大數(shù)據(jù)下個(gè)人信息法律保護(hù)研究

延邊大學(xué) 崔龍哲，李松虎

一、歐盟通用數(shù)據(jù)保護(hù)條例考察

（一）GDPR概要

2016年5月，歐盟（EU）為了可以讓其成員國(guó)內(nèi)的個(gè)人信息自由移動(dòng)且強(qiáng)化保護(hù)信息主體，頒布了通用數(shù)據(jù)保護(hù)條例（GDPR），因此，從2018年5月25日開(kāi)始，GDPR代替了1995年的歐盟個(gè)人情報(bào)保護(hù)指南（Directive），開(kāi)始適用。

GDPR的制定目的在于保障自然人的情報(bào)的個(gè)人隱私權(quán)（第一條第二項(xiàng)），同時(shí)使EU內(nèi)的個(gè)人情報(bào)可自由移動(dòng)（第一條第三項(xiàng)），在以往的Directive體系里，會(huì)員國(guó)之間的個(gè)人情報(bào)隱私相關(guān)體系相異，從而時(shí)常發(fā)生沖突，企業(yè)在移動(dòng)使用處理個(gè)人信息的時(shí)候問(wèn)題頻發(fā)，GDPR的制定是把指南上升為條例的高度，使其成為了強(qiáng)有力的、統(tǒng)一的規(guī)定，使其擁有了法定強(qiáng)制力。但在某些部分GDPR還是留下了一些余地，以便讓成員國(guó)可以根據(jù)自身情況進(jìn)行相應(yīng)立法。

（二）GDPR主要內(nèi)容及特點(diǎn)

GDPR本文由11章（Chapter）、99個(gè)條款（Article）、173項(xiàng)（Recital）構(gòu)成，具有強(qiáng)制力，適用于全部EU成員國(guó)。

GDPR所帶來(lái)的主要變化是一方面讓企業(yè)制定個(gè)人信息保護(hù)責(zé)任人（DPO,Data Protection Officer），以及進(jìn)行相應(yīng)的效果評(píng)價(jià)來(lái)強(qiáng)化企業(yè)的責(zé)任，另一方面，增加了刪除權(quán)等權(quán)利來(lái)強(qiáng)化信息主體權(quán)利，而所有會(huì)員國(guó)需以統(tǒng)一的基準(zhǔn)來(lái)支付違約金。

特別是現(xiàn)今成為熱點(diǎn)的數(shù)據(jù)假名化可以影響大數(shù)據(jù)、AI等，GDPR的適用包含數(shù)據(jù)假名化，這使得數(shù)據(jù)處理者可以適用這些假名化的數(shù)據(jù)，因此，數(shù)據(jù)處理者可以以不同于最初收集數(shù)據(jù)的目的，使其被使用與別的目的，如為了公益的記錄保留、統(tǒng)計(jì)，科學(xué)研究等方面，數(shù)據(jù)假名化可以把數(shù)據(jù)本身所帶有的可識(shí)別個(gè)體的效用抹除，使得數(shù)據(jù)主體避免隱患，信息處理者也可以處理更多有用的數(shù)據(jù)。

（三）個(gè)人情報(bào)跨國(guó)轉(zhuǎn)移

GDPR第五章規(guī)定了個(gè)人情報(bào)的跨國(guó)轉(zhuǎn)移，第44條規(guī)定了除特例外個(gè)人情報(bào)的轉(zhuǎn)移必須遵守GDPR第五章的規(guī)定。

GDPR第101項(xiàng)強(qiáng)調(diào)為了國(guó)際貿(mào)易與國(guó)際合作的個(gè)人情報(bào)的跨國(guó)轉(zhuǎn)移的不可避免性，一般原則也明示了GDPR所保護(hù)的強(qiáng)度不會(huì)隨著跨國(guó)轉(zhuǎn)移而有所減弱，但同時(shí)，這些規(guī)定也給我們帶來(lái)的一些值得思考的研究點(diǎn)。

GDPR所規(guī)定的數(shù)據(jù)域外轉(zhuǎn)移可分成三個(gè)部分：

（1）基于充分性保護(hù)決策（Transfers on the basis of an adequacy decision）

（2）基于適當(dāng)?shù)谋Ｗo(hù)水平(Transfers subject to appropriate safeguards)

