带你读《数据自治》第二章数据治理2.2数据治理体系（二）

2.2.1.1               欧盟国家——监管导向模式

西方各国一直比较重视个人隐私，从 20世纪 70年代就开始陆续建立个人数据保护法制。作为目前世界上对个人数据监管最严格的组织，欧盟一直将数据权利作为基本人权进行保障，对数据采取严格的强监管模式。1995年，欧盟制定《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（简称《数据保护指令》），制定了保护个人隐私的相关标准，2011年，又发布《电子隐私法令》，扩大了个人数据隐私的保护范围。

2018年，欧盟出台《通用数据保护条例》。作为“欧盟最严数据保护条例”，GDPR是对 1995年《数据保护指令》的补充和升级，在原来的基础上，结合当今的信息技术发展，针对个人数据隐私保护制定了新的规范和标准。为了更好地执行条例，2017年，欧盟第 29条工作组发布了《数据可携权指南》《数据保护专员指南》

《主管机构指南》，详细解释了 GDPR涉及的数据持续控制权、数据保护专员、主监管机构义务等内容。GDPR在个人隐私数据保护发展史上具有里程碑的意义，意味着欧盟对个人隐私数据的保护和监管达到了前所未有的高度。在数字全球化的今天，在欧盟监管范围内的个人数据可以说遍布全球，这也意味着，全球个人隐私数据管控进入了新时代。

一方面，欧盟构建GDPR立法体系，加强了欧盟内部对个人隐私数据的保护，提升了数据主体对数据的控制地位，保障了个人数据在各组织内的权利，引导个人数据处理主体进行更加合规的数据处理措施；另一方面，通过GDPR，欧盟构建了世界范围内的数据隐私保护体系，且作为最先也是最严格的标准制定者，欧盟成功在数字市场中占据了强势地位^[5]。

（1）数据跨境流动

网络信息技术的发展使得数据可以在世界范围内进行传播，数据的跨境流动也使得数据权属、数据隐私保护面临极大的挑战。GDPR在数据跨境领域的核心内容是限制欧盟境内数据跨境流出，对数据流向的第三国进行严格的数据安全评估，建立充分性保护认定机制，确保数据主体的权利不受到侵害^[15]。同时，GDPR与欧盟内其他法令（如《2016年网络与信息系统安全指令》《涉刑事电子证据生成和存留命令条例（建议稿）》等）结合起来，共同构建欧盟数据治理法律体系，形成欧盟数据攻防机制。

GDPR的出台明确了数据主体的权利，减少了数据利益相关者之间的主权冲突，规范了数据流通市场。在宏观层面，GDPR根据领域、行业、发展现状的不同，对公民权利、经济自由、数据主权、公共安全进行取舍，制定了动态平衡标准，提升欧盟内部市场的价值位阶，加强数据攻防力度，建立数据跨境传输的全球化管控机制[14]。

（2）隐私数据保护

对于个人数据，GDPR将欧盟数据治理的制度规范扩展到处理欧盟主体个人数据的所有外国主体，扩展了个人隐私数据保护的范围；此外，GDPR还创新性地赋予了公民一系列新型“数字权利”，包括被遗忘权、数据可携权等。为了保障个人数据保护能够真正落地实施，GDPR还规定了对违规主体的惩罚措施，作为当前世界上最严格的个人数据保护条例，引领了高额处罚的国际潮流^[14]。GDPR强化了个人信息保护的力度，个人隐私数据权利不仅可以对抗企业组织，还能跨境对抗域外执法力量，极大地减少了地域在个人数据保护方面造成的阻碍，使个人数据安全跨上新台阶。

欧盟保护隐私数据的历史悠久，从 20世纪 70年代就开始搭建欧盟个人隐私数据保护法律框架，1995年之后，更是多次发布隐私数据保护方面的条例，进一步完善了个人数据安全保护法治体系。部分法律条例及其内容见表2-3。

表 2-3欧盟隐私数据保护相关法案

（续表）

近年来，欧盟各国除了共同遵守GDPR之外，也都开展了各自国内的个人隐私安全保护。比如，2015年，德国通过了《电子医疗法案》，加快医疗保健行业的数字化进程，同时，德国监管机构将在 2020年实施以下措施：按照企业年营业额以及违法行为的严重程度处以不同金额的罚款，并根据GDPR实施经验对 GDPR做出调整，以简化法律框架；2018年 5月，丹麦开始实施《丹麦数据保护法》，之后，立法和数据监管的重点也一直放在数据隐私的影响上面。

2.2.1.2               中国——平衡导向模式

2014年以来，大数据在我国越发受到关注和重视，2015年 10月，党的十八届五中全会提出实施国家大数据战略和网络强国战略，推进数字化在政治、经济、文化等领域的全面发展。大数据在各领域的蓬勃发展提升了行业信息化水平，为传统行业注入了新的生机与活力。但同时，大数据的飞速发展和信息化水平的提高也使得信息泄露的风险大大增加，数据的跨境流动和个人隐私数据安全受到前所未有的冲击。

