數(shù)據(jù)流動(dòng)和保護(hù) 怎樣在新片區(qū)落地

在上海自貿(mào)試驗(yàn)區(qū)臨港新片區(qū)里，“信息快捷聯(lián)通”非常重要。為此，特別強(qiáng)調(diào)了兩個(gè)試點(diǎn)：一是試點(diǎn)開展數(shù)據(jù)跨境流動(dòng)的安全評估，建立數(shù)據(jù)保護(hù)能力認(rèn)證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流通和交易風(fēng)險(xiǎn)評估等數(shù)據(jù)安全管理機(jī)制；二是開展國際合作規(guī)則試點(diǎn)，加大對專利、版權(quán)、商業(yè)秘密等權(quán)利和數(shù)據(jù)的保護(hù)力度，主動(dòng)參與引領(lǐng)全球數(shù)字經(jīng)濟(jì)交流合作。

　　實(shí)踐中，可以在以下兩方面予以重點(diǎn)建設(shè)：

　　第一，數(shù)據(jù)保護(hù)能力認(rèn)證建設(shè)。

　　數(shù)據(jù)保護(hù)能力主要是針對企業(yè)等數(shù)據(jù)控制者、處理者而言。具體要求包括，做好企業(yè)信息合規(guī)和內(nèi)控工作，建立適當(dāng)?shù)臄?shù)據(jù)保護(hù)能力，落實(shí)必要的管理及技術(shù)措施，防止存儲(chǔ)于企業(yè)的個(gè)人信息遭遇泄露、毀損和滅失等情形。

　　歐盟《通用數(shù)據(jù)保護(hù)條例》的一個(gè)突出特點(diǎn)，就是正式引入數(shù)據(jù)第三方認(rèn)證制度。這種認(rèn)證是自愿的，程序公開透明。頒發(fā)給數(shù)據(jù)控制者或處理者的認(rèn)證時(shí)效，最長不超過3年，可以申請續(xù)展。認(rèn)證機(jī)構(gòu)需要符合一定條件，如證明在認(rèn)證方面具有獨(dú)立性和專業(yè)性、認(rèn)證標(biāo)準(zhǔn)得到監(jiān)管機(jī)構(gòu)或理事會(huì)批準(zhǔn)等。

　　取得數(shù)據(jù)保護(hù)認(rèn)證的企業(yè)，意味著合規(guī)性和安全性程度更高。特別是對于那些小微企業(yè)而言，取得認(rèn)證后更容易獲取用戶的信任和支持，能夠大大增加客戶的認(rèn)同度。

　　需要指出的是，臨港新片區(qū)在引入數(shù)據(jù)保護(hù)能力認(rèn)證體系時(shí)，應(yīng)與行業(yè)協(xié)會(huì)、企業(yè)和消費(fèi)者代表作密切溝通。認(rèn)證制度畢竟是基于數(shù)字市場衍生出的一種評價(jià)體系。引入一個(gè)新制度，不應(yīng)增加成本，而更應(yīng)注重制度落地的實(shí)際效果。

　　第二，跨境數(shù)據(jù)流通和交易風(fēng)險(xiǎn)評估機(jī)制建設(shè)。

　　按照規(guī)定，個(gè)人信息控制者需定期（每年至少一次）開展個(gè)人信息安全影響評估。評估的內(nèi)容涵蓋個(gè)人信息的收集、處理、共享、轉(zhuǎn)讓、公開等環(huán)節(jié)對個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響，在此基礎(chǔ)上形成個(gè)人信息安全影響評估報(bào)告。

　　跨境數(shù)據(jù)流通和交易風(fēng)險(xiǎn)評估理應(yīng)成為個(gè)人信息控制者安全影響評估的重要內(nèi)容。特別是，涉及數(shù)據(jù)出境的信息控制者，應(yīng)設(shè)立專項(xiàng)評估審查事項(xiàng)。

　　從世界范圍內(nèi)來看，數(shù)據(jù)保護(hù)存在兩大模式，即歐盟模式和美國模式。

　　歐盟十分注重國家、政府、監(jiān)管機(jī)構(gòu)在個(gè)人信息保護(hù)中的作用，不僅制定適用于所有領(lǐng)域的統(tǒng)一的、嚴(yán)格的、高標(biāo)準(zhǔn)的個(gè)人信息保護(hù)規(guī)則，而且設(shè)立了專門的信息保護(hù)監(jiān)管機(jī)構(gòu)和數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)，并在企業(yè)內(nèi)部推行設(shè)立個(gè)人信息保護(hù)專員，從而構(gòu)建了一套從內(nèi)到外的監(jiān)督管理體制。

　　相比之下，美國更注重信息的流動(dòng)價(jià)值，針對公共部門的個(gè)人信息收集、處理和使用的管控較為嚴(yán)格，但對非公共部門則更加強(qiáng)調(diào)自律。作為信息產(chǎn)業(yè)大國，美國推崇信息的流動(dòng)、利用，認(rèn)為這是推動(dòng)產(chǎn)業(yè)發(fā)展的動(dòng)力源泉。

　　應(yīng)該說，上述兩種立法模式各有其優(yōu)劣。不分公、私領(lǐng)域的綜合性信息保護(hù)立法，有利于個(gè)人信息得到全面、一體的保護(hù)；行業(yè)自律模式則更強(qiáng)調(diào)信息自由流動(dòng)，能夠大大提高信息使用的經(jīng)濟(jì)價(jià)值。

　　然而，美國放任行業(yè)自律模式，被普遍詬病為個(gè)人信息保護(hù)程度低，忽視了個(gè)人信息的社會(huì)價(jià)值；在執(zhí)行體制上，以自律和自力救濟(jì)為核心，缺乏必要的外部監(jiān)督機(jī)制。歐盟的嚴(yán)格監(jiān)管模式，無疑會(huì)增加企業(yè)的負(fù)擔(dān)，甚至壓抑企業(yè)的創(chuàng)新發(fā)展。同時(shí)，這種自上而下的監(jiān)管體制，面對日益復(fù)雜的信息處理，逐漸凸顯機(jī)械性和滯后性。

　　為了縮小兩種不同數(shù)據(jù)保護(hù)模式的差異性，美國商務(wù)部與歐盟委員會(huì)共同提出了“安全港隱私原則”。但出于對美國情報(bào)機(jī)構(gòu)的擔(dān)憂，歐洲法院最終裁定決定無效，導(dǎo)致安全港協(xié)定失效。此后，美國和歐盟于2016年2月就跨太平洋數(shù)據(jù)流動(dòng)達(dá)成新的框架協(xié)議，即隱私盾協(xié)議。

　　就臨港新片區(qū)開展數(shù)據(jù)保護(hù)領(lǐng)域的國際合作規(guī)則試點(diǎn)而言，現(xiàn)階段比較切實(shí)可行的是構(gòu)建“一帶一路”相關(guān)國家和地區(qū)數(shù)據(jù)保護(hù)的區(qū)域性多邊協(xié)議，充分發(fā)揮區(qū)域地緣化優(yōu)勢。在此基礎(chǔ)上，積極參與全球跨境數(shù)據(jù)傳輸規(guī)則及數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的制定，強(qiáng)化國際組織如經(jīng)合組織、亞太經(jīng)合組織、聯(lián)合國等提出的關(guān)于個(gè)人數(shù)據(jù)保護(hù)的基本原則。

（作者單位：上海對外經(jīng)貿(mào)大學(xué)）