国外数据安全政策研究报告 （2022年） V1.0.0 1 前言 国外数据安全政策研究报告 随着人类进入数字经济时代，世界各国对数据的依赖快速上升，数据已成 为国家基础性战略资源，对社会生活方式、经济运行机制、国家治理能力等产 生重要影响，国家竞争焦点正从土地、人口、资本、资源的争夺转向对数据的 争夺。未来国家层面的竞争力将部分体现为一国拥有数据的规模、开发利用以 及掌控的能力，“数据主权”将成为继边防、海防、空防之后另一个大国博弈 的空间。近年来，我国《网络安全法》《数据安全法》《个人信息保护法》等 数据安全相关法律法规的相继颁布，为数据安全建设提供了制度支撑和法律保 障。我国数据安全产业发展相对于世界发达国家，起步较晚，通过参考其他国 家地区的数据安全政策和战略方针，能够有助于我们更深入理解我国数据安全 产业的发展方向。 炼石网络与国浩律所合作，共同梳理了欧洲、北美洲、南美洲、亚洲、大 洋洲、非洲六大洲，包括欧盟、德国、法国、英国、意大利、俄罗斯、美国、 加拿大、巴西、日本、印度、韩国、澳大利亚、南非等 14 个国家或组织的 87 项数据安全政策及战略，从各国立法总体情况、法律位阶、法律间关系、各法 的定位、内容要点等维度进行分析。由于作者水平有限，难免会有遗漏和偏差， 希望读者指正。 2 国外数据安全政策总览 国外数据安全政策研究报告 3 欧洲国家 国外数据安全政策研究报告 欧盟：立法趋向统一，平衡数据流动与安全 一、 立法总体情况 欧盟的数据安全立法无论是在立法时间还是立法系统性上，都处于全 球领先位置。作为一个经济共同体，欧盟在数据安全立法方面的出发点与 一般实体国家存在区别，其更强调技术导向的数据共享与自由流动，消除 成员国家间的信息屏障。为达到这一目标，欧盟必须在数据存储处理、公 民基本权利、数据安全保护和监管、数据跨境流动等方面构建完善的法律 框架。 欧盟的政策决策特点是多方面互动的，欧洲委员会、欧洲议会、欧洲 理事会、欧盟理事会、欧盟委员会等机构参与制定欧盟法律法规。欧盟的 法律基本框架大体可分为 3 个层次：一级法律，主要指条约；二级法律， 4 包括指令、法规、决定、意见建议等；三级法律为判例法，主要指根据二 级法律作出的对具体事件或案例的判决或裁定。 欧盟针对数据安全立法，一级法律层面上，1981 年《个人数据自动化 处理中的个人保护公约》，是世界上第一部关于数据保护的国际公约；二 级法律层面上，1995 年《关于涉及个人数据处理的个人保护以及此类数据 自由流通的第 95/46/EC/号指令》、2016 年《一般数据保护条例（GDPR）》、 2018 年《非个人数据自由流动条例》，形成数据治理的统一框架；2019 年《网络安全法案》，确立了第一份欧盟范围的网络安全认证计划；2020 年《欧洲数据战略》，致力于实现真正的单一数据市场的愿景；2020 年《数 据治理法案》、2022 年《数据法案（草案）》、2022 年《数字市场法案》、 2022 年《数字服务法案》作为落实《欧洲数据战略》所采取的重要立法举 措，为欧洲新的数据治理方式奠定了基础。 二、重点法律解析 01 欧盟《108 号公约》 （1）定位 1981 年，欧洲委员会通过了《个人数据自动化处理中的个人保护公约》 （简称“《108 号公约》”）。《108 号公约》是世界上第一部关于数据 保护的国际公约。旨在确保在每个缔约方在其管辖范围内的公民，不管其 国籍或居住地，在对其个人数据进行自动化处理过程中得到保护，尊重其 权利和基本自由，特别是对于隐私权方面的尊重。 随着互联网信息技术的发展及其应用的不断普及化，《108 号公约》 也历经数次修订：  1999 年，欧洲理事会对《108 号公约》进行了首次修订；  2001 年，欧洲委员会对其进行了补充，加入《有关监管机构和跨境数 据流通的附加协定》 [1] ；  2012 年，欧洲理事会再次针对其进行修订，通过的建议稿决定将名称 5 中的“个人数据自动化处理”更改为“个人数据处理”，进一步扩大 适用范围；  2018 年 5 月，第 128 届部长委员会（Committee of Ministers）会议通 过了对该公约的最新一次修订，此次修订侧重吸纳更多的国家加入公 约，从而形成以公约为基础的数据保护法律制度 [2] ；  2018 年 10 月，乌拉圭与 20 个欧洲理事会成员国签署了一项欧洲理事 会条约，作为《第 108 号公约》的修订议定书 [3] 。 （2）特点 《108 号公约》作为全球范围内第一份有关数据保护的具有法律约束 力的国际性文件，反映了欧洲国家就个人数据保护作为人权保护达成的共 识，并推进更多的国家参与和加入。公约建立了有关个人数据保护的基本 原则以及各缔约国之间的基本义务，并将对个人基本自由与权利的保护作 为缔约国履行条约规定的国家义务的出发点。此外，公约委员会的建立， 在一定程度上建立起了针对个人数据保护的多国合作框架。 （3）主要内容 《108 号公约》（2018 年版）由一般规则、数据保护基本原则、个人 数据跨境流通、监管机构、相互协作、公约委员会、公约修正案、最后条 款等八章节、32 条款构成。 在适用范围上，公约明确是缔约国管辖范围内的个人数据处理活动， 涵盖私营部门和公共部门，不再局限于此前版本所界定的“自动化的个人 数据处理”活动，不再适用于自然人在纯粹的个人或家庭活动中进行的数 据处理活动。 