中国信息安全测评中心都婧:各国数据保护政策比较研究

来源:中国信息安全测评中心   作者:都婧   时间:2017-06-30

    数据保护是大数据安全的重要基础和组成部分,完善的数据保护政策是推广应用大数据的重要保障。目前,各国数据保护的范围、思路、政策等各不相同,从数据保护政策、数据保护参与方及范围、数据监管者管理、数据主体权利、数据控制者义务等方面分析各国数据保护政策,可以为我国出台数据保护政策提供借鉴。

一、各国现有数据保护政策简况

   为确保数据安全,世界主要国家出台战略与政策,加强顶层设计,组建新的数据职能管理机构,统筹规划数据发展建设,设立各层次、各领域、各行业的数据安全保护法规,加强数据应用过程的数据安全保障。

1 .俄罗斯

   俄罗斯数据保护的最主要法律依据是《个人数据保护法案》,涉及最主要的监管部门是俄罗斯电信/信息技术和大众传媒联邦监管局(Roskomnadzor)。此外,一般性法律、规章和地方性行政法规中也有对数据保护的特定条款,发布方和发布部门涉及俄罗斯总统、俄罗斯政府、俄罗斯联邦技术和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等。

2.美国

   美国是世界上最早提出并通过法规对隐私权予以保护的国家。美国采取分散立法方式保护公民隐私权,立法可以分为联邦和州两个层次,联邦层次由参众两院组成的国会作为立法机关,另外还有一些对国会负责的相对独立的委员会专门负责某一领域法律的管理,如联邦通信委员会(FCC)、健康与人类服务部(DHHS)针对电子通讯、健康等领域建立一些具体的法规。美国各州相对独立,都有自己的立法、司法和行政机关。

3.澳大利亚

   澳大利亚于2012年7月发布了《信息安全管理指导方针:整合性信息的管理》,为预防大数据安全风险提供了最佳管理实践指导。2012年11月,澳大利亚将信息隐私原则和国民隐私原则统一修改为澳大利亚隐私原则,规范私人信息数据从采集、存储、安全、使用、发布到销毁的全生命周期管理,于2014年3月正式生效。

4.欧盟

   2016年4月,欧洲议会通过《一般数据保护条例》(GDPR)。该条例将在2018年生效并直接适用于欧盟各成员国。新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护条例。条例旨在加强对自然人的数据保护,并一统此前欧盟内零散的个人数据保护规则。

5.英国

   英国在《开放数据白皮书》中专门针对个人隐私保护进行规范。一是公共数据开放机构设立隐私保护专家,确保在数据开放过程及时掌握和普及最新的隐私保护措施。二是强制要求所有政府部门在处理涉及个人数据时都要执行个人隐私影响评估工作制度,制定《个人隐私影响评估手册》。三是要求将开放数据划分为大数据和个人数据,规定大数据是政府日常业务过程中收集到的数据,可以对所有人开放,而个人数据仅对某些数据所涉及的个人开放。

6.新加坡

   新加坡数据保护的最主要法律依据是《个人数据保护法令》(PDPA)。为了执行该法令,新加坡成立个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。

二、数据保护参与方及范围

   美国、英国、俄罗斯和新加坡数据保护相关政策规定的参与方包括数据主体、数据控制者和数据监管者三者;德国和法国数据保护相关政策规定的参与方包括数据主体、数据控制者、数据处理者和数据监管者四者;欧盟数据保护相关政策规定的参与方包括数据主体、数据控制者、数据处理者和数据接受者四者(如表所示)。

   数据保护是有范围的,并不是所有数据控制者的所有行为以及收集到的所有数据都需要进行保护,而是在可监管的辖区范围内,针对需要被监管的数据控制者、需要被监管的行为以及需要被保护的数据进行监管。

