下载掌阅APP,畅读海量书库
立即打开
2.1节介绍了数据安全的概念和分类分级,接下来将探讨国际上对数据安全的政策。在全球范围内,不同国家根据社会价值观、经济发展水平和国家安全需求,制定了一系列旨在保护数据安全的政策。本节主要介绍欧盟、美国等多个主要国家和地区的数据安全政策演变过程,并比较它们之间的异同。
1981年的欧洲理事会的《个人数据自动化处理中的个人保护公约》(ETS No.108)是欧盟第一个跨国数据保护法律框架。1995年颁布的《数据保护指令》(DPD)进一步为当时的欧洲国家立法保护个人数据设立了最低标准,为后续的法规变革奠定了基础,是欧盟隐私和人权法的重要组成部分。
随着互联网行业的迅猛发展和用户数据的爆发式增长,2015年6月,欧盟成员国的司法及内政事务部长会议达成一致,形成新的数据政策框架:①“同一个大陆,同一套法规”,即在欧盟范围内建立统一法规;②“强化被遗忘权”,即无必要法律依据时,用户可要求互联网企业从搜索结果中移除个人信息;③“欧洲境内适用欧洲法律”,即设在欧盟外的企业在欧盟提供服务时须遵守欧盟法律。这也是《通用数据保护条例》(GDPR)的雏形。在该条例基本定型但尚未生效的这段时间里,有关企业已经付出了不小的合规成本。普华永道在2017年对300多名大企业负责人进行调查,绝大多数受访者称,他们的企业为达到法规要求,所花费金额已超过100万美元。
2018年5月25日,欧盟正式实施GDPR,这是具有里程碑意义的数据保护法规。其主要目标是赋予个人对其个人数据的控制权,并统一欧盟成员国有关数据保护的法律法规。GDPR的核心原则包括数据的合法性、公平性、透明性、目的限制、最小化、准确性、存储限制、完整性和保密性及可问责性。这些原则要求企业在处理个人数据时必须遵循严格的标准,确保数据主体的权利得到尊重和保护。同时,GDPR还赋予数据主体一系列权利,包括知情权、访问权、更正权、删除权(被遗忘权)、数据携带权、限制处理权、反对权和不受制于自动化决策的权利。这些权力的确立极大地增强了个人对自己数据的控制能力。为了确保GDPR的有效实施,欧盟设立了欧洲数据保护委员会(EDPB),负责发布指南并就GDPR相关事项提供建议。此外,各欧盟成员国均设立了本地数据保护机构(DPA),负责执行数据保护法规并处理相关投诉。
2022年5月16日,为了缓解现有法律框架带来的诸多弊端,如数据流通受限、缺乏跨部门和跨国数据共享的统一规范,以及公众对数据使用透明度需求的增加,欧盟理事会批准了《数据治理法案》(DGA)。DGA是欧洲数字经济战略的重要组成部分,内容涵盖受保护的公共数据的广泛再利用、数据中介的新商业模式、为共同利益的数据利他主义、非个人数据的跨境传输等多个方面。
欧盟最新提出《数据法案》( Data Act ),其目的是“解锁”在互联设备、服务和云软件中产生但大多数未被使用或被少数大公司收集的数据。该法案旨在促进数据在不同服务之间的移动,并使用户能够访问这些数据,预计将于2025年7月底生效。《数据法案》将与已经生效的DGA一起,重点促进个人和企业自愿共享数据,并协同某些公共部门将数据为政府使用。据欧洲统计数据,80%的工业数据从未被使用过。预计到2028年,《数据法案》将使更多休眠数据重新被使用,并有望创造2700亿欧元的额外GDP。
总体来看,欧盟的数据政策采取了主动防御型的数据安全和隐私保护机制,把数据安全和隐私保护作为数据战略的核心。欧盟还建立了一套严格的法律体系以保障数据安全和隐私,这不仅保护了个人信息,同时也为数字经济的发展创造了条件。为了平衡严格的数据保护规则和数据利用的需求,欧盟还推出了一系列政策,旨在促进非个人数据的开放使用,并为人工智能等新兴技术的应用提供指导和支持。特别是GDPR的出台,使欧盟对个人数据的保护及监管达到了前所未有的高度。GDPR的保护范围虽然只限于在欧洲生活的民众,但由于互联网的全球性和开放性,所有向欧盟民众提供产品和服务或收集并分析欧盟民众相关数据的企业都在其管辖范围内,所以GDPR也通过各种机制对欧盟以外的国家产生了广泛的影响,成为许多国家数据保护法案的范本。
但欧盟的数据政策方针也带来了一些负面的影响,如极其严厉的两级处罚措施,违反GDPR的企业可能面临严重的财务惩罚,最高可被罚款2000万欧元或其全球年度营业额的4%(视两者中的较高值而定)。特别是中小型企业对数据的保护能力和抗风险能力本身就较弱,一旦遭遇此类事件将对企业造成很大的打击。根据网站SuperOffice的统计,截至2021年5月,超过四分之一的企业尚未根据GDPR进行整改,由此可见,部分企业并未意识到GDPR的重要性。严格的GDPR给新兴的物联网企业带来了繁重的负担,合规工作消耗了大量的资源,使企业的业务运营变得更加艰难。此外,企业必须进行合规性的审计,需要招聘更多专业的隐私保护方面的人才,因此,给企业带来了更多人力成本的负担。例如,金融服务行业由于高度依赖敏感数据处理,所以在合规性上的投资平均达到了总IT预算的10%~15%。
