桂暢旎，王雅

（中國(guó)信息安全測(cè)評(píng)中心，北京 100085）

數(shù)據(jù)保護(hù)規(guī)制國(guó)際概述及對(duì)我國(guó)網(wǎng)絡(luò)安全治理的啟示

桂暢旎，王雅

（中國(guó)信息安全測(cè)評(píng)中心，北京 100085）

在信息經(jīng)濟(jì)時(shí)代，個(gè)人數(shù)據(jù)成為推動(dòng)網(wǎng)絡(luò)活動(dòng)的原動(dòng)力，各國(guó)紛紛出臺(tái)相關(guān)政策法規(guī)進(jìn)行規(guī)制。本文主要通過(guò)分析聯(lián)合國(guó)貿(mào)易和發(fā)展會(huì)議（UNCTAD）發(fā)布的《數(shù)據(jù)保護(hù)規(guī)制和國(guó)際數(shù)據(jù)流動(dòng)：對(duì)貿(mào)易和發(fā)展的影響》報(bào)告，審視各國(guó)及多利益攸關(guān)方的數(shù)據(jù)治理經(jīng)驗(yàn)與框架，把握數(shù)據(jù)保護(hù)與隱私立法中的關(guān)鍵問(wèn)題，并總結(jié)未來(lái)可能采取的政策選擇，以期為我國(guó)的網(wǎng)絡(luò)安全治理提供有益參考。

個(gè)人數(shù)據(jù)；數(shù)據(jù)保護(hù)規(guī)制；數(shù)據(jù)治理；政策選擇

桂暢旎 (1990-)，女，重慶人，中國(guó)信息安全測(cè)評(píng)中心研究實(shí)習(xí)員，碩士，主要研究網(wǎng)絡(luò)空間安全戰(zhàn)略。

王雅 (1988-)，女，北京人，中國(guó)信息安全測(cè)評(píng)中心。

在信息經(jīng)濟(jì)時(shí)代，個(gè)人數(shù)據(jù)成為推動(dòng)網(wǎng)絡(luò)活動(dòng)的原動(dòng)力，跨境數(shù)據(jù)流動(dòng)成為國(guó)際貿(mào)易新形式，數(shù)據(jù)跨境即時(shí)且無(wú)處不在，數(shù)據(jù)信息詳盡且時(shí)效持久。數(shù)據(jù)流動(dòng)的重要性越來(lái)越突出，數(shù)據(jù)與隱私保護(hù)的需求越來(lái)越普遍，各國(guó)紛紛出臺(tái)相關(guān)政策法規(guī)進(jìn)行規(guī)制。2016年4月，聯(lián)合國(guó)貿(mào)易和發(fā)展會(huì)議（UNCTAD）組織各界學(xué)者、政府官員與企業(yè)人士系統(tǒng)梳理了當(dāng)前國(guó)際、區(qū)域、國(guó)家以及多邊層面的數(shù)據(jù)保護(hù)法規(guī)與路徑，集結(jié)形成了《數(shù)據(jù)保護(hù)規(guī)制和國(guó)際數(shù)據(jù)流動(dòng)：對(duì)貿(mào)易和發(fā)展的影響》報(bào)告，引發(fā)多方關(guān)注。在我國(guó)日益重視跨境數(shù)據(jù)管理，并于近日出臺(tái)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》（意見(jiàn)征集稿）的背景下，分析該報(bào)告對(duì)于我們?nèi)鎸徱暩鲊?guó)數(shù)據(jù)保護(hù)實(shí)踐，系統(tǒng)理解數(shù)據(jù)保護(hù)規(guī)制與國(guó)際貿(mào)易的關(guān)系，提升我國(guó)網(wǎng)絡(luò)空間治理能力將有所裨益。

報(bào)告分為四部分，第一部分即前言闡述了報(bào)告出臺(tái)的背景；第二部分陳述了數(shù)據(jù)保護(hù)法規(guī)發(fā)展及應(yīng)用面臨的七大挑戰(zhàn)；第三部分介紹了四類(lèi)實(shí)踐方式；第四部分總結(jié)了兩類(lèi)政策選擇特點(diǎn)。

一、前言

（一）跨境數(shù)據(jù)商業(yè)價(jià)值不斷增加

報(bào)告引用麥肯錫公司數(shù)據(jù)顯示，2014年，跨境傳輸?shù)纳唐?、服?wù)以及資金達(dá)30萬(wàn)億美元，約12%的國(guó)際貿(mào)易交易是通過(guò)阿里巴巴、亞馬遜等電子平臺(tái)完成。全球跨境商貿(mào)流動(dòng)直接推動(dòng)全球GDP增長(zhǎng)約10%，相當(dāng)于7.8萬(wàn)億美元，其中數(shù)據(jù)流動(dòng)直接貢獻(xiàn)了2.8萬(wàn)億美元?？梢哉f(shuō)，“數(shù)據(jù)驅(qū)動(dòng)”已成為全球經(jīng)濟(jì)發(fā)展的關(guān)鍵因素。

（二）全球數(shù)據(jù)保護(hù)政策參差不齊

報(bào)告認(rèn)為，數(shù)據(jù)保護(hù)與電子商貿(mào)直接相關(guān)，一方面，數(shù)據(jù)保護(hù)不足將削弱消費(fèi)者信心，進(jìn)而引發(fā)負(fù)面的市場(chǎng)效應(yīng)；另一方面，過(guò)度的數(shù)據(jù)保護(hù)又會(huì)限制創(chuàng)新及商業(yè)的發(fā)展，造成經(jīng)濟(jì)秩序混亂。因此，建立一套具有全球稟賦且兼容的數(shù)據(jù)保護(hù)體系至關(guān)重要。但當(dāng)前全球數(shù)據(jù)保護(hù)整體上不盡如意，一方面，部分國(guó)家還未制定數(shù)據(jù)保護(hù)法規(guī)；另一方面，現(xiàn)存的數(shù)據(jù)保護(hù)法規(guī)又呈現(xiàn)碎片化的特征，相互兼容性低。再加上云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展，相應(yīng)的數(shù)據(jù)保護(hù)法規(guī)跟不上技術(shù)的發(fā)展，跨境數(shù)據(jù)問(wèn)題越來(lái)越突出。

