在数字化浪潮中,数据的资产属性越来越显著,数据被称为二十一世纪的“石油”。但同时,科技公司和平台对个人信息的过度收集和滥用成为亟待规制的问题,数据的违法采集和汇总不仅会影响个人的权益,更是会影响国家的信息安全。因此,各国立法机构都在不遗余力的推进数据保护的立法,也在寻找对数据应用平衡赋能的方法。当合规的边界越清晰,企业和公民利用数据赋能的效用就越明显。目前,中国、美国、欧盟都有数据保护的法律体系。本文将通过不同维度展开对三大法域的数据保护法的分析比较,以期在比较研究的视野下得到有益的结论。 一、三大法域数据保护的法制文化渊源比较 1、欧盟:对基本人权之一的隐私权的保护历史悠久 欧盟率先于2016年颁布《通用数据保护条例》(General Data Protection Regulation, GDPR),这是目前世界上最全面的数据保护法,被许多国家相继效仿,成为数据保护法领域的“黄金标准”。自18年GDPR付诸执行以来,已经取得了不少成果。仅在2020-2021年间,GDPR就记录了12万余数据侵权通知,总罚款近1.6亿欧元【1】。欧盟在数据保护立法和执行上的领先地位,这与其将隐私权作为最基本的人权之一进行保护的悠久历史是分不开的。 在此之前负有盛名的《欧洲人权公约》第八条就规定,每个人的“私人及家庭生活、其家庭以及其通讯隐私”的权利与自由必须受到尊重【2】。对个人尊严和人权的尊重也被写入《里斯本协定》,成为了所有欧盟公民被保护的权利之一。 徒法难以自行,GDPR还赋予了各国政府较大的监管权力。这也根植于欧洲人民的信念:政府应该积极主动地保护人民的权利【3】。与美国政府相比,欧洲国家的政府常常会更加主动地去保护民众的权益。譬如,当企业做出了对社会有害的事情时,是政府而不是个人来起诉企业,或是对其作出处罚。 2、美国:“总统是靠不住的” 与欧洲相比,美国人民对政府则更多的持有不信任的态度,这可能与美国早期开拓者基本都是厌恶的政府和教会强势统治的清教徒有关。比起大公司而言,他们更加担心政府以保护个人隐私之名行侵犯隐私、自由之事。对于美国人来说,欧洲政府一些以保护人格尊严为名实行的措施是不可想象的。例如,在一些欧洲国家,政府可以以保护人格尊严的名义否决父母为新生儿起的名字,德国的官员更是时常以此名义限制新闻自由【4】。 对于美国人而言,“隐私权”的定义是免于政府监控的自由、是在私人住所中不受打扰的权利。《权利法案》的第四修正案禁止政府对任何个人和私有财产进行搜查和无理扣押,而美国的法院也大体上支持这项权利。然而,当一个人离开他的家时,这样的隐私权就消失了,而当雇员进入公司时,他也被视为自动放弃了他的隐私权【5】。 美国人对政府的高度不信任,使得GDPR所代表的较为严苛的数据保护标准很难通过,再加上美国两党之间的分裂,短期内联邦层面的全面数据保护法在美国国会通过是几乎不可能的任务。即便国会最终达成了共识,美国的数据保护法也将与GDPR有极大区别,比如,在执法上就不会如GDPR一般严格。因此,美国并没有形成在联邦层面的大一统的数据保护法。 3、中国:具有以大共同体为本位的法治传统 与其他文明的传统社会相比,传统中国的法治文化更趋向于以大共同体为本位,小共同体性和个体为从属的权力布局模式,多采取自上而下的大共同体“一盘棋”,以整体利益均衡为先导的治理体系【6】。因此,从目前中国数据保护的立法体系来看,也是国家层面基于安全价值的立法较为先行,而对个人隐私及个人信息的立法后行。《网络安全法》和《数据安全法》这两部保护国家信息安全的立法是中国数据保护体系的奠基石,而保护个体权益的《个人信息保护法》在此之后出台,表明了之一立法取向。 在地方立法上,经济较为发达的地区,如深圳经济特区,已经出台了地区性的个人信息保护条例。这也体现出中国数据保护立法的独特布局。地方立法不仅可以适应该地区的独特需要,更可以作为中央立法的试点,即便导致一定的利益失衡也可以在地方层面解决,从而避免在国家层面上的失衡。 