個(gè)人信息保護(hù)法案對(duì)比研究及對(duì)我國的啟示

孫 權(quán) 中國銀聯(lián)股份有限公司

沙澤陽 復(fù)旦大學(xué)

王 曦 中國銀聯(lián)股份有限公司

吳 杰 復(fù)旦大學(xué)

柴洪峰 中國銀聯(lián)股份有限公司

葉家煒 復(fù)旦大學(xué)

1967年，信息隱私的概念由艾倫.F.威斯?。ˋlan F.Westin）在《隱私與自由》一書中提出。隨著社會(huì)發(fā)展，個(gè)人隱私逐步成為了個(gè)人重要的基本權(quán)利，世界各國也相繼推出了個(gè)人數(shù)據(jù)保護(hù)法案。但在不同國家的法律框架內(nèi)，相同的行為可能會(huì)被認(rèn)定為不同的性質(zhì)，因而對(duì)不同的個(gè)人數(shù)據(jù)保護(hù)法案進(jìn)行對(duì)比研究顯得尤為重要。本文從不同的維度對(duì)中國、歐盟、美國、新加坡、日本等國家和地區(qū)的個(gè)人數(shù)據(jù)保護(hù)法案進(jìn)行比較分析，為企業(yè)開展涉外業(yè)務(wù)提供借鑒。

一、不同國家和地區(qū)個(gè)人信息保護(hù)法案簡介

隨著經(jīng)濟(jì)數(shù)字化進(jìn)程的不斷縱深發(fā)展，個(gè)人數(shù)據(jù)更加透明化，數(shù)據(jù)保護(hù)面臨新態(tài)勢(shì)。截至2018年，全球近120個(gè)國家和獨(dú)立的司法管轄區(qū)已采用全面的數(shù)據(jù)保護(hù)或隱私法律來保護(hù)個(gè)人數(shù)據(jù)，另有近40個(gè)國家和司法管轄區(qū)有待批準(zhǔn)此類法案或倡議。

為充分保障保險(xiǎn)服務(wù)質(zhì)量，保護(hù)消費(fèi)者的合法權(quán)益，各大保險(xiǎn)公司會(huì)收集、處理大量個(gè)人信息。2002年《保險(xiǎn)法》第三十二條規(guī)定：“保險(xiǎn)人或者再保險(xiǎn)接受人對(duì)在辦理保險(xiǎn)業(yè)務(wù)中知道的投保人、被保險(xiǎn)人、受益人或者再保險(xiǎn)分出人的業(yè)務(wù)和財(cái)產(chǎn)情況及個(gè)人隱私，負(fù)有保密義務(wù)?！狈擅鞔_要求保險(xiǎn)機(jī)構(gòu)必須承擔(dān)保護(hù)個(gè)人信息的法律義務(wù)。受新冠疫情影響，2020年銀保監(jiān)會(huì)陸續(xù)發(fā)布多項(xiàng)通知，明確要求金融機(jī)構(gòu)加強(qiáng)科技運(yùn)用，強(qiáng)化電子渠道服務(wù)，鼓勵(lì)運(yùn)用人臉識(shí)別等信息技術(shù)發(fā)展非現(xiàn)場(chǎng)核查、核保、核簽工作，保險(xiǎn)企業(yè)進(jìn)一步深化電子化業(yè)務(wù)、非接觸式服務(wù)的需求越來越迫切，面臨的個(gè)人數(shù)據(jù)保護(hù)合規(guī)壓力也越來越大。與此同時(shí)，疫情期間的非現(xiàn)場(chǎng)化的遠(yuǎn)程服務(wù)需求，也為保險(xiǎn)企業(yè)拓展海外業(yè)務(wù)提供了契機(jī)。

本文選取了中國、歐盟、美國、新加坡和日本等國家和地區(qū)的具有代表性的法律規(guī)范來進(jìn)行比較，以便為保險(xiǎn)企業(yè)開展海外業(yè)務(wù)、涉外業(yè)務(wù)提供參考。

（一）中國

《中華人民共和國網(wǎng)絡(luò)安全法》由中華人民共和國第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過，自2017年6月1日起施行。這是我國首次在法律層面針對(duì)個(gè)人信息保護(hù)構(gòu)建較為完整的法律制度閉環(huán)。

中國在發(fā)展過程中對(duì)網(wǎng)絡(luò)安全重視程度的不斷增加和中國作為網(wǎng)絡(luò)大國面臨巨大的網(wǎng)絡(luò)威脅的嚴(yán)峻現(xiàn)狀，直接促使了《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）的頒布?！毒W(wǎng)絡(luò)安全法》的立法目的，旨在保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。

《中華人民共和國民法典》（簡稱《民法典》）于2020年5月28日由十三屆全國人大三次會(huì)議表決通過，將于2021年1月1日起施行?！睹穹ǖ洹窂娜烁駲?quán)的角度提出了“自然人的個(gè)人信息受法律保護(hù)”的法律觀點(diǎn)，并闡述了“合法、正當(dāng)、必要”原則和應(yīng)當(dāng)遵循的基本規(guī)范。從內(nèi)容上來看，《民法典》的個(gè)人信息保護(hù)相關(guān)條款與2017年6月正式實(shí)施的《網(wǎng)絡(luò)安全法》有關(guān)內(nèi)容總體一致，個(gè)別方面對(duì)其進(jìn)行補(bǔ)充和完善。

