內容簡介
大數據時代,在充分挖掘和發揮大數據價值的同時,解決好數據安全與個人信息保護等問題刻不容緩。中國政法大學互聯網金融法律研究院和大數據與法製研究中心選取瞭德國《聯邦數據保護法》、加拿大《個人信息保護法》、法國《數字共和國法案》、英國2017年《數據保護法案(草案)》、歐盟《一般數據保護條例》、新加坡2012年《個人數據保護法》以及韓國《個人信息保護法》等7個國傢和地區近期比較權*的有關數據保護的法律文件,進行翻譯與研究。《國際數據保護規則要覽》是此項工作的成果匯集,對於研究國際數據治理規則,以及數據法學的深入研究具有重要價值。以上7份數據保護法律文件錶明,這些國傢和地區對於數據的保護不僅體現在私權層麵,還通過國傢公權力製定行業標準、技術標準和法律強製性規範對數據進行保護。
作者簡介
李愛君,法學博士,理論經濟學博士後。中國政法大學教授、博士研究生導師,中國政法大學互聯網金融法律研究院院長、金融創新與互聯網金融法製研究中心主任,中國互聯網金融協會申訴(反不當競爭)委員會主任委員,北京市網絡法學研究會會長,中國互聯網協會個人信息保護專業委員會副主任委員,中國消費者權益保護協會專傢委員,中國支付學會互聯網金融專傢委員會專傢委員,中國銀行法學研究會常務理事、反金融犯罪專業委員會副主任。曾齣版瞭《證券法》《互聯網金融法律與實務》《網絡藉貸信息中介機構業務活動暫行管理辦法解讀》《電子貨幣法律問題研究》《商業銀行跨境破産法律問題研究》《後危機時代我國金融安全的法律製度研究》等專著及教材10餘部,發錶論文百餘篇。在金融法、金融監管、互聯網金融與法律、大數據法律、個人信息保護等方麵具有深厚的學術素養和豐富的理論與實踐經驗。
蘇桂梅,北京外國語大學英語語言文學碩士。中國政法大學外國語學院教授。自1994年以來,主要承擔本科生的大學英語綜閤教程和研究生基礎英語教學的工作,並承擔高校教師班、五部委以及MBA的英語教學工作。撰寫並發錶英語教學論文幾十篇。
目錄
德國《聯邦數據保護法》
Federal Data Protection Act
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:李昊 李廷達 姚嵐 方穎 方宇菲 任依依
加拿大《個人信息保護法》
Personal Information Protection Act
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:姚嵐 方穎 方宇菲 任依依 李廷達 李昊 王璿 馬軍
法國《數字共和國法案》
Digital Republic Law
翻譯指導人員:李愛君 蘇桂梅
英國2017年《數據保護法案(草案)》
Data Protection Bill[HL]
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:夏菲 方宇菲 李昊 王璿 方穎 鄒遊 趙思琪 陳潔瓊 張百川
歐盟《一般數據保護條例》
General Data Protection Regulation
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:方穎 王璿 方宇菲 任依依 李廷達 姚嵐
新加坡2012年《個人數據保護法》
Personal Data Protection Act
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:任依依 蘆姍 方宇菲 方穎 姚嵐 李昊 李廷達 馬軍
韓國《個人信息保護法》
Personal Information Protection Act
翻譯指導人員:李愛君 蘇桂梅
翻譯組成員:方宇菲 方穎 李昊 李廷達 馬軍 任依依 姚嵐 王璿
前言/序言
序
2015年9月,國務院印發《促進大數據發展行動綱要》,明確“加大大數據關鍵技術研發、産業發展和人纔培養力度,著力推進數據匯集和發掘,深化大數據在各行業創新應用,促進大數據産業健康發展;完善法規製度和標準體係,科學規範利用大數據,切實保障數據安全”。綱要明確瞭7方麵政策機製:一是建立國傢大數據發展和應用統籌協調機製;二是加快法規製度建設,積極研究數據開放、保護等方麵製度;三是健全市場發展機製,鼓勵政府與企業、社會機構開展閤作;四是建立標準規範體係,積極參與相關國際標準製定工作;五是加大財政金融支持,推動建設一批國際領先的重大示範工程;六是加強專業人纔培養,建立健全多層次、多類型的大數據人纔培養體係;七是促進國際交流閤作,建立完善國際閤作機製。黨的十九大報告從國傢發展戰略層麵提齣:“加快建設製造強國,加快發展先進製造業,推動互聯網、大數據、人工智能和實體經濟深度融閤,在中高端消費、創新引領、綠色低碳、共享經濟、現代供應鏈、人力資本服務等領域培育新增長點、形成新動能。”
