序
2015年9月，國務院印發(fā)《促進大數據發(fā)展行動綱要》，明確“加大大數據關鍵技術研發(fā)、產業(yè)發(fā)展和人才培養(yǎng)力度，著力推進數據匯集和發(fā)掘，深化大數據在各行業(yè)創(chuàng)新應用，促進大數據產業(yè)健康發(fā)展；完善法規(guī)制度和標準體系，科學規(guī)范利用大數據，切實保障數據安全”。綱要明確了7方面政策機制：一是建立國家大數據發(fā)展和應用統(tǒng)籌協(xié)調機制；二是加快法規(guī)制度建設，積極研究數據開放、保護等方面制度；三是健全市場發(fā)展機制，鼓勵政府與企業(yè)、社會機構開展合作；四是建立標準規(guī)范體系，積極參與相關國際標準制定工作；五是加大財政金融支持，推動建設一批國際領先的重大示范工程；六是加強專業(yè)人才培養(yǎng)，建立健全多層次、多類型的大數據人才培養(yǎng)體系；七是促進國際交流合作，建立完善國際合作機制。黨的十九大報告從國家發(fā)展戰(zhàn)略層面提出:“加快建設制造強國，加快發(fā)展先進制造業(yè)，推動互聯(lián)網、大數據、人工智能和實體經濟深度融合，在中高端消費、創(chuàng)新引領、綠色低碳、共享經濟、現(xiàn)代供應鏈、人力資本服務等領域培育新增長點、形成新動能�！�
在大數據應用快速發(fā)展的同時,國內外屢屢出現(xiàn)數據泄露、數據權屬界定不清、數據收集無序等惡性事件。身份盜竊資源中心（Identity Theft Resource Center）和網絡偵察（CyberScout）的報告顯示，2017年前11個月，數據泄露事件持續(xù)猛增，數量增加到1202起，比2016年全年的1093起多出了10%。除了政府機構和財富500強的最終客戶的數據被泄露之外，第三方承包商和數據集成商，以及安全廠商和解決方案提供商自身的數據也被泄露。攻擊者的攻擊范圍也從信用卡號碼擴大到選民登記細節(jié)以及密碼和加密密鑰等方面。此外，自2017年以來，這些重大的數據泄露事件引發(fā)的安全問題數量也在不斷增加。這些安全問題大多是由于錯誤配置或者使用安全性較差的云服務器引起，例如,“勒索軟件(WannaCry)全球蔓延”“徐某某遭電信詐騙致死”“國內酒店2000萬入住信息遭泄露”等事件。2016年9月22日，全球互聯(lián)網巨頭雅虎證實，2014年至少有5億用戶的賬戶信息被人竊取，竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。
大數據時代，在充分挖掘和發(fā)揮大數據價值的同時，必須處理好數據安全與個人信息保護等問題。
2017年6月1日施行的《網絡安全法》特別對企業(yè)機構泄露數據的問題作出規(guī)定，要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性，并保障個人對其信息的安全可控。但是《網絡安全法》在個人信息保護方面只是構建了一個體系，缺乏可操作性。為了進一步保護個人數據，我國應及早制定個人數據保護法，明確個人數據的法律性質、個人數據權利的性質、個人數據的權利歸屬，構建個人數據權利在受到侵害時的救濟體系。為了推進個人數據保護的立法，方便社會各界對相關內容進行研究，中國政法大學互聯(lián)網金融法律研究院和大數據與法制研究中心，選取7個國家和地區(qū)近期比較具有權威性的有關數據保護的法律文件，開展了《國際數據保護規(guī)則要覽》的翻譯與出版工作。
德國《聯(lián)邦數據保護法》（Federal Data Protection Act）包括3個部分，共48節(jié)（另有1個附件）。該法旨在執(zhí)行歐洲議會和理事會于1995年10月24日通過的《有關個人資料處理以及數據自由流動中的個人保護的第95/46/EC號指令》（OJEC第L281號），界定了“公共機構”“私人機構”“個人數據”“自動處理”“修改”“匿名”等關鍵詞的含義，擴大了個人數據保護范圍，賦予了數據官更多權能以更好地實現(xiàn)個人權利保護。
加拿大《個人信息保護法案》（Personal Information Protection Act）于2003年10月23日通過，2004年1月1日實施，共12個部分、60條。其規(guī)范對象為從事個人信息商業(yè)運作的機構，包括與信息采集、使用和披露相關的作業(yè)。法律定義個人信息為“個人識別信息”，但不包括姓名、職務、辦公地址、辦公電話；法律描寫的“商業(yè)活動”是指任何交易，即具有商業(yè)特征的常規(guī)活動，包括銷售、換貨、出租。該法案對個人隱私權的保護，主要體現(xiàn)在個人信息保護條款之中。
法國《數字共和國法案》（Digital Republic Law）于2016年10月7日頒布，共4編、113條。該法引入了許多新的規(guī)定，旨在對數字經濟進行一體化的管理，管理內容包括數據開放、在線合作經濟、打擊色情行業(yè)、訪問互聯(lián)網等。該法對與隱私相關的行業(yè)來說十分重要，在歐盟《一般數據保護條例》生效之前，該法率先對法國《1978年數據保護法》和其他法律作出了一系列重要修訂。
