科研能力
CAICT观点
欧盟《一般数据保护条例》浅析
作者:中国信息通信研究院安全所陈湉、葛鑫            发布时间:2018-07-16

  2018年5月25日,欧盟《一般数据保护条例》(英文简称“GDPR”,以下简称《条例》)正式实施。从各方反映看,欧盟借助《条例》已经成为全球数据安全和个人信息保护的引领者,并带动全球个人信息保护规则升级。深刻理解《条例》背后的立法目的以及其数据保护规则体系,有助于我国尽快形成维护数据安全的基本理念,对构建国家数据安全保障体系有着较强借鉴意义。

  一、欧盟《条例》的立法目标

  欧盟《条例》旨在解决保护欧洲公民的基本权利与促进数据流通两个核心问题。长期以来,欧盟从尊重个人隐私权利的角度出发,致力于个人信息保护,其中最重要的是在1995年出台的《关于个人数据处理的个人保护与个人数据自由流动的指令》(简称“95指令”),规定了基于计算机自动处理个人数据背景下的个人数据保护规则。然而,随着信息技术产业革命浪潮,特别是大数据技术创新应用,全球社会正式进入“数据驱动”的时代,数据安全问题不断升级,95指令已不足以应对互联网发展和大数据浪潮下的个人信息保护工作。与此同时,欧盟企业开展商务活动时往往面临各成员国之间的数据保护法律制度差异问题,合规成本较为复杂,不利于其数字单一市场战略的有效实施。因此,欧盟于2016年4月通过《一般数据保护条例》(即GDPR),取代95年的数据保护指令,全面增强个人信息保护要求,促进数据在欧盟境内的合理流通。

  《条例》的立法目的、结构安排和主要内容均体现了欧盟在保护个人数据基本人权和推动数字经济发展之间的平衡考量,但其过于严苛的数据保护规则设定,可能对数字经济发展造成负面影响。根据德勤的研究,《条例》就直销、广告、网页分析、信贷等四大产业而言,将直接或间接导致1730亿欧元的GDP损失以及280万欧元的就业损失[1]。同时,ICANN[2]与德国域名注册服务商EPAG的法庭判例也显示,《条例》已经直接影响域名查询服务WHOIS等互联网公共服务的正常运转。目前,《条例》刚刚实施月余,能否实现其立法初衷,及在全球范围内究竟将产生何种影响和作用,尚需要时间检验。

  二、欧盟《条例》的主要内容

  《条例》强化了数据主体对其个人数据的控制力,主要体现在有关基本原则、数据主体权利体系、数据主体救济等规定上。一是沿袭并强化了个人数据收集和处理的“知情同意原则”,强调数据控制者应征得数据主体的“明示同意”,否认一揽子同意、默示同意的效力,以确保数据主体的切实知情。二是对数据主体的知情权、访问权等加以完善和细化,并新增数据可携权、被遗忘权、免受自动化决策权,以适应大数据时代数据主体数据和隐私保护需求,强化数据主体对其个人数据及其收集、处理活动的控制力。三是引入个人数据保护公益诉讼制度,赋予公益组织代表数据主体主张合法权益乃至提起诉讼的资格,极大地便利了数据主体维权。

  《条例》进一步强调数据控制者的义务与责任,提升数据控制者内部数据保护和治理水平。一是将原有的倡导性的数据保护官制度升格为一般性机制,并对数据保护官的地位、职能等进行了细致规定,以此为核心完善数据控制者内部数据保护治理机制。二是对于数据控制者从源头采取数据保护防范措施的要求体现了设计即隐私的理念。三是要求数据控制者建立隐私影响评估制度,以便采取与风险相适应的安全防范技术措施;四是要求数据控制者建立文档化管理制度,全面记录其数据处理活动,以确保其数据处理活动全过程有据可查。