在此背景下，報(bào)告梳理當(dāng)前國(guó)際、區(qū)域、國(guó)家以及多邊層面的數(shù)據(jù)保護(hù)法規(guī)與路徑，致力于建立統(tǒng)一的具有兼容性的數(shù)據(jù)保護(hù)框架，為后發(fā)國(guó)家提供法律政策選擇，促進(jìn)全球貿(mào)易的發(fā)展。

二、國(guó)際數(shù)據(jù)保護(hù)面臨七大挑戰(zhàn)

數(shù)據(jù)管理涉及方方面面，利益攸關(guān)方背景多元，報(bào)告主要聚焦亟需采取行動(dòng)的七大挑戰(zhàn)。

（一）各國(guó)數(shù)據(jù)保護(hù)法規(guī)差異

雖然各國(guó)在提高數(shù)據(jù)保護(hù)機(jī)制的兼容性上達(dá)成共識(shí)，但各國(guó)在數(shù)據(jù)保護(hù)法規(guī)上的現(xiàn)實(shí)差距仍然是主要障礙，主要包括以下三種情形：一是部分國(guó)家尚未制定數(shù)據(jù)保護(hù)法規(guī)。目前，全球已有108個(gè)國(guó)家制定了相關(guān)的數(shù)據(jù)保護(hù)法規(guī)，但仍然有30%的國(guó)家迫于經(jīng)費(fèi)與技術(shù)的壓力，至今還未出臺(tái)相關(guān)的法律。隨著國(guó)際貿(mào)易越來(lái)越與數(shù)據(jù)保護(hù)相掛鉤（個(gè)別國(guó)家要求交易國(guó)滿(mǎn)足最低的數(shù)據(jù)保護(hù)需求），導(dǎo)致法律后發(fā)國(guó)家面臨著脫離于國(guó)際貿(mào)易的風(fēng)險(xiǎn)。二是“例外情形”廣泛存在。主要的“例外情形”涉及數(shù)據(jù)的主體（如只針對(duì)兒童、雇員）、數(shù)據(jù)的敏感度（如涉及健康記錄與金融數(shù)據(jù)）、數(shù)據(jù)的來(lái)源（如是否來(lái)源于網(wǎng)上）、數(shù)據(jù)的部門(mén)性（如公共部門(mén)或私營(yíng)部門(mén)）等等。其中北美和亞太地區(qū)的“例外情形”要求較為繁復(fù)，歐盟、南美與非洲地區(qū)則較少?！袄馇樾巍钡姆簽E增加了相關(guān)方辨別及分類(lèi)難度，提高了充分性要求的門(mén)檻，較易出現(xiàn)具有爭(zhēng)議的解釋。三是企業(yè)作為數(shù)據(jù)保護(hù)實(shí)體，自主權(quán)增大。近年來(lái)企業(yè)數(shù)據(jù)保護(hù)的自主權(quán)越來(lái)越大，主要存在兩種類(lèi)型，一類(lèi)是企業(yè)基于自愿原則自主參與數(shù)據(jù)保護(hù)機(jī)制，保護(hù)特定范圍的數(shù)據(jù)并進(jìn)行公示，如美歐《隱私盾協(xié)議》、亞太經(jīng)合組織（APEC）的跨境隱私法規(guī)體系（CBPRs），這類(lèi)多邊協(xié)議的數(shù)據(jù)保護(hù)范圍有限，將政府或以政府名義持有或處理的數(shù)據(jù)排除在外。另一類(lèi)是企業(yè)明示部分例外情形，如將手機(jī)APP、云服務(wù)、軟件等商業(yè)數(shù)據(jù)保護(hù)排除在外，且采用第三方爭(zhēng)端解決機(jī)制處理，對(duì)消費(fèi)者影響較大。

（二）新興技術(shù)帶來(lái)現(xiàn)實(shí)挑戰(zhàn)

目前，新技術(shù)對(duì)數(shù)據(jù)保護(hù)的挑戰(zhàn)主要集中在個(gè)人數(shù)據(jù)識(shí)別與跨境數(shù)據(jù)的管理上。一是云計(jì)算技術(shù)。由于云平臺(tái)數(shù)據(jù)海量復(fù)雜，且跨境低廉簡(jiǎn)便，因此制定“云”服務(wù)的專(zhuān)門(mén)法規(guī)較難，再加上“云計(jì)算”與跨境數(shù)據(jù)傳輸往往又與政府監(jiān)控密切相關(guān)，因此印尼和俄羅斯等國(guó)已開(kāi)始出臺(tái)針對(duì)“云計(jì)算”技術(shù)的數(shù)據(jù)本地化法規(guī)。二是物聯(lián)網(wǎng)技術(shù)。物聯(lián)網(wǎng)技術(shù)發(fā)展迅速，并與民眾生活息息相關(guān)，但也帶來(lái)了隱私與安全隱患，由于相關(guān)的立法滯后，使得物聯(lián)網(wǎng)技術(shù)成為當(dāng)前面臨的最大技術(shù)挑戰(zhàn)。三是大數(shù)據(jù)分析技術(shù)。基于海量數(shù)據(jù)的分析往往存在收集目的偏差、違規(guī)存儲(chǔ)、處理分析方法不公開(kāi)透明等弊端，甚至?xí)斐蓢?yán)重的數(shù)據(jù)泄露，給隱私保護(hù)帶來(lái)了極大的隱患。

