数据保护法律法规与数据保护

来源：核心期刊咨询网时间：2017-07-20 17:0312

摘要：这篇经济师职称论文投稿发表了数据保护法律法规与数据保护，论文在研究美国、欧盟、俄罗斯、新加坡等国数据保护相关法律法规的基础上，从数据主体、数据控制者、数据监管者三个层面，梳理出数据保护涉及的相关要点，并比较了美国、欧盟、澳大利亚、新加坡各国

　　这篇经济师职称论文投稿发表了数据保护法律法规与数据保护，论文在研究美国、欧盟、俄罗斯、新加坡等国数据保护相关法律法规的基础上，从数据主体、数据控制者、数据监管者三个层面，梳理出数据保护涉及的相关要点，并比较了美国、欧盟、澳大利亚、新加坡各国在法律法规中界定这些要点时的不同策略和思路。

　　关键词：经济师职称论文投稿,数据主体,数据控制者,数据监管者,数据保护

　　数据保护是大数据安全的重要基础和组成部分。通过分析美国、欧盟、俄罗斯、新加坡等国数据保护法律法规可以看出，尽管各国制定相关法律法规的思路和策略不同，但涉及的要点是基本一致的。本文旨在梳理数据保护法律法规所须界定清晰的要点，为我国制定和出台数据保护相关法律法规和行政规章提供参考。

　　1参与方及数据保护要点

　　数据在收集、存储、传输、使用、分析、共享、交易、披露、销毁等整个生命周期中，其安全涉及到的参与方可归纳为三个，即数据主体、数据控制者和数据监管者[1]。

　　(1)数据主体：指数据所指向的自然人或组织，通常是使用信息服务的用户或客户。(2)数据控制者：指对数据进行收集、传输、存储、使用等处理行为的自然人或组织，通常是提供信息服务的个人或机构。数据控制者可以是一个或多个自然人，也可以是公司或协会等，还包括因服务外包而引入的第三方数据控制者(第三方数据控制者一般称为数据中介)。通常，数据控制者对数据拥有控制权，可决定数据处理的目的和方式。

　　(3)数据监管者：指制定数据处理政策和安全规则，监督数据处理中的安全问题，接受投诉举报，对不当行为进行处罚的机构，通常是政府部门或是有政府背景的机构。基于对各国法律法规的归纳，各国数据保护法律法规的宗旨均围绕这三个参与方，力图将其职责边界、对应的权利和义务、相关行为准则等要点界定清晰。本文以数据监管者、数据主体、数据控制者三个层面作为切入点，梳理需界定的要点。

　　2数据监管者层面

　　2.1数据保护范围

　　数据保护是有范围的，并不是所有数据控制者的所有行为，以及收集到的所有数据都需要进行保护，而应该在可监管的辖区范围内，针对需被监管的数据控制者、需被监管的行为、以及需保护的数据进行保护，数据真正需要保护和监管的范围如下图1所示。因此，数据监管者在制定数据保护法律法规时，首先应对可监管的辖区范围、需保护的数据、需监管的对象、以及被监管对象需监管的行为进行界定。

　　(1)可监管的辖区范围可监管的辖区范围是指法律法规里规定的所能管辖的数据涉及的领土范围，尤其是设立在境外的数据中心是否受到本国法律法规的监管，这也是目前业界关注的重点之一。不同国家和地区对此规定有一定的差异性。如美国、澳大利亚、中国目前的管辖范围是本国领土，也就是说，外国企业以及本国企业设在境外的数据中心，均不受本国法律法规约束。但欧盟、俄罗斯、新加坡等国家和地区则相对监管较严，如俄罗斯规定其数据保护法律法规不受领土管辖权的限制，适用于任何在俄罗斯发生的所有数据处理过程，包括所有对俄罗斯公民数据的收集和使用，而无论数据中心是否建立或位于俄罗斯境内。对于跨境的数据流，如果俄罗斯公民是对应的数据传输协定中的一方，那么该数据就属于俄罗斯的数据保护法律法规监管辖区范围。

　　(2)需保护的数据一般说来，需要监管的数据可划分为两类：个人识别信息(PII：PersonalIdentityInformation)和个人隐私/敏感数据。其中，PII是指能直接根据该信息识别和定位到个人的信息，如姓名、身份证号码、银行卡号、家庭住址等;个人隐私/敏感数据是指虽不能直接能识别和定位到个人，但通过关联和综合分析，有可能定位到个人的信息，如健康信息、教育经历、征信记录等。各国对个人隐私/敏感数据的定义不同，其保护的数据范围也就各不相同，如中国在一些部门规章中划定了个人信息保护的具体范围，而俄罗斯、新加坡等国则规定凡是和个人相关的信息，均被认为是个人隐私/敏感数据，均在保护范围内。此外，在这两类需要监管的数据中，也有因例外豁免条款成为不需监管的数据，如新加坡规定商务联系信息、已存在了100年的个人资料以及已经死去超过十年的个人数据等均不在保护范围内。

　　(3)需监管的对象一般情况下，所有涉及数据收集、存储、处理、利用的数据控制者都是被监管的对象，但各国也根据自己国情划定了可免除监管的例外条例，如新加坡规定了公民个人行为、员工就业过程中的必要行为、政府/新闻/科研等公共机构的部分行为、某些获取了明确证明或书面合同的数据中介机构等，可免除数据保护法律法规的监管。

