延邊大學 崔龍哲，李松虎

一、歐盟通用數(shù)據(jù)保護條例考察

（一）GDPR概要

2016年5月，歐盟（EU）為了可以讓其成員國內(nèi)的個人信息自由移動且強化保護信息主體，頒布了通用數(shù)據(jù)保護條例（GDPR），因此，從2018年5月25日開始，GDPR代替了1995年的歐盟個人情報保護指南（Directive），開始適用。

GDPR的制定目的在于保障自然人的情報的個人隱私權（第一條第二項），同時使EU內(nèi)的個人情報可自由移動（第一條第三項），在以往的Directive體系里，會員國之間的個人情報隱私相關體系相異，從而時常發(fā)生沖突，企業(yè)在移動使用處理個人信息的時候問題頻發(fā)，GDPR的制定是把指南上升為條例的高度，使其成為了強有力的、統(tǒng)一的規(guī)定，使其擁有了法定強制力。但在某些部分GDPR還是留下了一些余地，以便讓成員國可以根據(jù)自身情況進行相應立法。

（二）GDPR主要內(nèi)容及特點

GDPR本文由11章（Chapter）、99個條款（Article）、173項（Recital）構(gòu)成，具有強制力，適用于全部EU成員國。

GDPR所帶來的主要變化是一方面讓企業(yè)制定個人信息保護責任人（DPO,Data Protection Officer），以及進行相應的效果評價來強化企業(yè)的責任，另一方面，增加了刪除權等權利來強化信息主體權利，而所有會員國需以統(tǒng)一的基準來支付違約金。

特別是現(xiàn)今成為熱點的數(shù)據(jù)假名化可以影響大數(shù)據(jù)、AI等，GDPR的適用包含數(shù)據(jù)假名化，這使得數(shù)據(jù)處理者可以適用這些假名化的數(shù)據(jù)，因此，數(shù)據(jù)處理者可以以不同于最初收集數(shù)據(jù)的目的，使其被使用與別的目的，如為了公益的記錄保留、統(tǒng)計，科學研究等方面，數(shù)據(jù)假名化可以把數(shù)據(jù)本身所帶有的可識別個體的效用抹除，使得數(shù)據(jù)主體避免隱患，信息處理者也可以處理更多有用的數(shù)據(jù)。

（三）個人情報跨國轉(zhuǎn)移

GDPR第五章規(guī)定了個人情報的跨國轉(zhuǎn)移，第44條規(guī)定了除特例外個人情報的轉(zhuǎn)移必須遵守GDPR第五章的規(guī)定。

GDPR第101項強調(diào)為了國際貿(mào)易與國際合作的個人情報的跨國轉(zhuǎn)移的不可避免性，一般原則也明示了GDPR所保護的強度不會隨著跨國轉(zhuǎn)移而有所減弱，但同時，這些規(guī)定也給我們帶來的一些值得思考的研究點。

GDPR所規(guī)定的數(shù)據(jù)域外轉(zhuǎn)移可分成三個部分：

（1）基于充分性保護決策（Transfers on the basis of an adequacy decision）

（2）基于適當?shù)谋Ｗo水平(Transfers subject to appropriate safeguards)

（3）基于數(shù)據(jù)主體的明確同意或履行合同所必需等特殊情況(Derogation for specific situations)

可以得到個人情報主體的統(tǒng)一的特定狀況包含在3的情況，而要想在EU進行個人情報跨國轉(zhuǎn)移，需以1為原則性準則，即符合給予充分性保護決策。

參考1995年的Directive的話，EU成員國的成員想要把數(shù)據(jù)轉(zhuǎn)移到成員國之外的國家的話，以轉(zhuǎn)移對象國可保障適當?shù)膫€人情報數(shù)據(jù)為原則上的條件（Directive第四章規(guī)定），這同時也意味著適當性評價不是唯一方法，如可以通過BCRs等也可以轉(zhuǎn)移，Directive也規(guī)定了轉(zhuǎn)移后的再次轉(zhuǎn)移（轉(zhuǎn)移到第三國或國際組織）的情形，但是只規(guī)定了一部分，而GDPR的規(guī)定相對完善很多。

1.基于充分性保護決策的轉(zhuǎn)移

所謂基于充分性保護決策是指當EU內(nèi)的個人情報轉(zhuǎn)移至域外第三國或國際組織之時，根據(jù)歐盟委員會的判斷，衡量對象國的個人情報保護水準與EU相關制度相比處于充分適當?shù)谋Ｗo水準（adequate level of protection）之時可轉(zhuǎn)移的決策。

得到認可的對象國可像EU成員國內(nèi)互相轉(zhuǎn)移情報一樣也可以不受限制的轉(zhuǎn)移情報，而進行評價時，應當要周到考慮GDPR第45條第二項的各種要素，不僅如此，歐盟委員會還規(guī)定了應當設立對現(xiàn)行適用的相關法律的定期檢查流程，最少每隔四年檢查一次，且必須明確監(jiān)督機關，執(zhí)行委員會需持續(xù)監(jiān)控個人情報改善事項等，以保障基于充分性保護決策的穩(wěn)定。

