比较世界各地的数据政策优先事项

比较世界各地的数据政策优先事项 作者：GillianDiebold|2023年9月5日 美国政策制定者不应该重复任何一种方法，而是应该借鉴各种选择，制定一个有凝聚力的、有利于创新的数据战略。 INTRODUCTION 关于数据的常见比喻，例如声称它是新的石油，沙子或培根，突出了数据对经济和社会的重要性。许多国家通过制定有关数据的政策做出了回应，包括个人数据，业务数据和政府数据。这些政策涵盖了一系列问题，例如谁可以访问它，可以在哪里存储它，应该如何保护它等等。 各国在对待和评价数据方面存在重要差异。一些国家将数据用作经济资产或现代化和发展的工具，而另一些国家则使用数据来控制公民。本报告比较了中国、印度、新加坡、英国和欧盟的关键数据政策。选择这些国家是为了显示各国在数据政策中采取的选项菜单。尽管美国制定了一些重要的数据政策，例如关于公开政府数据的政策，但由于缺乏对关键数据政策问题的明确和一致的国家方法，例如州立法机构制定了许多规则的数据保护，因此未将其包括在内。 对于每个国家，该报告都详细介绍了该国的数据政策的目标，战略和策略以及相关机构。本报告并未试图探讨每个国家数据政策的所有细微差别，特别是金融服务或医疗保健等领域的部门重点政策。 相反，它侧重于对数据的广泛，高层次的思考。该报告显示，尽管许多国家认识到数据的社会和经济价值，但它们为最大化数据价值而采取的政策可能会有很大差异。 政策制定者应该从这些全球方法中学习，并采取行动，以两个目标为重点制定协调的数据方法：最大限度地提高数据驱动创新的收益（通过鼓励数据收集和数据共享，并避免不必要的繁琐的数据保护规则），以及最大限度地减少跨境数据流动的障碍。 数据创新中心 CHINA 中国的目标是建立一个强大的内部数据经济，以加强国家竞争力，并通过严格控制数据的收集和使用来保持政府对社会的控制。 战略 政策 1.将数据分类为生产要素 a.The国家信息化十四五规划根据“信息化在经济和社会发展中的驱动和引领作用”的主张，详细介绍了一些增加数据收集的项目。1该计划解释了需要“充分表达数据作为新的生产要素的关键作用……以全生命周期治理和安全保护为重点”。因此，国家产业政策考虑并包括数据资源。 2.使用数据施加更大的社会控制 a.The数据安全法(DSL)赋予国家以严格的监督 权限。第21条根据数据对中国国家安全的潜在影响建立了数据分类系统，经济和安全数据得到了最高水平的保护。2b.根据DSL第45条的规定，中国网络空间管理局拥有数据保护的最终监督权，可以对违规行为处以罚款，暂停业务和冻结资产。 c.The网络安全法（CSL）允许执法部门通过强制后门访问个人数据。3第二十八条规定,“网络运营者应当向维护国家安全和侦查犯罪活动的公安机关、国家安全机关提供技术支持和协助。” d.CSL还禁止在线匿名。第24条规定：“网络运营商……应要求用户提供真实的身份信息……如果用户不提供真实的身份信息，网络运营商不得向他们提供相关服务。” 3.促进经济民族主义 a.CSL为网络安全和数据保护提供法规，以“促进经济和社会信息化的健康发展” 。4第37条规定：“在中华人民共和国境内运营期间收集或产生个人信息或重要数据的关键信息基础设施运营商，应将其存储在中国大陆。”此外，CSL要求在中国境内收集的有关中国公民的业务数据和数据存储在中国境内，并限制其出口。b.The个人信息保护法（PIPL）加强个人数据保护政策。5PIPL的重点是将中国的个人数据保存在该国境内。法律第三节规定，国家机构持有的个人数据必须存储在中国境内。同样，第38条规定了跨境传输个人数据的严格条件，即国家主导的安全评估。 为了建设数据经济和社会，中国有三个主要的数据战略： ■通过收集尽可能多的数据来最大限度地利用数据促进经 济增长，以造福国家。 ■通过国营机构密切监测其公民的数据。 ■促进经济民族主义，加强国家对数据的控制。