桂畅旎,王雅
(中国信息安全测评中心,北京 100085)
数据保护规制国际概述及对我国网络安全治理的启示
桂畅旎,王雅
(中国信息安全测评中心,北京 100085)
在信息经济时代,个人数据成为推动网络活动的原动力,各国纷纷出台相关政策法规进行规制。本文主要通过分析联合国贸易和发展会议(UNCTAD)发布的《数据保护规制和国际数据流动:对贸易和发展的影响》报告,审视各国及多利益攸关方的数据治理经验与框架,把握数据保护与隐私立法中的关键问题,并总结未来可能采取的政策选择,以期为我国的网络安全治理提供有益参考。
个人数据;数据保护规制;数据治理;政策选择
桂畅旎 (1990-),女,重庆人,中国信息安全测评中心研究实习员,硕士,主要研究网络空间安全战略。
王雅 (1988-),女,北京人,中国信息安全测评中心。
在信息经济时代,个人数据成为推动网络活动的原动力,跨境数据流动成为国际贸易新形式,数据跨境即时且无处不在,数据信息详尽且时效持久。数据流动的重要性越来越突出,数据与隐私保护的需求越来越普遍,各国纷纷出台相关政策法规进行规制。2016年4月,联合国贸易和发展会议(UNCTAD)组织各界学者、政府官员与企业人士系统梳理了当前国际、区域、国家以及多边层面的数据保护法规与路径,集结形成了《数据保护规制和国际数据流动:对贸易和发展的影响》报告,引发多方关注。在我国日益重视跨境数据管理,并于近日出台《个人信息和重要数据出境安全评估办法》(意见征集稿)的背景下,分析该报告对于我们全面审视各国数据保护实践,系统理解数据保护规制与国际贸易的关系,提升我国网络空间治理能力将有所裨益。
报告分为四部分,第一部分即前言阐述了报告出台的背景;第二部分陈述了数据保护法规发展及应用面临的七大挑战;第三部分介绍了四类实践方式;第四部分总结了两类政策选择特点。
(一)跨境数据商业价值不断增加
报告引用麦肯锡公司数据显示,2014年,跨境传输的商品、服务以及资金达30万亿美元,约12%的国际贸易交易是通过阿里巴巴、亚马逊等电子平台完成。全球跨境商贸流动直接推动全球GDP增长约10%,相当于7.8万亿美元,其中数据流动直接贡献了2.8万亿美元。可以说,“数据驱动”已成为全球经济发展的关键因素。
(二)全球数据保护政策参差不齐
报告认为,数据保护与电子商贸直接相关,一方面,数据保护不足将削弱消费者信心,进而引发负面的市场效应;另一方面,过度的数据保护又会限制创新及商业的发展,造成经济秩序混乱。因此,建立一套具有全球禀赋且兼容的数据保护体系至关重要。但当前全球数据保护整体上不尽如意,一方面,部分国家还未制定数据保护法规;另一方面,现存的数据保护法规又呈现碎片化的特征,相互兼容性低。再加上云计算、物联网等新技术的发展,相应的数据保护法规跟不上技术的发展,跨境数据问题越来越突出。
在此背景下,报告梳理当前国际、区域、国家以及多边层面的数据保护法规与路径,致力于建立统一的具有兼容性的数据保护框架,为后发国家提供法律政策选择,促进全球贸易的发展。
数据管理涉及方方面面,利益攸关方背景多元,报告主要聚焦亟需采取行动的七大挑战。
(一)各国数据保护法规差异
虽然各国在提高数据保护机制的兼容性上达成共识,但各国在数据保护法规上的现实差距仍然是主要障碍,主要包括以下三种情形:一是部分国家尚未制定数据保护法规。目前,全球已有108个国家制定了相关的数据保护法规,但仍然有30%的国家迫于经费与技术的压力,至今还未出台相关的法律。随着国际贸易越来越与数据保护相挂钩(个别国家要求交易国满足最低的数据保护需求),导致法律后发国家面临着脱离于国际贸易的风险。二是“例外情形”广泛存在。主要的“例外情形”涉及数据的主体(如只针对儿童、雇员)、数据的敏感度(如涉及健康记录与金融数据)、数据的来源(如是否来源于网上)、数据的部门性(如公共部门或私营部门)等等。其中北美和亚太地区的“例外情形”要求较为繁复,欧盟、南美与非洲地区则较少。“例外情形”的泛滥增加了相关方辨别及分类难度,提高了充分性要求的门槛,较易出现具有争议的解释。三是企业作为数据保护实体,自主权增大。近年来企业数据保护的自主权越来越大,主要存在两种类型,一类是企业基于自愿原则自主参与数据保护机制,保护特定范围的数据并进行公示,如美欧《隐私盾协议》、亚太经合组织(APEC)的跨境隐私法规体系(CBPRs),这类多边协议的数据保护范围有限,将政府或以政府名义持有或处理的数据排除在外。另一类是企业明示部分例外情形,如将手机APP、云服务、软件等商业数据保护排除在外,且采用第三方争端解决机制处理,对消费者影响较大。