由于《民法典》尚未實(shí)施，當(dāng)前個(gè)人數(shù)據(jù)保護(hù)主要遵循的是《網(wǎng)絡(luò)安全法》。

（二）歐盟

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱 GDPR）于2016年4月出臺(tái)，2018年5月25日在歐盟全體成員國正式生效。GDPR致力于保護(hù)個(gè)人數(shù)據(jù)，更傾向于保護(hù)人權(quán)，賦予了個(gè)人很多權(quán)利。與此同時(shí)，GDPR是基于監(jiān)管者的立場(chǎng)，以保護(hù)基本人權(quán)為出發(fā)點(diǎn)，強(qiáng)調(diào)有關(guān)責(zé)任主體主動(dòng)規(guī)范數(shù)據(jù)處理的行為。長期以來，歐盟各成員國的個(gè)人數(shù)據(jù)立法標(biāo)準(zhǔn)存在巨大差異，不利于歐盟統(tǒng)一數(shù)據(jù)市場(chǎng)的形成。GDPR的頒布和實(shí)施為歐洲的個(gè)人數(shù)據(jù)保護(hù)提供了一個(gè)更強(qiáng)大和一致的數(shù)據(jù)保護(hù)框架，且它具有嚴(yán)格的合規(guī)要求和極重的行政處罰，被譽(yù)為最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)條例。同時(shí)，由于其管轄范圍的外延特征，對(duì)全球的涉歐業(yè)務(wù)和全球范圍的個(gè)人信息保護(hù)帶來了深遠(yuǎn)影響。

（三）美國

2018年6月28日，美國加利福尼亞州《2018年加州消費(fèi)者隱私法案》（California Consumer Privacy Act，簡稱 CCPA）正式頒布，成為全美最嚴(yán)隱私保護(hù)法案。該法案已于2020年1月1日正式施行。CCPA的出臺(tái)目的為通過消費(fèi)者的一系列權(quán)利，為消費(fèi)者控制其個(gè)人信息提供有效途徑，從而進(jìn)一步拓展加州居民的隱私權(quán)。由于不同的歷史傳統(tǒng)和利益訴求，CCPA的制度內(nèi)核與歐盟制度的烙印存在差異，CCPA更注重消費(fèi)者保護(hù)的實(shí)際效果，以及與促進(jìn)企業(yè)發(fā)展、技術(shù)創(chuàng)新之間的平衡。雖然CCPA并不是聯(lián)邦法律，但其“屬人原則”的管轄范圍實(shí)際超越了地理空間限制，其影響力可與歐盟GDPR比肩。

（四）新加坡

新加坡是一個(gè)高度法制化的社會(huì)，且執(zhí)法嚴(yán)厲。新加坡現(xiàn)行有效的個(gè)人信息保護(hù)法案，是2012年制定的《個(gè)人數(shù)據(jù)保護(hù)法案》（Personal Data Protection Act，簡稱 PDPA）。該法旨在規(guī)制組織對(duì)個(gè)人數(shù)據(jù)的收集、使用和披露。新加坡為此還專門成立個(gè)人數(shù)據(jù)保護(hù) 委 員 會(huì)（Personal Data Protection Commission，簡稱 PDPC），通過適時(shí)修訂PDPA，來嚴(yán)控企業(yè)使用國民身份信息權(quán)限，防止組織或個(gè)人信息被用于盜竊、欺詐等非法活動(dòng)。

（五）日本

日本現(xiàn)行的個(gè)人數(shù)據(jù)保護(hù)法案是《個(gè)人信息保護(hù)法》（2017）。

《個(gè)人信息保護(hù)法》最初于2005年4月1日起施行。隨著信息社會(huì)的高速發(fā)展，個(gè)人信息的利用范圍被顯著擴(kuò)大?？紤]到個(gè)人信息的實(shí)用性，以保障個(gè)人權(quán)利和利益為目的，日本在2015年對(duì)《個(gè)人信息保護(hù)法》進(jìn)行了大幅調(diào)整，并于2017年5月30日起實(shí)施?！秱€(gè)人信息保護(hù)法》就個(gè)人信息的正當(dāng)處理，對(duì)其基本理念、政府制定的基本方針以及其他個(gè)人信息保護(hù)措施的基本事項(xiàng)作出規(guī)定，對(duì)國家及地方公共團(tuán)體的職責(zé)等予以明確，同時(shí)對(duì)個(gè)人信息處理業(yè)者應(yīng)遵守的義務(wù)等作出規(guī)定，以達(dá)到在確保個(gè)人信息合理、有效利用的同時(shí)，對(duì)個(gè)人的權(quán)利和利益加以保護(hù)的目的。

二、個(gè)人信息保護(hù)法案的對(duì)比分析

（一）立法的基本原則

各國的數(shù)據(jù)保護(hù)法案都是為了保護(hù)個(gè)人信息的安全性，同時(shí)也都著重強(qiáng)調(diào)了個(gè)人對(duì)自己數(shù)據(jù)的控制權(quán)。這反映出保障個(gè)人對(duì)于自身相關(guān)信息和數(shù)據(jù)擁有的控制權(quán)已逐步成為全球共識(shí)，也由此豐富了個(gè)人權(quán)利的定義。但由于各國的基本國情存在差異，因而在一些基本原則上也存在一些差異。

歐盟的GDPR重視的是對(duì)自然人的個(gè)人信息權(quán)利的保護(hù)。GDPR在第二章確立了合法、合理、正當(dāng)、透明原則，獲得同意原則，必要、有限原則，準(zhǔn)確原則，安全原則；同時(shí)它也規(guī)定個(gè)人數(shù)據(jù)的使用“原則上禁止，有合法授權(quán)時(shí)允許”。

