中国《数据安全法》VS欧盟GDPR
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:数据安全法;GDPR;通用数据保护条例;个人隐私保护;欧盟;网络安全法
本文约2602字,大约需要阅读8分钟。
在互联网络时代,数据显得尤为重要,能够提升生产力,促进经济发展,很多科技企业通过收集、分析、使用数据获取了竞争优势。而数据对国家安全也至关重要,不仅影响到国际贸易,甚至影响着国际政治。数据拥有难以估量的价值,但是也容易被滥用、垄断、争夺和控制,因此一些国家和地区对数据安全制定了相关的法律法规。
欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)是全球第一部以正式法典形式出现的个人数据保护条例,而中国则在2021年6月10日正式颁布了《数据安全法》(以下简称“《数安法》”),从立法层面将数据作为国家安全的重要组成部分之一加以保护。本文将对比GDPR与《数安法》,并对其中重要差异点进行简要分析。
一、GDPR与《数安法》的对比
GDPR于2018年5月25日开始实施,是欧盟在收集、使用、访问等方面制定的个人数据保护规则,目的是强化个人隐私保护。GDPR创造了一些新的法律概念和权利,例如数据访问权、被遗忘权、数据可携带权、不接受自动化决策权等。GDPR强调对个人用户权益的保护,关注用户主观意愿,其中用户数据权利的访问、变更、携带、遗忘权,对个人用户隐私得到了很大的保障,但同时对数据使用方也造成较大的制约。GDPR授权各国成立唯一监管机构对数据进行统筹的监管,具有相应的行政处罚权利,权责简单清晰。
而《数安法》的目的是保障数字经济发展过程中带来的通用数据安全问题,保护个人、组织的合法权益,维护国家主权、安全和发展利益,并不局限于个人隐私数据的保护,而是把数据作为未来经济发展的重要生产要素,政府通过自上而下的统筹协调保障数据安全。《数安法》首次提出了“国家核心数据”概念,构建数据分级分类保护、数据安全审查等基本制度,建立集中统一的数据安全风险评估、报告、信息共享、监测预警机制和数据安全应急处置机制。
二、关于数据跨境的规定对比
GDPR确立了“长臂管辖”原则,即欧盟立法可以管辖欧盟之外向欧盟居民提供服务的企业。总体来说,GDPR为欧盟至第三国的数据传输立下了“原则+例外”的保护标准。原则上,接收欧盟个人数据的第三国应当事先获得欧盟委员会(European Commission)的充分保护认定,否则数据进出口商应确保其标准数据保护条款或其他数据保护措施符合GDPR的要求,以确保欧盟个人数据在进口数据的国家/地区得到充分保护。同时,GDPR也规定一些例外豁免情形,比如该数据传输已获得欧盟数据主体的“明示同意”。
中国的《数安法》则规定,“对于影响或者可能影响国家安全的数据处理,国家实施安全审查”,“对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”,“ 非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。对于“ 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。而《中华人民共和国网络安全法》对关键信息基础设施的运行安全作出了详细的规定,包括了安全保护义务、国家安全审查,个人信息和重要数据应当在境内存储,数据出境需要进行安全评估等要求。
《数安法》还规定了“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。对于其他国家在数据安全方面采取限制措施时,《数安法》从立法层面为中国作出反制措施提供了法律依据。
三、GDPR的实施经验启示
根据GDPR第97条,在2020年5月25日以及之后每四年,欧盟委员会应就对GDPR的评估和审查,向欧洲议会和欧盟理事会提交报告并予以公布。首份报告显示,近七成欧盟居民听说过GDPR,德国投诉最多,越来越多人通过个人或者代表的名义向数据保护机构(以下简称“DPA”)提起诉讼,捍卫自己的权利。但DPA罚款次数很少,人手和预算不足或削弱执法力度,即使是目前公认资源最为充足的英国DPA,也在诸如Facebook剑桥分析事件的调查中,为了减少冗长诉讼所花费的成本,最终选择与Facebook达成和解。在保障个人对数据的控制权方面,无论是公共机构还是私人企业,都在给予用户访问权、可携带权上还存在不足,在儿童数据保护和告知的充分性、透明性方面,也亟待加强。
但是从正面来看,为了响应GDPR的要求,很多机构和企业都采取了各种措施来促进数据主体行使自己的权利,包括建立关于个人审查和数据控制者回复的流程,拓展邮件、网站等多个反馈途径,更新及时处理请求的内部机制以及开展员工培训。GDPR还提供了其他纠正措施,比如英国数据保护部门调查发现,政府的税务办公室未经适当同意便收集了数百万公民的生物识别数据,因此对其发布了强制执行通知,要求税务办公室删除所有包含非法收集信息的数据库。
《数安法》目前尚未正式实施,但从法律条文的内容来看,实操层面还需要一些实施细则进行细化,例如数据分类目录,国家核心数据的管理制度,数据安全监管机制,非关键信息基础设施的其他数据处理者在国内运营中收集和产生的重要数据的出境安全管理办法等等,这些在法律条文中暂未有明确细致的规定,还需要在实践中进一步摸索和落实。
结语
两者相比较之下,我们可以看出GDPR更加强调个人权利保护义务,而《数安法》更注重国家安全保护。引用上海交通大学法学院副教授何渊所言:
“与欧盟相比,中国的路径有两个特色:
其一,提倡试验性治理模式,“摸着石头过河”。由于人工智能时代的不确定性和变动性,中国希望构建一种试验主义的治理模式,建立的是临时性的数据保护框架,并且根据不同环境下执行效果的递归评估而不断对这些框架加以深化并修正。这也是中国为何迟迟不出台强制性硬法《个人信息保护法》,而仅仅制定软法性质的指导性国家标准《个人信息安全规范》的主要原因。
其二,强调数据权利等个人利益与数据流通、共享及利用等公共利益的平衡,具体体现为平台企业的自律性规制与国家的强制性规制相结合的合作治理。未来的中国模式必然是一个以多元、开放、分享为基本特征的整体性体系,市场、社会及国家这三种治理机制循环往复,时而正向运动,时而反向运动,同时还包括国家内部的立法与行政、中央与地方之间的双向自循环系统,共同形成一个整体的四重双向治理生态。”
本文作者:区德嫦律师
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