数字经济时代世界各国数据安全立法现状探讨

王滢

【内容摘要】智能物联网和区块链等技术革新推动硬件和软件更新迭代，并由此衍生商业模式的转变和快速发展，推动了数字经济从互联网时代步入人工智能时代，随之而来的是数字经济环境下个人数据隐私、企业商业机密和政府公共信息等数据安全风险及对相关立法跟进的要求。本文将对数字经济时代欧盟、美国和中国的数据安全立法现状进行整理和探讨。

【关 键 词】数据保护;数据隐私;数据安全

中图分类号：D922.16 文献标识码：A 文章编号：2095-4379-（2020）02-0215-02

2019年9月以来，杭州多家大数据风控平台被警方调查，原因是涉及数据爬虫公司违规获取的通讯录、地址定位等个人敏感信息，这让互联网数据安全问题再次被推上风口浪尖。

智能物联网和区块链等技术革新推动硬件和软件更新迭代，并由此衍生商业模式的转变和快速发展，推动了数字经济从互联网时代步入人工智能时代，随之而来的是数字经济环境下个人数据隐私、企业商业机密和政府公共信息等数据安全风险及对相关立法跟进的要求。

本文将对数字经济时代欧盟、美国和中国的数据安全立法现状进行整理和探讨。

一、欧盟数据保护立法情况

欧盟议会于2016年4月通过的《通用数据保护条例》（“GDPR”），于2018年5月25日在欧盟成员国内正式生效实施，其前身是欧盟在1995年制定的《计算机数据保护法》。该条例的适用范围极为广泛，任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。即使一个主体不属于欧盟成员国的公司（包括免费服务），只要满足下列两个条件之一：

（1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。

（2）为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息，其就受到GDPR的管辖。[1]

GDPR法令最重要的两个原则在于：

1.最大限度地保护个人隐私，严格限定企业、政府对个人信息数据的使用条件。将科技、人工智能、数据渗透阻挡于个人隐私之外。

2.要求人工审查重要的人工智能中的算法决策，提供个别算法决策的详细解释或关于算法如何做出决定的一般信息。这一条款将大大降低技术黑箱问题的存在。

简而言之，这两个原则，试图保护人类个体不受愈发失控的数据或技术黑箱之侵害。[2]

GDPR被称为是大数据监管新时代的标志，它的意义在于可以无视利益集团、牺牲科技革新的速度，将科技进步控制在可理解的天花板里，而非放任在失控的黑箱中。

二、美国数据保护立法情况

美国国会研究服务局（简称CRS）是专门为美国国会工作，向美国的参众两院提供政策和法律建议的机构。CRS分别于2019年3月和5月发布了《数据保护法：综述》和《数据保护与隐私法律简介》两份报告，系统介绍了美国数据保护立法现况。[3]

与欧盟统一立法模式不同，美国联邦层面没有统一的数据保护基本法，鉴于普通法和《宪法》对数据保护的局限性，美国采取了分行业式分散立法模式，美国国会颁布了一系列数据保护联邦立法，在电信、金融、健康、教育以及儿童在线隐私等领域有专门的数据保护立法。具体如下：

1.《格雷姆-里奇-比利雷法》（GLBA）：即《金融现代化法》，旨在对金融机构处理非公开个人信息（nonpublic personal information，以下简称NPI）进行规定。

2.《健康保险流通和责任法》（HIPAA）：旨在保护受保护的健康信息（protectedhealth information，以下简称PHI）。

3.《公平信用报告法》（FCRA）：旨在确保信用报告机构（以下简称CRA）的报告中消费者信用信息的准确性，保护消费者免受错误信用信息的侵害。

4.《视频隐私保护法》（VPPA）：旨在保护租赁、买卖或交付录像带和视听资料过程中的个人隐私，规定未经消费者明确同意不得披露消费者的个人可识别信息（personallyidentifiable information，以下简称PII）。