和GDPR不同的是，美國CCPA、新加坡《個(gè)人數(shù)據(jù)保護(hù)法案》和日本《個(gè)人信息保護(hù)法》原則上是鼓勵(lì)個(gè)人數(shù)據(jù)流通和合理使用的，即“原則上允許，有條件禁止”，通過法條的具體規(guī)定約束組織對(duì)個(gè)人數(shù)據(jù)的處理行為，并保障個(gè)人的合法權(quán)利。

我國的《網(wǎng)絡(luò)安全法》與其他國家和地區(qū)的相關(guān)法案略有不同，它旨在保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全以及社會(huì)公共利益，個(gè)人信息保護(hù)只是其中的一部分內(nèi)容。但在基本原則，即保證個(gè)人信息的安全、確保個(gè)人擁有對(duì)其自身相關(guān)信息的控制權(quán)等方面，我國的《網(wǎng)絡(luò)安全法》與其他國家和地區(qū)的個(gè)人信息保護(hù)法案并沒有太多差異。

（二）法律保護(hù)對(duì)象

1.受保護(hù)信息或數(shù)據(jù)的定義

各國的法案對(duì)于受保護(hù)信息或數(shù)據(jù)（即敏感數(shù)據(jù)）的表述和定義存在較大差異。表1羅列了各相關(guān)法案對(duì)受保護(hù)信息或數(shù)據(jù)的定義。

GDPR、CCPA、PDPA、日本《個(gè)人信息保護(hù)法》在對(duì)受保護(hù)的數(shù)據(jù)的定義上具有一定的相似性，都定義成了可以從這一段數(shù)據(jù)中直接或間接獲得個(gè)人信息的數(shù)據(jù)；在我國的《網(wǎng)絡(luò)安全法》中，則將個(gè)人信息定義成了一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。

各法案中對(duì)個(gè)人信息（或個(gè)人數(shù)據(jù)）都進(jìn)行了一定程度的概括，并且進(jìn)行了羅列。CCPA的表述最為細(xì)致、完整，不僅包括個(gè)人，還延伸到了家庭；除常規(guī)的姓名、地址、聯(lián)系方式、身份信息之外，還包括互聯(lián)網(wǎng)或其他電子網(wǎng)絡(luò)的活動(dòng)信息、商業(yè)信息（包括個(gè)人相關(guān)的財(cái)產(chǎn)、產(chǎn)品、服務(wù)、消費(fèi)歷史或傾向等）、可穿戴設(shè)備信息，以及從羅列出的有關(guān)信息得出的推論。

2.法案管轄范圍

法案管轄范圍表述可以分為“屬地原則”和“屬人原則”。屬地原則是指一個(gè)國家以地域的概念作為其行使權(quán)力所遵循的原則；屬人原則是指一國政府以人的概念作為其行使權(quán)力所遵循的原則。

GDPR管轄范圍是“屬地原則”和“屬人原則”的結(jié)合；CCPA是單純的“屬人原則”；我國的《網(wǎng)絡(luò)安全法》、PDPA、日本《個(gè)人信息保護(hù)法》則是單純的“屬地原則”。

需要說明的是，GDPR的“屬地原則”不僅僅是歐盟成員國的范圍，還包括適用歐盟法律的地區(qū)。此外，在“屬人原則”方面，GDPR的保護(hù)對(duì)象并不僅限于歐盟居民，而是包括身處歐盟法律適用范圍內(nèi)的所有自然人。這與其他法案有較為明顯的差異。

此外，雖然CCPA采用“屬人原則”，但也對(duì)規(guī)制對(duì)象進(jìn)行了說明：“年度總收入超過2500萬美元，或?yàn)樯虡I(yè)目的購買、出售、分享超過50000個(gè)消費(fèi)者、家庭或設(shè)備的個(gè)人信息，或通過銷售消費(fèi)者個(gè)人數(shù)據(jù)取得的年收入超過總收入50%”，且在加州開展業(yè)務(wù)收集消費(fèi)者個(gè)人信息的主體。這與其他法案有所不同。

（三）法律保護(hù)措施

關(guān)于如何保護(hù)用戶數(shù)據(jù)，各個(gè)國家的數(shù)據(jù)保護(hù)法案在普遍的保護(hù)策略上是保持一致的，法案都注重保護(hù)數(shù)據(jù)的訪問權(quán)，都關(guān)注了數(shù)據(jù)傳輸和處理的方式，但在具體如何實(shí)現(xiàn)以及一些關(guān)鍵問題的表述上還是有一定的區(qū)別。同時(shí)，針對(duì)一些具體問題，如數(shù)據(jù)跨境的限制等，各法案的規(guī)定也有明顯的區(qū)別。下文將對(duì)這些區(qū)別進(jìn)行詳細(xì)的闡述。

?表1 各國或地區(qū)的個(gè)人數(shù)據(jù)保護(hù)法案對(duì)“敏感信息”的定義

1.用戶對(duì)數(shù)據(jù)的訪問權(quán)

訪問權(quán)是指企業(yè)需要提供足夠的便利和權(quán)限，讓用戶能夠訪問自己的全部數(shù)據(jù)、知曉企業(yè)處理或?qū)⑻幚碓摰葌€(gè)人數(shù)據(jù)的程度，使用戶對(duì)自己的數(shù)據(jù)具有一定程度的掌控權(quán)，保證數(shù)據(jù)主體的權(quán)利。