（三）跨境數(shù)據(jù)管理方式多樣

目前對(duì)跨境數(shù)據(jù)的管理方式多種多樣，但缺乏一個(gè)全球性的統(tǒng)一的法律框架。一方面，以美國(guó)為代表的國(guó)家未對(duì)跨境數(shù)據(jù)作任何限制；另一方面，已進(jìn)行規(guī)制的國(guó)家則保留了兩類(lèi)“例外情形”，一類(lèi)是一次性“例外情形”如數(shù)據(jù)主體要求或執(zhí)法所需，另一類(lèi)是持續(xù)性“例外情形”，囊括充分性要求（如白名單制度）、約束性規(guī)則（如必須具備審查機(jī)構(gòu)）、標(biāo)準(zhǔn)合同范本、同意原則等?！袄馇樾巍钡姆簽E導(dǎo)致跨境數(shù)據(jù)管理呈現(xiàn)明顯的碎片化特征。

（四）政府監(jiān)控危及公民隱私

監(jiān)控與數(shù)據(jù)保護(hù)一直以來(lái)都是一個(gè)“邊緣”議題，主要的數(shù)據(jù)保護(hù)條例均對(duì)該問(wèn)題采取“避而不談”的態(tài)度。隨著全球數(shù)據(jù)保護(hù)意識(shí)的崛起，特別是斯諾登事件后，政府監(jiān)控的邊界以及如何平衡好政府監(jiān)控與數(shù)據(jù)保護(hù)的關(guān)系成為全球熱議的焦點(diǎn)。對(duì)此，美國(guó)政府出臺(tái)了相關(guān)法律對(duì)政府大規(guī)模監(jiān)控進(jìn)行了限制，同時(shí)賦予公民問(wèn)責(zé)權(quán)以限制情報(bào)機(jī)構(gòu)的執(zhí)法。

（五）打擊犯罪亟待加強(qiáng)執(zhí)法

目前，隨著大規(guī)模數(shù)據(jù)泄露案件的頻發(fā)，數(shù)據(jù)保護(hù)領(lǐng)域內(nèi)的執(zhí)法與懲罰力度有逐漸加強(qiáng)的趨勢(shì)，特別是在歐盟、香港、日本等國(guó)家與地區(qū)的法律修訂中，加強(qiáng)執(zhí)法已成為一個(gè)關(guān)鍵議題。實(shí)踐證明，加大懲罰力度對(duì)于促進(jìn)企業(yè)數(shù)據(jù)保護(hù)改革、樹(shù)立行業(yè)典范具有積極作用。

（六）跨境數(shù)據(jù)爭(zhēng)端如何確定管轄權(quán)

由于數(shù)據(jù)的跨境傳輸越來(lái)越普遍，因此確定管轄權(quán)已成為數(shù)據(jù)保護(hù)法規(guī)中的一項(xiàng)緊急且重要的議題。美國(guó)、日本、歐盟等出臺(tái)的國(guó)內(nèi)數(shù)據(jù)保護(hù)法中均出現(xiàn)了部分域外條款，普遍要求對(duì)收集本國(guó)公民數(shù)據(jù)的行為進(jìn)行法律規(guī)制。

（七）企業(yè)安全合規(guī)成本高企

數(shù)據(jù)保護(hù)法規(guī)在一定程度上限制了企業(yè)創(chuàng)新，并給企業(yè)（特別是中小企業(yè)）帶來(lái)了額外的合規(guī)性成本。如類(lèi)似于美歐“隱私盾協(xié)議”等規(guī)則的行政手續(xù)繁復(fù)，登記費(fèi)用高昂，且要求會(huì)員定期繳交注冊(cè)費(fèi)；部分?jǐn)?shù)據(jù)保護(hù)法還要求企業(yè)必須設(shè)置數(shù)據(jù)保護(hù)官，以及在當(dāng)?shù)卦O(shè)立數(shù)據(jù)中心或辦公室的硬性規(guī)定，都直接加劇了中小企業(yè)的合規(guī)性負(fù)擔(dān)，遲滯創(chuàng)新發(fā)展。

三、四類(lèi)實(shí)踐與探索

（一）全球發(fā)展和經(jīng)驗(yàn)教訓(xùn)

報(bào)告探討了四種國(guó)際數(shù)據(jù)保護(hù)模式及其優(yōu)缺點(diǎn)。

一是聯(lián)合國(guó)模式。聯(lián)合國(guó)一直以來(lái)將數(shù)據(jù)保護(hù)置于基本人權(quán)保護(hù)的范疇下，并于2013年發(fā)布《數(shù)字時(shí)代的隱私權(quán)》聲明，提出在國(guó)內(nèi)及域外監(jiān)控?cái)?shù)字通信以及收集個(gè)人數(shù)據(jù)的情形下，重視公民隱私權(quán)的問(wèn)題。除此之外，聯(lián)合國(guó)還于2015年設(shè)立“隱私權(quán)特別報(bào)告員”，負(fù)責(zé)收集資料、協(xié)調(diào)標(biāo)準(zhǔn)、提交報(bào)告等。聯(lián)合國(guó)數(shù)據(jù)保護(hù)是從人權(quán)保護(hù)的視角出發(fā)，覆蓋全球?qū)用?，但保護(hù)規(guī)則多宣言式，缺乏實(shí)施所需的資源。

二是“公約108”模式?！肮s108”是指歐洲理事會(huì)于1981年發(fā)布的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》，條約提供全面的數(shù)據(jù)保護(hù)模式，并面向所有國(guó)家開(kāi)放，是目前全球標(biāo)準(zhǔn)最為嚴(yán)格的數(shù)據(jù)保護(hù)條約，但條約的歐洲色彩較為濃厚，也面臨著與美國(guó)等國(guó)家的協(xié)調(diào)。

