德国的数据保护政策及启示
2015-03-31吕欣
德国作为国际领先的工业国家,提出了工业4.0的高科技战略计划,旨在提升制造业的智能化水平,建立具有适应性、资源效率的智慧工厂,以提高德国工业的竞争力。德国拥有强大的设备和车间制造工业,在世界信息技术领域拥有很高的能力,各个行业对网络信息系统的依赖程度均达到了很高的水平。近年来,德国综合利用经济、法律和行政等手段加速促进信息技术和网络在社会各领域中的推广应用,高度重视网络安全和隐私保护,不断健全组织管理机构,完善相关法律法规,特别是对于个人数据保护有着严格的法律规制和政策约束,形成了德国网络空间政策的一大重要特色。
一、德国的数据保护政策
(一)德国数据保护法律法规
德国有比较完善的数据保护法律法规体系。德国数据保护源于德国宪法关于保护公民相互之间沟通隐私性的要求,包括确保信件和通讯的隐私。德国于1978年出台了《联邦数据保护法》,确立了数据保护的规则和框架。欧洲议会和欧盟理事会于1995年颁布了保护个人数据处理和数据自由流动的第95/46/EC指令,要求欧盟各成员国依据指令精神进行立法。作为执行欧盟数据保护指令,德国分别于2001年、2003年和2006年对《联邦数据保护法》进行了多次修订。针对通讯、媒体、艺术等领域涉及数据保护的特殊性,德国颁布了《通讯法》和《媒体法》等专门法规。随着信息通信新技术的应用,例如在远程媒体出现后,德国又制定了《远程媒体法》。此外,德国《税法》和《社会保障法》中对公民在征税和社保方面的数据保护也做出专门规定。以《联邦数据保护法》为基础,德国的每个州也制定了本州的《数据保护法》。这些法规构成了一个严密的法律体系,规范着德国的数据保护工作。
(二)德国数据保护管理制度
在认识到网络巨大潜力和意义的同时,德国政府、企业及民众也认识到,随着互联网对社会上下影响力的不断增强以及社会各方面对网络依赖程度的不断加深,它给政府部门和普通百姓带来的安全挑战也越来越大。为做好数据保护工作,德国联邦政府设立了联邦数据保护特派员岗位,以领导德国联邦数据保护与信息自由保护委员会的工作。联邦数据保护特派员由议会选举产生,由总统任命,负责监督联邦公共机构对数据保护政策的执行情况。在州层面上,设有州数据保护特派员职位,负责监督各州公共部门数据保护工作。联邦数据保护特派员任期为5年,实行连任制,两任到期。另外,德国法律还要求9人以上的企业必须设置数据保护特派员岗位,为企业数据保护提供咨询、员工培训和内部检查审核服务。企业的数据保护特派员必须经过培训获得资格才能上岗。
(三)德国的跨境数据保护政策
德国的跨境数据保护政策分三种情况:一方面,根据《欧盟数据保护法律指令》,德国对欧盟其他成员国的数据保护持信任态度,允许与欧盟成员国之间进行数据交换。另一方面,根据欧盟2001年《关于向第三国的处理者传输个人数据的标准合同款的委员会决定》,若接受欧盟以外的运营商和服务商提供数据服务,则须签署欧洲标准合同,以确保数据处理过程中的安全性。第三,欧盟还制定了数据保护的可信任国家清单,列入清单的国家被认为在数据保护方面拥有信任保障,包括加拿大、瑞士、安道尔、挪威等国。欧盟与美国在数据保护方面采取安全港(Safe Harbor)方式,欧盟企业与美国企业进行数据处理和交换须签署安全港协议。不过,德国企业越来越质疑美德安全港协议的安全性。因为根据《爱国者法案》,美国政府有权查看美国企业包括美企海外子公司的数据。特别是斯诺登事件后,更是大大降低了德国对美国在网络跨国数据通信的信任度。
二、德国数据保护政策实施以来的成效
(一)建立了联动协同的网络空间数据管理体制机制
德国数据保护特派员岗位是一个自上而下的体系化数据保护监督队伍,涵盖了联邦政府层面、州政府层面和企业层面,对维护网络空间秩序起到了体系化的作用。一是数据保护特派员对政府、企业和个人的网络数据处理行为进行了有效监督。二是企业的数据保护特派员职责不仅限于维护个人数据安全,同时也是企业网络体系安全技术顾问。该制度不仅对大型企业网络安全工作起到重要的支撑作用,同时对德国中小企业网络信息安全起到了举足轻重的作用。
(二)有效净化了网络空间和打击网络犯罪
