文/扬州大学社会发展学院 郝义飞
目前,信息技术已经成为推动社会发展的主要支柱之一。随着信息技术的发展所产生的大量数据也成为推动社会活动的原动力,对数据的收集、存储、加工、分析与处理也已经产业化。2021年6月通过的《中华人民共和国数据安全法》明确了数据安全制度与数据安全保护义务。当前,许多国家或机构也认识到数据竞争所带来的数据安全问题,出台了一系列法规和措施来保障数据安全。本文以具有代表性的欧盟和美国的数据保护现状为例,对其数据安全保护举措及特点进行分析,总结其发展的趋势,为今后我国的立法和保护措施提供理论基础。
(一)欧盟《通用数据保护条例》。早在1995年,欧盟就颁布了针对个人数据的保护条例《个人数据保护指令》,并于2018年11月14日发布《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data),要求确保非个人数据在欧盟内部的自由流动;同时,围绕数据开放和流通发布了一系列数据经济战略,并于2020年2月发布《欧洲数据战略》,强调要提升对非个人数据的利用能力。GDPR(欧盟《通用数据保护条例》)在延续了欧盟加强保护个人数据与个人隐私的思路基础上,将条例从34条扩充至99条,增加了许多新概念、新原则与新权力,主要特点和具体改进如下:
1.适用范围扩大。在GDPR的应用中,除去本应适用的地理位置的欧洲范围之外,只要是在提供服务或商品的过程中处理或是应用了欧盟境内个人的数据或是向欧盟境内的个体提供服务或商品,GPPR都是适用的。换言之,数据控制者或数据处理者在欧盟境内的分支机构所进行的一切个人信息处理均应受GDPR约束,无论其处理行为本身是否发生于地理位置上的欧盟境内。
2.数据主体权力强化。在GDPR的框架之下,数据主体拥有知情权、访问权、反对权、限制处理权、反自动化决策(包括画像)权,数据被遗忘以及数据可携带权。数据被遗忘权赋予了个人数据主体在数据不再必要、撤回主体同意、非法处理个人信息、个人数据需要被擦除等情形下要求数据控制者删除个人数据的权力。数据可携带权赋予了个人数据主体从数据控制者处转移或获取其个人数据信息的权力,数据主体有权将其个人数据从一数据控制者处转移至另一数据控制者处,后两者无权干涉转移行为,并应为其提供技术支持。
3.处罚力度提高。根据GDPR规定,欧盟数据保护机构不仅可以对违反GDPR的企业或个人实行警告、责令整改和中止数据处理行为等措施,还可以对违规行为处以极高额的罚款。GDPR对集团设置了两种罚款方式:(1)罚款1000万欧元或前一年全球营业额的2%,以较高者为准。(2)罚款2000万欧元或该公司前一年全球营业额的4%,以较高者为准。可以预见的是,在立法模式上,欧盟以及其他国家共同趋势是将严格政府执法、压力之下的行业自律。
4.监管机制完善。GDPR针对了对商品和服务提供商的问责与监管机制,如数据保护官与文档管理。GDPR设立数据保护官职位,其联系方式必须公布并向监管机构进行报备。并非所有的服务及商品供应者都设立数据保护官。数据保护官的职责主要为:(1)对企业进行GDPR相关法规的监管;(2)向企业及员工提供关于GDPR实施以及数据保护方面的建议;(3)与欧盟GDPR监管部门保持联系,作为双方的沟通渠道;(4)负责与数据主体进行沟通,以确保数据主体的权力能够客观利用。可见,在立法特点上,欧盟试图通过使用将规范对象细化到具体场景的立法方式来提升立法的正确性,通过明确各方的责任义务及管理措施来提升治理效果。
(二)美国“将数据作为战略资产加以利用”。美国自1974年《隐私法案》(Privacy Act)出台以来,围绕隐私保护、数据开放开展前瞻性政策和法律布局,建立起符合美国经济特点的数据治理框架,并于2019年12月发布《联邦数据战略与2020年行动计划》,把“将数据作为战略资产加以利用”(Leveraging Data as a Strategic Asset)作为美国数据战略的核心目标。由此可见,美国对于数据的应用持更加积极的态度,美国坚持以市场为主导,以行业自律为主要手段的数据政策,倡导“自由市场式的数据利用”。美国对于不同数据主体的立法具体情形见表1。
表1 美国对于不同数据主体的立法
