【編譯/觀察者網 馬雪】
在被稱爲“史上最嚴”的歐盟《通用數據保護條例》生效之際,中國在保護個人信息方面的國家標准也剛剛實施。英國《金融時報》5月30日報道稱,中國“出人意料”地在數據隱私保護規定方面走在了亞洲前列。
《金融時報》報道截圖
“中國是最直接接受GDPR的國家”
經過近四年的討論以及兩年的過渡期,5月25日,歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)在歐盟全體成員國正式生效。
根據該條例,企業如被歐盟認定違規,最高處罰金額可至2000萬歐元或年收入4%的罰款,兩者之中取其最高值。有預測稱,今年歐盟將有可能開出60億美元的罰單。
外界普遍認爲,這一新條例是“世界史上最嚴格的個人數據保護條例”,將給歐盟公民的個人數據保護帶來革命性的變化。
據《金融時報》報道,律師們指出,爲了確保這項嚴格的新規不會危及全球數據流動,多家亞洲監管機構和企業已對此有所行動。
紮克伯格歐盟聽證會現場(視頻截圖)
英國富爾德律師事務所(Freshfields)合夥人理查德·伯德(Richard Bird)指出:“從某些方面來看,中國是最直接接受GDPR的國家,不過是以非常中國的方式(a very Chinese way)。”
《金融時報》指出,這是指中國在5月初推出了受GDPR影響的規定。5月1日,我國在保護個人信息方面的推薦性國家標准——《信息安全技術 個人信息安全規範》(以下簡稱《規範》)正式實施。
霍金路偉律師事務所(Hogan Lovells)香港辦公室合夥人馬克•帕森斯(Mark Parsons)稱,“可以清楚看到,這個《規範》參考了GDPR”,“我們認爲這個《規範》一定會被相當嚴格地對待。”
伯德也同意帕森斯的觀點,他提到:“《規範》起草人們曾公開稱GDPR是《規範》起草時主要的靈感來源。”
據經濟觀察報4月報道,《規範》起草人之一、中國電子技術標准化研究院何延哲博士曾表示,在制定期間參照了《網絡安全法》等一系列中國在個人信息保護方面提出要求的法律法規,也參考了歐盟的《通用數據保護條例》,即GDPR、ISO29000系列等國際範圍內的個人信息保護法律法規及標准,同時,從國內主要存在的個人信息保護現狀和問題出發制定標准,更側重標准的實用性。
尺度介于歐洲與美國之間
《金融時報》稱,不過,中國新出台的規定達不到GDPR的嚴苛程度,也無法通過歐洲更嚴的要求。
伯德解釋,歐盟提出的所謂“被遺忘權”(right of erasure),只有在數據控制者違法或違反協議時才生效。
美國商務部長威爾伯·羅斯(Wilbur Ross)則對歐盟的新條例深表憂慮。羅斯5月30日在《金融時報》寫道:“我們相信,數據共享的規則必須尊重隱私、保護我們在社會安全和互聯網方便運行方面的共同利益,同時,也要將所有國家對于管理、科學和商業的需求考慮進來。”
“現在預計,GDPR的實行將會顯著擾亂跨大西洋合作,創造不必要的貿易壁壘,不僅是美國,所有外在歐盟的國家都將受此影響。”
美國商務部長威爾伯·羅斯(Wilbur Ross)(圖源:視覺中國)
歐盟的GDPR被稱爲史上最嚴苛的數據保護規定,而美國的個人信息保護則側重于行業自律。
《規範》的起草人之一、北京大學互聯網發展研究中心高級顧問洪延青表示,規範在制定時,可能會比美國稍嚴一點,但是絕對不會比歐洲更嚴,而且與歐洲拉開了一定的距離。
據《經濟觀察報》報道,中國首席數據官聯盟專家組成員,法律顧問,觀韬中茂(上海)律師事務所合夥人王渝偉指出,“歐美國家在個人數據的保護立法政策上選擇了不同的模式,這將是未來我國立法模式選擇的方向。”
“盡管我國制定的個人信息安全規範的國家標准是參考了GDPR,但同時也加入了符合中國國情的做法,我認爲中國會采取一種介于美國和歐洲之間的規定,因爲如果過于嚴苛,會限制行業的發展。”王渝偉表示。
與東南亞國家形成對比
《金融時報》還報道稱,在接受GDPR方面,相比中國政府和美國企業,中國的企業的行動有所滯後。
一位在北京工作的律師指出,她在歐洲、美國和日本的同事都說那邊的公司都“請了律師,但在中國,除了少數幾家大企業外,大多數中國企業還沒真正開始行動。”
報道稱,新西蘭是亞太地區唯一一個被列入“白名單”的國家,歐洲的數據可以自由出口。
帕森斯指出:“在GDPR的影響下,關于提高數據保護方面,各地區立法勢頭強勁”,“人們在關注他們自己國家的法律,並有一種‘歐洲在向前邁進,我們可能會被落下’的感覺。”
報道還指出,中國的新《規範》,以及印度去年12月發布的相關指引,與很多東南亞國家在數據保護方面止步不前形成了鮮明對比。在泰國和印度尼西亞,加強數據保護的努力多年來仍停留在計劃之中。
《金融時報》援引新加坡個人資料保護委員會(Personal Data Protection Commission)的說法指出,即便是被普遍視爲東盟最發達經濟體的新加坡,也要到2019年才會將其擬議的《個人資料保護法令》修訂草案提交議會討論。
此外,律師們也表示,從某些方面看,新加坡的修訂草案是放寬個人資料保護機制,而不是收緊。草案要求人們默認同意允許組織機構存儲他們的數據,而非采用GDPR的規定(觀察者網注,即用戶需明示同意(explicit consent)或授權同意(unambiguous consent))。
立法執法工作不斷推進
之所以對中國走在亞洲前列表示驚訝,恐怕是英媒對于中國在保護個人信息方面的治理缺乏了解。實際上,中國這方面的立法和執法工作一直在跟進,除了剛剛實施的《規範》外,今日(6月1日)正好是《網絡安全法》正式實施一周年。
《網絡安全法》對個人信息保護做出規定,明確了對個人信息收集、使用及保護的要求,並規定了個人對其個人信息進行更正或刪除的權利。
《規範》實爲《網絡安全法》的配套標准。2018年1月,國家標准《信息安全技術 個人信息安全規範》發布全文,進一步對個人信息的收集、保存、使用、委托處理、共享、轉讓和公開披露做了規定,對個人信息和個人敏感信息作了定義。
據人民日報海外版6月1日介紹,中國懲治信息販賣“黑手”的力度越來越大。今年5月底,深圳開展第六次打擊整治騷擾信息違法犯罪行動,查處繳獲涉騷擾信息違法犯罪窩點24個、非法公民個人信息139萬余條。北京5月份也開展打擊網絡侵犯公民個人信息犯罪,刑拘138人。江蘇常州去年挖出一條巨大個人信息黑市交易鏈,抓獲48名內鬼和82名中介商。
深圳警方在全市共查處涉騷擾信息違法犯罪窩點24個。(圖源:深圳公安)
據北京師範大學法學院互聯網政策與法律研究中心主任薛虹介紹,《網絡安全法》對個人信息安全保護制定了明確規定,個人信息保護法也加快了立法進程。薛虹指出,“全國人大常委會二次審議的電子商務法草案中,關于個人信息安全的內容在各個章節都有具體規定,還有一些制度創新和要求,比如個人信息泄露發生時,平台或商家要履行告知受害者的義務等。”