公约针对数据安全方面提出，缔约国应当规定数据控制者，在适当的 情形下包括数据处理者，采取适当的安全措施以防范个人数据遭受意外的 或未经授权的访问、损毁、丢失、利用、修改或传播。同时，也引入了缔 约国应当规定数据控制者将个人数据泄露事件及时通报监管机构的要求。 6 在义务上，公约对数据处理主体提出了更广泛的义务，如“评估其计 划实施的对数据主体的各项权利和基本自由可能产生影响的数据处理行 为的风险”，以降低侵害人权或基本自由的风险；“在数据处理的各个阶 段，采取考虑到个人数据保护权利的技术和组织措施”。 在个人数据跨境流通上，公约力求确保在处理个人数据过程中给予适 当保护的同时，促进数据在各国间实现自由流通。公约明确，任何缔约国 不得仅为保护个人数据之目的禁止数据跨境传输，或者设置特别授权条 件。非成员国的跨境传输，需在公约规定的适当个人数据保护水平得到保 障的情形下进行。 02 欧盟《95 指令》 （1）定位 1995 年 10 月 24 日，欧洲议会和欧盟理事会通过了《关于涉及个人数 据处理的个人保护以及此类数据自由流通的第 95/46/EC/ 号指令》（简称 《95 指令》）。《95 指令》为欧盟成员国制定和实施数据保护法律提供 了一个基本框架和雏形，促成各成员国数据保护标准的趋向统一，推动了 全球个人数据保护秩序的建立。 （2）特点 《95 指令》直接以指令而非条约的形式要求各成员国完善数据保护立 法，致力于协调各国对自然人在数据处理领域的基本权利和自由的保护， 消除个人数据在共同体内部自由流通的障碍。首次提出知情同意原则，将 “数据主体已明确表示同意”作为数据处理的合法条件之一；采用统一立 法模式，规定建立独立的数据保护机构，是个人信息保护法中主张域外效 力的典型代表。 （3）主要内容 《95 指令》包括 72 条序言和 34 条条款，旨在提高欧洲个人信息保护 法律的统一程度，弥补 1980 年出台的《第 108 号公约》，虽对成员国具 7 有约束力，但真正执行国家并不多，实施效果也存在差异的现实情况，进 而应对高速发展的信息技术时代带来的保护个人数据权利、消除法规不一 所造成的数据流通障碍的双重挑战。 在处理个人数据的安全性方面，《95 指令》提出，会员国应规定，控 制者必须实施适当的技术和组织措施（特别是在处理涉及通过网络传输数 据的情况下），以保护个人数据免受意外或非法破坏或意外丢失、更改、 未经授权的披露或访问，防止所有其他非法形式的处理。考虑到最新技术 及其实施成本，此类措施应确保与处理行为潜在的风险和要保护的数据的 性质相适应的安全水平。 在数据保护监管方面，《95 指令》提出，各成员国应建立监管机构， 并赋予他们完全独立的行使职能。监管机构应被赋予的权利包括调查权、 干预权、法律诉讼权等。 在个人数据跨境流动方面，《95 指令》明确，成员国向第三国转移个 人数据，需以第三国对个人数据提供充分保护为前提。而判断第三国对个 人数据保护是否充分，应围绕数据传输操作的情况来评估第三国提供的保 护水平的充分性；应特别考虑数据的性质、拟处理操作的目的和持续时间、 数据来源国和最终目的地国、第三国现行的一般和部门法律法规以及该国 遵守的专业规则和安全措施。 03 欧盟《通用数据保护条例》 （1）定位 2016 年 4 月 14 日，欧洲议会和欧盟理事会通过了《通用数据保护条例》 (简称“GDPR”)，于 2018 年 5 月 25 日正式生效，GDPR 被称为被称为“史 上最严隐私法案”。一方面，GDPR 赋予了个体用户对于自身数据更多的 自主权和选择权；另一方面，GDPR 针对用户数据的控制主体和处理主体 制定了十分严格的限制性规则 [4] ，有力地推进欧盟数字单一市场的建立。 （2）特点 8 GDPR 的出台，将个人数据的保护及监管提升到前所未有的高度，欧 盟的数据保护立法由“Directive”（指令）提升为“Regulation”（条例）。 GDPR 进一步细化权利与义务，在数据主体的权利方面，设立了“被遗忘 权”、“携带权”两项新型权利；在数据处理主体的义务方面，GDPR 通 过巨额的行政处罚以警示数据处理主体严格履行自身合规义务。GDPR 具 有域外效力管辖权设计，全球企业都可能受到 GDPR 的管制，GDPR 同时 设立数据保护官等制度辅助企业义务的履行以及监督机构的监管。为推进 GDPR 的落地与有效执行，欧盟数据保护委员会（“EDPB”）进一步陆续 推出多种特定情况下的指引（Guidelines），这些指引虽然不具有法律强制 力，但是其本质是对于特定场景或者 GDPR 对应条文中规定的指导方针、 建议和最佳操作，因此在实践中具有较高的参考价值。 （3）主要内容 GDPR 是在《95 指令》的基础上重新制定，进一步应对《95 指令》逐 步出现的化解安全风险挑战能力不足情况，共计 11 章 99 条，相较于仅 3 4 条的《95 指令》来说，做出了多达 3500 处具体修改，GDPR 生效的两 年后《95 指令》被废止。同时，GDPR 整合了之前的隐私保护指令、电子 通信隐私保护指令以及欧盟公民权利指令等，通过统一欧盟法规来协调整 个欧洲的数据隐私法律，保护所有欧洲公民免受隐私侵犯