原创： Cismag  来源：信息安全与通信保密杂志社 

本文从数据保护、数据跨境、欧盟 GDPR、美国 CCPA 和中国的相关法律政策等多个角度，全景式地展示了 2018 年国内外数据保护政策的重点与全貌，以期为数据政策讨论提供参考与启发。

个人数据保护法的全球普及

截至 2018 年，全球近 120 个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据，另有近 40 个国家和司法管辖区有待批准此类法案或倡议。

新兴市场表现出对个人数据保护立法的极大热情。2018 年 6 月 12 日，越南《网络安全法》通过，对个人信息保护作出规定。7 月 27 日，印度发布《2018 个人数据保护法（草案）》。8月 14 日，巴西批准了《通用数据保护法》，该法将于 2020 年初生效。而发达国家将继续补充和完善现有法律。2018 年 2 月 22 日，澳大利亚隐私法修正案（《数据泄露通知计划》NDB）正式实施。11 月 1 日，加拿大个人信息保护和电子文件法案（PIPEDA）修正案生效，增加了强制性数据泄露通知报告要求。总体而言，全球对于数据保护更加重视，数据保护法正在全世界普及。

欧盟 GDPR 从文字走向落地，正负面影响并存

GDPR 本身还处于探索塑造期，需要在欧盟和各成员国的层面进行大量细则立法和解释指南予以支撑和澄清。目前，欧盟数据保护机构EDPB 已发布共 20 项，约 15 万字指南以回应各方关切。指南涉及的内容极其广泛，包括：数据保护官、数据保护影响评估、识别主导监管机构、行政处罚、充分保护认定和 BCR 基本原则等。同时，欧盟各成员国也开启了新一轮立法。每个成员国需要根据 GDPR 来更新其国家数据保护法，包括与 GDPR 明文保持一致，并且填补 GDPR 预留给成员国的立法空间。据统计， 在 GDPR 中， 共 有 儿 童 年 龄 标 准、 敏 感数据的保护规则等 50 个领域可以由成员国来继续做出规定，这也使得所谓的 GDPR“一站式”立法在欧盟仍然有碎片化的风险。欧盟各成员国也需要颁布 GDPR 指南用于国内具体合规项目。2 月，德国发布了数据控制者、数据处理者的处理记录模板，以及 GDPR 第 30 条处理记录指南。9 月下旬，法国发布了关于区块链GDPR 合规指南。

目前，GDPR 的执法力度总体呈现轻缓色彩，监管执法仍处于过渡阶段。GDPR 生效后，欧盟各成员国的监管机构所收到的违规投诉和数据泄露报告的数量均显著增加，但各国对各类违反 GDPR 行为或主体的罚金数额总体低于外界预期。对于具体处罚，大多数成员国 DPA 对第一次违规行为只给出警告、建议和纠正措施。德国数据保护当局更是明确表示 , “处罚应当是‘责罚相符合’，德国数据保护当局没有意愿加入 GDPR 最高罚款的案例竞争。”

围绕 GDPR 的争议纠纷也涌入司法系统，全球首例关于 GDPR 的法院裁决凸显出 GDPR规则与实践的冲突。5 月底，互联网名称与数字地址分配机构（ICANN）向德国伯恩法院申请临时禁令，请求法院禁止德国域名注册商EPAG 在分配域名时放弃收集域名申请者的技术联络和行政联络的数据，但遭到了法院驳回申请。一般而言，技术联络和行政联络数据是确认域名注册主体真实身份的关键，对于预防和调查网络犯罪、知识产权维权都具有重要意义，EPAG 因 GDPR 合规要求，而拒绝收集此类数据，对互联网世界的身份管理带来新的难题。

从正面看，GDPR 显著促进了机构对于数据保护的投入。据估计，财富全球 500 强公司在对合规投入约 78 亿美元。但与此同时，也有许多中小企业因担心过高的法律风险，宣布停止向欧洲地区服务。美国国家经济研究局（NBER）的报告《GDPR 对科技创业投资的短期影响》表明，在 GDPR 推行后，欧盟国家企业的融资总额、融资交易笔数以及每笔融资交易金额均大幅减少，GDPR 使新企业每周减损 90 万美元投资，使成熟企业每周减损 710 万美元投资，其对于新业务发展的负面影响是显著的。

美国加州出台 CCPA，与欧盟保持立法差异

6 月 28 日 , 美国加州公布《消费者隐私保护法案》（CCPA）。对企业提出了更多通知、披露义务，并针对数据泄露，规定了法定损害赔偿金，因加州在互联网产业独特的地位和美国最严格的州层面隐私立法，被视为目前美国隐私立法的代表。CCPA 与 GDPR 在形式上有相似之处，但究其制度内核，仍然体现与欧盟制度的理念差异，表现为更加注重消费者保护的实际效果，以及与促进企业发展，技术创新之间的平衡。