为了应对网络犯罪,德国立法对数据保护方面有着严格的规定。一是对于在网络上传播病毒的肇事者有着严格的打击力度,传播、使用木马程序、恶意代码等窃取个人数据的行为在德国是违反刑法的。二是对在网上滥用个人数据有着严格的惩罚力度。特别是随着FACEBOOK、TWITTER等社交网络的兴起,如果将部分用户信息放到黄色网站上,在德国是要受到法律追究的。三是禁止违法内容在互联网上传播。在德国,新纳粹在网上的违法宣传行为时常出现,主要体现在煽动民众以及否定纳粹对犹太人的屠杀这一历史事实。这些通过网络宣传纳粹思想的行为,属于煽动民众罪,要受到刑法的制裁。
(三)调动了全社会维护网络空间秩序的积极性
一是政府和企业受到数据保护政策的约束和监督,形成了良好的数据保护文化。政府和企业采集个人数据必须具有“目的相关性”,采集数据要坚持“知情最小集”原则,非相关且非必要数据不得采集。二是公众对网上个人信息保护有着较深刻的认识,安全意识整体得到了提升。数据保护特派员的一项重要职责就是对数据保护政策措施在企业中进行宣传和培训,公益性社会团体也投入到社会宣传之中以提高公众的网络安全意识,这极大地提高了社会对网络数据安全保护政策的认识。三是公众的个人数据得到了有效的保护,会主动投入到维护网络空间秩序的行动之中。德国法律对个人信息保护提到了非常高的高度,要保证数据采集的透明性和知情权。这体现在:一方面企业有责任将数据的用途主动通知当事人,另一方面当事方也有权利要求企业告知其数据的流向。当事人还有权利了解自身数据采集和处理在企业内部实施的过程,了解企业处理自身数据时的合法性。在网络时代,这些规则关乎每个人的现实切身利益,较好地调动了公众维护数据保护政策的积极性。
三、对我国网络空间政策的启示和建议
(一)调动全社会的积极性和主动性,形成维护网络空间秩序合力
一是将网络空间治理政策与群众利益紧密结合起来,从立法高度明确个人在网络空间的权利和义务,高度重视网络空间个人数据的安全性,确保个人在网络空间的经济利益和隐私;二是更大程度地发挥和释放行业协会等非政府组织的社会动员能力,在网络空间的国家治理中起到更积极的作用,形成官民协同的良性互动局面;三是开展专项行动,针对破坏网络空间个人数据安全性的暴利和暴力行为,加大打击力度;四是建立维护网络空间数据安全的举报、奖励和惩罚制度,让公众成为维护网络秩序的主力和先锋,形成良好的网络安全文化氛围。
(二)完善网络空间治理的法律法规体系
一是组织力量研究网络空间难题和挑战的法律解决方案,建立适合中国特色的网络空间法律框架,确立国家、组织和个人数据在网络空间的权力和义务,以国家立法的高度有效应对网络恐怖主义、暴力犯罪等带来的挑战;二是提升数据与隐私保护在国家网络安全议事日程中的重要性,对重要领域敏感信息的监管、个人隐私和信息保护等网络空间治理难题,制定出台或细化现有法律法规,确保网络空间有法可依;三是结合有关案例,及时对不适应新形势和新技术的法律法规作出修正。对于网络空间的新问题和新案件,要研究起草新的法律或对旧的法律进行司法解释。针对网民缺乏保护意识的现状,应大力普及个人数据保护的启蒙意识教育,加大有关法律法规的宣贯力度。
(三)加强合作和交流,推进网络空间国际治理进程
一是积极宣传我国在网络空间的政策、主张和立场,争取得到更多国际社会的支持,建立最广泛的国际认同;二是某些西方大国推行网络霸权,利用其掌握的关键技术开展国际监听的行径已经引起了诸如德国等国际社会的强烈反对,我国应加强与具有网络空间类似诉求的国家开展对话、交流和协作,共同抵制网络霸权,倡导和平利用互联网络,推动建立在联合国框架下国际互联网治理机制,共同维护网络空间秩序。
(四)研究大数据和云服务等新技术带来的安全挑战,建立应对跨境数据流动的管理制度
一是要对基于大数据和云的服务模式,树立安全优先的理念,确保不能因基于云的跨境数据服务给国家基础信息网络和重要信息系统带来重大安全隐患;二是建立云服务的安全服务测评资质,在政府部门和重要行业招标采购过程中要求招投标企业必须拥有国家级的云服务安全资质;三是对于云服务过程中处理涉及国家安全、商业机密和个人隐私的过程,建立专门的法律条款进行约束;四是开展专项行动,针对破坏大数据时代个人数据安全性的暴利和暴力行为,加大打击力度。
〔本文系国家社科基金重大项目“网络空间的国家安全战略研究”(项目编号:11&ZD061)阶段性成果〕
(吕欣,1977年生,河北赵县人,国家信息中心副研究员。研究方向:信息化政策、网络空间安全战略等)