【文章內(nèi)容簡介】 立的本地化規(guī)則事實(shí)上也順應(yīng)了當(dāng)前世界主權(quán)之爭從網(wǎng)絡(luò)上升到數(shù)據(jù)的變革趨勢，如果說《網(wǎng)安法》對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的本地化要求是以網(wǎng)絡(luò)安全為出發(fā)點(diǎn)，那么草案將本地化要求輻射到“處理個人信息達(dá)到一定量級的處理者”則以數(shù)據(jù)安全為立足點(diǎn)，體現(xiàn)了立法者對于本地化要求的關(guān)注點(diǎn)從網(wǎng)絡(luò)安全層面延伸到數(shù)據(jù)安全層面，以及以網(wǎng)絡(luò)為中心轉(zhuǎn)向數(shù)據(jù)為中心的立法思維的進(jìn)步，是立法者在各國數(shù)據(jù)主權(quán)博弈態(tài)勢下所做出的積極回應(yīng)。 當(dāng)然在實(shí)際執(zhí)法過程中，“處理個人信息達(dá)到一定量級的處理者”的規(guī)定可能帶來一定不確定性。一方面，如何界定個人信息的量級可能存在一定爭議，如參考《雙高解釋》，個人信息量級的計(jì)算將以個人信息主體的數(shù)量為維度計(jì)算，但考慮到現(xiàn)實(shí)中企業(yè)處理個人信息的數(shù)量呈動態(tài)波動的趨勢，具體數(shù)量的認(rèn)定可能存在一定難度。極端情況下，如一家跨國企業(yè)由于員工數(shù)據(jù)達(dá)到了網(wǎng)信部門規(guī)定的數(shù)量，此時跨國企業(yè)是否需要或者有必要根據(jù)草案要求將此前在中國收集存儲在境外的員工數(shù)據(jù)全部本地化；另一方面，數(shù)量為依據(jù)的計(jì)算方式可能會出現(xiàn)“螞蟻搬家”的規(guī)避方式，企業(yè)可能將數(shù)據(jù)存儲在不同子公司所運(yùn)營的信息系統(tǒng)，或者以多個關(guān)聯(lián)公司的名義來處理數(shù)據(jù)，以規(guī)避處理數(shù)量達(dá)到量級所帶來的本地化要求。如果上述情況確有可能規(guī)避本地化要求，考慮到實(shí)質(zhì)上同樣數(shù)量的數(shù)據(jù)仍然會發(fā)生跨境或者境外存儲，是否需要結(jié)合跨境安全評估等規(guī)則來進(jìn)一步規(guī)范？ 因此，我們理解具體規(guī)則的構(gòu)建可能還有待網(wǎng)信主管部門出臺進(jìn)一步的規(guī)章或指南予以指導(dǎo)，當(dāng)然我們也不排除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者與如達(dá)到一定數(shù)量的個人信息處理者間在事實(shí)上存在競合。進(jìn)一步確認(rèn)將處理個人信息達(dá)到規(guī)定數(shù)量納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的認(rèn)定標(biāo)準(zhǔn)，在立法上將本地化要求限定于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或可一定程度解決上述問題。八、個人信息可攜權(quán)是“ 烏托邦” 還是“ 救命稻草” ？個人在個人信息處理活動中所享有的權(quán)利一直是個人信息保護(hù)立法過程中備受關(guān)注的重點(diǎn)話題。