基于欧盟《一般数据保护条例》的我国征信法制建设研究

以欧盟《一般数据保护条例》为基础,在分析我国征信法规现状的基础上,提出制定我国个人数据保护法,建立完善征信业务配套机制,实现征信法制建设"法律+行政法规+规章及配套制度"三位一体的多层次、全方位征信法制体系。

欧盟《一般数据保护条例》指导下的数据保护官制度解析与启示

欧盟发布的《一般数据保护条例》对数据保护官的组织定位、设置条件、功能特征、资质要求等做出了明确的规定。《一般数据保护条例》指导下的数据保护官制度,启示着我国企业的组织机构需要对接国际标准、立足本土,从数据保护岗位设置来促进数据保护的合规实践;我国的数据管理人才培养,需要健全培养目标、丰富培养方式、创新培养内容、对接职业场景;有关学科专业需要积极参与到数据保护官的职业标准化和认知体系建设之中。

贸易壁垒视角下的欧盟《一般数据保护条例》

欧盟GDPR着力于自然人基本权利保护和内部统一市场构建,但对非欧盟国家而言,它具有贸易保护主义的实际效果,构成数字经济时代的新型贸易壁垒。GDPR一系列复杂而周密的制度安排,抬高市场准入门槛,产生扩张性的域外适用,强化了欧盟个人数据保护制度输出的影响力,进而深刻影响国际数据治理格局。美国为化解欧盟数据立法产生的贸易壁垒,一方面通过双边协议与欧盟达成妥协,另一方面试图通过区域协议与欧盟争夺国际话语权。中国目前还无法仿效美国从双边和区域层面作出有效应对,当务之急是构建符合国际立法趋势和我国现实需求的个人信息保护法。

欧盟《一般数据保护条例》的周年回顾与反思

欧盟《一般数据保护条例》正式实施已满一年。一年来,从制度细化到执法处罚,欧盟数据保护委员会和各成员国数据保护局各司其职,提升了欧盟公众对个人数据权利的关注度,并对全球的企业和立法者产生了深远影响,可谓成绩斐然。但另一方面,其执法并未达到“一致性”和“一站式”的承诺,没有实现建立企业与用户间信任的目的,并已阻碍了数字经济发展。我国应汲取其经验和教训,在《个人信息保护法》制定中,明确其“通用性”和“一般性”,灵活解释个人“知情同意”规则,并将“双边信任”而非“单边个人信息权利保护”作为制度设计的基点。

个人信息保护法域外效力研究——以欧盟《一般数据保护条例》为视角

大数据时代,随着智能设备的普及和数据处理技术的成熟,搜索引擎、社交网络、电子商务等互联网信息服务快速发展。信息以前所未有的方式自由流动和跨境传输,由此引发了个人数据保护法域外效力的扩张。相较于早期的《数据保护指令》,新近通过的欧盟《一般数据保护条例》增加了域外适用情形,将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业也纳入了规制范围。纵观世界范围内的个人数据保护法,多数国家已设立域外适用条款,扩大法律的域外效力已经成为国际社会的主流做法。就当前信息产业发展和个人信息保护规范的现状而言,我国应借鉴欧盟立法经验,在未来的个人信息保护法中设立域外适用条款,扩大法律的地域适用范围。

欧盟《一般数据保护条例》新规则评析

欧盟《一般数据保护条例》已于2016年5月4日正式颁布,将于2018年5月25日生效。《条例》扩大了地域适用范围,增强了数据主体的权利,特别是引入了'数据可携带权'和'被遗忘权',制定了更加多样化的跨境数据传输方式,对涉及'数据画像'的数据处理行为制定了更加严格的规则。这些规则反映了欧盟在个人数据保护立法方面的新趋势,值得分析和借鉴。

数字经济视野中的欧盟《一般数据保护条例》

数据是数字经济的关键生产要素,数据保护和利用规则构成了数字经济的底层架构。欧盟《一般数据保护条例》的出台与其重振数字经济、推动欧盟数字一体化市场的雄心密不可分。但在数据权利作为基本权利和欧盟各国作为数据经济消费国的背景下,《一般数据保护条例》对数字经济造成了不利影响,可能戕害创新、伤及互联网成熟业态、阻碍新兴产业的发展。我国应洞见其经济实质,作出有效的回应,并在《个人信息保护法》的制定中审慎借鉴相关规则。