由此可见,迄今为止,美国仍未有在联邦层面全面的个人数据保护法案,美国数据保护立法的主要特色是对不同数据主体进行针对性的数据保护。2018年6月28日,美国加利福尼亚州通过了一项隐私法案——《2018加利福尼亚州消费者隐私法案》,于2020年初正式实行。该法案的实行直接影响了Facebook等社交网站以及其他大型企业的隐私披露政策,包括披露他们收集的消费者个人信息的类型和具体内容,收集信息的来源,收集或出售信息的商业目的,以及共享信息的第三方的类型。因此,《2018加利福尼亚州消费者隐私法案》成为美国目前最全方位也最严格的隐私法案。美国制定了《联邦数据战略与2020年行动计划》,以帮助联邦政府加速使用数据来实现为公众服务并保护数据安全和隐私的目标;为了进行数据方面的合作,成立了一个联邦多元化服务机构间工作小组。与此同时,建立了一个基于共识、由志愿者管理的联邦组织——健康信息技术标准委员会(HITSP)。旨在确保美国电子健康记录的互操作性。在针对关键基础设施的网络威胁激增的情况下,美国两党众议院议员提出保护网络安全的立法法案,以提高网络安全素养并提高美国公众的意识。美国网络安全素养法案将要求国家电信和信息管理局开展网络素养运动,以了解如何保持在线安全并防止网络攻击。美国还通过签署《美国—墨西哥—加拿大协定》(USMCA)降低了数据本土化要求,并认可了《亚太经合组织跨境隐私条例》(OCED),以确保数据跨境流动,同时提供一个可操作的机制来保护数据隐私和跨境流动。
(三)欧美数据保护比较与趋势。美国和欧盟都发布了自己的标准化和合作框架,用于建设数字政府的数据治理。在建设数字经济方面,美国之前已经颁布了法律法规,但在州级又出台了一系列新的数据保护法,为开放数据及其使用创造了一个整体的主动性。而欧盟的重点是建立单一的数字市场,通过数据保护立法建立一个安全有序的数字经济市场,形成一个协同和保护数据管理系统。同时,美国和欧盟都强调需要重新使用高质量的数据,但同时又对跨境数据流动设定了监管要求,美国采取了更加包容的方式,欧盟则相对保守,更强调欧洲范围内数据流动的安全性。
(一)加快我国数据安全条文落地。目前,我国关于个人数据保护的条文还分散在国家通用法律中,其中有关个人的数据隐私以及商业数据隐秘的条文都相对笼统和抽象,不能有效保护数据主体的法律权益。相较于欧美国家的标准化与完整的合作框架有一定差距。由此可见,我国已经将数据作为战略对象进行保护,但目前《中华人民共和国数据安全法》《个人信息保护法》还未经实施,进一步落地和应用尚缺乏可参考的经验。参考借鉴欧美国家数据治理的概念、视角及其标准化协同路径,对于促进我国《个人信息保护法》与《中华人民共和国数据安全法》落地应用起着重要的推进作用,对于加快我国数据安全治理立法体系、建设体系有重大意义。
(二)充分调动企业及社会的数据保护责任感。早在2019年,Facebook就在GDPR产生重大影响的环境下,发布了一份旨在为数据迁移和隐私问题提供指南的白皮书。而我国虽然有企业对于数据保护有一定的认知,但大多数企业对于保护用户的隐私认识不足,甚至有企业无限制、无法纪地收集、处理、发布甚至与第三方共享用户个人数据以达到其商业目的。我国企业需要认识到保护用户个人数据也是社会责任之一。从内部管理及数据安全防范方面来说,企业应充分应用先进的数据保护技术,对机密数据则需要持续性的保护。企业必须确保其数据库、文档管理系统、文件服务器在整个生命周期内正确分类和保护机密数据。善用数据安全产品和工具、强化安全运营、加强全流程安全保障,打造覆盖全生命周期的预防、检测、响应和可视的安全运营体系。从欧美的数据保护法规来看,越来越高额的罚款和处罚制度警醒着我国企业,若未能意识到数据保护的社会责任的重要性,不仅将在市场遭受严重的经济损失,更会失去忠实用户的信任。
(三)加强个人数据保护意识。碎片化的数据汇聚到一起组成的个人拼图将对隐私产生威胁,因此加强个人数据的保护意识变得尤为重要。从2017年开始,支付宝与网易推出诸如“年度账单”“年度歌单”等项目,但在参加项目的同时表示,自己一年消费数据、生活数据权限也被无意识地同意提供给了企业。这一项目也侧面反映出现阶段我国公民的个人数据保护意识不够强。因此,美国基于网络安全素养法案开展的网络素养运动尤其值得我国借鉴,我国也应个人数据保护意识通过多种形式、多种渠道宣传普及个人信息保护常识,提升全民个人信息保护意识和技能。
综上所述,欧盟的GDPR与美国“自由市场式的数据利用”为数据的保护提供了新思路与新的探索实践,这对于我国数据保护进程有着重要的启示与借鉴。我国数据保护的社会环境与欧美有所差异,如何在施行《个人信息保护法》的基础上进一步完善数据保护措施,是国家政府、企业乃至个人都需要深入思考的问题。