三是經(jīng)合組織（OECD）模式。經(jīng)合組織于1980年公布《保護(hù)隱私與個(gè)人數(shù)據(jù)跨境流動(dòng)管理的指導(dǎo)原則》，提出了八項(xiàng)隱私保護(hù)原則，成為世界各組織制定隱私保護(hù)政策時(shí)的主要參考，分別是：限制收集原則、數(shù)據(jù)品質(zhì)原則、目的明確原則、利用限制原則、安全措施原則、公開(kāi)原則、個(gè)人參與原則、責(zé)任原則。OECD模式致力于實(shí)現(xiàn)數(shù)據(jù)保護(hù)與流通之間的平衡，具有廣泛的支持度；但OECD的規(guī)則不具有約束力，且個(gè)別國(guó)家意志突出。

四是國(guó)際數(shù)據(jù)保護(hù)專(zhuān)門(mén)組織模式。致力于制定全球數(shù)據(jù)保護(hù)法規(guī)的國(guó)際數(shù)據(jù)保護(hù)部門(mén)的實(shí)踐也不容忽視，此類(lèi)部門(mén)涉及眾多國(guó)際利益實(shí)體，目前主要聚焦在隱私保護(hù)上。始于20世紀(jì)80年代初的數(shù)據(jù)保護(hù)和隱私權(quán)專(zhuān)員會(huì)議，是個(gè)人數(shù)據(jù)隱私保護(hù)領(lǐng)域的一個(gè)重要組織，其前身是西歐數(shù)據(jù)保護(hù)和隱私權(quán)保護(hù)專(zhuān)員會(huì)議。會(huì)議每年召開(kāi)一次，現(xiàn)在已經(jīng)發(fā)展成為世界性的數(shù)據(jù)隱私保護(hù)會(huì)議。2005年，第27屆數(shù)據(jù)保護(hù)和隱私專(zhuān)員會(huì)議在瑞士蒙特勒召開(kāi)，通過(guò)了關(guān)于在全球化世界中保護(hù)個(gè)人數(shù)據(jù)即保護(hù)一項(xiàng)尊重多樣性的普遍權(quán)利的《蒙特勒宣言》，其強(qiáng)調(diào)在尊重差異性的基礎(chǔ)上，在全球范圍內(nèi)進(jìn)行數(shù)據(jù)隱私保護(hù)工作；呼吁聯(lián)合國(guó)起草一項(xiàng)有法律約束力的文書(shū)，明確數(shù)據(jù)隱私權(quán)的細(xì)節(jié)，將數(shù)據(jù)隱私保護(hù)視為人權(quán)保護(hù)的一部分強(qiáng)制施行；呼吁各國(guó)政府對(duì)數(shù)據(jù)和隱私保護(hù)進(jìn)行立法，并開(kāi)展數(shù)據(jù)隱私保護(hù)合作。數(shù)據(jù)保護(hù)和隱私權(quán)專(zhuān)員模式具有較強(qiáng)的全球影響力，并且具有豐富的經(jīng)驗(yàn)與國(guó)際視野，但是缺乏正式的結(jié)構(gòu)框架，且宣言具有明顯的非約束性特征。

總體而言，國(guó)際層面的數(shù)據(jù)保護(hù)條例的實(shí)際約束力較為有限，僅“公約108”模式的影響力可觀。值得注意的是，美國(guó)對(duì)于這類(lèi)國(guó)際性的數(shù)據(jù)保護(hù)條約均保持著“遠(yuǎn)觀”的態(tài)度，未明確承認(rèn)，這直接影響了公約的效力。

（二）地區(qū)性倡議

在數(shù)據(jù)保護(hù)領(lǐng)域，地區(qū)性倡議的發(fā)展程度與成熟度遠(yuǎn)遠(yuǎn)高于國(guó)際公約模式。

一是歐盟模式。歐洲國(guó)家歷來(lái)重視數(shù)據(jù)的保護(hù)，特別是1995年的歐盟《數(shù)據(jù)保護(hù)條例》對(duì)全球隱私權(quán)發(fā)展及相關(guān)法規(guī)的規(guī)制影響巨大。2009年，《里斯本條約》確定了數(shù)據(jù)保護(hù)規(guī)則的新法律基礎(chǔ)，將數(shù)據(jù)保護(hù)上升為歐盟法律的基本要件，獨(dú)立于隱私權(quán)。2016年，歐洲議會(huì)投票通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（GDPR），為歐盟成員國(guó)數(shù)據(jù)保護(hù)提供了一個(gè)統(tǒng)一的數(shù)據(jù)保護(hù)框架。除此之外，歐盟在跨境數(shù)據(jù)上進(jìn)行了開(kāi)創(chuàng)性的管理，如要求數(shù)據(jù)接收國(guó)滿(mǎn)足數(shù)據(jù)保護(hù)的“充分性”標(biāo)準(zhǔn)；允許組織內(nèi)部個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的標(biāo)準(zhǔn)合同條約（BCRs）；制定“標(biāo)準(zhǔn)合同條款”（也稱(chēng)“示范條款”）用于規(guī)制數(shù)據(jù)控制者以合規(guī)的方式將個(gè)人數(shù)據(jù)傳輸?shù)綒W洲經(jīng)濟(jì)區(qū)以外的地區(qū)。歐盟模式歷史悠久，基礎(chǔ)牢固，影響深遠(yuǎn)，但是對(duì)中小企業(yè)的門(mén)檻較高，限制較大，且面臨著各國(guó)執(zhí)法不一以及數(shù)據(jù)保護(hù)與數(shù)據(jù)傳輸之間的平衡問(wèn)題。

二是亞太經(jīng)合組織（APEC）模式。亞太經(jīng)合組織在數(shù)據(jù)保護(hù)上的突出表現(xiàn)就是制定了“跨境隱私規(guī)則體系”（CBPRs），該體系基于自愿原則，通過(guò)提供標(biāo)準(zhǔn)的數(shù)據(jù)隱私政策以供成員國(guó)遵循，并尋求更多經(jīng)濟(jì)體、企業(yè)和問(wèn)責(zé)代理機(jī)構(gòu)參與其中。CBPRs具有廣闊的成員基礎(chǔ)，在執(zhí)行過(guò)程中靈活性較高，且有來(lái)自美國(guó)的支持，但是CBPRs完全基于自愿原則，且申請(qǐng)費(fèi)較高，同時(shí)面臨著各國(guó)國(guó)內(nèi)法的限制。

