关键词 数据安全 德国举措 立法保护 法治实践
基金项目:国家社科基金重大项目“总体国家安全观视野下的网络治理体系研究”(编号:17ZDA107)。
作者简介:申涛林,中国互联网协会。
中图分类号:D9516 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2020.07.090
数据作为数字时代的新“新能源”和“重资产”,确保其安全可控已成为各方共识。然而,在保护对象、具体手段、宽严程度、执法尺度上,有关方面还存在分歧。在解决个人隐私保护、跨境数据流动、大数据应用等重点领域上,还面临一定的政策瓶颈。实践过程中,如何统筹平衡好安全保护与促进发展之间的关系,成为摆在面前的重要课题。德国通过法治手段,在确保数据安全方面进行了积极探索。
(一)历史脉络
1978年,联邦德国出台了《联邦数据保护法》,从国家层面确立了数据保护的基本规则和主体框架。1995年,德国颁布《联邦数据保护法》,并分别于2001年、2003年、2006年、2009和2015年进行多次修订。经过不断完善,《联邦数据保护法》作为德国国内数据保护领域的重要法规,发挥着巨大的作用。
(二)法律体系
当前,德国已经形成较为完备的数据保护法律体系。一是从纵向来看,以《联邦数据保护法》为基础,德国的每个州也制定了当地的数据保护相关法律法规,形成了“联邦-地方”的完善保护体系。二是从横向来来看,《联邦数据保护法》之外,德国为了加强对不同领域的数据保护,针对性出台了专门的法律,出台《电信法》《通讯法》《媒体法》《远程媒体法》等。同时,由于数据使用与社会发展的深度融合,传统领域的数据保护问题日益重要。对此,德国在征税、社保等领域,对于公民个人信息保护问题也通过立法手段予以规范。
(三)整体动向
一是高度重视数据保护。2011年,德国出台《网络空间安全战略》,指出网络空间安全和网络空间数据的完整性、真实性及保密性十分重要,并介绍了数据安全风险对于国家、社会、公民所带来的挑战。二是不断强化数据隐私保护标准。德国提出了严格保护、加密传输、禁止向国外政府传送数据等要求。三是更加重视数据安全的国际合作。德国认为数据安全保护权属问题十分复杂,需要各个国家携手合作、加强沟通,特别是在联合国框架下建立跨境保护机制。
(一)总体框架
以2015年最新修订的《联邦数据保护法》为例,其主体框架分为6大部分、48条。第一部分为“总则”。第二部分为“公共机构对数据的处理”,主要涉及处理的法律依据、数据主体的权利、联邦数据专员等。第三部分为“私法主体和参与竞争的公法企业对数据的处理”,主要规范该企业机构主体的法律依据、相关权利、监管机构、行为规则。第四部分为“特殊条款”,涉及如“特殊秘密”条件下的使用限制等内容。第五、第六部分则分别为“最后条款”与“过渡条款”。
(二)管辖边界
关于数据、信息、个人隐私三者之间的概念边界,学界一直有不同的界定。例如,有观点认为数据是加工信息的原材料 ,也有的认为数据是记录信息的一种符号 。关于个人隐私,有学者认为人信息包含隐私 ,也有的提出了隐私包括私生活安宁和私生活秘密两个方面 。《联邦数据保护法》 “个人数据”的概念进行界定,同时还对数据收集、处理及利用行为作了区别。例如,“个人数据”是指关于个人或已识别、能识别的数据主体的客观情况的信息。“数据收集”是指从相关数据主体处获得数据。“数据处理”则为数据的存储、修正、传递、控制以及删除。“数据利用”,即除数据处理条款之外的任何其他个人数据使用行为。
(三)主体原则
该法体着重体现出六大原则,分别是直接原则、更正原则、目的明确原则、安全保护原则、公开原则、限制使用原则。同时,明确了四项权利,即请求告知权、个人信息更正权、个人信息删除权、个人信息封锁权。以个人信息删除权为例,指出除非有法定的或者约定的理由,信息主体有权要求删除未经其同意而储存的信息。
(一)个人数据及隐私保护
根据《联邦数据保护法》,收集、处理和使用公民个人信息受到严格管制。一是强调“是否知情”。运营商在存储、传输、利用个人信息时,应道及时向权属主体告知。二是强调“是否同意”。对于出于商业目的的数据进行获取,必须要征得权属主体的同意。三是强调“如何惩戒”。明确了对于出现违反有关规定、侵害权属主体合法利益的行为,均应受到法律制裁。四是强调“如何申诉”。权属主体在发现个人信息遭受不法侵害时,可以按照规定予以投诉举报。
(二)跨境数据保护问题
一是針对“欧盟内国家”,德国对其他成员国的数据保护持信任态度,允许与欧盟成员国之间进行数据交换。但随着2016年欧盟《一般数据保护条例》生效,数据跨界流动更加严格。二是针对“欧盟外国家”,若该区域运营商和服务商提供数据服务,须按照欧洲标准合同予以规范。三是针对“可信国家”,德国对于部分国家予以信任认定,将此类国家纳入信任清单以实行精准化管理。
(三)大数据安全及保护
