在互联网经济时代下,数据已成为世界各国(包括我国在内)的生产要素以及重要战略性资源。十九届四中全会明确提出:“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。数据在现在以及将来生产生活中的重要性不言而喻,而其中的重中之重——个人信息保护与安全,不仅关系到国家安全和经济社会的发展,更早已成为各国在数据保护领域重点关注的要点之一。
截至2021年8月25日,根据UNCTAD(联合国贸易和发展会议)的统计,全球194个国家中已有128个国家通过了数据和个人隐私保护相关法律1,这其中不仅包括最为著名的欧盟、美国加州的相关立法,也包括加拿大、日本、俄罗斯、巴西、印度、新加坡等世界主要经济体的相关立法,更包括我国于2021年8月20日刚刚通过的《中华人民共和国个人信息保护法》。以下,我们就前述国家的个人信息保护立法的现状、模式和主要内容进行简要分析,并从中总结出各国针对个人信息保护的立法趋势。
一、欧盟:以“数据基本权利”为基础的立法模式2016年4月经欧洲议会、欧盟理事会通过并于2018年5月25日在欧盟成员国内正式生效的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)是欧盟关于个人信息保护的法律;这部法律以欧盟法规的形式确定了对个人信息的保护原则和监管方式、通过严格的法律实施体系来保障个人数据主体的基本权利,也是全球第一部跨国家的统一数据法典,被称为数据领域的“哥白尼革命”。
欧盟早在20多年前就已开始关于个人数据立法方面的历程,其中1995年经欧洲议会、欧盟理事会通过的《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC号指令》(以下简称“95指令”)为欧盟制定和实施个人数据安全与保护方面的法律规定提供了法律基础和基本框架,也为世界正视个人数据及隐私保护产生了深远影响;而GDPR是欧盟继95指令后的新个人信息保护法规,也在95指令不适应时代发展基础上创新了欧盟关于个人信息立法的实质内容和模式。
GDPR被称为史上最严格的个人信息保护法案,也是欧盟最基本的个人信息安全与保护的立法,重点强调对个人信息的保护及监管,赋予了数据主体更多的个人数据权利,旨在欧盟成员国内建立一个统一的、回应数字经济时代发展的高水平个人信息保护框架。除此之外,GDPR的主要内容及特点还包括以下:
1、充分保障个人信息主体的权利
GDPR是一部以“数据基本权利”为基础的数据法律。一方面,GDPR不仅规定了个人数据主体的诸多权利(主要规定在GDPR第三章),如知情权、同意权、访问权、更正权、被遗忘权(删除权)、拒绝权、自动化自决权等,这些权利也体现欧盟对个人数据保护的空前高度;另一方面,也对个人数据控制、处理者提出了诸多要求,比如规定了在处理个人信息必须遵循的几大原则:合法、公正和透明原则,目的限制原则,数据最小化原则,准确性原则,完整性和保密性原则以及权责一致原则。这些原则切实限制了个人数据的处理方式及范围。
2、适用范围得到扩张
GDPR的适用范围包括整个欧盟地区,是一部以属地管辖为主、属人管辖为辅的法规。其前言第二十二条以及正文第三条均规定了GDPR的适用范围,在适用地域上,GDPR不仅适用于在欧盟境内设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行;还适用于在欧盟境外向欧盟境内个人提供商品或服务,或对其监控的情形。在适用主体上,GDPR不仅适用于欧盟境内的自然人,也适用于在欧盟设立的机构所处理的个人数据。简言之,只要与欧盟国家、欧盟居民、向欧盟输出产品服务或监控欧盟个人等因素相关的个人数据,都将很大程度上受到GDPR的管辖。
3、平衡“基本权利保障”与“数据跨境流通”
GDPR中有关数据跨境的规定主要在第五章(个人资料转移给第三国或国际组织),不仅规定了包括数字贸易和数字证据调取在内的个人数据跨境流动的基本场景,也规定了例外情况,明确了个人数据从欧盟到他国的跨境流动以提供充分保护或适当保障措施为基础,即向第三国提供个人数据时,该国国家数据保护水平与相关体系须达到充分性的要求或对相关数据有适当的保护水平。