(二)新兴技术带来现实挑战
目前,新技术对数据保护的挑战主要集中在个人数据识别与跨境数据的管理上。一是云计算技术。由于云平台数据海量复杂,且跨境低廉简便,因此制定“云”服务的专门法规较难,再加上“云计算”与跨境数据传输往往又与政府监控密切相关,因此印尼和俄罗斯等国已开始出台针对“云计算”技术的数据本地化法规。二是物联网技术。物联网技术发展迅速,并与民众生活息息相关,但也带来了隐私与安全隐患,由于相关的立法滞后,使得物联网技术成为当前面临的最大技术挑战。三是大数据分析技术。基于海量数据的分析往往存在收集目的偏差、违规存储、处理分析方法不公开透明等弊端,甚至会造成严重的数据泄露,给隐私保护带来了极大的隐患。
(三)跨境数据管理方式多样
目前对跨境数据的管理方式多种多样,但缺乏一个全球性的统一的法律框架。一方面,以美国为代表的国家未对跨境数据作任何限制;另一方面,已进行规制的国家则保留了两类“例外情形”,一类是一次性“例外情形”如数据主体要求或执法所需,另一类是持续性“例外情形”,囊括充分性要求(如白名单制度)、约束性规则(如必须具备审查机构)、标准合同范本、同意原则等。“例外情形”的泛滥导致跨境数据管理呈现明显的碎片化特征。
(四)政府监控危及公民隐私
监控与数据保护一直以来都是一个“边缘”议题,主要的数据保护条例均对该问题采取“避而不谈”的态度。随着全球数据保护意识的崛起,特别是斯诺登事件后,政府监控的边界以及如何平衡好政府监控与数据保护的关系成为全球热议的焦点。对此,美国政府出台了相关法律对政府大规模监控进行了限制,同时赋予公民问责权以限制情报机构的执法。
(五)打击犯罪亟待加强执法
目前,随着大规模数据泄露案件的频发,数据保护领域内的执法与惩罚力度有逐渐加强的趋势,特别是在欧盟、香港、日本等国家与地区的法律修订中,加强执法已成为一个关键议题。实践证明,加大惩罚力度对于促进企业数据保护改革、树立行业典范具有积极作用。
(六)跨境数据争端如何确定管辖权
由于数据的跨境传输越来越普遍,因此确定管辖权已成为数据保护法规中的一项紧急且重要的议题。美国、日本、欧盟等出台的国内数据保护法中均出现了部分域外条款,普遍要求对收集本国公民数据的行为进行法律规制。
(七)企业安全合规成本高企
数据保护法规在一定程度上限制了企业创新,并给企业(特别是中小企业)带来了额外的合规性成本。如类似于美欧“隐私盾协议”等规则的行政手续繁复,登记费用高昂,且要求会员定期缴交注册费;部分数据保护法还要求企业必须设置数据保护官,以及在当地设立数据中心或办公室的硬性规定,都直接加剧了中小企业的合规性负担,迟滞创新发展。
(一)全球发展和经验教训
报告探讨了四种国际数据保护模式及其优缺点。
一是联合国模式。联合国一直以来将数据保护置于基本人权保护的范畴下,并于2013年发布《数字时代的隐私权》声明,提出在国内及域外监控数字通信以及收集个人数据的情形下,重视公民隐私权的问题。除此之外,联合国还于2015年设立“隐私权特别报告员”,负责收集资料、协调标准、提交报告等。联合国数据保护是从人权保护的视角出发,覆盖全球层面,但保护规则多宣言式,缺乏实施所需的资源。
二是“公约108”模式。“公约108”是指欧洲理事会于1981年发布的《关于个人数据自动化处理中的个人保护公约》,条约提供全面的数据保护模式,并面向所有国家开放,是目前全球标准最为严格的数据保护条约,但条约的欧洲色彩较为浓厚,也面临着与美国等国家的协调。
三是经合组织(OECD)模式。经合组织于1980年公布《保护隐私与个人数据跨境流动管理的指导原则》,提出了八项隐私保护原则,成为世界各组织制定隐私保护政策时的主要参考,分别是:限制收集原则、数据品质原则、目的明确原则、利用限制原则、安全措施原则、公开原则、个人参与原则、责任原则。OECD模式致力于实现数据保护与流通之间的平衡,具有广泛的支持度;但OECD的规则不具有约束力,且个别国家意志突出。