對充分性保護決策的撤回也有規(guī)定，當執(zhí)行委員會認為得到承認的第三國已經(jīng)不能維持正常被認可的水準之時，可撤回、修訂、或者終止充分性保護決策的許可，但執(zhí)行委員會得跟該第三國說明理由且進行適當?shù)膮f(xié)商。

而做出基于充分性保護決策時，需要考慮的事項有以下幾點：

（1）個人情報信息被侵害時是否能得到有效救濟，對象國個人信息保護法律體系是否完善，對象國個人信息保護法律實行情況是否良好，特別是對EU公民的權利保障提示是否完善或?qū)Σ皇荅U區(qū)域內(nèi)的主體的權利是否保障。

（2）事后管理。對于取得批準的對象國，執(zhí)行委員會應當持續(xù)地監(jiān)督對象國的實際狀況，當認為已不符合批準條件之時便可撤回、終止許可。

2.基于適當?shù)谋Ｗo水平

在基于充分性保護決策上得不到許可之時，可采取得到基于適當?shù)谋Ｗo水平許可，相關監(jiān)督機關如果承認可以得到有實效的法律救濟的話即可許可。

不需要相關監(jiān)督機關的許可的情況可分為以下六種：

（1）行政機關或機構(gòu)間存在有強制力且可執(zhí)行的法律規(guī)定；

（2）有強制力的企業(yè)規(guī)定（BCRs）；

（3）信息情報保護條款；

（4）個人信息保護條款；

（5）被承認的行動準則；

（6）被承認的認證機制。

需要相關監(jiān)督機關的許可的情況分為以下兩種：

（1）契約條款；

（2）公共機關間的行政約定。

以科學、歷史研究，公益性記錄，統(tǒng)計為目的的使用需要保障信息主體的權利與自由，因此需要適當?shù)陌踩b置，據(jù)此，EU與其成員國可制定例外規(guī)則，面對不需要相關監(jiān)督機關的許可的情況，行政機關或機構(gòu)間存在有強制力且可執(zhí)行的法律規(guī)定中應當包含可實行的有實效的信息主體的權利。有強制力的企業(yè)規(guī)定（BCRs）是指企業(yè)樹立Binding Company Rules(以下簡稱BCR)，在得到EU成員國監(jiān)督機構(gòu)（DPA，Data protection authorities）的承認后在往后的域外個人信息轉(zhuǎn)移也不需要再得到個別的承認。

在結(jié)合GDPR第47條規(guī)定，可知如果想制定有強制力的企業(yè)規(guī)定（BCR）的話，必須具有法律上的約束力，且適用于包括被雇傭人在內(nèi)的企業(yè)所有成員以及被他們所履行，進一步還需明示信息主體有關情報處理所擁有的權利，并把從事共同經(jīng)濟活動的集團及各組成人員的聯(lián)絡網(wǎng)明示到企業(yè)規(guī)則。不需要相關監(jiān)督機關的許可的情況中的信息情報保護條款及個人信息保護條款是指EU委員會根據(jù)GDPR第93條規(guī)定的審查程序或監(jiān)督機關制定，EU委員會承認的條款。被承認的行動準則是指自主制定的準則得到了監(jiān)督機關的承認的情況。被承認的認證機制是指個人信息處理者自主向監(jiān)督機關或認證機構(gòu)得到認證的制度，得到認證需證明第三國在實行適當?shù)?、有一定水準的安全措施，此認證三年有效，三年后如果還繼續(xù)保有一定水準的安全措施即可延期，但沒有的時候會被撤回認證。

需要相關監(jiān)督機關的許可的情況是指契約條款及公共機關間的行政約定這兩種情況下，GDPR會采取更嚴格的要求及審查程序。

3.基于數(shù)據(jù)主體的明確同意或履行合同所必需等特殊情況

基于充分性保護決策及基于適當?shù)谋Ｗo水平這兩項都不可行的情況下，可以以基于數(shù)據(jù)主體的明示性明確同意情況下轉(zhuǎn)移數(shù)據(jù)。除此之外，如果情報處理者所追求的正當利益相比數(shù)據(jù)主體的權利優(yōu)先的情況下，也可以轉(zhuǎn)移數(shù)據(jù)，但必須報告與監(jiān)督機構(gòu)并且通知數(shù)據(jù)主體。

二、美國加州消費者隱私法案考察

（一）概要

2017年9月，以629000名公民簽名的提案為開端，于2018年6月28日，美國加利福尼亞州通過了規(guī)定消費者權利與經(jīng)營者義務的加州消費者隱私法案（CCPA）。

CCPA實行于2020年1月1日，但于2020年7月1日才正式發(fā)揮效力，因此在加利福尼亞州所有從事于網(wǎng)絡上收集、購買、販賣消費者個人信息的有關商家于2020年7月1日期必須遵守CCPA。

CCPA被評價為美國史上最強有力的個人隱私信息保護法，雖然不是聯(lián)邦法而僅僅是州法，但加利福尼亞州作為擁有美國百分之十以上人口的大洲，以及加利福尼亞州北部的硅谷作為誕生了如Google、Facebook、Apple等知名的國際IT公司的地方，在全世界范圍內(nèi)受到了廣泛的關注。

