亞太數據合規手冊（簡體書）

序言

數據合規為什麼是未來的法律藍海？

——全球化思考，本土化行動

《一千零一夜》有一個“漁夫和魔鬼”的故事：魔鬼因無惡不作而被神關進銅瓶裡，加上封印並投進大海。剛開始，魔鬼想著，“如果誰救了我，我一定送給他無數財寶！”可是，整整四百年過去了，也沒有人救他。於是，魔鬼惱羞成怒，發誓說：“如果誰救我，我必殺他！”後來，一位漁夫在不經意間打撈到這個銅瓶，因好奇打開瓶蓋並放出了魔鬼。魔鬼恩將仇報，試圖要將漁夫吃掉。在緊要關頭，漁夫想了一計，他對魔鬼說：“你真會撒謊！這麼一個小小銅瓶，怎麼能容得了你這麼大的身體呢？”魔鬼果然上當了，化作一縷青煙，鉆進瓶裡。漁夫立即緊緊蓋上瓶塞，並對魔鬼說：“我要告訴所有人，決不能救你！”說罷，就把銅瓶拋進大海。

在數據法領域，同樣存在一個由人們不經意間放出來的魔鬼，這就是“數據黑產”。我曾對此進行過這樣的描述，“數據采集、清洗、挖掘、分銷及應用形成一條黑色產業鏈條，內鬼、黑客、清洗者、加工者、數據中間商、買家等寄生於此，催生市場規模超千億元的灰黑市場。源於黑市的海量數據被大量用於滋生下遊犯罪，詐騙、暴力催收、勒索等違法犯罪行為因此更加猖獗”。而與“數據黑產”這個魔鬼如影隨形的，還有全球性數據泄露事件及對個人數據的肆意濫用。那麼，到底什麼是裝這只魔鬼的銅瓶和瓶塞呢？我認為，非以《個人信息保護法》和《數據安全法》為基礎的“數據法學”莫屬，這是一門探索如何建構數據法律新秩序的學問，也是幫助數據領域實現從野蠻走向文明的新地圖，而在法律實務中則具體表現為數據合規。

從法律業務看，不正當競爭和反壟斷、重組併購、企業上市、刑事辯護、侵權法、知識產權、企業合規、訴訟仲裁等領域都可能涉及數據合規問題。在我看來，數據合規必將成為未來的法律藍海，主要有如下三點理由：

一、 強監管

《個人信息保護法(草案)》規定，“一些企業、機構甚至個人，從商業利益等出發，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一”。事實上，我國數據治理面臨著五大不可回避的難題：

其一，個人信息侵權。2018年被認為是中國數據合規的元年，從那時起數據隱私問題就頻頻發生。比如，在“抖音案”中，法院認為，“抖音”未經同意獲取原告姓名、手機號碼、社交關係、地理位置等信息的行為侵害了原告的個人信息權益。在“微信讀書案”中，法院則認為，在未經用戶有效同意的情況下獲取微信好友關係，並自動關注微信好友，還向共同使用“微信讀書”的微信好友默認開放其讀書信息構成對個人信息權益的侵權。

其二，數據泄露。大規模數據泄露事件引發了全民的安全擔憂，包括華住酒店集團旗下連鎖酒店近5億條用戶信息被泄露，12306網站470餘萬條用戶數據在網絡上被販賣。據2018年8月中國消費者協會發布的《APP個人信息泄露情況調查報告》顯示，遇到過個人信息泄露情況的人數占比為85.2%，沒有遇到過的僅占14.8%。

其三，數據倫理。“同房不同價”等大數據“殺熟”事件讓攜程等企業備受爭議，大數據讓“價格歧視”具有了現實可能性；“精準營銷”更是令人膽戰心驚，明明只是在電商平臺上搜索過某商品，新聞信息類APP上卻出現了相同商品的廣告。由此，數據和算法帶來的倫理問題成為了社會的焦點。