四是国际数据保护专门组织模式。致力于制定全球数据保护法规的国际数据保护部门的实践也不容忽视,此类部门涉及众多国际利益实体,目前主要聚焦在隐私保护上。始于20世纪80年代初的数据保护和隐私权专员会议,是个人数据隐私保护领域的一个重要组织,其前身是西欧数据保护和隐私权保护专员会议。会议每年召开一次,现在已经发展成为世界性的数据隐私保护会议。2005年,第27届数据保护和隐私专员会议在瑞士蒙特勒召开,通过了关于在全球化世界中保护个人数据即保护一项尊重多样性的普遍权利的《蒙特勒宣言》,其强调在尊重差异性的基础上,在全球范围内进行数据隐私保护工作;呼吁联合国起草一项有法律约束力的文书,明确数据隐私权的细节,将数据隐私保护视为人权保护的一部分强制施行;呼吁各国政府对数据和隐私保护进行立法,并开展数据隐私保护合作。数据保护和隐私权专员模式具有较强的全球影响力,并且具有丰富的经验与国际视野,但是缺乏正式的结构框架,且宣言具有明显的非约束性特征。
总体而言,国际层面的数据保护条例的实际约束力较为有限,仅“公约108”模式的影响力可观。值得注意的是,美国对于这类国际性的数据保护条约均保持着“远观”的态度,未明确承认,这直接影响了公约的效力。
(二)地区性倡议
在数据保护领域,地区性倡议的发展程度与成熟度远远高于国际公约模式。
一是欧盟模式。欧洲国家历来重视数据的保护,特别是1995年的欧盟《数据保护条例》对全球隐私权发展及相关法规的规制影响巨大。2009年,《里斯本条约》确定了数据保护规则的新法律基础,将数据保护上升为欧盟法律的基本要件,独立于隐私权。2016年,欧洲议会投票通过了《一般数据保护条例》(GDPR),为欧盟成员国数据保护提供了一个统一的数据保护框架。除此之外,欧盟在跨境数据上进行了开创性的管理,如要求数据接收国满足数据保护的“充分性”标准;允许组织内部个人数据跨境转移的标准合同条约(BCRs);制定“标准合同条款”(也称“示范条款”)用于规制数据控制者以合规的方式将个人数据传输到欧洲经济区以外的地区。欧盟模式历史悠久,基础牢固,影响深远,但是对中小企业的门槛较高,限制较大,且面临着各国执法不一以及数据保护与数据传输之间的平衡问题。
二是亚太经合组织(APEC)模式。亚太经合组织在数据保护上的突出表现就是制定了“跨境隐私规则体系”(CBPRs),该体系基于自愿原则,通过提供标准的数据隐私政策以供成员国遵循,并寻求更多经济体、企业和问责代理机构参与其中。CBPRs具有广阔的成员基础,在执行过程中灵活性较高,且有来自美国的支持,但是CBPRs完全基于自愿原则,且申请费较高,同时面临着各国国内法的限制。
三是非盟模式。2014年,非盟发布《网络安全和个人数据保护公约》,为建立一个可信的电子交易、个人数据保护和打击网络犯罪的数字空间设置了必要的安全规则。非盟极力复制欧盟模式,但是由于数据保护对于非盟来说仍然是一个较新的领域,虽可塑性高,但目前仍面临缺乏政府重视,资源投入不足的挑战。
四是英联邦模式。英联邦国家数据保护相关的法规主要是“隐私法案”和“个人信息保护法案”,受OECD以及欧盟模式的影响较大。英联邦模式的条约同样存在约束力问题,同时在数据保护上仅限制在公共部门,未涉及跨境数据等热点议题。
五是贸易协定模式。近年来,数据保护规定已成为贸易协定的重要内容,TPP就是典型例证。TPP要求淡化国境概念,强调信息和数据自由流动的全球性;在合法公共政策目标得到保障的前提下,强调信息和数据流动的“自由性”。贸易协定下的数据保护模式覆盖面广、操作性强且较易处理好数据保护与数据流动的平衡,但贸易协定谈判往往非公开透明,且争端解决机制复杂,并通常将私营企业与公民团体排除在外。
目前,区域性模式已成为推动数据保护的主要力量,将数据保护纳入贸易协定也将成为数据保护规制的发展方向。
(三)典型国家实践
根据UNCTAD调查显示,截至2016年4月,在108个国家已出台数据保护法律的国家中,95%的法律是专门的数据保护法,12%是依托于其他法律之下的部门法规。此外,还有35%的国家正在草拟数据保护法。各国法律规制差异较大,以下几个国家具有典型性。
