個人數據出境要監管 (車品覺)
資料在不同地域流動,「數據駐留」成為企業關注的新課題。(法新社資料圖片)
隨着企業使用互聯網和大數據愈趨深入,跨境業務也日益頻繁,由此帶來的個人資訊和行業數據「出境量」顯著激增,也衍生出更多數據安全及個人隱私權益等問題。2013年的「斯諾登事件」無疑火上澆油,加劇收緊跨境獲取和轉移數據的法律,以及規範政治和商業使用數據的迫切性。促使各國開始評估國際數據轉移的現有法律保護是否完善,首先引發了美歐數據流通的安全港協議的持續討論,其次是歐盟和其他地區對於數據駐留實施更嚴格要求,以至於很多國家紛紛頒布新的數據駐留法規。
歐盟嚴限「數據駐留」
那麼問題來了,什麼是數據駐留規管?遺憾的是,「數據駐留」這個詞語在大多數國家法律中都沒有明確定義。但從廣義來說,數據駐留規管是指在不符合某些條件下,禁止相關機構向境外轉移個人數據的國家法律。歐盟的《數據保護條令》(Data Protection Directive)是數據駐留規管的最著名例子,該條文訂明除非對個人數據的保護達到「適當」水平,否則禁止機構向歐盟以外的接收者轉移個人數據。數據駐留規管是極為重要的全球議題,其對於企業的數據安全保護提出重大的責任及挑戰,尤其是針對數據密集型企業,包括雲服務商、金融機構、社交媒體、醫療集團及各類型的互聯網服務提供者。
個人數據轉移的最常見合規依據,在於被轉移的數據內容是否已經獲得數據主體的同意及檢驗其必要性?個人資訊是指以電子或其他方式記錄的、能夠單獨或與其他資訊結合識別自然人身份的各種資訊。判斷是否個人數據的原則有二:一、「可識別性」,是指數據與數據主體間具有唯一指向,可通過數據資訊直接識別數據主體,例如身份證號碼、電話號碼、DNA等;二、「關聯性」,是指數據與數據主體間僅有一定關聯,須通過其他關聯數據綜合判斷、間接指向數據主體,例如血型、職業和籍貫等。
在個人數據跨境轉移時,還是要考慮到各個地區對數據出境的不同規定。如何做到既保障數據安全,又不影響到跨國業務發展,是一個不斷昇華的綜合課題。香港作為國際金融、貿易及物流中心,亦需要成為一個高速、穩定又合規的大數據中心,尤其是對於跨國企業的重要性不言而喻。
更多車品覺文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
 - EJ Tech){kind=link}
){kind=link}