为了防范数据泄露风险，保障数据信息安全，我国也相继出台法律、文件等规范标准，构建不同于美欧的、以平衡为核心的数据治理体系，通过立法和市场发展，在数据的发展和风险之间寻求平衡点，实现我国的大数据安全发展目标。

（1）数据跨境流动

针对数据的跨境流动带来的机遇与风险，我国在逐渐完善数据跨境流动管理制度。《网络安全法》针对关键信息基础设施数据提出了出境安全评估要求，此后，相关主管部门通过规章或规范性文件、标准等不断完善我国数据跨境流动管理政策体系，对涉及政府信息安全、国家秘密、征信业、互联网地图服务、网络借贷、个人金融和人口健康等领域的特定相关数据规定了不同程度的本地化要求和跨境限制，具体内容见表2-4。

表 2-4中国数据跨境流动相关法案

除了国家加强构建个人信息和重要数据出境法律管理体系之外，行业内也针对重要数据纷纷开展数据出境管理实践。前期的行业管理实践主要集中于关键信息基础设施所处重要行业领域、信息通信服务领域，主要规定了数据存储是否必须限定在境内、数据留存时间的最短时限以及对数据出境的禁止性规定。如在关键信息基础设施领域中的金融行业方面，中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》明确规定：在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。

在信息通信服务领域中的网络约车行业方面，交通运输部、工业和信息化部等七部委共同颁布的《网络预约出租汽车经营服务管理暂行办法》规定：网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据应当在中国内地存储和使用，保存期限不少于 2年，除法律法规另有规定外，上述信息和数据不得外流。

《人口健康信息管理办法（试行）》禁止在境外存储人口健康信息；《保险公司开业验收指引》要求保险公司的业务数据、财务数据等重要数据应存放在中国境内；

《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。此外，《地图管理条例》《网络出版服务管理规定》等都提出了不同程度的数据本地化要求。

面对数据跨境流动，我国秉持着平衡发展的理念，从立法和行业监管两方面开展个人数据和重要数据的出境管控。一方面，允许符合规则、通过安全评估的非重要数据和个人数据出境，支持经济全球化的发展，在数据经济战略的支撑下，积极开拓我国的境外市场；另一方面，对数据义务主体和数据监管主体的责任和义务进行严格的要求和限制，在不阻碍我国数字经济发展的同时，构建完整、全面、有效的数据出境保障体系，保护重要数据与个人数据安全。

（2）隐私数据保护

随着大数据在我国的广泛应用，个人信息安全问题成为公众关切的焦点议题之一。近年来，我国积极构建个人隐私保护法律体系，对于个人信息，尤其是网络个人信息，通过加强数据使用主体的责任建设和数据监管主体的监管力度，为个人信息保护提供法律支撑。

2000年通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》首次涉及个人信息保护，但主要涉及侵犯公民通信自由和通信秘密的内容，而非全面的个人信息保护。2003年，原国务院信息化工作办公室已对个人信息立法研究课题进行了部署，并于 2005年形成专家意见稿。2017年，与个人信息保护相关的内容被写入《民法总则》：“自然人的个人信息受法律保护。”这是我国民事基本法对个人信息保护的首次明确规定，也为后续个人信息保护的相关立法（如《个人信息保护法》）的出台奠定了基础，与行政、刑事法律领域的有关个人信息保护的法规形成全方位的保护体系。

时至 2017 年，在我国现行的法律法规中，含有个人信息保护相关描述的法律有110部，行政法规有 177部，地方法规规章有 7191 部，部级规章及文件有 940部，司法解释及文件有112部。

2017年底，《中华人民共和国个人信息保护法（草案）》公布，明确了个人数据主权，对组织收集、处理和利用个人信息的资格和方式进行了严格限制，并明确了法律责任，这是我国目前最新的个人信息保护专有法律，结合当前信息系统与网络安全的实际需求，为个人信息安全保护指明了发展方向。

2019年，我国出台了《数据安全管理办法（征求意见稿）》（以下简称《办法》），提出了与“网络安全”相对的“数据安全”的概念，将某些行业实践上升为法律规      范。《办法》对网络运营商收集重要数据或个人敏感信息的组织机制、收集流程等做出限制，进一步加强了对个人信息主体的保护。

从法律法规中分散涉及个人隐私保护，到专门的个人隐私数据保护立法，我国个人数据保护法律体系已见雏形。随着数据战略实施的深入，个人隐私数据保护的重要程度日益加深，健全与数据隐私保护相关的法律法规体系成为我国推进数字经济发展的重要目标。