中国企业的董事会远没有像跨国企业一样将数据保护列入首要议事日程。这并不奇怪,中国没有专门的数据保护监管机构,仅仅最近才开始起草相关法规,对违反行为规定的罚金也很有限。鉴于中资企业和跨国公司在这方面的差异,我们有必要讨论为什么数据保护对许多企业十分重要,并探讨中国数据保护监管的未来走向。

数据保护在跨国公司非常普遍

在美国之外的地区,大部分实施数据保护的司法管辖区都遵循欧盟牵头制定的“数据保护原则”,这一原则涵盖了数据从创建到删除的整个生命周期。在使用数据的每一阶段,即收集、转移、访问和删除,都必须遵守公平和比例原则。保护原则还包括数据安全、访问以及纠正的权利。在欧盟,数据保护是一项个人权利。目前,中国保护数据的目的是维护市场秩序,增强政府对不断增加的消费者和其他业务通信中的个人数据的追踪能力。

在中国以外的发达市场,数据保护监管有时可能会有阻碍业务开发。例如:

  • 金融服务和数据保护领域的监管者常常担心,云计算会将数据传递到多个境外司法管辖区,从而可能会(1)被不当使用,并(2)不再受到第一个司法管辖区的监管。
  • 其他类型的离岸数据处理也会引发类似担忧,尽管数据使用者直接控制处理设备可以减少相关担忧;
  • 在放松市场监管时,在取得使用个人数据的同意方面的缺点可能严重制约强势企业的优势。例如,早在20世纪90年代初,英国天然气公司(British Gas)曾打算利用其广阔的客户基础向电力部门的客户推销服务(例如读表和账单服务)。然而,因为没有取得相应同意,英国天然气公司无法使用客户名单。一些英国超市在取得客户同意方面的进步快得多,因而可以更高效地使用自己的客户数据库,并领先于具有垄断性质的英国天然气公司(该公司在服务这些客户方面原本很有优势);且
  • 更广义来说,尽管近年来一些数据保护法律涉及了这个问题,如果披露方受限不能提供个人数据(比如与员工和/或客户有关的数据),围绕并购活动开展的尽职调查可能严重受阻。

数据法还可能引发声誉管理的一些大问题,对直接面向客户的企业来说尤其如此。特别是欧洲等地区的监管机构在这方面已加强监管,对数据保护违规行为开出的罚单金额越来越大。

中国的数据保护方法

与此同时,中国目前的数据保护分散且仅覆盖少数部门。2010年生效的《侵权责任法》首次对数据保护作出了明确规定。《侵权责任法》第二条认定隐私权属于“民事权益”范畴,首次将隐私视为“权利”而非“义务”。

《侵权责任法》规定“网络用户、网络服务提供者侵害他人民事权益的”,应当承担侵权责任。

2012年,全国人大常委会发布了《关于加强网络信息保护的决定》(《决定》)。该《决定》目前仍是中国数据保护方面最高级别的法律。这份文件对“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息”作出了相关规定。随着在线服务的发展,尽管这部法律仅适用特定部门而非普遍适用,但是它覆盖了一大部分消费业务,适用范围也会越来越广,在中国和所有其他与互联网紧密相关的市场都是如此。

2012年《决定》的另一个要点是要求网络消费者仅提供“真实身份信息”。这对北京控制互联网活动非常重要。然而,其他司法管辖区,即使是在欧盟内部,在这一点上显示出鲜明的对比。德国坚决捍卫用户在线匿名的权利,并将其写入数据隐私法。而同为欧盟成员国的爱尔兰,按理是解释相同的数据隐私指令,却和中国一样不允许网络用户使用假名。这导致了一家德国数据保护监管机构与依据爱尔兰法律经营的脸谱网站(Facebook)之间的诉讼激战。脸谱当然希望获得其用户的真实身份信息,因为这些个人信息对脸谱有巨大的商业价值。

工信部监管文件

2011年,工信部通过了《规范互联网信息服务市场秩序若干规定》(《规定》),适用于所有互联网信息服务供应商。事实上,《规定》符合经济合作与发展组织(OECD)数据保护监管的许多相关指导意见。此外,《规定》包含了一些最新隐私原则,这是一些数据保护更成熟的司法管辖区没有规定的原则(比如,关于收集最少个人信息和数据泄露报告的要求)。

2013年工信部通过了《信息安全技术公共及商用服务信息系统个人信息保护指南》(《指南》)。该《指南》为自愿遵守性质,因此在法律界的影响很小。这份文件涵盖范围广,覆盖了“通过信息系统进行个人信息处理”的过程;对数据导出、敏感数据(规定的敏感内容比欧洲的广泛得多)作出了详细的监管规定;也包括数据主体访问和纠正不准确数据的权利。