草案第四章在《網(wǎng)安法》與《民法典》的基礎(chǔ)上對于個人信息主體在個人信息處理活動中的權(quán)利作了進(jìn)一步明確與細(xì)化，個人在個人信息處理中的知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱復(fù)制權(quán)、更正權(quán)、刪除權(quán)在草案中到得到了進(jìn)一步確認(rèn)。我國對于個人信息主體權(quán)利的設(shè)置與歐盟 GDPR，巴西 LGPD等相關(guān)規(guī)定類似，但與 GDPR相比，草案與《網(wǎng)安法》及《民法典》一樣，并沒有賦予個人信息主體 GDPR第 20條中所規(guī)定的 “數(shù)據(jù)可攜權(quán)”。正如立法者在草案說明中所述，對一些尚存爭議的理論問題，應(yīng)在本法中留下必要空間。但可攜權(quán)的現(xiàn)實(shí)難度和立法精神并不妨礙需要我們用時代的眼光來審視可攜權(quán)需要的變化和未來可能的發(fā)展空間。在 GDPR 語境下，數(shù)據(jù)可攜權(quán)主要包括“數(shù)據(jù)主體有權(quán)下載存儲在數(shù)據(jù)控制者處的個人數(shù)據(jù)”和“條件允許時數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者為其將數(shù)據(jù)傳輸給其他控制者”兩方面基本內(nèi)容，當(dāng)然 GDPR為其設(shè)立了“行使可攜權(quán)不得妨礙執(zhí)行公共利益和官方授權(quán)所需，及不得對他人權(quán)利和自由造成不利影響”的例外情形。[29]從技術(shù)可實(shí)現(xiàn)性和經(jīng)濟(jì)成本考慮，數(shù)據(jù)可攜權(quán)自提出之日就被質(zhì)疑，代表觀點(diǎn)認(rèn)為這種權(quán)利將導(dǎo)致數(shù)據(jù)使用效率的犧牲而失去存在的價值。[30] 草案并未接受 “可攜權(quán)” 作為個人信息主體的權(quán)利，其背后是什么的考量？我們目前是否做好了數(shù)據(jù)可攜落地的充分準(zhǔn)備？這些問題還需要我們分別從數(shù)據(jù)可攜權(quán)其背后隱藏的多方主體的權(quán)益平衡談起。 從數(shù)據(jù)主體的立場來看，可攜權(quán)的理論基礎(chǔ)來源于最初確立于德國聯(lián)邦憲法案例“人口普查法案”的信息自決權(quán)。[31]但事實(shí)上，信息自決被理解為對個人信息絕對的控制權(quán)實(shí)乃人們對該案判決的誤讀。[32] 將個人信息作為客體排他性地歸屬于信息主體的做法，無法為他人的行為劃定清晰的禁區(qū)，因此也不可能構(gòu)成私權(quán)意義上、受侵權(quán)法保護(hù)的民事權(quán)利。一般認(rèn)為，在為保護(hù)個人信息的隱私利益而行使自決權(quán)時，也應(yīng)受到相應(yīng)的合理限制。[33] 這里的合理限制，其中的相當(dāng)大的因素考量在于數(shù)字企業(yè)在用戶數(shù)據(jù)之上享有的一定 “財產(chǎn)權(quán)利益”。[34]應(yīng)該考慮到，數(shù)據(jù)可攜權(quán)強(qiáng)化個人對于個人數(shù)據(jù)的絕對控制權(quán)的同時，必將減損為維護(hù)數(shù)據(jù)資源投入高額成本的企業(yè)的利益、不合理地增加企業(yè)運(yùn)營成本。此種信息自決空間是否過寬、影響社會和產(chǎn)業(yè)秩序有效運(yùn)轉(zhuǎn)本就值得研討。 