關(guān)鍵詞 數(shù)據(jù)安全 德國舉措 立法保護 法治實踐

基金項目：國家社科基金重大項目“總體國家安全觀視野下的網(wǎng)絡(luò)治理體系研究”（編號：17ZDA107）。

作者簡介：申濤林，中國互聯(lián)網(wǎng)協(xié)會。

中圖分類號：D9516 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.07.090

數(shù)據(jù)作為數(shù)字時代的新“新能源”和“重資產(chǎn)”，確保其安全可控已成為各方共識。然而，在保護對象、具體手段、寬嚴程度、執(zhí)法尺度上，有關(guān)方面還存在分歧。在解決個人隱私保護、跨境數(shù)據(jù)流動、大數(shù)據(jù)應(yīng)用等重點領(lǐng)域上，還面臨一定的政策瓶頸。實踐過程中，如何統(tǒng)籌平衡好安全保護與促進發(fā)展之間的關(guān)系，成為擺在面前的重要課題。德國通過法治手段，在確保數(shù)據(jù)安全方面進行了積極探索。

一、德國數(shù)據(jù)保護立法的總體情況

（一）歷史脈絡(luò)

1978年，聯(lián)邦德國出臺了《聯(lián)邦數(shù)據(jù)保護法》，從國家層面確立了數(shù)據(jù)保護的基本規(guī)則和主體框架。1995年，德國頒布《聯(lián)邦數(shù)據(jù)保護法》，并分別于2001年、2003年、2006年、2009和2015年進行多次修訂。經(jīng)過不斷完善，《聯(lián)邦數(shù)據(jù)保護法》作為德國國內(nèi)數(shù)據(jù)保護領(lǐng)域的重要法規(guī)，發(fā)揮著巨大的作用。

（二）法律體系

當(dāng)前，德國已經(jīng)形成較為完備的數(shù)據(jù)保護法律體系。一是從縱向來看，以《聯(lián)邦數(shù)據(jù)保護法》為基礎(chǔ)，德國的每個州也制定了當(dāng)?shù)氐臄?shù)據(jù)保護相關(guān)法律法規(guī)，形成了“聯(lián)邦-地方”的完善保護體系。二是從橫向來來看，《聯(lián)邦數(shù)據(jù)保護法》之外，德國為了加強對不同領(lǐng)域的數(shù)據(jù)保護，針對性出臺了專門的法律，出臺《電信法》《通訊法》《媒體法》《遠程媒體法》等。同時，由于數(shù)據(jù)使用與社會發(fā)展的深度融合，傳統(tǒng)領(lǐng)域的數(shù)據(jù)保護問題日益重要。對此，德國在征稅、社保等領(lǐng)域，對于公民個人信息保護問題也通過立法手段予以規(guī)范。

（三）整體動向

一是高度重視數(shù)據(jù)保護。2011年，德國出臺《網(wǎng)絡(luò)空間安全戰(zhàn)略》，指出網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)空間數(shù)據(jù)的完整性、真實性及保密性十分重要，并介紹了數(shù)據(jù)安全風(fēng)險對于國家、社會、公民所帶來的挑戰(zhàn)。二是不斷強化數(shù)據(jù)隱私保護標(biāo)準(zhǔn)。德國提出了嚴格保護、加密傳輸、禁止向國外政府傳送數(shù)據(jù)等要求。三是更加重視數(shù)據(jù)安全的國際合作。德國認為數(shù)據(jù)安全保護權(quán)屬問題十分復(fù)雜，需要各個國家攜手合作、加強溝通，特別是在聯(lián)合國框架下建立跨境保護機制。

二、德國關(guān)于數(shù)據(jù)保護立法的主要內(nèi)容及原則路徑

（一）總體框架

以2015年最新修訂的《聯(lián)邦數(shù)據(jù)保護法》為例，其主體框架分為6大部分、48條。第一部分為“總則”。第二部分為“公共機構(gòu)對數(shù)據(jù)的處理”，主要涉及處理的法律依據(jù)、數(shù)據(jù)主體的權(quán)利、聯(lián)邦數(shù)據(jù)專員等。第三部分為“私法主體和參與競爭的公法企業(yè)對數(shù)據(jù)的處理”，主要規(guī)范該企業(yè)機構(gòu)主體的法律依據(jù)、相關(guān)權(quán)利、監(jiān)管機構(gòu)、行為規(guī)則。第四部分為“特殊條款”，涉及如“特殊秘密”條件下的使用限制等內(nèi)容。第五、第六部分則分別為“最后條款”與“過渡條款”。

