信息化背景下德国数据保护的法治实践及启示借鉴

关键词 数据安全 德国举措 立法保护 法治实践

基金项目：国家社科基金重大项目“总体国家安全观视野下的网络治理体系研究”（编号：17ZDA107）。

作者简介：申涛林，中国互联网协会。

中图分类号：D9516                                                         文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2020.07.090

数据作为数字时代的新“新能源”和“重资产”，确保其安全可控已成为各方共识。然而，在保护对象、具体手段、宽严程度、执法尺度上，有关方面还存在分歧。在解决个人隐私保护、跨境数据流动、大数据应用等重点领域上，还面临一定的政策瓶颈。实践过程中，如何统筹平衡好安全保护与促进发展之间的关系，成为摆在面前的重要课题。德国通过法治手段，在确保数据安全方面进行了积极探索。

一、德国数据保护立法的总体情况

（一）历史脉络

1978年，联邦德国出台了《联邦数据保护法》，从国家层面确立了数据保护的基本规则和主体框架。1995年，德国颁布《联邦数据保护法》，并分别于2001年、2003年、2006年、2009和2015年进行多次修订。经过不断完善，《联邦数据保护法》作为德国国内数据保护领域的重要法规，发挥着巨大的作用。

（二）法律体系

当前，德国已经形成较为完备的数据保护法律体系。一是从纵向来看，以《联邦数据保护法》为基础，德国的每个州也制定了当地的数据保护相关法律法规，形成了“联邦-地方”的完善保护体系。二是从横向来来看，《联邦数据保护法》之外，德国为了加强对不同领域的数据保护，针对性出台了专门的法律，出台《电信法》《通讯法》《媒体法》《远程媒体法》等。同时，由于数据使用与社会发展的深度融合，传统领域的数据保护问题日益重要。对此，德国在征税、社保等领域，对于公民个人信息保护问题也通过立法手段予以规范。

（三）整体动向

一是高度重视数据保护。2011年，德国出台《网络空间安全战略》，指出网络空间安全和网络空间数据的完整性、真实性及保密性十分重要，并介绍了数据安全风险对于国家、社会、公民所带来的挑战。二是不断强化数据隐私保护标准。德国提出了严格保护、加密传输、禁止向国外政府传送数据等要求。三是更加重视数据安全的国际合作。德国认为数据安全保护权属问题十分复杂，需要各个国家携手合作、加强沟通，特别是在联合国框架下建立跨境保护机制。

二、德国关于数据保护立法的主要内容及原则路径

（一）总体框架

以2015年最新修订的《联邦数据保护法》为例，其主体框架分为6大部分、48条。第一部分为“总则”。第二部分为“公共机构对数据的处理”，主要涉及处理的法律依据、数据主体的权利、联邦数据专员等。第三部分为“私法主体和参与竞争的公法企业对数据的处理”，主要规范该企业机构主体的法律依据、相关权利、监管机构、行为规则。第四部分为“特殊条款”，涉及如“特殊秘密”条件下的使用限制等内容。第五、第六部分则分别为“最后条款”与“过渡条款”。

（二）管辖边界

关于数据、信息、个人隐私三者之间的概念边界，学界一直有不同的界定。例如，有观点认为数据是加工信息的原材料 ，也有的认为数据是记录信息的一种符号 。关于个人隐私，有学者认为人信息包含隐私 ，也有的提出了隐私包括私生活安宁和私生活秘密两个方面 。《联邦数据保护法》 “个人数据”的概念进行界定，同时还对数据收集、处理及利用行为作了区别。例如，“个人数据”是指关于个人或已识别、能识别的数据主体的客观情况的信息。“数据收集”是指从相关数据主体处获得数据。“数据处理”则为数据的存储、修正、传递、控制以及删除。“数据利用”，即除数据处理条款之外的任何其他个人数据使用行为。

（三）主体原则

该法体着重体现出六大原则，分别是直接原则、更正原则、目的明确原则、安全保护原则、公开原则、限制使用原则。同时，明确了四项权利，即请求告知权、个人信息更正权、个人信息删除权、个人信息封锁权。以个人信息删除权为例，指出除非有法定的或者约定的理由，信息主体有权要求删除未经其同意而储存的信息。

三、德国在数据保护难点问题上的法治实践

（一）个人数据及隐私保护

根据《联邦数据保护法》，收集、处理和使用公民个人信息受到严格管制。一是强调“是否知情”。运营商在存储、传输、利用个人信息时，应道及时向权属主体告知。二是强调“是否同意”。对于出于商业目的的数据进行获取，必须要征得权属主体的同意。三是强调“如何惩戒”。明确了对于出现违反有关规定、侵害权属主体合法利益的行为，均应受到法律制裁。四是强调“如何申诉”。权属主体在发现个人信息遭受不法侵害时，可以按照规定予以投诉举报。

（二）跨境数据保护问题

一是針对“欧盟内国家”，德国对其他成员国的数据保护持信任态度，允许与欧盟成员国之间进行数据交换。但随着2016年欧盟《一般数据保护条例》生效，数据跨界流动更加严格。二是针对“欧盟外国家”，若该区域运营商和服务商提供数据服务，须按照欧洲标准合同予以规范。三是针对“可信国家”，德国对于部分国家予以信任认定，将此类国家纳入信任清单以实行精准化管理。