三是非盟模式。2014年，非盟發(fā)布《網(wǎng)絡(luò)安全和個(gè)人數(shù)據(jù)保護(hù)公約》，為建立一個(gè)可信的電子交易、個(gè)人數(shù)據(jù)保護(hù)和打擊網(wǎng)絡(luò)犯罪的數(shù)字空間設(shè)置了必要的安全規(guī)則。非盟極力復(fù)制歐盟模式，但是由于數(shù)據(jù)保護(hù)對(duì)于非盟來(lái)說(shuō)仍然是一個(gè)較新的領(lǐng)域，雖可塑性高，但目前仍面臨缺乏政府重視，資源投入不足的挑戰(zhàn)。

四是英聯(lián)邦模式。英聯(lián)邦國(guó)家數(shù)據(jù)保護(hù)相關(guān)的法規(guī)主要是“隱私法案”和“個(gè)人信息保護(hù)法案”，受OECD以及歐盟模式的影響較大。英聯(lián)邦模式的條約同樣存在約束力問(wèn)題，同時(shí)在數(shù)據(jù)保護(hù)上僅限制在公共部門(mén)，未涉及跨境數(shù)據(jù)等熱點(diǎn)議題。

五是貿(mào)易協(xié)定模式。近年來(lái)，數(shù)據(jù)保護(hù)規(guī)定已成為貿(mào)易協(xié)定的重要內(nèi)容，TPP就是典型例證。TPP要求淡化國(guó)境概念，強(qiáng)調(diào)信息和數(shù)據(jù)自由流動(dòng)的全球性；在合法公共政策目標(biāo)得到保障的前提下，強(qiáng)調(diào)信息和數(shù)據(jù)流動(dòng)的“自由性”。貿(mào)易協(xié)定下的數(shù)據(jù)保護(hù)模式覆蓋面廣、操作性強(qiáng)且較易處理好數(shù)據(jù)保護(hù)與數(shù)據(jù)流動(dòng)的平衡，但貿(mào)易協(xié)定談判往往非公開(kāi)透明，且爭(zhēng)端解決機(jī)制復(fù)雜，并通常將私營(yíng)企業(yè)與公民團(tuán)體排除在外。

目前，區(qū)域性模式已成為推動(dòng)數(shù)據(jù)保護(hù)的主要力量，將數(shù)據(jù)保護(hù)納入貿(mào)易協(xié)定也將成為數(shù)據(jù)保護(hù)規(guī)制的發(fā)展方向。

（三）典型國(guó)家實(shí)踐

根據(jù)UNCTAD調(diào)查顯示，截至2016年4月，在108個(gè)國(guó)家已出臺(tái)數(shù)據(jù)保護(hù)法律的國(guó)家中，95%的法律是專(zhuān)門(mén)的數(shù)據(jù)保護(hù)法，12%是依托于其他法律之下的部門(mén)法規(guī)。此外，還有35%的國(guó)家正在草擬數(shù)據(jù)保護(hù)法。各國(guó)法律規(guī)制差異較大，以下幾個(gè)國(guó)家具有典型性。

1.澳大利亞：與時(shí)俱進(jìn)修訂隱私法。澳大利亞的數(shù)據(jù)保護(hù)體現(xiàn)在其不斷修訂隱私保護(hù)法上，2014年澳大利亞修訂《隱私保護(hù)法》，對(duì)個(gè)人信息的收集、適用、披露與處理作出嚴(yán)格規(guī)定。雖然目前澳大利亞的隱私法仍然將中小企業(yè)以及雇員記錄排除在外，但是澳大利亞目前的數(shù)據(jù)保護(hù)覆蓋面廣，且與國(guó)際數(shù)據(jù)保護(hù)高度一致。

2.巴西：策劃制定數(shù)據(jù)保護(hù)草案。雖然目前國(guó)內(nèi)還未建立起統(tǒng)一的數(shù)據(jù)保護(hù)方案，但巴西政府于2015年公布了個(gè)人數(shù)據(jù)保護(hù)法草案，該草案以歐洲數(shù)據(jù)保護(hù)條例為藍(lán)本，對(duì)企業(yè)處理其在巴西的個(gè)人數(shù)據(jù)作出了嚴(yán)格的規(guī)定。

3.法國(guó)：強(qiáng)數(shù)據(jù)保護(hù)法保證企業(yè)完成“注冊(cè)需求”。法國(guó)的數(shù)據(jù)保護(hù)在歐盟國(guó)家里具有典型性，在歐盟“一般數(shù)據(jù)保護(hù)條例”生效之前，法國(guó)率先對(duì)《1978年數(shù)據(jù)保護(hù)法》進(jìn)行了修訂，出臺(tái)了《數(shù)字共和國(guó)法》，提出了一系列企業(yè)的注冊(cè)需求。法國(guó)的數(shù)據(jù)管理部門(mén)“信息與自由委員會(huì)”（CNIL）實(shí)行強(qiáng)數(shù)據(jù)保護(hù)制度，違規(guī)企業(yè)往往被施以高額的罰款，如法國(guó)政府與谷歌的被遺忘權(quán)之爭(zhēng)就是典型例證。

4.印度：以部門(mén)法規(guī)實(shí)施數(shù)據(jù)保護(hù)。印度的數(shù)據(jù)保護(hù)規(guī)定散落在各部門(mén)法中，其中最為突出的就是2011年修訂的《信息技術(shù)法》，該法對(duì)敏感數(shù)據(jù)進(jìn)行了定義，并要求數(shù)據(jù)接收方提供充分的數(shù)據(jù)保護(hù)。

