在被称为“史上最严”的欧盟《通用数据保护条例》生效之际,中国在保护个人信息方面的国家标准也刚刚实施。英国《金融时报》5月30日报道称,中国“出人意料”地在数据隐私保护规定方面走在了亚洲前列。 9 G' m; j' W9 j3 C
u- `. |! `. T; }0 r' M8 u
“中国是最直接接受GDPR的国家”
. v1 D, {9 I2 o( D) L+ j6 @) U+ O [: u) J1 c1 W; b8 }& {
经过近四年的讨论以及两年的过渡期,5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)在欧盟全体成员国正式生效。
- Z: B! ^9 Q) Y
% k& D: g9 B" q. S% ]0 J0 W 根据该条例,企业如被欧盟认定违规,最高处罚金额可至2000万欧元或年收入4%的罚款,两者之中取其最高值。有预测称,今年欧盟将有可能开出60亿美元的罚单。
3 r' \. i0 k1 i% i, x- o
4 D7 v" V9 _$ X8 L+ u2 @+ C2 |! N' ^ 外界普遍认为,这一新条例是“世界史上最严格的个人数据保护条例”,将给欧盟公民的个人数据保护带来革命性的变化。 " H: j# y6 {7 d m9 d
. O0 o2 k. m0 ? p) I9 \& P, ]( ]* N
" I/ \5 D0 j* O+ q
7 o2 L& f( l! K* z% i9 ^7 Z
据《金融时报》报道,律师们指出,为了确保这项严格的新规不会危及全球数据流动,多家亚洲监管机构和企业已对此有所行动。 7 X: Z4 X1 [( C, E$ ~8 ?. d
7 B6 _3 g% o& F8 m" j
# D8 e) A6 C( q 英国富尔德律师事务所(Freshfields)合伙人理查德·伯德(Richard Bird)指出:“从某些方面来看,中国是最直接接受GDPR的国家,不过是以非常中国的方式(a very Chinese way)。”
! X! n5 Z2 e/ T5 G2 F7 H: N" m% k+ e1 C1 I j2 F% C P9 o
《金融时报》指出,这是指中国在5月初推出了受GDPR影响的规定。5月1日,我国在保护个人信息方面的推荐性国家标准——《信息安全技术 个人信息安全规范》(以下简称《规范》)正式实施。 2 z- V A/ S9 l1 V
/ \% z/ g/ M% j# d& o$ v. V
霍金路伟律师事务所(Hogan Lovells)香港办公室合伙人马克•帕森斯(Mark Parsons)称,“可以清楚看到,这个《规范》参考了GDPR”,“我们认为这个《规范》一定会被相当严格地对待。” , }& t$ L! Y: i
* M1 k! b: \1 Q4 `$ Z5 F% L V 伯德也同意帕森斯的观点,他提到:“《规范》起草人们曾公开称GDPR是《规范》起草时主要的灵感来源。” 4 \- M8 j8 f# r6 }
1 M% v$ v0 T+ ]& Y0 D( N 据经济观察报4月报道,《规范》起草人之一、中国电子技术标准化研究院何延哲博士曾表示,在制定期间参照了《网络安全法》等一系列中国在个人信息保护方面提出要求的法律法规,也参考了欧盟的《通用数据保护条例》,即GDPR、ISO29000系列等国际范围内的个人信息保护法律法规及标准,同时,从国内主要存在的个人信息保护现状和问题出发制定标准,更侧重标准的实用性。
& Z, V. B0 y i; N
& S/ ?/ M. D2 b$ J5 w% C 尺度介于欧洲与美国之间
* K4 k, R5 k: s) {6 P2 C
$ K+ g% }; S V1 h( Z1 r& g 《金融时报》称,不过,中国新出台的规定达不到GDPR的严苛程度,也无法通过欧洲更严的要求。
( i8 `: k: z" w: s O; W, ]. g& C) z# O1 n( }; a, p& [9 a
伯德解释,欧盟提出的所谓“被遗忘权”(right of erasure),只有在数据控制者违法或违反协议时才生效。
+ i$ [- x1 X$ ? b5 v6 b& z6 ]' ]& N0 H' `7 J# y: n" h" O
美国商务部长威尔伯·罗斯(Wilbur Ross)则对欧盟的新条例深表忧虑。罗斯5月30日在《金融时报》写道:“我们相信,数据共享的规则必须尊重隐私、保护我们在社会安全和互联网方便运行方面的共同利益,同时,也要将所有国家对于管理、科学和商业的需求考虑进来。”
, s: M9 w2 C4 Y$ m8 G+ \! M0 J2 C- U2 w9 Z" G$ _4 R+ v
“现在预计,GDPR的实行将会显著扰乱跨大西洋合作,创造不必要的贸易壁垒,不仅是美国,所有外在欧盟的国家都将受此影响。” - r& {6 u, `1 N
% w0 Y$ h2 p/ R9 y0 l( H* @2 ]2 Q# w1 e$ y: B0 u3 G( T2 J
) J2 n5 F( u/ s. W. d
9 O' d9 i; o) T8 x5 ]$ Z9 U+ U0 i
美国商务部长威尔伯·罗斯(Wilbur Ross)(图源:视觉中国)6 |3 x! j( }; q' Z) \
$ @ m# _- `0 R' l, B6 Z* Y2 v0 B' t 欧盟的GDPR被称为史上最严苛的数据保护规定,而美国的个人信息保护则侧重于行业自律。 , E' e7 h+ |. G/ }5 D3 i* H
$ l b5 J! u: Q) u6 l. a' Z* A 《规范》的起草人之一、北京大学互联网发展研究中心高级顾问洪延青表示,规范在制定时,可能会比美国稍严一点,但是绝对不会比欧洲更严,而且与欧洲拉开了一定的距离。 I/ v# W2 M, ]1 X' o% `& J
1 ~5 _$ [( A& b) {- w# M
据《经济观察报》报道,中国首席数据官联盟专家组成员,法律顾问,观韬中茂(上海)律师事务所合伙人王渝伟指出,“欧美国家在个人数据的保护立法政策上选择了不同的模式,这将是未来我国立法模式选择的方向。” ' U- e" ]4 b& z7 P* e. a7 p; X
" V1 D" {" b. `7 j- n# F9 k8 @
“尽管我国制定的个人信息安全规范的国家标准是参考了GDPR,但同时也加入了符合中国国情的做法,我认为中国会采取一种介于美国和欧洲之间的规定,因为如果过于严苛,会限制行业的发展。”王渝伟表示。 7 O2 f0 Y' f4 \7 K) K2 L
7 l- N; c# F$ ]- r1 O, l7 }* F$ V" {/ x' w$ Y! w' M* R* _, j/ b( O ?
