數(shù)據(jù)保護(hù)規(guī)制國際概述及對(duì)我國網(wǎng)絡(luò)安全治理的啟示

桂暢旎，王雅

（中國信息安全測評(píng)中心，北京 100085）

數(shù)據(jù)保護(hù)規(guī)制國際概述及對(duì)我國網(wǎng)絡(luò)安全治理的啟示

桂暢旎，王雅

（中國信息安全測評(píng)中心，北京 100085）

在信息經(jīng)濟(jì)時(shí)代，個(gè)人數(shù)據(jù)成為推動(dòng)網(wǎng)絡(luò)活動(dòng)的原動(dòng)力，各國紛紛出臺(tái)相關(guān)政策法規(guī)進(jìn)行規(guī)制。本文主要通過分析聯(lián)合國貿(mào)易和發(fā)展會(huì)議（UNCTAD）發(fā)布的《數(shù)據(jù)保護(hù)規(guī)制和國際數(shù)據(jù)流動(dòng)：對(duì)貿(mào)易和發(fā)展的影響》報(bào)告，審視各國及多利益攸關(guān)方的數(shù)據(jù)治理經(jīng)驗(yàn)與框架，把握數(shù)據(jù)保護(hù)與隱私立法中的關(guān)鍵問題，并總結(jié)未來可能采取的政策選擇，以期為我國的網(wǎng)絡(luò)安全治理提供有益參考。

個(gè)人數(shù)據(jù)；數(shù)據(jù)保護(hù)規(guī)制；數(shù)據(jù)治理；政策選擇

桂暢旎 (1990-)，女，重慶人，中國信息安全測評(píng)中心研究實(shí)習(xí)員，碩士，主要研究網(wǎng)絡(luò)空間安全戰(zhàn)略。

王雅 (1988-)，女，北京人，中國信息安全測評(píng)中心。

在信息經(jīng)濟(jì)時(shí)代，個(gè)人數(shù)據(jù)成為推動(dòng)網(wǎng)絡(luò)活動(dòng)的原動(dòng)力，跨境數(shù)據(jù)流動(dòng)成為國際貿(mào)易新形式，數(shù)據(jù)跨境即時(shí)且無處不在，數(shù)據(jù)信息詳盡且時(shí)效持久。數(shù)據(jù)流動(dòng)的重要性越來越突出，數(shù)據(jù)與隱私保護(hù)的需求越來越普遍，各國紛紛出臺(tái)相關(guān)政策法規(guī)進(jìn)行規(guī)制。2016年4月，聯(lián)合國貿(mào)易和發(fā)展會(huì)議（UNCTAD）組織各界學(xué)者、政府官員與企業(yè)人士系統(tǒng)梳理了當(dāng)前國際、區(qū)域、國家以及多邊層面的數(shù)據(jù)保護(hù)法規(guī)與路徑，集結(jié)形成了《數(shù)據(jù)保護(hù)規(guī)制和國際數(shù)據(jù)流動(dòng)：對(duì)貿(mào)易和發(fā)展的影響》報(bào)告，引發(fā)多方關(guān)注。在我國日益重視跨境數(shù)據(jù)管理，并于近日出臺(tái)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》（意見征集稿）的背景下，分析該報(bào)告對(duì)于我們?nèi)鎸徱暩鲊鴶?shù)據(jù)保護(hù)實(shí)踐，系統(tǒng)理解數(shù)據(jù)保護(hù)規(guī)制與國際貿(mào)易的關(guān)系，提升我國網(wǎng)絡(luò)空間治理能力將有所裨益。

報(bào)告分為四部分，第一部分即前言闡述了報(bào)告出臺(tái)的背景；第二部分陳述了數(shù)據(jù)保護(hù)法規(guī)發(fā)展及應(yīng)用面臨的七大挑戰(zhàn)；第三部分介紹了四類實(shí)踐方式；第四部分總結(jié)了兩類政策選擇特點(diǎn)。

一、前言

（一）跨境數(shù)據(jù)商業(yè)價(jià)值不斷增加

報(bào)告引用麥肯錫公司數(shù)據(jù)顯示，2014年，跨境傳輸?shù)纳唐?、服?wù)以及資金達(dá)30萬億美元，約12%的國際貿(mào)易交易是通過阿里巴巴、亞馬遜等電子平臺(tái)完成。全球跨境商貿(mào)流動(dòng)直接推動(dòng)全球GDP增長約10%，相當(dāng)于7.8萬億美元，其中數(shù)據(jù)流動(dòng)直接貢獻(xiàn)了2.8萬億美元。可以說，“數(shù)據(jù)驅(qū)動(dòng)”已成為全球經(jīng)濟(jì)發(fā)展的關(guān)鍵因素。

（二）全球數(shù)據(jù)保護(hù)政策參差不齊

報(bào)告認(rèn)為，數(shù)據(jù)保護(hù)與電子商貿(mào)直接相關(guān)，一方面，數(shù)據(jù)保護(hù)不足將削弱消費(fèi)者信心，進(jìn)而引發(fā)負(fù)面的市場效應(yīng)；另一方面，過度的數(shù)據(jù)保護(hù)又會(huì)限制創(chuàng)新及商業(yè)的發(fā)展，造成經(jīng)濟(jì)秩序混亂。因此，建立一套具有全球稟賦且兼容的數(shù)據(jù)保護(hù)體系至關(guān)重要。但當(dāng)前全球數(shù)據(jù)保護(hù)整體上不盡如意，一方面，部分國家還未制定數(shù)據(jù)保護(hù)法規(guī)；另一方面，現(xiàn)存的數(shù)據(jù)保護(hù)法規(guī)又呈現(xiàn)碎片化的特征，相互兼容性低。再加上云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，相應(yīng)的數(shù)據(jù)保護(hù)法規(guī)跟不上技術(shù)的發(fā)展，跨境數(shù)據(jù)問題越來越突出。