1.澳大利亚:与时俱进修订隐私法。澳大利亚的数据保护体现在其不断修订隐私保护法上,2014年澳大利亚修订《隐私保护法》,对个人信息的收集、适用、披露与处理作出严格规定。虽然目前澳大利亚的隐私法仍然将中小企业以及雇员记录排除在外,但是澳大利亚目前的数据保护覆盖面广,且与国际数据保护高度一致。
2.巴西:策划制定数据保护草案。虽然目前国内还未建立起统一的数据保护方案,但巴西政府于2015年公布了个人数据保护法草案,该草案以欧洲数据保护条例为蓝本,对企业处理其在巴西的个人数据作出了严格的规定。
3.法国:强数据保护法保证企业完成“注册需求”。法国的数据保护在欧盟国家里具有典型性,在欧盟“一般数据保护条例”生效之前,法国率先对《1978年数据保护法》进行了修订,出台了《数字共和国法》,提出了一系列企业的注册需求。法国的数据管理部门“信息与自由委员会”(CNIL)实行强数据保护制度,违规企业往往被施以高额的罚款,如法国政府与谷歌的被遗忘权之争就是典型例证。
4.印度:以部门法规实施数据保护。印度的数据保护规定散落在各部门法中,其中最为突出的就是2011年修订的《信息技术法》,该法对敏感数据进行了定义,并要求数据接收方提供充分的数据保护。
5.印尼:探索实施数据本地化。印尼法律明确要求数据控制者必须充分保护个人数据,在数据使用时需遵循“目的受限”、“明示同意”等原则。印尼还是少有的实施数据本地化的发展中国家,要求在本地设置数据中心和灾备数据中心。
6.日本:致力于解决数据保护的执法问题。日本于2015年发布《个人数据保护法修正案》,设立了个人信息保护委员会,直属于内阁总理大臣,主要任务在于监管数据的传递、处理,企业的合规性管理等。同时修正案也允许企业在满足适当条件下进行数据的买卖,以服务于大数据分析。
7.韩国:重视个人信息的法律救济。韩国《个人信息保护法》对个人救济进行了明确的规定,并设立了个人信息调解委员会,从行政和司法两个维度保护个人的法律救济。
8.俄罗斯:实施严格的数据本地化存储规则。俄罗斯于2015年9月生效的“第242号法令”,确立了俄罗斯数据本地化留存的制度,要求俄罗斯公民个人数据必须存储在俄联邦境内的服务器上。俄罗斯还据此开展了相关的监督检查工作,配备专门人员负责检查公司的合规性工作。
(四)私营部门与公民团体观察
私营部门与公民团体在数据保护规制中的作用不容忽视。
1.私营部门:私营部门在数据保护中发挥了重要作用,且作为重要一方参与制定数据保护法规,如APEC的CBPRs就是公私合作的典范。总体而言,私营部门在数据保护中的基本诉求主要有:一是政府应减少干预,以确保跨境数据的正常流动及贸易的正常开展。二是数据保护规制应是原则性的指导,而非细节性的法规。三是无需针对每项新技术制定专门的数据保护法规,一般法律准则即可。四是不应把私营企业作为政府执法或监控的助手,政府应尽量克制对企业的数据请求。五是私营企业有权公布政府数据请求的目的及范围。六是数据保护法规(特别是跨境数据法规)不应对企业(特别是中小企业)造成较大的合规成本。七是跨境数据法规应给予企业在合规实施上一定的灵活度。私营企业部门提出的准则广受认可,在数据保护与促进创新的平衡上发挥了重要作用,同时也让外界正视数据保护规制给中小企业带来的合规性挑战。
2.公民团体:对于公民团体来说,网上隐私已经成为基本人权以及消费者权益的重要组成部分。特别是随着数据成为互联网发展的衍生品之后,数据保护与消费者权益保护的关系越来越紧密,政策制定者需两者同时推进才能确保消费者的个人权益。消费者往往在企业数据保护的承诺下转交个人数据,但现实情况却是企业总违背承诺滥用公民数据,如谷歌(街景)以及“阅后即焚”软件Snapchat误导消费者等事件。在此背景下,消费者对企业的信任正在消失,用户很难再将数据转交给企业。目前,部分企业开始利用隐私强化的技术,如强加密技术,使用隐私认证标志,或者网上隐私政策的创意展示等额外的保护措施,补充隐私法规的滞后。