二、三大法域的数据法律保护体系 1、欧盟数据保护法律体系 1、欧盟的立法 欧盟拥有独立的法人资格(legal personality)并拥有立法权,成员国有义务将欧盟制定的法律纳入国家法律秩序中。欧盟的立法分为一级(primary)和二级(secondary)。一级立法为条约(Treaties),如《里斯本协定》,而二级立法为基于条约规定的其他法律,GDPR就属于二级立法。 《通用数据条例》(GDPR)与它的前身、1995年制订的《数据保护指令》相比,在立法层级上更高,效力更强、更加直接,能够为个人提供更好的数据隐私保护。在欧盟的立法系统里,条例(Regulations)相比指令(Directives)具有更高层级,条例具有普遍适用性、整体约束力和直接适用性。其适用对象(私人、成员国、欧盟机构)必须完全遵守这些规定。条例一旦生效,不需要转换为成员国法律就可以直接适用。指令与条例相同地具有约束力,但是需要通过成员国当局转换进成员国法律方能适用。 2、 欧盟数据保护体系 目前,欧盟数据保护领域一共有两项立法:GDPR和《数据保护执法指令》(The Data Protection Law Enforcement Directive)。GDPR管理的领域是个人数据处理、保护自然人数据和此类数据的自由流动,而《数据保护执法指令》则是针对处理刑事犯罪相关的个人数据。因此对于商业公司来说,只需要注意服从GDPR的要求就可以。 GDPR的执法由各个欧盟成员国负责,而欧盟层面则设立了欧洲数据保护委员会(EDPB)作为监管机构,确保数据保护规则在整个欧盟范围内得到一致应用。EDPB的任务包括为GDPR的一些关键概念作出解释、就与个人数据保护和欧盟新立法提案相关的问题向欧盟委员会(European Commission)提供建议、在成员国监管机构之间发生争端时作出裁定【7】。 虽然GDPR直接适用于欧盟各成员国,但是不同成员国的执法力度不同,就导致了不同成员国的数据保护程度之间的区别。在2020年,罚款最多的国家法国的总罚款金额是一亿三千八百万欧元,而罚款最少的国家爱沙尼亚仅有548欧元的罚款总额。从罚款数量上来看,西班牙排名第一,在2020年作出了128项罚款,而立陶宛仅作出了1项罚款【8】。 为了防止企业特地选择执法力度低的国家作为诉讼地,GDPR禁止了择地诉讼(forum shopping)的行为。2020年,谷歌公司为了躲避法国数据保护局(CNIL)的5000万欧元天价罚单,在诉讼中声称位于爱尔兰的谷歌子公司才是谷歌在欧盟的中央管理机构,管辖权应属于爱尔兰的数据管理局。法国最高法院驳回了谷歌的诉求,认为爱尔兰的谷歌子公司并没有对其他欧洲分公司的实际控制权,其许多权力是在谷歌被CNIL罚款后才转移到爱尔兰子公司,因此CNIL对谷歌的罚款仍旧有效【9】。这个案例为谷歌上了昂贵的一课,即便不同国家的执法力度有所区别,跨国公司也不能随意地择选诉讼地。 2、美国数据保护法律体系 1、联邦层面的数据保护法 与欧盟不同,美国联邦层面并没有一个全面的数据保护法,美国的数据保护法律体系由几百部不同领域和层级的法律组成,执法机构和力度也各不相同。以下会列举几部在联邦层面有效、影响力较大、涉及不同领域的数据保护法: (1) 格拉姆·里奇·布莱利法案 (The Gramm Leach Bliley Act, GLBA) GBLA管理储存在银行、保险公司和其他金融服务行业中的个人信息。该法案要求一切提供金融服务的公司保护非公共的个人信息(Non-Public Personal Information, NPI)、限制个人信息的揭露、同时规定在信息泄露发生时必须通知顾客。 (2) 公平信用报告法 (The Fair Credit Reporting Act, FCRA) FCRA限制对消费者个人信用信息的收集和使用,对信用信息收集的方式、时长和分享作出规定。根据FCRA的规定,消费者有权确认其信用报告的准确和真实性、在其信用报告被用于信贷或其他交易时收到通知、在信用报告不准确时提出修改意见。 (3) 健康保险可携性及责任法案(The Health Insurance Portability & Accountability Act, HIPAA) HIPAA对个人医疗保健数据作出保护。任何提供医疗保健服务的机构都必须服从HIPAA的规定。简单来说,只要能过通过数据追踪到具体的个人,那么这个数据就受到HIPAA的管辖。 (4) 儿童线上隐私保护法(Children’s Online Privacy Protection Act, COPPA) COPPA规定,收集13岁以下儿童的个人信息必须获得其法定监护人的同意。COPPA规定了网站运营商必须在隐私政策中包含的内容、如何获得儿童法定监护人的同意、保护儿童在线隐私安全的责任、对儿童营销的限制【10】。 (5) 联邦贸易委员会法案(The Federal Trade Commission Act, FTC Act) 美国联邦贸易委员会是美国在隐私领域最重要的监管机构之一,它的监管范围涵盖了所有的商业实体。FTC Act第五条规定:影响商业的不公平或者欺骗性的行为和做法被宣布为违法(unfair or deceptive acts or practices in or affecting commerce are declared unlawful)。 FTC对不公平的定义是:对消费者可能造成重大损害的、难以被消费者避免的、不会被其他利益所抵消的行为。FTC对欺骗的定义是:可能误导消费者的陈述、遗漏或做法。根据定义,泄露消费者的数据属于不公平的行为,在合同中承诺保护消费者的隐私却没有做到属于欺骗性行为。因此,为了符合FTC Act,公司在合同中对保护消费者隐私的承诺必须是真实的,公司内的信息安全标准必须是完善而受到广泛认可的。 虽然FTC是美国领先的数据保护执法机构,但它的执法力度收到诸多限制。FTC不能对首次违反规定的企业罚款,只能与企业达成同意令,要求企业给出更全面的、符合规定的隐私保护计划。只有当企业再次违反时,才能够进行罚款。 即便在联邦层面,美国有一系列的立法,但这些“拼凑式”的立法只能对特定行业、特定类型的数据进行保护,无法像GDPR一样为个人提供全面的数据保护。美国国会内数据保护法的提案由于争议过大、各方意见不统一的缘故通过的希望渺茫。在州立层面,有些州却已经制定了较为完善的数据保护法。 2、州立数据保护法 在州立数据保护法中,首当其冲的就是以GDPR为蓝本制定的加利福尼亚消费者隐私法案(California Consumer Privacy Act, CCPA)。该法案于2018年通过、2020年生效,为加州的企业施加了新的义务,包括向消费者透露企业搜集的个人信息的具体种类、来源和用途。CCPA也赋予了消费者新的权利,例如,消费者有权向企业要求删除其储存的个人信息、拒绝企业将其个人信息销售给第三者【11】。 在2021年上半年,弗吉尼亚州制定了消费者数据保护法(Consumer Data Protection Act, CDPA),成为了第二个拥有全面的数据保护法的州。这或许代表着美国各州将陆续制订全面的数据保护法,填补联邦层面立法的空缺。 3、 中国数据保护法律体系 就目前而言,中国采取了数据安全保护为先导,个人数据权利跟随的立法策略,但个人的维权行动较为困难,面临着难以取证、责任主体难以确定、维权效果不佳等种种问题。 1、现有法律法规 (1) 《中华人民共和国数据安全法》 《数据安全法》于2021年6月10日正式通过,9月1日起正式实行,是我国数据安全领域的基础性法律,也是中国网络法律法规体系的重要组成部分。其重点是保护国家安全,强化了对重要数据、核心数据的保护。在保护数据安全的同时,《数据安全法》确立了数据交易制度,在保障数据安全的基础上促进数据的有序流动,有助于数据交易活动的发展【12】。 (2) 《中华人民共和国网络安全法》 于2016年11月7日发布的《网络安全法》是中国数据保护法律体系的奠基石,以维护我国网络空间主权为目的,完善了网络安全监管体制【13】。同时,《网络安全法》也明确对公民个人信息安全进行保护,规定网络运营者对已收集的公民个人信息有安全保护义务,在发生个人信息泄露时有采取补救措施和告知报告义务。 (3) 《中华人民共和国民法典》 《民法典》人格权编中明确规定了民事主体享有隐私权,且自然人的个人信息受法律保护。《民法典》赋予了个人隐私的信息权益人格权属性,但是并不属于个人信息保护的专门法律,没有涉及到个人非隐私和非私密信息的请求权、救济、保护机制和流通交易。 (4) 《中华人民共和国个人信息保护法》 于2021年8月20日通过的《个人信息保护法》是中国第一部全面的个人信息保护法。该法与欧盟的GDPR有许多相似之处,赋予了数据主体知情权、访问权、纠正权、删除权等权利,违反本法的最高可以处以五千万元或上一年度营业额百分之五的罚款,将有效地保护数据主体的权利。综合来讲,与专注于保护个人信息的GDPR相比,该法在公共安全和数据跨境方面的要求更加严苛【14】,体现出中国数据保护法律体系对国家安全的重视。 (5) 《中华人民共和国消费者权益保护法》 《消费者权益保护法》规定消费者个人信息享有依法得到保护的权利,经营者收集、使用消费者个人信息应当遵循合法、正当、必要原则,并采取必要措施防止消费者个人信息泄露【15】。 (6) 《深圳特区数据条例》 《特区数据条例》于2021年6月29日通过,2022年1月1日起实行。《特区数据条例》是国内数据领域首部基础性、综合性立法【16】,在个人数据保护方面与《个人信息保护法》基本一致。 2、政府规章与行业标准 (1) GB/T 35273-2020《个人信息安全规范》(代替GB/T 35273-2017) 《个人信息安全规范》属于国家推荐性标准,被鼓励采用,但没有强制效力。《安全规范》是现阶段中国个人信息保护领域唯一的标准,对企业和执法机构均有重要意义,对企业在《个人信息保护法》通过之后、应用之前的合规政策有重要参考价值。 (2) 《APP违法违规收集使用个人信息行为认定方法》 2019年11月28日,《APP违法违规收集使用个人信息行为认定方法》发布,为监督管理部门认定App违法违规收集个人信息提供了重要参考。《认定方法》列举了违法违规收集个人信息的行为,为多地开展的App违法违规收集使用个人信息专项治理提供了监管规范和法律基础,被最高人民检察院发布的《检察机关个人信息保护公益诉讼典型案例》中引用,证明了其在我国个人信息保护实践中的重要价值。 4、三大法域中针对个人数据保护权利进行保护的种类比较 在下表中,笔者选取了三大法域中较有代表性的针对个人数据保护的法律进行了比较。其中,GDPR作为世界数据保护法的“黄金标准”、《个人信息保护法》作为中国第一部全国性的的大一统的个人数据保护法、《深圳特区数据条例》作为全国第一部大一统的地方性个人数据保护法、CCPA作为美国第一部大一统的州立个人数据保护法,其重要性都是不容忽视的,也能反映出各自法域在建构个人数据保护制度上的尝试和努力。 (1) GDPR赋予的权利释解 - 知情权(Information to be provided where personal data are collected from the data subject):数据主体的知情权指的是,当该主体的个人数据在被收集、处理或转移时,数据控制者有义务告知该数据主体数据控制者的身份和联系方式、数据保护官的联系方式、数据处理将涉及的个人数据的使用目的、类型、接受者等【17】。
- 访问权(Right of access):数据主体有权访问数据控制者对其个人数据处理的细节,包括该主体的个人数据是否被处理、处理的目的、个人数据的类型、数据接收者的信息(是否在第三国、是否是国际组织)、个人数据将被储存的时长、是否被用于进行个人画像等信息。