在此背景下，報(bào)告梳理當(dāng)前國際、區(qū)域、國家以及多邊層面的數(shù)據(jù)保護(hù)法規(guī)與路徑，致力于建立統(tǒng)一的具有兼容性的數(shù)據(jù)保護(hù)框架，為后發(fā)國家提供法律政策選擇，促進(jìn)全球貿(mào)易的發(fā)展。

二、國際數(shù)據(jù)保護(hù)面臨七大挑戰(zhàn)

數(shù)據(jù)管理涉及方方面面，利益攸關(guān)方背景多元，報(bào)告主要聚焦亟需采取行動(dòng)的七大挑戰(zhàn)。

（一）各國數(shù)據(jù)保護(hù)法規(guī)差異

雖然各國在提高數(shù)據(jù)保護(hù)機(jī)制的兼容性上達(dá)成共識(shí)，但各國在數(shù)據(jù)保護(hù)法規(guī)上的現(xiàn)實(shí)差距仍然是主要障礙，主要包括以下三種情形：一是部分國家尚未制定數(shù)據(jù)保護(hù)法規(guī)。目前，全球已有108個(gè)國家制定了相關(guān)的數(shù)據(jù)保護(hù)法規(guī)，但仍然有30%的國家迫于經(jīng)費(fèi)與技術(shù)的壓力，至今還未出臺(tái)相關(guān)的法律。隨著國際貿(mào)易越來越與數(shù)據(jù)保護(hù)相掛鉤（個(gè)別國家要求交易國滿足最低的數(shù)據(jù)保護(hù)需求），導(dǎo)致法律后發(fā)國家面臨著脫離于國際貿(mào)易的風(fēng)險(xiǎn)。二是“例外情形”廣泛存在。主要的“例外情形”涉及數(shù)據(jù)的主體（如只針對(duì)兒童、雇員）、數(shù)據(jù)的敏感度（如涉及健康記錄與金融數(shù)據(jù)）、數(shù)據(jù)的來源（如是否來源于網(wǎng)上）、數(shù)據(jù)的部門性（如公共部門或私營部門）等等。其中北美和亞太地區(qū)的“例外情形”要求較為繁復(fù)，歐盟、南美與非洲地區(qū)則較少。“例外情形”的泛濫增加了相關(guān)方辨別及分類難度，提高了充分性要求的門檻，較易出現(xiàn)具有爭議的解釋。三是企業(yè)作為數(shù)據(jù)保護(hù)實(shí)體，自主權(quán)增大。近年來企業(yè)數(shù)據(jù)保護(hù)的自主權(quán)越來越大，主要存在兩種類型，一類是企業(yè)基于自愿原則自主參與數(shù)據(jù)保護(hù)機(jī)制，保護(hù)特定范圍的數(shù)據(jù)并進(jìn)行公示，如美歐《隱私盾協(xié)議》、亞太經(jīng)合組織（APEC）的跨境隱私法規(guī)體系（CBPRs），這類多邊協(xié)議的數(shù)據(jù)保護(hù)范圍有限，將政府或以政府名義持有或處理的數(shù)據(jù)排除在外。另一類是企業(yè)明示部分例外情形，如將手機(jī)APP、云服務(wù)、軟件等商業(yè)數(shù)據(jù)保護(hù)排除在外，且采用第三方爭端解決機(jī)制處理，對(duì)消費(fèi)者影響較大。

（二）新興技術(shù)帶來現(xiàn)實(shí)挑戰(zhàn)

目前，新技術(shù)對(duì)數(shù)據(jù)保護(hù)的挑戰(zhàn)主要集中在個(gè)人數(shù)據(jù)識(shí)別與跨境數(shù)據(jù)的管理上。一是云計(jì)算技術(shù)。由于云平臺(tái)數(shù)據(jù)海量復(fù)雜，且跨境低廉簡便，因此制定“云”服務(wù)的專門法規(guī)較難，再加上“云計(jì)算”與跨境數(shù)據(jù)傳輸往往又與政府監(jiān)控密切相關(guān)，因此印尼和俄羅斯等國已開始出臺(tái)針對(duì)“云計(jì)算”技術(shù)的數(shù)據(jù)本地化法規(guī)。二是物聯(lián)網(wǎng)技術(shù)。物聯(lián)網(wǎng)技術(shù)發(fā)展迅速，并與民眾生活息息相關(guān)，但也帶來了隱私與安全隱患，由于相關(guān)的立法滯后，使得物聯(lián)網(wǎng)技術(shù)成為當(dāng)前面臨的最大技術(shù)挑戰(zhàn)。三是大數(shù)據(jù)分析技術(shù)?；诤Ａ繑?shù)據(jù)的分析往往存在收集目的偏差、違規(guī)存儲(chǔ)、處理分析方法不公開透明等弊端，甚至?xí)斐蓢?yán)重的數(shù)據(jù)泄露，給隱私保護(hù)帶來了極大的隱患。