數(shù)據(jù)可攜不僅是個人數(shù)據(jù)保護(hù)法的調(diào)整對象，也是競爭法的調(diào)整范圍。[35]從數(shù)據(jù)作為戰(zhàn)略資源角度而言，用戶數(shù)據(jù)資源的市場占有率已成為現(xiàn)代數(shù)字驅(qū)動型企業(yè)的獨(dú)特競爭性優(yōu)勢。目前例如“頭騰大戰(zhàn)”在內(nèi)普遍而多發(fā)的企業(yè)間數(shù)據(jù)爭奪不正當(dāng)競爭案例已足以證明這一點(diǎn)。但試圖利用數(shù)據(jù)可攜權(quán)來破除數(shù)據(jù)壟斷，可能只是一廂情愿的“烏托邦”。有觀點(diǎn)認(rèn)為，賦予個人數(shù)據(jù)主體數(shù)據(jù)可攜權(quán)能夠有效制約互聯(lián)網(wǎng)巨頭對于數(shù)據(jù)的壟斷地位，促進(jìn)數(shù)據(jù)自由流動，打破數(shù)據(jù)市場準(zhǔn)入障礙[36]，但該種觀點(diǎn)只關(guān)注了頭部巨型企業(yè)，事實(shí)上，在尚未形成成熟的數(shù)字產(chǎn)業(yè)體系基礎(chǔ)之上貿(mào)然引入數(shù)據(jù)可攜權(quán)制度，更為嚴(yán)重的問題可能是急劇加重中小企業(yè)負(fù)擔(dān)。[37]根據(jù)“鎖定效應(yīng)”理論，先進(jìn)入市場的積累了大量用戶的企業(yè)（先發(fā)優(yōu)勢企業(yè)）對數(shù)據(jù)具有絕對性的先占優(yōu)勢，在占有大量數(shù)據(jù)的同時，先發(fā)優(yōu)勢企業(yè)為了保護(hù)自身已形成的優(yōu)勢地位，會采取各種方式提高行業(yè)準(zhǔn)入的門檻，最典型的方式就是將數(shù)據(jù)進(jìn)行封鎖，提高用戶轉(zhuǎn)換服務(wù)商的成本。[38]此外，數(shù)據(jù)可攜的落地可能還會引發(fā)和變相鼓勵企業(yè)間“搭便車”的不正當(dāng)競爭，隨之而來的可能是各種繞過數(shù)據(jù)可攜的技術(shù)壓制，反而加劇圍繞數(shù)據(jù)的“分封割據(jù)”，最后形成個別巨型企業(yè)獨(dú)占山頭的局面，恰恰違背了數(shù)據(jù)可攜的制度初衷，從而埋下了違反競爭法確定基礎(chǔ)秩序的隱患。但盡管數(shù)據(jù)可攜權(quán)爭議較大，實(shí)施難度極高，但其立法基于個人信息主體權(quán)益主動權(quán)利的本意，以及蘊(yùn)含的技術(shù)中立性和“烏托邦”精神，仍然值得我們思考。個人信息從個體控制向多方控制發(fā)展的趨勢盡管可能無法改變，設(shè)置可攜權(quán)或者其他權(quán)利促使數(shù)據(jù)標(biāo)準(zhǔn)化和有條件的自由流動可能在數(shù)據(jù)成為生產(chǎn)要素的時代困難重重，但我們期待突破數(shù)據(jù)瓶頸后的智能時代，類似的權(quán)利能夠發(fā)揮更大的作用。在當(dāng)下，可攜權(quán)在特殊情況下仍有生存的空間。在某些數(shù)據(jù)流轉(zhuǎn)嚴(yán)格監(jiān)管的行業(yè)，比如金融及醫(yī)療健康等，由于立法滯后禁止不具備相應(yīng)資質(zhì)機(jī)構(gòu)處理行業(yè)數(shù)據(jù)，確實(shí)存在無法實(shí)現(xiàn)數(shù)據(jù)安全流轉(zhuǎn)，發(fā)揮數(shù)據(jù)價值的困局。