各個(gè)國家的法案都保護(hù)了用戶對(duì)數(shù)據(jù)的訪問權(quán)，也都要求企業(yè)在一定條件下給用戶獲取、修正、撤銷的權(quán)利，但各國法案對(duì)用戶訪問權(quán)的保護(hù)程度卻有所不同。除CCPA外，各國法案都沒有要求數(shù)據(jù)來源和數(shù)據(jù)處理方式，而對(duì)于公開數(shù)據(jù)的方式，GDPR要求企業(yè)無條件地滿足用戶獲取個(gè)人數(shù)據(jù)的請(qǐng)求，CCPA則規(guī)定了用戶免費(fèi)獲取數(shù)據(jù)的時(shí)間期限，日本《個(gè)人信息保護(hù)法》對(duì)于用戶訪問權(quán)的規(guī)定并不明確，但也保證了個(gè)人可以獲得自己的數(shù)據(jù)，新加坡的PDPA則沒有對(duì)企業(yè)做出嚴(yán)格規(guī)定，認(rèn)為在特定條件下處理可以不向用戶披露個(gè)人數(shù)據(jù)。

2.關(guān)于獲得用戶同意的表述

企業(yè)合法的處理用戶數(shù)據(jù)的主要方法是獲得用戶同意，各大法案也對(duì)企業(yè)等如何獲得用戶同意做出了明確的規(guī)定。

GDPR、《網(wǎng)絡(luò)安全法》和PDPA采取選擇加入的方式，個(gè)人同意是企業(yè)處理數(shù)據(jù)的重要依據(jù)，因此企業(yè)需主動(dòng)獲取。在GDPR和PDPA中，企業(yè)有義務(wù)告知用戶數(shù)據(jù)的用途，以及用戶有攜帶和銷毀數(shù)據(jù)的權(quán)利。

CCPA采取選擇退出的方式，消費(fèi)者有權(quán)指示企業(yè)停止向第三方出售其個(gè)人信息。對(duì)此，企業(yè)須明確發(fā)布其隱私政策和標(biāo)題為“不要出售我的個(gè)人信息”的鏈接，并指導(dǎo)消費(fèi)者行使該權(quán)利。雖然與GDPR相比，CCPA對(duì)同意要求的適用范圍較窄，對(duì)于商業(yè)用途的個(gè)人信息共享有著更嚴(yán)格的限制，但各種選擇退出數(shù)據(jù)共享的權(quán)利設(shè)定，使得同意規(guī)定更為清晰和明確，有利于推進(jìn)問責(zé)制，也在一定程度上賦予了消費(fèi)者更廣泛的知情權(quán)。

日本《個(gè)人信息保護(hù)法》沒有強(qiáng)化事前的“知情同意”規(guī)則，只有對(duì)“需注意的個(gè)人信息”（指含有政令規(guī)定的、為避免發(fā)生針對(duì)本人的人種、信條、社會(huì)身份、病歷、犯罪經(jīng)歷、因犯罪而被害的事實(shí)及其他方面的不當(dāng)歧視、偏見及其他不利益而需要在處理上予以特別注意的記述等個(gè)人信息），規(guī)定了必須事先取得用戶同意。而對(duì)于一般個(gè)人信息，則以限制濫用為原則。《個(gè)人信息保護(hù)法》默認(rèn)用戶同意數(shù)據(jù)控制者收集、處理個(gè)人數(shù)據(jù)，但數(shù)據(jù)控制者需要及時(shí)告知本人或公布對(duì)數(shù)據(jù)的處理使用情況。

3.關(guān)于個(gè)人數(shù)據(jù)跨境的限制

數(shù)據(jù)跨境是指數(shù)據(jù)通過信息網(wǎng)絡(luò)進(jìn)行跨越邊境的傳輸、處理活動(dòng)。伴隨著數(shù)字經(jīng)濟(jì)全球化的快速發(fā)展，網(wǎng)絡(luò)對(duì)數(shù)據(jù)的傳輸成本極低，也并不以地理邊境為界，數(shù)據(jù)跨境流動(dòng)成為普遍現(xiàn)象。然而，它產(chǎn)生的效應(yīng)并不局限于正面，出于隱私、安全等各方面考慮，各地區(qū)政府或機(jī)構(gòu)針對(duì)數(shù)據(jù)采取了不同的基本立場(chǎng)以及立法或配套管理措施。

?表2 各國或地區(qū)的法案中用戶的數(shù)據(jù)訪問權(quán)比較

?表3 各國或地區(qū)的法案中對(duì)處理用戶數(shù)據(jù)獲得用戶同意的表述

?表4 各國或地區(qū)法案對(duì)個(gè)人數(shù)據(jù)跨境的限制

在歐盟GDPR的規(guī)定中，數(shù)據(jù)控制者和處理者須是歐盟認(rèn)定相關(guān)的第三國、國際組織，且具有足夠級(jí)別的保護(hù)，才可進(jìn)行數(shù)據(jù)轉(zhuǎn)移，否則僅當(dāng)具有適當(dāng)安全保障措施（且為數(shù)據(jù)主體提供可執(zhí)行權(quán)利與有效法律保護(hù)措施）時(shí)才能進(jìn)行轉(zhuǎn)移。而美國加州的《消費(fèi)者隱私保護(hù)法案》中，則未有數(shù)據(jù)跨境方面的限制。我國《網(wǎng)絡(luò)安全法》則規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法（《出境評(píng)估辦法》）進(jìn)行安全評(píng)估。而PDPA對(duì)于數(shù)據(jù)跨境的表述就較為模糊，該法案認(rèn)為個(gè)人數(shù)據(jù)不可轉(zhuǎn)至國外，除非該國擁有與新加坡可比的《個(gè)人資料保護(hù)條例》。相比較而言，日本的《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)跨境傳輸?shù)南拗戚^為寬松，對(duì)于數(shù)據(jù)的傳輸并沒有正面規(guī)定，但限制向第三國提供數(shù)據(jù)。