（3）基于數(shù)據(jù)主體的明確同意或履行合同所必需等特殊情況(Derogation for specific situations)

可以得到個(gè)人情報(bào)主體的統(tǒng)一的特定狀況包含在3的情況，而要想在EU進(jìn)行個(gè)人情報(bào)跨國(guó)轉(zhuǎn)移，需以1為原則性準(zhǔn)則，即符合給予充分性保護(hù)決策。

參考1995年的Directive的話，EU成員國(guó)的成員想要把數(shù)據(jù)轉(zhuǎn)移到成員國(guó)之外的國(guó)家的話，以轉(zhuǎn)移對(duì)象國(guó)可保障適當(dāng)?shù)膫€(gè)人情報(bào)數(shù)據(jù)為原則上的條件（Directive第四章規(guī)定），這同時(shí)也意味著適當(dāng)性評(píng)價(jià)不是唯一方法，如可以通過(guò)BCRs等也可以轉(zhuǎn)移，Directive也規(guī)定了轉(zhuǎn)移后的再次轉(zhuǎn)移（轉(zhuǎn)移到第三國(guó)或國(guó)際組織）的情形，但是只規(guī)定了一部分，而GDPR的規(guī)定相對(duì)完善很多。

1.基于充分性保護(hù)決策的轉(zhuǎn)移

所謂基于充分性保護(hù)決策是指當(dāng)EU內(nèi)的個(gè)人情報(bào)轉(zhuǎn)移至域外第三國(guó)或國(guó)際組織之時(shí)，根據(jù)歐盟委員會(huì)的判斷，衡量對(duì)象國(guó)的個(gè)人情報(bào)保護(hù)水準(zhǔn)與EU相關(guān)制度相比處于充分適當(dāng)?shù)谋Ｗo(hù)水準(zhǔn)（adequate level of protection）之時(shí)可轉(zhuǎn)移的決策。

得到認(rèn)可的對(duì)象國(guó)可像EU成員國(guó)內(nèi)互相轉(zhuǎn)移情報(bào)一樣也可以不受限制的轉(zhuǎn)移情報(bào)，而進(jìn)行評(píng)價(jià)時(shí)，應(yīng)當(dāng)要周到考慮GDPR第45條第二項(xiàng)的各種要素，不僅如此，歐盟委員會(huì)還規(guī)定了應(yīng)當(dāng)設(shè)立對(duì)現(xiàn)行適用的相關(guān)法律的定期檢查流程，最少每隔四年檢查一次，且必須明確監(jiān)督機(jī)關(guān)，執(zhí)行委員會(huì)需持續(xù)監(jiān)控個(gè)人情報(bào)改善事項(xiàng)等，以保障基于充分性保護(hù)決策的穩(wěn)定。

對(duì)充分性保護(hù)決策的撤回也有規(guī)定，當(dāng)執(zhí)行委員會(huì)認(rèn)為得到承認(rèn)的第三國(guó)已經(jīng)不能維持正常被認(rèn)可的水準(zhǔn)之時(shí)，可撤回、修訂、或者終止充分性保護(hù)決策的許可，但執(zhí)行委員會(huì)得跟該第三國(guó)說(shuō)明理由且進(jìn)行適當(dāng)?shù)膮f(xié)商。

而做出基于充分性保護(hù)決策時(shí)，需要考慮的事項(xiàng)有以下幾點(diǎn)：

（1）個(gè)人情報(bào)信息被侵害時(shí)是否能得到有效救濟(jì)，對(duì)象國(guó)個(gè)人信息保護(hù)法律體系是否完善，對(duì)象國(guó)個(gè)人信息保護(hù)法律實(shí)行情況是否良好，特別是對(duì)EU公民的權(quán)利保障提示是否完善或?qū)Σ皇荅U區(qū)域內(nèi)的主體的權(quán)利是否保障。

（2）事后管理。對(duì)于取得批準(zhǔn)的對(duì)象國(guó)，執(zhí)行委員會(huì)應(yīng)當(dāng)持續(xù)地監(jiān)督對(duì)象國(guó)的實(shí)際狀況，當(dāng)認(rèn)為已不符合批準(zhǔn)條件之時(shí)便可撤回、終止許可。

2.基于適當(dāng)?shù)谋Ｗo(hù)水平

在基于充分性保護(hù)決策上得不到許可之時(shí)，可采取得到基于適當(dāng)?shù)谋Ｗo(hù)水平許可，相關(guān)監(jiān)督機(jī)關(guān)如果承認(rèn)可以得到有實(shí)效的法律救濟(jì)的話即可許可。