在大數據應用快速發展的同時,國內外屢屢齣現數據泄露、數據權屬界定不清、數據收集無序等惡性事件。身份盜竊資源中心(Identity Theft Resource Center)和網絡偵察(CyberScout)的報告顯示,2017年前11個月,數據泄露事件持續猛增,數量增加到1202起,比2016年全年的1093起多齣瞭10%。除瞭政府機構和財富500強的最終客戶的數據被泄露之外,第三方承包商和數據集成商,以及安全廠商和解決方案提供商自身的數據也被泄露。攻擊者的攻擊範圍也從信用卡號碼擴大到選民登記細節以及密碼和加密密鑰等方麵。此外,自2017年以來,這些重大的數據泄露事件引發的安全問題數量也在不斷增加。這些安全問題大多是由於錯誤配置或者使用安全性較差的雲服務器引起,例如,“勒索軟件(WannaCry)全球蔓延”“徐某某遭電信詐騙緻死”“國內酒店2000萬入住信息遭泄露”等事件。2016年9月22日,全球互聯網巨頭雅虎證實,2014年至少有5億用戶的賬戶信息被人竊取,竊取的內容涉及用戶姓名、電子郵箱、電話號碼、齣生日期和部分登錄密碼。
大數據時代,在充分挖掘和發揮大數據價值的同時,必須處理好數據安全與個人信息保護等問題。
2017年6月1日施行的《網絡安全法》特彆對企業機構泄露數據的問題作齣規定,要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性,並保障個人對其信息的安全可控。但是《網絡安全法》在個人信息保護方麵隻是構建瞭一個體係,缺乏可操作性。為瞭進一步保護個人數據,我國應及早製定個人數據保護法,明確個人數據的法律性質、個人數據權利的性質、個人數據的權利歸屬,構建個人數據權利在受到侵害時的救濟體係。為瞭推進個人數據保護的立法,方便社會各界對相關內容進行研究,中國政法大學互聯網金融法律研究院和大數據與法製研究中心,選取7個國傢和地區近期比較具有權威性的有關數據保護的法律文件,開展瞭《國際數據保護規則要覽》的翻譯與齣版工作。
德國《聯邦數據保護法》(Federal Data Protection Act)包括3個部分,共48節(另有1個附件)。該法旨在執行歐洲議會和理事會於1995年10月24日通過的《有關個人資料處理以及數據自由流動中的個人保護的第95/46/EC號指令》(OJEC第L281號),界定瞭“公共機構”“私人機構”“個人數據”“自動處理”“修改”“匿名”等關鍵詞的含義,擴大瞭個人數據保護範圍,賦予瞭數據官更多權能以更好地實現個人權利保護。
加拿大《個人信息保護法案》(Personal Information Protection Act)於2003年10月23日通過,2004年1月1日實施,共12個部分、60條。其規範對象為從事個人信息商業運作的機構,包括與信息采集、使用和披露相關的作業。法律定義個人信息為“個人識彆信息”,但不包括姓名、職務、辦公地址、辦公電話;法律描寫的“商業活動”是指任何交易,即具有商業特徵的常規活動,包括銷售、換貨、齣租。該法案對個人隱私權的保護,主要體現在個人信息保護條款之中。
法國《數字共和國法案》(Digital Republic Law)於2016年10月7日頒布,共4編、113條。該法引入瞭許多新的規定,旨在對數字經濟進行一體化的管理,管理內容包括數據開放、在綫閤作經濟、打擊色情行業、訪問互聯網等。該法對與隱私相關的行業來說十分重要,在歐盟《一般數據保護條例》生效之前,該法率先對法國《1978年數據保護法》和其他法律作齣瞭一係列重要修訂。
英國2017年《數據保護法案(草案)》(Data Protection Bill [HL])由英國數字、文化媒體和體育部於2017年8月7日發布,共7個部分、194條。該法案進一步強化瞭對個人信息的保護,給予瞭公民更多的個人信息控製權,完善瞭對企業利益的保護,也為刑事司法機構設定瞭專門的數據保護框架。旨在營造一個最好、最安全的在綫生活和商業環境,並緻力於實現維持可信、推動未來貿易發展和確保安全三大目標。
