數(shù)據(jù)保護是大數(shù)據(jù)安全的重要基礎(chǔ)和組成部分。通過分析美國、歐盟、俄羅斯、新加坡等國數(shù)據(jù)保護法律法規(guī)可以看出，盡管各國制定相關(guān)法律法規(guī)的思路和策略不同，盡管各國的策略不同，但是最終的目的都是保護大數(shù)據(jù)安全，接下來小編簡單介紹一篇關(guān)于大數(shù)據(jù)安全的論文。

　　摘要：在研究美國、歐盟、俄羅斯、新加坡等國數(shù)據(jù)保護相關(guān)法律法規(guī)的基礎(chǔ)上，從數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)監(jiān)管者三個層面，梳理出數(shù)據(jù)保護涉及的相關(guān)要點，并比較了美國、歐盟、澳大利亞、新加坡各國在法律法規(guī)中界定這些要點時的不同策略和思路，為我國制定和出臺數(shù)據(jù)保護相關(guān)法律法規(guī)和行政規(guī)章提供參考。

　　關(guān)鍵詞：數(shù)據(jù)主體;數(shù)據(jù)控制者;數(shù)據(jù)監(jiān)管者;數(shù)據(jù)保護

　　1參與方及數(shù)據(jù)保護要點

　　數(shù)據(jù)在收集、存儲、傳輸、使用、分析、共享、交易、披露、銷毀等整個生命周期中，其安全涉及到的參與方可歸納為三個，即數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)監(jiān)管者[1]。(1)數(shù)據(jù)主體：指數(shù)據(jù)所指向的自然人或組織，通常是使用信息服務(wù)的用戶或客戶。(2)數(shù)據(jù)控制者：指對數(shù)據(jù)進行收集、傳輸、存儲、使用等處理行為的自然人或組織，通常是提供信息服務(wù)的個人或機構(gòu)。數(shù)據(jù)控制者可以是一個或多個自然人，也可以是公司或協(xié)會等，還包括因服務(wù)外包而引入的第三方數(shù)據(jù)控制者(第三方數(shù)據(jù)控制者一般稱為數(shù)據(jù)**)。通常，數(shù)據(jù)控制者對數(shù)據(jù)擁有控制權(quán)，可決定數(shù)據(jù)處理的目的和方式。(3)數(shù)據(jù)監(jiān)管者：指制定數(shù)據(jù)處理政策和安全規(guī)則，監(jiān)督數(shù)據(jù)處理中的安全問題，接受投訴舉報，對不當行為進行處罰的機構(gòu)，通常是政府部門或是有政府背景的機構(gòu)�；�于對各國法律法規(guī)的歸納，各國數(shù)據(jù)保護法律法規(guī)的宗旨均圍繞這三個參與方，力圖將其職責(zé)邊界、對應(yīng)的權(quán)利和義務(wù)、相關(guān)行為準則等要點界定清晰。本文以數(shù)據(jù)監(jiān)管者、數(shù)據(jù)主體、數(shù)據(jù)控制者三個層面作為切入點，梳理需界定的要點。

