本期关键词：数据 个人信息 立法

2021年6月，《中华人民共和国数据安全法》通过。2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）历经三审正式通过，标志着我国个人信息保护法治发展迈向新阶段。对内而言，该法总结我国数十年来治理经验，开启我国个人信息保护法治发展新篇章；对外而言，该法充分借鉴国际经验，兼顾与欧盟《通用数据保护条例》等国际通行规则接轨，助力我国参与全球数据治理。

数字经济时代，个人信息保护法治需要兼顾信息主体权益保护与个人信息合理利用。立法规制数据保护与利用，在全球成为重要议题。各国依据自身能力定位和价值选择，采取不同的利益平衡模式，构建本国的数据保护方案，以促进自身利益最大化。数据立法进入新高潮。

                          图片来源于网络

一、俄罗斯通过个人数据立法修正案

2021年3月8日，俄罗斯数字产业部修订了之前由该部制定并由杜马州研究和通过的联邦法律“关于个人数据”的立法草案，拟规定个人数据匿名化需用户同意。该法案在2021年2月16日通过了一审。

根据俄罗斯数字产业部提出的修正案，个人数据的匿名化只能在获得个人同意的情况下进行，或者在俄罗斯联邦法律在个人数据领域中规定的其他情况下才能进行。修正案规定，企业将能够自由处理匿名数据。同时，为了确保对俄罗斯人的个人数据的保护，建议对处理数据的运营商引入一些限制。例如，操作员将无法使用其他信息、操作和方法来帮助确定特定主题对个人数据的所有权。除匿名数据外，还将禁止把信息传输给将识别特定人的第三方。除非需要保护人类生命或健康，否则将禁止对数据进行匿名处理。

俄罗斯数字产业部作为个人信息保护立法的专门机构，近期对于个人数据保护立法的修订频频，不仅反映了信息技术产业发展过程中的问题不断出现，立法的适应性需要不断强化，同时也体现出俄罗斯在数字经济时代试图在立法方面与时俱进，以进一步达到个人数据权利保护和促进产业发展的双重目标。俄罗斯个人数据保护立法的此次修订同时体现了个人信息保护和产业发展的双重目标，没有对任何一端采取过度具有倾向性的态度。总体来看，此次修改具有以下特征：

一是更加强化了对个人数据主体合法权益的保障，巩固了数据主体的控制权。企业对个人数据进行匿名化时必须经过个人的同意，从全球范围的角度来看，这在立法中也非常少见；

二是对将个人数据传输给第三方的行为也是做了严格的规制，原则上是禁止的，豁免情形也非常少，只有需要保护人类生命或健康一种情形；

三是同时也注重了企业和产业的发展利益，在立法中明确规定，对于匿名数据，企业是具有自由处理的权利的，虽然具有限制，但并没有对匿名化提出过于严苛的要求，在实践中，企业操作起来具有一定的可行性，有利于自身的数字化发展。

                           图片来源于网络

二、韩国一年内第三次修订《个人信息保护法》并发布全球首部《数据基本法》

2021年1月，韩国个人信息保护委员会向社会公众发布了《个人信息保护法（修正案草案）》。这是韩国在一年内第三次修订《个人信息保护法》。

韩国在跨境数据流动领域有着天然的需求，作为战后经济急速发展的代表国之一，对外开放与贸易需要数据资源的不断流转。韩国在加入APEC跨境隐私规则体系（CBPR）之后，便开始进行欧盟充分性认定审查申请程序。韩国为了确保能够通过欧盟的审查，对韩国个人信息保护三大立法进行修订。2020年2月4日，韩国对《信息通信网络的利用促进与信息保护等相关法》、《个人信息保护法》、《信用信息的利用与保护法》等个人信息保护相关法律作出大范围修订，对法律条款进行整合，将个人信息保护相关规定内容统一由《个人信息保护法》规定，并修订完善现行制度，解决有关监管人员混乱、重复监管等问题。不过，仅仅过了1个月，韩国又再一次修订了《个人信息保护法》，新增化名处理方式，进一步完善个人信息保护委员会的机构设置，加强其作为个人信息保护控制塔的功能，明确对与信息和通信服务提供商的个人信息处理等有关的特殊情况适用该法的特殊规定。

