王瀅

【內(nèi)容摘要】智能物聯(lián)網(wǎng)和區(qū)塊鏈等技術(shù)革新推動(dòng)硬件和軟件更新迭代，并由此衍生商業(yè)模式的轉(zhuǎn)變和快速發(fā)展，推動(dòng)了數(shù)字經(jīng)濟(jì)從互聯(lián)網(wǎng)時(shí)代步入人工智能時(shí)代，隨之而來的是數(shù)字經(jīng)濟(jì)環(huán)境下個(gè)人數(shù)據(jù)隱私、企業(yè)商業(yè)機(jī)密和政府公共信息等數(shù)據(jù)安全風(fēng)險(xiǎn)及對(duì)相關(guān)立法跟進(jìn)的要求。本文將對(duì)數(shù)字經(jīng)濟(jì)時(shí)代歐盟、美國(guó)和中國(guó)的數(shù)據(jù)安全立法現(xiàn)狀進(jìn)行整理和探討。

【關(guān) 鍵 詞】數(shù)據(jù)保護(hù);數(shù)據(jù)隱私;數(shù)據(jù)安全

中圖分類號(hào)：D922.16 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-4379-（2020）02-0215-02

2019年9月以來，杭州多家大數(shù)據(jù)風(fēng)控平臺(tái)被警方調(diào)查，原因是涉及數(shù)據(jù)爬蟲公司違規(guī)獲取的通訊錄、地址定位等個(gè)人敏感信息，這讓互聯(lián)網(wǎng)數(shù)據(jù)安全問題再次被推上風(fēng)口浪尖。

智能物聯(lián)網(wǎng)和區(qū)塊鏈等技術(shù)革新推動(dòng)硬件和軟件更新迭代，并由此衍生商業(yè)模式的轉(zhuǎn)變和快速發(fā)展，推動(dòng)了數(shù)字經(jīng)濟(jì)從互聯(lián)網(wǎng)時(shí)代步入人工智能時(shí)代，隨之而來的是數(shù)字經(jīng)濟(jì)環(huán)境下個(gè)人數(shù)據(jù)隱私、企業(yè)商業(yè)機(jī)密和政府公共信息等數(shù)據(jù)安全風(fēng)險(xiǎn)及對(duì)相關(guān)立法跟進(jìn)的要求。

本文將對(duì)數(shù)字經(jīng)濟(jì)時(shí)代歐盟、美國(guó)和中國(guó)的數(shù)據(jù)安全立法現(xiàn)狀進(jìn)行整理和探討。

一、歐盟數(shù)據(jù)保護(hù)立法情況

歐盟議會(huì)于2016年4月通過的《通用數(shù)據(jù)保護(hù)條例》（“GDPR”），于2018年5月25日在歐盟成員國(guó)內(nèi)正式生效實(shí)施，其前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國(guó)內(nèi)的個(gè)人信息的機(jī)構(gòu)組織均受該條例的約束。即使一個(gè)主體不屬于歐盟成員國(guó)的公司（包括免費(fèi)服務(wù)），只要滿足下列兩個(gè)條件之一：

（1）為了向歐盟境內(nèi)可識(shí)別的自然人提供商品和服務(wù)而收集、處理他們的信息。

（2）為了監(jiān)控歐盟境內(nèi)可識(shí)別的自然人的活動(dòng)而收集、處理他們的信息，其就受到GDPR的管轄。[1]

GDPR法令最重要的兩個(gè)原則在于：

1.最大限度地保護(hù)個(gè)人隱私，嚴(yán)格限定企業(yè)、政府對(duì)個(gè)人信息數(shù)據(jù)的使用條件。將科技、人工智能、數(shù)據(jù)滲透阻擋于個(gè)人隱私之外。

2.要求人工審查重要的人工智能中的算法決策，提供個(gè)別算法決策的詳細(xì)解釋或關(guān)于算法如何做出決定的一般信息。這一條款將大大降低技術(shù)黑箱問題的存在。

簡(jiǎn)而言之，這兩個(gè)原則，試圖保護(hù)人類個(gè)體不受愈發(fā)失控的數(shù)據(jù)或技術(shù)黑箱之侵害。[2]

GDPR被稱為是大數(shù)據(jù)監(jiān)管新時(shí)代的標(biāo)志，它的意義在于可以無視利益集團(tuán)、犧牲科技革新的速度，將科技進(jìn)步控制在可理解的天花板里，而非放任在失控的黑箱中。

