新浪财经 银行

USITO:安全法律法规对于重要数据定义界定需更清晰

新浪财经

关注

新浪财经讯 5月24日消息,由亚洲银行家举办的第二届“全球未来金融峰会”暨第十九届“亚洲银行家峰会”今日开幕,本次峰会聚焦数字经济领导力、重塑全球交易、网络安全和“一带一路”四大行业变革型领域。美国信息产业机构(USITO)政策事务总监Ying Han参加“数字时代的网络安全”分论,并对中国数据隐私,尤其是在政策方面进行了详细介绍。

Ying Han:非常感谢,很荣幸和大家分享一些中国的政策,并且也感谢亚洲银行家的邀请,首先,我想介绍USITO以及我们的工作,我们是一个非政府组织,是美国信息产业的一个机构,我有点担心,因为刚才的发言人谈的非常得精彩,我谈的是政策。因此,对我们来说,我们会对网络的安全进行一个追踪,尤其是中国的情况,了解到它对行业的影响,对我来说,我们了解的是中国政策的发展以及动态,我们知道网络安全它不是一个区域性的话题,刚才的发言人也谈到了这一点,这是在数字时代背景下一个全球的问题,每个国家都有这些问题,比如说,数据的安全性以及网络安全,如何应对这些风险,当然政府起到非常重要的作用,尤其在政策和监管的层面,而且中国在最近也采取了非常多的举措,设立了一个网络安全框架来关注数据安全性的这个话题。

对于我们来说,我们是实地和监管者一起合作,尤其在科技方面,我们一些会员们,大家可以看到是很大的科技公司,他看到了在信用卡方面很大的变革,还有其他的科技公司,在金融服务以及汽车行业的大公司,在实地上追踪我们在产业政策方面的变化。同时我们也积极的接触一些监管机构,我们希望能够促进行业当中的最佳做法、最佳实践,希望他们能够实现自己的政策目标,同时促进一个创新的科技环境,让我们的科技行业蓬勃发展。

我的PPT重点是在新的2017年刚刚实施的《网络安全法》方面,《网络安全法》大家可能都已经听说过了,如果在座的有中国合规方面的同事,大家肯定都非常熟悉了,因为中国想要有一个简单的,但是统一的安全领域方面的法律法规,大家可以看到,图上给大家的一些例子,这个字非常小,但是我可以给大家解释一下。比如说,第22条,它要求网络产品服务具有收集用户信息功能的话,其提供者应当向用户名并取得同意,摄取用户个人信息的还应该遵守法律和有关法规关于个人信息保护的规定。另外,《网络安全法》当中37条,关键信息基础信息的运营者,在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储,如果是需要向境外提供的话,应当向国家网信部门会同国务院有关部门制定的办法进行安全评估。

所以在这样两个条例之下,我们有一些具体执行的方法,《网络安全法》是一个非常大的框架,在这样一个框架之下,我们可以看到有很多单独的执行方法,它不仅跟科技行业相关,跟其他行业也息息相关,有的是关于网络安全等级保护制度,有的是关于关键信息基础的运营者采购网络产品和服务的时候,他们可能会经受国家安全审查,包括数据流方面的规定,其中一些条例还有更改的空间,但是总的来说,一个框架已经被设定了。

我们来进一步看一看,我们的国家标准,中国正式的发布了《信息安全技术个人信息安全规范》这样一个标准,它确定了数据的收集、储存、使用以及转移方面的规范,这是一个国家自愿规范,它是政府级别的标准产业规范,它是一个指导性文件。人们可能会质疑了,我们这样的规范,它的定位是什么?当我们在做合规工作的时候,它是我们必须要遵守的规范还是说它是有一定约束力的呢?在中国很多的规范,其实都是自愿性质的,我们建议行业当中的企业要进一步的研究,然而政府在处理一些案件的时候,尤其是私人数据泄露案件的时候,政府会进行参考。去年支付宝,在第三方的支付系统方面出现了一些问题,他们想要分享第三方的个人信息,他们的芝麻信用服务方面有一些问题出现,监管者利用或者参考了这样的个人信息安全规范,看支付宝的做法是不是违反了或者是遵守了这样的规范。所以这不是强制性的,但是对于政府或者企业来说是我们强烈建议他们去参考的。

很有意思的是,我在准备PPT的时候,中国银保监会管理委员会正好发布了一个新的《银行业金融机构数据治理指引》,它直接提到了我们刚才所说的国家标准,希望他们在银行或者是金融业方面能够有一定的借鉴作用。这样的规范经常被引用,在官方的文件当中是被引用的很多的。所以在数据隐私方面,全球有很多的条令或者是指令,最出名的是欧盟GDPR通用技术条例,明年正式生效,中国的法律法规也是在发展当中,所以中国一直在追踪欧盟GDPR实施的进展,但是中国在合规方面还是有很多事情需要去做。像GDPS的很多细节,它其实和中国的发展也是有参考意义、借鉴意义的,不管是在金融还是科技行业,我们行业想要看到的是国际上通用的关于数据保护方面的法律法规,这也意味着在跨境数据流领域当中能够受到保护,我们能够受到通用标准的制约。中国政府也和其他地区的政府有紧密的沟通,在数据保护和数据隐私方面。

我之前稍微提到过一点,很多的数据或者是网络犯罪方面的法律法规,它在银行业方面是非常严格的,即使在中国、在《网络安全法》之前,有很多的条例和法规,它都提到了银行业方面的数据安全和数据本地化的条例。尤其是在跨境交易当中,怎么样保护个人数据。所以我们的行业不管是在中国还是美国,尤其是在纽约,比如说,他们在金融行业都有非常严格的条例,所以这是我们更细节的跨境数据流的一个法规草案。有一些问题,我们行业还是在质疑的问题,我把它列在上面了,我们还是有进步的空间,在中国数据流条例不只规范的是个人信息,还有更重要的一个标准,重要数据,重要数据的定义是怎么定义的?有的时候对你的企业来说不是重要的数据,但是对别的企业、别的个人来说,可能就是重要数据了,所以定义怎么定义,是非常重要的。

这样一些法律法规当中,它没有对重要数据定义做出清晰的界定,对于我们来说,我们想要一个非常重要的定义框架,但是我给大家展现出来的条例还在草案阶段,有进步的空间和改变的空间。所以重要数据是什么?在草案当中,我们有一个列表,尤其关注的是金融行业,这是非常广泛的一些领域,它涵盖方方面面的数据,大家可以仔细看一下,也可以给我们提出一些意见。这就是我对中国数据隐私方面的一个介绍,尤其是在政策方面的介绍。谢谢!

加载中...