数据中心的相关法律问题-李海英工信部电信研究院.pdfVIP

数据中心相关法律问题数据中心相关法律问题数据中心相关法律问题数据中心相关法律问题 2014年1月9日2014年1月9日 2 2 主要内容主要内容 一、一、 三、三、 云计算、大数据等带来的法律挑战云计算、大数据等带来的法律挑战 信息通信业主要法律法规信息通信业主要法律法规 二、数据中心业务的对外开放政策二、数据中心业务的对外开放政策 3 3 2000-2002年 监管职能 2000-2002年 监管职能 通信建设 互联网 行业管理 服务质量 互联互通 设备管理 码号管理 市场准入 ?2-招投标 ? 3-电子公告 ?6-服务质量 ?7-用户申诉 ?9-网间互联 ?11-设备进网 ?15-互联争议 ?17-工程质量 ?20-电信建设 ?22-出入口局 ?23-国际通信设施 2003-2007年2003-2007年 ?28-码号管理 ? 30-域名管理 ? 33-网站备案 ? 34-IP地址 ?36-服务规范 ? 38-电子邮件 ? 37-新闻服务 ? 56-视听节目 2009年2010年2011年2009年2010年2011年 ?3-设备抗震 ?5-经营许可 网络安全 ? 11-安全防护 ? 20市场秩序 我国电信和互联网法律体系我国电信和互联网法律体系 ?9-经营许可 ?1-码号管理 关于加强移动智能 终端管理的通知 2012年2012年 互联网骨干网网间通信 质量监督管理办法 业务分类目录 修订中 2013年2013年 ?25-电话用 户实名制 ?24-用户个人 信息保护 互联网接入 服务规范 以电信条例 和互联网信息服务管理办法为核心的电信和互联网法律体系。 4 4 互联网立法现状互联网立法现状 全国人大常委会关于维护互 联网安全的决定 全国人大常委会关于维护互 联网安全的决定 全国人大常委会关于加强网 络信息保护的决定 全国人大常委会关于加强网 络信息保护的决定 计算机信息系统安全保 护条例 计算机信息系统安全保 护条例 计算机信息网络国际联 网管理暂行规定 计算机信息网络国际联 网管理暂行规定 计算机信息网络国际联 网安全保护管理办法 计算机信息网络国际联 网安全保护管理办法 电信条例电信条例 互联网信息服务管 理办法 互联网信息服务管 理办法 信息网络传播权保 护条例 信息网络传播权保 护条例 近30部部门 规章，涵盖互 联网行业管理 、内容管理和 公共安全管理 近30部部门 规章，涵盖互 联网行业管理 、内容管理和 公共安全管理 法法 律律 行政法规行政法规 部门规章部门规章 内容 形式重点立法 地方性法规地方性法规 20多个省市制定 了计算机信息系统 安全管理条例 20多个省市制定 了计算机信息系统 安全管理条例 20多个省市制定 了信息化促进立法 20多个省市制定 了信息化促进立法 5 5 市场准入市场准入 中华人民共和国电信条例第十三条： 经营增值电信业务，应当具备下列条件： (一)经营者为依法设立的公司； (二)有与开展经营活动相适应的资金和专业人员； (三)有为用户提供长期服务的信誉或者能力； (四)国家规定的其他条件。 电信业务经营许可管理办法第六条规定， 第六条 申请经营增值电信业务的，应当符合下列条件： （一）经营者为依法设立的公司。 （二）有与开展经营活动相适应的资金和专业人员。 （三）有为用户提供长期服务的信誉或者能力。 （四）在省、自治区、直辖市范围内经营的，注册资本最低限额为 100万元人民币；在全国或者跨省、自治区、直辖市范围经营的， 注册资本最低限额为1000万元人民币。 （五）有必要的场地、设施及技术方案。 （六）公司及其主要出资者和主要经营管理人员三年内无违反电信 监督管理制度的违法记录。 （七）国家规定的其他条件。 6 6 电信业务经营许可管理办法的要求电信业务经营许可管理办法的要求 第二十五条 为增值电信业务经营者提供网络接入、代理收费和业务合作 的基础电信业务经营者，应当对相应增值电信业务的内容、资费与收费、 合作行为等进行规范、管理，并建立相应的发现、监督和处置制度和措施。 第二十七条 提供网站接入服务的增值电信业务经营者应当遵守下列规定： （一）应当租用获得相应经营许可证的基础电信业务经营者提供的网络接 入等电信资源从事业务经营活动，不得向其他从事网站接入服务的增值电 信业务经营者转租所获得的网络接入等电信资源。 （二）不得为未经许可或未备案的网站提供接入或代收费等服务。 （三）按照电信管理机构的规定，建立相应的网站经营许可管理和备案管 理的业务管理系统，实现对代报备网站用户信息的动态维护和更新，并定 期向电信管理机构报送网站管理所需有关信息。 （四）对所接入网站传播违法信息的行为进行监督，发现传播明显属于 中华人民共和国电信条例第五十七条规定的信息的，应当立即停止接 入和代收费等服务，保存有关记录，并向国家有关机关报告。 （五）按照电信管理机构的要求终止或者暂停对违法网站的接入服务。 7 7 互联网信息服务管理办法对互联网接入服务商 的法律要求 互联网信息服务管理办法对互联网接入服务商 的法律要求 1、记录和留存要求：互联网信息服务管理办法 第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务 提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域 名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、 互联网地址或者域名、主叫电话号码等信息。 互联网信息服务提供者和互联网接入服务提供者的记录备份应当 保存60日，并在国家有关机关依法查询时，予以提供。 征求意见稿： 第十六条互联网信息服务提供者应当记录所发布的信息和服务对象所 发布的信息，并保存6个月。 互联网信息服务提供者、互联网接入服务提供者应当记录日志信息， 保存12个月，并为公安机关、国家安全机关依法查询提供技术支持。 2、查验义务： 征求意见稿：第十一条互联网接入服务提供者应当查验互联网信息服 务提供者的合法资质，不得为未取得合法资质的互联网信息服务提供 者提供服务。 8 8 3、实名要求： 征求意见稿：互联网接入服务提供者应当记录其所接 入的互联网信息服务提供者的真实身份信息、网站 名称、互联网地址等信息。 4、网络与信息安全要求 征求意见 稿：第十四条互联网信息服务提供者、互 联网接入服务提供者应当建立网络安全与信息安全 管理、公共信息巡查、应急处置、用户信息安全管 理等制度及具备安全防范措施。 互联网信息服务管理办法对互联网接入服务商 的法律要求 互联网信息服务管理办法对互联网接入服务商 的法律要求 9 9 互联网信息服务管理办法对互联网接入服务商 的法律要求 互联网信息服务管理办法对互联网接入服务商 的法律要求 5、报告义务： ?第十六条 互联网信息服务提供者发现其网站传输的信息明 显属于本办法第十五条所列内容之一的，应当立即停止传 输，保存有关记录，并向国家有关机关报告。 征求意见稿 第十九条互联网信息服务提供者、互联网接入 服务提供者明知发布、传输的信息属于本办法第十八条所 列内容的，应当立即停止发布、传输，保存有关记录，向 互联网信息内容主管部门、公安机关报告。 1010 公安部互联网安全保护技术措施规定公安部互联网安全保护技术措施规定 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安 全保护技术措施： （一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项 或者行为的技术措施； （二）重要数据库和系统主要设备的冗灾备份措施； （三）记录并留存用户登录和退出时间、主叫号码、账号、互联网 地址或域名、系统维护日志的技术措施； （四）法律、法规和规章规定应当落实的其他安全保护技术措施。 第八条 提供互联网接入服务的单位除落实本规定第七条规定的互 联网安全保护技术措施外，还应当落实具有以下功能的安全保护技 术措施： （一）记录并留存用户注册信息； （二）使用内部网络地址与互联网网络地址转换方式为用户提供接 入服务的，能够记录并留存用户使用的互联网网络地址和内部网络 地址对应关系； （三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全 审计功能。 1111 公安部互联网安全保护技术措施规定公安部互联网安全保护技术措施规定 第十条第十条 提供互联网数据中心服务的单位和联网使用单位除落 实本规定第七条规定的互联网安全保护技术措施外，还应当 落实具有以下功能的安全保护技术措施： （一）记录并留存用户注册信息； （二）在公共信息服务中发现、停止传输违法信息，并保留 相关记录； （三）联网使用单位使用内部网络地址与互联网网络地址转 换方式向用户提供接入服务的，能够记录并留存用户使用的 互联网网络地址和内部网络地址对应关系。 