- 更正权(Right to rectification):数据主体有权要求数据控制者更正与其相关的不准确的个人数据、有权提供补充说明以补全不完整的个人信息。
- 删除权/被遗忘权(Right to erasure/right to be forgotten):数据主体有权要求数据控制者在合理期限内删除与其有关的个人数据,除非处理该个人数据有其他必要情形。
- 限制处理权(Right to restriction of processing):在特定情况下,数据主体有权限制数据控制者处理其个人数据,比如当个人数据的准确性受到数据主体的质疑,在一段时间内该数据的处理将被限制,直到数据控制者确认该数据的真实性。
- 可携权(Right to data portability):数据主体有权从数据控制者处获得与其有关的个人数据,并且该数据应该以一种有结构的、常用的、可读的方式展现。数据主体也有权要求数据控制者将其数据转移给其他控制者,且不得进行任何阻碍
- 拒绝权(Right to object):数据主体有权在任何时刻拒绝对其个人数据的处理。数据控制者不得再处理其个人数据,除非数据控制者证明有压倒性地正当理由对该数据主体的个人数据进行处理,且该正当理由超过了数据主体的利益、权利和自由。
- 不受自动化处理约束的权利(the right not to be subject to a decision based solely on automated processing):数据主体有权不受自动化处理的决定的约束,除非该主体明确同意、或是该处理对数据主体跟数据控制者之间的合同是必须的【18】。
(2)《个人信息保护法》赋予的权利释解 - 知情同意权:个人信息处理者处理个人信息应当取得个人同意,并以显著方式、清晰易懂的语言向个人告知处理者的身份和联系方式、处理目的、方式、种类和保存期限等事项。
- 访问权、可携权:个人有权向个人信息处理者查阅、复制个人信息。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
- 更正权:个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
- 删除权:个人有权要求个人信息处理者删除个人信息,若保存期限未满、或是删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
- 限制处理权、拒绝权:个人对其个人信息的处理享有决定权,有权限制或拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外【19】。
(3) 小结 通过以上的对比,不难看出在个人数据权利上,这三个法域的典型数据保护法所保护的个人权利十分相似、有很多重叠之处。这不仅说明个人数据权利的共通性,更说明在全球化的时代,与国际接轨也是立法中需要考虑的一部分。GDPR就有规定欧盟的数据不能被出境到对个人数据保护不足的国家和地区。在细节上,GDPR对个人数据权利的定义更加细致和丰富,而《个人信息保护法》的定义则较为简略,表现出中国和欧盟这两个法域不同的立法取向。 三、三大法域数据违规处罚的典型案例研究 1、欧洲:CNIL v. Google 亮点:确立了“信息透明度”、“用户合法同意”的法律标准;体现出对个人数据权利保护的重视 2019年1月21日,法国数据保护监管机构CNIL依据GDPR向Google LLC作出五千万欧元的罚款,理由是缺少透明度(lack of transparency)、提供的信息不充分(inadequate information)、缺少用户对广告个人化的合法同意(lack of valid consent regarding ads personalization)【20】。 CNIL在它的官方网站上对罚款的决定作出了详细的解释,主要的原因有两点:一、谷歌违反了确保信息透明度的义务;二、谷歌在缺乏用户合法同意的情况下进行广告个人化处理。 