在這種特殊時期，實(shí)際上機(jī)構(gòu)或企業(yè)對于可攜權(quán)并不抵觸，企業(yè)與個人信息主體之間從數(shù)據(jù)角度不存在利益矛盾，從數(shù)據(jù)有序流轉(zhuǎn)的目標(biāo)出發(fā)，甚至有動力促使個人信息主體行使可攜權(quán)來打破數(shù)據(jù)孤島。因此是否有條件的設(shè)置可攜權(quán)能夠達(dá)到多主體利益平衡并且保障個人信息安全，可能仍然是具有現(xiàn)實(shí)意義的討論。九、如何看待個人信息違法的高額處罰？秉持著我國立法體系特色，草案第七章以專章的形式規(guī)定了個人信息違法行為應(yīng)負(fù)的“法律責(zé)任”。草案第六十二條用兩款規(guī)定了違反本法規(guī)定處理個人信息或者未采取必要的安全保障措施的行政監(jiān)管責(zé)任，其中備受關(guān)注的是草案在《網(wǎng)安法》的基礎(chǔ)之上大幅度提高了處罰力度，并與 GDPR采取了相似的處罰方式，以最高罰金限額以及年度營業(yè)額百分比（5%）作為處罰限額。針對時下個人信息監(jiān)管的嚴(yán)峻形勢，草案為監(jiān)管部門實(shí)施個人信息違法處罰提供了強(qiáng)有力的法律支撐。英美普通法系下經(jīng)典的“效率違約”[39]理論一定程度上或可解釋提高處罰額度的合理性，個人信息處理者在考量包括罰款在內(nèi)的違法成本與經(jīng)濟(jì)收益對比后，如若認(rèn)為放棄合規(guī)努力時仍然有利可圖乃至收益結(jié)構(gòu)優(yōu)化，監(jiān)管處罰必然僅停留在法律文本之中。然而，監(jiān)管處罰的目標(biāo)不僅停留在處罰本身，評估處罰機(jī)制的指標(biāo)之一便是其是否能幫助糾正個人信息違法。根據(jù)歐盟委員會此前就 GDPR實(shí)施兩周年的評估報告 [40] 來看，通過使用監(jiān)管工具，在 2018年 5月 25日至 2019年 11月 30日期間，22個歐盟/歐洲經(jīng)濟(jì)區(qū)的 DPA 共開出約 785張罰單。從數(shù)量上看，行政處罰并不占少數(shù)，但從效果上來說，NGO 組織 Access Now指出，與各DPA收到的投訴量相比，罰款次數(shù)仍然很少，這意味著 “大量的投訴沒有得到解決”。[41] 草案通過立法提高處罰額度實(shí)乃應(yīng)時、應(yīng)勢而為，但與此同時，考慮將違法主體以是否主要依靠個人信息處理獲得經(jīng)濟(jì)利潤為標(biāo)準(zhǔn)予以界分進(jìn)而來評估具體監(jiān)管處罰的實(shí)施；在多場景下配合運(yùn)用“吊銷執(zhí)照”、“停止個人信息處理”等其他處罰工具，也可能成為未來進(jìn)一步細(xì)化罰則的可能方向?？偨Y(jié)與展望 草案作為我國個人信息保護(hù)專門立法，立足國內(nèi)信息領(lǐng)域具體實(shí)踐、充分借鑒域外立法經(jīng)驗(yàn)，回應(yīng)了時下的產(chǎn)業(yè)與法律實(shí)踐的熱點(diǎn)難點(diǎn)，一定程度上揭示了今后的立法與執(zhí)法趨勢，例如嚴(yán)格規(guī)范授權(quán)同意形式、以數(shù)據(jù)本地化為視角監(jiān)管數(shù)據(jù)跨境傳輸、提升違法行為的處罰力度等。這些規(guī)定在與國際個人信息保護(hù)規(guī)則標(biāo)準(zhǔn)對接、與網(wǎng)安法、民法典等相關(guān)法律規(guī)范做好銜接與細(xì)化工作的同時，也為日后配套法規(guī)的頒行預(yù)留了通道，彰顯了立足國情的務(wù)實(shí)態(tài)度，為國際個人信息保護(hù)立法貢獻(xiàn)了中國方案。