首先，在受规则的实体上，CCPA 作出了包括仅提供数据服务的企业、非营利机构和没有达到适用门槛的中小企业等三类主体的合理排除；而 GDPR 则要求所有任何规模的实体都遵守相同的高标准合规要求，这也是 GDPR 对中小企业带来市场竞争扭曲效应的原因。其次，在规制的数据处理活动上，CCPA 重点规制数据的收集、买卖和共享三种活动，而 GDPR 笼统地包含了所有数据处理活动。其三，在排除适用的数据活动上，CCPA 务实地排除了“集合信息”“去识别化数据”以及联邦法已经覆盖的医疗、征信、驾驶、金融、政府公开数据等；而 GDPR 仅排除了匿名数据，根据欧盟对匿名数据的严格解释标准，GDPR 对于匿名数据的排除适用门槛极高。

CCPA 仍然保持了美欧个人数据保护法的最大理念差异。具体而言，GDPR 是基于“opt-in”模式，即在绝大多数商业化场景下公司收集、处理消费者个人数据之前必须要获得消费者的同意；而 CCPA 是基于“opt-out”模式，即除非用户拒绝或退出，则公司可以继续处理用户的个人信息。这体现了美国一直以来在数据保护方面的务实思路。“opt-out”模式对消费者而言更为真实有用，同时对新进入市场的企业的发展阻碍也更小。

最后，在同意机制上，相比于严格刚性的GDPR，CCPA 体现出灵活弹性的特征。华盛顿邮报案例中，其在欧盟市场无法通过行为广告来补贴业务，因而选择直接向用户收费，则难以满足 GDPR 关于同意是消费者自由、自主选择的要求。而 CCPA 则规定，消费者行使了本法规定的隐私权利，企业不得有歧视对待，但是如果该价格或差异与消费者数据所提供的价值直接相关，则企业还可以向消费者提供不同价格、不同费率、不同品质的商品或服务。可见加州隐私法仍然更多地保留了市场弹性，允许企业探索其他可行商业模式。

个人数据跨境流动机制曲折发展

2018 年，欧美分别主导的个人数据跨境流动机制在曲折中取得实质性进展。

GDPR 对欧盟数据跨境流动政策限制有所松缓。规定只要符合了跨境数据流动的条件，则成员国不得再予以限制；赋予 95 指令中的有约束力公司规则（BCR）正式的法律地位；增加了成员国数据监管机构可以指定标准合同条款的渠道；除了对国家做充分性认定外，还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断；GDPR 引入了签章、行为准则认证等跨境流动机制，为后续与 APEC、CBPRs 衔接提供了可能空间。在此背景下，日本、韩国积极争取进入欧盟“白名单”。9 月，欧盟正式启动对日本的充分性认定程序。11 月，韩国国民议会提交了个人数据保护法修订，新的修订将使韩国数据保护执法系统获得独立地位，这将有望为韩国期待已久的欧盟充分性认定铺平道路。另外，欧盟面向全球推行的《有关个人数据自动化处理之个人保护公约》（“第108 号公约”）在 5 月完成了版本迭代，公约为欧盟之外国家向欧盟数据保护标准靠拢提供了理想框架和路径。

当然，GDPR 依旧保留了严格的个人权利保护理念。继“安全港”协议被欧盟法院推翻后，在 2017 年 Max Schrems 起诉 Facebook 一案中，标准合同条款机制的合法性也遭到挑战。目前，关于该机制合法性的最终结果正在等待欧盟最高法院的裁决。

而在大西洋另一端，美国主导下的亚太隐私数据跨境体系（APEC CBPRs）也在沉寂期后迎来实质性进展。2018 年 3 月，新加坡加入CBPRs 体系；11 月，澳大利亚和中国台湾地区加入申请也同时获得 APEC 批准。截至年底，在 21 个 APEC 经济体中，已有 8 个经济体加入CBPRs 体系。

跨域执法数据协作的新探索与冲击

3 月，美国总统特朗普签署了“澄清合法使用海外数据法”（Clarify Lawful Overseas Use of Data Act，“CLOUD”）。CLOUD 法 案 解 决 的是刑事领域的证据跨境调取问题，内容上分为美国调取域外证据规则和外国调取美国所控制的数据规则，流程上规定了美国与其认可国家之间的证据调取程序，以及通信服务提供者的抗辩程序，被认定为适格的外国政府将与美国建立起更为便捷的跨境数据调取路径。但这只是为解决数据跨境调取问题提供了一个框架。包括对适合外国政府的认定标准，对行政协议订立的要求都带有原则性特征，法案的执行还要对其进一步解释和细化。但其意义在于，尝试推动美国现有的数据安全和司法协助法律，能够适应当前以云计算为代表的数字技术的发展，改革现有的冗长司法协助机制 MLAT, 为执法协作中的数据跨境获取设定新的实质性和程序性保护规则，同时为美国企业减少来自海外本地化要求提供一种制度动机。但与此同时，该法案导致了对行政权力过度扩大危害隐私等基本人权的担忧。

