• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    歐盟《一般數(shù)據(jù)保護條例》監(jiān)管實效與影響

    2022-02-28 14:58:55劉恩澤
    銀行家 2022年2期
    關(guān)鍵詞:控制者數(shù)據(jù)保護數(shù)據(jù)處理

    劉恩澤

    2021年11月3日,中國人民銀行行長易綱在香港金融科技周的演講中提到:中國個人信息保護的法律體系已初步建立,有關(guān)部門將依法實施公平監(jiān)管;個人信息保護的最終目的是促進數(shù)據(jù)的合理使用,央行及監(jiān)管當局會進一步完善金融領(lǐng)域個人信息保護的法律制度,并加大對個人信息保護的監(jiān)管力度。當前的信息時代已將信息對社會的影響力提升到絕對重要的地位。伴隨著科技的發(fā)展,個人信息的收集、儲存、分析與價值實現(xiàn)方式變得更加多元,信息的泄露也變得愈加容易,這些在某些極端情況下甚至?xí)θ藗兊纳c財產(chǎn)安全造成威脅。因此,政府及監(jiān)管當局理應(yīng)承擔(dān)責(zé)任,保證公民的個人權(quán)利不受侵害。

    在個人信息保護方面,歐盟走在了世界前列。歐盟在數(shù)據(jù)保護方面始終采用綜合性的立法方式。從歐洲理事會1981年發(fā)布的首個關(guān)于個人數(shù)據(jù)保護的司法文件《有關(guān)個人數(shù)據(jù)自動化處理的個人保護公約》,到歐盟1995年頒布的《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》,再到2018年歐洲議會和歐盟理事會通過的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR),經(jīng)歷了從具有指導(dǎo)性、建議性特點的軟法(softlaw)到強制性的硬法(hard law)規(guī)范過程。

    GDPR于2018年5月25日全面施行,取代了1995年的《數(shù)據(jù)保護指令》。GDPR因極為嚴苛的規(guī)定、寬泛的適用范圍和高數(shù)額的罰金要求,又被外界稱作“史上最嚴格的個人數(shù)據(jù)保護法”。GDPR創(chuàng)新性地明確個人對自身信息享有的權(quán)利和數(shù)據(jù)處理機構(gòu)應(yīng)當承擔(dān)的責(zé)任,為世界各國制定數(shù)據(jù)保護相關(guān)法律貢獻了有益借鑒,也對全球數(shù)據(jù)治理生態(tài)產(chǎn)生廣泛、深刻的影響。GDPR已出臺三年有余,其實施成果及實踐經(jīng)驗對我國當下建立個人信息保護體系有著極為重要的現(xiàn)實意義。

    GDPR的出臺背景和立法原則

    出臺背景。保護公民隱私信息具有維護公民權(quán)利和遏制市場創(chuàng)新活力的“雙刃劍”屬性。從西方發(fā)達國家互聯(lián)網(wǎng)發(fā)展經(jīng)驗看,客戶的私人數(shù)據(jù)一步一步成為各類商業(yè)巨頭重要收益的源頭。例如,搜索引擎和社交軟件之類從事信息收集與再生產(chǎn)的企業(yè),在廣泛收集公民注冊信息的同時,有針對性地提供定制化服務(wù),以達到提高用戶使用率和增加企業(yè)收益的目的。從2013年斯諾登事件爆料出的“棱鏡計劃”可以看到,F(xiàn)acebook、Twitter、Google等一眾美國科技巨頭持續(xù)不間斷地對歐洲互聯(lián)網(wǎng)用戶的個人信息進行收集和加工,歐盟在全社會都處在“心理危機”之際,提出以立法形式將個人隱私信息保護劃歸政府公共服務(wù)范疇之中。

    立法原則?;驹瓌t方面,GDPR遵循了“權(quán)利與自由”“處理正當性”和“最小侵害性”三原則。GDPR的第一條便規(guī)定“本條例保護自然人的基本權(quán)利和自由,特別是自然人享有的個人數(shù)據(jù)保護的權(quán)利”,將“自然人在個人數(shù)據(jù)的處理活動中獲得保護”定性為一項基本權(quán)利。GDPR指出,一切數(shù)據(jù)進一步存儲、處理、轉(zhuǎn)移的根本前提是“個人數(shù)據(jù)處理的正當性”,應(yīng)嚴肅叫停所有不正當?shù)臄?shù)據(jù)處理,嚴重時甚至應(yīng)讓擁有者和傳播者面臨牢獄之災(zāi);GDPR指出正當性主要體現(xiàn)在“同意的要件、處理的合法性、禁止處理行為”等三方面。在“最小侵害性”原則中,GDPR提出應(yīng)首先做到“數(shù)據(jù)最小化”,即數(shù)據(jù)控制者對個人數(shù)據(jù)的處理應(yīng)與初始目的充分相關(guān)并限制在最小限度以內(nèi),且數(shù)據(jù)的處理應(yīng)該是準確的、在必要情形下持續(xù)更新的,同時需保證數(shù)據(jù)的完整性和保密性。