其四，數據競爭。由數據不正當競爭引發的司法案件層出不窮。從“新浪微博訴脈脈案”確立的“三授權”的數據競爭規則，到“大眾點評訴百度案”確立的“不得實質性替代”的數據爬蟲規則，再到“淘寶訴美景案”確立的“競爭法意義上的財產權益”的大數據產品的權益邊界，最後到尚未結案的“頭騰大戰”涉及的數據競爭背後的“關係鏈”。

其五，國家數據能力。國家數據能力是國家不可或缺的治理能力，國家要著力避免互聯網公司的數據技術能力替代國家的認證能力。如果國家不加強監管，互聯網公司恐會變成國家無法控制的巨獸，而國家若不出臺強懲罰性的數據立法，個人信息必然會被肆意收集，隱私也將不復存在。

正是在這樣的背景之下，我國連續公布了《數據安全法》和《個人信息保護法》的草案，其意在建構數據法律的新秩序。而之前相關的立法已經很多，2012年，全國人大常委會通過了《關於加強網絡信息保護的決定》，確立了個人信息收集使用等基本規範；2009年，《刑法修正案（七）》針對個人信息犯罪作了規定；2013年，修正後的《消費者權益保護法》對消費者個人信息的保護作了專門規定；2016年，《網絡安全法》規定了收集使用個人信息的規則以及網絡運營者保護個人信息的義務；2018年，全國人大常委會通過的《電子商務法》進一步規定了電子商務經營者的個人信息保護義務和網絡安全責任。特別值得一提的是，2020年出臺的《民法典》專章規定了“隱私權和個人信息保護”。

我國通過法律設立政府的數據監管機構，並不賦予廣泛的數據調查性權力。如《個人信息保護法（草案）》第56條規定：“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責範圍內負責個人信息保護和監督管理工作。”又如該草案第59條還賦予了數據監管機構詢問權、查閱及復制相關資料權、現場檢查權、查封或者扣押權，以及約談權等廣泛的權力。

與此同時，我國還用罰款等強監管手段實現對個人信息的公法保護，對違法行為加大懲處力度，對個人信息處理者設置了特別嚴格的法律責任。如《個人信息保護法(草案)》第62條規定：“違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的……情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。”同時，草案第63條還增加了“記入信用檔案”的處罰機制。另外，我國還特別增加了公益訴訟機制。如草案第66條規定：“個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。”

總之，數據合規領域的強監管是全球的發展趨勢，中國、歐盟和美國都是如此。而強監管必然帶來一個全新的法律業務領域，從“合規”（Compliance）這個概念的起源就可以看出一些端倪。最早是由於美國《反海外腐敗法》在全世界範圍內的強制推行，依靠軍事霸權和金融霸權給美國政府帶來了數千億計的巨額罰款，從而“反腐”令全球跨國公司噤若寒蟬，“反腐合規”也成為它們不得不做的事情。後來，從“反腐合規”發展到“貿易管制合規”，再到“數據合規”，這三者被認為是合規的三大最重要領域。中國的情況也大抵如此，正如2008年《勞動合同法》的出臺使勞動法業務一飛衝天，《個人信息保護法》和《數據安全法》的出臺必將為數據合規業務帶來一場“超級臺風”。

二、 護城河

數據法領域的深度和廣度都足夠使數據合規業務成為法律藍海。從法律部門看，憲法可從“一般人格權”角度證成作為基本權利的“信息自決權”，這為其他法律部門的數據研究提供憲法基礎；行政法可從“政府規制”和“企業自我規制”的角度討論“公私協力”對於數據保護的重要意義，尤其是設置個人數據專門監管機構的可行性，以便彌補司法救濟的不足；刑法可從“謙抑性”角度討論個人信息方面的罪與罰，尤其是關注刑罰與行政處罰之間的銜接問題；經濟法可從“反不正當競爭”和“反壟斷”的角度重塑企業之間的數據競爭秩序，這也是司法實踐所采取的主要角度；民商法可從“隱私”“個人信息”及“非個人信息的數據”等概念的區分出發，實現數據的確權和分級保護，以便最大化地實現對自然人的私法救濟；知識產權法可從集合“人身權和財產權”的角度探討數據權益保護的制度基礎；國際法可從“數據跨境”和“數據本地化”的緊張關係中探討建構國際數據新秩序的可能性，同時歐盟《通用數據保護條例》（GDPR）、美國《加州消費者隱私法案》（CCPA）以及日本、韓國、印度、越南及澳大利亞等亞太地區國家的數據立法成為國際數據法興起的基礎。