在美国 CLOUD 法案之后，欧盟也在 4 月 17日提出《电子证据条例》草案，并于 12 月 7 日获得欧洲司法部长会议批准，计划在 2019 年 5月底之前在欧洲议会完成对条例表决。包括：《欧洲数据生成令》允许成员国的国家机关直接从服务提供商处获取电子证据（例如应用程序中的电子邮件、文本或消息，以及识别犯罪者的信息），该服务提供商则有义务在 10 天内作出答复；《欧洲数据保全令》允许成员国的国家机关要求通信服务提供者保留特定数据，以便日后提取。简言之，《电子证据条例》允许执法官员更快地从其他国家获得电子证据，虽然目前该条例因为隐私争议而尚未获得绝对支持。2018 年 4 月，联合国公布的《跨境提取电子证据实践指南》持谨慎态度，在充分尊重国家主权的情况下对个别情况下的直接取证进行了试探性规定。从跨域执法数据协作问题本质来看，其更适合在国际平台上进行讨论。目前出现最大的突破是在特定情形下，允许外国执法机关直接向位于某国国内的通信服务提供者调取数据。这种新机制对传统形式的通过司法协助请求，依赖被请求国机关调取数据的方式形成了冲击，而深藏在其背后的是对国家主权是否延伸至网络空间的判断。尽管从目前各方发布的规范来看，还都是框架性规范，但已揭开了数据跨境执法协作改革的序幕。

我国加速推进数据保护治理

自 2016《网络安全法》首次在法律层面构建了个人信息保护较为完整的法律制度闭环后，我国法律层级的数据保护制度建设步入加速期，这其中既包括网络法，也包括传统法，并兼有公法与私法视角。

9 月，民法典的首编《人格权编（草案）（征求意见稿）》面向全社会公开征求意见。内容包括隐私权、个人信息保护和民法视角的保护机制。但从公布的条文看，其将民事主体的姓名、名称、肖像、隐私、个人信息的并列提法，似乎显露了在民法理论层尚未厘清隐私与个人信息之间的交叉重叠关系。此外，草案对《网络安全法》中的个人信息保护条款多有复制，这引起了作为私法体系的《人格权编》与公法体系的《网络安全法》的相互关系问题。同月，全国人大公布十三届全国人大常委会立法规划，其中《个人信息保护法》《数据安全法》一并列入第一类立法项目，集中代表了我国公法体系对于数据安全问题的关注。但结合《人格权编》带来的私法与公法规则的关系问题，我国将面对《个人信息保护法》与《数据安全法》两套公法规则体系的协调与统筹问题。

不同性质法律规范的重叠交叉揭示了我国正处于一个微妙的历史变化期—— 从“个人信息保护”向 “数据治理”转变，“数据治理”正在以更宏大的议事命题浮现，形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。

电商法

2018 年 8 月，《电子商务法》历时五年终获通过，对个人信息保护规则做了进一步细化。例如要求经营者对于用户查询、更正、删除用户信息以及用户注销的方式和程序进行明示，且不得设置不合理的条件使上述权益无法实现等。而在实践中，作为电商应用的高频场景，大部分电商平台自身也支撑用户查询、修改包括名称和收货地址在内的个人信息，对个人订单也可轻松实现删除等操作。但对于“删除”“注销”功能如何与数据留存等安全性义务相衔接，还需做探讨。

在年初电子商务法最后的审议阶段，媒体报道称携程利用大数据“杀熟”，老用户通过平台预订酒店的价格比新注册用户高，并形成网络舆情热点，各类 OTA 平台都被公众质疑存在“杀熟”，甚至包含“动态调价功能”的滴滴。电商法对此迅速做出反应，增加反歧视条款，第十八条第一款规定：“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。”虽然根据适用场景规定，本条被限制在提供搜索结果的情形，且“平等保护消费者合法权益”的表述本身存在争议，但这反映出数据歧视问题已引起立法关注。

实际上，围绕数据歧视问题的讨论在西方已持续了二十多年，而围绕歧视本身的讨论则更加久远。“歧视”在经济学中本是个中性化表达，差异化是市场竞争的本质。市场中存在多样性的“歧视”，不同的歧视具有不同的效果，甚至有时候“平等对待”反而导致“不公正”。法律上所讨论的是，究竟哪一种歧视是不可被接受的，并应当受立法所规制。美国联邦贸易委员会（FTC）在 2016 年 1 月发布了《大数据：包容抑或是排斥工具》报告，表明了如果大数据分析基于种族、肤色、性、性别、宗教、身体残疾状况、基因等因素做出差别对待，则会有较高的法律风险，即典型的违法歧视行为。