　　(4)需监管的行为目前，美国、欧盟、中国、俄罗斯、新加坡等国均提出应对数据的全生命周期进行监管，包括收集、记录、组织、积累、存储、变更(更新、修改)、检索、恢复、使用、转让(传播，提供接入等)、脱敏、删除、销毁等行为，但各国也根据自己国情划定了可免除监管的例外条例，如俄罗斯规定了专为个人和家庭需求处理个人数据(前提是不侵犯数据对象的权利)、处理国家保密数据、依照有关法院立法由主管当局向俄罗斯法院提供相关数据等情况，则属于相应的例外豁免情形。

　　2.2监管部门及权利

　　为保证数据安全法律法规的落实，监管部门需设立相应的机构和人员，配置相应的权利，如执法权、罚则等。俄罗斯数据保护最主要的监管部门是俄罗斯电信/信息技术和大众传媒联邦监管局(Roskomnad-zor，相当于美国FCC)。此外俄罗斯政府、俄罗斯联邦技术和出口服务局(FSTEC)以及俄罗斯联邦安全局(FSS)等主管监管部门也制定一些对数据保护的特定条款。新加坡数据保护最主要的法律依据是《个人数据保护法令》(PDPA)[2]，同时为了执行PD-PA，新加坡专门成立个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作。俄罗斯的Ros-komnadzor和新加坡的PDPC均具有一定的执法权。目前，中国尚未设立专门的国家监管机构来负责约束和审判个人信息使用是否合规，只是一些涉及数据保护的行政监管部门在职责范围内进行行业监管，如工业和信息化部负责监管电信和互联网行业的个人信息、国家卫计委负责监管医疗记录和居民健康信息、国家工商总局负责监管消费者的个人信息等。

　　3数据主体层面

　　数据主体层面主要是围绕数据主体来界定数据保护要点，也就是用户在使用信息服务过程中所拥有的权利，包括数据收集/处理前被告知的权利(知情权)、授权个人数据收集/处理的权利(授权处理权)、访问/查询/更正个人信息的权利(访问/查询/更正权)、停止收集/删除个人信息的权利(停止收集/删除权)、投诉的权利(投诉权)，以及其他相关权利等。

　　各国数据保护法律法规对数据主体权利基本都进行了规定，但规定的细粒度又各不相同。如针对知情权，我国2016年11月颁布的《网络安全法》[7]规定，要向用户公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，但并没有详细规定具体的明示的形式和内容，授权同意的方式等内容。而俄罗斯则规定，针对数据主体全名/地址/身份证明ID(如护照)/身份证明的发行时间与发证机关/签名等信息、数据控制者的全名/地址/数据处理目的等关键信息，需要以书面形式给出(包括电子签名的方式)。新加坡则规定，数据控制者在收集个人数据之前需经数据主体的同意，但不指定特定的通知形式。

　　4数据控制者层面

　　数据控制者层面主要围绕数据控制者在数据收集、存储、处理等全生命周期中承担的义务，界定数据保护的要点，包括配合数据主体实现其权利的义务、确保数据安全的义务、收集数据前征求数据监管者同意的义务、向数据监管者报备数据收集和利用情况的义务、发生异常事件时的通报义务、数据境外流转/存储前向数据监管者申请的义务等。以向数据监管者报备数据收集和利用情况的义务为例，目前中国的法律法规未明确规定数据控制者处理数据前需向指定的政府主管部门申请或登记。俄罗斯规定，数据控制者在操作处理个人数据之前必须报备其主管监管部门Roskomnadzor(可提供纸版或电子版)，且报备时必须包含数据控制者的名称和地址、处理个人数据的目的和种类、数据对象的分类、数据保护人员的姓名和联系方式、用于承载俄罗斯公民数据的数据库地址等信息。Roskomnadzor接到报备后30天内对数据控制者的相关信息进行注册，并在相关网站上登记和公开[8]。新加坡则规定数据控制者在一般情况下有义务通知数据控制者，主要包括书面和口头通知两种形式;虽然PDPA并没有制定具体形式，但特别指出针对用户不了解的数据使用目的，数据控制者必须提供所有相关信息。

　　5结语

　　目前，我国大数据产业发展迅猛，已涉及能源、交通、互联网、金融、医疗、教育等多个传统和新兴领域。根据中国信息通信研究院发布的《中国大数据发展调查报告(2017年)》显示，2016年中国大数据市场规模为168.0亿元人民币，增速达到45%，预计2017-2020年的增速将保持在30%以上。同时，在大数据产业快速发展的同时，也呈现出多数企业重发展轻安全、应有的安全保护措施落实不到位、安全事件频发等问题，还有的企业过度挖掘使用所掌握的数据，甚至从事非法数据交易。这在一定程度上反映出我国数据保护相关的法律法规和政策规章还不完善。通过梳理可看出，虽然《国家安全法》《网络安全法》《全国人大常委会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规和相关部门规章制度已形成个人信息保护政策的基本框架，但监管范围、监管对象、监管内容、监管手段、执行机构、执法渠道等具体规则还需进一步细化。建议我国加快出台专门的数据保护法律法规及配套的行政法规，对数据保护范围、敏感数据定义、数据主体权利、数据控制者义务、数据共享/交易要求、数据跨境保护、罚则等进行立法规定，为落实数据保护提供法律依据。

　　作者：汪坤 单位：中国信息通信研究院

　　推荐阅读：《出版经济》坚持为社会主义服务的方向，坚持以马克思列宁主义、毛泽东思想和邓小平理论为指向，贯彻“百花齐放、百家争鸣”和“古为今用、洋为中用”的方针。

转载请注明来自：http://www.qikan2017.com/lunwen/jgu/10467.html