序
2015年9月，國務(wù)院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，明確“加大大數(shù)據(jù)關(guān)鍵技術(shù)研發(fā)、產(chǎn)業(yè)發(fā)展和人才培養(yǎng)力度，著力推進數(shù)據(jù)匯集和發(fā)掘，深化大數(shù)據(jù)在各行業(yè)創(chuàng)新應(yīng)用，促進大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展；完善法規(guī)制度和標準體系，科學(xué)規(guī)范利用大數(shù)據(jù)，切實保障數(shù)據(jù)安全”。綱要明確了7方面政策機制：一是建立國家大數(shù)據(jù)發(fā)展和應(yīng)用統(tǒng)籌協(xié)調(diào)機制；二是加快法規(guī)制度建設(shè)，積極研究數(shù)據(jù)開放、保護等方面制度；三是健全市場發(fā)展機制，鼓勵政府與企業(yè)、社會機構(gòu)開展合作；四是建立標準規(guī)范體系，積極參與相關(guān)國際標準制定工作；五是加大財政金融支持，推動建設(shè)一批國際領(lǐng)先的重大示范工程；六是加強專業(yè)人才培養(yǎng)，建立健全多層次、多類型的大數(shù)據(jù)人才培養(yǎng)體系；七是促進國際交流合作，建立完善國際合作機制。黨的十九大報告從國家發(fā)展戰(zhàn)略層面提出:“加快建設(shè)制造強國，加快發(fā)展先進制造業(yè)，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟深度融合，在中高端消費、創(chuàng)新引領(lǐng)、綠色低碳、共享經(jīng)濟、現(xiàn)代供應(yīng)鏈、人力資本服務(wù)等領(lǐng)域培育新增長點、形成新動能。”
在大數(shù)據(jù)應(yīng)用快速發(fā)展的同時,國內(nèi)外屢屢出現(xiàn)數(shù)據(jù)泄露、數(shù)據(jù)權(quán)屬界定不清、數(shù)據(jù)收集無序等惡性事件。身份盜竊資源中心（Identity Theft Resource Center）和網(wǎng)絡(luò)偵察（CyberScout）的報告顯示，2017年前11個月，數(shù)據(jù)泄露事件持續(xù)猛增，數(shù)量增加到1202起，比2016年全年的1093起多出了10%。除了政府機構(gòu)和財富500強的最終客戶的數(shù)據(jù)被泄露之外，第三方承包商和數(shù)據(jù)集成商，以及安全廠商和解決方案提供商自身的數(shù)據(jù)也被泄露。攻擊者的攻擊范圍也從信用卡號碼擴大到選民登記細節(jié)以及密碼和加密密鑰等方面。此外，自2017年以來，這些重大的數(shù)據(jù)泄露事件引發(fā)的安全問題數(shù)量也在不斷增加。這些安全問題大多是由于錯誤配置或者使用安全性較差的云服務(wù)器引起，例如,“勒索軟件(WannaCry)全球蔓延”“徐某某遭電信詐騙致死”“國內(nèi)酒店2000萬入住信息遭泄露”等事件。2016年9月22日，全球互聯(lián)網(wǎng)巨頭雅虎證實，2014年至少有5億用戶的賬戶信息被人竊取，竊取的內(nèi)容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。
大數(shù)據(jù)時代，在充分挖掘和發(fā)揮大數(shù)據(jù)價值的同時，必須處理好數(shù)據(jù)安全與個人信息保護等問題。
2017年6月1日施行的《網(wǎng)絡(luò)安全法》特別對企業(yè)機構(gòu)泄露數(shù)據(jù)的問題作出規(guī)定，要求各類組織應(yīng)切實承擔(dān)保障數(shù)據(jù)安全的責(zé)任，即保密性、完整性和可用性，并保障個人對其信息的安全可控。但是《網(wǎng)絡(luò)安全法》在個人信息保護方面只是構(gòu)建了一個體系，缺乏可操作性。為了進一步保護個人數(shù)據(jù)，我國應(yīng)及早制定個人數(shù)據(jù)保護法，明確個人數(shù)據(jù)的法律性質(zhì)、個人數(shù)據(jù)權(quán)利的性質(zhì)、個人數(shù)據(jù)的權(quán)利歸屬，構(gòu)建個人數(shù)據(jù)權(quán)利在受到侵害時的救濟體系。為了推進個人數(shù)據(jù)保護的立法，方便社會各界對相關(guān)內(nèi)容進行研究，中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院和大數(shù)據(jù)與法制研究中心，選取7個國家和地區(qū)近期比較具有權(quán)威性的有關(guān)數(shù)據(jù)保護的法律文件，開展了《國際數(shù)據(jù)保護規(guī)則要覽》的翻譯與出版工作。