4、严格的监管及高额处罚机制
GDPR被称为史上最严格的数据保护法案,一方面不仅规定了欧盟每个成员国必须设立一个或多个独立的数据监管机构,负责监督GDPR的适用,也授予这些监督机构调查、建议、处罚等权力,与95指令相比,GDPR数据监管机构、模式、手段等作出了重大变化;另一方面,也通过违反GDPR规定进行高额处罚来倒逼数据控制、处理者等充分维护、保障个人数据权利,确保实现数据立法目的。比如相关数据控制、处理者一旦违反GDPR规定,对一般违法(规定在GDPR第83条第4款),罚款上限是1000万欧元或企业上一年度全球营收的2%,二者竞合取其高;对严重的违法(规定在GDPR第83条第5、6款),罚款上限是2000万欧元或企业上一年度全球营收的4%,二者竞合取其高。而对于互联网公司巨头,一旦遭受GDPR处罚则将面临几十亿美元的高额处罚。
二、美国:“自由式市场+行业强监管”的立法模式不同于欧盟,美国暂无联邦层面的个人信息保护基本法典。虽然在2021年7月,致力于美国同一法律运动的非政府组织——美国统一法律委员会通过了《统一个人数据保护法》(Uniform Personal Data Protection Act, 以下简称“UPDPA”),但这部法律没有在美国各州立法机构通过,因而尚不具备法律效力。目前,美国关于个人信息保护的立法还分散在主要行业的立法中,采取的是“分散立法模式”,即“自由式市场+行业强监管”模式,包括规制金融领域、保护非公开个人信息的Gramm-Leach-Bliley Act,规制金融机构、保护消费者金融信息的Consumer Financial Protection Act,规制医疗机构、保护患者信息的Health Insurance Portability and Accountability Act,规制信用报告机构、保护消费者信用信息的Fair Credit Reporting Act,规制电子信息领域个人信息安全的Electronic Communications Privacy Act,规制教育机构、保护学生信息的Family Educational Rights and Privacy Act以及规制收集儿童个人信息网络服务运营者的Children’s Online Privacy Act,等等。
虽然联邦层面无统一的个人信息保护法典,但各州一直致力于制定相应的个人信息保护法规。其中最为著名的是加利福尼亚州于2018年6月28日通过、2020年1月1日正式生效的《加州消费者隐私法案》(California Consumer Privacy Act, 以下简称“CCPA”))以及2020年11月3日通过并将于2023年1月1日生效的《加州隐私权法案》(California Privacy Rights Act, 以下简称“CPRA”)。CCPA被称为是美国最为全面、最严厉的州个人隐私法,而CPRA更被称为CCPA2.0时代,是对CCPA的重要修订,也是美国在个人信息保护的一大进步。其中,CPRA作为CCPA的补充隐私法律,作出了很多此前CCPA并没有的规定,比如将敏感信息区分于一般个人信息,赋予数据主体拒绝自身信息被画像权利(即可以选择退出自动化决策),增加了个人信息权利主体在个人信息共享时有权拒绝的规定,更补充了个人可以就个人信息泄露寻求司法救济的情形等。类似的州立法还有很多,例如弗吉尼亚州也于2021年3月2日通过了《弗吉尼亚州消费者数据保护法》(Virginia's own Consumer Data Protection Act),该法借鉴了CPRA的部分规定,明确了弗吉尼亚州消费者主体的数据权利,并要求相关数据控制、处理者等遵守有关数据收集、处理、保护以及共享等规则。但是,还是可以看出,美国这些州的个人信息保护专门立法,还是仅针对消费者这一特殊主体,尚未通过针对个人信息保护的综合立法。
三、其他主要国家个人信息保护的立法模式和现状1、俄罗斯