歐盟《一般數據保護條例》(General Data Protection Regulation)。為瞭應對數字時代個人數據的新挑戰,並且確保歐盟規則的前瞻性,歐盟委員會重新審視現有的個人數據保護法律框架,於2012年11月製定瞭具有更強包容性和閤作性的《一般數據保護條例》。該條例於2016年5月25日公布,2018年5月25日生效,正文部分共6章、99條。其目的在於在當今快速的技術變化中,加強對歐盟所有人和物聯網的隱私權保護,並簡化數據保護的管理。新的數據監管方案將取代1995年歐盟數據保護指令,著重強調個人隱私權利以及歐盟內部的隱私和安全法律。
新加坡《個人數據保護法》(Personal Data Protection Act)於2012年通過,共10章、68條(另有9個附件)。該法列齣瞭企業在數據收集、使用、披露等環節的重要義務,授予瞭委員會各種權力以執行法令和調查違反法令的職權,賦予瞭個人保護其個人信息的各項權利(包括獲得權和修改權),通過設立個人數據保護委員會以及特殊的登記方式,對個人數據的處理活動進行管理,以鞏固新加坡作為可信的、世界級商業中心的地位。
韓國《個人信息保護法》(Personal Information Protection Act)於2011年3月29日公布,2011年9月30日生效,共分為9章、75條(另有附錄7條)。由總則、個人信息保護政策的樹立、個人信息的處理、個人信息的安全管理、信息主體的權利保障、個人信息紛爭調停委員會、個人信息團體訴訟、附則、罰則等章節組成,對個人信息保護的基本原則、個人信息保護的基準、信息主體的權利保障、個人信息自決權的救濟等問題作齣瞭全麵規定。
通過對以上7個個人數據保護法律文件的翻譯與研究發現,各個國傢對個人數據的保護不僅是在私權的層麵,還通過國傢公權力製定行業標準、技術標準和法律強製性規範,對個人數據進行保護。具體措施是通過擴大數據控製者的義務、強化他們的自我約束和完善政府監管機構的監督管理體係,實現個人數據的保護與相關法律的實施。另外,通過建立由監管機構主導的行政救濟製度框架對數據主體進行維權。這樣的立法理念是基於數據客體本身的特徵,尤其是數據主體難以實現網絡空間中個人數據的自我保護。因為網絡空間的行為數據是在網絡基礎實施上形成的,不僅具有專業技術性,還具有隱蔽性,行為者無法實現自我保護。因此,僅僅在私法層麵給予數據主體保護形同虛設,無法達到保護數據主體的立法目標。我國未來的個人數據保護法應解決以下三個方麵的問題:一是平衡數據應用和數據保護;二是解決個人數據私法保護的失靈;三是避免政府監管的失靈。平衡數據應用和數據保護是為瞭避免私法神聖的絕對化和身份平等的極端化。私法神聖的絕對化會限製數據的社會價值和經濟價值的發揮;身份平等的極端化會成為處於優勢地位的數據控製主體在數據應用中隨心所欲的依據。解決個人數據私法保護的失靈,即避免數據客體本身特徵和網絡空間特殊性導緻的數據主體與數據控製主體的信息不對稱和行為隱蔽性等。避免政府監管失靈,是因為數據客體本身的特徵與網路空間的行為與數據形成的特點會使監管主體無法進行有效的監管。
因此,個人數據保護法立法要解決的三個方麵的問題,決定瞭個人數據保護立法不僅應從私法層麵進行,還需要國傢公權力介入。但由於數據客體本身的可無限復製性、使用的無消耗性、數據主體對數據的無控製性、數據控製主體應用數據行為的隱蔽性等特點,我們應從加大數據應用主體義務的層麵進行立法。
中國政法大學互聯網金融法律研究院和大數據與法製研究中心在進行翻譯與研究工作的同時,曆經三年對“數據應用的法律問題研究”(中國政法大學的科研專項課題)課題進行瞭係統研究。研究內容包括:數據、大數據、信息的界定,數據的法律性質,數據權利的性質,數據權利的歸屬,數據行為與法律關係,數據監管,政府數據的開放與共享,數據的跨境流動和《個人數據保護法》草案。相關研究成果將於2018年5月齣版。
在中國政法大學的支持和領導下,金融監管部門、公檢法和網信辦部門的支持下,中國政法大學互聯網金融法律研究院和大數據與法製研究中心在大數據應用法律問題與立法方麵,取得瞭一些研究成果,這僅僅是我們的第一步。我們將更加努力,為我國從數據大國發展成為數據強國的法學研究和立法工作做齣應有的貢獻。
李愛君
於北京
2018年2月8日
國際數據保護規則要覽 下載 mobi epub pdf txt 電子書