數(shù)據(jù)流動和保護 怎樣在新片區(qū)落地

在上海自貿(mào)試驗區(qū)臨港新片區(qū)里，“信息快捷聯(lián)通”非常重要。為此，特別強調(diào)了兩個試點：一是試點開展數(shù)據(jù)跨境流動的安全評估，建立數(shù)據(jù)保護能力認(rèn)證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流通和交易風(fēng)險評估等數(shù)據(jù)安全管理機制；二是開展國際合作規(guī)則試點，加大對專利、版權(quán)、商業(yè)秘密等權(quán)利和數(shù)據(jù)的保護力度，主動參與引領(lǐng)全球數(shù)字經(jīng)濟交流合作。

　　實踐中，可以在以下兩方面予以重點建設(shè)：

　　第一，數(shù)據(jù)保護能力認(rèn)證建設(shè)。

　　數(shù)據(jù)保護能力主要是針對企業(yè)等數(shù)據(jù)控制者、處理者而言。具體要求包括，做好企業(yè)信息合規(guī)和內(nèi)控工作，建立適當(dāng)?shù)臄?shù)據(jù)保護能力，落實必要的管理及技術(shù)措施，防止存儲于企業(yè)的個人信息遭遇泄露、毀損和滅失等情形。

　　歐盟《通用數(shù)據(jù)保護條例》的一個突出特點，就是正式引入數(shù)據(jù)第三方認(rèn)證制度。這種認(rèn)證是自愿的，程序公開透明。頒發(fā)給數(shù)據(jù)控制者或處理者的認(rèn)證時效，最長不超過3年，可以申請續(xù)展。認(rèn)證機構(gòu)需要符合一定條件，如證明在認(rèn)證方面具有獨立性和專業(yè)性、認(rèn)證標(biāo)準(zhǔn)得到監(jiān)管機構(gòu)或理事會批準(zhǔn)等。

　　取得數(shù)據(jù)保護認(rèn)證的企業(yè)，意味著合規(guī)性和安全性程度更高。特別是對于那些小微企業(yè)而言，取得認(rèn)證后更容易獲取用戶的信任和支持，能夠大大增加客戶的認(rèn)同度。

　　需要指出的是，臨港新片區(qū)在引入數(shù)據(jù)保護能力認(rèn)證體系時，應(yīng)與行業(yè)協(xié)會、企業(yè)和消費者代表作密切溝通。認(rèn)證制度畢竟是基于數(shù)字市場衍生出的一種評價體系。引入一個新制度，不應(yīng)增加成本，而更應(yīng)注重制度落地的實際效果。

　　第二，跨境數(shù)據(jù)流通和交易風(fēng)險評估機制建設(shè)。

　　按照規(guī)定，個人信息控制者需定期（每年至少一次）開展個人信息安全影響評估。評估的內(nèi)容涵蓋個人信息的收集、處理、共享、轉(zhuǎn)讓、公開等環(huán)節(jié)對個人信息主體合法權(quán)益可能產(chǎn)生的不利影響，在此基礎(chǔ)上形成個人信息安全影響評估報告。

　　跨境數(shù)據(jù)流通和交易風(fēng)險評估理應(yīng)成為個人信息控制者安全影響評估的重要內(nèi)容。特別是，涉及數(shù)據(jù)出境的信息控制者，應(yīng)設(shè)立專項評估審查事項。

　　從世界范圍內(nèi)來看，數(shù)據(jù)保護存在兩大模式，即歐盟模式和美國模式。

　　歐盟十分注重國家、政府、監(jiān)管機構(gòu)在個人信息保護中的作用，不僅制定適用于所有領(lǐng)域的統(tǒng)一的、嚴(yán)格的、高標(biāo)準(zhǔn)的個人信息保護規(guī)則，而且設(shè)立了專門的信息保護監(jiān)管機構(gòu)和數(shù)據(jù)保護執(zhí)法機構(gòu)，并在企業(yè)內(nèi)部推行設(shè)立個人信息保護專員，從而構(gòu)建了一套從內(nèi)到外的監(jiān)督管理體制。

　　相比之下，美國更注重信息的流動價值，針對公共部門的個人信息收集、處理和使用的管控較為嚴(yán)格，但對非公共部門則更加強調(diào)自律。作為信息產(chǎn)業(yè)大國，美國推崇信息的流動、利用，認(rèn)為這是推動產(chǎn)業(yè)發(fā)展的動力源泉。

　　應(yīng)該說，上述兩種立法模式各有其優(yōu)劣。不分公、私領(lǐng)域的綜合性信息保護立法，有利于個人信息得到全面、一體的保護；行業(yè)自律模式則更強調(diào)信息自由流動，能夠大大提高信息使用的經(jīng)濟價值。

　　然而，美國放任行業(yè)自律模式，被普遍詬病為個人信息保護程度低，忽視了個人信息的社會價值；在執(zhí)行體制上，以自律和自力救濟為核心，缺乏必要的外部監(jiān)督機制。歐盟的嚴(yán)格監(jiān)管模式，無疑會增加企業(yè)的負(fù)擔(dān)，甚至壓抑企業(yè)的創(chuàng)新發(fā)展。同時，這種自上而下的監(jiān)管體制，面對日益復(fù)雜的信息處理，逐漸凸顯機械性和滯后性。

　　為了縮小兩種不同數(shù)據(jù)保護模式的差異性，美國商務(wù)部與歐盟委員會共同提出了“安全港隱私原則”。但出于對美國情報機構(gòu)的擔(dān)憂，歐洲法院最終裁定決定無效，導(dǎo)致安全港協(xié)定失效。此后，美國和歐盟于2016年2月就跨太平洋數(shù)據(jù)流動達(dá)成新的框架協(xié)議，即隱私盾協(xié)議。

　　就臨港新片區(qū)開展數(shù)據(jù)保護領(lǐng)域的國際合作規(guī)則試點而言，現(xiàn)階段比較切實可行的是構(gòu)建“一帶一路”相關(guān)國家和地區(qū)數(shù)據(jù)保護的區(qū)域性多邊協(xié)議，充分發(fā)揮區(qū)域地緣化優(yōu)勢。在此基礎(chǔ)上，積極參與全球跨境數(shù)據(jù)傳輸規(guī)則及數(shù)據(jù)保護標(biāo)準(zhǔn)的制定，強化國際組織如經(jīng)合組織、亞太經(jīng)合組織、聯(lián)合國等提出的關(guān)于個人數(shù)據(jù)保護的基本原則。

（作者單位：上海對外經(jīng)貿(mào)大學(xué)）