摘要:我国的数据保护立法历经了对个人信息的间接保护到直接保护、从分散立法到研究集中立法的历史沿革,目前暂未形成统一的个人信息保护法,但2017年出台的《网络安全法》中对个人信息的定义和范围进行了统一,系统性定义个人信息保护的要求,并与《APEC个人隐私保护框架》等国际条例接轨;
来源:中金公司
3月6日,国家标准化管理委员会正式发布《信息安全技术个人信息安全规范》,将于2020年10月1日起实施。此次规范对信息的收集,使用,管理环节都做了进一步的规范。4月9日,国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,将数据资源作为五大要素之一。我们认为,这将为人工智能,工业互联网,大数据等基于数据发展的企业提供重大机遇。相比欧美,中国还没有统一的数据相关立法,本次规范的发布,及正在进行中的《个人信息保护法》立法工作,将为数字经济发展提供更有力的法律保障。
3月6日,国家标准化管理委员会正式发布《信息安全技术个人信息安全规范》[1],将于2020年10月1日起实施。与2017年版相比,此次规范对信息的收集,使用,管理环节都做了进一步的规范。本次修订的规范和公安部,网信办及央行已发布的相关条例一起,在我国完成大数据立法之前,起到规范人工智能,大数据等相关产业发展的“准法源”作用。
4月9日,国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,将数据资源作为五大要素之一,提出要加强数据资源整合和安全保护并强调引导培育大数据交易市场。我们认为,这将为人工智能(海康、大华、虹软、商汤、旷视、第四范式),工业互联网(工业富联(13.81 +5.02%,诊股)、海尔工控、航天云网),大数据(华为、G7、星环,涂鸦)等基于数据发展的企业提供重大机遇。本次规范的发布,及正在进行中的《个人信息保护法》立法工作,将为数字经济发展提供更有力的法律保障。
数据成为重要生产要素,全球加快大数据立法
正如我们在《从达沃斯看行业大趋势》中所述,数据是重要生产力已经成为全球共识。2018年5月,欧盟实施通用数据保护条例(GDPR),针对不同数据类型规定了不同的合法处理数据路径,其适用范围广泛(属人管辖和属地管辖叠加),提倡最大限度的保护个人隐私,被视为大数据监管新时代的标志。美国目前没有联邦层面统一的数据保护基本法,但在电信、金融、健康、教育等行业设有专门的数据保护法。
以2018年颁布的《加州消费者隐私法案》(CCPA)为例,虽然与GDPR一样出于保护数据主体权利的目的,但其管辖范围只聚焦于加州境内以盈利目的处理个人信息的企业,也没有采用类似GDPR环环相扣的“合法路径事由”,而是只规定了企业的通知义务。对比来看,欧盟更注重保护个人权利,而美国偏重于保障信息自由。国际社会正呼吁尽快通过国际性的用户隐私保护政策。
我们认为个人信息是大数据时代重要的数据资产,但它同时也承载着个人用户的人格利益和财产利益。数字经济趋势下,个人信息应用场景广泛延展至社会管理和商业领域,在创造价值的同时也要避免对其滥用从而损害个人权益。
中国数据保护立法的发展历程
我国的数据保护立法历经了对个人信息的间接保护到直接保护、从分散立法到研究集中立法的历史沿革,目前暂未形成统一的个人信息保护法,但2017年出台的《网络安全法》中对个人信息的定义和范围进行了统一,系统性定义个人信息保护的要求,并与《APEC个人隐私保护框架》等国际条例接轨;我国2020年或将制订个人信息保护法和数据安全法[2]。此次发布的《信息安全技术个人信息安全规范》属于国家推荐标准而非强制性约束,但在个人信息保护和数据安全立法暂时缺位的环境下,起到了“准法源”作用。近年来我国出台了多项个人信息安全保护相关的政策,如《互联网个人信息安全保护指南》、《数据安全管理办法(征求意见稿)》、《个人金融信息保护技术规范》等,足以见得政策对个人信息保护工作的高度重视。
图表:我国个人信息保护的相关法律法规进展
资料来源:国务院,中国新闻网,知网,中金公司研究部
图表:GB/T 35273-2020《信息安全技术个人信息安全规范》主要修改
资料来源:国家标准化管理委员会,华为云官网,中金公司研究部
风险
相关法律法规的执行落地不及预期。
-----
[1]http://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=4568F276E0F8346EB0FBA097AA0CE05E
[2]https://m.chinanews.com/wap/detail/zw/gn/2019/12-20/9039098.shtml