大数据下个人信息法律保护研究

延边大学 崔龙哲，李松虎

一、欧盟通用数据保护条例考察

（一）GDPR概要

2016年5月，欧盟（EU）为了可以让其成员国内的个人信息自由移动且强化保护信息主体，颁布了通用数据保护条例（GDPR），因此，从2018年5月25日开始，GDPR代替了1995年的欧盟个人情报保护指南（Directive），开始适用。

GDPR的制定目的在于保障自然人的情报的个人隐私权（第一条第二项），同时使EU内的个人情报可自由移动（第一条第三项），在以往的Directive体系里，会员国之间的个人情报隐私相关体系相异，从而时常发生冲突，企业在移动使用处理个人信息的时候问题频发，GDPR的制定是把指南上升为条例的高度，使其成为了强有力的、统一的规定，使其拥有了法定强制力。但在某些部分GDPR还是留下了一些余地，以便让成员国可以根据自身情况进行相应立法。

（二）GDPR主要内容及特点

GDPR本文由11章（Chapter）、99个条款（Article）、173项（Recital）构成，具有强制力，适用于全部EU成员国。

GDPR所带来的主要变化是一方面让企业制定个人信息保护责任人（DPO,Data Protection Officer），以及进行相应的效果评价来强化企业的责任，另一方面，增加了删除权等权利来强化信息主体权利，而所有会员国需以统一的基准来支付违约金。

特别是现今成为热点的数据假名化可以影响大数据、AI等，GDPR的适用包含数据假名化，这使得数据处理者可以适用这些假名化的数据，因此，数据处理者可以以不同于最初收集数据的目的，使其被使用与别的目的，如为了公益的记录保留、统计，科学研究等方面，数据假名化可以把数据本身所带有的可识别个体的效用抹除，使得数据主体避免隐患，信息处理者也可以处理更多有用的数据。

（三）个人情报跨国转移

GDPR第五章规定了个人情报的跨国转移，第44条规定了除特例外个人情报的转移必须遵守GDPR第五章的规定。

GDPR第101项强调为了国际贸易与国际合作的个人情报的跨国转移的不可避免性，一般原则也明示了GDPR所保护的强度不会随着跨国转移而有所减弱，但同时，这些规定也给我们带来的一些值得思考的研究点。

GDPR所规定的数据域外转移可分成三个部分：

（1）基于充分性保护决策（Transfers on the basis of an adequacy decision）

（2）基于适当的保护水平(Transfers subject to appropriate safeguards)

（3）基于数据主体的明确同意或履行合同所必需等特殊情况(Derogation for specific situations)

可以得到个人情报主体的统一的特定状况包含在3的情况，而要想在EU进行个人情报跨国转移，需以1为原则性准则，即符合给予充分性保护决策。

参考1995年的Directive的话，EU成员国的成员想要把数据转移到成员国之外的国家的话，以转移对象国可保障适当的个人情报数据为原则上的条件（Directive第四章规定），这同时也意味着适当性评价不是唯一方法，如可以通过BCRs等也可以转移，Directive也规定了转移后的再次转移（转移到第三国或国际组织）的情形，但是只规定了一部分，而GDPR的规定相对完善很多。

1.基于充分性保护决策的转移

所谓基于充分性保护决策是指当EU内的个人情报转移至域外第三国或国际组织之时，根据欧盟委员会的判断，衡量对象国的个人情报保护水准与EU相关制度相比处于充分适当的保护水准（adequate level of protection）之时可转移的决策。

得到认可的对象国可像EU成员国内互相转移情报一样也可以不受限制的转移情报，而进行评价时，应当要周到考虑GDPR第45条第二项的各种要素，不仅如此，欧盟委员会还规定了应当设立对现行适用的相关法律的定期检查流程，最少每隔四年检查一次，且必须明确监督机关，执行委员会需持续监控个人情报改善事项等，以保障基于充分性保护决策的稳定。

对充分性保护决策的撤回也有规定，当执行委员会认为得到承认的第三国已经不能维持正常被认可的水准之时，可撤回、修订、或者终止充分性保护决策的许可，但执行委员会得跟该第三国说明理由且进行适当的协商。

