中国制定《个人信息保护法》 剑指何处?
▲在资料经济时代,不只人类的劳力有价值,连人类在网路上的「足迹」都能变现。(图/取自免费图库Negative Space)
中国人大常委会近日正在审议《中华人民共和国个人信息保护法(草案)》。中国人大常委会法制工作委员会并在10月21日时公布草案全文,向公众征求意见。这是自2008年学者将个人信息保护法草案送交中国国务院审议的十余年后,中国在个人资料保护上面的少见动作。
但为什么中国要选在这个时候开始进行个人资料保护规范的立法工程呢?
作为一个在自由之家「2020年全球自由报告」中被列为最不自由的国家,如果单纯是为了要加强当事人资讯隐私权的保护,对中国这个非自由宪政主义国家来说,应该无法完整解释他的动机——纵使这原因之一,应该也不能认为是最主要的因素。
然而这个动作如果放在全球(个人)资料经济兴起的脉络下进行讨论,就合理的多。事实上,这次中国个资法草案中,也延续了网路安全法、保险法等一连串资料在地化的趋势,在资料的跨域流动上做出限制。
草案不但纳入资料在地化规定,要求关键资料基础设施营运者和处理大量个资的处理者,将资料储存在境内外,也对资料跨境传输做了一般性的限制。而草案对跨境传输所考虑的内容,与欧盟日本新加坡等国「白名单」模式不完全相同——除了个资保护,还多了「国安」以及「贸易竞争」的考量。
根据草案规定,中国的国家网信部门如果认为境外的资料处理危及中国的国家安全,可以将其列入限制或禁止传输的对象。同时,如果中国认为其他地区对其在个资的处理上采取歧视性的限制或禁止措施,中国可以以相应措施报复。
▲华为确实是中国国家资本主义的代表公司之一,该公司近年却遭到美国政府的各式「封杀」。(图/路透)
事实上,这是一个资料跨境流动越来越重要的新时代。根据调查在2005年到2014年间跨境的资料数量已经扩张45倍,全球已经有3.6亿人口在使用跨境的电子商务消费。大量的资料交换带来大量的跨国商机,如何在信任环境下交换个资一直是个重要问题。在这样的背景之下,所有个人资料保护的规范,都可以从资料经济的角度重新理解。
欧盟在「欧盟数位单一市场」战略下,推动一般资料保护规则(GDPR)的立法。而欧盟这种「在境内严格限制个资保护,在跨境以白名单、契约监督关系为主进行隐私控管」的模式,强势的影响了许多其他国家的立法,而成为资料跨境治理模式的暂时领先者。同时,也将「欧盟式」的个资保护规范输出到法制后进国家中。
近年来金砖国家中印度及巴西的个资法立法过程,就可以明显看到欧盟GDPR的影子。
与此相较,美国则企图利用APEC跨境隐私保护规则(CBPR)体系,闯出一条不同的道路。CBPR是一个透过政府背书、第三方个资认验证制度进行把关的政府间个资责信管理系统。相较于欧盟GDPR,CBPR是一个更以企业个资保护能力为核心,在维持基础隐私标准后,尊重各国个资保护脉络的管理模式。它具有更高的弹性,以及相较之下较低的规范密度。
▲来自于欧盟的GDPR影响全球个资法规甚巨,连台湾都试图极力争取GDPR的「适足性认定」。(图/Pixabay)
目前,共有我国、美国、墨西哥、日本、加拿大、韩国、新加坡、澳洲、菲律宾等9个经济体参与CBPR,占我国贸易量的近4成。近年来,CBPR体系对于国际跨境资料规则的影响越来越大,日本、新加坡都将他列为个资合法跨境传输的条件之一。根据日经新闻的报导,美国也正主导谈判,推动CBPR体系的扩大,希望使非APEC国家如巴西等,也能参与CBPR体系,大有与欧盟一别苗头之意。
相较于欧、美主导的两大跨境资料交换规则体系,中国个资法草案这种强调资料在地化、国家安全以及平等对待与对等报复的规范模式,不得不让人想起他透过网路长城发展网路产业的过往经验。中国许多的网路巨擘,就是凭借着网路长城对国外竞争者设下许多限制,而迅速发展起来的。
现在,中国又将隐私保护以外的因素纳入跨境的要求之中。这些规定,无疑的会有利于中国企业取用中国个资,而降低其他国家企业使用这些个资的可能性与方便性。或许,凭借着大量人口衍生的大量个人资料,正是中国在这场全球数位资料市场发展竞争中,所挑选的致胜武器吧?
热门点阅》
● 以上言论不代表本网立场。欢迎投书《云论》让优质好文被更多人看见,请寄editor88@ettoday.net或点此投稿,本网保有文字删修权。