數(shù)據(jù)流動和保護 怎樣在新片區(qū)落地
張繼紅2019年08月27日09:03來源:解放日報
原標(biāo)題:數(shù)據(jù)流動和保護 怎樣在新片區(qū)落地
在上海自貿(mào)試驗區(qū)臨港新片區(qū)里,“信息快捷聯(lián)通”非常重要�。為此��,特別強調(diào)了兩個試點:一是試點開展數(shù)據(jù)跨境流動的安全評估�����,建立數(shù)據(jù)保護能力認(rèn)證�����、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流通和交易風(fēng)險評估等數(shù)據(jù)安全管理機制�;二是開展國際合作規(guī)則試點,加大對專利�、版權(quán)、商業(yè)秘密等權(quán)利和數(shù)據(jù)的保護力度���,主動參與引領(lǐng)全球數(shù)字經(jīng)濟交流合作�。
實踐中���,可以在以下兩方面予以重點建設(shè):
第一��,數(shù)據(jù)保護能力認(rèn)證建設(shè)�����。
數(shù)據(jù)保護能力主要是針對企業(yè)等數(shù)據(jù)控制者����、處理者而言���。具體要求包括�����,做好企業(yè)信息合規(guī)和內(nèi)控工作����,建立適當(dāng)?shù)臄?shù)據(jù)保護能力,落實必要的管理及技術(shù)措施�����,防止存儲于企業(yè)的個人信息遭遇泄露�、毀損和滅失等情形。
歐盟《通用數(shù)據(jù)保護條例》的一個突出特點���,就是正式引入數(shù)據(jù)第三方認(rèn)證制度。這種認(rèn)證是自愿的�����,程序公開透明��。頒發(fā)給數(shù)據(jù)控制者或處理者的認(rèn)證時效��,最長不超過3年,可以申請續(xù)展��。認(rèn)證機構(gòu)需要符合一定條件�����,如證明在認(rèn)證方面具有獨立性和專業(yè)性�、認(rèn)證標(biāo)準(zhǔn)得到監(jiān)管機構(gòu)或理事會批準(zhǔn)等。
取得數(shù)據(jù)保護認(rèn)證的企業(yè)�,意味著合規(guī)性和安全性程度更高。特別是對于那些小微企業(yè)而言����,取得認(rèn)證后更容易獲取用戶的信任和支持,能夠大大增加客戶的認(rèn)同度�����。
需要指出的是��,臨港新片區(qū)在引入數(shù)據(jù)保護能力認(rèn)證體系時��,應(yīng)與行業(yè)協(xié)會���、企業(yè)和消費者代表作密切溝通����。認(rèn)證制度畢竟是基于數(shù)字市場衍生出的一種評價體系。引入一個新制度����,不應(yīng)增加成本,而更應(yīng)注重制度落地的實際效果�����。
第二��,跨境數(shù)據(jù)流通和交易風(fēng)險評估機制建設(shè)���。
按照規(guī)定�����,個人信息控制者需定期(每年至少一次)開展個人信息安全影響評估���。評估的內(nèi)容涵蓋個人信息的收集��、處理�����、共享、轉(zhuǎn)讓�、公開等環(huán)節(jié)對個人信息主體合法權(quán)益可能產(chǎn)生的不利影響,在此基礎(chǔ)上形成個人信息安全影響評估報告����。
跨境數(shù)據(jù)流通和交易風(fēng)險評估理應(yīng)成為個人信息控制者安全影響評估的重要內(nèi)容。特別是���,涉及數(shù)據(jù)出境的信息控制者�����,應(yīng)設(shè)立專項評估審查事項�。
從世界范圍內(nèi)來看��,數(shù)據(jù)保護存在兩大模式�,即歐盟模式和美國模式。
歐盟十分注重國家���、政府��、監(jiān)管機構(gòu)在個人信息保護中的作用�����,不僅制定適用于所有領(lǐng)域的統(tǒng)一的��、嚴(yán)格的�、高標(biāo)準(zhǔn)的個人信息保護規(guī)則,而且設(shè)立了專門的信息保護監(jiān)管機構(gòu)和數(shù)據(jù)保護執(zhí)法機構(gòu)�,并在企業(yè)內(nèi)部推行設(shè)立個人信息保護專員,從而構(gòu)建了一套從內(nèi)到外的監(jiān)督管理體制�。
相比之下,美國更注重信息的流動價值��,針對公共部門的個人信息收集�、處理和使用的管控較為嚴(yán)格,但對非公共部門則更加強調(diào)自律�。作為信息產(chǎn)業(yè)大國,美國推崇信息的流動�����、利用�,認(rèn)為這是推動產(chǎn)業(yè)發(fā)展的動力源泉。
應(yīng)該說���,上述兩種立法模式各有其優(yōu)劣���。不分公、私領(lǐng)域的綜合性信息保護立法���,有利于個人信息得到全面��、一體的保護�;行業(yè)自律模式則更強調(diào)信息自由流動�,能夠大大提高信息使用的經(jīng)濟價值。
然而�����,美國放任行業(yè)自律模式�,被普遍詬病為個人信息保護程度低,忽視了個人信息的社會價值�����;在執(zhí)行體制上���,以自律和自力救濟為核心�����,缺乏必要的外部監(jiān)督機制���。歐盟的嚴(yán)格監(jiān)管模式�,無疑會增加企業(yè)的負(fù)擔(dān)���,甚至壓抑企業(yè)的創(chuàng)新發(fā)展���。同時,這種自上而下的監(jiān)管體制�����,面對日益復(fù)雜的信息處理��,逐漸凸顯機械性和滯后性��。
為了縮小兩種不同數(shù)據(jù)保護模式的差異性�����,美國商務(wù)部與歐盟委員會共同提出了“安全港隱私原則”���。但出于對美國情報機構(gòu)的擔(dān)憂����,歐洲法院最終裁定決定無效,導(dǎo)致安全港協(xié)定失效���。此后,美國和歐盟于2016年2月就跨太平洋數(shù)據(jù)流動達(dá)成新的框架協(xié)議���,即隱私盾協(xié)議�����。
就臨港新片區(qū)開展數(shù)據(jù)保護領(lǐng)域的國際合作規(guī)則試點而言���,現(xiàn)階段比較切實可行的是構(gòu)建“一帶一路”相關(guān)國家和地區(qū)數(shù)據(jù)保護的區(qū)域性多邊協(xié)議,充分發(fā)揮區(qū)域地緣化優(yōu)勢���。在此基礎(chǔ)上��,積極參與全球跨境數(shù)據(jù)傳輸規(guī)則及數(shù)據(jù)保護標(biāo)準(zhǔn)的制定���,強化國際組織如經(jīng)合組織、亞太經(jīng)合組織�、聯(lián)合國等提出的關(guān)于個人數(shù)據(jù)保護的基本原則�����。
(作者單位:上海對外經(jīng)貿(mào)大學(xué))
(責(zé)編:孫爽���、艾雯)
站內(nèi)搜索
RM新时代APP官网