不需要相關(guān)監(jiān)督機(jī)關(guān)的許可的情況可分為以下六種：

（1）行政機(jī)關(guān)或機(jī)構(gòu)間存在有強(qiáng)制力且可執(zhí)行的法律規(guī)定；

（2）有強(qiáng)制力的企業(yè)規(guī)定（BCRs）；

（3）信息情報(bào)保護(hù)條款；

（4）個(gè)人信息保護(hù)條款；

（5）被承認(rèn)的行動(dòng)準(zhǔn)則；

（6）被承認(rèn)的認(rèn)證機(jī)制。

需要相關(guān)監(jiān)督機(jī)關(guān)的許可的情況分為以下兩種：

（1）契約條款；

（2）公共機(jī)關(guān)間的行政約定。

以科學(xué)、歷史研究，公益性記錄，統(tǒng)計(jì)為目的的使用需要保障信息主體的權(quán)利與自由，因此需要適當(dāng)?shù)陌踩b置，據(jù)此，EU與其成員國(guó)可制定例外規(guī)則，面對(duì)不需要相關(guān)監(jiān)督機(jī)關(guān)的許可的情況，行政機(jī)關(guān)或機(jī)構(gòu)間存在有強(qiáng)制力且可執(zhí)行的法律規(guī)定中應(yīng)當(dāng)包含可實(shí)行的有實(shí)效的信息主體的權(quán)利。有強(qiáng)制力的企業(yè)規(guī)定（BCRs）是指企業(yè)樹(shù)立Binding Company Rules(以下簡(jiǎn)稱BCR)，在得到EU成員國(guó)監(jiān)督機(jī)構(gòu)（DPA，Data protection authorities）的承認(rèn)后在往后的域外個(gè)人信息轉(zhuǎn)移也不需要再得到個(gè)別的承認(rèn)。

在結(jié)合GDPR第47條規(guī)定，可知如果想制定有強(qiáng)制力的企業(yè)規(guī)定（BCR）的話，必須具有法律上的約束力，且適用于包括被雇傭人在內(nèi)的企業(yè)所有成員以及被他們所履行，進(jìn)一步還需明示信息主體有關(guān)情報(bào)處理所擁有的權(quán)利，并把從事共同經(jīng)濟(jì)活動(dòng)的集團(tuán)及各組成人員的聯(lián)絡(luò)網(wǎng)明示到企業(yè)規(guī)則。不需要相關(guān)監(jiān)督機(jī)關(guān)的許可的情況中的信息情報(bào)保護(hù)條款及個(gè)人信息保護(hù)條款是指EU委員會(huì)根據(jù)GDPR第93條規(guī)定的審查程序或監(jiān)督機(jī)關(guān)制定，EU委員會(huì)承認(rèn)的條款。被承認(rèn)的行動(dòng)準(zhǔn)則是指自主制定的準(zhǔn)則得到了監(jiān)督機(jī)關(guān)的承認(rèn)的情況。被承認(rèn)的認(rèn)證機(jī)制是指?jìng)€(gè)人信息處理者自主向監(jiān)督機(jī)關(guān)或認(rèn)證機(jī)構(gòu)得到認(rèn)證的制度，得到認(rèn)證需證明第三國(guó)在實(shí)行適當(dāng)?shù)摹⒂幸欢ㄋ疁?zhǔn)的安全措施，此認(rèn)證三年有效，三年后如果還繼續(xù)保有一定水準(zhǔn)的安全措施即可延期，但沒(méi)有的時(shí)候會(huì)被撤回認(rèn)證。

需要相關(guān)監(jiān)督機(jī)關(guān)的許可的情況是指契約條款及公共機(jī)關(guān)間的行政約定這兩種情況下，GDPR會(huì)采取更嚴(yán)格的要求及審查程序。

3.基于數(shù)據(jù)主體的明確同意或履行合同所必需等特殊情況

基于充分性保護(hù)決策及基于適當(dāng)?shù)谋Ｗo(hù)水平這兩項(xiàng)都不可行的情況下，可以以基于數(shù)據(jù)主體的明示性明確同意情況下轉(zhuǎn)移數(shù)據(jù)。除此之外，如果情報(bào)處理者所追求的正當(dāng)利益相比數(shù)據(jù)主體的權(quán)利優(yōu)先的情況下，也可以轉(zhuǎn)移數(shù)據(jù)，但必須報(bào)告與監(jiān)督機(jī)構(gòu)并且通知數(shù)據(jù)主體。