（三）跨境數(shù)據(jù)管理方式多樣

目前對(duì)跨境數(shù)據(jù)的管理方式多種多樣，但缺乏一個(gè)全球性的統(tǒng)一的法律框架。一方面，以美國為代表的國家未對(duì)跨境數(shù)據(jù)作任何限制；另一方面，已進(jìn)行規(guī)制的國家則保留了兩類“例外情形”，一類是一次性“例外情形”如數(shù)據(jù)主體要求或執(zhí)法所需，另一類是持續(xù)性“例外情形”，囊括充分性要求（如白名單制度）、約束性規(guī)則（如必須具備審查機(jī)構(gòu)）、標(biāo)準(zhǔn)合同范本、同意原則等?！袄馇樾巍钡姆簽E導(dǎo)致跨境數(shù)據(jù)管理呈現(xiàn)明顯的碎片化特征。

（四）政府監(jiān)控危及公民隱私

監(jiān)控與數(shù)據(jù)保護(hù)一直以來都是一個(gè)“邊緣”議題，主要的數(shù)據(jù)保護(hù)條例均對(duì)該問題采取“避而不談”的態(tài)度。隨著全球數(shù)據(jù)保護(hù)意識(shí)的崛起，特別是斯諾登事件后，政府監(jiān)控的邊界以及如何平衡好政府監(jiān)控與數(shù)據(jù)保護(hù)的關(guān)系成為全球熱議的焦點(diǎn)。對(duì)此，美國政府出臺(tái)了相關(guān)法律對(duì)政府大規(guī)模監(jiān)控進(jìn)行了限制，同時(shí)賦予公民問責(zé)權(quán)以限制情報(bào)機(jī)構(gòu)的執(zhí)法。

（五）打擊犯罪亟待加強(qiáng)執(zhí)法

目前，隨著大規(guī)模數(shù)據(jù)泄露案件的頻發(fā)，數(shù)據(jù)保護(hù)領(lǐng)域內(nèi)的執(zhí)法與懲罰力度有逐漸加強(qiáng)的趨勢，特別是在歐盟、香港、日本等國家與地區(qū)的法律修訂中，加強(qiáng)執(zhí)法已成為一個(gè)關(guān)鍵議題。實(shí)踐證明，加大懲罰力度對(duì)于促進(jìn)企業(yè)數(shù)據(jù)保護(hù)改革、樹立行業(yè)典范具有積極作用。

（六）跨境數(shù)據(jù)爭端如何確定管轄權(quán)

由于數(shù)據(jù)的跨境傳輸越來越普遍，因此確定管轄權(quán)已成為數(shù)據(jù)保護(hù)法規(guī)中的一項(xiàng)緊急且重要的議題。美國、日本、歐盟等出臺(tái)的國內(nèi)數(shù)據(jù)保護(hù)法中均出現(xiàn)了部分域外條款，普遍要求對(duì)收集本國公民數(shù)據(jù)的行為進(jìn)行法律規(guī)制。

（七）企業(yè)安全合規(guī)成本高企

數(shù)據(jù)保護(hù)法規(guī)在一定程度上限制了企業(yè)創(chuàng)新，并給企業(yè)（特別是中小企業(yè)）帶來了額外的合規(guī)性成本。如類似于美歐“隱私盾協(xié)議”等規(guī)則的行政手續(xù)繁復(fù)，登記費(fèi)用高昂，且要求會(huì)員定期繳交注冊(cè)費(fèi)；部分?jǐn)?shù)據(jù)保護(hù)法還要求企業(yè)必須設(shè)置數(shù)據(jù)保護(hù)官，以及在當(dāng)?shù)卦O(shè)立數(shù)據(jù)中心或辦公室的硬性規(guī)定，都直接加劇了中小企業(yè)的合規(guī)性負(fù)擔(dān)，遲滯創(chuàng)新發(fā)展。

三、四類實(shí)踐與探索

（一）全球發(fā)展和經(jīng)驗(yàn)教訓(xùn)

報(bào)告探討了四種國際數(shù)據(jù)保護(hù)模式及其優(yōu)缺點(diǎn)。

一是聯(lián)合國模式。聯(lián)合國一直以來將數(shù)據(jù)保護(hù)置于基本人權(quán)保護(hù)的范疇下，并于2013年發(fā)布《數(shù)字時(shí)代的隱私權(quán)》聲明，提出在國內(nèi)及域外監(jiān)控?cái)?shù)字通信以及收集個(gè)人數(shù)據(jù)的情形下，重視公民隱私權(quán)的問題。除此之外，聯(lián)合國還于2015年設(shè)立“隱私權(quán)特別報(bào)告員”，負(fù)責(zé)收集資料、協(xié)調(diào)標(biāo)準(zhǔn)、提交報(bào)告等。聯(lián)合國數(shù)據(jù)保護(hù)是從人權(quán)保護(hù)的視角出發(fā)，覆蓋全球?qū)用?，但保護(hù)規(guī)則多宣言式，缺乏實(shí)施所需的資源。

二是“公約108”模式。“公約108”是指歐洲理事會(huì)于1981年發(fā)布的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》，條約提供全面的數(shù)據(jù)保護(hù)模式，并面向所有國家開放，是目前全球標(biāo)準(zhǔn)最為嚴(yán)格的數(shù)據(jù)保護(hù)條約，但條約的歐洲色彩較為濃厚，也面臨著與美國等國家的協(xié)調(diào)。