4.處罰機(jī)制

各法案中，設(shè)置了一定的處罰機(jī)制。GDPR中，對(duì)于違規(guī)行為設(shè)定了較重的處罰，規(guī)定違規(guī)企業(yè)會(huì)面臨最高處以2000萬歐元或上一財(cái)年全球營業(yè)額4%的行政處罰（以較高者為準(zhǔn)）。CCPA重點(diǎn)強(qiáng)調(diào)了民事賠償責(zé)任，只有在企業(yè)限期未整改時(shí)才承擔(dān)行政處罰責(zé)任，罰金最高為7500美元。我國的《網(wǎng)絡(luò)安全法》的罰金最高是100萬元人民幣。PDPA要求支付不超過100萬美元的罰金。日本的《個(gè)人信息保護(hù)法》中則規(guī)定，違反法規(guī)或提供虛假報(bào)告時(shí)，個(gè)人信息保護(hù)委員會(huì)可以處以30萬日元以下的罰款；員工以非法獲利為目的提供竊取個(gè)人信息數(shù)據(jù)庫時(shí)，處以1年以下有期徒刑或50萬日元以下的罰款，同時(shí)對(duì)公司進(jìn)行罰款。

相比之下，可以明顯看出GDPR法律懲罰的嚴(yán)厲性。在GDPR的規(guī)制下，大企業(yè)如果被歐盟監(jiān)管當(dāng)局重罰后，可能就沒有足夠的資金投入新技術(shù)研發(fā)，無法及時(shí)提升產(chǎn)品性能，無法有效改善服務(wù)質(zhì)量，從而可能最終在競(jìng)爭(zhēng)激烈的全球市場(chǎng)中被淘汰。對(duì)于一些中小企業(yè)來說，歐盟的一次罰款，可能馬上就會(huì)使其瀕臨破產(chǎn)。

三、啟示與建議

整體而言，上述各國和地區(qū)的數(shù)據(jù)保護(hù)法案在立法初衷上有很大的共同點(diǎn)，即保護(hù)個(gè)人數(shù)據(jù)安全，并且都承認(rèn)個(gè)人對(duì)自己的數(shù)據(jù)享有權(quán)利。歐盟、日本、新加坡的法案更多偏向于保護(hù)個(gè)人用戶數(shù)據(jù)安全，而美國加州的法案則側(cè)重于規(guī)范個(gè)人數(shù)據(jù)的使用，中國的《網(wǎng)絡(luò)安全法》則致力于維護(hù)整個(gè)網(wǎng)絡(luò)的安全。

從局部而言，不同法案的實(shí)現(xiàn)細(xì)節(jié)又有所不同。具體來說，歐盟的GDPR中法律保護(hù)的對(duì)象和范圍最為龐大，而美國加州的CCPA對(duì)于用戶對(duì)數(shù)據(jù)的訪問權(quán)的保護(hù)最為完善。關(guān)于獲得用戶同意的表述，總體分為加入和退出兩種模式，對(duì)于數(shù)據(jù)跨境的限制，歐盟GDPR要求最為嚴(yán)格。

（一）構(gòu)建中國個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律制度的啟示

1.針對(duì)個(gè)人數(shù)據(jù)保護(hù)過程中的關(guān)鍵問題要有明確的法律定義和闡述

通過前述數(shù)據(jù)保護(hù)法的對(duì)比研究可以發(fā)現(xiàn)，各國的數(shù)據(jù)保護(hù)法案都對(duì)在法案執(zhí)行過程中可能出現(xiàn)的關(guān)鍵問題進(jìn)行了明確的定義和闡述，比如，個(gè)人信息和個(gè)人隱私的定義、數(shù)據(jù)跨境的具體實(shí)現(xiàn)和保護(hù)范圍等。我國在制定個(gè)人信息安全相關(guān)法律的過程中，要充分考慮各種可能出現(xiàn)的情況，根據(jù)我國的憲法精神對(duì)各種特例進(jìn)行詳細(xì)規(guī)定，這樣才能真正做到在面對(duì)個(gè)人數(shù)據(jù)保護(hù)問題時(shí)有法可依。

目前，《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2017）和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020）已經(jīng)頒布實(shí)施，建議包括保密企業(yè)在內(nèi)的保險(xiǎn)企業(yè)能夠參照有關(guān)標(biāo)準(zhǔn)，擬定適合企業(yè)業(yè)務(wù)需求的個(gè)人信息范圍和跨境數(shù)據(jù)保護(hù)要求等。

2.防止法律實(shí)施過程中可能會(huì)產(chǎn)生的過度保護(hù)

不能過度保護(hù)個(gè)人信息以至于阻礙到現(xiàn)代社會(huì)中的信息流通。對(duì)中國來說，個(gè)人信息既是個(gè)人隱私的一部分，也是非常重要的戰(zhàn)略資源。為此，中國的數(shù)據(jù)保護(hù)法案，既要能夠完善個(gè)人信息保護(hù)制度，還要促進(jìn)信息流動(dòng)和共享。建議我國效仿日本和新加坡立法過程中的個(gè)人信息適量原則，以用戶的極其重要個(gè)人信息的不泄露為底線、以信息流動(dòng)為目的的數(shù)據(jù)保護(hù)法案是較適合中國國情的。

建議在國家沒有頒布具體的個(gè)人金融數(shù)據(jù)管理規(guī)范之前，金融機(jī)構(gòu)能夠根據(jù)自身業(yè)務(wù)需要，結(jié)合我國和海外業(yè)務(wù)所在國的有關(guān)法律要求，以“在確保個(gè)人數(shù)據(jù)安全的同時(shí)，促進(jìn)數(shù)據(jù)資源的合理使用”為基本原則，擬定個(gè)人數(shù)據(jù)收集、使用、存儲(chǔ)、傳輸規(guī)范。