除此之外，目前公众关注的是，基于数据分析得出消费者的消费需求强烈程度、消费能力的大小，从而形成的价格歧视问题如何解决。同时，消费者在价格歧视中并不是完全被动的，周密的数据定价策略，短期内可以增加商家利润，但长期内却会导致市场“双输”。这意味着除了典型的有失公平、甚至带有欺诈性的数据歧视，需要予以法律规制外，基于数据分析的价格差异化问题带来的消费者保护问题仍需要深入研究。

最高法典型案例关注个人信息泄露侵权

8 月，最高人民法院发布第一批涉互联网典型案例，旨在进一步统一裁判标准，为涉互联网案件审理提供参考。其中，庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案，明确了由于航空公司、网络购票平台疏于防范导致消费者个人信息泄露，应当承担相应的侵权责任。

以庞案为例，一审法院败诉而二审改判的关键在于，二审法院在因果关系的证明上采用了不同的责任分配方式，二审法院采取“高度盖然性”理论来重新分配原被告双方的举证责任，解决了案件中原告举证难的问题，即在排除受害人自己泄露或者其他泄露途径的可能性之后，由具有高度的泄露个人信息可能性的被告负举证责任，极大地减轻了受害人的举证负担，从而更有利于保护个人信息。庞案背后反映了当下公民对个人信息侵权的损害赔偿需求正在不断增加，而法院也面临着如何确定侵权事实的难点。但在大数据时代，信息采集渠道日益多元化的背景下，此类问题将面临更大挑战，需要在侵权法上找到新的出路。

个人征信业务尘埃落定

2018 年 1 月，央行发布《关于百行征信有限公司（筹）相关情况的公示》，宣布受理了“百行征信有限公司（筹）”的个人征信业务申请。5 月，由中国互联网金融协会牵头，芝麻信用、腾讯征信、前海征信、鹏元征信等 8 家民营征信机构入股的百行征信在深圳揭牌，百行征信的建立是对中国个人征信服务市场的一次重大重塑，也是 2015 年开始的个人征信业务牌照准备实验的终点。

“百行征信”由中国互金协会持股 36%，8家机构各持股 8%，并且不再单独从事个人征信业务，原有部分征信业务将剥离并入百行征信，其他业务可存续为数据服务公司，通过这种方式，让个人征信方面的主要工作和方式聚焦在共商、共建、共享征信平台上。截至 2018 年 9月底，百行征信已经与 241 家机构签署了信用信息共享合作协议，涵盖网络借贷信息中介机构 (P2P)、网络小额贷款公司、消费金融公司等。百行征信将与国家金融信用信息基础数据库错位发展，在功能上实现互补。

监管层对于替代数据（非信贷数据）采集和使用的关注，有利于更大范围的数据服务行业的规范和治理。而对于数据平台或数据服务机构而言，哪些是个人征信牌照范围内允许的业务，哪些是非持牌机构不能涉足的，尚待进一步明确。

监管推动下的行业自律发展

2018 年 5 月，个人信息保护领域的推荐性国家标准《信息安全技术个人信息安全规范》（以下简称《规范》）正式实施。《规范》明确了个人信息的收集、保存、使用、共享的合规要求为网络运营者制定隐私政策及完善内控提供了具体指引。同月，中国银保监会发布《银行业金融机构数据治理指引》，将《规范》也同步纳入银行业金融机构的合规标准体系。

以《规范》为基础，7 月，中央网信办、工信部、公安部、国家标准委四部委推进隐私政策评审工作。8 月，信安标委主导的第二次隐私条款专项评审工作开始，评审选取了与人们日常生活紧密相关、具有较大用户数量的 30 款网络产品，试图通过第三方评估来引导企业提高数据处理透明度。11 月，中国消费者协会发布《100 款 App 个人信息收集与隐私政策测评报告》，对包括通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化的 10 类，共计100 款 App 进行个人信息收集与隐私政策测评，结果表明过度收集或使用个人信息的情况仍较为普遍，特别是“位置信息”“通讯录信息”“身份信息”和“手机号码”等敏感信息更容易被过度收集。

这些由监管部门、消费者组织发起的自律性活动，提高了全社会层面对于数据保护问题的关注度，也促使企业、政府、医院、学校等开展个人数据处理的机构，在数据保护方面进行更多的投入。

作者 >>>

王融，腾讯研究院资深专家，研究方向为个人信息保护法、网络与信息安全法。

余春芳，中国政法大学 2017 级比较法学专业硕士研究生，研究方向为中美比较民商法。