俄罗斯在个人信息保护方面最具有代表性的法律是于2006年7月27日通过的第152号《俄罗斯联邦个人数据法》(Russian Personal Data Act,以下简称“DPA”)。DPA在美欧之间更接近于欧盟的个人信息法律保护模式,其制定参考了隐私和数据保护的国际法律文件,结合了俄罗斯社会的实践特点,在法律层面承认个人隐私与个人信息的合法权益,并禁止任何组织或个人侵犯。
由于2013年爆出的“棱镜门”事件,从2014年开始,俄罗斯逐渐加强对信息跨境传输的监管,旨在通过立法手段保护本国数据免遭外国的窥探和窃取,并确立“信息本地化存储”的规则。俄罗斯相关法律规定,在将个人信息转移出境前,必须确保接收者所在国家可以提供充分保护,例如接收者所在国是《个人数据自动化处理中的个人保护公约》的缔约国,或者是俄罗斯官方认定的确保“充分保护adequate protection ”名单中的国家。
2、加拿大
在加拿大,与其邻国美国不同的是,其对个人信息保护立法采取了综合立法模式,有关个人信息法包括2000年生效并经多次修改的《个人信息保护和电子资料法》(Personal Information Protection and Electronic Documents Act, 以下简称“PIPEDA”)。PIPEDA主要规定包括:明确个人信息主体的知情权、同意权等权利,规定数据控制、处理者采集、使用个人信息时的有限、准确、安全保障等原则,以及个人信息遭受侵犯的申诉程序等。但从PIPEDA的具体规定中可以看出,加拿大关于个人信息保护的立法出发点侧重于顾及和保护机构商业利益,因而对于个人信息保护的规定不如欧盟的GDPR严格。
另外,受新冠疫情等影响,加拿大更加重视对个人信息的保护,并于2020年11月出台了《数字宪章实施法案》(Digital Charter Implementation Act,以下简称“DCIA”)。如果该法案通过,PIPEDA的第二部分将被该法案替代而转变为专门的电子资料保护法,个人信息保护则将通过DCIA予以规制。DCIA主要规制了对个人从事商业活动时的隐私保护,通过创建个人信息法庭和行政处罚等方式,加强对个人信息和保护2。
3、日本
日本有关个人信息保护的规定主要体现在2003年的《个人信息保护法》,这部法律是日本关于个人信息保护方面的基础性法律之一,也是适用于日本各行业领域的通用指引。其中,日本的《个人信息保护法》分别于2015年、2020年经历了修正,修正的主要关注点在于加强隐私、个人信息保护、数据安全等方面。
日本《个人信息保护法》主要内容包括有:
对个人信息的定义,包括能识别特定主体的信息(姓名)、可以与其他信息组合识别的主体信息以及包含个人标识的信息;
明确了个人信息主体的具体权利,如知情权、更正权等;
规定了个人信息使用、收集、跨境传输等均需要数据主体事前同意,且数据跨境流动的运营商应当采取相当、充分的数据保护措施,但并没有针对数据出境的限制性规定;
规定了个人信息保护的专门机构,负责个人信息的监管及处罚,处罚手段除了劝告、中止违法行为、罚款等外,严重时甚至面临刑事责任风险。
4、印度
GDPR的生效为印度相关个人信息保护的立法提供了借鉴。2018年,印度颁布了《个人数据保护法》(Personal Data Protection Bill, 以下简称“PDPB”)并于2019年12月通过,PDPB是印度首部关于个人信息保护的法律,其主要规定包括:
对个人数据进行分类,分成个人数据、敏感数据、重要数据和非个人数据四类,且不同数据的监管要求亦不相同;
明确了个人数据主体的广泛权利,如同意权、访问权、删除权、可移植权等,且规定了前述权利行使的前提条件,即数据主体应向受托人提出并不能损害其他数据主体权利;
规定了数据控制、处理者在收集、处理个人数据的规则,比如需要经个人数据主体同意,且一旦违反有关收集、处理规则,个人数据主体有权寻求救济;
还规定了个人数据跨境移动的规则,根据数据的不同分类,跨境移动规则不尽相同。如个人数据需要取得数据权利主体同意;个人敏感数据需要个人明示同意、出于处理目的且印度数据机构批准/跨境运营商履行“充分保护”数据义务;而关键个人(重要)数据只能在印度处理(本地化存储),除非特定情形下方能跨境;
处罚规则,如一般违法,可能面临5000万卢比或全球营业额2%的罚款,二者取其高;严重违法,可能面临15000万卢比或全球营业额4%的罚款,而且同样面临刑事责任风险。
