國(guó)際數(shù)據(jù)保護(hù)及其對(duì)我國(guó)的啟示
——以歐美數(shù)據(jù)保護(hù)立法為例

文/揚(yáng)州大學(xué)社會(huì)發(fā)展學(xué)院 郝義飛

目前，信息技術(shù)已經(jīng)成為推動(dòng)社會(huì)發(fā)展的主要支柱之一。隨著信息技術(shù)的發(fā)展所產(chǎn)生的大量數(shù)據(jù)也成為推動(dòng)社會(huì)活動(dòng)的原動(dòng)力，對(duì)數(shù)據(jù)的收集、存儲(chǔ)、加工、分析與處理也已經(jīng)產(chǎn)業(yè)化。2021年6月通過(guò)的《中華人民共和國(guó)數(shù)據(jù)安全法》明確了數(shù)據(jù)安全制度與數(shù)據(jù)安全保護(hù)義務(wù)。當(dāng)前，許多國(guó)家或機(jī)構(gòu)也認(rèn)識(shí)到數(shù)據(jù)競(jìng)爭(zhēng)所帶來(lái)的數(shù)據(jù)安全問(wèn)題，出臺(tái)了一系列法規(guī)和措施來(lái)保障數(shù)據(jù)安全。本文以具有代表性的歐盟和美國(guó)的數(shù)據(jù)保護(hù)現(xiàn)狀為例，對(duì)其數(shù)據(jù)安全保護(hù)舉措及特點(diǎn)進(jìn)行分析，總結(jié)其發(fā)展的趨勢(shì)，為今后我國(guó)的立法和保護(hù)措施提供理論基礎(chǔ)。

一、國(guó)際數(shù)據(jù)保護(hù)現(xiàn)狀及趨勢(shì)

（一）歐盟《通用數(shù)據(jù)保護(hù)條例》。早在1995年，歐盟就頒布了針對(duì)個(gè)人數(shù)據(jù)的保護(hù)條例《個(gè)人數(shù)據(jù)保護(hù)指令》，并于2018年11月14日發(fā)布《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》（Regulation on the Free Flow of Non-personal Data），要求確保非個(gè)人數(shù)據(jù)在歐盟內(nèi)部的自由流動(dòng)；同時(shí)，圍繞數(shù)據(jù)開(kāi)放和流通發(fā)布了一系列數(shù)據(jù)經(jīng)濟(jì)戰(zhàn)略，并于2020年2月發(fā)布《歐洲數(shù)據(jù)戰(zhàn)略》，強(qiáng)調(diào)要提升對(duì)非個(gè)人數(shù)據(jù)的利用能力。GDPR（歐盟《通用數(shù)據(jù)保護(hù)條例》）在延續(xù)了歐盟加強(qiáng)保護(hù)個(gè)人數(shù)據(jù)與個(gè)人隱私的思路基礎(chǔ)上，將條例從34條擴(kuò)充至99條，增加了許多新概念、新原則與新權(quán)力，主要特點(diǎn)和具體改進(jìn)如下：

1.適用范圍擴(kuò)大。在GDPR的應(yīng)用中，除去本應(yīng)適用的地理位置的歐洲范圍之外，只要是在提供服務(wù)或商品的過(guò)程中處理或是應(yīng)用了歐盟境內(nèi)個(gè)人的數(shù)據(jù)或是向歐盟境內(nèi)的個(gè)體提供服務(wù)或商品，GPPR都是適用的。換言之，數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟境內(nèi)的分支機(jī)構(gòu)所進(jìn)行的一切個(gè)人信息處理均應(yīng)受GDPR約束，無(wú)論其處理行為本身是否發(fā)生于地理位置上的歐盟境內(nèi)。

2.數(shù)據(jù)主體權(quán)力強(qiáng)化。在GDPR的框架之下，數(shù)據(jù)主體擁有知情權(quán)、訪問(wèn)權(quán)、反對(duì)權(quán)、限制處理權(quán)、反自動(dòng)化決策（包括畫(huà)像）權(quán)，數(shù)據(jù)被遺忘以及數(shù)據(jù)可攜帶權(quán)。數(shù)據(jù)被遺忘權(quán)賦予了個(gè)人數(shù)據(jù)主體在數(shù)據(jù)不再必要、撤回主體同意、非法處理個(gè)人信息、個(gè)人數(shù)據(jù)需要被擦除等情形下要求數(shù)據(jù)控制者刪除個(gè)人數(shù)據(jù)的權(quán)力。數(shù)據(jù)可攜帶權(quán)賦予了個(gè)人數(shù)據(jù)主體從數(shù)據(jù)控制者處轉(zhuǎn)移或獲取其個(gè)人數(shù)據(jù)信息的權(quán)力，數(shù)據(jù)主體有權(quán)將其個(gè)人數(shù)據(jù)從一數(shù)據(jù)控制者處轉(zhuǎn)移至另一數(shù)據(jù)控制者處，后兩者無(wú)權(quán)干涉轉(zhuǎn)移行為，并應(yīng)為其提供技術(shù)支持。

