國際數據保護及其對我國的啟示
——以歐美數據保護立法為例

文/揚州大學社會發展學院 郝義飛

目前，信息技術已經成為推動社會發展的主要支柱之一。隨著信息技術的發展所產生的大量數據也成為推動社會活動的原動力，對數據的收集、存儲、加工、分析與處理也已經產業化。2021年6月通過的《中華人民共和國數據安全法》明確了數據安全制度與數據安全保護義務。當前，許多國家或機構也認識到數據競爭所帶來的數據安全問題，出臺了一系列法規和措施來保障數據安全。本文以具有代表性的歐盟和美國的數據保護現狀為例，對其數據安全保護舉措及特點進行分析，總結其發展的趨勢，為今后我國的立法和保護措施提供理論基礎。

一、國際數據保護現狀及趨勢

（一）歐盟《通用數據保護條例》。早在1995年，歐盟就頒布了針對個人數據的保護條例《個人數據保護指令》，并于2018年11月14日發布《非個人數據自由流動條例》（Regulation on the Free Flow of Non-personal Data），要求確保非個人數據在歐盟內部的自由流動；同時，圍繞數據開放和流通發布了一系列數據經濟戰略，并于2020年2月發布《歐洲數據戰略》，強調要提升對非個人數據的利用能力。GDPR（歐盟《通用數據保護條例》）在延續了歐盟加強保護個人數據與個人隱私的思路基礎上，將條例從34條擴充至99條，增加了許多新概念、新原則與新權力，主要特點和具體改進如下：

1.適用范圍擴大。在GDPR的應用中，除去本應適用的地理位置的歐洲范圍之外，只要是在提供服務或商品的過程中處理或是應用了歐盟境內個人的數據或是向歐盟境內的個體提供服務或商品，GPPR都是適用的。換言之，數據控制者或數據處理者在歐盟境內的分支機構所進行的一切個人信息處理均應受GDPR約束，無論其處理行為本身是否發生于地理位置上的歐盟境內。

2.數據主體權力強化。在GDPR的框架之下，數據主體擁有知情權、訪問權、反對權、限制處理權、反自動化決策（包括畫像）權，數據被遺忘以及數據可攜帶權。數據被遺忘權賦予了個人數據主體在數據不再必要、撤回主體同意、非法處理個人信息、個人數據需要被擦除等情形下要求數據控制者刪除個人數據的權力。數據可攜帶權賦予了個人數據主體從數據控制者處轉移或獲取其個人數據信息的權力，數據主體有權將其個人數據從一數據控制者處轉移至另一數據控制者處，后兩者無權干涉轉移行為，并應為其提供技術支持。

3.處罰力度提高。根據GDPR規定，歐盟數據保護機構不僅可以對違反GDPR的企業或個人實行警告、責令整改和中止數據處理行為等措施，還可以對違規行為處以極高額的罰款。GDPR對集團設置了兩種罰款方式：（1）罰款1000萬歐元或前一年全球營業額的2%，以較高者為準。（2）罰款2000萬歐元或該公司前一年全球營業額的4%，以較高者為準。可以預見的是，在立法模式上，歐盟以及其他國家共同趨勢是將嚴格政府執法、壓力之下的行業自律。

4.監管機制完善。GDPR針對了對商品和服務提供商的問責與監管機制，如數據保護官與文檔管理。GDPR設立數據保護官職位，其聯系方式必須公布并向監管機構進行報備。并非所有的服務及商品供應者都設立數據保護官。數據保護官的職責主要為：（1）對企業進行GDPR相關法規的監管；（2）向企業及員工提供關于GDPR實施以及數據保護方面的建議；（3）與歐盟GDPR監管部門保持聯系，作為雙方的溝通渠道；（4）負責與數據主體進行溝通，以確保數據主體的權力能夠客觀利用。可見，在立法特點上，歐盟試圖通過使用將規范對象細化到具體場景的立法方式來提升立法的正確性，通過明確各方的責任義務及管理措施來提升治理效果。

（二）美國“將數據作為戰略資產加以利用”。美國自1974年《隱私法案》（Privacy Act）出臺以來，圍繞隱私保護、數據開放開展前瞻性政策和法律布局，建立起符合美國經濟特點的數據治理框架，并于2019年12月發布《聯邦數據戰略與2020年行動計劃》，把“將數據作為戰略資產加以利用”（Leveraging Data as a Strategic Asset）作為美國數據戰略的核心目標。由此可見，美國對于數據的應用持更加積極的態度，美國堅持以市場為主導，以行業自律為主要手段的數據政策，倡導“自由市場式的數據利用”。美國對于不同數據主體的立法具體情形見表1。