3.注重跨境數(shù)據(jù)流動(dòng)的國際交流和合作

在各國數(shù)據(jù)保護(hù)的規(guī)定中，對(duì)于跨境數(shù)據(jù)的保護(hù)都極其明確和嚴(yán)格。其中，新加坡等國的法律明確規(guī)定，與新加坡有數(shù)據(jù)流動(dòng)的國家應(yīng)當(dāng)擁有與新加坡數(shù)據(jù)保護(hù)法案相對(duì)應(yīng)的法案。為此，我國在制定個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律時(shí)，一方面要嚴(yán)格制定與數(shù)據(jù)跨境有關(guān)的數(shù)據(jù)保護(hù)法案；另一方面，要主動(dòng)開放，謀求世界各國對(duì)中國個(gè)人數(shù)據(jù)保護(hù)規(guī)范的認(rèn)同，從而促進(jìn)國際間的數(shù)據(jù)流動(dòng)。

建議保險(xiǎn)企業(yè)積極參與制訂行業(yè)規(guī)范和國家標(biāo)準(zhǔn)，以切實(shí)行動(dòng)推動(dòng)我國金融行業(yè)個(gè)人數(shù)據(jù)保護(hù)規(guī)范體系的發(fā)展，進(jìn)而促進(jìn)世界各國對(duì)我國保險(xiǎn)企業(yè)個(gè)人數(shù)據(jù)保護(hù)能力的認(rèn)同。

（二）針對(duì)保險(xiǎn)企業(yè)個(gè)人數(shù)據(jù)保護(hù)合規(guī)工作的幾點(diǎn)建議

1.建立以DPO為核心的企業(yè)個(gè)人數(shù)據(jù)保護(hù)監(jiān)督審查指導(dǎo)體系

GDPR創(chuàng)造性地提出了DPO（Data Protection Officer，數(shù)據(jù)保護(hù)官）制度，建議組織（不僅限于企業(yè)）指派DPO，并明確提出了DPO應(yīng)當(dāng)具備關(guān)于數(shù)據(jù)保護(hù)法律的專業(yè)知識(shí)，要求數(shù)據(jù)控制者或處理者為DPO執(zhí)行任務(wù)提供必要的信息和資源，規(guī)定了DPO的任務(wù)，包括與監(jiān)管機(jī)構(gòu)合作，向數(shù)據(jù)控制者和處理者發(fā)出通知和提出建議，監(jiān)測(cè)關(guān)于個(gè)人數(shù)據(jù)相關(guān)政策和審計(jì)活動(dòng)的合規(guī)性等。其他各國個(gè)人數(shù)據(jù)保護(hù)法律中雖然沒有對(duì)設(shè)立DPO進(jìn)行重點(diǎn)描述，但在具體實(shí)踐中普遍接受DPO理念，要求組織采取類似機(jī)制落實(shí)各項(xiàng)個(gè)人數(shù)據(jù)保護(hù)責(zé)任，并與監(jiān)管機(jī)構(gòu)之間充分配合。

建議在保險(xiǎn)企業(yè)內(nèi)部設(shè)立DPO崗位（或角色），在承擔(dān)監(jiān)管機(jī)構(gòu)聯(lián)絡(luò)人職責(zé)的同時(shí)，代表企業(yè)最高管理層，全權(quán)負(fù)責(zé)企業(yè)內(nèi)部的個(gè)人數(shù)據(jù)治理工作。在組織形式上采用“以DPO為核心組建個(gè)人數(shù)據(jù)治理工作組”的方式較為合適，即由一個(gè)人擔(dān)任個(gè)人數(shù)據(jù)保護(hù)工作的領(lǐng)導(dǎo)者（即DPO），由其管理的專職團(tuán)隊(duì)共同完成相關(guān)工作。為了配合DPO及個(gè)人數(shù)據(jù)治理工作組的工作，還應(yīng)當(dāng)在企業(yè)的其他涉及個(gè)人數(shù)據(jù)治理的部門設(shè)立專職或兼職的工作崗位，負(fù)責(zé)本部門的相關(guān)工作。

2.從法條合規(guī)的角度審視企業(yè)的個(gè)人數(shù)據(jù)保護(hù)合規(guī)性

對(duì)于保險(xiǎn)企業(yè)而言，短期內(nèi)全面實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)合規(guī)是非常困難的。但從法條合規(guī)的角度，審視企業(yè)的個(gè)人數(shù)據(jù)保護(hù)合規(guī)問題是能夠最大程度降低違規(guī)風(fēng)險(xiǎn)的快捷途徑。對(duì)照GDPR的有關(guān)要求，企業(yè)在個(gè)人數(shù)據(jù)保護(hù)工作中需要梳理的法律事務(wù)至少應(yīng)當(dāng)包含以下幾個(gè)方面：

（1）個(gè)人數(shù)據(jù)獲取

需要由法律事務(wù)部門會(huì)同業(yè)務(wù)部門，共同分析獲取個(gè)人數(shù)據(jù)的必要性，確保所獲取的是最小化的個(gè)人數(shù)據(jù)。同時(shí)，法律事務(wù)部門還需要審核確定獲取個(gè)人數(shù)據(jù)方式方法、個(gè)人數(shù)據(jù)獲取渠道、所采取的技術(shù)措施是否符合有關(guān)法律條款的規(guī)定。