三是經(jīng)合組織（OECD）模式。經(jīng)合組織于1980年公布《保護(hù)隱私與個(gè)人數(shù)據(jù)跨境流動(dòng)管理的指導(dǎo)原則》，提出了八項(xiàng)隱私保護(hù)原則，成為世界各組織制定隱私保護(hù)政策時(shí)的主要參考，分別是：限制收集原則、數(shù)據(jù)品質(zhì)原則、目的明確原則、利用限制原則、安全措施原則、公開原則、個(gè)人參與原則、責(zé)任原則。OECD模式致力于實(shí)現(xiàn)數(shù)據(jù)保護(hù)與流通之間的平衡，具有廣泛的支持度；但OECD的規(guī)則不具有約束力，且個(gè)別國家意志突出。

四是國際數(shù)據(jù)保護(hù)專門組織模式。致力于制定全球數(shù)據(jù)保護(hù)法規(guī)的國際數(shù)據(jù)保護(hù)部門的實(shí)踐也不容忽視，此類部門涉及眾多國際利益實(shí)體，目前主要聚焦在隱私保護(hù)上。始于20世紀(jì)80年代初的數(shù)據(jù)保護(hù)和隱私權(quán)專員會(huì)議，是個(gè)人數(shù)據(jù)隱私保護(hù)領(lǐng)域的一個(gè)重要組織，其前身是西歐數(shù)據(jù)保護(hù)和隱私權(quán)保護(hù)專員會(huì)議。會(huì)議每年召開一次，現(xiàn)在已經(jīng)發(fā)展成為世界性的數(shù)據(jù)隱私保護(hù)會(huì)議。2005年，第27屆數(shù)據(jù)保護(hù)和隱私專員會(huì)議在瑞士蒙特勒召開，通過了關(guān)于在全球化世界中保護(hù)個(gè)人數(shù)據(jù)即保護(hù)一項(xiàng)尊重多樣性的普遍權(quán)利的《蒙特勒宣言》，其強(qiáng)調(diào)在尊重差異性的基礎(chǔ)上，在全球范圍內(nèi)進(jìn)行數(shù)據(jù)隱私保護(hù)工作；呼吁聯(lián)合國起草一項(xiàng)有法律約束力的文書，明確數(shù)據(jù)隱私權(quán)的細(xì)節(jié)，將數(shù)據(jù)隱私保護(hù)視為人權(quán)保護(hù)的一部分強(qiáng)制施行；呼吁各國政府對(duì)數(shù)據(jù)和隱私保護(hù)進(jìn)行立法，并開展數(shù)據(jù)隱私保護(hù)合作。數(shù)據(jù)保護(hù)和隱私權(quán)專員模式具有較強(qiáng)的全球影響力，并且具有豐富的經(jīng)驗(yàn)與國際視野，但是缺乏正式的結(jié)構(gòu)框架，且宣言具有明顯的非約束性特征。

總體而言，國際層面的數(shù)據(jù)保護(hù)條例的實(shí)際約束力較為有限，僅“公約108”模式的影響力可觀。值得注意的是，美國對(duì)于這類國際性的數(shù)據(jù)保護(hù)條約均保持著“遠(yuǎn)觀”的態(tài)度，未明確承認(rèn)，這直接影響了公約的效力。

（二）地區(qū)性倡議

在數(shù)據(jù)保護(hù)領(lǐng)域，地區(qū)性倡議的發(fā)展程度與成熟度遠(yuǎn)遠(yuǎn)高于國際公約模式。

一是歐盟模式。歐洲國家歷來重視數(shù)據(jù)的保護(hù)，特別是1995年的歐盟《數(shù)據(jù)保護(hù)條例》對(duì)全球隱私權(quán)發(fā)展及相關(guān)法規(guī)的規(guī)制影響巨大。2009年，《里斯本條約》確定了數(shù)據(jù)保護(hù)規(guī)則的新法律基礎(chǔ)，將數(shù)據(jù)保護(hù)上升為歐盟法律的基本要件，獨(dú)立于隱私權(quán)。2016年，歐洲議會(huì)投票通過了《一般數(shù)據(jù)保護(hù)條例》（GDPR），為歐盟成員國數(shù)據(jù)保護(hù)提供了一個(gè)統(tǒng)一的數(shù)據(jù)保護(hù)框架。除此之外，歐盟在跨境數(shù)據(jù)上進(jìn)行了開創(chuàng)性的管理，如要求數(shù)據(jù)接收國滿足數(shù)據(jù)保護(hù)的“充分性”標(biāo)準(zhǔn)；允許組織內(nèi)部個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的標(biāo)準(zhǔn)合同條約（BCRs）；制定“標(biāo)準(zhǔn)合同條款”（也稱“示范條款”）用于規(guī)制數(shù)據(jù)控制者以合規(guī)的方式將個(gè)人數(shù)據(jù)傳輸?shù)綒W洲經(jīng)濟(jì)區(qū)以外的地區(qū)。歐盟模式歷史悠久，基礎(chǔ)牢固，影響深遠(yuǎn)，但是對(duì)中小企業(yè)的門檻較高，限制較大，且面臨著各國執(zhí)法不一以及數(shù)據(jù)保護(hù)與數(shù)據(jù)傳輸之間的平衡問題。

二是亞太經(jīng)合組織（APEC）模式。亞太經(jīng)合組織在數(shù)據(jù)保護(hù)上的突出表現(xiàn)就是制定了“跨境隱私規(guī)則體系”（CBPRs），該體系基于自愿原則，通過提供標(biāo)準(zhǔn)的數(shù)據(jù)隱私政策以供成員國遵循，并尋求更多經(jīng)濟(jì)體、企業(yè)和問責(zé)代理機(jī)構(gòu)參與其中。CBPRs具有廣闊的成員基礎(chǔ)，在執(zhí)行過程中靈活性較高，且有來自美國的支持，但是CBPRs完全基于自愿原則，且申請(qǐng)費(fèi)較高，同時(shí)面臨著各國國內(nèi)法的限制。