從涉及的行業來說，金融數據重點關注的是數據融合和共享的合法性框架；健康醫療數據重點關注的是隱私保護和產業發展的平衡；消費者數據重點關注的是“同房不同價”等價格歧視問題帶來的消費者權利保護新問題；公共數據重點關注的是公共數據開放與政府信息公開的制度區分，尤其是建構分級分類開放機制；兒童數據重點關注的是如何對兒童進行特殊保護以及監管人的同意如何完成和確認；教育數據重點關注的是教育行業如何在數據支撐下實現智能化，尤其是如何避免教育培訓機構利用數據過度營銷等問題；就業者數據重點關注的則是數據共享和交易的合法性框架，尤其是職場數據監控的法律邊界。每個領域涉及的問題都是完全不同的，由此帶來的數據合規業務也必然是十分豐富的。

總之，由於數據法領域的無所不包，再加上很高的技術（法律）門檻，先行者有充分的“先發優勢”，容易形成“護城河”。數據合規既強調技術和法律的深度結合，又是理論和實務的融會貫通，不僅需要精通全國人大、網信辦、公安部、工信部、市場監管局的法律和政策，還得跟蹤世界各國（尤其是歐美）的立法動態和司法案例。因此，數據合規業務正在帶來知名律所的圈地運動，這不僅需要大量資金的前期投入，而且還需要打造一支涉獵廣泛的“狼性團隊”，民事、行政、刑事都得涉獵，訴訟與非訴都得精通，同時對英文水平的要求也是極高。

三、 國際化

最近幾個月，在數據法領域備受關注的是TikTok及WeChat的美國禁令案，特朗普政府的執法依據是《國際緊急經濟權力法》以及美國《全國緊急狀態法》，他們認為TikTok和WeChat會自動從用戶那裡抓取大量信息，這些用戶信息將威脅到美國安全，並將它們在美國境內的繼續運營認定為“國家緊急狀態”。這兩個案件表面是“國家安全”的借口，背後的實質卻是作為財富的數據國際的爭奪。

世界正在形成三個獨立的數據治理王國：歐盟建構的是以“基本權利”為基礎的數據治理模式，典型代表是歐盟《通用數據保護條例》（GDPR），而以歐盟《非個人數據自由流動條例》及歐盟《數據戰略》又更加強調數據的流動和利用；美國建構的是“自由市場+強監管”的數據治理模式，典型代表是《加州消費者隱私法》（CCPA），而更加強調個人數據權利的《加州隱私權法》（CPRA）將在2020年11月面臨全州選民的投票；而中國試圖建構的則是“安全基礎上的數據保護+數字經濟發展”的模式，典型代表是正在制定中的《個人信息保護法》和《數據安全法》，而“培育數據要素市場，完善數據產權制度，探索數據產權保護和利用新機制”又是新的政策趨勢。對於數據跨境，歐盟GDPR作出嚴格限制，設置了充分性認定白名單、遵守適當保障措施、公司約束規則、國際協議以及通過“必要性測試”和“偶然性判定”等五道“關口”。而美國CCPA對於數據跨境管控持有“留白與放任”的態度，這是因為美國數字經濟產業領先於全球，從價值取向上更加鼓勵數據的自由跨境流動。而中國試圖建構一套凝聚全球數據安全共識、符合全球共同利益、持續開放共享的數據跨境方案，重點強調的是在數據安全基礎上的數據自由流動，強調持續的開放性。