战术为了支持其战略，中国使用以下策略：■为了使数据的经济效益最大化,中国已将数据分类为生产要素，以巩固其作为关键经济资源的地位。国家产业政策现在包括数据资源分配的指令。■为了加强社会控制和监督公民，中国限制网上匿名，并要求私营部门将数据移交给国家，特别是在被认为对国家安全很重要的情况下。■为了促进经济民族主义，中国限制外国公司在其境内的活动，并要求所有数据都存储在国内。AGENCIES中国有两个主要机构负责监督数据政策，以促进该国的数字发展： ■中国网络空间管理局（CAC）负责监督该国的许多数字 法规，包括有关网络安全，数据保护，跨境数据流和数字内容的法规。国务院最初在中国系统中属于国家行政管理部门，于2014年重组了CAC，使其具有合并的党国地位，从而降低了透明度和问责制。 ■国家数据管理局（NDA）负责公共机构之间的数据共享 ，大型互联网平台之间的数据互连以及实现私营部门的数据使用。 1DigiChina，“翻译：国家信息化第十四个五年计划”，最初发布于2021年12月28日，https://digichina.stanford.edu/work/translation-14-五年计划-国家信息化-12-2021/。 2DigiChina，“翻译：中华人民共和国数据安全法”，2021年6月29日，https://digichina.stanford.edu/work/translation-data-security-law-of-the-People-Republic-of-China/。 3DigiChina，“翻译：中华人民共和国网络安全法”，2018年6月29日，https://digichina.stanford.edu/work/translation-网络安全-中华人民共和国法律-有效-2017年6月1日/。 4Ibid. 5DigiChina，“翻译：中华人民共和国个人信息保护法”，2021年8月20日，https://digichina.stanford.edu/work/translation-个人信息保护-中华人民共和国法律-有效-2021年11月1日/。 印度的目标是利用数据政策来刺激现代化和发展，并释放新的经济资源。 战略 政策 1.加强消费者隐私 a.提议的数字个人数据保护法规定了印度公民的权利和个人数据的合法使用。2最新的草案包括数据最小化和目的限制要求，但指出“该法案的目的是以承认个人保护其个人数据的权利和为合法目的处理个人数据的需要的方式提供数字个人数据”。 2.建立国家主导的数据受托服务 a.印度堆栈是一套加强国家数字基础设施的计划。3除了为使用电子商务和电子政务服务的公民提供数据共享之外，印度堆栈的同意层数据授权保护架构(DEPA)，通过建立数据受托人，在信息用户和提供者之间充当中介，并根据用户设定的标准为公司提供同意，从而使公民对其个人数据拥有更大的自主权。 3.促进印度第一的数据共享和存储 a.草案第5.1节非个人数据治理框架包括“对相关印度社区产生的好处；不仅对收集此类数据的组织，而且对通常产生正在捕获的原始/事实数据……[包括]公民，印度初创企业，印度公司，印度公立和私立大学，印度公立和私立研究实验室，印度非政府组织以及印度中央政府和州政府。”4b.“非个人数据治理框架”第6节规定，如果有公共利益的理由，例如能源数据或乘车服务和交通，则与印度“数据业务”的新横向类别进行数据共享。Sectio6.3.“印度公民和印度组织将可以公开访问包括政府在内的不同数据企业收集的数据的元数据。在本节的主要内容中，报告指出：“委员会坚信，DataBsiess的元数据共享将以前所未有的规模刺激该国的创新……相关的关键目标之一是促进和鼓励可以扩展其基于数据的业务的国内行业和初创公司的发展。."5c.过去的《个人数据保护法案》草案包括严格的数据本地化要求。2022年8月发布的该法案的较新版本允许在“受信任”的国家/地区跨境传输和存储数据。 