（2）個(gè)人數(shù)據(jù)處理

需要詳細(xì)分析企業(yè)每一項(xiàng)涉及個(gè)人數(shù)據(jù)的業(yè)務(wù)中，個(gè)人數(shù)據(jù)存儲(chǔ)、傳輸、處理等過程，確保各個(gè)環(huán)節(jié)所使用的方法符合必要性原則和最小化原則。同時(shí)，詳細(xì)分析是否在業(yè)務(wù)系統(tǒng)中存在個(gè)人數(shù)據(jù)違規(guī)處理的情況，例如，在未告知用戶或未經(jīng)用戶授權(quán)的情況下，使用個(gè)人數(shù)據(jù)對(duì)用戶進(jìn)行畫像；系統(tǒng)中存在個(gè)人數(shù)據(jù)交叉混用的情況；未經(jīng)審核產(chǎn)生個(gè)人數(shù)據(jù)副本等。

（3）數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)處理的知情與明示同意

在詳細(xì)分析金融業(yè)務(wù)對(duì)個(gè)人數(shù)據(jù)處理需求的基礎(chǔ)上，以恰當(dāng)?shù)姆绞礁嬷脩粲嘘P(guān)個(gè)人數(shù)據(jù)處理的必要性，以及處理的主要過程、方法等，需要獲得用戶的明示同意。法律事務(wù)部分需要詳細(xì)審核所有與個(gè)人用戶相關(guān)的隱私保護(hù)條款、個(gè)人數(shù)據(jù)使用及處理同意書等文本內(nèi)容，確保有關(guān)處理過程符合法律規(guī)定。

（4）數(shù)據(jù)交由第三方處理

當(dāng)個(gè)人數(shù)據(jù)將交由第三方進(jìn)行處理時(shí)，業(yè)務(wù)部門應(yīng)當(dāng)首先審核交由第三方處理的必要性，并審核確定交由第三方處理的個(gè)人數(shù)據(jù)符合最小化原則。法律事務(wù)部門基于有關(guān)法律法規(guī)的規(guī)定，擬定、審核企業(yè)與第三方數(shù)據(jù)處理機(jī)構(gòu)簽訂的協(xié)議文本，確保有關(guān)個(gè)人數(shù)據(jù)處理的范圍、處理方法、個(gè)人數(shù)據(jù)保護(hù)措施、數(shù)據(jù)泄露或失控的應(yīng)急響應(yīng)措施符合規(guī)范。同時(shí)，法律事務(wù)部門應(yīng)當(dāng)督促業(yè)務(wù)部門明確告知個(gè)人用戶其個(gè)人數(shù)據(jù)將由第三方進(jìn)行處理，并獲得用戶的明示同意。

（5）數(shù)據(jù)需要跨境傳輸與處理

當(dāng)個(gè)人數(shù)據(jù)進(jìn)行跨境傳輸與處理前，嚴(yán)格審核個(gè)人數(shù)據(jù)跨境傳輸與處理的必要性，并審核確定跨境傳輸?shù)膫€(gè)人數(shù)據(jù)符合最小化原則，且在傳輸和處理過程中會(huì)受到恰當(dāng)?shù)谋Ｗo(hù)。法律事務(wù)部門基于有關(guān)法律法規(guī)的規(guī)定，擬定、審核企業(yè)與境外處理機(jī)構(gòu)簽訂的協(xié)議文本，確保有關(guān)個(gè)人數(shù)據(jù)的范圍、跨境傳輸?shù)姆椒?、境外機(jī)構(gòu)的數(shù)據(jù)處理方法、個(gè)人數(shù)據(jù)保護(hù)措施、數(shù)據(jù)泄露或失控的應(yīng)急響應(yīng)措施符合規(guī)范。同時(shí)，法律事務(wù)部門應(yīng)當(dāng)督促業(yè)務(wù)部門明確告知個(gè)人用戶其個(gè)人數(shù)據(jù)將進(jìn)行跨境傳輸和境外處理，并獲得用戶的明示同意。

（6）對(duì)數(shù)據(jù)主體各項(xiàng)權(quán)利的保障

《網(wǎng)絡(luò)安全法》、GDPR、CCPA等各主流個(gè)人數(shù)據(jù)保護(hù)法律法規(guī)都賦予了數(shù)據(jù)主體各項(xiàng)基本權(quán)利。保險(xiǎn)企業(yè)在開展涉及個(gè)人數(shù)據(jù)的業(yè)務(wù)時(shí)，需要充分考慮如何保障用戶的正當(dāng)權(quán)益。首先，保險(xiǎn)企業(yè)應(yīng)當(dāng)認(rèn)真分析當(dāng)前業(yè)務(wù)涉及到哪些類別的用戶數(shù)據(jù)；其次，企業(yè)需要逐一分析當(dāng)用戶行使其權(quán)利時(shí)，企業(yè)當(dāng)前的業(yè)務(wù)模式和數(shù)據(jù)處理方式，是否能夠保證用戶可以完整行使其權(quán)利；接著，企業(yè)需要充分考慮當(dāng)用戶的權(quán)利無法得到保障時(shí)，該如何對(duì)用戶給予一定的補(bǔ)償；最后，企業(yè)應(yīng)當(dāng)在獲取用戶個(gè)人數(shù)據(jù)時(shí)，明確告知個(gè)人用戶擁有哪些權(quán)利，企業(yè)如何保障用戶能夠行使自己的權(quán)利，以及當(dāng)用戶無法行使某項(xiàng)權(quán)利時(shí)將會(huì)得到哪些補(bǔ)充等信息，并獲得用戶的明示同意。