1.可监管的辖区范围

   俄罗斯数据保护政策不包含任何领土和管辖权方面的规定,因此,一般认为,其数据保护政策适用于在俄罗斯发生的所有数据处理过程,包括对俄罗斯公民数据的收集和使用,无论数据中心是否建立或位于俄罗斯境内。对于跨境数据流动,如果俄罗斯公民是对应的数据传输协定中的一方,那么数据保护政策也可在一定程度上适用。新加坡PDPA适用于所有在新加坡收集、使用或披露的数据。一旦有数据控制者受到质疑,不论该组织的监管与该组织是否位于新加坡,是否被新加坡法律认可,数据控制者必须确保从新加坡发出的一切的数据受到与PDPA同等标准的保护。

2.需保护的数据和不需保护的数据

   各国需要监管的数据包括两类:个人识别数据(PII)和个人隐私/敏感数据。各国对个人隐私/敏感数据的定义不同,其保护的数据范围也就各不相同,如俄罗斯、新加坡等国规定,凡是和个人相关的信息都是个人隐私/敏感数据,均在保护范围内。此外,在这两类需要监管的数据中,也有因例外情况成为不需监管的数据,如新加坡规定,商务联系信息、已存在超过百年的个人资料以及已经死去超过十年的个人数据等,不在保护范围内。

3.需监管的对象

   各国所有涉及数据收集、存储、处理、利用的数据控制者都是被监管的对象,欧盟和新加坡等国家和地区也规定了可免除监管的数据控制者,如公民个人的行为或家庭行为等。

4.需监管的行为和不需监管的行为

   各国提出应对数据的全生命周期进行监管,包括收集、记录、组织、积累、存储、变更(更新、修改)、检索、恢复、使用、转让(传播,提供接入等),脱敏、删除、销毁等行为。俄罗斯、新加坡、欧盟等国家和地区也分别给出了相应的例外豁免情形,如俄罗斯规定处理属于国家保密数据的个人数据行为不需要监管,新加坡规定关系国家利益所必需的数据处理行为不需要监管,欧盟规定刑事犯罪起诉、执行刑事处罚、预防和防范公共安全危机目的数据处理行为不需要监管。

三、数据监管者管理

   各国的数据保护政策增强了监管机构的执法权,包括管理数据控制者收集数据前是否需向政府数据监管部门申请和备案、是否经数据主体同意以及应向数据主体提供哪些信息、当发生异常时是否要报告指定政府数据监管部门及数据主体等方面。

   各国对于违反数据法律法规的罚则也各不相同:

   欧盟《一般数据管理条例》规定了严苛的罚金,分为两档:按单个案件计算,对于不太严重的违法行为,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重的违法行为,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者),可以按案件次数累加计算。

   美国各个法律的罚则条款不一样。常用的处罚包括:行政处罚(比如行政罚款)、民事制裁(比如精神损失)、刑事制裁(比如监禁)。其中,联邦贸易委员会法案对每一次违法行为处以16000美元以下的罚款。联邦贸易委员会还可以发布禁令,赔偿消费者,并补偿调查和起诉成本。刑事处罚条款中,一些违法行为可被处以最多监禁十年;个人通过虚假、虚构或欺骗性的手段,获得或试图获得,导致或试图造成金融机构客户信息披露,可被罚款并处以5年以下监禁。

四、数据主体权利

   数据主体指数据所有者,各国数据保护政策一般都规定了数据主体有数据收集/处理前被告知、授权个人数据收集/处理、访问/查询个人信息、更正个人信息、停止收集个人信息、删除个人信息和投诉等基本权利。欧盟GDPR规定,在数据处理时,数据控制者必须通知数据主体,以提高对数据处理的理解程度和保护意识。若数据遭到泄露,数据控制者应该在24小时内通知数据监管机构,并且配合监管机构的工作,以降低损失。