    GDPR主要特點解析

    對個人數(shù)據(jù)行政管理機制的創(chuàng)新。GDPR從機構(gòu)、模式以及方法三個微觀層面改進了個人數(shù)據(jù)保護的行政管理機制。在管理機構(gòu)設(shè)置上,GDPR成立了歐盟數(shù)據(jù)保護委員會(European Data Protection Board, EDPB)。GDPR在第68條中指出:“特別設(shè)立法人機構(gòu)歐盟數(shù)據(jù)保護委員會,其成員應(yīng)當包括各成員國個人數(shù)據(jù)行政監(jiān)管機構(gòu)首腦或其代表和歐盟數(shù)據(jù)保護監(jiān)督局首腦或其代表,并明確該委員會的秘書處由歐洲數(shù)據(jù)保護局擔(dān)任?!盓DPB的設(shè)立使歐盟數(shù)據(jù)保護局的權(quán)力被極大地提升,從而確保GDPR在各成員國的統(tǒng)一適用。在管理模式上,GDPR提出設(shè)立了“一站式(one-stop-shop)”監(jiān)管原則,明確領(lǐng)導(dǎo)機構(gòu)和成員機構(gòu)的共同協(xié)作原則,并構(gòu)建了詳細的一站式管理規(guī)則。具體而言,主要責(zé)任由數(shù)據(jù)控制者和處理者的主要營業(yè)機構(gòu)所在國當?shù)氐臄?shù)據(jù)監(jiān)管機構(gòu)承擔(dān),而其他成員國的對應(yīng)數(shù)據(jù)監(jiān)管機構(gòu)與主要營業(yè)機構(gòu)所在國的監(jiān)管機構(gòu)保持緊密合作和信息共享。在管理方法上,GDPR將與個人數(shù)據(jù)處理相關(guān)的活動區(qū)分為“較高風(fēng)險”“一般風(fēng)險”和“較低風(fēng)險”三類風(fēng)險等級,實行等級差異化管理方法,并明確指出數(shù)據(jù)控制者在開展規(guī)定的“較高風(fēng)險”活動前應(yīng)做好影響評估,并需按照規(guī)定流程向數(shù)據(jù)保護局進行咨詢與報告。

    明確個人對自身數(shù)據(jù)的控制權(quán)。GDPR在現(xiàn)有法律基礎(chǔ)上,進一步結(jié)合實踐明確了個人對自身數(shù)據(jù)的控制權(quán)內(nèi)容。GDPR對個人數(shù)據(jù)范圍進行了明確規(guī)定:“個人數(shù)據(jù)指的是任何已識別或可識別的自然人(信息主體)的數(shù)據(jù)”,任何“特定自然人”的數(shù)據(jù)都是GDPR保護的對象;GDPR提出“獲得本人明確同意”是第三方機構(gòu)收集和處理個人信息的首要且必要條件;GDPR首次定義了數(shù)據(jù)的被遺忘權(quán)(公民在其個人數(shù)據(jù)信息不再有合法之需時要求將其刪除或不再使用的權(quán)利)、刪除權(quán)(數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)及避免其個人數(shù)據(jù)被傳播)以及可攜帶權(quán)(數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者索取本人數(shù)據(jù)并自主決定使用用途);GDPR確保了個人查詢自身數(shù)據(jù)的便捷性,要求當信息主體向信息控制者行使查詢權(quán)利時,控制者除在規(guī)定指出的特別情況外均應(yīng)提供免費服務(wù),只有當查詢要求是重復(fù)的、顯然不存在的、過分的或者要求復(fù)印時,方可索取費用。