CCPA總共有19條條文，其適用范圍是以獲取股東或其他所有者的收益為目的，獨立經(jīng)營、合伙有限責任公司、股份公司、聯(lián)盟等法律實體，收集消費者個人信息，單獨或與其他實體共同決定消費者個人信息的處理目的和方式，且在加州進行商業(yè)活動，并至少滿足以下條件之一的：

（1）年總收入超過2千5百萬美元；

（2）出于商業(yè)目的，每年買入和/或接收超過5萬名消費者的個人信息；

（3）50%以上的年收入通過售賣個人信息獲得。

CCPA雖然不適用于居住在加利福尼亞州以外的居民，但原則上對加利福尼亞居民為對象提供服務的主體也包含在內(nèi)。

CCPA規(guī)定了很多具體的個人信息類型，CCPA規(guī)定的個人信息類型范圍比起聯(lián)邦法寬了很多。

（二）CCPA主要內(nèi)容及特點

CCPA大體上可分為三個部分，一是經(jīng)營者的義務，二是消費者的權利，三是權利救濟與處罰。

1.經(jīng)營者的義務

CCPA規(guī)定經(jīng)營者在搜集個人情報時應當告知當事人，應當制定個人情報處理方針且公開，應當上傳個人情報販賣終止鏈接選項等種種義務，經(jīng)營者需要在網(wǎng)站上以醒目的方式上傳帶有Do Not Sell My Personal Information（不要販賣我的個人情報）的鏈接選項，并且有義務向消費者說明存在于CCPA里的消費者所具有的終止販賣指示權，并且禁止對消費者進行區(qū)別對待，禁止對消費者進行區(qū)別對待是指不能因為消費者行使了依據(jù)CCPA賦予的權利而對消費者進行價格、品質(zhì)、服務上的打壓，即就算消費者行使了個人信息拒絕販賣權，刪除權等權利，也必須以同等的價格、品質(zhì)進行服務。

2.消費者的權利

CCPA賦予了消費者個人信息公開要求權、閱覽要求全、刪除要求權等權利，如消費者有權要求經(jīng)營者僅公開特定的一部分信息、經(jīng)營者在接受消費者閱覽其信息的邀請時需向消費者無償公開提供其信息、消費者有權要求經(jīng)營者刪除從自身搜集到的個人情報信息、消費者有權要求經(jīng)營者終止販賣自己的個人信息等。

3.權利救濟與處罰

CCPA規(guī)定消費者集體訴訟、法定損害賠償、實際損害賠償?shù)纫幌盗刑幜P規(guī)定，并且同時也規(guī)定了相應的民事罰款。

消費者可以在實際損害賠償與法定損害賠償之中選擇一個賠償數(shù)額較高的方式，法定損害賠償規(guī)定為每一個案件最低100美元、最高700美元的限度，但消費者在提起訴訟前必須在30日之前通知經(jīng)營者并且告知其違法事項，如果經(jīng)營者在這30日之內(nèi)改正違反事項的話，消費者不可提起損害賠償訴訟，同樣的州法務長官也可以進行通知，如果經(jīng)營者沒有在30日以內(nèi)改正，則需要對每一個違反事項支付2500美元以下的罰款，如果是故意違反、故意不修正之時罰款可高達7500美元。

三、結(jié)論及建議

2015年7月4日，國務院印發(fā)《國務院關于積極推進“互聯(lián)網(wǎng)+”行動的指導意見》，這表明國家對互聯(lián)網(wǎng)個人信息保護方面的關注。中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日正式通過了《中華人民共和國網(wǎng)絡安全法》，此法自2017年6月1日起施行。《中華人民共和國網(wǎng)絡安全法》的意義在于把分散的網(wǎng)絡安全與個人信息相關的一些規(guī)定進行統(tǒng)一規(guī)定，而我國的個人信息保護法也在緊鑼密鼓地籌備著，2020年10月13日，十三屆全國人大常委會委員長會議提出了關于提請審議個人信息保護法草案的議案，相信不久的將來我們將會迎接我們的個人信息保護法出臺。

考慮到網(wǎng)絡安全法及將來出臺的個人信息保護法，我們應當著重考察GDPR及CCPA上的可借鑒點，以此完善我國的法律構(gòu)建。

首先，我們應當完善跨國企業(yè)內(nèi)部間的跨國數(shù)據(jù)轉(zhuǎn)移，在全球化時代，跨國公司已成為全球潮流，因此完善此問題也是必不可少的；第二，完善對企業(yè)的監(jiān)督，增加企業(yè)的義務并令其嚴格遵守，我們都知道管控企業(yè)對個人信息的濫用其實是變相保護消費者，中國的企業(yè)還有很多不規(guī)范的地方，這些方面必須要有實效性的進行管控；第三，盡快引入且完善數(shù)據(jù)假名化；第四，明確規(guī)定消費者的權利，例如刪除權，閱覽權等，在消費者權利方面的規(guī)定我們可以從CCPA吸取經(jīng)驗。