三是非盟模式。2014年，非盟發(fā)布《網(wǎng)絡(luò)安全和個(gè)人數(shù)據(jù)保護(hù)公約》，為建立一個(gè)可信的電子交易、個(gè)人數(shù)據(jù)保護(hù)和打擊網(wǎng)絡(luò)犯罪的數(shù)字空間設(shè)置了必要的安全規(guī)則。非盟極力復(fù)制歐盟模式，但是由于數(shù)據(jù)保護(hù)對(duì)于非盟來說仍然是一個(gè)較新的領(lǐng)域，雖可塑性高，但目前仍面臨缺乏政府重視，資源投入不足的挑戰(zhàn)。

四是英聯(lián)邦模式。英聯(lián)邦國家數(shù)據(jù)保護(hù)相關(guān)的法規(guī)主要是“隱私法案”和“個(gè)人信息保護(hù)法案”，受OECD以及歐盟模式的影響較大。英聯(lián)邦模式的條約同樣存在約束力問題，同時(shí)在數(shù)據(jù)保護(hù)上僅限制在公共部門，未涉及跨境數(shù)據(jù)等熱點(diǎn)議題。

五是貿(mào)易協(xié)定模式。近年來，數(shù)據(jù)保護(hù)規(guī)定已成為貿(mào)易協(xié)定的重要內(nèi)容，TPP就是典型例證。TPP要求淡化國境概念，強(qiáng)調(diào)信息和數(shù)據(jù)自由流動(dòng)的全球性；在合法公共政策目標(biāo)得到保障的前提下，強(qiáng)調(diào)信息和數(shù)據(jù)流動(dòng)的“自由性”。貿(mào)易協(xié)定下的數(shù)據(jù)保護(hù)模式覆蓋面廣、操作性強(qiáng)且較易處理好數(shù)據(jù)保護(hù)與數(shù)據(jù)流動(dòng)的平衡，但貿(mào)易協(xié)定談判往往非公開透明，且爭端解決機(jī)制復(fù)雜，并通常將私營企業(yè)與公民團(tuán)體排除在外。

目前，區(qū)域性模式已成為推動(dòng)數(shù)據(jù)保護(hù)的主要力量，將數(shù)據(jù)保護(hù)納入貿(mào)易協(xié)定也將成為數(shù)據(jù)保護(hù)規(guī)制的發(fā)展方向。

（三）典型國家實(shí)踐

根據(jù)UNCTAD調(diào)查顯示，截至2016年4月，在108個(gè)國家已出臺(tái)數(shù)據(jù)保護(hù)法律的國家中，95%的法律是專門的數(shù)據(jù)保護(hù)法，12%是依托于其他法律之下的部門法規(guī)。此外，還有35%的國家正在草擬數(shù)據(jù)保護(hù)法。各國法律規(guī)制差異較大，以下幾個(gè)國家具有典型性。

1.澳大利亞：與時(shí)俱進(jìn)修訂隱私法。澳大利亞的數(shù)據(jù)保護(hù)體現(xiàn)在其不斷修訂隱私保護(hù)法上，2014年澳大利亞修訂《隱私保護(hù)法》，對(duì)個(gè)人信息的收集、適用、披露與處理作出嚴(yán)格規(guī)定。雖然目前澳大利亞的隱私法仍然將中小企業(yè)以及雇員記錄排除在外，但是澳大利亞目前的數(shù)據(jù)保護(hù)覆蓋面廣，且與國際數(shù)據(jù)保護(hù)高度一致。

2.巴西：策劃制定數(shù)據(jù)保護(hù)草案。雖然目前國內(nèi)還未建立起統(tǒng)一的數(shù)據(jù)保護(hù)方案，但巴西政府于2015年公布了個(gè)人數(shù)據(jù)保護(hù)法草案，該草案以歐洲數(shù)據(jù)保護(hù)條例為藍(lán)本，對(duì)企業(yè)處理其在巴西的個(gè)人數(shù)據(jù)作出了嚴(yán)格的規(guī)定。

3.法國：強(qiáng)數(shù)據(jù)保護(hù)法保證企業(yè)完成“注冊(cè)需求”。法國的數(shù)據(jù)保護(hù)在歐盟國家里具有典型性，在歐盟“一般數(shù)據(jù)保護(hù)條例”生效之前，法國率先對(duì)《1978年數(shù)據(jù)保護(hù)法》進(jìn)行了修訂，出臺(tái)了《數(shù)字共和國法》，提出了一系列企業(yè)的注冊(cè)需求。法國的數(shù)據(jù)管理部門“信息與自由委員會(huì)”（CNIL）實(shí)行強(qiáng)數(shù)據(jù)保護(hù)制度，違規(guī)企業(yè)往往被施以高額的罰款，如法國政府與谷歌的被遺忘權(quán)之爭就是典型例證。

4.印度：以部門法規(guī)實(shí)施數(shù)據(jù)保護(hù)。印度的數(shù)據(jù)保護(hù)規(guī)定散落在各部門法中，其中最為突出的就是2011年修訂的《信息技術(shù)法》，該法對(duì)敏感數(shù)據(jù)進(jìn)行了定義，并要求數(shù)據(jù)接收方提供充分的數(shù)據(jù)保護(hù)。