区块链环境下个人数据权利保护的困境与突破——以欧盟《一般数据保护条例》为例

随着人工智能技术的发展,全球进入“数据驱动”时代,数据流动在创造价值的同时也带来了日趋严重的“数据污染”问题。欧盟《一般数据保护条例》建构了基于数据生命周期的个人数据自决权体系和数据风险管理体系,规定了严格的问责制,引入了被遗忘权概念,目的在于建立以欧盟规则为蓝本的全球数据治理规则体系。区块链作为下一代全球信用认证和价值互联网基础协议之一,有助于实现数据共享和保证数据安全。然而,区块链的去中心化特征、共识算法机制与时序回溯结构,在责任主体的核定、数据权利的行使以及权利保护模式的甄选上,与各国现行个人数据保护立法存在法律适用上的困难。构建区块链与个人数据权利保护耦合的路径,应在识别区块链多元主体身份的基础上引入多元化的利益平衡机制和隐私保护方案,建立以数据安全管理为核心的数据保护管理体制,并通过制度构建和有效监管兼顾各方利益的平衡,为推进区块链技术与个人数据保护相融合提供良好的法律保障体系。

欧盟《一般数据保护条例》对我国个人信息保护的启示

随着互联网信息技术的快速发展,种类繁多的"APP"在我国迅速普及,给个人信息安全造成极大隐患,导致当前我国个人信息泄露及侵犯公民信息案件频发,强化个人信息保护迫在眉睫。2018年5月25日生效的欧盟《一般数据保护条例》被称为史上最严个人信息保护立法,从多个方面强化对个人信息主体权利的保护,对我国加强个人信息保护具有一定借鉴意义。

论个人信息保护中知情同意原则之完善——以欧盟《一般数据保护条例》为例

对知情同意原则进行完善既是信息社会的时代要求,更是我国未来《个人信息保护法》立法工作的一项重要任务。欧盟2016年4月27日通过的《一般数据保护条例》对欧盟现有知情同意原则的完善对我国立法具有重要的借鉴意义。知情同意原则是信息自决权的前提和基础,是信息处理正当性的一般依据和特殊依据,但并非信息处理正当性的唯一依据。我国未来立法应正确认识同意的价值定位、明确有效同意的五个要素、构建敏感个人信息的特殊同意规则、规定同意的举证责任倒置、加强儿童信息处理同意的保护。

欧盟《一般数据保护条例》对国际服务贸易规则的影响

为了保护隐私权,欧盟制定了《一般数据保护条例》(GDPR),保护个人数据和规范数据跨境流动是其两大目标。为了符合GDPR的要求,非欧盟企业客观上只有两种选择:要么撤出欧盟市场,要么将数据本地化,否则将面临巨额罚款。实际上,数据本地化构成了贸易壁垒,违反了《国际服务贸易总协定》第16和17条。为了促进数字贸易,以《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《欧盟日本经济伙伴关系协定》(EPA)和《美墨加协定》(USMCA)为代表的新型区域贸易协定禁止数据中心本地化设置。为此,欧盟应设法消除任何数据本地化要求的可能性,同时应设法完善GDPR下的充分性决定机制。GDPR客观上对国际服务贸易规则产生了深远而广泛的影响。为了因应国际服务贸易规则的新发展,中国应引导与推动《服务贸易总协定》(GATS)的改进,加速构建促进个人信息保护、数据有序流动和保护公共利益相协调的新型数字贸易规则;借鉴欧盟与美国缔结的《隐私盾协议》,与欧盟开展有关数据跨境流动的双边协议谈判。

欧盟《一般数据保护条例》下区块链的数据保护义务

基于数据孤岛时代的集中式数据处理系统而设计的欧盟《一般数据保护条例》与以分散式数据管理为特征、代表未来发展方向的区块链之间存在一定的紧张关系。保护基本权利和促进创新都是《一般数据保护条例》的规范目标,因此,应尽可能对条例进行目的解释以调和两者之间的矛盾。我国应当汲取欧盟《一般数据保护条例》的经验与教训,根据不同产业下个人数据保护的要求,建立以《个人信息保护法》为基础,以专门性法规为补充的个人数据保护法律机制,在权利保护和科技创新之间实现动态平衡,而不应过早对区块链相关的各类创新实践加以过于严苛地限制,以免妨碍区块链技术的进一步发展。

论欧盟《一般数据保护条例》对我国跨境电商营销的挑战及启示

欧盟《一般数据保护条例》涉及众多复杂的概念、规则、条款。国内研究存在时间滞后、学科交叉研究缺乏、相关概念界定不明等问题,更缺乏对企业开展跨境业务指导的支撑理论研究。我国跨境电商企业在欧盟的营销业务由于条例个人信息概念泛化、新增删除权和可携权等权利类型而面临挑战,许多惯用的营销方式亟须调整。但条例实施不应仅被视为企业营销的障碍,也可启发企业更加专注本土化、有序安排合规工作来增强自身竞争力。