1212 主要内容主要内容 一、一、 三、三、 云计算、大数据等带来的法律挑战 信息通信业主要法律法规 云计算、大数据等带来的法律挑战 信息通信业主要法律法规 二、数据中心业务的对外开放政策二、数据中心业务的对外开放政策 1313 我国增值电信业务我国增值电信业务WTO承诺承诺 1414第14页第14页 CEPA开放的电信业务开放的电信业务 ?2003年，中央政府与香港特别行政区政府签署了内地与香港关于建立更 紧密经贸关系的安排（CEPA），标志着内地与相关的经贸交流和合作进 入新的历史阶段。此后陆续签订了相关补充协议。 CE PA 框 架 下 开 放 情 况 通信领域 信息技术 增值电信业务 电话卡业务 ?2003年起，在入世承诺基础上增加开 放了因特网数据中心业务、呼叫中心业 务、因特网接入服务及 “内地因特网虚 拟专用网”四项增值电信业务。 ?2009年10月1日起，允许香港服务提 供者在广东销售只能在香港适用的固定 /移动电话卡 粤港电子签名证书互认 计算机信息系统集成资质认证 计算机技术与软件专业技术资格考试 1515 未来开放的趋势未来开放的趋势 ?不包含因特网数据中心业务的协议不包含因特网数据中心业务的协议 ?海峡两岸服务贸易协议海峡两岸服务贸易协议 ?上海自贸区对外开放的增值电信业务上海自贸区对外开放的增值电信业务 ?对未来趋势的判断对未来趋势的判断 ?CEPA已经开放CEPA已经开放 ?云计算、大数据发展形势下，数据中心未来的开放如何 考虑？ 云计算、大数据发展形势下，数据中心未来的开放如何 考虑？ ?离岸数据中心？离岸数据中心？ 1616 主要内容主要内容 一、一、 三、三、 云计算、大数据等带来的法律挑战云计算、大数据等带来的法律挑战 信息通信业主要法律法规信息通信业主要法律法规 二、数据中心业务的对外开放政策二、数据中心业务的对外开放政策 1717 云计算对数据保护带来的挑战云计算对数据保护带来的挑战 A云用户（数据 控制者） B云服务商（数据处理者） A云用户（数据 控制者） B云服务商（数据处理者） CC 1、1、数据跨境流动：数据跨境流动： 适用哪一国的法律？ 保护水平不同带来法 律风险 贸易问题 适用哪一国的法律？ 保护水平不同带来法 律风险 贸易问题 2、2、相关主体的责任相关主体的责任 数据控制者的责任 数据处理者的责任 数据控制者的责任 数据处理者的责任 3、合同规制3、合同规制 合同可实现用 户要求的较高 数据保护水 平，但增加成 本。 合同可实现用 户要求的较高 数据保护水 平，但增加成 本。 1818 国外个人信息保护立法概况国外个人信息保护立法概况 20世纪70年代末， 针对信息通信技术飞速发展带来的个人信息泄露和滥用问题，西 方发达国家开始了个人信息保护的立法实践。目前全球五十多个国家和地区制定了个 人信息保护法，形成了全球范围内引人注目的立法风潮。 OECD1980年制定关于隐私保护 与个人数据跨国流通指南，其确 立的个人信息保护基本原则已成为 制定个人信息保护文件的国际标准 1990年，联合国通过关于电 脑化的个人数据档案的指 南，将个人信息保护立法进 一步推向全球 APEC对于个人信息保护的关注 度也在不断提高，2010年7月， APEC颁布APEC跨境隐私执行 合作安排,进一步扩大了 APEC隐私保护框架的影响 力 欧盟模式“国家主 导，统一立法” 美国模式“倡导自 律，分散立法” 1919 近年来，云计算、物联网、移动互联网等新技术新业务的快速发展，给 现有的个人信息保护法律制度带来了新的挑战，各国修订、立法活动频 繁，大致有三大类型： 近年来，云计算、物联网、移动互联网等新技术新业务的快速发展，给 现有的个人信息保护法律制度带来了新的挑战，各国修订、立法活动频 繁，大致有三大类型： 个人信息保护立法的最新趋势个人信息保护立法的最新趋势 在已有的个人信息保 护立法框架下，制定 云计算等新业务的个 人信息保护规则 在已有的个人信息保 护立法框架下，制定 云计算等新业务的个 人信息保护规则 法国个人信息保护机 构国家信息与自由委 员会发布云计算数据保 护指南 日本政府出台云服务 信息安全管理指南 美国致力于推动消费 者隐私权利法案（草案） 的出台。 韩国韩国2011年3月29日废 除了1999年公共机关个 人信息保护法， 颁布 个人信息保护法 新加坡则在现有的公共 机构个人信息保护法的基 础上，继续补充出台了针 对私营机构的个人信息保 护法。2012年10月16 日，新加坡国会三读通过 了个人资料保护法案 对现有的个人信息 保护统一立法进行 修订。 对现有的个人信息 保护统一立法进行 修订。 