/ W* U) K5 }- T
与东南亚国家形成对比
' c4 C, \5 ?/ ]1 t! v! K
8 E# G) T9 W& Y$ P 《金融时报》还报道称,在接受GDPR方面,相比中国政府和美国企业,中国的企业的行动有所滞后。
* u) P6 }) U% Z0 O; x$ m2 a
6 ?0 i* H8 C- P/ t: [ 一位在北京工作的律师指出,她在欧洲、美国和日本的同事都说那边的公司都“请了律师,但在中国,除了少数几家大企业外,大多数中国企业还没真正开始行动。” ' ]7 u$ d P1 B. n# H2 b; u) v/ q
, W: w. L* a. L' |; c4 D& \ 报道称,新西兰是亚太地区唯一一个被列入“白名单”的国家,欧洲的数据可以自由出口。 + G k* B- E$ G, Y
3 j6 V* M5 p0 V, h 帕森斯指出:“在GDPR的影响下,关于提高数据保护方面,各地区立法势头强劲”,“人们在关注他们自己国家的法律,并有一种‘欧洲在向前迈进,我们可能会被落下’的感觉。” ( L' b7 V3 L( ]; I; x7 s9 n! h
: x* m9 j* r5 K 报道还指出,中国的新《规范》,以及印度去年12月发布的相关指引,与很多东南亚国家在数据保护方面止步不前形成了鲜明对比。在泰国和印度尼西亚,加强数据保护的努力多年来仍停留在计划之中。
% f! s, l, K6 q7 u' W. r6 u5 }
: E* N3 v2 B! E$ I0 Z 《金融时报》援引新加坡个人资料保护委员会(Personal Data Protection Commission)的说法指出,即便是被普遍视为东盟最发达经济体的新加坡,也要到2019年才会将其拟议的《个人资料保护法令》修订草案提交议会讨论。
% K0 }2 h( ]; @8 l. M& F. ?5 Q; Y& J' b% C/ P3 V2 H6 p5 P# B
此外,律师们也表示,从某些方面看,新加坡的修订草案是放宽个人资料保护机制,而不是收紧。草案要求人们默认同意允许组织机构存储他们的数据,而非采用GDPR的规定(观察者网注,即用户需明示同意(explicit consent)或授权同意(unambiguous consent))。 5 p8 W6 k3 M- t8 w& ~# x9 s
. v. c0 q3 p5 o
立法执法工作不断推进 . i$ e( w. ~/ G
& ^" n. g: M) n8 k
之所以对中国走在亚洲前列表示惊讶,恐怕是英媒对于中国在保护个人信息方面的治理缺乏了解。实际上,中国这方面的立法和执法工作一直在跟进,除了刚刚实施的《规范》外,今日(6月1日)正好是《网络安全法》正式实施一周年。 - g: D8 y2 K" H: c5 I* r
) Y8 t% F) X+ [3 M7 ^/ f
6 D* Z% M: D8 X 《网络安全法》对个人信息保护做出规定,明确了对个人信息收集、使用及保护的要求,并规定了个人对其个人信息进行更正或删除的权利。
2 e! v g7 \$ Z6 C+ I7 _
8 u9 N. v/ `' K* n" J5 L 《规范》实为《网络安全法》的配套标准。2018年1月,国家标准《信息安全技术 个人信息安全规范》发布全文,进一步对个人信息的收集、保存、使用、委托处理、共享、转让和公开披露做了规定,对个人信息和个人敏感信息作了定义。 7 X8 u4 b. ]' y, d) X- d
3 I5 M# e+ j+ }. p
据人民日报海外版6月1日介绍,中国惩治信息贩卖“黑手”的力度越来越大。今年5月底,深圳开展第六次打击整治骚扰信息违法犯罪行动,查处缴获涉骚扰信息违法犯罪窝点24个、非法公民个人信息139万余条。北京5月份也开展打击网络侵犯公民个人信息犯罪,刑拘138人。江苏常州去年挖出一条巨大个人信息黑市交易链,抓获48名内鬼和82名中介商。 $ ^: `+ `8 [* l8 }4 G" b. O+ i
: U' |) i- g! p6 p: C
! h% T! S' k3 t/ O# D# o" r
据北京师范大学法学院互联网政策与法律研究中心主任薛虹介绍,《网络安全法》对个人信息安全保护制定了明确规定,个人信息保护法也加快了立法进程。薛虹指出,“全国人大常委会二次审议的电子商务法草案中,关于个人信息安全的内容在各个章节都有具体规定,还有一些制度创新和要求,比如个人信息泄露发生时,平台或商家要履行告知受害者的义务等。”4 { L( ^) Q) Y: r- O5 ]1 e: x
: a {3 V3 y# l1 c/ k# L |
