国间的数据传输。
四、中国向欧盟和美国跨境传输个人数据的路径
我国的法律对国外企业比较公平,并无歧视某些国家的规定,但如果谁要歧视中国企业的,我国立法对此也有规制。《个人信息保护法》第四十二条和第四十三条则规定:对列入负面清单的境外组织、个人,或者我国对其采取对等限制措施的国家和地区,我国采取限制或禁止传输个人信息的数据。若美国NSPDPA最终通过并生效,美国限制或者禁止向中国传输相关个人数据,而我国则可能根据对等原则,也会采取限制或禁止措施向美国传输相应的数据,这将会对中美两国的数据跨境传输产生重大影响,对企业跨境传输个人数据提出更高更严格的合规挑战。
下面介绍一下我国的具体制度,国内向境外传输个人数据只有三条路径:通过网信部门的安全评估、专业机构的个人信息保护认证以及签订网信部门的标准合同。
1. 数据类型决定路径
跨境传输个人数据路径的触发条件基于三点考虑:一看数据类型,是重要数据还是非重要数据;二看行业类型,是不是关键基础设施运营者,或者掌握超过100万以上个人信息的;三看数据量,企业累计跨境传输的个人数据或者敏感个人数据的数量。
从上述路径的触发条件来看,出境路径均没有因为出境的国家或地区不同,而有所不同。因此,无论是向欧盟,还是向美国,我国跨境传输个人数据的路径是相同的。
具体而言,以安全评估的路径为例,只要符合下述任一情形的,个人信息处理者应当通过所在地省级网信部门向国家网信部门申报出境的安全评估:(一)向境外提供重要数据的;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的。若企业不符合上述任一情形的,则不需要进行安全评估,即属于标准合同的适用范围,需要通过标准合同的路径进行数据出境。
2. 不同安全评估的侧重点有何区别?
若适用安全评估的路径,则可能需要分为两步走:第一步是企业开展的风险自评估,第二步是网信部门开展的安全评估。风险自评估和安全评估在许多内容上具有高度的一致性,比方说评估数据出境的合法性、正当性和必要性,以及数据出境的规模、范围、种类、敏感程度等。当然,两者还是存在差异性的,网信部门的安全评估比自评估更多考量国家安全、公共利益,因此,网信部门的安全评估更关注“数据安全和个人信息权益是否能够在境外得到充分有效保障”,而企业的风险自评估则更关注“个人信息权益维护的渠道是否通畅”。
","force_purephv":"0","gnid":"91c25afc8358f0ec2","img_data":[{"flag":2,"img":[]}],"original":0,"pat":"art_src_1,fts0,sts0","powerby":"hbase","pub_time":1659936221000,"pure":"","rawurl":"http://zm.news.so.com/7130051043a7ed68fa8a5e95a6bd4325","redirect":0,"rptid":"d98e2d49f6d72a96","s":"t","src":"虎嗅APP","tag":[{"clk":"ktechnology_1:欧盟","k":"欧盟","u":""},{"clk":"ktechnology_1:美国","k":"美国","u":""}],"title":"跨境传输个人数据,欧美的规定有歧视中国吗?
养德软2091视频会议软件有哪些传输方式? -
向博齐17356486949 ______ 可以分为三种: 1、TCP传输模式 TCP传输模式是通过TCP协议来进行数据的传输,其传输方式是可靠的传输方式. 2、UDP+RTP传输模式 3、利用传输库模式 虽然UDP+RTP模式能达到实时的传输,也能进行丢包的检测控制,但该模式很难...
养德软2091传输模式有哪些 -
向博齐17356486949 ______ 数据传输方式是数据在信道上传送所采取的方式.若按数据传输的顺序可以分为并行传输和串行传输;若按数据传输的同步方式可分为同步传输和异步传输;若按数据传输的流向和时间关系可以分为单工、半双工和全双工数据传输.
养德软2091简述在网络中进行数据传输的几种方式? -
向博齐17356486949 ______ 网络中常用的数据交换技术可分为两大类:线路交换和存储转发交换,其中存储转发交换交换技术又可分为报文交换和分组交换. 线路交换 通过线路交换进行通信,就是要通过中间交换节点在两个站来点之间建立一条专业的通信线路.利用线...
养德软2091从计算计网络通信数据传输方向看,主要有哪三种通信方式? -
向博齐17356486949 ______ 单工、半双工、全双工
养德软2091数据通信传输方式可分为串行通信和并行通信,其中计算机主板的总线 -
向博齐17356486949 ______ 计算机主板的总线即有串行的,也有并行的 普通的数据总线、地址总线多数是并行的. 但是想usb接口,现在的sata接口 它们的总线是串行方式的. 串行方式一般是外部接口总线比较多,如果是单一答案的话,就选择并行.
养德软2091计算机网络中信号的传输方式可分为什么? -
向博齐17356486949 ______ 计算机网络中信号传输方式分为调制解调(模拟信号)和编解码(数字信号)两种,常用的传输方式有网线传输,光纤传输,无线传输,目前新推出一些调制解调方式传输,使用双线就能传输网络数字信号,但前提是需要在线缆两端加上调制解调器,有需要的可以进一步交流.
养德软2091数据交换技术的类型 -
向博齐17356486949 ______ 答:主要分为两种类型:线路交换和存储转发转发 线路交换;首先创建一条临时专用通路,使用后拆除链接,没有传输延迟,适合大量数据传输和实时通信,少量信息传输时效率不高 存储转发分为两类:报文交换和分组交换 报文交换:不在通...
养德软2091数据传输指的是什么?
向博齐17356486949 ______ 数据传输就是按照一定的规程,通过一条或者多条数据链路,将数据从数据源传输到数据终端,它的主要作用就是实现点与点之间的信息传输与交换.一个好的数据传输方...
养德软20918086/8088cpu与外设之间数据传送方式有哪三大类 -
向博齐17356486949 ______ 在cpu内部是有36根线,其中16根数据线和20根地址线,分时复用是对cpu引脚(即外部)来说的,外部采用分时复用是因为cpu引脚有限制,不能太多所以这样设计,内部来说没有太多的限制.