欧盟《数据法案》草案观察
数据监管:塑造更加安全的数字未来
2022年2月23日,欧盟委员会公布《数据法案》草案全文。草案就数据监管明确提出,要推动数据访问和使用跨部门治理框架的创建,通过搭建有利于创新和促进更好的数据可移植性、公平访问数据和确保互操作性的全面监管框架,为跨部门的横向数据共享提供激励。
欧洲数据保护监管局提出,随着通信网络、数据和设备被大规模使用,社会的数字化转型不断加快,信息不对称、数据泄露等数字系统所存在的问题逐渐暴露,作为法治和民主社会的基石,隐私和数据保护必须得到更广泛的重视,唯有加强数据监管,才能塑造更安全的数字未来。
欧盟实践:统一监管重视私权
作为世界上起步最早的数据治理组织,欧盟始终走在数据监管前列,重点监督对个人数据的处理行为,为世界各国的数据监管提供了有益参考。
早期,欧洲以公约的形式尝试对数据监管进行立法。1950年的《欧洲人权公约》被视作欧洲数据监管的萌芽,赋予了公民个人隐私权,该项权利后被广义解释至个人数据保护,允许公民就数据侵权向政府提出救济。1981年,欧盟颁布了全球首个针对个人数据保护所制定的公约——《关于个人数据自动化处理的个人保护公约》,提出成立公约委员会对缔约国的数据监管做出评估指导,并要求缔约国设置数据监管机构,承担立法咨询、权利保护、处理投诉等工作。由于公约不具有强制性,具体实施依赖于成员国的转化立法,实践效果平平,但是作为早期尝试,为数据监管奠定了法律基础。
为加强数据监管的统一性,1995年《数据保护指令》应运而生。该指令吸取了公约规定过于宽泛的教训,进一步主张在欧盟层面设立统一的监管机构,规定了公正合法、目的明确、知情同意等数据处理原则,协调了欧洲各国在数据保护上的一致性,是欧盟数据监管统一立法的开端。
随着“数字单一市场”战略的提出,2018年,被称为“史上最严条例”的《通用数据保护条例》出台,该条例强调了监管机构的独立性,详细规定了监管机构的权力,具有高度的可操作性。此外,条例细化了数据控制者和处理者的权利义务,要求企业设置数据保护官,加强内部监管,优化了数据监管模式。
整体来看,欧盟始终致力于保护数据主体的人格权和隐私权,通过明确权利义务、统一立法标准、设立专门机构、设置数据保护官等手段,调动欧盟、成员国、数据控制者等多方力量保障数字时代公民的私权利,形成了欧盟与成员国二级共建、具有统一性和独立性的监管模式。《数据法案》草案延续欧盟以往风格,进一步强化用户获取和使用数据的权利,要求成员国依靠独立监管机构审查行为者获取数据的权利和义务,制定有效、适度且具有警戒性的处罚规则并向欧盟委员会报备,采取一切必要措施确保规则得到实施,深化了对数据的二级监管机制,对我国有深刻的借鉴意义。
我国现状:个人数据监管不断进步其他数据监管有所突破
前期,我国主要通过制定规范性文件,将个人数据作为网络空间安全的一部分进行规制。《关于维护互联网安全的决定》赋予了相关部门在网络空间范围内对个人数据资料处理进行监管的权力。《关于加强网络信息保护的决定》首次以个人数据保护为核心制定法律制度,要求有关主管部门依法打击网络信息违法犯罪行为,总体规定较为笼统。《信息安全技术公共及商用服务信息系统个人信息保护指南》是我国首个个人信息保护国家标准,创新性提出了引入第三方机构对个人数据保护状况进行测评的监督机制。
随着数字经济快速发展,数据安全问题频发,规范性文件逐渐落后于时代发展,我国将目光转向基础法律的制定。作为我国首部专门规范网络空间管理的基础法,《网络安全法》确立了由国家网信部门负责统筹协调,国务院电信主管部门、公安部门和其他有关机关依法负责职责范围内的监督管理工作的两级协调监管机制。《数据安全法》注重宏观安全,在数据监管方面取得了新的进展。一是建立了行业数据监管机制,强调在两级监管之外,工业、电信、交通、金融等主管部门也需承担行业领域的数据安全监管职责,加强对数据监管的统筹。二是关注对重要数据、核心数据、政务数据的监管,推动建立国家层面的数据安全风险评估机制,严格落实监管。三是加大对违法行为的处罚力度,通过提高罚款上限、设定刑事责任等手段,对企业数据合规提出了更高要求。《个人信息保护法》关注个人数据保护,对一般数据和敏感数据进行分类监管,要求落实从事前合规审计到事后救济处罚的全程监督。在三大基础法的框架之下,2022年6月,国家互联网信息办公室起草了《个人信息出境标准合同规定(征求意见稿)》,提出个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,推动我国数据跨境流动监管机制的完善。
总而言之,我国数据监管前期注重个人数据,立法层级较低,监管部门及具体责任分配不明,可操作性不强。相较于规范性文件,《网络安全法》《数据安全法》《个人信息保护法》三大基础法位阶更高,各有侧重,明确了各方的权利义务,规定了主要监督部门,细致划分违法行为的处罚标准及范围,构建起我国数据监管的基本法律框架,并不断完善。在加强数据人权保护的同时,我国还增强了对关系国家安全、公共利益等重要数据的监管,将个人数据与其他数据两手抓,形成了较为全面的数据监管体系。
但相较欧盟,我国数据监管仍存在亟须改进的地方。一是起步较晚,法律制度尚不成熟,国内立法仍需优化;二是监管权力分散,部门之间存在职能交叉,对执法资源造成了浪费;三是国内监管水平不足,导致我国在国际数据规则的制定、实施和应用等方面的话语权较弱。
启示:三点着手加强数据监管
第一,立足我国实际,优化国内立法。借鉴欧盟的数据保护官制度,要求企业设置数据监督专员,赋予专员在企业内部开展数据保护评估、处理数据主体的权益诉求等权利,完善数据处理者的自我监管;学习欧盟二级监管模式,设置全国层面的监管机构,对各省市大数据管理局进行统一管理,形成国家与地方“1﹢N”的监管力量。
第二,建立健全制度,注重立法落地。一是对现有立法的部分原则性条款进行细化,完善数据分类分级保护、数据安全风险评估机制等制度的表达,提高执行效率。二是重视已有立法在基层实务部门的落地,出台配套法律法规,细化地方与部门的数据安全保护、数据处理监管等责任。三是根据现有法律框架完善部门之间的职能衔接,避免“九龙治水”的混乱局面,优化行政资源配置。
第三,占据舆论阵地,做好对外发声。完善国内立法,加快形成国内规则并推向世界,在保障数据主权的同时,利用多边对话机制开展国际交流合作,参与数据领域的国际规则制定,积极宣传中国数据治理主张。
(作者单位分别为东南大学法学院和国家计算机网络应急技术处理协调中心江苏分中心)