同年,工信部又通过了《电信和互联网用户个人信息保护规定》(2013年《规定》),适用范围比2011年的《规范互联网信息服务市场秩序若干规定》更广,针对互联网信息服务提供者和“电信业务经营者”作出了相关规定。2013年《规定》首次包括了对“个人信息”的全面定义(有人指出,这一定义源于欧盟法律)。2013年的《规定》为中国互联网和电信部门建立了相对完整的数据保护制度。

同样是这份文件对违规行为仅处以三万元以下的低额罚款。文件还规定,通过公告、承认滥用个人信息的不当行为(至少大的消费品牌需要)和相应的声誉损失,对违规者进行“通报批评”。

中国数据保护渐入佳境

由于没有全方位的数据保护监管机构,数据保护监管的协调性有所降低,尽管如此,中国的数据保护势头良好。例如:

  1. 银行监管机构禁止对外输出客户数据已有数年的时间。但是中国的银行往往希望外包数据处理业务,这使得一些银行向监管部门要求网开一面,允许跨境传输数据,可能此前需要先对离岸数据处理做出严格保证;
  2. 云服务的发展受到了极大的推动。国内的主要数据中心是重庆数据中心,用以进一步推动开发国内外云服务市场。这将为中国数据保护监管带来挑战;
  3. 电子商务同样快速增长,阿里巴巴集团主席马云预测这一领域可能仍有数十年的上行时间。中国电子商务的主要参与者很可能坚持高标准遵守数据保护规定,以将竞争品牌甩在后面。

中国各地区的数据监管规定有所不同,增加了合规的复杂性。例如:

  1. 江苏省有专门的数据保护相关法律;并且
  2. 上海和河南有现行的额外消费者保护规定。

数据保护缺乏国际协作

中国的数据保护法律法规不健全,因此似乎有充分理由批评中国的政策制定者,但世界上其他地区大概也半斤八两。

亚洲的数据隐私法律五花八门,各司法管辖区为赶超自己的邻居,导致规定不断变化。数据监管的内容随着时间(及基础技术和观察到的威胁)而变化。在隐私方面,一种文化认为至关重要的问题另一种文化可能唯恐避之不及。例如,瑞士恪守银行保密制度,而意大利税务部门很长一段时间都公开个人的纳税申报单。

亚太地区各司法管辖区的数据保护状况如下:

  1. 早已实施数据保护(如台湾)和未实施(越南);
  2. 怠于执行(1996年到2010年香港实际没有执行相关法律,但自从发生为营销目的滥用数据的重大案件之后,现已开始更加积极执行)和奉为圭臬(韩国的数据保护法律某种程度上比欧盟的“黄金标准”指令性更强);
  3. 相比有统一法律的澳大利亚,一些司法管辖区的规定不成体系(目前中国属于这一种);以及
  4. 可与欧盟媲美(比如新西兰),也有一些地区需要迎头赶上(除新西兰外的其他地区)。

国家

法规

颁布日期

近期进展

澳大利亚

《隐私法》

1998年

201211月通过了2012年《隐私法修正案》,对《隐私法》的修订于20143月生效

中国大陆

  • 《关于加强网络信息保护的决定》
  • 《信息安全技术公共及商用服务信息系统个人信息保护指南》

2012年 - 2013年

20134月发布《个人信息保护规定(征求意见稿)》

香港

《个人资料(私隐)条例》

1996年

20126月制定《个人资料(私隐)(修订)条例》

印度

《信息技术法》

2000年

印度尼西亚

多项法规

2012年

日本

《个人信息保护法》

2005年

韩国

《个人信息保护法》

2011年

马来西亚

《个人资料保护法》

2010年

马来西亚于2010年通过了《个人资料保护法》,并在20131115日生效

新西兰

《隐私法》

1993年

欧盟委员会宣布,根据《欧盟数据保护指令》,正式认可新西兰在数据保护方面为个人数据提供了充分保护

菲律宾

《资料隐私法案》

2012年

新加坡

《个人信息保护法》

2013年1月

-《条例和指南(草稿)》公开征求意见日前已结束

- 关键的数据保护义务于2014年年中实行

台湾

《电脑处理个人资料保护法》

《个人资料保护法》

1995年

2012年

《电脑处理个人资料保护法》对学校、医院、电信业、金融业和保险业进行监管

2012年《个人资料保护法》 适用范围扩大至所有行业

泰国

暂无

正在讨论起草有关数据保护的立法

越南

暂无

数据泄露

与数据保护的其他方面一样,一个司法管辖区对有关数据泄露通知的法律响应往往出于为当地考虑:

