GDPR之风盛行，美、印、巴接连启动数据保护立法

继2018年5月25日欧盟GDPR正式生效以来，其涉及范围之广、保护力度之大在全球范围内引发了各界对个人数据保护讨论的热潮。与此同时，GDPR的出台也推动催化了各国个人数据相关的立法行动，美国加州、印度、巴西等国接连启动了数据保护立法工作：

• 6月28日，美国加州《消费者隐私法案》出台。

• 7月27日，印度高级别专门委员会正式发布了《个人数据保护法（草案）》。

• 8月14日，巴西总统米歇尔·特梅尔正式批准了由参议院递交的《通用数据保护法案》（LGPD）。

 

本文将对GDPR、加州、印度、巴西四部法案的异同之处进行简要的比较分析，以此探寻数据保护制度在各地域的求同存异。

一、欧盟、加州、印度、巴西

在数据保护制度设计中的共识

1

管辖范围

4部法案的管辖范围均非常宽泛并采取“属地+属人+保护”等综合性的管辖原则，影响范围从域内扩展到域外。受GDPR影响，在个人数据保护领域，长臂管辖已成为世界各国普遍采取的做法。

个人数据的保护早已超越了国家范围，如何应对个人数据保护的全球化成为跨国公司和互联网公司现在以及未来持续面临的重要课题。

2

处理个人数据的法律基础

虽然各部法案在表述上不尽相同，但处理个人数据的法律基础殊途同归，无外乎以下几个方面：

• 数据主体同意

• 履行合同

• 法律义务

• 重大利益

• 公共利益

• 合法利益

 

3

数据主体权利

在GDPR规定的众多数据主体权利中，很多权利被普遍采用于其他三部法案当中，如知情权、访问权、数据可移植权、被遗忘权（删除权）等。

 

知情权又名信息透明权，要求数据控制者、处理者必须以透明、简单、易懂的方式向数据主体披露法律规定应当披露的信息。访问权则要求控制者及处理者必须在规定的时间内对数据主体的合理请求及时作出回应。

而数据可携权和被遗忘权作为GDPR最具代表性的权利，则赋予了数据主体从控制者处收回其提供给控制者的个人数据以及有条件删除个人数据的权利。

 

上述权利对数据控制者及处理者提出了更高的要求，不仅要求数据控制者、处理者透明、详尽的披露应当披露的信息，更要求数据控制者对收集的个人数据进行更高级别的处理、存储，以时刻满足数据主体的请求。

 

二、欧盟、加州、印度、巴西

在数据保护制度中的个性化差异

1

加州

美国加州作为世界第五大经济体，云集囊括了世界众多顶级的诸如Google、Facebook、亚马逊等一批互联网高科技企业，自然也称为全球数据收集、流动的重要阵地。

 

相较于欧盟数据产业相对薄弱的产业背景，加州作为美国人口最多的州，如何平衡消费者个人数据保护与产业发展的矛盾，如何在保护消费者个人数据的同时又不妨碍产业的蓬勃发展，似乎对我们更具有借鉴意义。

 

（1）对个人数据的定义：加州对于个人数据的定义更为细致和宽泛，相较于GDPR则更为严格：

 

• 不仅是自然人，可以直接或间接识别、关联到自然人家庭的信息也纳入个人数据的范畴。

• 将商业信息纳入个人数据范畴，包括购买、获得或考虑过的个人财产，产品或服务的记录，或其他采购或消费的历史或倾向。

 

• 将互联网或其他网络活动信息纳入个人数据范畴，包括但不限于浏览历史、搜索历史以及数据主体与互联网、app或广告交互的信息。

 

• 将从个人数据得出的推论、用户画像等同时纳入个人数据范畴。

 

• 将教育信息纳入个人数据范畴。

 

（2）数据主体权利：加州法案在数据主体权利上重点提出了数据主体的“选择退出权”：当企业欲将数据主体的个人数据出售给的三方企业时，数据主体有权在任何时候指示企业禁止出售其个人数据。

 

同时当数据主体行使自身权利时，加州法案明确规定企业不得因为权利的行使而对数据主体有任何的歧视，如拒绝或高价、差异化提供商品或服务。

 

（3）财务激励措施：财务激励措施是加州法案在保护个人数据基础上为产业发展谋出的一条新颖的出路。

其规定企业在提前告知数据主体并征得其同意的前提下，企业可以为个人数据的收集、出售或删除向数据主体提供财务激励，还可以根据数据主体提供数据价值的高低，按不同的价格、费率、水平或质量向消费者提供商品或服务。

此规定意味着数据主体可以自愿通过提供自己的个人数据来获得财务报酬或更高级别商品和服务，当然前提是数据主体可以自由选择。

2

印度

印度草案在对个人数据的描述上似乎用了更多的笔墨，这与印度Aadhar数据库频繁泄漏、现有法律难以保护的情况密切相关。

 

Aadhar是印度政府主导建立的世界上最大的生物身份识别库，其产生背景主要是为了解决超过 5 亿的印度人因没有正式身份标识符（ID）或类似作用的编码而无法取得政府补助、开设银行账户、贷款、考取驾照…的问题。

面对Aadhar生物身份识别库的频频泄漏，印度当局在个人数据保护草案中对处理个人数据的基础详细规定了三章，分别是第三章处理个人数据的基础、第四章处理个人敏感数据的基础和第五章儿童的个人数据和个人敏感数据。

 

另外，关于个人数据的范畴，印度草案还根据本国国情加入了官方标识符、双性人/变性人身份、种性和部落等内容。

3

巴西

值得注意的是，巴西的法案虽然在很大程度上保持了与GDPR的一致，但巴西最终被总统获批的法案与之前参议院提交的草案并非完全一致，巴西总统米歇尔基于本国立法特点在批准该法案的同时否决了草案的部分内容：

 

• 否决建立一个新的监管机构，即国家数据保护局（ANPD），类似欧盟成员国数据保护机构。

 

• 否决建立国家个人数据和隐私保护委员会，类似欧盟数据保护委员会。

 

• 否决了LGPD的一些处罚，包括暂停数据库/处理操作，以及有关公共当局与政府使用数据之间共享数据的某些规定。

之所以否决建立国家数据保护局和国家个人数据和隐私保护委员会的原因在于巴西本国当局新的管理机构的建立只能通过行政权倡议而不是通过议会批准的法律。而对草案某些处罚的否决则是因为存在制造法律不确定性的风险。

 

综上，从各国纷纷起草或通过的法案来看，各国在顺应本国国情的基础上，其条文或多或少都有着GDPR的踪影，可见GDPR不仅对全球企业的数据合规产生着巨大冲击，更对全球的数据保护立法影响深远，发挥着重要的示范和借鉴作用。

 

同时，在制定本国的数据保护制度时，他国的保护制度固然具有借鉴意义，但如何顺应本国国情，尤其是数据产业繁荣及人口众多的我国，如何使个人数据保护与产业发展并行值得深思。

作者系百度公共政策研究院研究员

往期文章推荐

浅析短视频平台的侵权责任

企业金融化视角下的互联网金融控股

移动互联网下半场围墙花园：虚拟运营商业务与互联网神卡的竞争博弈

Baidu Public Policy Research Institute

百度公共政策研究院专注互联网行业政策法律规制，致力于从政策法律角度记录中国互联网的发展，沟通交流关于互联网政策法律问题的观点和资讯。

微信号：InternetPolicyReview

投稿合作：PPR@baidu.com