尤為可貴的是，草案站在促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的戰(zhàn)略高度，以將個人信息保護(hù)思路從網(wǎng)絡(luò)為中心進(jìn)一步豐富為以數(shù)據(jù)為中心，并兼顧經(jīng)濟(jì)生活的復(fù)雜性，為我國將數(shù)據(jù)作為新生產(chǎn)要素的數(shù)字社會轉(zhuǎn)型夯實(shí)基礎(chǔ)。我們有理由期待，經(jīng)充分討論、完善與打磨后的個人信息保護(hù)法，將平衡好個人信息權(quán)益保護(hù)與有序自由流動的辯證關(guān)系，規(guī)范個人信息處理活動、保障廣大人民個人信息權(quán)益、激發(fā)數(shù)字產(chǎn)業(yè)活力，在數(shù)據(jù)主權(quán)激烈競爭的國際環(huán)境下為我國數(shù)字經(jīng)濟(jì)發(fā)展帶來新機(jī)遇。第二篇：個人信息保護(hù)為公眾生活筑一道“防火墻”個人信息不但是一個公民的身份證明，還包含了其生活中最重要的方方面面，它的泄露不僅會給人們帶來生活上的困擾，更有甚者，還會造成財產(chǎn)的損失和情感的欺騙。隨著信息流通渠道的多樣化，泄露個人信息的行為呈愈演愈烈的態(tài)勢，對于個人信息的保護(hù)必須引起重視。近年來，公民個人信息被泄露的問題頻繁發(fā)生。從絡(luò)繹不絕的廣告短信和郵件到隔三差五的業(yè)務(wù)推銷電話；從虛假的銀行卡消費(fèi)通知到企圖詐騙的短信和電話，泄露他人信息就像是一個大眾課題，不論是在被泄露的內(nèi)容和泄露途徑上，或是在泄露后信息的去向和用途上，都在不斷推敲中衍生出越來越多的不法用途。大到“棱鏡門”丑聞，小到手機(jī)上的小廣告，人們對于個人信息的保護(hù)意識正在不斷形成，但仍難以避免其不脛而走。究其緣由主要在于當(dāng)下信息傳播的平臺多，轉(zhuǎn)手速度快，為信息的泄露增添了更多可能性，加之掌握個人信息的企業(yè)單位缺少行業(yè)自律，民眾對自身信息的保護(hù)意識不強(qiáng)，同時缺少相關(guān)的法律法規(guī)保障，對不法分子層出不窮的欺騙手段難免心有余而力不足。為了保護(hù)民眾的隱私，我們需要變被動為主動，分別從個人信息泄露前、泄漏中、泄露后三方面一起努力。保護(hù)個人信息，應(yīng)在信息泄露前增強(qiáng)自我保護(hù)意識。雖然近些年命眾對于自身信息的保護(hù)意識有所增強(qiáng)，但日益增多的欺騙手段往往讓人們防不慎防。所以，可以通過街道、居委會分發(fā)《居民個人信息保護(hù)小貼士》和開展防范信息泄露講座等形式，普及個人信息泄露的案例和信息自我保護(hù)的方法，在人們心中筑起攔阻“大壩”，從源頭防止個人信息被利用。保護(hù)個人信息，應(yīng)加大信息泄露過程中的監(jiān)察力度。目前，社會上倒賣各種身份信息的現(xiàn)象猖獗，信息傳播途徑的多樣化更讓不法分子有恃無恐。鑒于此，應(yīng)當(dāng)提高相關(guān)部門人員在如網(wǎng)絡(luò)通信等技術(shù)上的專業(yè)素養(yǎng)，加大對各個渠道個人信息泄露的監(jiān)察力度，對于易發(fā)生信息泄露的關(guān)鍵點(diǎn)和關(guān)鍵途徑要嚴(yán)格管控，嚴(yán)厲查處，防止個人信息的進(jìn)一步傳播和倒賣。保護(hù)個人信息，還應(yīng)該在信息泄露后加大懲處力度。建立并完善相關(guān)的法律法規(guī)，對于泄露他人信息和利用他人信息進(jìn)行不法操作的行為作出嚴(yán)肅處理，提高不法分子的犯罪成本。