二、美國(guó)加州消費(fèi)者隱私法案考察

（一）概要

2017年9月，以629000名公民簽名的提案為開(kāi)端，于2018年6月28日，美國(guó)加利福尼亞州通過(guò)了規(guī)定消費(fèi)者權(quán)利與經(jīng)營(yíng)者義務(wù)的加州消費(fèi)者隱私法案（CCPA）。

CCPA實(shí)行于2020年1月1日，但于2020年7月1日才正式發(fā)揮效力，因此在加利福尼亞州所有從事于網(wǎng)絡(luò)上收集、購(gòu)買(mǎi)、販賣(mài)消費(fèi)者個(gè)人信息的有關(guān)商家于2020年7月1日期必須遵守CCPA。

CCPA被評(píng)價(jià)為美國(guó)史上最強(qiáng)有力的個(gè)人隱私信息保護(hù)法，雖然不是聯(lián)邦法而僅僅是州法，但加利福尼亞州作為擁有美國(guó)百分之十以上人口的大洲，以及加利福尼亞州北部的硅谷作為誕生了如Google、Facebook、Apple等知名的國(guó)際IT公司的地方，在全世界范圍內(nèi)受到了廣泛的關(guān)注。

CCPA總共有19條條文，其適用范圍是以獲取股東或其他所有者的收益為目的，獨(dú)立經(jīng)營(yíng)、合伙有限責(zé)任公司、股份公司、聯(lián)盟等法律實(shí)體，收集消費(fèi)者個(gè)人信息，單獨(dú)或與其他實(shí)體共同決定消費(fèi)者個(gè)人信息的處理目的和方式，且在加州進(jìn)行商業(yè)活動(dòng)，并至少滿足以下條件之一的：

（1）年總收入超過(guò)2千5百萬(wàn)美元；

（2）出于商業(yè)目的，每年買(mǎi)入和/或接收超過(guò)5萬(wàn)名消費(fèi)者的個(gè)人信息；

（3）50%以上的年收入通過(guò)售賣(mài)個(gè)人信息獲得。

CCPA雖然不適用于居住在加利福尼亞州以外的居民，但原則上對(duì)加利福尼亞居民為對(duì)象提供服務(wù)的主體也包含在內(nèi)。

CCPA規(guī)定了很多具體的個(gè)人信息類型，CCPA規(guī)定的個(gè)人信息類型范圍比起聯(lián)邦法寬了很多。

（二）CCPA主要內(nèi)容及特點(diǎn)

CCPA大體上可分為三個(gè)部分，一是經(jīng)營(yíng)者的義務(wù)，二是消費(fèi)者的權(quán)利，三是權(quán)利救濟(jì)與處罰。

1.經(jīng)營(yíng)者的義務(wù)

CCPA規(guī)定經(jīng)營(yíng)者在搜集個(gè)人情報(bào)時(shí)應(yīng)當(dāng)告知當(dāng)事人，應(yīng)當(dāng)制定個(gè)人情報(bào)處理方針且公開(kāi)，應(yīng)當(dāng)上傳個(gè)人情報(bào)販賣(mài)終止鏈接選項(xiàng)等種種義務(wù)，經(jīng)營(yíng)者需要在網(wǎng)站上以醒目的方式上傳帶有Do Not Sell My Personal Information（不要販賣(mài)我的個(gè)人情報(bào)）的鏈接選項(xiàng)，并且有義務(wù)向消費(fèi)者說(shuō)明存在于CCPA里的消費(fèi)者所具有的終止販賣(mài)指示權(quán)，并且禁止對(duì)消費(fèi)者進(jìn)行區(qū)別對(duì)待，禁止對(duì)消費(fèi)者進(jìn)行區(qū)別對(duì)待是指不能因?yàn)橄M(fèi)者行使了依據(jù)CCPA賦予的權(quán)利而對(duì)消費(fèi)者進(jìn)行價(jià)格、品質(zhì)、服務(wù)上的打壓，即就算消費(fèi)者行使了個(gè)人信息拒絕販賣(mài)權(quán)，刪除權(quán)等權(quán)利，也必須以同等的價(jià)格、品質(zhì)進(jìn)行服務(wù)。