歐盟、美國和中國的三種數據治理模式表面上看互不兼容，既有全球化和本土化的衝突，也存在數據自由和數據限制的路線之爭。但未來卻很有可能殊途同歸，即都強調數據權利保護和數據流通利用的平衡。從某種意義上說，以全球化為依歸的數據跨境自由流動框架也是發展的必然趨勢。

毫無疑問的是，國際化必然帶來大量高端的數據合規業務，涉外數據合規業務（如數據跨境、等級保護2.0及網絡安全審查等）和海外數據合規業務（如跨境併購及上市過程中的數據安全評估、面對外國政府調查的危機公關及訴訟等）必將得到蓬勃發展，未來可期。特別是，在2019年年底舉行的第八次中日韓領導人會議上，三國領導人達成共識，要共同努力推動《區域全面經濟伙伴關係協定》（Regional Comprehensive Economic Partnership， RCEP）在2020年年底簽署生效，並同時加快《中日韓自貿區協定》（Free Trade Agreement， FTA）的談判進程。在這些自由貿易談判中，重點之一就是數字經濟貿易，而數據跨境流動和數據安全協議將是核心要點。同時，對中國企業來說，在未來RCEP和FTA簽署生效後，相關的跨境投資必將越來越多，做好海外合規，尤其是數據合規將變得至關重要。

值得慶幸的是，我國的數據合規人才的培養也在快速籌劃之中。中國政法大學率先設立了“數據法學”的碩士博士點，江西財經大學把“數據法學”作為法學本科的一個方向，清華大學在不斷發展“計算法學”，華東政法大學則設立了“智能法學”的碩士博士點，西南政法大學和上海政法學院甚至成立了人工智能法學院，上海交通大學等不少學校還成立了數據法律研究中心等專業研究機構。對於我個人來說，我主編的中國首部教材《數據法學》也於2020年7月順利出版，廣受好評。

正是在這樣的背景之下，我開始逐漸形成要撰寫一本《亞太數據合規手冊》的強烈願望，希望通過重點翻譯和介紹日本、韓國、印度、澳大利亞、新加坡、越南等亞太主要國家以及我國香港地區和澳門地區的《個人信息保護法》和《網絡安全法》等數據相關法律，為中國內地正在進行的數據立法提供理論儲備和參考依據，更為中國企業未來在亞太國家的數據合規提供實踐指導。

在這裡，我要特別感謝“數據法盟”平臺上的“DataLaws公益翻譯小組”的所有同仁，正是他們不辭辛苦和無私奉獻，用兩年時間共同鑄就了《亞太數據合規手冊》這本工具書，相信一定會成為企業法務及合規、互聯網從業者、律師及高校師生等數據法共同體的必備工具書。後續我們將繼續通過公開出版“數據合規”及“大數據戰爭”等系列叢書，翻譯、整理及總結歐盟和美國等區域的數據領域的法律及政策，以及司法案例和執法案例，並最終實現“以全球視野，為中國數據立法建言；以中國智能，為國際數據規則獻策”的目標。

毫無疑問的是，針對個人數據野蠻掘金的時代在全球範圍內已經結束，該是建構國際數據新秩序的時候了，讓我們一起期待數據合規的藍海時代的早日到來，讓我們一起分享大數據時代的紅利！

