【内容简介】
大数据时代,在充分挖掘和发挥大数据价值的同时,解决好数据安全与个人信息保护等问题刻不容缓。中国政法大学互联网金融法律研究院和大数据与法制研究中心选取了德国《联邦数据保护法》、加拿大《个人信息保护法》、法国《数字共和国法案》、英国2017年《数据保护法案(草案)》、欧盟《一般数据保护条例》、新加坡2012年《个人数据保护法》以及韩国《个人信息保护法》等7个国家和地区近期比较权威的有关数据保护的法律文件,进行翻译与研究。《国际数据保护规则要览》是此项工作的成果汇集,对于研究国际数据治理规则,以及数据法学的深入研究具有重要价值。以上7份数据保护法律文件表明,这些国家和地区对于数据的保护不仅体现在私权层面,还通过国家公权力制定行业标准、技术标准和法律强制性规范对数据进行保护。
【作者简介】
李爱君,法学博士,理论经济学博士后。中国政法大学教授、博士研究生导师,中国政法大学互联网金融法律研究院院长、金融创新与互联网金融法制研究中心主任,中国互联网金融协会申诉(反不当竞争)委员会主任委员,北京市网络法学研究会会长,中国互联网协会个人信息保护专业委员会副主任委员,中国消费者权益保护协会专家委员,中国支付学会互联网金融专家委员会专家委员,中国银行法学研究会常务理事、反金融犯罪专业委员会副主任。曾出版了《证券法》《互联网金融法律与实务》《网络借贷信息中介机构业务活动暂行管理办法解读》《电子货币法律问题研究》《商业银行跨境破产法律问题研究》《后危机时代我国金融安全的法律制度研究》等专著及教材10余部,发表论文百余篇。在金融法、金融监管、互联网金融与法律、大数据法律、个人信息保护等方面具有深厚的学术素养和丰富的理论与实践经验。
苏桂梅,北京外国语大学英语语言文学硕士。中国政法大学外国语学院教授。自1994年以来,主要承担本科生的大学英语综合教程和研究生基础英语教学的工作,并承担高校教师班、五部委以及MBA的英语教学工作。撰写并发表英语教学论文几十篇。
【目录】
德国《联邦数据保护法》
Federal Data Protection Act
翻译指导人员:李爱君 苏桂梅
翻译组成员:李昊 李廷达 姚岚 方颖 方宇菲 任依依
加拿大《个人信息保护法》
Personal Information Protection Act
翻译指导人员:李爱君 苏桂梅
翻译组成员:姚岚 方颖 方宇菲 任依依 李廷达 李昊 王璇 马军
法国《数字共和国法案》
Digital Republic Law
翻译指导人员:李爱君 苏桂梅
英国2017年《数据保护法案(草案)》
Data Protection Bill[HL]
翻译指导人员:李爱君 苏桂梅
翻译组成员:夏菲 方宇菲 李昊 王璇 方颖 邹游 赵思琪 陈洁琼 张百川
欧盟《一般数据保护条例》
General Data Protection Regulation
翻译指导人员:李爱君 苏桂梅
翻译组成员:方颖 王璇 方宇菲 任依依 李廷达 姚岚
新加坡2012年《个人数据保护法》
Personal Data Protection Act
翻译指导人员:李爱君 苏桂梅
翻译组成员:任依依 芦姗 方宇菲 方颖 姚岚 李昊 李廷达 马军
韩国《个人信息保护法》
Personal Information Protection Act
翻译指导人员:李爱君 苏桂梅
翻译组成员:方宇菲 方颖 李昊 李廷达 马军 任依依 姚岚 王璇
【免费在线读】
序
2015年9月,国务院印发《促进大数据发展行动纲要》,明确"加大大数据关键技术研发、产业发展和人才培养力度,着力推进数据汇集和发掘,深化大数据在各行业创新应用,促进大数据产业健康发展;完善法规制度和标准体系,科学规范利用大数据,切实保障数据安全"。纲要明确了7方面政策机制:一是建立国家大数据发展和应用统筹协调机制;二是加快法规制度建设,积极研究数据开放、保护等方面制度;三是健全市场发展机制,鼓励政府与企业、社会机构开展合作;四是建立标准规范体系,积极参与相关国际标准制定工作;五是加大财政金融支持,推动建设一批国际领先的重大示范工程;六是加强专业人才培养,建立健全多层次、多类型的大数据人才培养体系;七是促进国际交流合作,建立完善国际合作机制。党的十九大报告从国家发展战略层面提出:"加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合,在中高端消费、创新引领、绿色低碳、共享经济、现代供应链、人力资本服务等领域培育新增长点、形成新动能。"