五、数据控制者义务

   各国数据保护政策一般都规定数据控制者有在数据收集、存储、处理等全生命周期中配合数据主体实现其权利的义务,包括确保数据安全、对数据监管者进行数据收集和利用情况报备、发生异常事件时的通报、应对数据境外流动、存储情况等的义务。同时,数据的跨境流动、存储已经成为常态,在此过程中产生的安全风险也成为各国关注的立法焦点,其中,欧盟在GDPR中提出,禁止向无法确保充分数据保护的国家和组织传输个人数据,除非满足特定条件。

六、对我国数据保护政策的思考

   数据保护已成为大数据产业健康发展的基础,但是我国目前尚未建立数据保护制度,未设立专门的国家监管机构负责约束和审判个人信息使用是否符合规定,也缺乏相应的国家标准和行业标准,因此,亟待建立相关制度加以规范。

1.建立数据保护立法模式和数据保护部门

   《国家安全法》、《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等已形成数据保护政策的基本框架,但是监管范围、监管对象、监管内容等具体规则等方面还需进一步细化。我国应出台专门的数据保护政策或条例,对数据保护对象、敏感数据定义、数据保护范围、数据主体权利、数据控制者义务、数据交易要求、罚则等进行立法规定。同时,应设立专门机构,承担数据保护职责。

2.制定具体数据保护策略和国家标准

   为保障数据保护在实施层面的可操作性和可实施性,需在数据保护条例的框架下,制定数据定义、数据分级分类、数据安全要求、数据用户权利、数据控制者义务、数据交易、数据定价、数据平台安全要求等方面的国家标准,为企业提供大数据业务技术支持,为国家数据监督提供管理指导。

3.明确数据控制者义务,增强数据安全防御能力

   数据控制者是指数据保护立法的核心义务主体,包括政府、公共机构和商业机构。各国数据保护立法均将政府与公共机构纳入范围。我国可在数据保护立法中应设立激励机制,鼓励公共机构和商业机构就对拟建的数据处理系统或新的大数据服务第三方进行数据安全评估,定期公布评估报告,增强企业对数据安全风险的防御能力。

4.采用“积极同意”与“消极同意”相结合模式

   欧盟明确,数据主体的“同意”应为“积极同意”,这有利于保护个人数据权利,但是也增加商业成本。我国应在数据保护立法中采用“积极同意”与“消极同意”相结合模式。对于犯罪侦查、医疗、科研等特殊领域或涉及个人敏感数据的特殊保护规则,应采用“积极同意”模式。对于其他数据保护立法,应采纳“消极同意”模式。因此,应注意两个因素:一是“通知”应是明确、充分、具体的。数据控制者应告知数据处理的机构、目的、种类等核心要素。二是赋予数据主体便捷、经济的反对途径。应规定,数据处理者要求数据主体反对的方式,必须与数据处理者通知的方式同等便利,不给数据主体增加额外的负担。

5.健全数据保护民事诉讼与行政处罚机制

   权利保障是数据保护立法的核心。侵权主体具有多样性并很难确定,导致数据主体难以有效维权。我国应逐渐健全个人数据保护的民事诉讼机制,明确建立由被告证明其不应承担责任的举证规则。当数据主体不能确定具体的侵权主体时,由数据控制者与处理者承担连带侵权责任。此外,个人数据是价值巨大的“金矿”,很多企业会对存储于云端的数据进行商业化利用,数据泄露、非法交易也将成为常态,加大行政处罚的力度是当务之急,也可考虑设立将违法企业计入“违法行为黑名单”等方式遏制侵犯个人数据的违法行为。

6.有效应对数据跨境所带来的问题

   各国聚焦跨境数据流动的安全性,竞相实施数据中心本地化、云服务器本地化、数据境内存储等“数据驻留”举措。中国仍被欧盟认定为是不能对个人数据提供充分保护的国家,这将使具有财产价值的个人数据外流易、流入难,导致企业在国际贸易中始终处于竞争劣势,甚至导致我国大量公民个人数据被变相获取。因此,应积极应对数据跨境的国际化趋势,积极参与到个人数据保护的国际合作中,争取国际规则制定中的话语权。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919