表1 美國對于不同數據主體的立法

由此可見，迄今為止，美國仍未有在聯邦層面全面的個人數據保護法案，美國數據保護立法的主要特色是對不同數據主體進行針對性的數據保護。2018年6月28日，美國加利福尼亞州通過了一項隱私法案——《2018加利福尼亞州消費者隱私法案》，于2020年初正式實行。該法案的實行直接影響了Facebook等社交網站以及其他大型企業的隱私披露政策，包括披露他們收集的消費者個人信息的類型和具體內容，收集信息的來源，收集或出售信息的商業目的，以及共享信息的第三方的類型。因此，《2018加利福尼亞州消費者隱私法案》成為美國目前最全方位也最嚴格的隱私法案。美國制定了《聯邦數據戰略與2020年行動計劃》，以幫助聯邦政府加速使用數據來實現為公眾服務并保護數據安全和隱私的目標；為了進行數據方面的合作，成立了一個聯邦多元化服務機構間工作小組。與此同時，建立了一個基于共識、由志愿者管理的聯邦組織——健康信息技術標準委員會（HITSP）。旨在確保美國電子健康記錄的互操作性。在針對關鍵基礎設施的網絡威脅激增的情況下，美國兩黨眾議院議員提出保護網絡安全的立法法案，以提高網絡安全素養并提高美國公眾的意識。美國網絡安全素養法案將要求國家電信和信息管理局開展網絡素養運動，以了解如何保持在線安全并防止網絡攻擊。美國還通過簽署《美國—墨西哥—加拿大協定》（USMCA）降低了數據本土化要求，并認可了《亞太經合組織跨境隱私條例》（OCED），以確保數據跨境流動，同時提供一個可操作的機制來保護數據隱私和跨境流動。

（三）歐美數據保護比較與趨勢。美國和歐盟都發布了自己的標準化和合作框架，用于建設數字政府的數據治理。在建設數字經濟方面，美國之前已經頒布了法律法規，但在州級又出臺了一系列新的數據保護法，為開放數據及其使用創造了一個整體的主動性。而歐盟的重點是建立單一的數字市場，通過數據保護立法建立一個安全有序的數字經濟市場，形成一個協同和保護數據管理系統。同時，美國和歐盟都強調需要重新使用高質量的數據，但同時又對跨境數據流動設定了監管要求，美國采取了更加包容的方式，歐盟則相對保守，更強調歐洲范圍內數據流動的安全性。

二、我國數據保護啟示與對策

（一）加快我國數據安全條文落地。目前，我國關于個人數據保護的條文還分散在國家通用法律中，其中有關個人的數據隱私以及商業數據隱秘的條文都相對籠統和抽象，不能有效保護數據主體的法律權益。相較于歐美國家的標準化與完整的合作框架有一定差距。由此可見，我國已經將數據作為戰略對象進行保護，但目前《中華人民共和國數據安全法》《個人信息保護法》還未經實施，進一步落地和應用尚缺乏可參考的經驗。參考借鑒歐美國家數據治理的概念、視角及其標準化協同路徑，對于促進我國《個人信息保護法》與《中華人民共和國數據安全法》落地應用起著重要的推進作用，對于加快我國數據安全治理立法體系、建設體系有重大意義。

（二）充分調動企業及社會的數據保護責任感。早在2019年，Facebook就在GDPR產生重大影響的環境下，發布了一份旨在為數據遷移和隱私問題提供指南的白皮書。而我國雖然有企業對于數據保護有一定的認知，但大多數企業對于保護用戶的隱私認識不足，甚至有企業無限制、無法紀地收集、處理、發布甚至與第三方共享用戶個人數據以達到其商業目的。我國企業需要認識到保護用戶個人數據也是社會責任之一。從內部管理及數據安全防范方面來說，企業應充分應用先進的數據保護技術，對機密數據則需要持續性的保護。企業必須確保其數據庫、文檔管理系統、文件服務器在整個生命周期內正確分類和保護機密數據。善用數據安全產品和工具、強化安全運營、加強全流程安全保障，打造覆蓋全生命周期的預防、檢測、響應和可視的安全運營體系。從歐美的數據保護法規來看，越來越高額的罰款和處罰制度警醒著我國企業，若未能意識到數據保護的社會責任的重要性，不僅將在市場遭受嚴重的經濟損失，更會失去忠實用戶的信任。

（三）加強個人數據保護意識。碎片化的數據匯聚到一起組成的個人拼圖將對隱私產生威脅，因此加強個人數據的保護意識變得尤為重要。從2017年開始，支付寶與網易推出諸如“年度賬單”“年度歌單”等項目，但在參加項目的同時表示，自己一年消費數據、生活數據權限也被無意識地同意提供給了企業。這一項目也側面反映出現階段我國公民的個人數據保護意識不夠強。因此，美國基于網絡安全素養法案開展的網絡素養運動尤其值得我國借鑒，我國也應個人數據保護意識通過多種形式、多種渠道宣傳普及個人信息保護常識，提升全民個人信息保護意識和技能。

三、結語

綜上所述，歐盟的GDPR與美國“自由市場式的數據利用”為數據的保護提供了新思路與新的探索實踐，這對于我國數據保護進程有著重要的啟示與借鑒。我國數據保護的社會環境與歐美有所差異，如何在施行《個人信息保護法》的基礎上進一步完善數據保護措施，是國家政府、企業乃至個人都需要深入思考的問題。