在大数据应用快速发展的同时,国内外屡屡出现数据泄露、数据权属界定不清、数据收集无序等恶性事件。身份盗窃资源中心(Identity Theft Resource Center)和网络侦察(CyberScout)的报告显示,2017年前11个月,数据泄露事件持续猛增,数量增加到1202起,比2016年全年的1093起多出了10%。除了政府机构和财富500强的终客户的数据被泄露之外,第三方承包商和数据集成商,以及安全厂商和解决方案提供商自身的数据也被泄露。攻击者的攻击范围也从信用卡号码扩大到选民登记细节以及密码和加密密钥等方面。此外,自2017年以来,这些重大的数据泄露事件引发的安全问题数量也在不断增加。这些安全问题大多是由于错误配置或者使用安全性较差的云服务器引起,例如,"勒索软件(WannaCry)全球蔓延""徐某某遭电信诈骗致死""国内酒店2000万入住信息遭泄露"等事件。2016年9月22日,全球互联网巨头雅虎证实,2014年至少有5亿用户的账户信息被人窃取,窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。
大数据时代,在充分挖掘和发挥大数据价值的同时,必须处理好数据安全与个人信息保护等问题。
2017年6月1日施行的《网络安全法》特别对企业机构泄露数据的问题作出规定,要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性,并保障个人对其信息的安全可控。但是《网络安全法》在个人信息保护方面只是构建了一个体系,缺乏可操作性。为了进一步保护个人数据,我国应及早制定个人数据保护法,明确个人数据的法律性质、个人数据权利的性质、个人数据的权利归属,构建个人数据权利在受到侵害时的救济体系。为了推进个人数据保护的立法,方便社会各界对相关内容进行研究,中国政法大学互联网金融法律研究院和大数据与法制研究中心,选取7个国家和地区近期比较具有权威性的有关数据保护的法律文件,开展了《国际数据保护规则要览》的翻译与出版工作。
德国《联邦数据保护法》(Federal Data Protection Act)包括3个部分,共48节(另有1个附件)。该法旨在执行欧洲议会和理事会于1995年10月24日通过的《有关个人资料处理以及数据自由流动中的个人保护的第95/46/EC号指令》(OJEC第L281号),界定了"公共机构""私人机构""个人数据""自动处理""修改""匿名"等关键词的含义,扩大了个人数据保护范围,赋予了数据官更多权能以更好地实现个人权利保护。
加拿大《个人信息保护法案》(Personal Information Protection Act)于2003年10月23日通过,2004年1月1日实施,共12个部分、60条。其规范对象为从事个人信息商业运作的机构,包括与信息采集、使用和披露相关的作业。法律定义个人信息为"个人识别信息",但不包括姓名、职务、办公地址、办公电话;法律描写的"商业活动"是指任何交易,即具有商业特征的常规活动,包括销售、换货、出租。该法案对个人隐私权的保护,主要体现在个人信息保护条款之中。
法国《数字共和国法案》(Digital Republic Law)于2016年10月7日颁布,共4编、113条。该法引入了许多新的规定,旨在对数字经济进行一体化的管理,管理内容包括数据开放、在线合作经济、打击色情行业、访问互联网等。该法对与隐私相关的行业来说十分重要,在欧盟《一般数据保护条例》生效之前,该法率先对法国《1978年数据保护法》和其他法律作出了一系列重要修订。
英国2017年《数据保护法案(草案)》(Data Protection Bill \[HL\])由英国数字、文化媒体和体育部于2017年8月7日发布,共7个部分、194条。该法案进一步强化了对个人信息的保护,给予了公民更多的个人信息控制权,完善了对企业利益的保护,也为刑事司法机构设定了专门的数据保护框架。旨在营造一个好、安全的在线生活和商业环境,并致力于实现维持可信、推动未来贸易发展和确保安全三大目标。