论欧盟《通用数据保护条例》的域外效力

2018年欧盟《通用数据保护条例》的实施被视为“数字人权”项下个人数据权保护的“典范”,其重要原因在于其以条例的域外效力契合数据跨境治理的现实需要。条例第三条通过两个维度的设计去搭建个人数据保护的域外适用框架:第一,“经营场所标准”:倘若欧盟境外数据控制、处理、使用等主体采取的数据行为与欧盟境内经营场所具有不可分割的某种联系,那么就要受到条例的规制;第二,“目标指向标准”:若境外数据控制者、处理者等所展开的数据行为是针对欧盟境内的数据主体,那么其亦受到条例的约束。虽然两个标准相互补充,但条例的域外效力仍然面临着考验。条例域外效力的经验和考验,也为我国提供了宝贵的经验和启示。

欧盟精细化数据立法下的数据保护与流通

近年来欧盟数据领域的立法重点产生了一定的价值转向,欧盟法作为大陆法系的重要组成部分与我国法律体系一脉相承。研究欧盟数据立法进程所彰显的法治精神和价值导向对于我国数据治理工作具有一定借鉴意义。以欧盟有关数据治理的宪章、公约、条约、战略、法律与法案为分析文本,对欧盟系列规范性文本进行共时性与历时性的双维度研究以厘清其立法思路演变与路径选择。在研究过程中发现欧盟对于数据这一新型生产要素在被纳入法律视野中后而产生的数据权这一概念存在着从传统人格权向财产权的认知转变,进而梳理出欧盟从传统的数据保护转向数据流通与赋能的立法嬗变趋势,并得出对我国数据治理的三点启示:数据战略建构应追求结构体系化、数据权利创设应考虑利益多元化和数据流通模式设计应遵循场景类型化。

大数据时代的数据主体权利及其未决问题——以欧盟《一般数据保护条例》为分析对象

大数据技术将世界万物迅速地数据化,人类个体也由此获得了一个新的身份———数据主体。大数据技术为数据主体创造了更多的福祉、自由和价值,也带来了个体权利的风险。为了回应这一问题,欧盟的《一般数据保护条例》主张数据主体拥有知情权、访问权、更正权、删除权(被遗忘权)、反对权、限制处理权和数据可携带权等数据权利。数据权利的法律化致力于尊重和保护数据主体的隐私、自主、尊严和利益,但是该条例仍然无法妥善解决数据权利与信息自由的内在冲突、永久性删除与技术性隔离的两难、原生数据的保护和衍生数据的无为以及算法歧视的阴影与公正权利的诉求等问题。对欧盟GDPR所主张的数据主体权利及其未决问题的分析期待能为中国数据治理模式的探究提供学理基础。

个人信息使用的三个关键点——以欧盟《通用数据保护条例》为视角的分析

2018年3月16日（美国当地时间），Facebook突然宣布暂时封杀剑桥分析公司。两日后，Facebook被曝出5000万用户信息遭泄露。起因是2013年剑桥学者Alksandr Kogan以学术用途名义合法获取Facebook的用户信息，私下却将其交给剑桥分析公司。剑桥分析公司未经用户同意，对这些个人信息创建档案，并被指用以干扰美国大选。

欧盟《通用数据保护条例》框架下智能传播平台数据合规风险防控

智能传播中的数据行为可能引发个人数据保护的法律问题,尤其是可能遭遇欧盟《通用数据保护条例》域外适用而被处罚。智能传播平台真正提高数据合规风险防控能力,要提高隐私政策透明度,设计赋能机制确保用户个人信息自决权;收集数据时对个人数据分级、分类区别保护;处理数据须有合法性根据,技术程序须具正当性;数据流动与融合的同时输出与共享匹配的合规能力,注意责任划分和第三人权利;还应做好内部日常监管和对外部监管的协助。

欧盟《通用数据保护条例》框架下我国跨境旅游企业合规路径

国际旅游服务贸易和旅游投资快速发展中,大数据的运用带来旅游服务模式改革和经济价值提升,但侵犯消费者个人资讯隐私权的数据处理行为比比皆是。欧盟《通用数据保护条例》的域外适用使得面向欧盟市场的中国跨境旅游企业有必要在该条例框架下处理欧盟境内消费者的个人数据,从而避免合规风险。应从设计着手对产品和服务进行隐私设计,始终以消费者同意为中心,履行实现数据主体权利的义务,规范数据处理行为,主动采取技术和组织措施防控风险。

欧盟《通用数据保护条例》的亮点与启示——兼论隐私与个人信息保护

欧盟《通用数据保护条例》(General Data Protection Regulation)及附属规定自2018年5月25日起在欧盟成员国正式生效。该条例总结和整合了欧洲个人信息保护的经验,被称为"史上最严"的个人信息保护立法。本文建议借鉴该条例的理念和做法,注重理念培育和制度推进,加快我国个人信息保护立法,加强个人信息保护监管;开展个人信息保护风险等级评估,统一认证标准和标识;拓展责任追究维度,有效保障信息主体的权利。