關鍵詞 數(shù)據(jù)安全 德國舉措 立法保護 法治實踐

基金項目：國家社科基金重大項目“總體國家安全觀視野下的網(wǎng)絡治理體系研究”（編號：17ZDA107）。

作者簡介：申濤林，中國互聯(lián)網(wǎng)協(xié)會。

中圖分類號：D9516 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.07.090

數(shù)據(jù)作為數(shù)字時代的新“新能源”和“重資產(chǎn)”，確保其安全可控已成為各方共識。然而，在保護對象、具體手段、寬嚴程度、執(zhí)法尺度上，有關方面還存在分歧。在解決個人隱私保護、跨境數(shù)據(jù)流動、大數(shù)據(jù)應用等重點領域上，還面臨一定的政策瓶頸。實踐過程中，如何統(tǒng)籌平衡好安全保護與促進發(fā)展之間的關系，成為擺在面前的重要課題。德國通過法治手段，在確保數(shù)據(jù)安全方面進行了積極探索。

一、德國數(shù)據(jù)保護立法的總體情況

（一）歷史脈絡

1978年，聯(lián)邦德國出臺了《聯(lián)邦數(shù)據(jù)保護法》，從國家層面確立了數(shù)據(jù)保護的基本規(guī)則和主體框架。1995年，德國頒布《聯(lián)邦數(shù)據(jù)保護法》，并分別于2001年、2003年、2006年、2009和2015年進行多次修訂。經(jīng)過不斷完善，《聯(lián)邦數(shù)據(jù)保護法》作為德國國內數(shù)據(jù)保護領域的重要法規(guī)，發(fā)揮著巨大的作用。

（二）法律體系

當前，德國已經(jīng)形成較為完備的數(shù)據(jù)保護法律體系。一是從縱向來看，以《聯(lián)邦數(shù)據(jù)保護法》為基礎，德國的每個州也制定了當?shù)氐臄?shù)據(jù)保護相關法律法規(guī)，形成了“聯(lián)邦-地方”的完善保護體系。二是從橫向來來看，《聯(lián)邦數(shù)據(jù)保護法》之外，德國為了加強對不同領域的數(shù)據(jù)保護，針對性出臺了專門的法律，出臺《電信法》《通訊法》《媒體法》《遠程媒體法》等。同時，由于數(shù)據(jù)使用與社會發(fā)展的深度融合，傳統(tǒng)領域的數(shù)據(jù)保護問題日益重要。對此，德國在征稅、社保等領域，對于公民個人信息保護問題也通過立法手段予以規(guī)范。

（三）整體動向

一是高度重視數(shù)據(jù)保護。2011年，德國出臺《網(wǎng)絡空間安全戰(zhàn)略》，指出網(wǎng)絡空間安全和網(wǎng)絡空間數(shù)據(jù)的完整性、真實性及保密性十分重要，并介紹了數(shù)據(jù)安全風險對于國家、社會、公民所帶來的挑戰(zhàn)。二是不斷強化數(shù)據(jù)隱私保護標準。德國提出了嚴格保護、加密傳輸、禁止向國外政府傳送數(shù)據(jù)等要求。三是更加重視數(shù)據(jù)安全的國際合作。德國認為數(shù)據(jù)安全保護權屬問題十分復雜，需要各個國家攜手合作、加強溝通，特別是在聯(lián)合國框架下建立跨境保護機制。

二、德國關于數(shù)據(jù)保護立法的主要內容及原則路徑

（一）總體框架

以2015年最新修訂的《聯(lián)邦數(shù)據(jù)保護法》為例，其主體框架分為6大部分、48條。第一部分為“總則”。第二部分為“公共機構對數(shù)據(jù)的處理”，主要涉及處理的法律依據(jù)、數(shù)據(jù)主體的權利、聯(lián)邦數(shù)據(jù)專員等。第三部分為“私法主體和參與競爭的公法企業(yè)對數(shù)據(jù)的處理”，主要規(guī)范該企業(yè)機構主體的法律依據(jù)、相關權利、監(jiān)管機構、行為規(guī)則。第四部分為“特殊條款”，涉及如“特殊秘密”條件下的使用限制等內容。第五、第六部分則分別為“最后條款”與“過渡條款”。

（二）管轄邊界

關于數(shù)據(jù)、信息、個人隱私三者之間的概念邊界，學界一直有不同的界定。例如，有觀點認為數(shù)據(jù)是加工信息的原材料 ，也有的認為數(shù)據(jù)是記錄信息的一種符號 。關于個人隱私，有學者認為人信息包含隱私 ，也有的提出了隱私包括私生活安寧和私生活秘密兩個方面 ?！堵?lián)邦數(shù)據(jù)保護法》 “個人數(shù)據(jù)”的概念進行界定，同時還對數(shù)據(jù)收集、處理及利用行為作了區(qū)別。例如，“個人數(shù)據(jù)”是指關于個人或已識別、能識別的數(shù)據(jù)主體的客觀情況的信息。“數(shù)據(jù)收集”是指從相關數(shù)據(jù)主體處獲得數(shù)據(jù)?！皵?shù)據(jù)處理”則為數(shù)據(jù)的存儲、修正、傳遞、控制以及刪除?！皵?shù)據(jù)利用”，即除數(shù)據(jù)處理條款之外的任何其他個人數(shù)據(jù)使用行為。

