數據流動和保護 怎樣在新片區落地

在上海自貿試驗區臨港新片區里，“信息快捷聯通”非常重要。為此，特別強調了兩個試點：一是試點開展數據跨境流動的安全評估，建立數據保護能力認證、數據流通備份審查、跨境數據流通和交易風險評估等數據安全管理機制；二是開展國際合作規則試點，加大對專利、版權、商業秘密等權利和數據的保護力度，主動參與引領全球數字經濟交流合作。

　　實踐中，可以在以下兩方面予以重點建設：

　　第一，數據保護能力認證建設。

　　數據保護能力主要是針對企業等數據控制者、處理者而言。具體要求包括，做好企業信息合規和內控工作，建立適當的數據保護能力，落實必要的管理及技術措施，防止存儲于企業的個人信息遭遇泄露、毀損和滅失等情形。

　　歐盟《通用數據保護條例》的一個突出特點，就是正式引入數據第三方認證制度。這種認證是自愿的，程序公開透明。頒發給數據控制者或處理者的認證時效，最長不超過3年，可以申請續展。認證機構需要符合一定條件，如證明在認證方面具有獨立性和專業性、認證標準得到監管機構或理事會批準等。

　　取得數據保護認證的企業，意味著合規性和安全性程度更高。特別是對于那些小微企業而言，取得認證后更容易獲取用戶的信任和支持，能夠大大增加客戶的認同度。

　　需要指出的是，臨港新片區在引入數據保護能力認證體系時，應與行業協會、企業和消費者代表作密切溝通。認證制度畢竟是基于數字市場衍生出的一種評價體系。引入一個新制度，不應增加成本，而更應注重制度落地的實際效果。

　　第二，跨境數據流通和交易風險評估機制建設。

　　按照規定，個人信息控制者需定期（每年至少一次）開展個人信息安全影響評估。評估的內容涵蓋個人信息的收集、處理、共享、轉讓、公開等環節對個人信息主體合法權益可能產生的不利影響，在此基礎上形成個人信息安全影響評估報告。

　　跨境數據流通和交易風險評估理應成為個人信息控制者安全影響評估的重要內容。特別是，涉及數據出境的信息控制者，應設立專項評估審查事項。

　　從世界范圍內來看，數據保護存在兩大模式，即歐盟模式和美國模式。

　　歐盟十分注重國家、政府、監管機構在個人信息保護中的作用，不僅制定適用于所有領域的統一的、嚴格的、高標準的個人信息保護規則，而且設立了專門的信息保護監管機構和數據保護執法機構，并在企業內部推行設立個人信息保護專員，從而構建了一套從內到外的監督管理體制。

　　相比之下，美國更注重信息的流動價值，針對公共部門的個人信息收集、處理和使用的管控較為嚴格，但對非公共部門則更加強調自律。作為信息產業大國，美國推崇信息的流動、利用，認為這是推動產業發展的動力源泉。

　　應該說，上述兩種立法模式各有其優劣。不分公、私領域的綜合性信息保護立法，有利于個人信息得到全面、一體的保護；行業自律模式則更強調信息自由流動，能夠大大提高信息使用的經濟價值。

　　然而，美國放任行業自律模式，被普遍詬病為個人信息保護程度低，忽視了個人信息的社會價值；在執行體制上，以自律和自力救濟為核心，缺乏必要的外部監督機制。歐盟的嚴格監管模式，無疑會增加企業的負擔，甚至壓抑企業的創新發展。同時，這種自上而下的監管體制，面對日益復雜的信息處理，逐漸凸顯機械性和滯后性。

　　為了縮小兩種不同數據保護模式的差異性，美國商務部與歐盟委員會共同提出了“安全港隱私原則”。但出于對美國情報機構的擔憂，歐洲法院最終裁定決定無效，導致安全港協定失效。此后，美國和歐盟于2016年2月就跨太平洋數據流動達成新的框架協議，即隱私盾協議。

　　就臨港新片區開展數據保護領域的國際合作規則試點而言，現階段比較切實可行的是構建“一帶一路”相關國家和地區數據保護的區域性多邊協議，充分發揮區域地緣化優勢。在此基礎上，積極參與全球跨境數據傳輸規則及數據保護標準的制定，強化國際組織如經合組織、亞太經合組織、聯合國等提出的關于個人數據保護的基本原則。

（作者單位：上海對外經貿大學）