与欧盟不同,美国并没有一部全面的联邦数据保护法。美国的数据处理和隐私保护主要依赖于一系列分散的法律和规定,这些法律通常针对特定的行业或数据类型,采取多种行业自律形式来规划企业行为。
1974年《隐私法案》( Privacy Act )通过,规范联邦政府机构如何处理个人信息,美国数据保护政策初步形成。此后,1998年《儿童在线隐私保护法》(COPPA)通过,保护13岁以下儿童的个人信息安全。1999年《金融服务现代化法案》(GLBA)实施,要求金融机构保护消费者个人财务信息。2003年《健康保险流通与责任法案》(HIPAA)的隐私规则全面实施,保护个人健康信息的隐私和安全。
21世纪10年代开始,美国逐步推动国内法律的国际化扩张和实施更严格的隐私法律。2018年,美国颁布了《合法使用境外数据明确法》(CLOUD),规定了数据跨境调取的具体要求,为执法机构获取境外数据,以及外国政府获取美国境内数据提供依据。该法案打破了传统的数据存储地模式,将美国的数据执法权扩展至全球,并建立了以美国为中心的数据跨境获取体系,给其他国家的数据合规和执法权等造成了巨大影响。2024年3月13日,美国众议院投票通过了一项针对国际版抖音TikTok的名为《保护美国人免受外国对手控制应用侵害法》(H.R.7521)的法案,旨在要求字节跳动剥离对TikTok的控制权。
尽管美国在联邦层面缺乏统一的数据保护法,但各州正在积极推动相关立法。《加利福尼亚消费者隐私法案》( California Consumer Privacy Act ,CCPA)是美国各州中最全面的数据隐私立法之一。CCPA赋予消费者了解企业收集、共享和出售其个人信息的权利,并允许消费者拒绝其信息被出售。此外,消费者还有权要求删除企业持有的个人信息。到2023年年底,有12个州颁布了自己的综合法律。
美国的数据安全政策的优点在于,首先,其通过强化个人隐私权保护和提高数据处理透明度,为消费者提供了更多的控制权。其次,美国企业的自由度相对较高,这促进了技术创新和商业模式的多样化发展。然而,这种政策也存在明显不足,最大的问题就是缺乏统一的联邦级数据保护标准,这导致各州之间在数据保护法律和实施方面存在不一致性,为跨州运营的企业带来了合规的复杂性和成本的增加。此外,美国的数据保护法往往更偏向于保护商业利益而非个人隐私,这在某种程度上限制了对个人数据的全面保护。
随着数字经济社会的兴起,个人数据隐私问题也越来越多,于是,越来越多的数据保护条例在世界各国涌现。截至2024年,共有138个国家发布了数据隐私立法,如巴西《巴西通用数据保护法》、韩国《个人信息保护法》、日本《个人信息保护法》、加拿大《个人信息保护和电子文件法》、南非《个人信息保护法》、印度《个人数据保护法》、新加坡《个人数据保护法》和中国《中华人民共和国个人信息保护法》等。各国数据保护政策对比如表2-4所示。
在全球范围内,各国数据隐私安全管理立法进程并不一致,有些国家数据安全管理刚刚起步,有些国家正加速立法促进数据安全管理,有些国家则已经拥有既定监管系统和制度,但基于数据安全的隐忧和数据经济发展的客观需要,数据安全、隐私保护已经日趋法治化、常态化、全球化。
表2-4 各国数据保护政策对比
1980年,经济合作与发展组织(简称“经合组织”,OECD)发布的《公平信息惯例原则》(FIPP)提出隐私保护的八项原则。该原则管理隐私保护和个人数据的跨境流动,被视为保护隐私和个人自由的最低标准。
1995年,这些原则的变体形式成为欧盟数据保护指令的基础,并演进为后续的欧盟《通用数据保护条例》(GDPR)。包括美国在内的经合组织成员国也通过共识和正式批准程序同意了《公平信息惯例原则》,并成为许多现代国际隐私协议和国家法律的基础。
《公平信息惯例原则》提出如下基本原则:①收集限制原则;②数据质量原则;③目的特定原则;④使用限制原则;⑤安全保障原则;⑥公开原则;⑦个人参与原则;⑧问责原则。
这些原则具有前瞻性,为经合组织成员国提供了一个共同的数据保护框架,并试图平衡个人隐私权与数据使用的经济效益。同时,这些原则通过增强数据处理的透明度并要求由数据处理者负责,促进了消费者信心的提升和监管的有效执行。
然而,经合组织的隐私保护原则也存在一些明显的不足。首先,这些原则虽然提供了一个高层次的框架,但在具体的实施细节和指导方面相对欠缺,这可能导致不同国家在应用过程中出现解释和执行不一致的现象;其次,随着信息技术的快速发展,尤其是在互联网和人工智能领域,现有的原则未能充分反映出新兴技术的隐私挑战;最后,经合组织的隐私保护原则是建议性质的标准,不具备强制性,导致成员国在实施时可能缺乏足够的动力,执行力度和广度可能不足。这些问题突显了在全球数据环境快速演变的今天,这些原则需要不断地更新和完善才能有效地保护个人隐私和数据安全。