二、美國(guó)數(shù)據(jù)保護(hù)立法情況

美國(guó)國(guó)會(huì)研究服務(wù)局（簡(jiǎn)稱CRS）是專門為美國(guó)國(guó)會(huì)工作，向美國(guó)的參眾兩院提供政策和法律建議的機(jī)構(gòu)。CRS分別于2019年3月和5月發(fā)布了《數(shù)據(jù)保護(hù)法：綜述》和《數(shù)據(jù)保護(hù)與隱私法律簡(jiǎn)介》兩份報(bào)告，系統(tǒng)介紹了美國(guó)數(shù)據(jù)保護(hù)立法現(xiàn)況。[3]

與歐盟統(tǒng)一立法模式不同，美國(guó)聯(lián)邦層面沒有統(tǒng)一的數(shù)據(jù)保護(hù)基本法，鑒于普通法和《憲法》對(duì)數(shù)據(jù)保護(hù)的局限性，美國(guó)采取了分行業(yè)式分散立法模式，美國(guó)國(guó)會(huì)頒布了一系列數(shù)據(jù)保護(hù)聯(lián)邦立法，在電信、金融、健康、教育以及兒童在線隱私等領(lǐng)域有專門的數(shù)據(jù)保護(hù)立法。具體如下：

1.《格雷姆-里奇-比利雷法》（GLBA）：即《金融現(xiàn)代化法》，旨在對(duì)金融機(jī)構(gòu)處理非公開個(gè)人信息（nonpublic personal information，以下簡(jiǎn)稱NPI）進(jìn)行規(guī)定。

2.《健康保險(xiǎn)流通和責(zé)任法》（HIPAA）：旨在保護(hù)受保護(hù)的健康信息（protectedhealth information，以下簡(jiǎn)稱PHI）。

3.《公平信用報(bào)告法》（FCRA）：旨在確保信用報(bào)告機(jī)構(gòu)（以下簡(jiǎn)稱CRA）的報(bào)告中消費(fèi)者信用信息的準(zhǔn)確性，保護(hù)消費(fèi)者免受錯(cuò)誤信用信息的侵害。

4.《視頻隱私保護(hù)法》（VPPA）：旨在保護(hù)租賃、買賣或交付錄像帶和視聽資料過程中的個(gè)人隱私，規(guī)定未經(jīng)消費(fèi)者明確同意不得披露消費(fèi)者的個(gè)人可識(shí)別信息（personallyidentifiable information，以下簡(jiǎn)稱PII）。

5.《家庭教育權(quán)和隱私權(quán)法》（FERPA）：旨在保護(hù)教育機(jī)構(gòu)收集的教育信息。

6.《聯(lián)邦證券法》：沒有直接對(duì)數(shù)據(jù)保護(hù)進(jìn)行規(guī)定，但是要求公司應(yīng)采取防止數(shù)據(jù)泄露的控制措施，在發(fā)生數(shù)據(jù)泄漏時(shí)及時(shí)向證券交易委員會(huì)（以下簡(jiǎn)稱SEC）披露相關(guān)情況。

7.《兒童在線隱私保護(hù)法》（COPPA）：旨在對(duì)商業(yè)網(wǎng)站或網(wǎng)絡(luò)服務(wù)商收集、使用或披露13歲以下兒童的個(gè)人信息行為進(jìn)行規(guī)定。

8.《電子通信隱私法》（ECPA）：不針對(duì)特定領(lǐng)域進(jìn)行規(guī)定，是美國(guó)目前有關(guān)電子信息最全面的立法。但是也有批評(píng)者指出，ECPA規(guī)定的是竊聽和電子監(jiān)聽行為而非商業(yè)數(shù)據(jù)收集行為。

9.《計(jì)算機(jī)欺詐和濫用法》（CFAA）：旨在規(guī)制計(jì)算機(jī)黑客，禁止未經(jīng)授權(quán)侵入計(jì)算機(jī)，不解決數(shù)據(jù)收集和使用等數(shù)據(jù)保護(hù)問題。但CFAA對(duì)于未經(jīng)授權(quán)而侵入計(jì)算機(jī)并獲得了他人信息的行為規(guī)定了法律責(zé)任。

10.《聯(lián)邦貿(mào)易委員會(huì)法》（FTC Act）：旨在“禁止不公平或欺騙性貿(mào)易行為”（以下簡(jiǎn)稱UDAPs），UDAPs在數(shù)據(jù)保護(hù)方面發(fā)揮著重要作用。但FTC Act并未要求企業(yè)遵守特定的數(shù)據(jù)保護(hù)實(shí)踐，并且無法規(guī)制沒有做出數(shù)據(jù)保護(hù)承諾的企業(yè)。