（二）管轄邊界

關(guān)于數(shù)據(jù)、信息、個人隱私三者之間的概念邊界，學(xué)界一直有不同的界定。例如，有觀點認為數(shù)據(jù)是加工信息的原材料 ，也有的認為數(shù)據(jù)是記錄信息的一種符號 。關(guān)于個人隱私，有學(xué)者認為人信息包含隱私 ，也有的提出了隱私包括私生活安寧和私生活秘密兩個方面 ?！堵?lián)邦數(shù)據(jù)保護法》 “個人數(shù)據(jù)”的概念進行界定，同時還對數(shù)據(jù)收集、處理及利用行為作了區(qū)別。例如，“個人數(shù)據(jù)”是指關(guān)于個人或已識別、能識別的數(shù)據(jù)主體的客觀情況的信息。“數(shù)據(jù)收集”是指從相關(guān)數(shù)據(jù)主體處獲得數(shù)據(jù)?！皵?shù)據(jù)處理”則為數(shù)據(jù)的存儲、修正、傳遞、控制以及刪除?！皵?shù)據(jù)利用”，即除數(shù)據(jù)處理條款之外的任何其他個人數(shù)據(jù)使用行為。

（三）主體原則

該法體著重體現(xiàn)出六大原則，分別是直接原則、更正原則、目的明確原則、安全保護原則、公開原則、限制使用原則。同時，明確了四項權(quán)利，即請求告知權(quán)、個人信息更正權(quán)、個人信息刪除權(quán)、個人信息封鎖權(quán)。以個人信息刪除權(quán)為例，指出除非有法定的或者約定的理由，信息主體有權(quán)要求刪除未經(jīng)其同意而儲存的信息。

三、德國在數(shù)據(jù)保護難點問題上的法治實踐

（一）個人數(shù)據(jù)及隱私保護

根據(jù)《聯(lián)邦數(shù)據(jù)保護法》，收集、處理和使用公民個人信息受到嚴格管制。一是強調(diào)“是否知情”。運營商在存儲、傳輸、利用個人信息時，應(yīng)道及時向權(quán)屬主體告知。二是強調(diào)“是否同意”。對于出于商業(yè)目的的數(shù)據(jù)進行獲取，必須要征得權(quán)屬主體的同意。三是強調(diào)“如何懲戒”。明確了對于出現(xiàn)違反有關(guān)規(guī)定、侵害權(quán)屬主體合法利益的行為，均應(yīng)受到法律制裁。四是強調(diào)“如何申訴”。權(quán)屬主體在發(fā)現(xiàn)個人信息遭受不法侵害時，可以按照規(guī)定予以投訴舉報。

（二）跨境數(shù)據(jù)保護問題

一是針對“歐盟內(nèi)國家”，德國對其他成員國的數(shù)據(jù)保護持信任態(tài)度，允許與歐盟成員國之間進行數(shù)據(jù)交換。但隨著2016年歐盟《一般數(shù)據(jù)保護條例》生效，數(shù)據(jù)跨界流動更加嚴格。二是針對“歐盟外國家”，若該區(qū)域運營商和服務(wù)商提供數(shù)據(jù)服務(wù)，須按照歐洲標(biāo)準(zhǔn)合同予以規(guī)范。三是針對“可信國家”，德國對于部分國家予以信任認定，將此類國家納入信任清單以實行精準(zhǔn)化管理。

（三）大數(shù)據(jù)安全及保護

德國在出臺的《2014至2017年數(shù)字化議程》中指出，歐盟《一般數(shù)據(jù)保護條例》是應(yīng)對信息通訊技術(shù)不斷發(fā)展背景下確保數(shù)據(jù)安全的重要文件。對此，德國不斷完善本國的數(shù)據(jù)保護法律法規(guī)，重點強化大數(shù)據(jù)場景下的安全防護。特別是，借助信息通信技術(shù)手段，綜合運用加密傳輸?shù)确绞?，確保數(shù)據(jù)資源的安全可控，降低盜用、泄露、濫用等風(fēng)險。此外，德國將考慮加快本土化數(shù)據(jù)中心建設(shè)，逐步推廣本地化存儲。