（三）主體原則

該法體著重體現(xiàn)出六大原則，分別是直接原則、更正原則、目的明確原則、安全保護原則、公開原則、限制使用原則。同時，明確了四項權利，即請求告知權、個人信息更正權、個人信息刪除權、個人信息封鎖權。以個人信息刪除權為例，指出除非有法定的或者約定的理由，信息主體有權要求刪除未經(jīng)其同意而儲存的信息。

三、德國在數(shù)據(jù)保護難點問題上的法治實踐

（一）個人數(shù)據(jù)及隱私保護

根據(jù)《聯(lián)邦數(shù)據(jù)保護法》，收集、處理和使用公民個人信息受到嚴格管制。一是強調“是否知情”。運營商在存儲、傳輸、利用個人信息時，應道及時向權屬主體告知。二是強調“是否同意”。對于出于商業(yè)目的的數(shù)據(jù)進行獲取，必須要征得權屬主體的同意。三是強調“如何懲戒”。明確了對于出現(xiàn)違反有關規(guī)定、侵害權屬主體合法利益的行為，均應受到法律制裁。四是強調“如何申訴”。權屬主體在發(fā)現(xiàn)個人信息遭受不法侵害時，可以按照規(guī)定予以投訴舉報。

（二）跨境數(shù)據(jù)保護問題

一是針對“歐盟內國家”，德國對其他成員國的數(shù)據(jù)保護持信任態(tài)度，允許與歐盟成員國之間進行數(shù)據(jù)交換。但隨著2016年歐盟《一般數(shù)據(jù)保護條例》生效，數(shù)據(jù)跨界流動更加嚴格。二是針對“歐盟外國家”，若該區(qū)域運營商和服務商提供數(shù)據(jù)服務，須按照歐洲標準合同予以規(guī)范。三是針對“可信國家”，德國對于部分國家予以信任認定，將此類國家納入信任清單以實行精準化管理。

（三）大數(shù)據(jù)安全及保護

德國在出臺的《2014至2017年數(shù)字化議程》中指出，歐盟《一般數(shù)據(jù)保護條例》是應對信息通訊技術不斷發(fā)展背景下確保數(shù)據(jù)安全的重要文件。對此，德國不斷完善本國的數(shù)據(jù)保護法律法規(guī)，重點強化大數(shù)據(jù)場景下的安全防護。特別是，借助信息通信技術手段，綜合運用加密傳輸?shù)确绞?，確保數(shù)據(jù)資源的安全可控，降低盜用、泄露、濫用等風險。此外，德國將考慮加快本土化數(shù)據(jù)中心建設，逐步推廣本地化存儲。

四、德國數(shù)據(jù)保護法治實踐的特點

（一）健全機構設置

一是國家層面。設立聯(lián)邦數(shù)據(jù)保護專員，同時在內務部設立專員辦公室，負責監(jiān)督聯(lián)邦政府數(shù)據(jù)保護工作，并接受公民關于數(shù)據(jù)保護維權的投訴申請。為確保獨立性，專員預算由內務部單獨列支。雖然數(shù)據(jù)隱私保護官員在別的國家也有設置，但以英國為例，其職能作用相較于德國整體較弱，對于決策支撐和監(jiān)督作用比較有限。二是地方層面。聯(lián)邦各州設立專員，負責本州范圍內的數(shù)據(jù)安全保護。三是企業(yè)組織。要求在各個企業(yè)設立數(shù)據(jù)保護專員，負責本機構的數(shù)據(jù)保護工作，且明確強調私營企業(yè)應在開業(yè)1個月內完成設置。

（二）加大違法打擊力度

對于各類竊取、盜用、濫用數(shù)據(jù)等損害權屬主體合法利益的行為，德國均采用嚴格的執(zhí)法尺度，甚至情節(jié)嚴重的納入刑罰處罰。若企業(yè)出現(xiàn)破壞數(shù)據(jù)安全的行為，將被處以最高30萬歐元的罰款。2020年2月，德國政府制定一項法律草案，要求運營商對于有害信息主動向警方舉報，否則處以最高5000萬歐元的罰款。德國通過將嚴格的政府執(zhí)法、公共壓力之的行業(yè)自律和低水平的訴訟機制相結合，形成了“合作法治主義”模式 。

（三）嚴格維護用戶權益

德國法律規(guī)定，政府和企業(yè)采集個人數(shù)據(jù)必須具有“目的相關性”，采集數(shù)據(jù)要堅持“知情最小化”原則，非相關、且非必要數(shù)據(jù)不得采集。目前，越來越多的德國企業(yè)開始加強對數(shù)據(jù)的保護。一些企業(yè)網(wǎng)站要求客戶填寫信息時，會在顯要位置提醒客戶信息用途。2020年2月，德國發(fā)布《患者數(shù)據(jù)保護法案》，旨在規(guī)范對電子病歷和數(shù)字醫(yī)療應用程序中患者數(shù)據(jù)的訪問權。