    重新界定個人數(shù)據(jù)相關(guān)單位的責(zé)任。GDPR創(chuàng)新性地對數(shù)據(jù)控制者和處理者的責(zé)任和義務(wù)進行了重新界定。與往常認為的數(shù)據(jù)處理者只負責(zé)數(shù)據(jù)的分析工作而與數(shù)據(jù)的收集和使用無關(guān)(控制者的外包服務(wù)人員)不同的是,GDPR增設(shè)了數(shù)據(jù)處理者為直接、獨立的義務(wù)主體;GDPR開創(chuàng)性地設(shè)立了數(shù)據(jù)保護官制度,規(guī)定數(shù)據(jù)的控制者和處理者通常情況下必須設(shè)立保護官,以增強數(shù)據(jù)保護力度;GDPR要求數(shù)據(jù)控制者應(yīng)當記錄每一次的數(shù)據(jù)處理活動,并保證保護措施的公開透明。此外,GDPR還規(guī)定了數(shù)據(jù)控制者在數(shù)據(jù)泄露時的報告和通知義務(wù),要求數(shù)據(jù)控制者應(yīng)當在數(shù)據(jù)泄露后的72小時內(nèi)向數(shù)據(jù)保護局報告情況,在特殊情況下,數(shù)據(jù)控制者還需及時準確地向每一個信息主體通知信息泄露情況。

    加大處罰力度,增加特殊情況下的保護規(guī)則。GDPR明顯加大了處罰力度,規(guī)定在歐盟境內(nèi)違規(guī)公司將最高面臨其全年營業(yè)額4%的罰款。對數(shù)據(jù)的跨境流動和數(shù)據(jù)犯罪等特別情況,GDPR也作了細化要求,如“明令禁止數(shù)據(jù)控制者與處理者將歐盟內(nèi)的數(shù)據(jù)信息轉(zhuǎn)移至境外地區(qū),除非滿足一定條件并證明數(shù)據(jù)能在歐盟外的特定地區(qū)得到充分保護”,同時對“境外數(shù)據(jù)保護水平”的判定標準進行約束。在刑事犯罪領(lǐng)域,歐盟同時期頒布《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸和保護個人數(shù)據(jù)的指令》,明確刑事罪犯、犯罪嫌疑人和被調(diào)查人的個人信息同樣應(yīng)受到有效保護。

    GDPR的相關(guān)運用效果及主要案例分析

    案例執(zhí)行情況

    歐盟數(shù)據(jù)保護委員會(EDPB)近期在其官網(wǎng)公布了自2018年5月GDPR實施以來至2021年5月,歐盟各成員國數(shù)據(jù)保護資源投入及案例執(zhí)行情況(見圖1)。在成員國本國(非跨國)案例方面,據(jù)不完全統(tǒng)計,三年來歐盟成員國共有近50萬件執(zhí)行案例登記在冊,2020年案件登記數(shù)量達到頂峰,總計近18萬件。三年來案件數(shù)量最多的三個國家分別是德國(165641件)、荷蘭(68907件)和愛爾蘭(48131件)??鐕咐矫妫瑩?jù)歐盟網(wǎng)絡(luò)市場信息(Internet Market Information, IMI)記錄,自GDPR實施至2021年5月31日,全歐盟上報至IMI系統(tǒng)的跨國執(zhí)行案例共計13493件,其中排名前三的國家分別為德國(1070件)、法國(767件)和西班牙的(693件)件。

    從歐盟案例情況可以看出,案件執(zhí)行總量及大部分國家案件統(tǒng)計數(shù)量均為2019年和2020年的急劇上升到達頂峰后在2021年快速下降,案件數(shù)量曲線較為一致。而在國家層面,案件執(zhí)行數(shù)量比較多的國家通常為歐盟中較為發(fā)達、科技信息公司注冊地較多且國際化和法制化程度較高的國家。

    罰金情況

    報告顯示,據(jù)不完全統(tǒng)計,截至2021年5月31日,歐盟各成員國針對違反GDPR而處理的罰金金額合計約2.75億歐元,2020年總計1.4億歐元,較2019年增長28%,是2018年罰金金額的26倍有余(見圖2)。其中,意大利以0.6億歐元的罰金位居首位,德國的0.56億歐元和瑞典的0.12億歐元分別位居第二和第三。值得注意的是,統(tǒng)計范圍之外的2021年7月16日,盧森堡國家數(shù)據(jù)保護委員會對亞馬遜開出7.46億歐元天價罰單,目前亞馬遜表示已決定上訴,如果此次處罰落實,罰金將創(chuàng)GDPR實施以來的最高記錄。