5.《家庭教育权和隐私权法》（FERPA）：旨在保护教育机构收集的教育信息。

6.《联邦证券法》：没有直接对数据保护进行规定，但是要求公司应采取防止数据泄露的控制措施，在发生数据泄漏时及时向证券交易委员会（以下简称SEC）披露相关情况。

7.《儿童在线隐私保护法》（COPPA）：旨在对商业网站或网络服务商收集、使用或披露13岁以下儿童的个人信息行为进行规定。

8.《电子通信隐私法》（ECPA）：不针对特定领域进行规定，是美国目前有关电子信息最全面的立法。但是也有批评者指出，ECPA规定的是窃听和电子监听行为而非商业数据收集行为。

9.《计算机欺诈和滥用法》（CFAA）：旨在规制计算机黑客，禁止未经授权侵入计算机，不解决数据收集和使用等数据保护问题。但CFAA对于未经授权而侵入计算机并获得了他人信息的行为规定了法律责任。

10.《联邦贸易委员会法》（FTC Act）：旨在“禁止不公平或欺骗性贸易行为”（以下简称UDAPs），UDAPs在数据保护方面发挥着重要作用。但FTC Act并未要求企业遵守特定的数据保护实践，并且无法规制没有做出数据保护承诺的企业。

11.《金融消费者保护法》（CFPA）：与FTC Act类似，旨在禁止机构从事不公平、欺骗或滥用行为。CFPA新设了消费者金融保护局（CFPB），专门负责消费者金融保护，CFPB职责包括制定规则、进行法律监督和执行。

三、中国数据保护立法情况

中国的数据保护立法历经了对个人信息从间接保护到直接保护、从分散立法到集中立法、从公法治理到综合治理的历史沿革，通过出台《网络安全法》《消费者权益保护法》《刑法》《征信业管理条例》《电信和互联网用户个人信息保护规定》以及其他法律、法规、规章、规范性文件，形成多层次多领域的个人信息保护法律体系。

2018年9月，全国人大公布将《数据安全法》《个人信息保护法》《电信法》《密码法》列入十三届人大常委会五年立法规划，其中《密码法》已在2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议表决通过，于2020年1月1日起施行。

《个人信息保护法》和《数据安全法》两部立法未来将为数字经济发展提供更有力的法律保障，《数据安全法》的立法价值侧重于保障网络整体安全、国家数据权益以及产业安全，数据安全管理机制、数据安全监管主体、数据分级分类制度、数据全生命周期管理规范、数据安全风险评估制度等内容。《个人信息保护法》侧重于对个人信息保護立法的统一，中国现有个人信息保护立法呈现分散性特点，在电商、金融、保险、交通、医疗、电信、邮政、统计等领域均出台了相应的法律规范，但缺少统一的个人信息保护法。[4]

中国在5G技术领域已处于领先地位，5G大规模应用后，会引领物联网的快速发展，数据的传输和应用将迈入另一个层级，智能化将更加普及，包括远程手术等都将实现，新的产业模式诞生也伴随着新的风险管理，需要立法的跟进。

近期，习近平主席作了“加快推动区块链技术和产业创新发展”的讲话，必将激励国内区块链技术和相关产业的蓬勃发展，同时，中国央行已将推行数字货币提上日程，区块链技术的产业化应用，是从底层技术上改变现有以互联网技术为基础架构的产业结构，在相关立法中应当具有前瞻性，在5G和区块链技术应用等走在世界前列的新技术领域，立法先行，成为数字经济时代的立法先行者，为后来者提供立法指导。

参考文献：

[1]通用数据保护条例[EB/OL].百度百科词条.

[2]雷慢.爬虫收割隐私，黑箱埋葬灵魂[Z].公众号“新金融洛书（FintechBook）”.

[3]杨婕.中国信息通信研究院互联网法律研究中心研究员[Z].一文读懂美国数据保护立法情况.CAICT互联网法律研究中心，2019-07-02.

[4]中国信息通信研究院.互联网法律白皮书（2018年）[Z].2018.12.