（四）緊跟最新發(fā)展動向，應對潛在安全風險

近年來，德國對新興信息技術發(fā)展所帶來的挑戰(zhàn)予以高度關注，通過法律形式來強化數(shù)據(jù)安全風險管理。例如針對電子監(jiān)控、個人信息存儲、電子辦公、工業(yè)互聯(lián)網(wǎng)等場景，均出臺細化了相關規(guī)定。2020年4月，針對視頻會議系統(tǒng)，德國聯(lián)邦信息安全辦公室發(fā)布一份綱要，旨在加強其數(shù)據(jù)安全防護，同時還強調了使用云計算和人工智能服務相關的風險和挑戰(zhàn)。

五、啟示借鑒

（一）在數(shù)據(jù)流動與信息安全之間尋找最佳平衡

數(shù)據(jù)天然具有流動性，這是數(shù)字經(jīng)濟賴以存在和發(fā)展的基礎。如果數(shù)據(jù)不能流動，那么就不能參與到生產(chǎn)過程中，無法成為市場要素。但是，數(shù)據(jù)安全問題也是由數(shù)據(jù)的流動性造成的。德國原有的立法側重安全，近年來在修訂中，在確保安全的基礎上，增加更多個人數(shù)據(jù)保護的例外情形，以適應經(jīng)濟發(fā)展需要。歐盟的數(shù)據(jù)保護立法，也體現(xiàn)了既重視用戶信息合法權益、有注重促進信息自由流動的雙重價值。因此，數(shù)據(jù)保護法必須兼顧信息流動與信息安全兩個方面，要正確處理好個人、社會和國家之間的關系。

（二）加快健全數(shù)據(jù)保護領域的法制體系

一是完善法律體系。德國的數(shù)據(jù)與個人信息保護立法體系并非一蹴而就，而是歷經(jīng)多次修訂并逐漸完善。我國目前已出臺《網(wǎng)絡安全法》，下一步應加緊制定數(shù)據(jù)保護領域的專門性配套法律法規(guī)，分階段、分行業(yè)推動數(shù)據(jù)保護立法進程。針對跨境數(shù)據(jù)流動、個人隱私保護、國家大數(shù)據(jù)安全等迫切問題，盡快出臺相關法律。二是完善機構設置?？梢栽诓煌瑢用妫瑖L試研究設立“數(shù)據(jù)信息安全官”，健全配套體制機制，規(guī)范明確相關權責。三是明確法律權屬。細化不同法律主體的權屬關系、權利義務，盡快填補法律空白，強化對個人隱私的保護力度，加大對破壞數(shù)據(jù)安全等各類違法犯罪行為的打擊。

（三）構建網(wǎng)絡空間依法治理的合力

一是將網(wǎng)絡空間治理法規(guī)政策與公民權益緊密結合，從立法高度明確個人在網(wǎng)絡空間的權利義務。二是更大程度發(fā)揮行業(yè)協(xié)會的行業(yè)動員與監(jiān)督能力，加強行業(yè)自律，完善行業(yè)規(guī)范。三是開展專項執(zhí)法行動，針對破壞網(wǎng)絡空間數(shù)據(jù)安全的各類違法犯罪行為，加大打擊力度。四是建立網(wǎng)絡空間數(shù)據(jù)安全的舉報、獎勵和懲罰制度，充分發(fā)揮公眾監(jiān)督作用，在全社會形成良好的網(wǎng)絡安全文化氛圍。

（四）加快對新技術新應用潛在風險的法律監(jiān)管

樹立安全優(yōu)先的理念，進一步加強對新技術新應用的安全評估。加強前瞻性研究，針對性做好關鍵技術儲備。強化跟蹤研究，充分發(fā)揮技術手段、數(shù)據(jù)優(yōu)勢，來提高網(wǎng)絡空間安全的綜合治理能力。對于技術革新的動向以及社會治理的演進，要運用法治手段，從制度層面加強法律約束和監(jiān)管，避免出現(xiàn)“真空地帶”和“脫鉤情況”。要依靠健全的法律法規(guī)，對技術變革帶來的社會問題進行細化規(guī)范。

注釋：

熊霞.數(shù)據(jù)倉庫中數(shù)據(jù)質量控制問題研究[D].武漢大學，2004年.

馬費成，胡翠華，陳亮.信息管理學基礎[M].武漢大學出版社，2002年版.

劉德良.隱私與隱私權問題研究[J].社會科學，2003（8），第12頁.

張新寶.隱私權的法律保護[M].群眾出版社，2004年版，第7頁.

Francesca Bignami， Cooperative Legalism and theNon-Americanization of European Regulatory Styles： TheCase of Data Privacy， 59 Am. J. Comp. L. 412 （2011）.