目前,全球存在着多种数据与隐私保护的路径选择,在执法上存在不同的实践细节,但各国以及国际数据保护规制仍在核心原则上具有一致性,如开放透明、收集限制、目的限制、使用限制、安全、数据质量、数据主体的参与、问责制、数据最小化等。报告认为,当务之急仍是平衡好不同路径的主要关切,以及数据保护与数据流通之间的关系,并提高各种路径的国际兼容性。对此,报告提出多项最佳实践,以落实和升级数据保护法规。
(一)国际与区域组织层面
一是避免双重标准与碎片化。在网络犯罪领域,欧盟议会在2001年通过的“网络犯罪公约”广受认可,目前多个国家均将该法的基本原则引入到国内法中。反观数据保护领域,各个国家的法律相互对立,兼容性差,统一法规缺失,严重影响了数据保护的效力。因此,当前工作的重点是确定共识,扩大核心原则。
二是维持开放与透明。数据保护涉及方方面面,众多利益攸关者参与其中,因此确保法规的开放与透明非常重要。但是由于部分数据保护法规附属于国家间的贸易协定,而贸易协定多是将私营企业与公民团体排除在外进行秘密谈判,公开透明性差。因此未来的数据保护工作需要将所有的利益攸关者囊括进来,特别是私营企业、公民团体以及发展中国家。
三是解决好政府监控与数据保护之间的平衡。绝大部分国家在政府监控上均保持沉默的态度,但是解决好这问题又是数据保护绕不开的问题。对此,联合国提供了解决该问题的原则框架,包括政府需公开监控的目的、程度与范围,监控目的必须与国家安全相关,监控过程需遵循“必要且合适”的原则,辅之以强有力的政府监管,并赋予个人对政府监控的争端解决权,以及企业公开政府监控明细的权力。
四是适当考虑企业的合规性负担。在数据保护中,企业的合规负担与创新和贸易呈反相关。一国采取强数据保护往往不利于中小企业的发展,久而久之就会造成大企业垄断的局面,不利于创新的发展。而在国际层面,现存的跨境数据法规申请费高,且需要繁复的认证程序,也对中小企业造成了合规负担,不利于国际贸易的发展。
(二)国家层面
一是确立基线法案。目前各国数据保护立法参差不齐,当务之急是解决“有无”的问题,数据保护缺失的国家应尽快进行数据保护立法。其次是解决“例外”泛滥的问题,已立法国家需尽量减少“例外情况”,以扩大法规覆盖范围。
二是遵循一般准则。遵循国际通用的一般准则可提高国际兼容性以及互操作性,在国内遵循上可保持一定的灵活性。
三是建立有效的法律框架。建立单一的中央立法非常必要,这不仅有利于简化行政程序,便利企业与政府的沟通,以及消费者的法律救济,同时相较于分散的法规,中央立法的法律效力更高。
四是加强执法。随着数据与隐私保护的重要性日益增加,需不断提高执法力度,尤其是加强惩罚的力度。
五是解决跨境数据传输。随着越来越多的经济活动转到“线上”,因此在数据保护法规中,要对跨境数据作出专门的规制,并研究出一两种可供企业参考的机制。
六是平衡好隐私保护与贸易间的关系。平衡好多利益攸关方在隐私保护与促进贸易之间的关系非常重要,部分国家为保护隐私采取数据本地化的举措无可厚非,但相关条款均需要建立在对贸易的非歧视性原则上。
七是解决大规模监控问题。国家层面的数据保护法也必须对政府大规模监控作出明确规制,包括赋权于个人进行法律救济;控制政府监控“必要且合适”,且在有关部门的监管下实施。
八是提高能力建设。联合国在帮助各国特别是发展中国家制定数据保护法中发挥了重要作用,对此各国也要提高自身的能力建设,加强各层次的国际对话,建立平衡、灵活且兼容的数据保护法规。
目前,跨境数据流动规制实质上已变成新型的贸易壁垒手段,演化成国际网络空间治理的规则之争,并呈现出博弈激烈、互动复杂的局面。作为负责任的网络大国,我国应积极塑造自身的国际视野,对于国际网络热点问题积极跟进,贡献中国智慧,体现中国担当,这既是建设网络强国的重要基点,也是构建网络空间命运共同体的题中应有之义。
(一)加快顶层设计,整体推进
我国应在“依法治网”的原则下更加重视跨境数据管理问题,加快规则体系建设。但由于跨境数据与贸易以及中美关系等问题联系紧密,因此对于跨境数据的规制宜从全局着手,加强顶层设计,整体推进,谨慎出台细则法规,减少政策的“突击”给企业带来的冲击,影响大局。
(二)善用政策工具,综合施策