    總體來看,自2018年5月GDPR實施以來,案例數(shù)量及罰金數(shù)額并未在當年出現(xiàn)迅速增加,而是在隨后的2019年和2020年到達頂峰,在2021年又進一步回落。從曲線整體走勢可以大致判斷,在2018年新政實施后,各成員國經(jīng)歷了新政緩沖期,在案件的調(diào)查取證方面,尤其針對中大型跨國公司,司法程序較為復(fù)雜,戰(zhàn)線通常較長,因此直至GDPR實施后的一兩年時間才達峰值。該曲線同樣值得我國相關(guān)部門借鑒并作好前瞻應(yīng)對。

    主要處罰案例分析

    GDPR對擁有龐大用戶基礎(chǔ)并對海量數(shù)據(jù)進行處理的大型科技公司懲戒力度較大,其域外管轄權(quán)也將對世界各國科技巨頭產(chǎn)生較大影響(見表1)。

    可以看出,受GDPR影響較大的均為大型科技和服務(wù)企業(yè),其中尤以美國、英國公司為主。處罰原因主要集中在違反GDPR對數(shù)據(jù)處理的基本原則、個人數(shù)據(jù)行為基本要求、數(shù)據(jù)處理合法性基礎(chǔ)和數(shù)據(jù)處理過程的安全性的相關(guān)要求,開出的罰單數(shù)額均十分巨大。GDPR的實施對國際數(shù)據(jù)治理生態(tài)帶來較大影響,特別在國際監(jiān)管方面,GDPR以個人數(shù)據(jù)跨境制度為有利抓手,增強歐盟在互聯(lián)網(wǎng)和信息產(chǎn)業(yè)的地位,提升歐盟在全球數(shù)據(jù)治理的話語權(quán)。我國相關(guān)部門及企業(yè)應(yīng)實時追蹤全球規(guī)則變動,深入研究、領(lǐng)會GDPR對數(shù)據(jù)處理的基本要求,從頂層設(shè)計、標準體系、管理體制等方面著手,結(jié)合自身信息數(shù)據(jù)特點完善個人信息保護體系,提升自身在國際數(shù)據(jù)管理中的地位及話語權(quán)。

    啟示及建議

    2021年11月1日,《中華人民共和國個人信息保護法》正式實施,完善了我國多年來一直缺失的針對個人信息保護領(lǐng)域的特別法律設(shè)置。我國《個人信息保護法》充分吸收、借鑒國內(nèi)外成功經(jīng)驗,對個人信息處理活動、屬地管轄范圍、“告知同意”為核心的個人信息處理原則、自動化決策、人臉識別管制、數(shù)據(jù)主體權(quán)利、信息處理者義務(wù)、懲罰措施、個人信息權(quán)益的過錯推定責(zé)任等方面作出全方位規(guī)范。在法律規(guī)定內(nèi)容之外,結(jié)合對GDPR的相關(guān)執(zhí)行情況的分析,我們提出如下政策建議以供相關(guān)部門參考。

    實時追蹤和研判全球規(guī)則變動,加強國際合作。當今信息時代的數(shù)據(jù)主權(quán)問題已經(jīng)成為世界范圍內(nèi)各方高度關(guān)注的國際性問題,各國已逐步根據(jù)自身實際情況和政策標準完善該領(lǐng)域的制度規(guī)范,而這也無可避免地會對其他國家造成“規(guī)范溢出”的影響,且很可能會受到其他國家規(guī)則的反向約束。這就提醒我國在構(gòu)建、運用、完善相關(guān)制度的實踐過程中,主動與各國在司法機關(guān)和行政當局在相關(guān)領(lǐng)域如反壟斷、數(shù)據(jù)監(jiān)管和消費者權(quán)益保護等加強跨國合作與監(jiān)管協(xié)調(diào),并更加注重實時跟蹤全球主要區(qū)域相關(guān)規(guī)則的變動,及時主動地發(fā)現(xiàn)在國際博弈中各方力量的變化,并在恰當?shù)臅r機果斷調(diào)整國內(nèi)規(guī)范,以便更加有效地應(yīng)對國際挑戰(zhàn),提升國際地位。

    關(guān)注基本權(quán)利與促進創(chuàng)新之間的平衡關(guān)系。GDPR在個人數(shù)據(jù)保護方面走在全球前列,但其本質(zhì)是為集中收集、存儲和處理數(shù)據(jù)的系統(tǒng)而設(shè)計,與個別創(chuàng)新技術(shù)存在沖突,如代表當前數(shù)據(jù)存儲和管理新范式的分布式區(qū)塊鏈。為集中式數(shù)據(jù)庫制定的GDPR似乎很難適用于采取分散式數(shù)據(jù)存儲的區(qū)塊鏈,尤其是關(guān)于跨境傳輸與被遺忘權(quán)的規(guī)定。GDPR與區(qū)塊鏈之間的緊張關(guān)系也揭示了保護基本權(quán)利與促進創(chuàng)新的不同目標之間的沖突。