5.印尼：探索實(shí)施數(shù)據(jù)本地化。印尼法律明確要求數(shù)據(jù)控制者必須充分保護(hù)個(gè)人數(shù)據(jù)，在數(shù)據(jù)使用時(shí)需遵循“目的受限”、“明示同意”等原則。印尼還是少有的實(shí)施數(shù)據(jù)本地化的發(fā)展中國家，要求在本地設(shè)置數(shù)據(jù)中心和災(zāi)備數(shù)據(jù)中心。

6.日本：致力于解決數(shù)據(jù)保護(hù)的執(zhí)法問題。日本于2015年發(fā)布《個(gè)人數(shù)據(jù)保護(hù)法修正案》，設(shè)立了個(gè)人信息保護(hù)委員會(huì)，直屬于內(nèi)閣總理大臣，主要任務(wù)在于監(jiān)管數(shù)據(jù)的傳遞、處理，企業(yè)的合規(guī)性管理等。同時(shí)修正案也允許企業(yè)在滿足適當(dāng)條件下進(jìn)行數(shù)據(jù)的買賣，以服務(wù)于大數(shù)據(jù)分析。

7.韓國：重視個(gè)人信息的法律救濟(jì)。韓國《個(gè)人信息保護(hù)法》對(duì)個(gè)人救濟(jì)進(jìn)行了明確的規(guī)定，并設(shè)立了個(gè)人信息調(diào)解委員會(huì)，從行政和司法兩個(gè)維度保護(hù)個(gè)人的法律救濟(jì)。

8.俄羅斯：實(shí)施嚴(yán)格的數(shù)據(jù)本地化存儲(chǔ)規(guī)則。俄羅斯于2015年9月生效的“第242號(hào)法令”，確立了俄羅斯數(shù)據(jù)本地化留存的制度，要求俄羅斯公民個(gè)人數(shù)據(jù)必須存儲(chǔ)在俄聯(lián)邦境內(nèi)的服務(wù)器上。俄羅斯還據(jù)此開展了相關(guān)的監(jiān)督檢查工作，配備專門人員負(fù)責(zé)檢查公司的合規(guī)性工作。

（四）私營部門與公民團(tuán)體觀察

私營部門與公民團(tuán)體在數(shù)據(jù)保護(hù)規(guī)制中的作用不容忽視。

1.私營部門：私營部門在數(shù)據(jù)保護(hù)中發(fā)揮了重要作用，且作為重要一方參與制定數(shù)據(jù)保護(hù)法規(guī)，如APEC的CBPRs就是公私合作的典范?？傮w而言，私營部門在數(shù)據(jù)保護(hù)中的基本訴求主要有：一是政府應(yīng)減少干預(yù)，以確?？缇硵?shù)據(jù)的正常流動(dòng)及貿(mào)易的正常開展。二是數(shù)據(jù)保護(hù)規(guī)制應(yīng)是原則性的指導(dǎo)，而非細(xì)節(jié)性的法規(guī)。三是無需針對(duì)每項(xiàng)新技術(shù)制定專門的數(shù)據(jù)保護(hù)法規(guī)，一般法律準(zhǔn)則即可。四是不應(yīng)把私營企業(yè)作為政府執(zhí)法或監(jiān)控的助手，政府應(yīng)盡量克制對(duì)企業(yè)的數(shù)據(jù)請(qǐng)求。五是私營企業(yè)有權(quán)公布政府?dāng)?shù)據(jù)請(qǐng)求的目的及范圍。六是數(shù)據(jù)保護(hù)法規(guī)（特別是跨境數(shù)據(jù)法規(guī)）不應(yīng)對(duì)企業(yè)（特別是中小企業(yè)）造成較大的合規(guī)成本。七是跨境數(shù)據(jù)法規(guī)應(yīng)給予企業(yè)在合規(guī)實(shí)施上一定的靈活度。私營企業(yè)部門提出的準(zhǔn)則廣受認(rèn)可，在數(shù)據(jù)保護(hù)與促進(jìn)創(chuàng)新的平衡上發(fā)揮了重要作用，同時(shí)也讓外界正視數(shù)據(jù)保護(hù)規(guī)制給中小企業(yè)帶來的合規(guī)性挑戰(zhàn)。

2.公民團(tuán)體：對(duì)于公民團(tuán)體來說，網(wǎng)上隱私已經(jīng)成為基本人權(quán)以及消費(fèi)者權(quán)益的重要組成部分。特別是隨著數(shù)據(jù)成為互聯(lián)網(wǎng)發(fā)展的衍生品之后，數(shù)據(jù)保護(hù)與消費(fèi)者權(quán)益保護(hù)的關(guān)系越來越緊密，政策制定者需兩者同時(shí)推進(jìn)才能確保消費(fèi)者的個(gè)人權(quán)益。消費(fèi)者往往在企業(yè)數(shù)據(jù)保護(hù)的承諾下轉(zhuǎn)交個(gè)人數(shù)據(jù)，但現(xiàn)實(shí)情況卻是企業(yè)總違背承諾濫用公民數(shù)據(jù)，如谷歌（街景）以及“閱后即焚”軟件Snapchat誤導(dǎo)消費(fèi)者等事件。在此背景下，消費(fèi)者對(duì)企業(yè)的信任正在消失，用戶很難再將數(shù)據(jù)轉(zhuǎn)交給企業(yè)。目前，部分企業(yè)開始利用隱私強(qiáng)化的技術(shù)，如強(qiáng)加密技術(shù)，使用隱私認(rèn)證標(biāo)志，或者網(wǎng)上隱私政策的創(chuàng)意展示等額外的保護(hù)措施，補(bǔ)充隱私法規(guī)的滯后。