由于跨境数据利益攸关者众多,涉及议题方方面面,是发展过程中非常复杂且敏感的问题。对此,我国可按国际通行的监管手段综合施策,包括引入“负面清单”制度对跨境数据进行分级分类管理;参照《个人信息和重要数据出境安全评估办法》实行跨境数据“安全评估”;发挥“行业监管”作用弥合政府监管与相关数据立法的滞后性;必要时可启动跨境数据流动“网络安全审查”,建立开放透明且具有可操作性的监管体系。
(三)参与国际谈判,提升话语权
我国要积极参与跨境数据流动的国际谈判,准确把握各方利益关切。对此,在吸收借鉴其他国家和地区构建跨境数据流动规制的经验教训上,结合产业特点,我国可率先通过“一带一路”战略、“亚投行”等贸易谈判平台开展跨境数据流动的讨论,积累经验和话语权,再延伸到全球跨境数据流动规制的合作与交流。
(责任编辑:钟宇欢)
Review of Global Data Protection Regulations and the Implications in China’s Cybersecurity Governance
GUI Chang-ni, WANG Ya
In the age of the information economy, personal data become the fuel that drives much commercial activity online. Meanwhile, more and more countries set rules to protect the data security. This study focus on the report “Data protection regulations and international data fl ows:Implications for trade and development” released by the UNCTAD, and reviews the data governance experience and frameworks in different parts of the world and of different stakeholders, identi fi es key concerns that data protection and privacy legislation need to address and considers possible future policy options. we hope that the findings presented will be helpful for the cyber security governance in China.
personal data, data protection regulations, data governance, policy options
D922
:A
:1001-4225(2017)07-0105-07
① https://www.theguardian.com/technology/2017/mar/04/cambridge-analytics-data-brexit-trump
② 相关报道有:https://martechtoday.com/protagonists-new-platform- fi nds-stories-told-brands-197258,http://www.nybooks.com/articles/2017/04/20/kahneman-tversky-invisible-mind-manipulators/,https://www.theguardian.com/commentisfree/2017/apr/17/brexit-voter-manipulation-eu-referendum-social-media等等。
③ https://www.theguardian.com/politics/2017/mar/04/nigel-oakes-cambridge-analytica-what-role-brexit-trump
④ http://www.concordia.net/