安徽明确保卫蓝天碧水净土“路线图”

来源：逾淮之橘网编辑：大泽誉志幸时间：2025-04-05 20:03:52

信息控制者的信息处理行为违反法律的规定，给信息主体的人身、财产或者精神合法权益造成损害的，应依法承担赔偿责任。

2014年3月，经欧洲议会公民自由、司法与内政事务委员会的辩论和欧洲议会的表决，原第17条标题被遗忘和删除权更改为删除权。[43]Diaz v. Oakland Tribune, 188 Cal. Rptr.762(1983). [44][美]约翰• D.泽莱兹尼：《传播法：自由、限制与现代媒介》，张金玺、赵刚译，清华大学出版社2007年版，第174页。

安徽明确保卫蓝天碧水净土“路线图”

[34] (四)被遗忘权的新语境：冈萨雷斯案提出的问题 2010年3月，西班牙公民冈萨雷斯在本国起诉当地报纸《先锋报》(La Vanguardia Ediciones SL)、谷歌西班牙公司和谷歌公司。搜索服务发布的源网址信息只是其中一小部分，这些信息仅仅是为了让用户判断是否有必要去浏览源网址。这首先是由于视觉效果以及图片和声音的结合，尤其是由于电视报道的传播广度。在冈萨雷斯案判决中，欧盟法院为针对搜索服务商的删除权提出了两项理由：源网站的信息不准确或已经过时。第22条自动化的个体决策，包括画像规定，数据主体有权不作为单纯依据自动处理过程所作出的对他产生法律效力或者类似的重大影响之决定的对象，包括画像。

[9]引发社会关注的中国cookies软件侵权第一案即为典型的个人数据删除权纠纷。指令规定的合理性是显而易见的：第三人获得和处理数据通常是基于数据控制人的许可和配合，当控制人自己不再享有数据处理的权限，除了特定例外，第三人自然也失去了处理的依据，而控制人恰好处在(转)发送删除通知的最佳位置，数据主体则可能完全不知晓控制人向哪些第三人转移了数据。刘德良:《个人信息的财产权保护》，《法学研究》2007年第3期，第80页。

Helena UrsicBart Custers，Legal Barriers and Enablers to Big Data Reuse:A Critical Assessment of the Challenges for the EU Law，2 Eur.Data Prot.L.Rev.209 (2016) . [28]对于美国联邦贸易委员会隐私保护执法已经上升到形成普通法高度，以及欧盟、美国隐私法比较已经快速过时的论述，参见Daniel J.SoloveWoodrow Hartzog，The FTC and the New Common Law of Privacy，114 Colum.L.Rev.586 (2014)。实践中，企业集团或者关联企业内部跨境传输个人信息只要满足自我约束规则的要求，欧盟也认为符合充分性条件。相较于《个人数据保护指令》，《一般数据保护条例》的整体制度设计思路更清晰、规定更翔实，充分体现了通过更有效的内部治理、更强的外部威慑，促使信息控制者主动承担更多责任的立法意图，符合激励监管的基本原理。See Verizon，2017Data Breach Investigations Report，38 (2017) . [24]具体事例参见[美]弗兰克?帕斯奎尔:《黑箱社会:控制金钱和信息的数据法则》，赵亚男译，中信出版集团2015年版，第二章。

[85]中国信息通信研究院的一项实证调查也发现，近80%的用户认为隐私泄露严重，防不胜防。[47]《条例》在上述几种机制之外，又增加了经批准的行为规范和第三方认证具有证明跨境信息传输合法性的效力，进一步丰富了合作治理的形式，属于典型的自律与规制结合的激励性监管方式，可以更为充分地调动信息控制者主动参与的积极性。

安徽明确保卫蓝天碧水净土“路线图”

至大数据时代，随着数据价值逐步被认识，信息控制者利用数据的激励越来越强烈，激励失衡现象会愈发突出，法律实施遇到的挑战也会越来越大。[45] 《一般数据保护条例》构筑合作治理最为典型的领域，当属在跨境信息传输机制上的创新。王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第62页。正因为如此，《指令》虽然事前要求很多，但一旦信息控制者违反规定，后果可能并不严重甚至流于形式，这影响了《指令》的权威性和有效性。

[61]有学者指出，措施性的规定很可能造成管理对象仅仅止步于合规，而缺乏动力去采用国家标准和行业标准要求之外的安全措施。各国实践已经证明，即使立法技术科学，权利体系设计严密，仅仅依靠个人同意权等传统隐私权保护机制，无法应对大数据快速发展背景下的个人信息保护问题，[93]告知同意机制完全可能流于形式，信息主体只能选择同意。王利明:《编纂一部网络时代的民法典》，《暨南学报 (哲学社会科学版) 》2016年第7期，第8页。[86]中国信息通信研究院:《电信和互联网用户个人信息保护年度报告 (2014版) 》 (2015年5月) ，第38页。

但是，由于个人信息保护法缺位，加之其他各种复杂的原因，实践中已经出现的问题是，执法部门有时候会将双重任务混合，就高不就低，将保护国家网络安全的标准适用到个人信息保护领域，导致法律关系出现错位和紊乱。[25]对于欧盟与美国在隐私保护法律上的异同及其演变过程的介绍，参见Paul M.Schwartz，The EU-U.S.Privacy Collision:A Turn to Institutions and Procedures，126 Harv.L.Rev.1966 (2013) ，。

安徽明确保卫蓝天碧水净土“路线图”

我国制定个人信息保护法，不能够也不应该回避权利话语。尽管观念更新仅仅依靠立法不可能完全解决，但通过个人信息保护法明确相应的法律义务与要求，加大违法行为的责任承担，一定有助于改变长期积重难返的各种认识模糊问题。

