搜索
数据中心相关法律问题数据中心相关法律问题2014年1月9日2主要内容一、三、云计算、大数据等带来的法律挑战信息通信业主要法律法规二、数据中心业务的对外开放政策32000-2002年监管职能通信建设互联网行业管理服务质量互联互通设备管理码号管理市场准入2-招投标3-电子公告6-服务质量7-用户申诉9-网间互联11-设备进网15-互联争议17-工程质量20-电信建设22-出入口局23-国际通信设施2003-2007年28-码号管理30-域名管理33-网站备案34-IP地址36-服务规范38-电子邮件37-新闻服务56-视听节目2009年2010年2011年3-设备抗震5-经营许可网络安全11-安全防护20市场秩序我国电信和互联网法律体系9-经营许可1-码号管理关于加强移动智能终端管理的通知2012年互联网骨干网网间通信质量监督管理办法业务分类目录修订中2013年25-电话用户实名制24-用户个人信息保护互联网接入服务规范以《电信条例》和《互联网信息服务管理办法》为核心的电信和互联网法律体系。4互联网立法现状•全国人大常委会关于维护互联网安全的决定•全国人大常委会关于加强网络信息保护的决定•计算机信息系统安全保护条例•计算机信息网络国际联网管理暂行规定•计算机信息网络国际联网安全保护管理办法•电信条例•互联网信息服务管理办法•信息网络传播权保护条例•近30部部门规章,涵盖互联网行业管理、内容管理和公共安全管理法法律律行政法规行政法规部门规章部门规章内容形式重点立法地方性法规地方性法规•20多个省市制定了计算机信息系统安全管理条例•20多个省市制定了信息化促进立法5市场准入《中华人民共和国电信条例》第十三条:经营增值电信业务,应当具备下列条件:(一)经营者为依法设立的公司;(二)有与开展经营活动相适应的资金和专业人员;(三)有为用户提供长期服务的信誉或者能力;(四)国家规定的其他条件。《电信业务经营许可管理办法》第六条规定,第六条申请经营增值电信业务的,应当符合下列条件:(一)经营者为依法设立的公司。(二)有与开展经营活动相适应的资金和专业人员。(三)有为用户提供长期服务的信誉或者能力。(四)在省、自治区、直辖市范围内经营的,注册资本最低限额为100万元人民币;在全国或者跨省、自治区、直辖市范围经营的,注册资本最低限额为1000万元人民币。(五)有必要的场地、设施及技术方案。(六)公司及其主要出资者和主要经营管理人员三年内无违反电信监督管理制度的违法记录。(七)国家规定的其他条件。6《电信业务经营许可管理办法》的要求第二十五条为增值电信业务经营者提供网络接入、代理收费和业务合作的基础电信业务经营者,应当对相应增值电信业务的内容、资费与收费、合作行为等进行规范、管理,并建立相应的发现、监督和处置制度和措施。第二十七条提供网站接入服务的增值电信业务经营者应当遵守下列规定:(一)应当租用获得相应经营许可证的基础电信业务经营者提供的网络接入等电信资源从事业务经营活动,不得向其他从事网站接入服务的增值电信业务经营者转租所获得的网络接入等电信资源。(二)不得为未经许可或未备案的网站提供接入或代收费等服务。(三)按照电信管理机构的规定,建立相应的网站经营许可管理和备案管理的业务管理系统,实现对代报备网站用户信息的动态维护和更新,并定期向电信管理机构报送网站管理所需有关信息。(四)对所接入网站传播违法信息的行为进行监督,发现传播明显属于《中华人民共和国电信条例》第五十七条规定的信息的,应当立即停止接入和代收费等服务,保存有关记录,并向国家有关机关报告。(五)按照电信管理机构的要求终止或者暂停对违法网站的接入服务。7《互联网信息服务管理办法》对互联网接入服务商的法律要求1、记录和留存要求:《互联网信息服务管理办法》第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。征求意见稿:第十六条互联网信息服务提供者应当记录所发布的信息和服务对象所发布的信息,并保存6个月。互联网信息服务提供者、互联网接入服务提供者应当记录日志信息,保存12个月,并为公安机关、国家安全机关依法查询提供技术支持。2、查验义务:征求意见稿:第十一条互联网接入服务提供者应当查验互联网信息服务提供者的合法资质,不得为未取得合法资质的互联网信息服务提供者提供服务。83、实名要求:征求意见稿:互联网接入服务提供者应当记录其所接入的互联网信息服务提供者的真实身份信息、网站名称、互联网地址等信息。4、网络与信息安全要求征求意见稿:第十四条互联网信息服务提供者、互联网接入服务提供者应当建立网络安全与信息安全管理、公共信息巡查、应急处置、用户信息安全管理等制度及具备安全防范措施。《互联网信息服务管理办法》对互联网接入服务商的法律要求9《互联网信息服务管理办法》对互联网接入服务商的法律要求5、报告义务:第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。征求意见稿第十九条互联网信息服务提供者、互联网接入服务提供者明知发布、传输的信息属于本办法第十八条所列内容的,应当立即停止发布、传输,保存有关记录,向互联网信息内容主管部门、公安机关报告。10公安部《互联网安全保护技术措施规定》第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;(二)重要数据库和系统主要设备的冗灾备份措施;(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;(四)法律、法规和规章规定应当落实的其他安全保护技术措施。