GDPR之風盛行，美、印、巴接連啟動數據保護立法

繼2018年5月25日歐盟GDPR正式生效以來，其涉及範圍之廣、保護力度之大在全球範圍內引發了各界對個人數據保護討論的熱潮。與此同時，GDPR的出台也推動催化了各國個人數據相關的立法行動，美國加州、印度、巴西等國接連啟動了數據保護立法工作：

6月28日，美國加州《消費者隱私法案》出台。

7月27日，印度高級別專門委員會正式發布了《個人數據保護法（草案）》。

8月14日，巴西總統米歇爾·特梅爾正式批准了由參議院遞交的《通用數據保護法案》（LGPD）。

本文將對GDPR、加州、印度、巴西四部法案的異同之處進行簡要的比較分析，以此探尋數據保護制度在各地域的求同存異。

一、歐盟、加州、印度、巴西

在數據保護制度設計中的共識

1

管轄範圍

4部法案的管轄範圍均非常寬泛並採取「屬地+屬人+保護」等綜合性的管轄原則，影響範圍從域內擴展到域外。受GDPR影響，在個人數據保護領域，長臂管轄已成為世界各國普遍採取的做法。

個人數據的保護早已超越了國家範圍，如何應對個人數據保護的全球化成為跨國公司和互聯網公司現在以及未來持續面臨的重要課題。

2

處理個人數據的法律基礎

雖然各部法案在表述上不盡相同，但處理個人數據的法律基礎殊途同歸，無外乎以下幾個方面：

數據主體同意

履行合同

法律義務

重大利益

公共利益

合法利益

3

數據主體權利

在GDPR規定的眾多數據主體權利中，很多權利被普遍採用於其他三部法案當中，如知情權、訪問權、數據可移植權、被遺忘權（刪除權）等。

知情權又名信息透明權，要求數據控制者、處理者必須以透明、簡單、易懂的方式向數據主體披露法律規定應當披露的信息。訪問權則要求控制者及處理者必須在規定的時間內對數據主體的合理請求及時作出回應。

而數據可攜權和被遺忘權作為GDPR最具代表性的權利，則賦予了數據主體從控制者處收回其提供給控制者的個人數據以及有條件刪除個人數據的權利。

上述權利對數據控制者及處理者提出了更高的要求，不僅要求數據控制者、處理者透明、詳盡的披露應當披露的信息，更要求數據控制者對收集的個人數據進行更高級別的處理、存儲，以時刻滿足數據主體的請求。

二、歐盟、加州、印度、巴西

在數據保護制度中的個性化差異

1

加州

美國加州作為世界第五大經濟體，雲集囊括了世界眾多頂級的諸如Google、Facebook、亞馬遜等一批互聯網高科技企業，自然也稱為全球數據收集、流動的重要陣地。

相較於歐盟數據產業相對薄弱的產業背景，加州作為美國人口最多的州，如何平衡消費者個人數據保護與產業發展的矛盾，如何在保護消費者個人數據的同時又不妨礙產業的蓬勃發展，似乎對我們更具有借鑒意義。

（1）對個人數據的定義：加州對於個人數據的定義更為細緻和寬泛，相較於GDPR則更為嚴格：

不僅是自然人，可以直接或間接識別、關聯到自然人家庭的信息也納入個人數據的範疇。

將商業信息納入個人數據範疇，包括購買、獲得或考慮過的個人財產，產品或服務的記錄，或其他採購或消費的歷史或傾向。

將互聯網或其他網路活動信息納入個人數據範疇，包括但不限於瀏覽歷史、搜索歷史以及數據主體與互聯網、app或廣告交互的信息。

將從個人數據得出的推論、用戶畫像等同時納入個人數據范疇。

將教育信息納入個人數據範疇。

（2）數據主體權利：加州法案在數據主體權利上重點提出了數據主體的「選擇退出權」：當企業欲將數據主體的個人數據出售給的三方企業時，數據主體有權在任何時候指示企業禁止出售其個人數據。

同時當數據主體行使自身權利時，加州法案明確規定企業不得因為權利的行使而對數據主體有任何的歧視，如拒絕或高價、差異化提供商品或服務。

（3）財務激勵措施：財務激勵措施是加州法案在保護個人數據基礎上為產業發展謀出的一條新穎的出路。

其規定企業在提前告知數據主體並徵得其同意的前提下，企業可以為個人數據的收集、出售或刪除向數據主體提供財務激勵，還可以根據數據主體提供數據價值的高低，按不同的價格、費率、水平或質量向消費者提供商品或服務。

此規定意味著數據主體可以自願通過提供自己的個人數據來獲得財務報酬或更高級別商品和服務，當然前提是數據主體可以自由選擇。

2

印度

印度草案在對個人數據的描述上似乎用了更多的筆墨，這與印度Aadhar資料庫頻繁泄漏、現有法律難以保護的情況密切相關。

Aadhar是印度政府主導建立的世界上最大的生物身份識別庫，其產生背景主要是為了解決超過 5 億的印度人因沒有正式身份標識符（ID）或類似作用的編碼而無法取得政府補助、開設銀行賬戶、貸款、考取駕照…的問題。

面對Aadhar生物身份識別庫的頻頻泄漏，印度當局在個人數據保護草案中對處理個人數據的基礎詳細規定了三章，分別是第三章處理個人數據的基礎、第四章處理個人敏感數據的基礎和第五章兒童的個人數據和個人敏感數據。

另外，關於個人數據的範疇，印度草案還根據本國國情加入了官方標識符、雙性人/變性人身份、種性和部落等內容。

3

巴西

值得注意的是，巴西的法案雖然在很大程度上保持了與GDPR的一致，但巴西最終被總統獲批的法案與之前參議院提交的草案並非完全一致，巴西總統米歇爾基於本國立法特點在批准該法案的同時否決了草案的部分內容：

否決建立一個新的監管機構，即國家數據保護局（ANPD），類似歐盟成員國數據保護機構。

否決建立國家個人數據和隱私保護委員會，類似歐盟數據保護委員會。

否決了LGPD的一些處罰，包括暫停資料庫/處理操作，以及有關公共當局與政府使用數據之間共享數據的某些規定。

之所以否決建立國家數據保護局和國家個人數據和隱私保護委員會的原因在於巴西本國當局新的管理機構的建立只能通過行政權倡議而不是通過議會批准的法律。而對草案某些處罰的否決則是因為存在製造法律不確定性的風險。

綜上，從各國紛紛起草或通過的法案來看，各國在順應本國國情的基礎上，其條文或多或少都有著GDPR的蹤影，可見GDPR不僅對全球企業的數據合規產生著巨大衝擊，更對全球的數據保護立法影響深遠，發揮著重要的示範和借鑒作用。

同時，在制定本國的數據保護制度時，他國的保護制度固然具有借鑒意義，但如何順應本國國情，尤其是數據產業繁榮及人口眾多的我國，如何使個人數據保護與產業發展並行值得深思。

作者系百度公共政策研究院研究員

往期文章推薦

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！