　　2數(shù)據(jù)監(jiān)管者層面

　　2.1數(shù)據(jù)保護范圍

　　數(shù)據(jù)保護是有范圍的，并不是所有數(shù)據(jù)控制者的所有行為，以及收集到的所有數(shù)據(jù)都需要進行保護，而應(yīng)該在可監(jiān)管的轄區(qū)范圍內(nèi)，針對需被監(jiān)管的數(shù)據(jù)控制者、需被監(jiān)管的行為、以及需保護的數(shù)據(jù)進行保護，數(shù)據(jù)真正需要保護和監(jiān)管的范圍如下圖1所示。因此，數(shù)據(jù)監(jiān)管者在制定數(shù)據(jù)保護法律法規(guī)時，首先應(yīng)對可監(jiān)管的轄區(qū)范圍、需保護的數(shù)據(jù)、需監(jiān)管的對象、以及被監(jiān)管對象需監(jiān)管的行為進行界定。(1)可監(jiān)管的轄區(qū)范圍可監(jiān)管的轄區(qū)范圍是指法律法規(guī)里規(guī)定的所能管轄的數(shù)據(jù)涉及的領(lǐng)土范圍，尤其是設(shè)立在境外的數(shù)據(jù)中心是否受到本國法律法規(guī)的監(jiān)管，這也是目前業(yè)界關(guān)注的重點之一。不同國家和地區(qū)對此規(guī)定有一定的差異性。如美國、澳大利亞、中國目前的管轄范圍是本國領(lǐng)土，也就是說，外國企業(yè)以及本國企業(yè)設(shè)在境外的數(shù)據(jù)中心，均不受本國法律法規(guī)約束。但歐盟、俄羅斯、新加坡等國家和地區(qū)則相對監(jiān)管較嚴，如俄羅斯規(guī)定其數(shù)據(jù)保護法律法規(guī)不受領(lǐng)土管轄權(quán)的限制，適用于任何在俄羅斯發(fā)生的所有數(shù)據(jù)處理過程，包括所有對俄羅斯公民數(shù)據(jù)的收集和使用，而無論數(shù)據(jù)中心是否建立或位于俄羅斯境內(nèi)。對于跨境的數(shù)據(jù)流，如果俄羅斯公民是對應(yīng)的數(shù)據(jù)傳輸協(xié)定中的一方，那么該數(shù)據(jù)就屬于俄羅斯的數(shù)據(jù)保護法律法規(guī)監(jiān)管轄區(qū)范圍。(2)需保護的數(shù)據(jù)一般說來，需要監(jiān)管的數(shù)據(jù)可劃分為兩類：個人識別信息(PII：PersonalIdentityInformation)和個人隱私/敏感數(shù)據(jù)。其中，PII是指能直接根據(jù)該信息識別和定位到個人的信息，如姓名、***號碼、銀行卡號、家庭住址等;個人隱私/敏感數(shù)據(jù)是指雖不能直接能識別和定位到個人，但通過關(guān)聯(lián)和綜合分析，有可能定位到個人的信息，如健康信息、教育經(jīng)歷、征信記錄等。各國對個人隱私/敏感數(shù)據(jù)的定義不同，其保護的數(shù)據(jù)范圍也就各不相同，如中國在一些部門規(guī)章中劃定了個人信息保護的具體范圍，而俄羅斯、新加坡等國則規(guī)定凡是和個人相關(guān)的信息，均被認為是個人隱私/敏感數(shù)據(jù)，均在保護范圍內(nèi)。此外，在這兩類需要監(jiān)管的數(shù)據(jù)中，也有因例外豁免條款成為不需監(jiān)管的數(shù)據(jù)，如新加坡規(guī)定商務(wù)聯(lián)系信息、已存在了100年的個人資料以及已經(jīng)死去超過十年的個人數(shù)據(jù)等均不在保護范圍內(nèi)。(3)需監(jiān)管的對象一般情況下，所有涉及數(shù)據(jù)收集、存儲、處理、利用的數(shù)據(jù)控制者都是被監(jiān)管的對象，但各國也根據(jù)自己國情劃定了可免除監(jiān)管的例外條例，如新加坡規(guī)定了公民個人行為、員工就業(yè)過程中的必要行為、政府/新聞/科研等公共機構(gòu)的部分行為、某些獲取了明確證明或書面合同的數(shù)據(jù)**機構(gòu)等，可免除數(shù)據(jù)保護法律法規(guī)的監(jiān)管。(4)需監(jiān)管的行為目前，美國、歐盟、中國、俄羅斯、新加坡等國均提出應(yīng)對數(shù)據(jù)的全生命周期進行監(jiān)管，包括收集、記錄、組織、積累、存儲、變更(更新、修改)、檢索、恢復(fù)、使用、轉(zhuǎn)讓(傳播，提供接入等)、脫敏、刪除、銷毀等行為，但各國也根據(jù)自己國情劃定了可免除監(jiān)管的例外條例，如俄羅斯規(guī)定了專為個人和家庭需求處理個人數(shù)據(jù)(前提是不侵犯數(shù)據(jù)對象的權(quán)利)、處理國家保密數(shù)據(jù)、依照有關(guān)法院立法由主管當局向俄羅斯法院提供相關(guān)數(shù)據(jù)等情況，則屬于相應(yīng)的例外豁免情形。