第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:(一)记录并留存用户注册信息;(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。11公安部《互联网安全保护技术措施规定》第十条提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:(一)记录并留存用户注册信息;(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。12主要内容一、三、云计算、大数据等带来的法律挑战信息通信业主要法律法规二、数据中心业务的对外开放政策13我国增值电信业务WTO承诺14第14页CEPA开放的电信业务2003年,中央政府与香港特别行政区政府签署了《内地与香港关于建立更紧密经贸关系的安排》(CEPA),标志着内地与相关的经贸交流和合作进入新的历史阶段。此后陆续签订了相关补充协议。CEPA框架下开放情况通信领域信息技术增值电信业务电话卡业务2003年起,在入世承诺基础上增加开放了因特网数据中心业务、呼叫中心业务、因特网接入服务及“内地因特网虚拟专用网”四项增值电信业务。2009年10月1日起,允许香港服务提供者在广东销售只能在香港适用的固定/移动电话卡粤港电子签名证书互认计算机信息系统集成资质认证计算机技术与软件专业技术资格考试15未来开放的趋势不包含因特网数据中心业务的协议海峡两岸服务贸易协议上海自贸区对外开放的增值电信业务对未来趋势的判断CEPA已经开放云计算、大数据发展形势下,数据中心未来的开放如何考虑?离岸数据中心?16主要内容一、三、云计算、大数据等带来的法律挑战信息通信业主要法律法规二、数据中心业务的对外开放政策17云计算对数据保护带来的挑战A云用户(数据控制者)B云服务商(数据处理者)C1、数据跨境流动:适用哪一国的法律?保护水平不同带来法律风险贸易问题2、相关主体的责任数据控制者的责任数据处理者的责任3、合同规制合同可实现用户要求的较高数据保护水平,但增加成本。18国外个人信息保护立法概况20世纪70年代末,针对信息通信技术飞速发展带来的个人信息泄露和滥用问题,西方发达国家开始了个人信息保护的立法实践。目前全球五十多个国家和地区制定了个人信息保护法,形成了全球范围内引人注目的立法风潮。OECD1980年制定《关于隐私保护与个人数据跨国流通指南》,其确立的个人信息保护基本原则已成为制定个人信息保护文件的国际标准1990年,联合国通过《关于电脑化的个人数据档案的指南》,将个人信息保护立法进一步推向全球APEC对于个人信息保护的关注度也在不断提高,2010年7月,APEC颁布《APEC跨境隐私执行合作安排》,进一步扩大了《APEC隐私保护框架》的影响力欧盟模式——“国家主导,统一立法”美国模式——“倡导自律,分散立法”19近年来,云计算、物联网、移动互联网等新技术新业务的快速发展,给现有的个人信息保护法律制度带来了新的挑战,各国修订、立法活动频繁,大致有三大类型:个人信息保护立法的最新趋势在已有的个人信息保护立法框架下,制定云计算等新业务的个人信息保护规则•法国个人信息保护机构——国家信息与自由委员会发布《云计算数据保护指南》•日本政府出台《云服务信息安全管理指南》•美国致力于推动《消费者隐私权利法案(草案)》的出台。•韩国2011年3月29日废除了1999年《公共机关个人信息保护法》,颁布《个人信息保护法》•新加坡则在现有的公共机构个人信息保护法的基础上,继续补充出台了针对私营机构的个人信息保护法。2012年10月16日,新加坡国会三读通过了《个人资料保护法案》对现有的个人信息保护统一立法进行修订。日新月异的信息技术使得95指令的主要原则及制度适用变得非常不确定,并导致欧盟各成员国对个人数据保护指令的理解与执行上出现了较大的差异。2012年1月25日,欧盟委员会发布了《有关“95年个人数据保护指令”的立法建议》(简称《数据保护框架法规》草案),对1995年数据保护指令着手进行全面修订。继续完善现有的个人信息保护立法框架体系20国外个人信息保护立法特点在个人信息保护领域,国外立法的基本特点:强化对数据控制者的义务规定强化对数据控制者的义务规定欧盟将规制主体细分为数据控制者、数据处理者;韩国建立了个人信息的收集、报告、销毁等保护机制;扩大个人信息主体的权利范围扩大个人信息主体的权利范围美国的《消费者隐私权利法(草案)》中明确了消费者的同意权、查看修改权以及对商业公司的监督权等。欧盟扩张了数据本人的权利;新加坡建立了“谢绝来电”登记制度。加大了对位置信息的保护力度加大了对位置信息的保护力度韩国建立了紧急救援情况下位置信息的使用制度;日本对移动终端用户的位置信息使用进行了约束;关注数据跨境流动关注数据跨境流动韩国建立了对云计算服务提供商的认证制度,并明确其义务;法国建议应对云服务提供商进行风险评估,审慎选择。2021个人信息保护法不仅是对公民权利的保护法,而且同时也是对信息的合理使用与流通的调整法。制定个人信息保护法不仅是保护公民个人权利的需要,更是提高信息资源利用率,保证本国信息自由流动,促进信息化发展,参与全球化竞争的战略需要。个人信息的价值:个人数据已经成为数字经济中的关键资源。互联网创新高度依赖个人信息个人信息保护法的价值:人大决定确立个人信息保护的基本制度《全国人民代表大会常务委员会关于加强网络信息保护的决定》22人大决定关于个人信息保护的主要制度个人信息保护的范围——个人电子信息z身份信