日新月异的信息技术使得 95指令的主要原则及制度 适用变得非常不确定，并 导致欧盟各成员国对个人 数据保护指令的理解与执 行上出现了较大的差异。 2012年1月25日，欧盟委 员会发布了有关“95年 个人数据保护指令”的立 法建议（简称数据保 护框架法规草案），对 1995年数据保护指令着 手进行全面修订。 继续完善现有的 个人信息保护立 法框架体系 继续完善现有的 个人信息保护立 法框架体系 2020 国外个人信息保护立法特点国外个人信息保护立法特点 在个人信息保护领域，国外立法的基本特点：在个人信息保护领域，国外立法的基本特点： 强化对数据控制者 的义务规定 强化对数据控制者 的义务规定 强化对数据控制者 的义务规定 强化对数据控制者 的义务规定 ?欧盟将规制主体细分为数据控制者、数据处理者； ?韩国建立了个人信息的收集、报告、销毁等保护机制； 扩大个人信息主体 的权利范围 扩大个人信息主体 的权利范围 扩大个人信息主体 的权利范围 扩大个人信息主体 的权利范围 ?美国的消费者隐私权利法（草案）中明确了消费者 的同意权、查看修改权以及对商业公司的监督权等。 ?欧盟扩张了数据本人的权利； ?新加坡建立了“谢绝来电”登记制度。 加大了对位置信息的 保护力度 加大了对位置信息的 保护力度 加大了对位置信息的 保护力度 加大了对位置信息的 保护力度 ?韩国建立了紧急救援情况下位置信息的使用制度； ?日本对移动终端用户的位置信息使用进行了约束； 关注数据跨境流动关注数据跨境流动关注数据跨境流动关注数据跨境流动 ?韩国建立了对云计算服务提供商的认证制度，并明确其 义务； ?法国建议应对云服务提供商进行风险评估，审慎选择。 20 2121 ?个人信息保护法不仅是对公民权利的保护法，而且同时也 是对信息的合理使用与流通的调整法。 ?制定个人信息保护法不仅是保护公民个人权利的需要，更 是提高信息资源利用率，保证本国信息自由流动，促进信息 化发展，参与全球化竞争的战略需要。 个人信息的 价值： ?个人数据已经成为数字经济中的关键资源。 ?互联网创新高度依赖个人信息 个人信息保护法 的价值： 人大决定确立个人信息保护的基本制度人大决定确立个人信息保护的基本制度 全国人民代表大会常务委员会关于加强网络信息保护的决定 2222 人大决定关于个人信息保护的主要制度人大决定关于个人信息保护的主要制度 个人信息保护的范围个人电子信息 ? 身份信息：可识别身份的信息（姓名、身份证号码、家庭住址等） ? 隐私信息：私密个人信息 保护规范 ? 基本原则：合法、正当、必要 ? 保护环节：收集、使用 ? 具体规范：知情同意、公开、安全、保密、违法事件补救 规范主体 ? 网络服务提供者 ? 企事业单位 ? 国家机关 管理部门 ? 未确立统一的管理机构 2323 23 电信和互联网用户个人信息保护规定电信和互联网用户个人信息保护规定 今年6月，工信部出台电信和互联网用户个人信息保护规定电信和互联网用户个人信息保护规定 用户个人信息的范围用户个人信息的范围用户个人信息的范围用户个人信息的范围 1 1 信息收集和使用规范信息收集和使用规范信息收集和使用规范信息收集和使用规范 2 2 3 3 代理商的管理制度代理商的管理制度代理商的管理制度代理商的管理制度 4 4 报告和叫停机制报告和叫停机制报告和叫停机制报告和叫停机制 5 5 监督检查制度监督检查制度监督检查制度监督检查制度 6 6 安全保障措施安全保障措施安全保障措施安全保障措施 2424 适用范围和规制对象适用范围和规制对象 ? 适用范围 在中华人民共和国境内提供电信服务和互联 网信息服务过程中收集、使用用户个人信息 的活动。 ? 规制对象 电信业务经营者 互联网信息服务提供者 2525 个人信息保护的范围个人信息保护的范围 25 第四条 本规定所称用户个人信息，是指电信业务经营 者和互联网信息服务提供者在提供服务的过程中收集的 用户姓名、出生日期、身份证件号码、住址、电话号码、 账号和密码等能够单独或者与其他信息结合识别用户的 信息以及用户使用服务的时间、地点等信息。 个人信息个人信息 国际通行定义：国际通行定义：识别身份 日志信息：日志信息：用户使用服务的时 间、地点等信息 2626 个人信息的收集、使用规范个人信息的收集、使用规范 26 ? 合法、正当、必要（S5) ? 安全保障（S6、S10) ? 规则透明（S8) ? 知情同意（S9.1) ? 目的特定与限制原则（S9.3） 1.合理吸收国际通行原则：1.合理吸收国际通行原则：1.合理吸收国际通行原则：1.合理吸收国际通行原则： ? 删除制度（S9