    當前金融機構(gòu)正不約而同地推動數(shù)字化轉(zhuǎn)型,隨著互聯(lián)網(wǎng)金融與開放銀行概念的興起,傳統(tǒng)金融大躍進式地向金融與科技相融合轉(zhuǎn)型的趨勢已經(jīng)明朗。鑒于金融信息的特殊性,金融機構(gòu)一直以來都受到各國數(shù)據(jù)安全方面的強監(jiān)管,因此在數(shù)據(jù)安全和隱私保護方面較其他行業(yè)整體水平較高。金融科技的不斷創(chuàng)新必將為個人信息的有效保護帶來挑戰(zhàn),因此如何平衡個人權(quán)利保護和科技創(chuàng)新是當前需要解決的一個重要理論與實踐問題。

    完善頂層設(shè)計及合作模式。健全法律法規(guī)和監(jiān)管體系是實現(xiàn)個人信息保護的基礎(chǔ)。當前我國大力推進金融對外開放的前提下,跨境金融機構(gòu)及跨境并購子公司數(shù)量穩(wěn)步增多,但面臨不同地區(qū)自身的數(shù)據(jù)管理規(guī)則與跨境數(shù)據(jù)傳輸原則,往往會在集團內(nèi)部形成數(shù)據(jù)獲取障礙。值得注意的是,港澳地區(qū)屬中國特別行政區(qū),且其與境外各國聯(lián)系緊密,當前國家大力支持粵港澳大灣區(qū)發(fā)展,因此對于港澳地區(qū)與大陸內(nèi)地數(shù)據(jù)的傳輸與共享問題理應(yīng)給予特殊規(guī)定,未來也可適時延伸至臺灣地區(qū)。因此,建議由國家網(wǎng)信部門牽頭,聯(lián)合公安、工信、安全等部門,依據(jù)《個人數(shù)據(jù)保護法》中相關(guān)要求,盡快落實大中華區(qū)內(nèi)的個人數(shù)據(jù)的轉(zhuǎn)移原則與相關(guān)政策,可借鑒歐盟一站式監(jiān)管原則。同時,從歐盟成員國GDPR執(zhí)行情況來看,我國未來兩年或?qū)⒂瓉戆咐龜?shù)量及處罰高峰,建議相關(guān)部門作好前瞻應(yīng)對,在科技水平較高、科技注冊公司較多的地區(qū)適當進行資源傾斜。

    (作者單位:廈門國際銀行博士后工作站、復(fù)旦大學(xué)博士后流動站)

    責(zé)任編輯:楊生恒

    猜你喜歡
    控制者數(shù)據(jù)保護數(shù)據(jù)處理
    認知診斷缺失數(shù)據(jù)處理方法的比較:零替換、多重插補與極大似然估計法*
    ILWT-EEMD數(shù)據(jù)處理的ELM滾動軸承故障診斷
    從“控制者”變身“隱形人”
    好家長(2020年3期)2020-06-05 02:57:20
    論人工智能的刑事責(zé)任能力與追究
    淺談中小學(xué)財務(wù)人員角色轉(zhuǎn)換的緊迫性
    數(shù)據(jù)控制者的權(quán)利與限制
    TPP生物藥品數(shù)據(jù)保護條款研究
    歐盟數(shù)據(jù)保護立法改革之發(fā)展趨勢分析
    歐盟《一般數(shù)據(jù)保護條例》新規(guī)則評析
    基于希爾伯特- 黃變換的去噪法在外測數(shù)據(jù)處理中的應(yīng)用
    长汀县| 和平县| 工布江达县| 胶州市| 涪陵区| 嘉峪关市| 乌海市| 德化县| 含山县| 南乐县| 新竹市| 扎鲁特旗| 章丘市| 茂名市| 房山区| 九台市| 上高县| 耒阳市| 萨迦县| 沾益县| 荥阳市| 开阳县| 江门市| 姚安县| 南澳县| 会东县| 宜昌市| 万州区| 三江| 德庆县| 宝兴县| 遂川县| 乌鲁木齐县| 凤庆县| 南昌县| 阳城县| 沅陵县| 上林县| 来凤县| 沾化县| 海城市|