（三）大数据安全及保护

德国在出台的《2014至2017年数字化议程》中指出，欧盟《一般数据保护条例》是应对信息通讯技术不断发展背景下确保数据安全的重要文件。对此，德国不断完善本国的数据保护法律法规，重点强化大数据场景下的安全防护。特别是，借助信息通信技术手段，综合运用加密传输等方式，确保数据资源的安全可控，降低盗用、泄露、滥用等风险。此外，德国将考虑加快本土化数据中心建设，逐步推广本地化存储。

四、德国数据保护法治实践的特点

（一）健全机构设置

一是国家层面。设立联邦数据保护专员，同时在内务部设立专员办公室，负责监督联邦政府数据保护工作，并接受公民關于数据保护维权的投诉申请。为确保独立性，专员预算由内务部单独列支。虽然数据隐私保护官员在别的国家也有设置，但以英国为例，其职能作用相较于德国整体较弱，对于决策支撑和监督作用比较有限。二是地方层面。联邦各州设立专员，负责本州范围内的数据安全保护。三是企业组织。要求在各个企业设立数据保护专员，负责本机构的数据保护工作，且明确强调私营企业应在开业1个月内完成设置。

（二）加大违法打击力度

对于各类窃取、盗用、滥用数据等损害权属主体合法利益的行为，德国均采用严格的执法尺度，甚至情节严重的纳入刑罚处罚。若企业出现破坏数据安全的行为，将被处以最高30万欧元的罚款。2020年2月，德国政府制定一项法律草案，要求运营商对于有害信息主动向警方举报，否则处以最高5000万欧元的罚款。德国通过将严格的政府执法、公共压力之的行业自律和低水平的诉讼机制相结合，形成了“合作法治主义”模式 。

（三）严格维护用户权益

德国法律规定，政府和企业采集个人数据必须具有“目的相关性”，采集数据要坚持“知情最小化”原则，非相关、且非必要数据不得采集。目前，越来越多的德国企业开始加强对数据的保护。一些企业网站要求客户填写信息时，会在显要位置提醒客户信息用途。2020年2月，德国发布《患者数据保护法案》，旨在规范对电子病历和数字医疗应用程序中患者数据的访问权。

（四）紧跟最新发展动向，应对潜在安全风险

近年来，德国对新兴信息技术发展所带来的挑战予以高度关注，通过法律形式来强化数据安全风险管理。例如针对电子监控、个人信息存储、电子办公、工业互联网等场景，均出台细化了相关规定。2020年4月，针对视频会议系统，德国联邦信息安全办公室发布一份纲要，旨在加强其数据安全防护，同时还强调了使用云计算和人工智能服务相关的风险和挑战。

五、启示借鉴

（一）在数据流动与信息安全之间寻找最佳平衡

数据天然具有流动性，这是数字经济赖以存在和发展的基础。如果数据不能流动，那么就不能参与到生产过程中，无法成为市场要素。但是，数据安全问题也是由数据的流动性造成的。德国原有的立法侧重安全，近年来在修订中，在确保安全的基础上，增加更多个人数据保护的例外情形，以适应经济发展需要。欧盟的数据保护立法，也体现了既重视用户信息合法权益、有注重促进信息自由流动的双重价值。因此，数据保护法必须兼顾信息流动与信息安全两个方面，要正确处理好个人、社会和国家之间的关系。

（二）加快健全数据保护领域的法制体系

一是完善法律体系。德国的数据与个人信息保护立法体系并非一蹴而就，而是历经多次修订并逐渐完善。我国目前已出台《网络安全法》，下一步应加紧制定数据保护领域的专门性配套法律法规，分阶段、分行业推动数据保护立法进程。针对跨境数据流动、个人隐私保护、国家大数据安全等迫切问题，尽快出台相关法律。二是完善机构设置。可以在不同层面，尝试研究设立“数据信息安全官”，健全配套体制机制，规范明确相关权责。三是明确法律权属。细化不同法律主体的权属关系、权利义务，尽快填补法律空白，强化对个人隐私的保护力度，加大对破坏数据安全等各类违法犯罪行为的打击。

（三）构建网络空间依法治理的合力

一是将网络空间治理法规政策与公民权益紧密结合，从立法高度明确个人在网络空间的权利义务。二是更大程度发挥行业协会的行业动员与监督能力，加强行业自律，完善行业规范。三是开展专项执法行动，针对破坏网络空间数据安全的各类违法犯罪行为，加大打击力度。四是建立网络空间数据安全的举报、奖励和惩罚制度，充分发挥公众监督作用，在全社会形成良好的网络安全文化氛围。

（四）加快对新技术新应用潜在风险的法律监管

树立安全优先的理念，进一步加强对新技术新应用的安全评估。加强前瞻性研究，针对性做好关键技术储备。强化跟踪研究，充分发挥技术手段、数据优势，来提高网络空间安全的综合治理能力。对于技术革新的动向以及社会治理的演进，要运用法治手段，从制度层面加强法律约束和监管，避免出现“真空地带”和“脱钩情况”。要依靠健全的法律法规，对技术变革带来的社会问题进行细化规范。

注释：

熊霞.数据仓库中数据质量控制问题研究[D].武汉大学，2004年.

马费成，胡翠华，陈亮.信息管理学基础[M].武汉大学出版社，2002年版.

刘德良.隐私与隐私权问题研究[J].社会科学，2003（8），第12页.

张新宝.隐私权的法律保护[M].群众出版社，2004年版，第7页.

Francesca Bignami， Cooperative Legalism and theNon-Americanization of European Regulatory Styles： TheCase of Data Privacy， 59 Am. J. Comp. L. 412 （2011）.