何淵

2020年10月18日凌晨

於上海數齋

1. 澳大利亞

003澳大利亞隱私保護法律概述

007澳大利亞《隱私法》

009第一章概論

011第二章釋義

054第三章信息隱私

061第三章（A)信用報告

105第三章（B）隱私法規

114第三章（C）足以構成數據泄露情形的告知

127第四章信息專員的職能

136第五章調查及其他

159第六章公共利益決定和臨時公共利益決定

163第六章（A）緊急事件和災難中的個人信息處理

169第六章（B）執法

170第七章隱私咨詢委員會

173第八章保密義務

174第九章其他

180附錄澳大利亞隱私原則

2. 日本

197日本數據保護立法概述

203日本《個人信息保護法》

204第一章總則

206第二章國家和地方政府的職責等

206第三章個人信息保護措施等

207第四章個人信息處理經營者的義務等

221第五章個人信息保護委員會

224第六章雜則

226第七章罰則

227附則

233日本《個人信息保護法實施細則》

241日本《行政機關持有個人信息的保護法》

242第一章總綱

244第二章行政機關對個人信息的處理

246第三章個人信息檔案

248第四章（A)公示、修正及停止使用

259第四章（B）行政機關提供匿名化信息

264第五章其他

266第六章罰則

267附則

271日本《網絡安全基本法》

271第一章總則

273第二章網絡安全戰略

274第三章基本政策

276第四章網絡安全戰略總部

278第五章罰則

3. 韓國

281韓國個人信息保護法概述

286韓國《個人信息保護法》

286第一章一般規定

288第二章個人信息保護政策的制定等

292第三章個人信息的處理

300第四章個人信息的安全管理

305第五章信息實體的權利保障

309第六章個人信息糾紛調解委員會

312第七章個人信息集體訴訟

314第八章附則

319第九章罰則

323韓國促進信息通信網利用及信息保護等相關法律

324第一章總則

326第二章促進信息通信網的使用

328第三章已刪除

329第四章個人信息的保護

338第五章信息通信網中的使用者保護等

343第六章信息通信網的穩定性確保等

356第七章通信收費服務

359第八章國際合作

360第九章附則

365第十章處罰

4. 越南

379越南數據保護法律概述

382越南《網絡安全法》

382第一章總則

387第二章國家安全關鍵信息系統網絡安全的保護

391第三章對侵害網絡安全行為的預防與處置

398第四章網絡安全保護活動

401第五章網絡安全工作保障

403第六章機構、組織和個體的職責

405第七章執行規定

5. 印度

409印度個人數據保護法概述

415印度《個人數據保護法（草案）》

416第一章引言

420第二章數據受托者的義務

423第三章無需同意的處理個人數據的情形

425第四章兒童的個人數據和個人敏感數據

426第五章數據主體的權利

428第六章透明度和問責措施

434第七章向印度境外傳輸個人數據的限制

435第八章豁免

438第九章印度數據保護局

444第十章處罰和賠償

449第十一章上訴法庭

451第十二章資金、賬戶和審計

452第十三章違法行為

454第十四章其他事項

458附則

6. 新加坡

463新加坡網絡安全法概述

467新加坡《網絡安全法》

467第一章前言

471第二章行政機構

472第三章關鍵信息基礎設施

481第四章應對網絡安全威脅和事件

488第五章網絡安全服務提供商

494第六章一般規則

506附錄一基礎服務

509附錄二需許可的網絡安全服務

510新加坡《網絡安全法》解釋說明

511第一章前言

511第二章行政機構

511第三章關鍵信息基礎設施

514第四章網絡安全威脅和事件的應對

516第五章網絡安全服務提供者

518第六章一般規定

520新加坡《網絡安全法》常見問題

531新加坡《個人數據保護法》

531第一章總則

536第二章個人數據保護委員會與管理機構

538第三章個人數據保護的一般規則

538第四章個人數據的收集、使用和披露

541第五章個人數據的訪問和更正

542第六章關注個人數據

543第七章執法

546第八章上訴至數據保護上訴合議庭、高等法院和上訴法院

547第九章防騷擾電話機制

553第十章一般原則

7. 中國香港地區

563中國香港地區《個人資料（私隱）條例》概述

567中國香港地區《個人資料（私隱 ）條例》

8.　中國澳門地區

657中國澳門地區《網絡安全法》

657第一章一般規定

660第二章組織規定

661第三章網絡安全義務

663第四章處罰制度

665第五章過渡及最後規定

667中國澳門地區《個人資料保護法》概述

671中國澳門地區《個人資料保護法》

671第一章一般規定

673第二章個人資料的處理和性質以及對其處理的正當性

675第三章資料當事人的權利

678第四章處理的安全性和保密性

679第五章將個人資料轉移到特區以外的地方

680第六章通知和許可

682第七章業務守則

683第八章行政和司法保護

686第九章最後及過渡規定