欧盟《一般数据保护条例》(General Data Protection Regulation)。为了应对数字时代个人数据的新挑战,并且确保欧盟规则的前瞻性,欧盟委员会重新审视现有的个人数据保护法律框架,于2012年11月制定了具有更强包容性和合作性的《一般数据保护条例》。该条例于2016年5月25日公布,2018年5月25日生效,正文部分共6章、99条。其目的在于在当今快速的技术变化中,加强对欧盟所有人和物联网的隐私权保护,并简化数据保护的管理。新的数据监管方案将取代1995年欧盟数据保护指令,着重强调个人隐私权利以及欧盟内部的隐私和安全法律。
新加坡《个人数据保护法》(Personal Data Protection Act)于2012年通过,共10章、68条(另有9个附件)。该法列出了企业在数据收集、使用、披露等环节的重要义务,授予了委员会各种权力以执行法令和调查违反法令的职权,赋予了个人保护其个人信息的各项权利(包括获得权和修改权),通过设立个人数据保护委员会以及特殊的登记方式,对个人数据的处理活动进行管理,以巩固新加坡作为可信的、商业中心的地位。
韩国《个人信息保护法》(Personal Information Protection Act)于2011年3月29日公布,2011年9月30日生效,共分为9章、75条(另有附录7条)。由总则、个人信息保护政策的树立、个人信息的处理、个人信息的安全管理、信息主体的权利保障、个人信息纷争调停委员会、个人信息团体诉讼、附则、罚则等章节组成,对个人信息保护的基本原则、个人信息保护的基准、信息主体的权利保障、个人信息自决权的救济等问题作出了全面规定。
通过对以上7个个人数据保护法律文件的翻译与研究发现,各个国家对个人数据的保护不仅是在私权的层面,还通过国家公权力制定行业标准、技术标准和法律强制性规范,对个人数据进行保护。具体措施是通过扩大数据控制者的义务、强化他们的自我约束和完善政府监管机构的监督管理体系,实现个人数据的保护与相关法律的实施。另外,通过建立由监管机构主导的行政救济制度框架对数据主体进行维权。这样的立法理念是基于数据客体本身的特征,尤其是数据主体难以实现网络空间中个人数据的自我保护。因为网络空间的行为数据是在网络基础实施上形成的,不仅具有专业技术性,还具有隐蔽性,行为者无法实现自我保护。因此,仅仅在私法层面给予数据主体保护形同虚设,无法达到保护数据主体的立法目标。我国未来的个人数据保护法应解决以下三个方面的问题:一是平衡数据应用和数据保护;二是解决个人数据私法保护的失灵;三是避免政府监管的失灵。平衡数据应用和数据保护是为了避免私法神圣的化和身份平等的化。私法神圣的化会限制数据的社会价值和经济价值的发挥;身份平等的化会成为处于优势地位的数据控制主体在数据应用中随心所欲的依据。解决个人数据私法保护的失灵,即避免数据客体本身特征和网络空间特殊性导致的数据主体与数据控制主体的信息不对称和行为隐蔽性等。避免政府监管失灵,是因为数据客体本身的特征与网路空间的行为与数据形成的特点会使监管主体无法进行有效的监管。
因此,个人数据保护法立法要解决的三个方面的问题,决定了个人数据保护立法不仅应从私法层面进行,还需要国家公权力介入。但由于数据客体本身的可无限复制性、使用的无消耗性、数据主体对数据的无控制性、数据控制主体应用数据行为的隐蔽性等特点,我们应从加大数据应用主体义务的层面进行立法。
中国政法大学互联网金融法律研究院和大数据与法制研究中心在进行翻译与研究工作的同时,历经三年对"数据应用的法律问题研究"(中国政法大学的科研专项课题)课题进行了系统研究。研究内容包括:数据、大数据、信息的界定,数据的法律性质,数据权利的性质,数据权利的归属,数据行为与法律关系,数据监管,政府数据的开放与共享,数据的跨境流动和《个人数据保护法》草案。相关研究成果将于2018年5月出版。
在中国政法大学的支持和领导下,金融监管部门、公检法和网信办部门的支持下,中国政法大学互联网金融法律研究院和大数据与法制研究中心在大数据应用法律问题与立法方面,取得了一些研究成果,这仅仅是我们的步。我们将更加努力,为我国从数据大国发展成为数据强国的法学研究和立法工作做出应有的贡献。
李爱君
于北京
2018年2月8日