四、兩類政策路徑

目前，全球存在著多種數(shù)據(jù)與隱私保護(hù)的路徑選擇，在執(zhí)法上存在不同的實(shí)踐細(xì)節(jié)，但各國以及國際數(shù)據(jù)保護(hù)規(guī)制仍在核心原則上具有一致性，如開放透明、收集限制、目的限制、使用限制、安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)主體的參與、問責(zé)制、數(shù)據(jù)最小化等。報(bào)告認(rèn)為，當(dāng)務(wù)之急仍是平衡好不同路徑的主要關(guān)切，以及數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的關(guān)系，并提高各種路徑的國際兼容性。對(duì)此，報(bào)告提出多項(xiàng)最佳實(shí)踐，以落實(shí)和升級(jí)數(shù)據(jù)保護(hù)法規(guī)。

（一）國際與區(qū)域組織層面

一是避免雙重標(biāo)準(zhǔn)與碎片化。在網(wǎng)絡(luò)犯罪領(lǐng)域，歐盟議會(huì)在2001年通過的“網(wǎng)絡(luò)犯罪公約”廣受認(rèn)可，目前多個(gè)國家均將該法的基本原則引入到國內(nèi)法中。反觀數(shù)據(jù)保護(hù)領(lǐng)域，各個(gè)國家的法律相互對(duì)立，兼容性差，統(tǒng)一法規(guī)缺失，嚴(yán)重影響了數(shù)據(jù)保護(hù)的效力。因此，當(dāng)前工作的重點(diǎn)是確定共識(shí)，擴(kuò)大核心原則。

二是維持開放與透明。數(shù)據(jù)保護(hù)涉及方方面面，眾多利益攸關(guān)者參與其中，因此確保法規(guī)的開放與透明非常重要。但是由于部分?jǐn)?shù)據(jù)保護(hù)法規(guī)附屬于國家間的貿(mào)易協(xié)定，而貿(mào)易協(xié)定多是將私營企業(yè)與公民團(tuán)體排除在外進(jìn)行秘密談判，公開透明性差。因此未來的數(shù)據(jù)保護(hù)工作需要將所有的利益攸關(guān)者囊括進(jìn)來，特別是私營企業(yè)、公民團(tuán)體以及發(fā)展中國家。

三是解決好政府監(jiān)控與數(shù)據(jù)保護(hù)之間的平衡。絕大部分國家在政府監(jiān)控上均保持沉默的態(tài)度，但是解決好這問題又是數(shù)據(jù)保護(hù)繞不開的問題。對(duì)此，聯(lián)合國提供了解決該問題的原則框架，包括政府需公開監(jiān)控的目的、程度與范圍，監(jiān)控目的必須與國家安全相關(guān)，監(jiān)控過程需遵循“必要且合適”的原則，輔之以強(qiáng)有力的政府監(jiān)管，并賦予個(gè)人對(duì)政府監(jiān)控的爭端解決權(quán)，以及企業(yè)公開政府監(jiān)控明細(xì)的權(quán)力。

四是適當(dāng)考慮企業(yè)的合規(guī)性負(fù)擔(dān)。在數(shù)據(jù)保護(hù)中，企業(yè)的合規(guī)負(fù)擔(dān)與創(chuàng)新和貿(mào)易呈反相關(guān)。一國采取強(qiáng)數(shù)據(jù)保護(hù)往往不利于中小企業(yè)的發(fā)展，久而久之就會(huì)造成大企業(yè)壟斷的局面，不利于創(chuàng)新的發(fā)展。而在國際層面，現(xiàn)存的跨境數(shù)據(jù)法規(guī)申請(qǐng)費(fèi)高，且需要繁復(fù)的認(rèn)證程序，也對(duì)中小企業(yè)造成了合規(guī)負(fù)擔(dān)，不利于國際貿(mào)易的發(fā)展。

（二）國家層面

一是確立基線法案。目前各國數(shù)據(jù)保護(hù)立法參差不齊，當(dāng)務(wù)之急是解決“有無”的問題，數(shù)據(jù)保護(hù)缺失的國家應(yīng)盡快進(jìn)行數(shù)據(jù)保護(hù)立法。其次是解決“例外”泛濫的問題，已立法國家需盡量減少“例外情況”，以擴(kuò)大法規(guī)覆蓋范圍。

二是遵循一般準(zhǔn)則。遵循國際通用的一般準(zhǔn)則可提高國際兼容性以及互操作性，在國內(nèi)遵循上可保持一定的靈活性。

三是建立有效的法律框架。建立單一的中央立法非常必要，這不僅有利于簡化行政程序，便利企業(yè)與政府的溝通，以及消費(fèi)者的法律救濟(jì)，同時(shí)相較于分散的法規(guī)，中央立法的法律效力更高。

四是加強(qiáng)執(zhí)法。隨著數(shù)據(jù)與隱私保護(hù)的重要性日益增加，需不斷提高執(zhí)法力度，尤其是加強(qiáng)懲罰的力度。

五是解決跨境數(shù)據(jù)傳輸。隨著越來越多的經(jīng)濟(jì)活動(dòng)轉(zhuǎn)到“線上”，因此在數(shù)據(jù)保護(hù)法規(guī)中，要對(duì)跨境數(shù)據(jù)作出專門的規(guī)制，并研究出一兩種可供企業(yè)參考的機(jī)制。

六是平衡好隱私保護(hù)與貿(mào)易間的關(guān)系。平衡好多利益攸關(guān)方在隱私保護(hù)與促進(jìn)貿(mào)易之間的關(guān)系非常重要，部分國家為保護(hù)隱私采取數(shù)據(jù)本地化的舉措無可厚非，但相關(guān)條款均需要建立在對(duì)貿(mào)易的非歧視性原則上。