英國2017年《數據保護法案（草案）》（Data Protection Bill \[HL\]）由英國數字、文化媒體和體育部于2017年8月7日發(fā)布，共7個部分、194條。該法案進一步強化了對個人信息的保護，給予了公民更多的個人信息控制權，完善了對企業(yè)利益的保護，也為刑事司法機構設定了專門的數據保護框架�！�…
歐盟《一般數據保護條例》（General Data Protection Regulation）。為了應對數字時代個人數據的新挑戰(zhàn)，并且確保歐盟規(guī)則的前瞻性，歐盟委員會重新審視現(xiàn)有的個人數據保護法律框架，于2012年11月制定了具有更強包容性和合作性的《一般數據保護條例》。該條例于2016年5月25日公布，2018年5月25日生效，正文部分共6章、99條。其目的在于在當今快速的技術變化中，加強對歐盟所有人和物聯(lián)網的隱私權保護，并簡化數據保護的管理。新的數據監(jiān)管方案將取代1995年歐盟數據保護指令，著重強調個人隱私權利以及歐盟內部的隱私和安全法律。
新加坡《個人數據保護法》（Personal Data Protection Act）于2012年通過，共10章、68條（另有9個附件）。該法列出了企業(yè)在數據收集、使用、披露等環(huán)節(jié)的重要義務，授予了委員會各種權力以執(zhí)行法令和調查違反法令的職權，賦予了個人保護其個人信息的各項權利（包括獲得權和修改權），通過設立個人數據保護委員會以及特殊的登記方式，對個人數據的處理活動進行管理，以鞏固新加坡作為可信的、世界級商業(yè)中心的地位。
韓國《個人信息保護法》（Personal Information Protection Act）于2011年3月29日公布，2011年9月30日生效，共分為9章、75條（另有附錄7條）。由總則、個人信息保護政策的樹立、個人信息的處理、個人信息的安全管理、信息主體的權利保障、個人信息紛爭調停委員會、個人信息團體訴訟、附則、罰則等章節(jié)組成，對個人信息保護的基本原則、個人信息保護的基準、信息主體的權利保障、個人信息自決權的救濟等問題作出了全面規(guī)定。
通過對以上7個個人數據保護法律文件的翻譯與研究發(fā)現(xiàn)，各個國家對個人數據的保護不僅是在私權的層面，還通過國家公權力制定行業(yè)標準、技術標準和法律強制性規(guī)范，對個人數據進行保護。具體措施是通過擴大數據控制者的義務、強化他們的自我約束和完善政府監(jiān)管機構的監(jiān)督管理體系，實現(xiàn)個人數據的保護與相關法律的實施。另外，通過建立由監(jiān)管機構主導的行政救濟制度框架對數據主體進行維權。這樣的立法理念是基于數據客體本身的特征，尤其是數據主體難以實現(xiàn)網絡空間中個人數據的自我保護。因為網絡空間的行為數據是在網絡基礎實施上形成的，不僅具有專業(yè)技術性，還具有隱蔽性，行為者無法實現(xiàn)自我保護。因此，僅僅在私法層面給予數據主體保護形同虛設，無法達到保護數據主體的立法目標。我國未來的個人數據保護法應解決以下三個方面的問題：一是平衡數據應用和數據保護；二是解決個人數據私法保護的失靈；三是避免政府監(jiān)管的失靈。平衡數據應用和數據保護是為了避免私法神圣的絕對化和身份平等的極端化。私法神圣的絕對化會限制數據的社會價值和經濟價值的發(fā)揮；身份平等的極端化會成為處于優(yōu)勢地位的數據控制主體在數據應用中隨心所欲的依據。解決個人數據私法保護的失靈，即避免數據客體本身特征和網絡空間特殊性導致的數據主體與數據控制主體的信息不對稱和行為隱蔽性等。避免政府監(jiān)管失靈，是因為數據客體本身的特征與網路空間的行為與數據形成的特點會使監(jiān)管主體無法進行有效的監(jiān)管。
因此，個人數據保護法立法要解決的三個方面的問題，決定了個人數據保護立法不僅應從私法層面進行，還需要國家公權力介入。但由于數據客體本身的可無限復制性、使用的無消耗性、數據主體對數據的無控制性、數據控制主體應用數據行為的隱蔽性等特點，我們應從加大數據應用主體義務的層面進行立法。
中國政法大學互聯(lián)網金融法律研究院和大數據與法制研究中心在進行翻譯與研究工作的同時，歷經三年對“數據應用的法律問題研究”（中國政法大學的科研專項課題）課題進行了系統(tǒng)研究。研究內容包括：數據、大數據、信息的界定，數據的法律性質，數據權利的性質，數據權利的歸屬，數據行為與法律關系，數據監(jiān)管，政府數據的開放與共享，數據的跨境流動和《個人數據保護法》草案。相關研究成果將于2018年5月出版。
在中國政法大學的支持和領導下，金融監(jiān)管部門、公檢法和網信辦部門的支持下，中國政法大學互聯(lián)網金融法律研究院和大數據與法制研究中心在大數據應用法律問題與立法方面，取得了一些研究成果，這僅僅是我們的第一步。我們將更加努力，為我國從數據大國發(fā)展成為數據強國的法學研究和立法工作做出應有的貢獻。
李愛君
于北京
2018年2月8日