四、德國數(shù)據(jù)保護法治實踐的特點

（一）健全機構(gòu)設(shè)置

一是國家層面。設(shè)立聯(lián)邦數(shù)據(jù)保護專員，同時在內(nèi)務(wù)部設(shè)立專員辦公室，負責(zé)監(jiān)督聯(lián)邦政府?dāng)?shù)據(jù)保護工作，并接受公民關(guān)于數(shù)據(jù)保護維權(quán)的投訴申請。為確保獨立性，專員預(yù)算由內(nèi)務(wù)部單獨列支。雖然數(shù)據(jù)隱私保護官員在別的國家也有設(shè)置，但以英國為例，其職能作用相較于德國整體較弱，對于決策支撐和監(jiān)督作用比較有限。二是地方層面。聯(lián)邦各州設(shè)立專員，負責(zé)本州范圍內(nèi)的數(shù)據(jù)安全保護。三是企業(yè)組織。要求在各個企業(yè)設(shè)立數(shù)據(jù)保護專員，負責(zé)本機構(gòu)的數(shù)據(jù)保護工作，且明確強調(diào)私營企業(yè)應(yīng)在開業(yè)1個月內(nèi)完成設(shè)置。

（二）加大違法打擊力度

對于各類竊取、盜用、濫用數(shù)據(jù)等損害權(quán)屬主體合法利益的行為，德國均采用嚴格的執(zhí)法尺度，甚至情節(jié)嚴重的納入刑罰處罰。若企業(yè)出現(xiàn)破壞數(shù)據(jù)安全的行為，將被處以最高30萬歐元的罰款。2020年2月，德國政府制定一項法律草案，要求運營商對于有害信息主動向警方舉報，否則處以最高5000萬歐元的罰款。德國通過將嚴格的政府執(zhí)法、公共壓力之的行業(yè)自律和低水平的訴訟機制相結(jié)合，形成了“合作法治主義”模式 。

（三）嚴格維護用戶權(quán)益

德國法律規(guī)定，政府和企業(yè)采集個人數(shù)據(jù)必須具有“目的相關(guān)性”，采集數(shù)據(jù)要堅持“知情最小化”原則，非相關(guān)、且非必要數(shù)據(jù)不得采集。目前，越來越多的德國企業(yè)開始加強對數(shù)據(jù)的保護。一些企業(yè)網(wǎng)站要求客戶填寫信息時，會在顯要位置提醒客戶信息用途。2020年2月，德國發(fā)布《患者數(shù)據(jù)保護法案》，旨在規(guī)范對電子病歷和數(shù)字醫(yī)療應(yīng)用程序中患者數(shù)據(jù)的訪問權(quán)。

（四）緊跟最新發(fā)展動向，應(yīng)對潛在安全風(fēng)險

近年來，德國對新興信息技術(shù)發(fā)展所帶來的挑戰(zhàn)予以高度關(guān)注，通過法律形式來強化數(shù)據(jù)安全風(fēng)險管理。例如針對電子監(jiān)控、個人信息存儲、電子辦公、工業(yè)互聯(lián)網(wǎng)等場景，均出臺細化了相關(guān)規(guī)定。2020年4月，針對視頻會議系統(tǒng)，德國聯(lián)邦信息安全辦公室發(fā)布一份綱要，旨在加強其數(shù)據(jù)安全防護，同時還強調(diào)了使用云計算和人工智能服務(wù)相關(guān)的風(fēng)險和挑戰(zhàn)。