周雪光:《基层政府间的共谋现象——一个政府行为的制度逻辑》，《社会学研究》2008年第6期，第13页，第15页。民法学者对于人格权条款的批评，参见王利明、周友军:《我国民法总则的成功与不足》，《比较法研究》2017年第4期，第14页。由于缺少统一的个人信息保护法，我国在外部执法威慑机制构建方面除了前述的刑法机制替代其他执法机制、信息控制者实体行为规范缺位以外，实践中还导致国家网络安全保护与个人信息保护错位现象，进一步加剧规则适用的紊乱和系统性失灵。个人信息保护法的实施，需要先从信息安全风险管理角度切入，由易到难，循序渐进，推动激励相容机制实现。对于美国企业，欧盟还有单独的《安全港协议》机制，美国企业只要承诺遵守相应规定，即可获得从欧盟传输个人数据的资格。[62]2017年12月29日发布的《信息安全技术?个人信息安全规范》 (GB/T 35273-2017) 首次较全面地对数据控制者的行为与组织提出了要求，但由于其推荐性标准的定位，法律效力有限。

个人信息处理过程公开透明，是信息控制者形成内生机制的重要外部条件和运行保障，能有效弥补合法、正当、必要等原则的不足。2 0 1 4年，中国消费者协会的个人信息保护状况调查发现，约三分之二受访者在过去一年内个人信息曾被泄露或窃取。

[6]新公共管理运动的实质是基于激励约束机制，构建多方合作治理的有效格局。[49]没有规定个人数据泄露的通知要求，难以通过公开与社会监督机制形成有效压力。

[15]凯文?凯利在对未来20年商业科技发展预测的一次讲演中提出，在大数据时代，所有生意都是数据生意，个人数据才是大未来。这就涉及观念更新、组织与流程再造、行为方式调整等各个方面，是一项系统工程，需要进行全面的制度设计。

并且，由于网络安全法等上位法规定本身非常原则，该标准的一些规定面临缺乏上位法支撑的问题。同年，刑法修正案 (七) 设立了出售、非法提供公民个人信息罪与非法获取公民个人信息罪两个罪名。其中，最基本、最有价值的是个人信息，由用户活动产生，收集和整理个人信息都是获取权力的方式，通常以信息主体为代价，[19]因此需要在个人信息保护与大数据发展之间实现平衡。如果法律规则只是简单施加各种禁止性或者强制性规定，势必因为激励不相容影响有效实施。

[82]The White House，Consumer Data Privacy in A Networked World:A Framework for Protecting Privacy and Promoting lnnovation in the Global Digital Economy，4 J.of Pri.and Conf.10 (2012) . [83]参见梁慧星:《民法总论》，法律出版社2007年版，第77页。欧盟《一般数据保护条例》《个人数据保护指令》在明确个人信息权属于一项基本人权的同时，均申明个人信息权不是一项绝对的权利。

在信息安全等级保护制度中，保护的对象主要是重要信息和信息系统，在上述文件和《信息安全技术?信息系统安全等级保护基本要求》 (GB/T2 2 2 3 9-2 0 0 8) 以及该国家标准所指引的共同构成了信息系统安全等级保护的相关配套标准中，[57]均缺乏关于个人信息保护的规定，使个人信息保护一直游离于信息安全等级保护制度之外。为此，个人信息保护法需要设计一些重要的制度，主要包括: (1) 在网络安全法确立的合法、正当、必要原则之外，明确将责任原则也确立为个人信息保护的一项基本原则，促使信息控制者积极履行责任，防范风险发生。

罗天保:《汽车公司网络安全方案研究》，《现代计算机》2008年第8期，第103页。增加个人信息泄露后分别通知数据管理局和信息主体的义务，建立有效外部威慑机制。

[50]统一设立最高罚款上限为2000万欧元或者信息控制者上一年度全球营业额4%的罚款标准，大幅提高罚款的幅度。由于缺乏上位法支撑，该指导性技术标准实践中的影响力非常有限，并且该标准对个人信息管理者内部治理机制的要求非常简单、原则。(6) 对于跨境个人信息传输，除设计类似于欧盟的充分性认定机制，以国家为对象采取对等措施以外，还应设计多元的补充认定机制，包括经核准的标准个人信息保护合同条款、企业自我约束规则、行为规范，以及获得合法备案的个人信息保护可信标志或认证标志等。[41] 其次，相较于《个人数据保护指令》，《一般数据保护条例》更突出强调责任原则、透明原则的地位和作用，强化信息控制者内部治理机制，调动信息控制者参与数据治理的积极性。

个人信息保护法需要明确规定，信息控制者依法向第三方提供、转移、共享或者跨境传输其合法控制的个人信息的，应保证第三方能够履行同等个人信息保护法律义务，确保个人信息全流程安全，保证责任原则的全面实现。2017年民法总则第111条规定，自然人的个人信息受法律保护。

只要发生不利结果，就责任很重，甚至可以直接刑罚制裁，而信息控制者究竟应该履行哪些法律义务则缺乏规定。这些特征使数字信息成为 (几乎) 免费、精确、实时的资源。

(6) 数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的。[81]奥巴马政府2012年首次发布消费者隐私权利法案白皮书，2015年直接以法案形式提出完整的立法建议，都是希望以消费者控制为核心理念来完善制度，赋予消费者控制哪些个人信息可以被收集以及这些信息如何使用的权利。

上一篇：曾都区外贸企业广交会首日告捷
下一篇：贵州空管分局技术保障部通信保障室顺利完成ADS-B数据站相关培训工作

安徽明确保卫蓝天碧水净土“路线图”

友情链接