中央政法委机关报法治日报社主办

您所在的位置:首页  > 文学副刊

数据保护的三类模式

2020-09-10 08:13:00 来源:法治日报·法治周末

在当下的数据保护模式中,较有代表性的是三类模式:统一立法模式、行业分管模式以及共同管理模式,它们各自独立又具有内在联系


王凯

202073日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见,征求意见截至日期为2020816日。在随后的2020715日,《深圳经济特区数据条例(征求意见稿)》在深圳市司法局门户网站公开征求意见,征求意见截至日期为2020814日。这表明,中国在数据安全立法的进程中又向前迈进了一步。

在完善数据安全相关立法的过程中,掌握世界各国的现行数据保护模式对于完善数据安全相关立法以及加强跨境数据保护合作都具有重要意义。笔者对各国当下的较有代表性的数据保护模式进行总结,并以若干国家以及地区的具体数据保护模式为例,对各个具有代表性的保护模式进行分析。笔者认为,在当下的数据保护模式中,较有代表性的是三类模式:统一立法模式、行业分管模式以及共同管理模式,它们各自独立又具有内在联系。

统一立法模式

在统一立法模式下,数据安全保护在国家层面上由统一的法律或法规加以实现,此类模式往往通过统一的立法制定较高的数据保护标准。这也意味着,在法律或法规的具体实施过程中,需结合不同行业的不同特征方能实现最佳的数据保护效果。

以欧盟为例,2018525日,《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式生效。根据《欧洲联盟运作条约》(Treaty on the Functioning of the European Union)的规定,条例(regulation)具有直接效力,可直接在欧盟成员国内实施,由于GDPR属于条例,这意味着GDPR无需经过欧盟各成员国的国内立法转换即可直接成为欧盟各成员国法律渊源的一部分,欧盟各成员国的行政和司法机构可以直接对其加以引用。

GDPR制定了较高的数据保护标准。在权利内容上,GDPR统一了欧盟成员国的数据保护标准,保障了个人对个人数据的控制权(譬如,要求删除个人信息的权利等权利)。在适用范围上,GDPR对于各种形式的自然人个人数据进行保护,但不保护法人数据、已故自然人的数据以及完全匿名化的数据,其适用范围不仅包括位于欧盟内部的数据控制者和处理者,同时也包括位于欧盟之外但为欧盟居民提供商品或服务的数据控制者和处理者。在违法成本上,GDPR规定了最高两千万欧元或上一年度全球营业额4%的罚款额度。

为实现GDPR所规定的最佳数据保护效果,数据控制者、处理者、行政机构、以及司法机构应结合不同行业的不同特征对GDPR加以适用。由于具有技术中立特征的GDPR仅规定了数据保护的义务,并未规定数据的具体保护方式,这意味着为实现数据保护的最佳效果,有关方不仅要解决科技发展与法律滞后之间的矛盾,还要考虑不同行业以及不同技术的具体特征,进而明确具体的数据保护方式。事实上,伴随着GDPR的生效,多个欧盟成员国也更新了其国内立法。

行业分管模式

在行业分管模式下,不存在国家层面的统一数据保护法,国家基于不同行业的具体情况出台适用于不同行业的数据保护法律或法规。此类法律或法规在国家层面上由立法机构或各行业的监管部门制定。由于此类法律或法规往往只适用于某个特定行业,因此不同行业的具体情况得以在法律或法规中有所体现,但缺乏统一的立法也意味着在数据保护范围上可能存在漏洞或重叠,譬如,业务经营范围横跨多个行业的企业很可能被要求同时遵循所涉及行业的多项保护准则。

以美国为例,其在联邦层面上并不存在适用于全国范围的统一数据安全法,金融、电信、计算机、保险等各个行业的相关立法被用于保护该行业内部的数据安全,譬如1970年生效的《公平信用报告法》(Fair Credit Reporting Act)、1986年生效的《电子通讯隐私法》(Electronic Communications Privacy Act)、1986年生效的《计算机欺诈和滥用法》(Computer Fraud and Abuse Act)、1996年生效的《健康保险可携带性和可归责性法》(Health Insurance Portability and Accountability Act)等。尽管此类法律在各行业内具有广泛影响,但从国家层面而言,缺乏联邦层面的统一立法也不可避免地在数据保护范围上导致了漏洞或重叠。

事实上,美国国内对于联邦层面的统一立法呼声不断。2019115日,美国国会的下属机构美国政府问责局(U.S. Government Accountability Office)作为美国联邦政府的审计监督机构在其报告中分析了美国在网络数据隐私方面缺乏联邦层面统一立法的现状,并在结论部分建议美国国会考虑制定联邦层面的统一网络数据隐私方面的立法。

2019116日,苹果公司CEO库克在时代周刊官网撰文,呼吁美国国会制定联邦统一立法以保护网络数据隐私权。2020116日,美国商务部下属的美国国家标准与技术研究院(National Institute of Standards and Technology)公布了《隐私框架》(The NIST Privacy FrameworkA Tool for Improving Privacy through Enterprise Risk Management),尽管该《隐私框架》并不具有法律约束力,但它为美国企业数据隐私框架的搭建以及合规风险的管理提供了参考。

尽管联邦层面上尚不存在统一的数据保护立法,但州层面的相关立法正在不断完善,譬如美国《加州消费者隐私法》(California Consumer Privacy Act)于202011日正式生效。该法赋予美国加州居民多项与数据保护相关的权利,包括拒绝个人信息被买卖的权利以及要求删除个人信息的权利,这为美国加州居民提供了更大的数据安全保障。

共同管理模式

在共同管理模式下,国家立法与行业自律组织的相关规则共同对于数据加以保护。在国家立法之外,各行业的自律组织同步制定和实施适用于组织内部成员的相关规则,此类规则也规定了与数据保护相关的义务。尽管此类规则并非国家立法,不具有法律约束力,但此类规则对于行业自律组织内部的成员仍具有约束力。

与此同时,行业自律组织在业界的影响力以及对于业界具体状况的了解也在此类规则中得以体现。行业自律组织规则为国家层面的数据保护统一立法以及各行业的数据保护立法均能提供补充,有助于实现更好的数据保护效果。

以新加坡为例,201472日,新加坡《个人数据保护法》(Personal Data Protection Act)全文生效。新加坡消费者协会(Consumers Association of Singapore)下属的新加坡广告标准管理局(Advertising Standards Authority of Singapore)在20082月公布的《新加坡广告守则(第三版)》(Singapore Code of Advertising Practice 3rd Edition)也为广告行业的个人信息保护在《个人数据保护法》之外提供了进一步的补充。

上述三类模式是当下数据保护模式中较有代表性的模式,它们各自独立但又具有内在关联。它们均强调了数据安全的重要性,并规定了相关方在保护数据安全中的相关义务。了解上述模式对于数据保护法律体系的构建与完善具有重要意义。

(作者系康奈尔大学法学院博士生)

责编:王硕

联系我们 | 诚聘英才 | 广告征订 | 本站公告 | 法律声明 | 报纸订阅

版权所有 Copyrights © 2014-2019 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

京ICP备10019071号-1 京报出证字第0143号

京公网安备 11010502038778号