不过，韩国个人信息保护委员会认为《个人信息保护法》仍存在一些问题，需要加强在数字经济大的背景下公民可能被削弱的个人信息权利，同时，积极响应新技术新应用带来的个人信息保护新型挑战。

此外，2021年10月12日，韩国科学和信息通信技术部（MSIT）宣布，国务会议通过了《数据产业振兴和利用促进基本法》（以下简称《数据基本法》），旨在为发展数据产业和振兴数据经济奠定基础，并将于2022年4月全面实施。《数据基本法》是全球首部规制数据产业的基本立法，对数据的开发利用进行统筹安排。根据该法，韩国将在总理办公室下设国家数据政策委员会，作为国家数据产业政策的管理机构，并将每三年审议并发布一版数据产业振兴综合计划。此外，韩国政府将系统化地扶持数据分析、交易供应商等专门的数据企业。《数据基本法》还提出培养数据经纪商作为数据经济的促进者，并构建数据价值评估、资产保护和争端解决机制等内容。

由于韩国现行法律多集中于规制个人信息处理者的个人信息处理行为，对数据产业缺乏在资金、技术、专业知识等方面的政策支持，因此《数据基本法》建立了数据交易/分析的报告系统，为数据交易、分析活动以及市场主体提供系统、全面的支持。

数据的流通涉及生产关系中的各个环节，数据之上承载了多方主体的利益，是个人、企业和社会之间复杂社会关系的映射，如何解决围绕数据所产生的诸多争端，是各国政府面临的难点问题，为此，《数据基本法》设立了纠纷调解委员会，专门负责解决与数据产生、交易和使用有关的各类纠纷；由于数据无实物形态且具有非货币性，传统的价值评估方式并不适用于数据，而且数据价值受数据数量、数据种类、数据深度、数据完整性和数据实时性等多种因素影响，对数据进行价值评估在市场层面存在较大困难，为此，《数据基本法》还设立了数据价值评估委员会、资产保护保护委员会推进数据资产化运行。

                 韩国《个人保护法修正案》 图片来源于网络

三、日本《个人信息保护法》修正案生效

2021年5月12日，日本国会通过了包括《为形成数字化社会完善相关法律的法案》（以下简称 “完善法案”）在内的6部数字化改革法律案。完善法案要求对个人信息保护制度进行审查修改，提高行政程序的效率，提高“我的号码卡（My number card，是日本政府发行给日本公民和外国居民的12位数字号码IC卡。可作为身份证明文件，还可用于社会保险、在线办理行政手续、办理各种证明文件等）”的便利性等。《个人信息保护法》修正案（以下简称 “修正案”）作为完善法案一部分，也与完善法案同时生效。

                  日本“我的号码卡” 图片来源于网络

《修正案》的核心在于立法的统一化，将《个人信息保护法》、《行政机关保有的个人信息保护法》和《独立行政法人等保有的个人信息保护法》整合为一部法律，规定关于地方公共团体个人信息保护制度的共同规则，并明确个人信息保护委员会进行统一监管等。

《修正案》中的个人信息保护立法统一化表现为国家层面的法律统一化和各地方公共团体条例的共同规则两方面。

在国家法律层面，第一是实现医疗、学术领域个人信息保护规则的统一；其次是对学术研究的排除适用被细化为每项义务的例外，而不是进行统一的义务免除；第三是完成个人信息等定义的统一与非识别加工信息规则的重构。《修正案》还规定了由个人信息保护委员会对民营企业、国家行政机关、独立行政法人、地方公共团体等主体进行统一监管。此外，《修正案》还包括禁止不当使用个人信息、合理收集个人信息、报告信息泄露情况、限制向境外第三方提供个人信息、接受个人相关信息的主体的措施要求，以及与处理假名加工信息有关的义务等等。

总体来看，各国已逐渐从依靠信息技术、综合国力等外在因素进行资源抢占的斗争格局转向依靠立法选择正确性、规范技术精细化等内生因素进行资源利用、资源创造的竞争格局和合作姿态。

（参考来源：安全内参、CCIA数据安全工作委员会、信通院互联网法律研究中心等）