5.印尼：探索實(shí)施數(shù)據(jù)本地化。印尼法律明確要求數(shù)據(jù)控制者必須充分保護(hù)個(gè)人數(shù)據(jù)，在數(shù)據(jù)使用時(shí)需遵循“目的受限”、“明示同意”等原則。印尼還是少有的實(shí)施數(shù)據(jù)本地化的發(fā)展中國(guó)家，要求在本地設(shè)置數(shù)據(jù)中心和災(zāi)備數(shù)據(jù)中心。

6.日本：致力于解決數(shù)據(jù)保護(hù)的執(zhí)法問(wèn)題。日本于2015年發(fā)布《個(gè)人數(shù)據(jù)保護(hù)法修正案》，設(shè)立了個(gè)人信息保護(hù)委員會(huì)，直屬于內(nèi)閣總理大臣，主要任務(wù)在于監(jiān)管數(shù)據(jù)的傳遞、處理，企業(yè)的合規(guī)性管理等。同時(shí)修正案也允許企業(yè)在滿(mǎn)足適當(dāng)條件下進(jìn)行數(shù)據(jù)的買(mǎi)賣(mài)，以服務(wù)于大數(shù)據(jù)分析。

7.韓國(guó)：重視個(gè)人信息的法律救濟(jì)。韓國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人救濟(jì)進(jìn)行了明確的規(guī)定，并設(shè)立了個(gè)人信息調(diào)解委員會(huì)，從行政和司法兩個(gè)維度保護(hù)個(gè)人的法律救濟(jì)。

8.俄羅斯：實(shí)施嚴(yán)格的數(shù)據(jù)本地化存儲(chǔ)規(guī)則。俄羅斯于2015年9月生效的“第242號(hào)法令”，確立了俄羅斯數(shù)據(jù)本地化留存的制度，要求俄羅斯公民個(gè)人數(shù)據(jù)必須存儲(chǔ)在俄聯(lián)邦境內(nèi)的服務(wù)器上。俄羅斯還據(jù)此開(kāi)展了相關(guān)的監(jiān)督檢查工作，配備專(zhuān)門(mén)人員負(fù)責(zé)檢查公司的合規(guī)性工作。

（四）私營(yíng)部門(mén)與公民團(tuán)體觀察

私營(yíng)部門(mén)與公民團(tuán)體在數(shù)據(jù)保護(hù)規(guī)制中的作用不容忽視。

1.私營(yíng)部門(mén)：私營(yíng)部門(mén)在數(shù)據(jù)保護(hù)中發(fā)揮了重要作用，且作為重要一方參與制定數(shù)據(jù)保護(hù)法規(guī)，如APEC的CBPRs就是公私合作的典范。總體而言，私營(yíng)部門(mén)在數(shù)據(jù)保護(hù)中的基本訴求主要有：一是政府應(yīng)減少干預(yù)，以確?？缇硵?shù)據(jù)的正常流動(dòng)及貿(mào)易的正常開(kāi)展。二是數(shù)據(jù)保護(hù)規(guī)制應(yīng)是原則性的指導(dǎo)，而非細(xì)節(jié)性的法規(guī)。三是無(wú)需針對(duì)每項(xiàng)新技術(shù)制定專(zhuān)門(mén)的數(shù)據(jù)保護(hù)法規(guī)，一般法律準(zhǔn)則即可。四是不應(yīng)把私營(yíng)企業(yè)作為政府執(zhí)法或監(jiān)控的助手，政府應(yīng)盡量克制對(duì)企業(yè)的數(shù)據(jù)請(qǐng)求。五是私營(yíng)企業(yè)有權(quán)公布政府?dāng)?shù)據(jù)請(qǐng)求的目的及范圍。六是數(shù)據(jù)保護(hù)法規(guī)（特別是跨境數(shù)據(jù)法規(guī)）不應(yīng)對(duì)企業(yè)（特別是中小企業(yè)）造成較大的合規(guī)成本。七是跨境數(shù)據(jù)法規(guī)應(yīng)給予企業(yè)在合規(guī)實(shí)施上一定的靈活度。私營(yíng)企業(yè)部門(mén)提出的準(zhǔn)則廣受認(rèn)可，在數(shù)據(jù)保護(hù)與促進(jìn)創(chuàng)新的平衡上發(fā)揮了重要作用，同時(shí)也讓外界正視數(shù)據(jù)保護(hù)規(guī)制給中小企業(yè)帶來(lái)的合規(guī)性挑戰(zhàn)。

2.公民團(tuán)體：對(duì)于公民團(tuán)體來(lái)說(shuō)，網(wǎng)上隱私已經(jīng)成為基本人權(quán)以及消費(fèi)者權(quán)益的重要組成部分。特別是隨著數(shù)據(jù)成為互聯(lián)網(wǎng)發(fā)展的衍生品之后，數(shù)據(jù)保護(hù)與消費(fèi)者權(quán)益保護(hù)的關(guān)系越來(lái)越緊密，政策制定者需兩者同時(shí)推進(jìn)才能確保消費(fèi)者的個(gè)人權(quán)益。消費(fèi)者往往在企業(yè)數(shù)據(jù)保護(hù)的承諾下轉(zhuǎn)交個(gè)人數(shù)據(jù)，但現(xiàn)實(shí)情況卻是企業(yè)總違背承諾濫用公民數(shù)據(jù)，如谷歌（街景）以及“閱后即焚”軟件Snapchat誤導(dǎo)消費(fèi)者等事件。在此背景下，消費(fèi)者對(duì)企業(yè)的信任正在消失，用戶(hù)很難再將數(shù)據(jù)轉(zhuǎn)交給企業(yè)。目前，部分企業(yè)開(kāi)始利用隱私強(qiáng)化的技術(shù)，如強(qiáng)加密技術(shù)，使用隱私認(rèn)證標(biāo)志，或者網(wǎng)上隱私政策的創(chuàng)意展示等額外的保護(hù)措施，補(bǔ)充隱私法規(guī)的滯后。