而做出基于充分性保护决策时，需要考虑的事项有以下几点：

（1）个人情报信息被侵害时是否能得到有效救济，对象国个人信息保护法律体系是否完善，对象国个人信息保护法律实行情况是否良好，特别是对EU公民的权利保障提示是否完善或对不是EU区域内的主体的权利是否保障。

（2）事后管理。对于取得批准的对象国，执行委员会应当持续地监督对象国的实际状况，当认为已不符合批准条件之时便可撤回、终止许可。

2.基于适当的保护水平

在基于充分性保护决策上得不到许可之时，可采取得到基于适当的保护水平许可，相关监督机关如果承认可以得到有实效的法律救济的话即可许可。

不需要相关监督机关的许可的情况可分为以下六种：

（1）行政机关或机构间存在有强制力且可执行的法律规定；

（2）有强制力的企业规定（BCRs）；

（3）信息情报保护条款；

（4）个人信息保护条款；

（5）被承认的行动准则；

（6）被承认的认证机制。

需要相关监督机关的许可的情况分为以下两种：

（1）契约条款；

（2）公共机关间的行政约定。

以科学、历史研究，公益性记录，统计为目的的使用需要保障信息主体的权利与自由，因此需要适当的安全装置，据此，EU与其成员国可制定例外规则，面对不需要相关监督机关的许可的情况，行政机关或机构间存在有强制力且可执行的法律规定中应当包含可实行的有实效的信息主体的权利。有强制力的企业规定（BCRs）是指企业树立Binding Company Rules(以下简称BCR)，在得到EU成员国监督机构（DPA，Data protection authorities）的承认后在往后的域外个人信息转移也不需要再得到个别的承认。

在结合GDPR第47条规定，可知如果想制定有强制力的企业规定（BCR）的话，必须具有法律上的约束力，且适用于包括被雇佣人在内的企业所有成员以及被他们所履行，进一步还需明示信息主体有关情报处理所拥有的权利，并把从事共同经济活动的集团及各组成人员的联络网明示到企业规则。不需要相关监督机关的许可的情况中的信息情报保护条款及个人信息保护条款是指EU委员会根据GDPR第93条规定的审查程序或监督机关制定，EU委员会承认的条款。被承认的行动准则是指自主制定的准则得到了监督机关的承认的情况。被承认的认证机制是指个人信息处理者自主向监督机关或认证机构得到认证的制度，得到认证需证明第三国在实行适当的、有一定水准的安全措施，此认证三年有效，三年后如果还继续保有一定水准的安全措施即可延期，但没有的时候会被撤回认证。

需要相关监督机关的许可的情况是指契约条款及公共机关间的行政约定这两种情况下，GDPR会采取更严格的要求及审查程序。

3.基于数据主体的明确同意或履行合同所必需等特殊情况

基于充分性保护决策及基于适当的保护水平这两项都不可行的情况下，可以以基于数据主体的明示性明确同意情况下转移数据。除此之外，如果情报处理者所追求的正当利益相比数据主体的权利优先的情况下，也可以转移数据，但必须报告与监督机构并且通知数据主体。

二、美国加州消费者隐私法案考察

（一）概要

2017年9月，以629000名公民签名的提案为开端，于2018年6月28日，美国加利福尼亚州通过了规定消费者权利与经营者义务的加州消费者隐私法案（CCPA）。

CCPA实行于2020年1月1日，但于2020年7月1日才正式发挥效力，因此在加利福尼亚州所有从事于网络上收集、购买、贩卖消费者个人信息的有关商家于2020年7月1日期必须遵守CCPA。

CCPA被评价为美国史上最强有力的个人隐私信息保护法，虽然不是联邦法而仅仅是州法，但加利福尼亚州作为拥有美国百分之十以上人口的大洲，以及加利福尼亚州北部的硅谷作为诞生了如Google、Facebook、Apple等知名的国际IT公司的地方，在全世界范围内受到了广泛的关注。

