大數據時代個人數據保護趨勢

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦一篇大數據時代個人數據保護趨勢范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

步入21世紀以來，人類社會各個領域特別是信息領域飛速發展。信息爆炸不可避免地產生了大量數據，既帶來了機遇，也伴隨著挑戰。數據流動帶來利益的同時也暗藏危機，個人數據的隨意收集和濫用侵犯了個人信息權，不利于數字經濟的持續發展。歐盟和美國基于自身歷史傳統和現實需要，形成了個人數據保護的兩大格局。但兩大經濟體關于數據跨境流動規制的價值追求截然不同—前者強調對個人數據的嚴格保護，后者則傾向于追求數據自由流動的價值。

一、歐盟：限制個人數據流動

自《歐洲數據保護指令》（95/46/EC）以來，歐盟就采取了嚴格的以地理區域為基準的立法制度，提出了數據保護“充分性原則”。“數據保護指令”第25條明確規定，一方面，歐盟要求成員國限制其境內的個人數據向境外轉移；另一方面，只有當數據接受國或地區被證明具有充分的保護水平時，跨境數據轉移才能夠被允許。隨著新興科學技術的發展，大數據、云計算等對個人數據保護造成了巨大沖擊，相應的保護措施也亟待提高，歐盟GDPR作為史上最嚴格的數據保護規則應運而生。就數據接受國或地區的資格而言，GDPR規定了更高的認定標準：首先，應當考察數據接受方的法治程度、對人權和基本自由的保障水平、立法制度和行政機構、國家機關對于境內數據掌握者的介入，以及數據主體享有的權利和救濟機制；其次，還應當考察接受方是否具有一個或多個獨立的監督主體，是否具有充分的執法權；最后，要考察接受方已作出的相關國際承諾。為了嚴格保護個人數據，GDPR更加強調數據主體的權利，提出數據主體享有“被遺忘權”和“數據可攜權”。前者是指當數據主體提出數據刪除要求時，被要求的企業必須在數據庫刪除該主體的相關數據。如果數據已經傳播或供給他方使用，企業還負有通知義務，確保他方及時刪除其掌握的數據。后者是指就個人數據而言，當其脫離某一數據使用者控制，轉移到另一數據使用者控制之下時，數據主體應當對此保有絕對權利。歐盟以地理區域為基準的立法保護，有助于提高歐盟的一體化程度，建立歐盟境內統一的個人數據跨境轉移標準。然而，歐盟模式過分強調數據保護的行政主導性，給數據接受方造成了較大負擔，不利于數據資源的利用，將會對數字跨境貿易帶來阻礙。

二、美國：保障個人數據自由流動

美國關于個人數據的保護理念與歐盟截然相反。美國以充分保障數據自由流動為前提，進而要求數據經營者對經營中所掌握的數據采取合理、合法的保障措施。在實踐中，美國采取行動，積極促成個人數據的跨境自由流動。一方面，基于業務合作的需要，美國政府與歐盟簽訂了一系列雙邊協議，為美國企業爭取數據跨境傳輸資格，例如2000年《美歐安全港協議》、2016年《隱私盾協議》；另一方面，美國借助亞太經濟合作組織，積極推廣自身模式，爭取該區域的數據跨境話語權。在美國推動下APEC于2013年通過的《跨境隱私規則體系》（Cross-BorderPrivacyRules，CBPRs），其宗旨是確保個人數據的跨境自由流動。不同于歐盟濃厚的行政主導性，美國提倡行業自律，由行業組織或第三方認證機構制定具體的個人數據保護標準。首先默認數據經營者在商業活動中能夠自覺主動地遵守相關義務，只有當其行為觸犯了個人數據保護規則時，由行業組織以及行政機構對其進行事后處罰或制裁。這種寬松的規制模式很難適應GDPR的嚴格要求，因此自GDPR生效以來，Facebook、Google、Instagram及WhatsApp都遭到過指控。為了適應國際上個人數據保護嚴格化趨勢，美國加州州長杰瑞?布朗（JerryBrown）于6月28日簽署了一項數據隱私法案，被稱為“全美最嚴”的隱私保護法。這項法案使得用戶對公司收集和管理個人數據的方式有更多控制權，符合GDPR限制個人數據跨境流動的理念，但與美國一直倡導的行業自律模式下保障數據自由流動的做法大相徑庭。根據立法草案，加州掌握超過5萬人信息的公司必須允許用戶查閱自己被收集的數據，用戶甚至有權要求刪除數據。早在該法案通過之前，谷歌和其他大公司都抗議這項立法造成了過多的障礙。①美國一直以來都十分重視數據自由流動帶來的經濟價值，奉行以市場為主導，以行業自律為中心的個人數據保護政策。美國模式減小了行政阻礙，能夠最大限度的保障個人數據跨境轉移，從而維護自身已建立的信息優勢。然而，由于行業組織對違規企業的處罰力度不足，導致違法成本較低，難以對數據經營者形成威懾，實踐中侵犯個人信息權的行為時有發生。美國政府也意識到這一保護模式存在的不足，開始傾向于混合型法律規制手段，平衡個人數據自由流動與個人數據保護之間的沖突，保障數字產業的持續發展。