四、兩類(lèi)政策路徑

目前，全球存在著多種數(shù)據(jù)與隱私保護(hù)的路徑選擇，在執(zhí)法上存在不同的實(shí)踐細(xì)節(jié)，但各國(guó)以及國(guó)際數(shù)據(jù)保護(hù)規(guī)制仍在核心原則上具有一致性，如開(kāi)放透明、收集限制、目的限制、使用限制、安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)主體的參與、問(wèn)責(zé)制、數(shù)據(jù)最小化等。報(bào)告認(rèn)為，當(dāng)務(wù)之急仍是平衡好不同路徑的主要關(guān)切，以及數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的關(guān)系，并提高各種路徑的國(guó)際兼容性。對(duì)此，報(bào)告提出多項(xiàng)最佳實(shí)踐，以落實(shí)和升級(jí)數(shù)據(jù)保護(hù)法規(guī)。

（一）國(guó)際與區(qū)域組織層面

一是避免雙重標(biāo)準(zhǔn)與碎片化。在網(wǎng)絡(luò)犯罪領(lǐng)域，歐盟議會(huì)在2001年通過(guò)的“網(wǎng)絡(luò)犯罪公約”廣受認(rèn)可，目前多個(gè)國(guó)家均將該法的基本原則引入到國(guó)內(nèi)法中。反觀數(shù)據(jù)保護(hù)領(lǐng)域，各個(gè)國(guó)家的法律相互對(duì)立，兼容性差，統(tǒng)一法規(guī)缺失，嚴(yán)重影響了數(shù)據(jù)保護(hù)的效力。因此，當(dāng)前工作的重點(diǎn)是確定共識(shí)，擴(kuò)大核心原則。

二是維持開(kāi)放與透明。數(shù)據(jù)保護(hù)涉及方方面面，眾多利益攸關(guān)者參與其中，因此確保法規(guī)的開(kāi)放與透明非常重要。但是由于部分?jǐn)?shù)據(jù)保護(hù)法規(guī)附屬于國(guó)家間的貿(mào)易協(xié)定，而貿(mào)易協(xié)定多是將私營(yíng)企業(yè)與公民團(tuán)體排除在外進(jìn)行秘密談判，公開(kāi)透明性差。因此未來(lái)的數(shù)據(jù)保護(hù)工作需要將所有的利益攸關(guān)者囊括進(jìn)來(lái)，特別是私營(yíng)企業(yè)、公民團(tuán)體以及發(fā)展中國(guó)家。

三是解決好政府監(jiān)控與數(shù)據(jù)保護(hù)之間的平衡。絕大部分國(guó)家在政府監(jiān)控上均保持沉默的態(tài)度，但是解決好這問(wèn)題又是數(shù)據(jù)保護(hù)繞不開(kāi)的問(wèn)題。對(duì)此，聯(lián)合國(guó)提供了解決該問(wèn)題的原則框架，包括政府需公開(kāi)監(jiān)控的目的、程度與范圍，監(jiān)控目的必須與國(guó)家安全相關(guān)，監(jiān)控過(guò)程需遵循“必要且合適”的原則，輔之以強(qiáng)有力的政府監(jiān)管，并賦予個(gè)人對(duì)政府監(jiān)控的爭(zhēng)端解決權(quán)，以及企業(yè)公開(kāi)政府監(jiān)控明細(xì)的權(quán)力。

四是適當(dāng)考慮企業(yè)的合規(guī)性負(fù)擔(dān)。在數(shù)據(jù)保護(hù)中，企業(yè)的合規(guī)負(fù)擔(dān)與創(chuàng)新和貿(mào)易呈反相關(guān)。一國(guó)采取強(qiáng)數(shù)據(jù)保護(hù)往往不利于中小企業(yè)的發(fā)展，久而久之就會(huì)造成大企業(yè)壟斷的局面，不利于創(chuàng)新的發(fā)展。而在國(guó)際層面，現(xiàn)存的跨境數(shù)據(jù)法規(guī)申請(qǐng)費(fèi)高，且需要繁復(fù)的認(rèn)證程序，也對(duì)中小企業(yè)造成了合規(guī)負(fù)擔(dān)，不利于國(guó)際貿(mào)易的發(fā)展。

（二）國(guó)家層面

一是確立基線法案。目前各國(guó)數(shù)據(jù)保護(hù)立法參差不齊，當(dāng)務(wù)之急是解決“有無(wú)”的問(wèn)題，數(shù)據(jù)保護(hù)缺失的國(guó)家應(yīng)盡快進(jìn)行數(shù)據(jù)保護(hù)立法。其次是解決“例外”泛濫的問(wèn)題，已立法國(guó)家需盡量減少“例外情況”，以擴(kuò)大法規(guī)覆蓋范圍。

二是遵循一般準(zhǔn)則。遵循國(guó)際通用的一般準(zhǔn)則可提高國(guó)際兼容性以及互操作性，在國(guó)內(nèi)遵循上可保持一定的靈活性。

三是建立有效的法律框架。建立單一的中央立法非常必要，這不僅有利于簡(jiǎn)化行政程序，便利企業(yè)與政府的溝通，以及消費(fèi)者的法律救濟(jì)，同時(shí)相較于分散的法規(guī)，中央立法的法律效力更高。

四是加強(qiáng)執(zhí)法。隨著數(shù)據(jù)與隱私保護(hù)的重要性日益增加，需不斷提高執(zhí)法力度，尤其是加強(qiáng)懲罰的力度。

五是解決跨境數(shù)據(jù)傳輸。隨著越來(lái)越多的經(jīng)濟(jì)活動(dòng)轉(zhuǎn)到“線上”，因此在數(shù)據(jù)保護(hù)法規(guī)中，要對(duì)跨境數(shù)據(jù)作出專(zhuān)門(mén)的規(guī)制，并研究出一兩種可供企業(yè)參考的機(jī)制。