  1. 2005年,美国公司ChoicePoint向一家犯罪分子伪装成的公司泄露了145,000条个人资料,陷入安全漏洞风波。ChoicePoint收集了数百万消费者的信息。泄露事件发生后,ChoicePoint仅按加利福尼亚州法律要求通知了加州消费者,但未通知同样受到影响的其他地区的居民。非加州居民开始控诉受到了不公平待遇,各州随即纷纷制定有关数据泄露通知的法律。但由于缺乏协调,各州采取的做法各异(如什么情况应当通知,应向哪些人发出通知,以及不遵守规定面临什么处罚);
  2. 英国曾发生一系列公共领域数据泄露事故,涉及医疗和儿童信息。但是关于数据泄露通知,目前尚未作初步要求。
  3. 香港同样发生了很多已公开的数据泄露事故,既涉及公共领域,如香港医院管理局雇员使用包含大量敏感个人资料但未加密的USB,也涉及金融服务领域和商业领域,如伟易达电子玩具产品导致儿童数据丢失。香港法律对数据泄露通知未作规定。

但是,《通用数据保护条例》于2018年5月25日生效后,欧盟将发生方方面面的变化,此后:

  1. 数据控制者须(在知悉数据泄露后72小时内)向所在司法管辖区数据保护监管机构报告大多数数据泄露事故。
  2. 违反规定或将面临2,000万欧元或全球营业收入4%的罚款,以较高者为准。

数据输出

无论是跨国公司还是处于单一司法管辖区的公司,无论是向境外客户提供服务还是在境外处理客户数据,跨境数据传输同样十分重要。

由于尚未形成国际数据保护准则,限制数据输出至关重要。不同司法管辖区采取了不同的做法:

  1. 一些司法管辖区采取完全限制的做法,监管机构必须时刻阻止数据向境外传输。这项严厉措施可能会为辖区内需求复杂的数据用户造成极大不便;
  2. 其他司法管辖区的监管者愿意在数据主体表明其知情同意的情况下允许向境外传输数据。通常难以预先判断什么构成充分同意;及
  3. 近年来,一些司法管辖区正在试图借助域外执法力量监管数据的境外传输。澳大利亚是其中的代表。尽管目前难以确切预测域外执法将发生多大作用,这些司法管辖区期望足够多司法管辖区采取这种做法后,利益互惠会促使司法管辖区执行其他有需求的司法管辖区的数据保护法律。

欧盟-多管齐下

对于向境外传输个人数据,欧盟采取或允许使用不同方式相结合的方法:

  1. 一些司法管辖区经欧盟认可制定了足够相似程度的数据保护法规,则可登上白名单,接收欧盟向其传输的数据,无需遵守进一步审查程序(例如,安道尔、阿根廷、加拿大(商事组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士和乌拉圭);
  2. 在数据输出方和接收方已采纳规定形式的数据输出合同的情况下,允许进行数据传输;
  3. 一些欧盟数据保护监管机构倾向使用“有约束力的公司规则”,无论在哪一司法管辖区使用数据,跨国公司都将受法律制约,以特定方式对待其处理的所有个人数据;
  4. 已获得知情同意;及
  5. 为方便欧盟向美国转移数据,美国接收方已签署《欧盟-美国隐私盾》(替代失效的《安全港协议》)。

中国大陆在向境外传输数据方面的做法

对于银行客户的个人数据以及大多数员工的数据,中国大陆目前完全禁止向境外传输。对于其他类型个人数据的跨境传输,则未作明确规定。

香港的相关措施仍待出台

香港《个人资料(私隐)条例》第33条仍未生效,然而这一条例早在20年前就已颁布!

第33条的规定与欧盟实行司法管辖区认证的方式作用大体相同;制定一系列标准条款,以及取得适当主体同意的让步规定。数年来,政府一直在征询意见以推进落实,但是目前尚未取得成果。此外,隐私专员仅能在取得资料主体同意的基础上监管向境外传输的数据。

被遗忘权

数据隐私实践正在以各种不曾预见的方式发展。

2014年,欧洲联盟法院作出判决,互联网搜索引擎运营商应负责删除由第三方刊登但其网站搜索结果中包含的个人信息。该搜索引擎公司有义务删除搜索到的资料的内容,理由是这些搜索结果是不相关、不再相关或视为过多信息。

这一过程涉及相当大量的监管。

由此引发的一个问题是其他司法管辖区是否有意效仿。尽管香港隐私专员公署不可能立即将其纳入香港法律,但至少对此表露出了短暂兴趣。而中国大陆看来绝不可能制定有关“被遗忘权”的法律。

结论

简而言之,数据保护领域受到严格监管。在数据保护方面,跨国公司需要涉及多个司法管辖区的建议。在一些司法管辖区(尤其是欧盟),如今违反数据保护法规可能面临的罚款与反垄断方面施加的罚款相当。网络安全风险是一个普遍问题,中国已充分认识到这一点。

总之,有关数据保护的监管建议日渐增多。