3.處罰力度提高。根據(jù)GDPR規(guī)定，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)不僅可以對(duì)違反GDPR的企業(yè)或個(gè)人實(shí)行警告、責(zé)令整改和中止數(shù)據(jù)處理行為等措施，還可以對(duì)違規(guī)行為處以極高額的罰款。GDPR對(duì)集團(tuán)設(shè)置了兩種罰款方式：（1）罰款1000萬(wàn)歐元或前一年全球營(yíng)業(yè)額的2%，以較高者為準(zhǔn)。（2）罰款2000萬(wàn)歐元或該公司前一年全球營(yíng)業(yè)額的4%，以較高者為準(zhǔn)?？梢灶A(yù)見(jiàn)的是，在立法模式上，歐盟以及其他國(guó)家共同趨勢(shì)是將嚴(yán)格政府執(zhí)法、壓力之下的行業(yè)自律。

4.監(jiān)管機(jī)制完善。GDPR針對(duì)了對(duì)商品和服務(wù)提供商的問(wèn)責(zé)與監(jiān)管機(jī)制，如數(shù)據(jù)保護(hù)官與文檔管理。GDPR設(shè)立數(shù)據(jù)保護(hù)官職位，其聯(lián)系方式必須公布并向監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)備。并非所有的服務(wù)及商品供應(yīng)者都設(shè)立數(shù)據(jù)保護(hù)官。數(shù)據(jù)保護(hù)官的職責(zé)主要為：（1）對(duì)企業(yè)進(jìn)行GDPR相關(guān)法規(guī)的監(jiān)管；（2）向企業(yè)及員工提供關(guān)于GDPR實(shí)施以及數(shù)據(jù)保護(hù)方面的建議；（3）與歐盟GDPR監(jiān)管部門(mén)保持聯(lián)系，作為雙方的溝通渠道；（4）負(fù)責(zé)與數(shù)據(jù)主體進(jìn)行溝通，以確保數(shù)據(jù)主體的權(quán)力能夠客觀利用?？梢?jiàn)，在立法特點(diǎn)上，歐盟試圖通過(guò)使用將規(guī)范對(duì)象細(xì)化到具體場(chǎng)景的立法方式來(lái)提升立法的正確性，通過(guò)明確各方的責(zé)任義務(wù)及管理措施來(lái)提升治理效果。

（二）美國(guó)“將數(shù)據(jù)作為戰(zhàn)略資產(chǎn)加以利用”。美國(guó)自1974年《隱私法案》（Privacy Act）出臺(tái)以來(lái)，圍繞隱私保護(hù)、數(shù)據(jù)開(kāi)放開(kāi)展前瞻性政策和法律布局，建立起符合美國(guó)經(jīng)濟(jì)特點(diǎn)的數(shù)據(jù)治理框架，并于2019年12月發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動(dòng)計(jì)劃》，把“將數(shù)據(jù)作為戰(zhàn)略資產(chǎn)加以利用”（Leveraging Data as a Strategic Asset）作為美國(guó)數(shù)據(jù)戰(zhàn)略的核心目標(biāo)。由此可見(jiàn)，美國(guó)對(duì)于數(shù)據(jù)的應(yīng)用持更加積極的態(tài)度，美國(guó)堅(jiān)持以市場(chǎng)為主導(dǎo)，以行業(yè)自律為主要手段的數(shù)據(jù)政策，倡導(dǎo)“自由市場(chǎng)式的數(shù)據(jù)利用”。美國(guó)對(duì)于不同數(shù)據(jù)主體的立法具體情形見(jiàn)表1。

