數字經濟時代世界各國數據安全立法現狀探討

王瀅

【內容摘要】智能物聯網和區塊鏈等技術革新推動硬件和軟件更新迭代，并由此衍生商業模式的轉變和快速發展，推動了數字經濟從互聯網時代步入人工智能時代，隨之而來的是數字經濟環境下個人數據隱私、企業商業機密和政府公共信息等數據安全風險及對相關立法跟進的要求。本文將對數字經濟時代歐盟、美國和中國的數據安全立法現狀進行整理和探討。

【關 鍵 詞】數據保護;數據隱私;數據安全

中圖分類號：D922.16 文獻標識碼：A 文章編號：2095-4379-（2020）02-0215-02

2019年9月以來，杭州多家大數據風控平臺被警方調查，原因是涉及數據爬蟲公司違規獲取的通訊錄、地址定位等個人敏感信息，這讓互聯網數據安全問題再次被推上風口浪尖。

智能物聯網和區塊鏈等技術革新推動硬件和軟件更新迭代，并由此衍生商業模式的轉變和快速發展，推動了數字經濟從互聯網時代步入人工智能時代，隨之而來的是數字經濟環境下個人數據隱私、企業商業機密和政府公共信息等數據安全風險及對相關立法跟進的要求。

本文將對數字經濟時代歐盟、美國和中國的數據安全立法現狀進行整理和探討。

一、歐盟數據保護立法情況

歐盟議會于2016年4月通過的《通用數據保護條例》（“GDPR”），于2018年5月25日在歐盟成員國內正式生效實施，其前身是歐盟在1995年制定的《計算機數據保護法》。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。即使一個主體不屬于歐盟成員國的公司（包括免費服務），只要滿足下列兩個條件之一：

（1）為了向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息。

（2）為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。[1]

GDPR法令最重要的兩個原則在于：

1.最大限度地保護個人隱私，嚴格限定企業、政府對個人信息數據的使用條件。將科技、人工智能、數據滲透阻擋于個人隱私之外。

2.要求人工審查重要的人工智能中的算法決策，提供個別算法決策的詳細解釋或關于算法如何做出決定的一般信息。這一條款將大大降低技術黑箱問題的存在。

簡而言之，這兩個原則，試圖保護人類個體不受愈發失控的數據或技術黑箱之侵害。[2]

GDPR被稱為是大數據監管新時代的標志，它的意義在于可以無視利益集團、犧牲科技革新的速度，將科技進步控制在可理解的天花板里，而非放任在失控的黑箱中。

二、美國數據保護立法情況

美國國會研究服務局（簡稱CRS）是專門為美國國會工作，向美國的參眾兩院提供政策和法律建議的機構。CRS分別于2019年3月和5月發布了《數據保護法：綜述》和《數據保護與隱私法律簡介》兩份報告，系統介紹了美國數據保護立法現況。[3]

與歐盟統一立法模式不同，美國聯邦層面沒有統一的數據保護基本法，鑒于普通法和《憲法》對數據保護的局限性，美國采取了分行業式分散立法模式，美國國會頒布了一系列數據保護聯邦立法，在電信、金融、健康、教育以及兒童在線隱私等領域有專門的數據保護立法。具體如下：

1.《格雷姆-里奇-比利雷法》（GLBA）：即《金融現代化法》，旨在對金融機構處理非公開個人信息（nonpublic personal information，以下簡稱NPI）進行規定。

2.《健康保險流通和責任法》（HIPAA）：旨在保護受保護的健康信息（protectedhealth information，以下簡稱PHI）。

3.《公平信用報告法》（FCRA）：旨在確保信用報告機構（以下簡稱CRA）的報告中消費者信用信息的準確性，保護消費者免受錯誤信用信息的侵害。

4.《視頻隱私保護法》（VPPA）：旨在保護租賃、買賣或交付錄像帶和視聽資料過程中的個人隱私，規定未經消費者明確同意不得披露消費者的個人可識別信息（personallyidentifiable information，以下簡稱PII）。