德國《聯(lián)邦數(shù)據(jù)保護法》（Federal Data Protection Act）包括3個部分，共48節(jié)（另有1個附件）。該法旨在執(zhí)行歐洲議會和理事會于1995年10月24日通過的《有關(guān)個人資料處理以及數(shù)據(jù)自由流動中的個人保護的第95/46/EC號指令》（OJEC第L281號），界定了“公共機構(gòu)”“私人機構(gòu)”“個人數(shù)據(jù)”“自動處理”“修改”“匿名”等關(guān)鍵詞的含義，擴大了個人數(shù)據(jù)保護范圍，賦予了數(shù)據(jù)官更多權(quán)能以更好地實現(xiàn)個人權(quán)利保護。
加拿大《個人信息保護法案》（Personal Information Protection Act）于2003年10月23日通過，2004年1月1日實施，共12個部分、60條。其規(guī)范對象為從事個人信息商業(yè)運作的機構(gòu)，包括與信息采集、使用和披露相關(guān)的作業(yè)。法律定義個人信息為“個人識別信息”，但不包括姓名、職務(wù)、辦公地址、辦公電話；法律描寫的“商業(yè)活動”是指任何交易，即具有商業(yè)特征的常規(guī)活動，包括銷售、換貨、出租。該法案對個人隱私權(quán)的保護，主要體現(xiàn)在個人信息保護條款之中。
法國《數(shù)字共和國法案》（Digital Republic Law）于2016年10月7日頒布，共4編、113條。該法引入了許多新的規(guī)定，旨在對數(shù)字經(jīng)濟進行一體化的管理，管理內(nèi)容包括數(shù)據(jù)開放、在線合作經(jīng)濟、打擊色情行業(yè)、訪問互聯(lián)網(wǎng)等。該法對與隱私相關(guān)的行業(yè)來說十分重要，在歐盟《一般數(shù)據(jù)保護條例》生效之前，該法率先對法國《1978年數(shù)據(jù)保護法》和其他法律作出了一系列重要修訂。
英國2017年《數(shù)據(jù)保護法案（草案）》（Data Protection Bill \[HL\]）由英國數(shù)字、文化媒體和體育部于2017年8月7日發(fā)布，共7個部分、194條。該法案進一步強化了對個人信息的保護，給予了公民更多的個人信息控制權(quán)，完善了對企業(yè)利益的保護，也為刑事司法機構(gòu)設(shè)定了專門的數(shù)據(jù)保護框架�！�…
歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation）。為了應(yīng)對數(shù)字時代個人數(shù)據(jù)的新挑戰(zhàn)，并且確保歐盟規(guī)則的前瞻性，歐盟委員會重新審視現(xiàn)有的個人數(shù)據(jù)保護法律框架，于2012年11月制定了具有更強包容性和合作性的《一般數(shù)據(jù)保護條例》。該條例于2016年5月25日公布，2018年5月25日生效，正文部分共6章、99條。其目的在于在當(dāng)今快速的技術(shù)變化中，加強對歐盟所有人和物聯(lián)網(wǎng)的隱私權(quán)保護，并簡化數(shù)據(jù)保護的管理。新的數(shù)據(jù)監(jiān)管方案將取代1995年歐盟數(shù)據(jù)保護指令，著重強調(diào)個人隱私權(quán)利以及歐盟內(nèi)部的隱私和安全法律。
新加坡《個人數(shù)據(jù)保護法》（Personal Data Protection Act）于2012年通過，共10章、68條（另有9個附件）。該法列出了企業(yè)在數(shù)據(jù)收集、使用、披露等環(huán)節(jié)的重要義務(wù)，授予了委員會各種權(quán)力以執(zhí)行法令和調(diào)查違反法令的職權(quán)，賦予了個人保護其個人信息的各項權(quán)利（包括獲得權(quán)和修改權(quán)），通過設(shè)立個人數(shù)據(jù)保護委員會以及特殊的登記方式，對個人數(shù)據(jù)的處理活動進行管理，以鞏固新加坡作為可信的、世界級商業(yè)中心的地位。
韓國《個人信息保護法》（Personal Information Protection Act）于2011年3月29日公布，2011年9月30日生效，共分為9章、75條（另有附錄7條）。由總則、個人信息保護政策的樹立、個人信息的處理、個人信息的安全管理、信息主體的權(quán)利保障、個人信息紛爭調(diào)停委員會、個人信息團體訴訟、附則、罰則等章節(jié)組成，對個人信息保護的基本原則、個人信息保護的基準、信息主體的權(quán)利保障、個人信息自決權(quán)的救濟等問題作出了全面規(guī)定。