德国在出台的《2014至2017年数字化议程》中指出,欧盟《一般数据保护条例》是应对信息通讯技术不断发展背景下确保数据安全的重要文件。对此,德国不断完善本国的数据保护法律法规,重点强化大数据场景下的安全防护。特别是,借助信息通信技术手段,综合运用加密传输等方式,确保数据资源的安全可控,降低盗用、泄露、滥用等风险。此外,德国将考虑加快本土化数据中心建设,逐步推广本地化存储。
(一)健全机构设置
一是国家层面。设立联邦数据保护专员,同时在内务部设立专员办公室,负责监督联邦政府数据保护工作,并接受公民關于数据保护维权的投诉申请。为确保独立性,专员预算由内务部单独列支。虽然数据隐私保护官员在别的国家也有设置,但以英国为例,其职能作用相较于德国整体较弱,对于决策支撑和监督作用比较有限。二是地方层面。联邦各州设立专员,负责本州范围内的数据安全保护。三是企业组织。要求在各个企业设立数据保护专员,负责本机构的数据保护工作,且明确强调私营企业应在开业1个月内完成设置。
(二)加大违法打击力度
对于各类窃取、盗用、滥用数据等损害权属主体合法利益的行为,德国均采用严格的执法尺度,甚至情节严重的纳入刑罚处罚。若企业出现破坏数据安全的行为,将被处以最高30万欧元的罚款。2020年2月,德国政府制定一项法律草案,要求运营商对于有害信息主动向警方举报,否则处以最高5000万欧元的罚款。德国通过将严格的政府执法、公共压力之的行业自律和低水平的诉讼机制相结合,形成了“合作法治主义”模式 。
(三)严格维护用户权益
德国法律规定,政府和企业采集个人数据必须具有“目的相关性”,采集数据要坚持“知情最小化”原则,非相关、且非必要数据不得采集。目前,越来越多的德国企业开始加强对数据的保护。一些企业网站要求客户填写信息时,会在显要位置提醒客户信息用途。2020年2月,德国发布《患者数据保护法案》,旨在规范对电子病历和数字医疗应用程序中患者数据的访问权。
(四)紧跟最新发展动向,应对潜在安全风险
近年来,德国对新兴信息技术发展所带来的挑战予以高度关注,通过法律形式来强化数据安全风险管理。例如针对电子监控、个人信息存储、电子办公、工业互联网等场景,均出台细化了相关规定。2020年4月,针对视频会议系统,德国联邦信息安全办公室发布一份纲要,旨在加强其数据安全防护,同时还强调了使用云计算和人工智能服务相关的风险和挑战。
(一)在数据流动与信息安全之间寻找最佳平衡
数据天然具有流动性,这是数字经济赖以存在和发展的基础。如果数据不能流动,那么就不能参与到生产过程中,无法成为市场要素。但是,数据安全问题也是由数据的流动性造成的。德国原有的立法侧重安全,近年来在修订中,在确保安全的基础上,增加更多个人数据保护的例外情形,以适应经济发展需要。欧盟的数据保护立法,也体现了既重视用户信息合法权益、有注重促进信息自由流动的双重价值。因此,数据保护法必须兼顾信息流动与信息安全两个方面,要正确处理好个人、社会和国家之间的关系。
(二)加快健全数据保护领域的法制体系
一是完善法律体系。德国的数据与个人信息保护立法体系并非一蹴而就,而是历经多次修订并逐渐完善。我国目前已出台《网络安全法》,下一步应加紧制定数据保护领域的专门性配套法律法规,分阶段、分行业推动数据保护立法进程。针对跨境数据流动、个人隐私保护、国家大数据安全等迫切问题,尽快出台相关法律。二是完善机构设置。可以在不同层面,尝试研究设立“数据信息安全官”,健全配套体制机制,规范明确相关权责。三是明确法律权属。细化不同法律主体的权属关系、权利义务,尽快填补法律空白,强化对个人隐私的保护力度,加大对破坏数据安全等各类违法犯罪行为的打击。
(三)构建网络空间依法治理的合力
一是将网络空间治理法规政策与公民权益紧密结合,从立法高度明确个人在网络空间的权利义务。二是更大程度发挥行业协会的行业动员与监督能力,加强行业自律,完善行业规范。三是开展专项执法行动,针对破坏网络空间数据安全的各类违法犯罪行为,加大打击力度。四是建立网络空间数据安全的举报、奖励和惩罚制度,充分发挥公众监督作用,在全社会形成良好的网络安全文化氛围。
(四)加快对新技术新应用潜在风险的法律监管
树立安全优先的理念,进一步加强对新技术新应用的安全评估。加强前瞻性研究,针对性做好关键技术储备。强化跟踪研究,充分发挥技术手段、数据优势,来提高网络空间安全的综合治理能力。对于技术革新的动向以及社会治理的演进,要运用法治手段,从制度层面加强法律约束和监管,避免出现“真空地带”和“脱钩情况”。要依靠健全的法律法规,对技术变革带来的社会问题进行细化规范。
注释:
熊霞.数据仓库中数据质量控制问题研究[D].武汉大学,2004年.
马费成,胡翠华,陈亮.信息管理学基础[M].武汉大学出版社,2002年版.
刘德良.隐私与隐私权问题研究[J].社会科学,2003(8),第12页.
张新宝.隐私权的法律保护[M].群众出版社,2004年版,第7页.
Francesca Bignami, Cooperative Legalism and theNon-Americanization of European Regulatory Styles: TheCase of Data Privacy, 59 Am. J. Comp. L. 412 (2011).