　　2.2監(jiān)管部門及權(quán)利

　　為保證數(shù)據(jù)安全法律法規(guī)的落實，監(jiān)管部門需設(shè)立相應(yīng)的機構(gòu)和人員，配置相應(yīng)的權(quán)利，如執(zhí)法權(quán)、罰則等。俄羅斯數(shù)據(jù)保護最主要的監(jiān)管部門是俄羅斯電信/信息技術(shù)和大眾傳媒聯(lián)邦監(jiān)管局(Roskomnad-zor，相當于美國FCC)。此外俄羅斯政府、俄羅斯聯(lián)邦技術(shù)和出口服務(wù)局(FSTEC)以及俄羅斯聯(lián)邦安全局(FSS)等主管監(jiān)管部門也制定一些對數(shù)據(jù)保護的特定條款。新加坡數(shù)據(jù)保護最主要的法律依據(jù)是《個人數(shù)據(jù)保護法令》(PDPA)[2]，同時為了執(zhí)行PD-PA，新加坡專門成立個人數(shù)據(jù)保護委員會(PDPC)來承擔PDPA的制定和實施工作。俄羅斯的Ros-komnadzor和新加坡的PDPC均具有一定的執(zhí)法權(quán)。目前，中國尚未設(shè)立專門的國家監(jiān)管機構(gòu)來負責(zé)約束和審判個人信息使用是否合規(guī)，只是一些涉及數(shù)據(jù)保護的行政監(jiān)管部門在職責(zé)范圍內(nèi)進行行業(yè)監(jiān)管，如工業(yè)和信息化部負責(zé)監(jiān)管電信和互聯(lián)網(wǎng)行業(yè)的個人信息、國家衛(wèi)計委負責(zé)監(jiān)管醫(yī)療記錄和居民健康信息、國家工商總局負責(zé)監(jiān)管消費者的個人信息等。[3-6]

　　3數(shù)據(jù)主體層面

　　數(shù)據(jù)主體層面主要是圍繞數(shù)據(jù)主體來界定數(shù)據(jù)保護要點，也就是用戶在使用信息服務(wù)過程中所擁有的權(quán)利，包括數(shù)據(jù)收集/處理前被告知的權(quán)利(知情權(quán))、授權(quán)個人數(shù)據(jù)收集/處理的權(quán)利(授權(quán)處理權(quán))、訪問/查詢/更正個人信息的權(quán)利(訪問/查詢/更正權(quán))、停止收集/刪除個人信息的權(quán)利(停止收集/刪除權(quán))、投訴的權(quán)利(投訴權(quán))，以及其他相關(guān)權(quán)利等。各國數(shù)據(jù)保護法律法規(guī)對數(shù)據(jù)主體權(quán)利基本都進行了規(guī)定，但規(guī)定的細粒度又各不相同。如針對知情權(quán)，我國2016年11月頒布的《網(wǎng)絡(luò)安全法》[7]規(guī)定，要向用戶公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，但并沒有詳細規(guī)定具體的明示的形式和內(nèi)容，授權(quán)同意的方式等內(nèi)容。而俄羅斯則規(guī)定，針對數(shù)據(jù)主體全名/地址/***明ID(如護照)/***明的發(fā)行時間與發(fā)證機關(guān)/簽名等信息、數(shù)據(jù)控制者的全名/地址/數(shù)據(jù)處理目的等關(guān)鍵信息，需要以書面形式給出(包括電子簽名的方式)。新加坡則規(guī)定，數(shù)據(jù)控制者在收集個人數(shù)據(jù)之前需經(jīng)數(shù)據(jù)主體的同意，但不指定特定的通知形式。