七是解決大規(guī)模監(jiān)控問題。國家層面的數(shù)據(jù)保護(hù)法也必須對(duì)政府大規(guī)模監(jiān)控作出明確規(guī)制，包括賦權(quán)于個(gè)人進(jìn)行法律救濟(jì)；控制政府監(jiān)控“必要且合適”，且在有關(guān)部門的監(jiān)管下實(shí)施。

八是提高能力建設(shè)。聯(lián)合國在幫助各國特別是發(fā)展中國家制定數(shù)據(jù)保護(hù)法中發(fā)揮了重要作用，對(duì)此各國也要提高自身的能力建設(shè)，加強(qiáng)各層次的國際對(duì)話，建立平衡、靈活且兼容的數(shù)據(jù)保護(hù)法規(guī)。

五、對(duì)我國的三點(diǎn)啟示

目前，跨境數(shù)據(jù)流動(dòng)規(guī)制實(shí)質(zhì)上已變成新型的貿(mào)易壁壘手段，演化成國際網(wǎng)絡(luò)空間治理的規(guī)則之爭，并呈現(xiàn)出博弈激烈、互動(dòng)復(fù)雜的局面。作為負(fù)責(zé)任的網(wǎng)絡(luò)大國，我國應(yīng)積極塑造自身的國際視野，對(duì)于國際網(wǎng)絡(luò)熱點(diǎn)問題積極跟進(jìn)，貢獻(xiàn)中國智慧，體現(xiàn)中國擔(dān)當(dāng)，這既是建設(shè)網(wǎng)絡(luò)強(qiáng)國的重要基點(diǎn)，也是構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的題中應(yīng)有之義。

（一）加快頂層設(shè)計(jì)，整體推進(jìn)

我國應(yīng)在“依法治網(wǎng)”的原則下更加重視跨境數(shù)據(jù)管理問題，加快規(guī)則體系建設(shè)。但由于跨境數(shù)據(jù)與貿(mào)易以及中美關(guān)系等問題聯(lián)系緊密，因此對(duì)于跨境數(shù)據(jù)的規(guī)制宜從全局著手，加強(qiáng)頂層設(shè)計(jì)，整體推進(jìn)，謹(jǐn)慎出臺(tái)細(xì)則法規(guī)，減少政策的“突擊”給企業(yè)帶來的沖擊，影響大局。

（二）善用政策工具，綜合施策

由于跨境數(shù)據(jù)利益攸關(guān)者眾多，涉及議題方方面面，是發(fā)展過程中非常復(fù)雜且敏感的問題。對(duì)此，我國可按國際通行的監(jiān)管手段綜合施策，包括引入“負(fù)面清單”制度對(duì)跨境數(shù)據(jù)進(jìn)行分級(jí)分類管理；參照《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》實(shí)行跨境數(shù)據(jù)“安全評(píng)估”；發(fā)揮“行業(yè)監(jiān)管”作用彌合政府監(jiān)管與相關(guān)數(shù)據(jù)立法的滯后性；必要時(shí)可啟動(dòng)跨境數(shù)據(jù)流動(dòng)“網(wǎng)絡(luò)安全審查”，建立開放透明且具有可操作性的監(jiān)管體系。

（三）參與國際談判，提升話語權(quán)

我國要積極參與跨境數(shù)據(jù)流動(dòng)的國際談判，準(zhǔn)確把握各方利益關(guān)切。對(duì)此，在吸收借鑒其他國家和地區(qū)構(gòu)建跨境數(shù)據(jù)流動(dòng)規(guī)制的經(jīng)驗(yàn)教訓(xùn)上，結(jié)合產(chǎn)業(yè)特點(diǎn)，我國可率先通過“一帶一路”戰(zhàn)略、“亞投行”等貿(mào)易談判平臺(tái)開展跨境數(shù)據(jù)流動(dòng)的討論，積累經(jīng)驗(yàn)和話語權(quán)，再延伸到全球跨境數(shù)據(jù)流動(dòng)規(guī)制的合作與交流。

（責(zé)任編輯：鐘宇歡）

Review of Global Data Protection Regulations and the Implications in China’s Cybersecurity Governance

GUI Chang-ni, WANG Ya

In the age of the information economy, personal data become the fuel that drives much commercial activity online. Meanwhile, more and more countries set rules to protect the data security. This study focus on the report “Data protection regulations and international data fl ows:Implications for trade and development” released by the UNCTAD, and reviews the data governance experience and frameworks in different parts of the world and of different stakeholders, identi fi es key concerns that data protection and privacy legislation need to address and considers possible future policy options. we hope that the findings presented will be helpful for the cyber security governance in China.

personal data, data protection regulations, data governance, policy options

D922

：A

：1001-4225（2017）07-0105-07

① https://www.theguardian.com/technology/2017/mar/04/cambridge-analytics-data-brexit-trump

② 相關(guān)報(bào)道有：https://martechtoday.com/protagonists-new-platform- fi nds-stories-told-brands-197258，http://www.nybooks.com/articles/2017/04/20/kahneman-tversky-invisible-mind-manipulators/，https://www.theguardian.com/commentisfree/2017/apr/17/brexit-voter-manipulation-eu-referendum-social-media等等。

③ https://www.theguardian.com/politics/2017/mar/04/nigel-oakes-cambridge-analytica-what-role-brexit-trump

④ http://www.concordia.net/