三、個人數據保護的發展趨勢

以往的個人數據保護模式，是以個人對自身信息擁有絕對控制權這一基礎來構建的，體現了“個人本位”的思想。歐盟GDPR遵循這一思路，賦予個人絕對權利，突出捍衛個人信息權。然而，這種過分強調個人本位的保護模式難以適應當前的時代要求。要想發揮數據的價值，就必須實現從個人本位到社會本位，從個人控制到社會控制轉變。通過施加給數據控制人相應的法律義務，反過來保護數據權利人的利益，而不是一味強調數據主體享有絕對權。與歐盟GDPR不同，美國將個人數據類比隱私保護。個人數據不是不可觸碰的隱私，而應當是一種合理的信息流通。行業自律模式弱化了行政控制，能夠減小對數據流動的阻礙。事實上，出于國際交流與合作的需要，上述兩種模式在實踐中已經出現了融合的趨勢。2000年簽訂的“安全港”協議，體現了美歐雙方的價值訴求，是兩大經濟體關于跨境數據流動規制的第一次妥協。2015年，隨著“棱鏡門”事件的發生，歐洲法院最終裁定“安全港”協議無效，中斷了美歐之間數據跨境流動的合作。隨后，歐盟為了挽回局面，了“隱私盾”協議文本，經過雙方多次協商，終于在2016年正式通過并實施。從“安全港”協議到“隱私盾”協議，可以看到美歐兩大經濟體的妥協與融合。歐盟GDPR的實施，提示我們要在全球化視野下思考大數據安全問題。今年5月1日，《信息安全技術個人信息安全規范》開始實施，意味著今后我國個人信息保護將更加完善。②在此背景下，結合自身國情，吸取經驗教訓，構建中國特色的個人數據保護制度刻不容緩。我國互聯網擁有最豐富的應用場景，很難通過某一模式或某一規則來確立信息保護制度，只能遵循某些共同的原則。保護個人數據固然重要，但不能因此犧牲數據的流動性。GDPR對于歐洲國家來說是合適的，但對于中國不一定適用。中國處于數字經濟和AI技術發展的創新階段，應當在推進個人數據保護的前提下將個人數據更好地應用于商業場景。近幾年來，《網絡安全法》、《個人信息安全規范》等法律法規的制定和出臺，構建了我國個人數據保護領域大致的法律框架。有關個人數據保護的探索才剛開始，美歐模式給我們提供了有益經驗，新興互聯網商業給我們創造了機遇，或許可以說，中國模式，未來可期。

【作者簡介】王曦（1989-），女，漢族，云南曲靖人，復旦大學法學院博士研究生，研究方向為公司法、金融法。

【參考文獻】

[1]郭瑜.個人數據保護法研究[M].北京:北京大學出版社,2012:12-24+93-100.

[2]王融.大數據時代:數據保護與流動規則[M].北京:人民郵電出版社,2017:189-214.

[3]謝永志.個人數據保護法立法研究[M].北京:人民法院出版社,2013:19-20+69-91.