六是平衡好隱私保護(hù)與貿(mào)易間的關(guān)系。平衡好多利益攸關(guān)方在隱私保護(hù)與促進(jìn)貿(mào)易之間的關(guān)系非常重要，部分國(guó)家為保護(hù)隱私采取數(shù)據(jù)本地化的舉措無(wú)可厚非，但相關(guān)條款均需要建立在對(duì)貿(mào)易的非歧視性原則上。

七是解決大規(guī)模監(jiān)控問(wèn)題。國(guó)家層面的數(shù)據(jù)保護(hù)法也必須對(duì)政府大規(guī)模監(jiān)控作出明確規(guī)制，包括賦權(quán)于個(gè)人進(jìn)行法律救濟(jì)；控制政府監(jiān)控“必要且合適”，且在有關(guān)部門(mén)的監(jiān)管下實(shí)施。

八是提高能力建設(shè)。聯(lián)合國(guó)在幫助各國(guó)特別是發(fā)展中國(guó)家制定數(shù)據(jù)保護(hù)法中發(fā)揮了重要作用，對(duì)此各國(guó)也要提高自身的能力建設(shè)，加強(qiáng)各層次的國(guó)際對(duì)話(huà)，建立平衡、靈活且兼容的數(shù)據(jù)保護(hù)法規(guī)。

五、對(duì)我國(guó)的三點(diǎn)啟示

目前，跨境數(shù)據(jù)流動(dòng)規(guī)制實(shí)質(zhì)上已變成新型的貿(mào)易壁壘手段，演化成國(guó)際網(wǎng)絡(luò)空間治理的規(guī)則之爭(zhēng)，并呈現(xiàn)出博弈激烈、互動(dòng)復(fù)雜的局面。作為負(fù)責(zé)任的網(wǎng)絡(luò)大國(guó)，我國(guó)應(yīng)積極塑造自身的國(guó)際視野，對(duì)于國(guó)際網(wǎng)絡(luò)熱點(diǎn)問(wèn)題積極跟進(jìn)，貢獻(xiàn)中國(guó)智慧，體現(xiàn)中國(guó)擔(dān)當(dāng)，這既是建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的重要基點(diǎn)，也是構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的題中應(yīng)有之義。

（一）加快頂層設(shè)計(jì)，整體推進(jìn)

我國(guó)應(yīng)在“依法治網(wǎng)”的原則下更加重視跨境數(shù)據(jù)管理問(wèn)題，加快規(guī)則體系建設(shè)。但由于跨境數(shù)據(jù)與貿(mào)易以及中美關(guān)系等問(wèn)題聯(lián)系緊密，因此對(duì)于跨境數(shù)據(jù)的規(guī)制宜從全局著手，加強(qiáng)頂層設(shè)計(jì)，整體推進(jìn)，謹(jǐn)慎出臺(tái)細(xì)則法規(guī)，減少政策的“突擊”給企業(yè)帶來(lái)的沖擊，影響大局。

（二）善用政策工具，綜合施策

由于跨境數(shù)據(jù)利益攸關(guān)者眾多，涉及議題方方面面，是發(fā)展過(guò)程中非常復(fù)雜且敏感的問(wèn)題。對(duì)此，我國(guó)可按國(guó)際通行的監(jiān)管手段綜合施策，包括引入“負(fù)面清單”制度對(duì)跨境數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)管理；參照《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》實(shí)行跨境數(shù)據(jù)“安全評(píng)估”；發(fā)揮“行業(yè)監(jiān)管”作用彌合政府監(jiān)管與相關(guān)數(shù)據(jù)立法的滯后性；必要時(shí)可啟動(dòng)跨境數(shù)據(jù)流動(dòng)“網(wǎng)絡(luò)安全審查”，建立開(kāi)放透明且具有可操作性的監(jiān)管體系。

（三）參與國(guó)際談判，提升話(huà)語(yǔ)權(quán)

我國(guó)要積極參與跨境數(shù)據(jù)流動(dòng)的國(guó)際談判，準(zhǔn)確把握各方利益關(guān)切。對(duì)此，在吸收借鑒其他國(guó)家和地區(qū)構(gòu)建跨境數(shù)據(jù)流動(dòng)規(guī)制的經(jīng)驗(yàn)教訓(xùn)上，結(jié)合產(chǎn)業(yè)特點(diǎn)，我國(guó)可率先通過(guò)“一帶一路”戰(zhàn)略、“亞投行”等貿(mào)易談判平臺(tái)開(kāi)展跨境數(shù)據(jù)流動(dòng)的討論，積累經(jīng)驗(yàn)和話(huà)語(yǔ)權(quán)，再延伸到全球跨境數(shù)據(jù)流動(dòng)規(guī)制的合作與交流。

（責(zé)任編輯：鐘宇歡）

Review of Global Data Protection Regulations and the Implications in China’s Cybersecurity Governance

GUI Chang-ni, WANG Ya

In the age of the information economy, personal data become the fuel that drives much commercial activity online. Meanwhile, more and more countries set rules to protect the data security. This study focus on the report “Data protection regulations and international data fl ows:Implications for trade and development” released by the UNCTAD, and reviews the data governance experience and frameworks in different parts of the world and of different stakeholders, identi fi es key concerns that data protection and privacy legislation need to address and considers possible future policy options. we hope that the findings presented will be helpful for the cyber security governance in China.

personal data, data protection regulations, data governance, policy options

D922

：A

：1001-4225（2017）07-0105-07

① https://www.theguardian.com/technology/2017/mar/04/cambridge-analytics-data-brexit-trump

② 相關(guān)報(bào)道有：https://martechtoday.com/protagonists-new-platform- fi nds-stories-told-brands-197258，http://www.nybooks.com/articles/2017/04/20/kahneman-tversky-invisible-mind-manipulators/，https://www.theguardian.com/commentisfree/2017/apr/17/brexit-voter-manipulation-eu-referendum-social-media等等。

③ https://www.theguardian.com/politics/2017/mar/04/nigel-oakes-cambridge-analytica-what-role-brexit-trump

④ http://www.concordia.net/