原标题:数据流动和保护 怎样在新片区落地
在上海自贸试验区临港新片区里,“信息快捷联通”非常重要。为此,特别强调了两个试点:一是试点开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制;二是开展国际合作规则试点,加大对专�利、版权、商业秘密等权利和数据的保护力度,主动参与引领全球数字经济交流合作。
实践中,可以在以下两方面予以重点建设:
第一,数据保护能力认证建设。
数据保护能力主要是针对公司等数据控制者、处理者而言。具体要求包括,做好公司信息合规和内控工作,建立适当的数据保护能力,落实必要的管理及技术措施,防止存储于公司的个人信息遭遇泄露、毁损和灭失等情形。
欧盟《通用数据保护条例》的一个突出特点,就是正式引入数据第叁方认证制度。这种认证是自愿的,程序公开透明。颁发给数据控制者或处理者的认证时效,最长不超过3年,可以申请续展。认证机构需要符合一定条件,如证明在认证方面具有独立性和专�业性、认证标准得到监管机构或理事会批准等。
取得数据保护认证的公司,意味着合规性和安全性程度更高。特别是对于那些小微公司而言,取得认证后更容易获取用户的信任和支持,能够大大增加客户的认同度。
需要指出的是,临港新片区在引入数据保护能力认证体系时,应与行业协会、公司和消费者代表作密切沟通。认证制度毕竟是基于数字市场衍生出的一种评价体系。引入一个新制度,不应增加成本,而更应注重制度落地的实际效果。
第二,跨境数据流通和交易风险评估机制建设。
按照规定,个人信息控制者需定期(每年至少一次)开展个人信息安全影响评估。评估的内容涵盖个人信息的收集、处理、共享、转让、公开等环节对个人信息主体合法权益可能产生的不利影响,在此基础上形成个人信息安全影响评估报告。
跨境数据流通和交易风险评估理应成为个人信息控制者安全影响评估的重要内容。特别是,涉及数据出境的信息控制者,应设立专�项评估审查事项。
从世界范围内来看,数据保护存在两大模式,即欧盟模式和美国模式。
欧盟十分注重国家、政府、监管机构在个人信息保护中的作用,不仅制定适用于所有领域的统一的、严格的、高标准的个人信息保护规则,而且设立了专�门的信息保护监管机构和数据保护执法机构,并在公司内部推行设立个人信息保护专�员,从而构建了一套从内到外的监督管理体制。
相比��之下,美国更注重信息的流动价值,针对公共部门的个人信息收集、处理和使用的管控较为严格,但对非公共部门则更加强调自律。作为信息产业大国,美国推崇信息的流动、利用,认为这是推动产业发展的动力源泉。
应该说,上述两种立法模式各有其优劣。不分公、私领域的综合性信息保护立法,有利于个人信息得到全面、一体的保护;行业自律模式则更强调信息自由流动,能够大大提高信息使用的经济价值。
然而,美国放任行业自律模式,被普遍诟病为个人信息保护程度低,忽视了个人信息的社会价值;在执行体制上,以自律和自力救济为核心,缺乏必要的外部监督机制。欧盟的严格监管模式,无疑会增加公司的负担,甚至压抑公司的创新发展。同时,这种自上而下的监管体制,面对日益复杂的信息处理,逐渐凸显机械性和滞后性。
为了缩小两种不同数据保护模式的差异性,美国商务部与欧盟委员会共同提出了“安全港隐私原则”。但出于对美国情报机构的担忧,欧洲法院最终裁定决定无效,导致安全港协定失效。此后,美国和欧盟于2016年2月就跨太平洋数据流动达成新的框架协议,即隐私盾协议。
就临港新片区开展数据保护领域的国际合作规则试点而言,现阶段比较切实可行的是构建“一带一路”相关国家和地区数据保护的区域性多边协议,充分发挥区域地缘化优势。在此基础上,积极参与全球跨境数据传输规则及数据保护标准的制定,强化国际组织如经合组织、亚太经合组织、联合国等提出的对于个人数据保护的基本原则。
(作者单位:上海对外经贸大学)
(责编:孙爽、艾雯)