11.《金融消費(fèi)者保護(hù)法》（CFPA）：與FTC Act類似，旨在禁止機(jī)構(gòu)從事不公平、欺騙或?yàn)E用行為。CFPA新設(shè)了消費(fèi)者金融保護(hù)局（CFPB），專門負(fù)責(zé)消費(fèi)者金融保護(hù)，CFPB職責(zé)包括制定規(guī)則、進(jìn)行法律監(jiān)督和執(zhí)行。

三、中國(guó)數(shù)據(jù)保護(hù)立法情況

中國(guó)的數(shù)據(jù)保護(hù)立法歷經(jīng)了對(duì)個(gè)人信息從間接保護(hù)到直接保護(hù)、從分散立法到集中立法、從公法治理到綜合治理的歷史沿革，通過出臺(tái)《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《刑法》《征信業(yè)管理?xiàng)l例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》以及其他法律、法規(guī)、規(guī)章、規(guī)范性文件，形成多層次多領(lǐng)域的個(gè)人信息保護(hù)法律體系。

2018年9月，全國(guó)人大公布將《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《電信法》《密碼法》列入十三屆人大常委會(huì)五年立法規(guī)劃，其中《密碼法》已在2019年10月26日第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十四次會(huì)議表決通過，于2020年1月1日起施行。

《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》兩部立法未來將為數(shù)字經(jīng)濟(jì)發(fā)展提供更有力的法律保障，《數(shù)據(jù)安全法》的立法價(jià)值側(cè)重于保障網(wǎng)絡(luò)整體安全、國(guó)家數(shù)據(jù)權(quán)益以及產(chǎn)業(yè)安全，數(shù)據(jù)安全管理機(jī)制、數(shù)據(jù)安全監(jiān)管主體、數(shù)據(jù)分級(jí)分類制度、數(shù)據(jù)全生命周期管理規(guī)范、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度等內(nèi)容。《個(gè)人信息保護(hù)法》側(cè)重于對(duì)個(gè)人信息保護(hù)立法的統(tǒng)一，中國(guó)現(xiàn)有個(gè)人信息保護(hù)立法呈現(xiàn)分散性特點(diǎn)，在電商、金融、保險(xiǎn)、交通、醫(yī)療、電信、郵政、統(tǒng)計(jì)等領(lǐng)域均出臺(tái)了相應(yīng)的法律規(guī)范，但缺少統(tǒng)一的個(gè)人信息保護(hù)法。[4]

中國(guó)在5G技術(shù)領(lǐng)域已處于領(lǐng)先地位，5G大規(guī)模應(yīng)用后，會(huì)引領(lǐng)物聯(lián)網(wǎng)的快速發(fā)展，數(shù)據(jù)的傳輸和應(yīng)用將邁入另一個(gè)層級(jí)，智能化將更加普及，包括遠(yuǎn)程手術(shù)等都將實(shí)現(xiàn)，新的產(chǎn)業(yè)模式誕生也伴隨著新的風(fēng)險(xiǎn)管理，需要立法的跟進(jìn)。

近期，習(xí)近平主席作了“加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展”的講話，必將激勵(lì)國(guó)內(nèi)區(qū)塊鏈技術(shù)和相關(guān)產(chǎn)業(yè)的蓬勃發(fā)展，同時(shí)，中國(guó)央行已將推行數(shù)字貨幣提上日程，區(qū)塊鏈技術(shù)的產(chǎn)業(yè)化應(yīng)用，是從底層技術(shù)上改變現(xiàn)有以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)架構(gòu)的產(chǎn)業(yè)結(jié)構(gòu)，在相關(guān)立法中應(yīng)當(dāng)具有前瞻性，在5G和區(qū)塊鏈技術(shù)應(yīng)用等走在世界前列的新技術(shù)領(lǐng)域，立法先行，成為數(shù)字經(jīng)濟(jì)時(shí)代的立法先行者，為后來者提供立法指導(dǎo)。

參考文獻(xiàn)：

[1]通用數(shù)據(jù)保護(hù)條例[EB/OL].百度百科詞條.

[2]雷慢.爬蟲收割隱私，黑箱埋葬靈魂[Z].公眾號(hào)“新金融洛書（FintechBook）”.

[3]楊婕.中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心研究員[Z].一文讀懂美國(guó)數(shù)據(jù)保護(hù)立法情況.CAICT互聯(lián)網(wǎng)法律研究中心，2019-07-02.

[4]中國(guó)信息通信研究院.互聯(lián)網(wǎng)法律白皮書（2018年）[Z].2018.12.