  《条例》从风险控制思想、个人数据跨境流动、数据保护监管机制等方面着手,为数字经济发展扫清法律障碍。一是为避免“一刀切”做法导致法律过于严苛而难以落地,《条例》从风险控制思想出发,考量数据保护风险高低对数据控制者的各项义务设置例外规则,以减轻数据控制者的合规负担。二是为促进欧盟境内数据自由流动,《条例》明确禁止部分成员国针对跨境数据流动增加事前的备案或者许可要求,并在原本的数据跨境流动机制外,引入经批准的行为规范、第三方认证等机制。三是为减少跨国数据控制者的合规成本,《条例》设计了“一站式监管”机制,以数据控制者成立地所在国家的监管机构作为主导监管机构,由其监管该数据控制者在欧盟全境的数据处理活动,避免不同成员国监管机构之间的监管摩擦。

  二、欧盟《条例》对我国的启示和影响

  从《条例》文本来看,其对我国数据安全相关法律政策制定的启示和借鉴意义主要在于从风险控制思想出发,通过设置例外规则,减轻数据控制者的合规负担,避免了因“一刀切”的做法导致法律过于严苛而企业难以落实。典型的例子是《条例》关于数据泄露通知的规定。《条例》要求数据控制者发生数据泄露事件后,要告知受影响的用户,并且及时采取补救措施。《条例》在设计具体条款时,基于风险控制的思想,考量用户承受伤害的可能性与数据控制者承担义务之间关系,并据此设置了例外规则,即如果数据控制者采取了适当的保护措施,例如事先采取了加密措施,使得数据泄露不会对用户造成实质性损害,则数据控制者可以不必履行数据泄露通知义务。我国《网络安全法》第四十二条第二款也规定了类似的内容,要求“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。其中的“按照规定”为政府监管部门落实《网络安全法》,制定细化的管理规定留出了解释空间。因此,我国政府监管部门在制定具体规则时,也可以引入风险控制的思想,以减轻企业告知义务的方式,鼓励企业做好事前的安全防范措施,从实质上保护用户个人信息安全。

  从欧盟出台《条例》以及之后的一系列立法、政策举措来看,欧盟已经形成数据利用和保护的完整法律体系,从外部迫使我国必须加快建设数据安全保障体系,避免在国际数据治理竞争博弈中处于劣势地位。欧盟出台《条例》后,继续修订、制定数据保护相关法律,如2017年1月发布计划修订“电子隐私”指令(“E-Privacy Directive”);2017年下半年,欧盟委员会出台《非个人数据自由流动框架条例》提案。事实上,欧盟已逐步建立以《条例》为核心,促进欧盟境内数据自由流动,控制数据向境外流动的法律保障体系,为实施数字单一市场战略、振兴欧洲数字经济创造数据治理良性生态。相比之下,我国缺少国家层面的数据安全顶层设计,专门的数据安全保护相关法律的立法工作推进缓慢,数据确权、数据跨境流动、数据共享交易等细分领域的管理机制和具体政策还不明晰。如果维持这种现状,不论从维护国家数据安全的角度,还是从参与国际数据治理的角度来看,我国都会因为自身制度不健全而处于被动地位。

  总而言之,欧盟采取的一系列数据保护相关行动紧密围绕国家核心利益,服务于国家整体战略。因此,我国也需要尽快从本国核心利益出发,兼顾发展和安全需求,尽快形成维护数据安全的基本理念,加快构建国家数据安全保障体系,强化国家数据资源保护的同时,提升国际数据治理领域竞争博弈的话语权。

  作者信息

  陈湉,中国信息通信研究院安全所数据安全研究部副主任,高级工程师,长期从事国家网络安全相关战略、数据安全和个人信息保护、大数据安全等相关政府决策支撑、科研、标准化工作。

  葛鑫,中国信息通信研究院安全所数据安全研究部研究员,从事数据安全和个人信息保护相关国家战略、法律法规、监管政策等研究工作。

  

  [1]德勤发布的报告《欧盟GDPR对经济影响的评估》

  [2]互联网名称与数字地址分配机构

0
新闻动态 科研能力 业务介绍 品牌活动 学术期刊 文化建设 招贤纳士 关于我们
CAICT观点
成果概况
创新推广
微信扫一扫
添加信通院公众号
Copyright © 2018-2023 中国信息通信研究院 版权所有
京ICP备09013372号 京公网安备11010802027721号
网站声明   联系我们