5、新加坡
新加坡2012年颁布了《个人数据保护法令》(Personal Data Protection Act,以下简称“PDPA”),PDPA不仅赋予了个人保护其数据的各项权利,同时也规定了数据收集主体等基于合理目的收集、使用和披露个人数据的需要。随后该国又制定多部配套的附属立法,其中第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。这些法律共同构成了新加坡关于个人信息保护方面的立法。PDPA主要规定了:
数据收集机构应当在收集个人数据之时或之前,告知个人数据权利主体收集、使用或披露其个人数据的目的;
数据收集机构等在个人数据权利主体需要的情形下,告知其收集、使用或披露个人数据相关人的业务联系方式;
除非明确符合规定的要求,否则任何机构不得将个人数据转移至任何第三方国家。
值得注意的是,自PDPA生效以来,新加坡已对未尽到个人信息保护义务或侵犯个人信息的多家机构作出了相应处罚。
6、巴西
2018年8月14日《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,以下简称“LGPD”)通过。但直到2020年LGPD才正式生效,其中的行政制裁条款更是于2021年8月1日才开始生效。LGPD是拉丁美洲第一个全面的通用数据保护法,在借鉴GDPR条款的同时,也引入了新概念。其主要特点有:
赋予数据主体更加完善的权利,除了赋予个人访问、删除、更正、可移植性权利外,还明确规定个人对其个人数据享有所有权,赋予个人获得有关与控制者共享数据的公共和私人实体的信息等;
无数据本地存储的强制性要求,但个别垂直部门法中,如金融行业和公共领域另有要求;
更加全面的数据跨境流通规定,LGPD规定多达7种允许个人信息跨境流通的情形,且不同的情形下还有具体细致的要求,规定的非常全面,基本涵盖了其他国家所有允许跨境流通的情形;
更多的个人信息处理的法定基础,LGPD除规定了类似GDPR的数据处理法定情况外,还包括以下较为具有本国特色的法律基础:如学术机构的研究,司法、行政等司法部门的需要,出于对健康、征信的保护。
四、总结通过对前述主要国家关于个人信息保护立法的总结概括,我们不难发现,不论是GDPR还是CCPA,抑或是其他国家有关个人信息保护的立法,其重点都包括:对个人信息范围的界定或分类、赋予个人数据权利主体广泛的权利、严格限制和监管数据控制/处理主体并制定具体规则、细化个人信息跨境传输/流通规则、平衡个人信息保护和经济活动需求、以及对违法者的高额处罚规定。这也进一步体现了各国对个人信息保护的高度重视和对本国数据的充分保护,对我国通过并将实施的《中华人民共和国个人信息保护法》产生了重要影响。在接下来的系列中,我们将专门就我国个人信息保护法律法规与GDPR、CCPA和CPRA等进行对比、分析,通过对国际上已有法规的监管、实施情况,判断我国《个人信息保护法》的监管趋势和落地路径,以为企业在涉个人信息活动中提供合规性建议。
注释: 1:https://unctad.org/page/data-protection-and-privacy-legislation-worldwide,2:https://www.ic.gc.ca/eic/site/062.nsf/eng/00120.html,
访问日期:2021年8月26日。
1、何渊:《数据法学》,北京大学出版社,2020年7月第1版。
2、王文华、李东方:《论司法实务对数据保护立法的推进——以欧盟《通用数据保护条例》(GDPR)为例》,中国应用法学,2020年第3期。
3、高荣伟:《海外个人信息保护机制》,检察风云,2020年18期。
4、王捷、魏彤:《个人信息保护法(草案)与多国数据保护法要点对比》,网络法实务圈。
本文作者
LC数据合规法律研究团队
以上所刊登的文章仅代表作者本人观点,不代表江西凌科安时律师事务所或其律师出具的任何形式之法律意见或建议。
未经本所书面同意,不得转载或使用该文章中包含的任何文字或图片。如您有意就相关议题进一步交流或探讨,欢迎与本所联系(联系号码:18579112707)。