5.《家庭教育權和隱私權法》（FERPA）：旨在保護教育機構收集的教育信息。

6.《聯邦證券法》：沒有直接對數據保護進行規定，但是要求公司應采取防止數據泄露的控制措施，在發生數據泄漏時及時向證券交易委員會（以下簡稱SEC）披露相關情況。

7.《兒童在線隱私保護法》（COPPA）：旨在對商業網站或網絡服務商收集、使用或披露13歲以下兒童的個人信息行為進行規定。

8.《電子通信隱私法》（ECPA）：不針對特定領域進行規定，是美國目前有關電子信息最全面的立法。但是也有批評者指出，ECPA規定的是竊聽和電子監聽行為而非商業數據收集行為。

9.《計算機欺詐和濫用法》（CFAA）：旨在規制計算機黑客，禁止未經授權侵入計算機，不解決數據收集和使用等數據保護問題。但CFAA對于未經授權而侵入計算機并獲得了他人信息的行為規定了法律責任。

10.《聯邦貿易委員會法》（FTC Act）：旨在“禁止不公平或欺騙性貿易行為”（以下簡稱UDAPs），UDAPs在數據保護方面發揮著重要作用。但FTC Act并未要求企業遵守特定的數據保護實踐，并且無法規制沒有做出數據保護承諾的企業。

11.《金融消費者保護法》（CFPA）：與FTC Act類似，旨在禁止機構從事不公平、欺騙或濫用行為。CFPA新設了消費者金融保護局（CFPB），專門負責消費者金融保護，CFPB職責包括制定規則、進行法律監督和執行。

三、中國數據保護立法情況

中國的數據保護立法歷經了對個人信息從間接保護到直接保護、從分散立法到集中立法、從公法治理到綜合治理的歷史沿革，通過出臺《網絡安全法》《消費者權益保護法》《刑法》《征信業管理條例》《電信和互聯網用戶個人信息保護規定》以及其他法律、法規、規章、規范性文件，形成多層次多領域的個人信息保護法律體系。

2018年9月，全國人大公布將《數據安全法》《個人信息保護法》《電信法》《密碼法》列入十三屆人大常委會五年立法規劃，其中《密碼法》已在2019年10月26日第十三屆全國人民代表大會常務委員會第十四次會議表決通過，于2020年1月1日起施行。

《個人信息保護法》和《數據安全法》兩部立法未來將為數字經濟發展提供更有力的法律保障，《數據安全法》的立法價值側重于保障網絡整體安全、國家數據權益以及產業安全，數據安全管理機制、數據安全監管主體、數據分級分類制度、數據全生命周期管理規范、數據安全風險評估制度等內容。《個人信息保護法》側重于對個人信息保護立法的統一，中國現有個人信息保護立法呈現分散性特點，在電商、金融、保險、交通、醫療、電信、郵政、統計等領域均出臺了相應的法律規范，但缺少統一的個人信息保護法。[4]

中國在5G技術領域已處于領先地位，5G大規模應用后，會引領物聯網的快速發展，數據的傳輸和應用將邁入另一個層級，智能化將更加普及，包括遠程手術等都將實現，新的產業模式誕生也伴隨著新的風險管理，需要立法的跟進。

近期，習近平主席作了“加快推動區塊鏈技術和產業創新發展”的講話，必將激勵國內區塊鏈技術和相關產業的蓬勃發展，同時，中國央行已將推行數字貨幣提上日程，區塊鏈技術的產業化應用，是從底層技術上改變現有以互聯網技術為基礎架構的產業結構，在相關立法中應當具有前瞻性，在5G和區塊鏈技術應用等走在世界前列的新技術領域，立法先行，成為數字經濟時代的立法先行者，為后來者提供立法指導。

參考文獻：

[1]通用數據保護條例[EB/OL].百度百科詞條.

[2]雷慢.爬蟲收割隱私，黑箱埋葬靈魂[Z].公眾號“新金融洛書（FintechBook）”.

[3]楊婕.中國信息通信研究院互聯網法律研究中心研究員[Z].一文讀懂美國數據保護立法情況.CAICT互聯網法律研究中心，2019-07-02.

[4]中國信息通信研究院.互聯網法律白皮書（2018年）[Z].2018.12.