通過對以上7個個人數(shù)據(jù)保護法律文件的翻譯與研究發(fā)現(xiàn)，各個國家對個人數(shù)據(jù)的保護不僅是在私權(quán)的層面，還通過國家公權(quán)力制定行業(yè)標準、技術(shù)標準和法律強制性規(guī)范，對個人數(shù)據(jù)進行保護。具體措施是通過擴大數(shù)據(jù)控制者的義務(wù)、強化他們的自我約束和完善政府監(jiān)管機構(gòu)的監(jiān)督管理體系，實現(xiàn)個人數(shù)據(jù)的保護與相關(guān)法律的實施。另外，通過建立由監(jiān)管機構(gòu)主導(dǎo)的行政救濟制度框架對數(shù)據(jù)主體進行維權(quán)。這樣的立法理念是基于數(shù)據(jù)客體本身的特征，尤其是數(shù)據(jù)主體難以實現(xiàn)網(wǎng)絡(luò)空間中個人數(shù)據(jù)的自我保護。因為網(wǎng)絡(luò)空間的行為數(shù)據(jù)是在網(wǎng)絡(luò)基礎(chǔ)實施上形成的，不僅具有專業(yè)技術(shù)性，還具有隱蔽性，行為者無法實現(xiàn)自我保護。因此，僅僅在私法層面給予數(shù)據(jù)主體保護形同虛設(shè)，無法達到保護數(shù)據(jù)主體的立法目標。我國未來的個人數(shù)據(jù)保護法應(yīng)解決以下三個方面的問題：一是平衡數(shù)據(jù)應(yīng)用和數(shù)據(jù)保護；二是解決個人數(shù)據(jù)私法保護的失靈；三是避免政府監(jiān)管的失靈。平衡數(shù)據(jù)應(yīng)用和數(shù)據(jù)保護是為了避免私法神圣的絕對化和身份平等的極端化。私法神圣的絕對化會限制數(shù)據(jù)的社會價值和經(jīng)濟價值的發(fā)揮；身份平等的極端化會成為處于優(yōu)勢地位的數(shù)據(jù)控制主體在數(shù)據(jù)應(yīng)用中隨心所欲的依據(jù)。解決個人數(shù)據(jù)私法保護的失靈，即避免數(shù)據(jù)客體本身特征和網(wǎng)絡(luò)空間特殊性導(dǎo)致的數(shù)據(jù)主體與數(shù)據(jù)控制主體的信息不對稱和行為隱蔽性等。避免政府監(jiān)管失靈，是因為數(shù)據(jù)客體本身的特征與網(wǎng)路空間的行為與數(shù)據(jù)形成的特點會使監(jiān)管主體無法進行有效的監(jiān)管。
因此，個人數(shù)據(jù)保護法立法要解決的三個方面的問題，決定了個人數(shù)據(jù)保護立法不僅應(yīng)從私法層面進行，還需要國家公權(quán)力介入。但由于數(shù)據(jù)客體本身的可無限復(fù)制性、使用的無消耗性、數(shù)據(jù)主體對數(shù)據(jù)的無控制性、數(shù)據(jù)控制主體應(yīng)用數(shù)據(jù)行為的隱蔽性等特點，我們應(yīng)從加大數(shù)據(jù)應(yīng)用主體義務(wù)的層面進行立法。
中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院和大數(shù)據(jù)與法制研究中心在進行翻譯與研究工作的同時，歷經(jīng)三年對“數(shù)據(jù)應(yīng)用的法律問題研究”（中國政法大學(xué)的科研專項課題）課題進行了系統(tǒng)研究。研究內(nèi)容包括：數(shù)據(jù)、大數(shù)據(jù)、信息的界定，數(shù)據(jù)的法律性質(zhì)，數(shù)據(jù)權(quán)利的性質(zhì)，數(shù)據(jù)權(quán)利的歸屬，數(shù)據(jù)行為與法律關(guān)系，數(shù)據(jù)監(jiān)管，政府?dāng)?shù)據(jù)的開放與共享，數(shù)據(jù)的跨境流動和《個人數(shù)據(jù)保護法》草案。相關(guān)研究成果將于2018年5月出版。
在中國政法大學(xué)的支持和領(lǐng)導(dǎo)下，金融監(jiān)管部門、公檢法和網(wǎng)信辦部門的支持下，中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院和大數(shù)據(jù)與法制研究中心在大數(shù)據(jù)應(yīng)用法律問題與立法方面，取得了一些研究成果，這僅僅是我們的第一步。我們將更加努力，為我國從數(shù)據(jù)大國發(fā)展成為數(shù)據(jù)強國的法學(xué)研究和立法工作做出應(yīng)有的貢獻。
李愛君
于北京
2018年2月8日