表1 美國(guó)對(duì)于不同數(shù)據(jù)主體的立法

由此可見(jiàn)，迄今為止，美國(guó)仍未有在聯(lián)邦層面全面的個(gè)人數(shù)據(jù)保護(hù)法案，美國(guó)數(shù)據(jù)保護(hù)立法的主要特色是對(duì)不同數(shù)據(jù)主體進(jìn)行針對(duì)性的數(shù)據(jù)保護(hù)。2018年6月28日，美國(guó)加利福尼亞州通過(guò)了一項(xiàng)隱私法案——《2018加利福尼亞州消費(fèi)者隱私法案》，于2020年初正式實(shí)行。該法案的實(shí)行直接影響了Facebook等社交網(wǎng)站以及其他大型企業(yè)的隱私披露政策，包括披露他們收集的消費(fèi)者個(gè)人信息的類型和具體內(nèi)容，收集信息的來(lái)源，收集或出售信息的商業(yè)目的，以及共享信息的第三方的類型。因此，《2018加利福尼亞州消費(fèi)者隱私法案》成為美國(guó)目前最全方位也最嚴(yán)格的隱私法案。美國(guó)制定了《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動(dòng)計(jì)劃》，以幫助聯(lián)邦政府加速使用數(shù)據(jù)來(lái)實(shí)現(xiàn)為公眾服務(wù)并保護(hù)數(shù)據(jù)安全和隱私的目標(biāo)；為了進(jìn)行數(shù)據(jù)方面的合作，成立了一個(gè)聯(lián)邦多元化服務(wù)機(jī)構(gòu)間工作小組。與此同時(shí)，建立了一個(gè)基于共識(shí)、由志愿者管理的聯(lián)邦組織——健康信息技術(shù)標(biāo)準(zhǔn)委員會(huì)（HITSP）。旨在確保美國(guó)電子健康記錄的互操作性。在針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅激增的情況下，美國(guó)兩黨眾議院議員提出保護(hù)網(wǎng)絡(luò)安全的立法法案，以提高網(wǎng)絡(luò)安全素養(yǎng)并提高美國(guó)公眾的意識(shí)。美國(guó)網(wǎng)絡(luò)安全素養(yǎng)法案將要求國(guó)家電信和信息管理局開(kāi)展網(wǎng)絡(luò)素養(yǎng)運(yùn)動(dòng)，以了解如何保持在線安全并防止網(wǎng)絡(luò)攻擊。美國(guó)還通過(guò)簽署《美國(guó)—墨西哥—加拿大協(xié)定》（USMCA）降低了數(shù)據(jù)本土化要求，并認(rèn)可了《亞太經(jīng)合組織跨境隱私條例》（OCED），以確保數(shù)據(jù)跨境流動(dòng)，同時(shí)提供一個(gè)可操作的機(jī)制來(lái)保護(hù)數(shù)據(jù)隱私和跨境流動(dòng)。

（三）歐美數(shù)據(jù)保護(hù)比較與趨勢(shì)。美國(guó)和歐盟都發(fā)布了自己的標(biāo)準(zhǔn)化和合作框架，用于建設(shè)數(shù)字政府的數(shù)據(jù)治理。在建設(shè)數(shù)字經(jīng)濟(jì)方面，美國(guó)之前已經(jīng)頒布了法律法規(guī)，但在州級(jí)又出臺(tái)了一系列新的數(shù)據(jù)保護(hù)法，為開(kāi)放數(shù)據(jù)及其使用創(chuàng)造了一個(gè)整體的主動(dòng)性。而歐盟的重點(diǎn)是建立單一的數(shù)字市場(chǎng)，通過(guò)數(shù)據(jù)保護(hù)立法建立一個(gè)安全有序的數(shù)字經(jīng)濟(jì)市場(chǎng)，形成一個(gè)協(xié)同和保護(hù)數(shù)據(jù)管理系統(tǒng)。同時(shí)，美國(guó)和歐盟都強(qiáng)調(diào)需要重新使用高質(zhì)量的數(shù)據(jù)，但同時(shí)又對(duì)跨境數(shù)據(jù)流動(dòng)設(shè)定了監(jiān)管要求，美國(guó)采取了更加包容的方式，歐盟則相對(duì)保守，更強(qiáng)調(diào)歐洲范圍內(nèi)數(shù)據(jù)流動(dòng)的安全性。

二、我國(guó)數(shù)據(jù)保護(hù)啟示與對(duì)策

（一）加快我國(guó)數(shù)據(jù)安全條文落地。目前，我國(guó)關(guān)于個(gè)人數(shù)據(jù)保護(hù)的條文還分散在國(guó)家通用法律中，其中有關(guān)個(gè)人的數(shù)據(jù)隱私以及商業(yè)數(shù)據(jù)隱秘的條文都相對(duì)籠統(tǒng)和抽象，不能有效保護(hù)數(shù)據(jù)主體的法律權(quán)益。相較于歐美國(guó)家的標(biāo)準(zhǔn)化與完整的合作框架有一定差距。由此可見(jiàn)，我國(guó)已經(jīng)將數(shù)據(jù)作為戰(zhàn)略對(duì)象進(jìn)行保護(hù)，但目前《中華人民共和國(guó)數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》還未經(jīng)實(shí)施，進(jìn)一步落地和應(yīng)用尚缺乏可參考的經(jīng)驗(yàn)。參考借鑒歐美國(guó)家數(shù)據(jù)治理的概念、視角及其標(biāo)準(zhǔn)化協(xié)同路徑，對(duì)于促進(jìn)我國(guó)《個(gè)人信息保護(hù)法》與《中華人民共和國(guó)數(shù)據(jù)安全法》落地應(yīng)用起著重要的推進(jìn)作用，對(duì)于加快我國(guó)數(shù)據(jù)安全治理立法體系、建設(shè)體系有重大意義。