CNIL认为,谷歌提供给用户的信息获取门槛不够低,用户无法轻易地取得与其个人数据处理相关的重要信息。同时,谷歌并未提供清晰的信息让用户理解谷歌处理个人数据的目的。谷歌对个人数据进行了大量处理,但是并没有为其提供详细的解释,导致用户无法认识到谷歌提供的服务的多样性、对数据处理的程度和数量。因此,用户在没有了解到足够信息的情况下给出的同意不能作为谷歌处理个人信息的法律基础。 其次,根据GDPR的要求,数据控制者只有在用户明确对每一个数据处理的目的表示同意时才算是获得了具有合法性的用户同意。用户在创建谷歌账户时必须完全同意谷歌的隐私政策,这样的同意缺乏针对性,而且展示的选项都是提前勾在了“同意”上,没有符合GDPR对用户同意明确度的要求。 该案例体现出GDPR对个人信息保护的重视,用户中含有欧盟公民的企业应当仔细确认对个人信息的收集和隐私政策的设计、发布方式是否符合GDPR的要求。 2、美国:Federal Trade Commission v. Facebook 亮点:体现出美国司法“契约规制”和“诉辩交易”的模式;与GDPR相比更为宽松,保护商业自由 2019年7月24日,美国联邦贸易委员会(FTC)宣布对Facebook作出高达50亿美元的罚款,理由是Facebook违背了2012年与FTC达成的同意令(consent decree),侵犯了用户的个人信息权利。 这个案例很好地展现了美国在数据合规监管上独特的“契约规制”的方法。我们知道,美国的司法制度里,经常会存在“诉辩交易”,检察官为了使嫌疑人认罪而提出较为宽松的量刑作为交换。FTC对美国公司的监管模式就符合“契约规制”和“诉辩交易”的模式:公司第一次违法如果签订同意令则可以轻轻放过,但如果第二次违法,惩罚将非常严厉。 2012年,Facebook因欺骗消费者、未能保持对用户隐私保护的承诺而与FTC达成了同意令,承诺在未来将维持一个全面的隐私保护计划、保护用户的隐私【21】。因为这是Facebook第一次违反FTC Act,所以FTC并没有做出罚款,但是在Facebook未能按照同意令保护用户隐私、屡次三番侵犯用户个人信息安全的时候,FTC就作出了50亿美金这样史无前例的巨额罚款。 这样的监管模式和欧盟GDPR的监管模式比较起来,无疑是更加宽松的。这体现出美国在对待隐私上更注重商业自由的价值观,但并不代表美国公司就可以肆意侵犯隐私,因为正如FTC对Facebook作出的50亿美元罚款表现的,第二次违法的代价将非常严重。 3、中国:检察机关个人信息保护公益诉讼典型案例 亮点:中国数据合规保护诉讼由检察院提起的公益诉讼主导;检察院可借助第三方专业检测机构的帮助;不同行政部门之间互相配合以对涉案企业进行整改和处罚 在中国的个人信息保护实践中,虽然各行业协会、行政机构会开展测评活动,督促企业进行自我整改,但公权力所带来的威慑力还是监管方式中最直接有效的【22】,与个人信息保护相关的案例也更多是由检察院而不是个人进行起诉。 最高人民检察院于2021年4月22日发布的《检察机关个人信息保护公益诉讼典型案例》可以为当下中国的个人信息保护实践提供比较好的参考,以下将选取一个典型案例进行简介和评述。 2020年7月,南昌市人民检察院在发现南昌市部分APP存在违规收集个人数据的问题后,委托专业人员进行了详细检测,认定上述APP存在《APP违法违规收集使用个人信息行为认定方法》规定的违法违规行为,并确定相关部门未履行监督管理职责,于2020年8月20日立案调查,21日组织公开听证会,27日向市公安局、市网信办提出诉前检察建议,要求两行政机关依法对涉案企业进行监管与处罚,还向省通信管理局移送了相关材料。两行政机关10月23日回复,已对涉案企业进行整改与处罚,省通信管理局也组织开展了安全检查、宣传活动和现场督导涉案APP进行整改。最终,南昌市检察院委托专业公司再次对涉案APP进行检测,确认相关问题已整改完成【23】。 