還值得注意的是，在竊取個人信息的渠道中，也不乏對正規(guī)渠道的利用。如銀行、保險公司、醫(yī)療機(jī)構(gòu)、物流公司等，這些深受民眾信任的場所也成了個人信息泄露的重災(zāi)區(qū)。所以，應(yīng)加強(qiáng)相關(guān)企業(yè)負(fù)責(zé)人及員工的職業(yè)道德教育，提高行業(yè)自律和信息倫理意識，減少不法分子的可乘之機(jī)。個人信息是屬于個人的，但對個人信息的保護(hù)是屬于全社會的。只有形成涵蓋全社會的個人信息保護(hù)體系，為公眾的生活筑起一道“防火墻”，才能讓個人有隱私，讓信息有保障。第三篇：個人信息保護(hù)保護(hù)個人客戶信息 有效防范金融詐騙近年來，關(guān)于銀行客戶個人信息屢屢外泄的新聞不斷出現(xiàn)在各大媒體報道中，這類重要信息管理缺失行為不僅給客戶帶來經(jīng)濟(jì)和人身危害，也極大的影響到商業(yè)銀行社會公信力的塑造。應(yīng)該看到，各類商業(yè)銀行都建立了完善的客戶信息保密制度，通過技術(shù)和政策支持也規(guī)避了部分泄密問題，但客戶信息失密事件屢見不鮮且利用常規(guī)管理方式即可避免風(fēng)險。如何解決當(dāng)前存在的客戶信息泄密問題，需要銀行監(jiān)管部門和商業(yè)銀行高管層、各層級管理者認(rèn)真思考。本文拋開利用計(jì)算機(jī)技術(shù)竊密犯罪因素，僅根據(jù)“銀行――社會中介――客戶信息需求方”的泄密通道，通過問題描述和現(xiàn)狀反思，圍繞強(qiáng)化銀行員工思想政治教育、建立聲譽(yù)約束的外部監(jiān)管機(jī)制，以及建立同業(yè)聯(lián)盟的信息公開平臺來防范泄密和詐騙事件的發(fā)生。一、履職過程中存在的泄密行為假設(shè)銀行的客戶信息保密制度設(shè)計(jì)是沒有瑕疵的，在此基礎(chǔ)上所存在的問題可歸納為以下三個方面。（一）銀行部分人員的風(fēng)險意識淡薄金融機(jī)構(gòu)向社會大眾提供負(fù)債、資產(chǎn)、中間業(yè)務(wù)和其他新興業(yè)務(wù)，在提供服務(wù)的過程中掌握了大量的個人客戶信息，個人金融信息和個人客戶信息必然成為不法之徒追逐利用的目標(biāo)，其中，最有可能成為失密信息大量使用重災(zāi)區(qū)的是資產(chǎn)類業(yè)務(wù)。如個人住房貸款、個人消費(fèi)貸款，尋求該信貸業(yè)務(wù)的客戶會被社會中介重點(diǎn)關(guān)注，他們的個人信息也成為市場其他產(chǎn)品（如家居類產(chǎn)品、裝修、保險等）供應(yīng)者的商業(yè)資源。部分銀行員工在風(fēng)險意識、保密意識淡薄的情況下，將客戶信息發(fā)布出去。發(fā)布方式可能是口述、紙質(zhì)方式、電子郵件、不當(dāng)處理的垃圾等。（二）銀行部分人員的利益偏好使然在現(xiàn)代商業(yè)社會客戶信息已成為重要的經(jīng)濟(jì)資源，對該信息的壟斷性獲取將為賣方提供商機(jī)。由此，客戶信息需求方為了獲得這種商機(jī)，便有意愿通過商品交換形式來求助于社會中介，而社會中介在人際關(guān)系處理和商品交易原則下，便可能獲得目標(biāo)客戶的銀行信息。不難看出，這表現(xiàn)為銀行部分人員與社會中介之間的利益交換關(guān)系。（三）銀行部分人員與中介勾結(jié)金融業(yè)競爭日趨激烈，大部分銀行將業(yè)務(wù)指標(biāo)與員工收入緊密掛鉤，為完成或超額完成分配的業(yè)務(wù)指標(biāo)，獲取薪金收入或業(yè)務(wù)獎勵，部分員工有意無意地放寬保密規(guī)定，為協(xié)助中介達(dá)成交易