（二）充分調(diào)動(dòng)企業(yè)及社會(huì)的數(shù)據(jù)保護(hù)責(zé)任感。早在2019年，F(xiàn)acebook就在GDPR產(chǎn)生重大影響的環(huán)境下，發(fā)布了一份旨在為數(shù)據(jù)遷移和隱私問(wèn)題提供指南的白皮書(shū)。而我國(guó)雖然有企業(yè)對(duì)于數(shù)據(jù)保護(hù)有一定的認(rèn)知，但大多數(shù)企業(yè)對(duì)于保護(hù)用戶的隱私認(rèn)識(shí)不足，甚至有企業(yè)無(wú)限制、無(wú)法紀(jì)地收集、處理、發(fā)布甚至與第三方共享用戶個(gè)人數(shù)據(jù)以達(dá)到其商業(yè)目的。我國(guó)企業(yè)需要認(rèn)識(shí)到保護(hù)用戶個(gè)人數(shù)據(jù)也是社會(huì)責(zé)任之一。從內(nèi)部管理及數(shù)據(jù)安全防范方面來(lái)說(shuō)，企業(yè)應(yīng)充分應(yīng)用先進(jìn)的數(shù)據(jù)保護(hù)技術(shù)，對(duì)機(jī)密數(shù)據(jù)則需要持續(xù)性的保護(hù)。企業(yè)必須確保其數(shù)據(jù)庫(kù)、文檔管理系統(tǒng)、文件服務(wù)器在整個(gè)生命周期內(nèi)正確分類和保護(hù)機(jī)密數(shù)據(jù)。善用數(shù)據(jù)安全產(chǎn)品和工具、強(qiáng)化安全運(yùn)營(yíng)、加強(qiáng)全流程安全保障，打造覆蓋全生命周期的預(yù)防、檢測(cè)、響應(yīng)和可視的安全運(yùn)營(yíng)體系。從歐美的數(shù)據(jù)保護(hù)法規(guī)來(lái)看，越來(lái)越高額的罰款和處罰制度警醒著我國(guó)企業(yè)，若未能意識(shí)到數(shù)據(jù)保護(hù)的社會(huì)責(zé)任的重要性，不僅將在市場(chǎng)遭受嚴(yán)重的經(jīng)濟(jì)損失，更會(huì)失去忠實(shí)用戶的信任。

（三）加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)意識(shí)。碎片化的數(shù)據(jù)匯聚到一起組成的個(gè)人拼圖將對(duì)隱私產(chǎn)生威脅，因此加強(qiáng)個(gè)人數(shù)據(jù)的保護(hù)意識(shí)變得尤為重要。從2017年開(kāi)始，支付寶與網(wǎng)易推出諸如“年度賬單”“年度歌單”等項(xiàng)目，但在參加項(xiàng)目的同時(shí)表示，自己一年消費(fèi)數(shù)據(jù)、生活數(shù)據(jù)權(quán)限也被無(wú)意識(shí)地同意提供給了企業(yè)。這一項(xiàng)目也側(cè)面反映出現(xiàn)階段我國(guó)公民的個(gè)人數(shù)據(jù)保護(hù)意識(shí)不夠強(qiáng)。因此，美國(guó)基于網(wǎng)絡(luò)安全素養(yǎng)法案開(kāi)展的網(wǎng)絡(luò)素養(yǎng)運(yùn)動(dòng)尤其值得我國(guó)借鑒，我國(guó)也應(yīng)個(gè)人數(shù)據(jù)保護(hù)意識(shí)通過(guò)多種形式、多種渠道宣傳普及個(gè)人信息保護(hù)常識(shí)，提升全民個(gè)人信息保護(hù)意識(shí)和技能。

三、結(jié)語(yǔ)

綜上所述，歐盟的GDPR與美國(guó)“自由市場(chǎng)式的數(shù)據(jù)利用”為數(shù)據(jù)的保護(hù)提供了新思路與新的探索實(shí)踐，這對(duì)于我國(guó)數(shù)據(jù)保護(hù)進(jìn)程有著重要的啟示與借鑒。我國(guó)數(shù)據(jù)保護(hù)的社會(huì)環(huán)境與歐美有所差異，如何在施行《個(gè)人信息保護(hù)法》的基礎(chǔ)上進(jìn)一步完善數(shù)據(jù)保護(hù)措施，是國(guó)家政府、企業(yè)乃至個(gè)人都需要深入思考的問(wèn)題。