2.消費(fèi)者的權(quán)利

CCPA賦予了消費(fèi)者個(gè)人信息公開(kāi)要求權(quán)、閱覽要求全、刪除要求權(quán)等權(quán)利，如消費(fèi)者有權(quán)要求經(jīng)營(yíng)者僅公開(kāi)特定的一部分信息、經(jīng)營(yíng)者在接受消費(fèi)者閱覽其信息的邀請(qǐng)時(shí)需向消費(fèi)者無(wú)償公開(kāi)提供其信息、消費(fèi)者有權(quán)要求經(jīng)營(yíng)者刪除從自身搜集到的個(gè)人情報(bào)信息、消費(fèi)者有權(quán)要求經(jīng)營(yíng)者終止販賣(mài)自己的個(gè)人信息等。

3.權(quán)利救濟(jì)與處罰

CCPA規(guī)定消費(fèi)者集體訴訟、法定損害賠償、實(shí)際損害賠償?shù)纫幌盗刑幜P規(guī)定，并且同時(shí)也規(guī)定了相應(yīng)的民事罰款。

消費(fèi)者可以在實(shí)際損害賠償與法定損害賠償之中選擇一個(gè)賠償數(shù)額較高的方式，法定損害賠償規(guī)定為每一個(gè)案件最低100美元、最高700美元的限度，但消費(fèi)者在提起訴訟前必須在30日之前通知經(jīng)營(yíng)者并且告知其違法事項(xiàng)，如果經(jīng)營(yíng)者在這30日之內(nèi)改正違反事項(xiàng)的話，消費(fèi)者不可提起損害賠償訴訟，同樣的州法務(wù)長(zhǎng)官也可以進(jìn)行通知，如果經(jīng)營(yíng)者沒(méi)有在30日以內(nèi)改正，則需要對(duì)每一個(gè)違反事項(xiàng)支付2500美元以下的罰款，如果是故意違反、故意不修正之時(shí)罰款可高達(dá)7500美元。

三、結(jié)論及建議

2015年7月4日，國(guó)務(wù)院印發(fā)《國(guó)務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》，這表明國(guó)家對(duì)互聯(lián)網(wǎng)個(gè)人信息保護(hù)方面的關(guān)注。中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日正式通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，此法自2017年6月1日起施行。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的意義在于把分散的網(wǎng)絡(luò)安全與個(gè)人信息相關(guān)的一些規(guī)定進(jìn)行統(tǒng)一規(guī)定，而我國(guó)的個(gè)人信息保護(hù)法也在緊鑼密鼓地籌備著，2020年10月13日，十三屆全國(guó)人大常委會(huì)委員長(zhǎng)會(huì)議提出了關(guān)于提請(qǐng)審議個(gè)人信息保護(hù)法草案的議案，相信不久的將來(lái)我們將會(huì)迎接我們的個(gè)人信息保護(hù)法出臺(tái)。

考慮到網(wǎng)絡(luò)安全法及將來(lái)出臺(tái)的個(gè)人信息保護(hù)法，我們應(yīng)當(dāng)著重考察GDPR及CCPA上的可借鑒點(diǎn)，以此完善我國(guó)的法律構(gòu)建。

首先，我們應(yīng)當(dāng)完善跨國(guó)企業(yè)內(nèi)部間的跨國(guó)數(shù)據(jù)轉(zhuǎn)移，在全球化時(shí)代，跨國(guó)公司已成為全球潮流，因此完善此問(wèn)題也是必不可少的；第二，完善對(duì)企業(yè)的監(jiān)督，增加企業(yè)的義務(wù)并令其嚴(yán)格遵守，我們都知道管控企業(yè)對(duì)個(gè)人信息的濫用其實(shí)是變相保護(hù)消費(fèi)者，中國(guó)的企業(yè)還有很多不規(guī)范的地方，這些方面必須要有實(shí)效性的進(jìn)行管控；第三，盡快引入且完善數(shù)據(jù)假名化；第四，明確規(guī)定消費(fèi)者的權(quán)利，例如刪除權(quán)，閱覽權(quán)等，在消費(fèi)者權(quán)利方面的規(guī)定我們可以從CCPA吸取經(jīng)驗(yàn)。