　　4數(shù)據(jù)控制者層面

　　數(shù)據(jù)控制者層面主要圍繞數(shù)據(jù)控制者在數(shù)據(jù)收集、存儲、處理等全生命周期中承擔的義務(wù)，界定數(shù)據(jù)保護的要點，包括配合數(shù)據(jù)主體實現(xiàn)其權(quán)利的義務(wù)、確保數(shù)據(jù)安全的義務(wù)、收集數(shù)據(jù)前征求數(shù)據(jù)監(jiān)管者同意的義務(wù)、向數(shù)據(jù)監(jiān)管者報備數(shù)據(jù)收集和利用情況的義務(wù)、發(fā)生異常事件時的通報義務(wù)、數(shù)據(jù)境外流轉(zhuǎn)/存儲前向數(shù)據(jù)監(jiān)管者申請的義務(wù)等。以向數(shù)據(jù)監(jiān)管者報備數(shù)據(jù)收集和利用情況的義務(wù)為例，目前中國的法律法規(guī)未明確規(guī)定數(shù)據(jù)控制者處理數(shù)據(jù)前需向指定的政府主管部門申請或登記。俄羅斯規(guī)定，數(shù)據(jù)控制者在操作處理個人數(shù)據(jù)之前必須報備其主管監(jiān)管部門Roskomnadzor(可提供紙版或電子版)，且報備時必須包含數(shù)據(jù)控制者的名稱和地址、處理個人數(shù)據(jù)的目的和種類、數(shù)據(jù)對象的分類、數(shù)據(jù)保護人員的姓名和聯(lián)系方式、用于承載俄羅斯公民數(shù)據(jù)的數(shù)據(jù)庫地址等信息。Roskomnadzor接到報備后30天內(nèi)對數(shù)據(jù)控制者的相關(guān)信息進行注冊，并在相關(guān)網(wǎng)站上登記和公開[8]。新加坡則規(guī)定數(shù)據(jù)控制者在一般情況下有義務(wù)通知數(shù)據(jù)控制者，主要包括書面和口頭通知兩種形式;雖然PDPA并沒有制定具體形式，但特別指出針對用戶不了解的數(shù)據(jù)使用目的，數(shù)據(jù)控制者必須提供所有相關(guān)信息。

　　5結(jié)語

　　目前，我國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展迅猛，已涉及能源、交通、互聯(lián)網(wǎng)、金融、醫(yī)療、教育等多個傳統(tǒng)和新興領(lǐng)域。根據(jù)中國信息通信研究院發(fā)布的《中國大數(shù)據(jù)發(fā)展調(diào)查報告(2017年)》顯示，2016年中國大數(shù)據(jù)市場規(guī)模為168.0億元人民幣，增速達到45%，預(yù)計2017-2020年的增速將保持在30%以上。同時，在大數(shù)據(jù)產(chǎn)業(yè)快速發(fā)展的同時，也呈現(xiàn)出多數(shù)企業(yè)重發(fā)展輕安全、應(yīng)有的安全保護措施落實不到位、安全事件頻發(fā)等問題，還有的企業(yè)過度挖掘使用所掌握的數(shù)據(jù)，甚至從事非法數(shù)據(jù)交易。這在一定程度上反映出我國數(shù)據(jù)保護相關(guān)的法律法規(guī)和政策規(guī)章還不完善。通過梳理可看出，雖然《國家安全法》《網(wǎng)絡(luò)安全法》《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)和相關(guān)部門規(guī)章制度已形成個人信息保護政策的基本框架，但監(jiān)管范圍、監(jiān)管對象、監(jiān)管內(nèi)容、監(jiān)管手段、執(zhí)行機構(gòu)、執(zhí)法渠道等具體規(guī)則還需進一步細化。建議我國加快出臺專門的數(shù)據(jù)保護法律法規(guī)及配套的行政法規(guī)，對數(shù)據(jù)保護范圍、敏感數(shù)據(jù)定義、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者義務(wù)、數(shù)據(jù)共享/交易要求、數(shù)據(jù)跨境保護、罰則等進行立法規(guī)定，為落實數(shù)據(jù)保護提供法律依據(jù)。

　　閱讀期刊：《科技與法律》

　　《科技與法律》是由國家科技部主管、中國科技法學(xué)會主辦的國內(nèi)外公開發(fā)行的綜合性期刊。創(chuàng)刊20年以來，本刊立足科技創(chuàng)新與法律實務(wù)的交融發(fā)展，成為橫跨科技、法律、知識產(chǎn)權(quán)領(lǐng)域從事學(xué)術(shù)交流、實務(wù)溝通、績效展示和形象推介的重要媒體和信息平臺。

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/falilw/64044.html