▲在資料經濟時代,不只人類的勞力有價值,連人類在網路上的「足跡」都能變現。(圖/取自免費圖庫Negative Space)
● 王德瀛/資訊工業策進會科技法律研究所專案經理
中國人大常委會近日正在審議《中華人民共和國個人信息保護法(草案)》。中國人大常委會法制工作委員會並在10月21日時公佈草案全文,向公眾徵求意見。這是自2008年學者將個人信息保護法草案送交中國國務院審議的十餘年後,中國在個人資料保護上面的少見動作。
但為什麼中國要選在這個時候開始進行個人資料保護規範的立法工程呢?
作為一個在自由之家「2020年全球自由報告」中被列為最不自由的國家,如果單純是為了要加強當事人資訊隱私權的保護,對中國這個非自由憲政主義國家來說,應該無法完整解釋他的動機——縱使這原因之一,應該也不能認為是最主要的因素。
然而這個動作如果放在全球(個人)資料經濟興起的脈絡下進行討論,就合理的多。事實上,這次中國個資法草案中,也延續了網路安全法、保險法等一連串資料在地化的趨勢,在資料的跨域流動上做出限制。
草案不但納入資料在地化規定,要求關鍵資料基礎設施營運者和處理大量個資的處理者,將資料儲存在境內外,也對資料跨境傳輸做了一般性的限制。而草案對跨境傳輸所考慮的內容,與歐盟日本新加坡等國「白名單」模式不完全相同——除了個資保護,還多了「國安」以及「貿易競爭」的考量。
根據草案規定,中國的國家網信部門如果認為境外的資料處理危及中國的國家安全,可以將其列入限制或禁止傳輸的對象。同時,如果中國認為其他地區對其在個資的處理上採取歧視性的限制或禁止措施,中國可以以相應措施報復。
▲華為確實是中國國家資本主義的代表公司之一,該公司近年卻遭到美國政府的各式「封殺」。(圖/路透)
事實上,這是一個資料跨境流動越來越重要的新時代。根據調查在2005年到2014年間跨境的資料數量已經擴張45倍,全球已經有3.6億人口在使用跨境的電子商務消費。大量的資料交換帶來大量的跨國商機,如何在信任環境下交換個資一直是個重要問題。在這樣的背景之下,所有個人資料保護的規範,都可以從資料經濟的角度重新理解。
歐盟在「歐盟數位單一市場」戰略下,推動一般資料保護規則(GDPR)的立法。而歐盟這種「在境內嚴格限制個資保護,在跨境以白名單、契約監督關係為主進行隱私控管」的模式,強勢的影響了許多其他國家的立法,而成為資料跨境治理模式的暫時領先者。同時,也將「歐盟式」的個資保護規範輸出到法制後進國家中。
近年來金磚國家中印度及巴西的個資法立法過程,就可以明顯看到歐盟GDPR的影子。
與此相較,美國則企圖利用APEC跨境隱私保護規則(CBPR)體系,闖出一條不同的道路。CBPR是一個透過政府背書、第三方個資認驗證制度進行把關的政府間個資責信管理系統。相較於歐盟GDPR,CBPR是一個更以企業個資保護能力為核心,在維持基礎隱私標準後,尊重各國個資保護脈絡的管理模式。它具有更高的彈性,以及相較之下較低的規範密度。
▲來自於歐盟的GDPR影響全球個資法規甚巨,連台灣都試圖極力爭取GDPR的「適足性認定」。(圖/Pixabay)
目前,共有我國、美國、墨西哥、日本、加拿大、韓國、新加坡、澳洲、菲律賓等9個經濟體參與CBPR,佔我國貿易量的近4成。近年來,CBPR體系對於國際跨境資料規則的影響越來越大,日本、新加坡都將他列為個資合法跨境傳輸的條件之一。根據日經新聞的報導,美國也正主導談判,推動CBPR體系的擴大,希望使非APEC國家如巴西等,也能參與CBPR體系,大有與歐盟一別苗頭之意。
相較於歐、美主導的兩大跨境資料交換規則體系,中國個資法草案這種強調資料在地化、國家安全以及平等對待與對等報復的規範模式,不得不讓人想起他透過網路長城發展網路產業的過往經驗。中國許多的網路巨擘,就是憑藉著網路長城對國外競爭者設下許多限制,而迅速發展起來的。
現在,中國又將隱私保護以外的因素納入跨境的要求之中。這些規定,無疑的會有利於中國企業取用中國個資,而降低其他國家企業使用這些個資的可能性與方便性。或許,憑藉著大量人口衍生的大量個人資料,正是中國在這場全球數位資料市場發展競爭中,所挑選的致勝武器吧?
熱門點閱》
● 以上言論不代表本網立場。歡迎投書《雲論》讓優質好文被更多人看見,請寄editor88@ettoday.net或點此投稿,本網保有文字刪修權。
我們想讓你知道…所有國家對個人資料保護的規範,都可以從資料經濟的角度重新理解,中國也不例外。