五、啟示借鑒

（一）在數(shù)據(jù)流動與信息安全之間尋找最佳平衡

數(shù)據(jù)天然具有流動性，這是數(shù)字經(jīng)濟賴以存在和發(fā)展的基礎(chǔ)。如果數(shù)據(jù)不能流動，那么就不能參與到生產(chǎn)過程中，無法成為市場要素。但是，數(shù)據(jù)安全問題也是由數(shù)據(jù)的流動性造成的。德國原有的立法側(cè)重安全，近年來在修訂中，在確保安全的基礎(chǔ)上，增加更多個人數(shù)據(jù)保護的例外情形，以適應(yīng)經(jīng)濟發(fā)展需要。歐盟的數(shù)據(jù)保護立法，也體現(xiàn)了既重視用戶信息合法權(quán)益、有注重促進信息自由流動的雙重價值。因此，數(shù)據(jù)保護法必須兼顧信息流動與信息安全兩個方面，要正確處理好個人、社會和國家之間的關(guān)系。

（二）加快健全數(shù)據(jù)保護領(lǐng)域的法制體系

一是完善法律體系。德國的數(shù)據(jù)與個人信息保護立法體系并非一蹴而就，而是歷經(jīng)多次修訂并逐漸完善。我國目前已出臺《網(wǎng)絡(luò)安全法》，下一步應(yīng)加緊制定數(shù)據(jù)保護領(lǐng)域的專門性配套法律法規(guī)，分階段、分行業(yè)推動數(shù)據(jù)保護立法進程。針對跨境數(shù)據(jù)流動、個人隱私保護、國家大數(shù)據(jù)安全等迫切問題，盡快出臺相關(guān)法律。二是完善機構(gòu)設(shè)置?？梢栽诓煌瑢用?，嘗試研究設(shè)立“數(shù)據(jù)信息安全官”，健全配套體制機制，規(guī)范明確相關(guān)權(quán)責(zé)。三是明確法律權(quán)屬。細化不同法律主體的權(quán)屬關(guān)系、權(quán)利義務(wù)，盡快填補法律空白，強化對個人隱私的保護力度，加大對破壞數(shù)據(jù)安全等各類違法犯罪行為的打擊。

（三）構(gòu)建網(wǎng)絡(luò)空間依法治理的合力

一是將網(wǎng)絡(luò)空間治理法規(guī)政策與公民權(quán)益緊密結(jié)合，從立法高度明確個人在網(wǎng)絡(luò)空間的權(quán)利義務(wù)。二是更大程度發(fā)揮行業(yè)協(xié)會的行業(yè)動員與監(jiān)督能力，加強行業(yè)自律，完善行業(yè)規(guī)范。三是開展專項執(zhí)法行動，針對破壞網(wǎng)絡(luò)空間數(shù)據(jù)安全的各類違法犯罪行為，加大打擊力度。四是建立網(wǎng)絡(luò)空間數(shù)據(jù)安全的舉報、獎勵和懲罰制度，充分發(fā)揮公眾監(jiān)督作用，在全社會形成良好的網(wǎng)絡(luò)安全文化氛圍。

（四）加快對新技術(shù)新應(yīng)用潛在風(fēng)險的法律監(jiān)管

樹立安全優(yōu)先的理念，進一步加強對新技術(shù)新應(yīng)用的安全評估。加強前瞻性研究，針對性做好關(guān)鍵技術(shù)儲備。強化跟蹤研究，充分發(fā)揮技術(shù)手段、數(shù)據(jù)優(yōu)勢，來提高網(wǎng)絡(luò)空間安全的綜合治理能力。對于技術(shù)革新的動向以及社會治理的演進，要運用法治手段，從制度層面加強法律約束和監(jiān)管，避免出現(xiàn)“真空地帶”和“脫鉤情況”。要依靠健全的法律法規(guī)，對技術(shù)變革帶來的社會問題進行細化規(guī)范。

注釋：

熊霞.數(shù)據(jù)倉庫中數(shù)據(jù)質(zhì)量控制問題研究[D].武漢大學(xué)，2004年.

馬費成，胡翠華，陳亮.信息管理學(xué)基礎(chǔ)[M].武漢大學(xué)出版社，2002年版.

劉德良.隱私與隱私權(quán)問題研究[J].社會科學(xué)，2003（8），第12頁.

張新寶.隱私權(quán)的法律保護[M].群眾出版社，2004年版，第7頁.

Francesca Bignami， Cooperative Legalism and theNon-Americanization of European Regulatory Styles： TheCase of Data Privacy， 59 Am. J. Comp. L. 412 （2011）.