CCPA总共有19条条文，其适用范围是以获取股东或其他所有者的收益为目的，独立经营、合伙有限责任公司、股份公司、联盟等法律实体，收集消费者个人信息，单独或与其他实体共同决定消费者个人信息的处理目的和方式，且在加州进行商业活动，并至少满足以下条件之一的：

（1）年总收入超过2千5百万美元；

（2）出于商业目的，每年买入和/或接收超过5万名消费者的个人信息；

（3）50%以上的年收入通过售卖个人信息获得。

CCPA虽然不适用于居住在加利福尼亚州以外的居民，但原则上对加利福尼亚居民为对象提供服务的主体也包含在内。

CCPA规定了很多具体的个人信息类型，CCPA规定的个人信息类型范围比起联邦法宽了很多。

（二）CCPA主要内容及特点

CCPA大体上可分为三个部分，一是经营者的义务，二是消费者的权利，三是权利救济与处罚。

1.经营者的义务

CCPA规定经营者在搜集个人情报时应当告知当事人，应当制定个人情报处理方针且公开，应当上传个人情报贩卖终止链接选项等种种义务，经营者需要在网站上以醒目的方式上传带有Do Not Sell My Personal Information（不要贩卖我的个人情报）的链接选项，并且有义务向消费者说明存在于CCPA里的消费者所具有的终止贩卖指示权，并且禁止对消费者进行区别对待，禁止对消费者进行区别对待是指不能因为消费者行使了依据CCPA赋予的权利而对消费者进行价格、品质、服务上的打压，即就算消费者行使了个人信息拒绝贩卖权，删除权等权利，也必须以同等的价格、品质进行服务。

2.消费者的权利

CCPA赋予了消费者个人信息公开要求权、阅览要求全、删除要求权等权利，如消费者有权要求经营者仅公开特定的一部分信息、经营者在接受消费者阅览其信息的邀请时需向消费者无偿公开提供其信息、消费者有权要求经营者删除从自身搜集到的个人情报信息、消费者有权要求经营者终止贩卖自己的个人信息等。

3.权利救济与处罚

CCPA规定消费者集体诉讼、法定损害赔偿、实际损害赔偿等一系列处罚规定，并且同时也规定了相应的民事罚款。

消费者可以在实际损害赔偿与法定损害赔偿之中选择一个赔偿数额较高的方式，法定损害赔偿规定为每一个案件最低100美元、最高700美元的限度，但消费者在提起诉讼前必须在30日之前通知经营者并且告知其违法事项，如果经营者在这30日之内改正违反事项的话，消费者不可提起损害赔偿诉讼，同样的州法务长官也可以进行通知，如果经营者没有在30日以内改正，则需要对每一个违反事项支付2500美元以下的罚款，如果是故意违反、故意不修正之时罚款可高达7500美元。

三、结论及建议

2015年7月4日，国务院印发《国务院关于积极推进“互联网+”行动的指导意见》，这表明国家对互联网个人信息保护方面的关注。中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日正式通过了《中华人民共和国网络安全法》，此法自2017年6月1日起施行。《中华人民共和国网络安全法》的意义在于把分散的网络安全与个人信息相关的一些规定进行统一规定，而我国的个人信息保护法也在紧锣密鼓地筹备着，2020年10月13日，十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案，相信不久的将来我们将会迎接我们的个人信息保护法出台。

考虑到网络安全法及将来出台的个人信息保护法，我们应当着重考察GDPR及CCPA上的可借鉴点，以此完善我国的法律构建。

首先，我们应当完善跨国企业内部间的跨国数据转移，在全球化时代，跨国公司已成为全球潮流，因此完善此问题也是必不可少的；第二，完善对企业的监督，增加企业的义务并令其严格遵守，我们都知道管控企业对个人信息的滥用其实是变相保护消费者，中国的企业还有很多不规范的地方，这些方面必须要有实效性的进行管控；第三，尽快引入且完善数据假名化；第四，明确规定消费者的权利，例如删除权，阅览权等，在消费者权利方面的规定我们可以从CCPA吸取经验。