（7）境外法律規(guī)范的部分條款與中國法律、金融監(jiān)管規(guī)定之間是否存在沖突

由于GDPR、CCPA等法律法規(guī)具有一定的長臂管轄特征，其部分條款可能會(huì)存在與我國的相關(guān)法律規(guī)定相矛盾、或不適合中國國情的情況。保險(xiǎn)企業(yè)需要從中國的金融監(jiān)管規(guī)范出發(fā)，認(rèn)真分析GDPR、CCPA等法律條款在國內(nèi)的適用性問題，并給出相應(yīng)的解決方案。

3.面向個(gè)人數(shù)據(jù)保護(hù)進(jìn)行業(yè)務(wù)設(shè)計(jì)與優(yōu)化

對(duì)于保險(xiǎn)企業(yè)而言，保障業(yè)務(wù)的順利開展是企業(yè)的核心工作。企業(yè)合規(guī)的根本任務(wù)是保障業(yè)務(wù)的安全性。因而，保險(xiǎn)企業(yè)需要針對(duì)自身的每一項(xiàng)業(yè)務(wù)，結(jié)合主流個(gè)人數(shù)據(jù)保護(hù)法案的有關(guān)要求，進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估，內(nèi)容包括：

（1）基于業(yè)務(wù)需求，對(duì)相關(guān)個(gè)人數(shù)據(jù)處理機(jī)制以及處理目的（包括數(shù)據(jù)應(yīng)用、控制者所追求的合法利益）進(jìn)行系統(tǒng)性描述；

（2）對(duì)與處理目的相關(guān)的數(shù)據(jù)處理機(jī)制進(jìn)行必要性評(píng)估；

（3）對(duì)數(shù)據(jù)處理活動(dòng)所涉及數(shù)據(jù)主體的權(quán)利和自由開展風(fēng)險(xiǎn)評(píng)估；

（4）基于風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)計(jì)處理風(fēng)險(xiǎn)的舉措，包括保障措施、安全措施、確保個(gè)人數(shù)據(jù)保護(hù)的機(jī)制，以及考慮到數(shù)據(jù)主體權(quán)利和合法利益的，用于證明對(duì)于個(gè)人數(shù)據(jù)保護(hù)法案合規(guī)性的舉措。

對(duì)于當(dāng)前已經(jīng)開展的各項(xiàng)業(yè)務(wù)，企業(yè)需要在數(shù)據(jù)保護(hù)影響評(píng)估的基礎(chǔ)上，審視當(dāng)前業(yè)務(wù)活動(dòng)中個(gè)人數(shù)據(jù)處理的必要性和合規(guī)性狀況，結(jié)合DPO（個(gè)人數(shù)據(jù)保護(hù)官）的監(jiān)督意見和建議，以及來自于咨詢機(jī)構(gòu)或法務(wù)部門的法條合規(guī)建議，從業(yè)務(wù)模式、業(yè)務(wù)流程、數(shù)據(jù)處理方式等各個(gè)方面提出改進(jìn)和優(yōu)化方案，盡最大努力保證在業(yè)務(wù)層面基本符合個(gè)人數(shù)據(jù)保護(hù)法案的有關(guān)要求。

對(duì)于即將開展的新業(yè)務(wù)，企業(yè)應(yīng)當(dāng)充分發(fā)揮數(shù)據(jù)保護(hù)影響評(píng)估的作用，認(rèn)真分析數(shù)據(jù)處理的必要性和各項(xiàng)風(fēng)險(xiǎn)應(yīng)對(duì)舉措的有效性，充分征求監(jiān)管機(jī)構(gòu)、DPO、咨詢機(jī)構(gòu)、法務(wù)部門的意見和建議，完善業(yè)務(wù)方案，確保業(yè)務(wù)活動(dòng)中的個(gè)人數(shù)據(jù)處理活動(dòng)都將能夠符合有關(guān)法律的要求。

4.建立個(gè)人數(shù)據(jù)跟蹤機(jī)制與處理活動(dòng)證據(jù)鏈

保險(xiǎn)企業(yè)由于業(yè)務(wù)需要，存在大量的業(yè)務(wù)信息系統(tǒng)，彼此相互獨(dú)立但又聯(lián)系密切。在GDPR及各國當(dāng)前主要個(gè)人數(shù)據(jù)保護(hù)相關(guān)法律規(guī)范出臺(tái)之前，幾乎所有的信息系統(tǒng)都不具備跟蹤和監(jiān)視數(shù)據(jù)流通過程的功能。企業(yè)需要通過技術(shù)改進(jìn)，在實(shí)現(xiàn)數(shù)據(jù)全程可控和數(shù)據(jù)處理活動(dòng)可追溯的基礎(chǔ)上，建立個(gè)人數(shù)據(jù)跟蹤機(jī)制，實(shí)現(xiàn)對(duì)個(gè)人數(shù)據(jù)流通過程的追蹤溯源，為數(shù)據(jù)抽取、數(shù)據(jù)銷毀等工作提供支撐。

通過追蹤數(shù)據(jù)在企業(yè)各個(gè)業(yè)務(wù)系統(tǒng)和管理系統(tǒng)中的流動(dòng)軌跡，刻畫企業(yè)在獲取、訪問、使用、傳輸、處理、銷毀個(gè)人數(shù)據(jù)等過程中的行為痕跡特征，結(jié)合個(gè)人數(shù)據(jù)處理活動(dòng)記錄，形成處理活動(dòng)證據(jù)鏈，為企業(yè)自證合規(guī)提供有力證據(jù)，也為數(shù)據(jù)主體、第三方評(píng)估機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)等提供快速查找和定位有關(guān)證據(jù)的方法和工具。