该案例表现出检察院在处理个人信息保护案件时,可以借助第三方检测机构,通过专业人士来收集数据,也需要与行政执法机关进行沟通协调,合力保护个人信息安全。 不可否认的是,由于我国数据立法相对较晚,企业数据保护意识薄弱,APP违法违规收集个人信息的现象普遍存在,但这并不代表中国企业可以肆意妄为地收集个人信息。 近年来,监管部门的执行力度持续加强,各类规定相继出台,违规企业将付出遭受行政处罚和社会舆情攻击商誉的双重代价,甚至可能被责令停产停业,损失惨重。在未来,随着数据保护框架的逐渐完善,以及《个人信息保护法》的应用,企业合规将面临更多的监管,这为我国科技企业提出了新的挑战,但同时也代表着机遇——率先按照规范做好数据合规的企业将更快地站稳脚跟、提升商誉、避免不必要的损失。 结语: 经过对中美欧三大法域数据保护法的比较研究,我们可以发现,每个法域的数据保护法都根植于其历史文化和法治传统,但同时它们所关心的内容、赋予的权利都具有相似的现代视角。这是因为在数字化时代,数据既像上世纪的石油一样,为各行各业提供新一轮发展的契机;但又不像石油,因为数据的爆发式增长是没有止境的。各国都意识到,无论个人、企业抑或国家,谁能够利用数据赋能,谁就能在新一次浪潮中率先跃上潮头,但政府首先要确保,自己具有驾驭数据所需要的那支滑板,没有被数据的巨浪冲翻。数据保护的合规与赋能,就像我们正在走入的这个时代的一体两面,如《双城记》开宗明义: “这是一个最好的时代, 这是一个最坏的时代; 这是一个智慧的年代, 这是一个愚蠢的年代; 这是一个光明的季节, 这是一个黑暗的季节; 这是希望之春, 这是失望之冬; 人们面前应有尽有, 人们面前一无所有; 人们正踏上天堂之路, 人们正走向地狱之门。” 【注】 [4]《‘La difference’ is stark in EU, U.S. privacy laws》. [5]《‘La difference’ is stark in EU, U.S. privacy laws》. [6] 秦晖,《“大共同体本位”与传统中国社会》,辑于《社会学研究》1998年第五期。 [15] 西城工商, 《原创丨消费者个人信息保护条款的应用探究》, WeChat公众平台, 见于 2021年7月30日, https://mp.weixin.qq.com/s?src=3×tamp=1627627156&ver=1&signature=GGvIyP2hbX6j3zdO-npey4zKMgN2bmQ8r1Jg3xhyw0KHkgOJ6kNCwSSWdBZTkx2J-Mcv8-4sc*FQL0OG1xj48DEgWTDhfTVQatVUM0mQZh0Z4JkOzJjaoOru*TsHfJ2rQUsZHlYh9jrcKtbsWfeQfmWeeQL3K5ywZEZY46nN3EA=. [16]《〈深圳经济特区数据条例〉官方解读来了!》, WeChat公众平台, 见于 2021年8月2日, https://mp.weixin.qq.com/s?src=11×tamp=1627869586&ver=3227&signature=BzGjJLMxh7soDpCwM2CrqSLfGX4tYS5CAo2-sL1SZCJy*FuiQjK0GyLZ*s5HuqGTskRRfneSPxQKMIZPvQeBF5r2UbxHwBjMX-a3q-6Eb-yHnZycXGXESCHHSzWrPT7D&new=1. [17]《General Data Protection Regulation (GDPR) – Official Legal Text》, General Data Protection Regulation (GDPR), 见于 2021年8月3日, https://gdpr-info.eu/. [18]《General Data Protection Regulation (GDPR) – Official Legal Text》. [22] 刘, 《数据保护:合规指引与规则解析》.
|