4.启用非个人数据共享 a.非个人数据治理框架涵盖所有类型的非个人数据的数据共享，包括与人完全无关的数据或已匿名的个人数据，其目标是实现一个数据共享框架，以解锁“经济，社会和公共数据的价值”，解决潜在的危害，并从企业和政府建立国家数据存储库。6 5.创建高价值数据集 a.非个人数据治理框架将设立两个办公室，一个是印度数据管理办公室，以制定新政策，另一个是非个人数据管理局，以监督数据共享活动并批准新的高价值数据集的申请。框架中的7.2.ii建议“印度应在国家一级指定新的数据类别……具有特殊公共利益的数据或高价值的数据集，例如健康，地理空间和/或交通数据”，并“逐步确定其他优先部门，以利用非个人数据带来的经济和社会效益”。7 为了实现其现代化和发展目标，印度有三个战略： ■加强消费者数据隐私。 ■促进经济民族主义以支持国内行为者。 ■利用非个人数据促进经济增长。 战术印度通过以下方式支持其战略举措：■为了加强消费者数据隐私，印度提出了一项个人数据保护法，该法律使用目的限制和数据最小化要求来增强个人隐私，同时仍为使用个人数据制定明确的准则。它还拥有一套由国家主导的技术应用程序，可集中用户同意协议。■为了促进经济民族主义和支持国内行为者，印度支持数据本地化和优先考虑印度企业访问用户数据。■为了利用非个人数据的价值，印度创建了一个国家数据共享框架，并在关键领域创建了高价值数据集。 AGENCIES印度通过由电子和信息技术部（MEITy）领导的主要集中方法来管理和监控数据。1MEITy的使命是“印度的电子发展，作为向发达国家和赋权社会过渡的引擎”。待定的政策还将创建新的机构来管理个人和非个人数据。 1“电子和信息化部职能”，电子和信息化部，最后修改为2023年7月19日，https://www.meity.gov.in/about-meity/functions-of-meity。 2《数字个人数据保护法》，印度共和国（2023年），https://www.meity.gov.in/data-protection-framework 3“数据”，印度堆栈，2023年7月访问，https://indiastack.org/data.html 4“非个人数据治理框架专家委员会的报告”，印度政府MEITy，2020年，https://ourgovdotin.files.wordpress。com/2020/07/kris-gopalakrishnan-committee-report-on-non-personal-data-governance-framework.pdf。 5Ibid.6Ibid.7Ibid. 新加坡的目标是将数据作为吸引新企业在新加坡开展业务的工具。 战略 政策 1.使企业能够使用个人数据 a.《个人数据保护法》（PDPA）的目标包括保持与公民的信任和“规范组织之间的个人数据流动……以加强新加坡作为企业可信赖中心的地位”。1b.PDPA要求通知和同意数据收集，但在合法公共利益或业务改善目的的情况下，也为组织创建例外。2021年的法规更新创建了“合法利益例外”，其中在某些情况下，企业可以在未经同意的情况下收集、使用或披露个人数据。 2.在亲商业框架内保护消费者利益 a.《PDPA》第48O条包括个人对违反《PDPA》的企业提起诉讼的私人权利，规定“因违反而直接遭受损失或损害的人……有权在民事诉讼中寻求救济。法院”。b.PDPC正在更新法规，以包括数据可移植性义务(DPO)组织必须以通用的机器可读格式将其拥有的个人数据传送给另一个组织。2值得注意的例外情况包括“个人数据，如果披露，将泄露可能……损害组织竞争地位的机密商业信息。”此外，DPO只要求移植到在新加坡设立或有办事处的组织。 3.3.促进B2B数据共享 a.IMDA创建了可信数据共享框架，以促进个人和非个人数据的B2B数据共享。3 它旨在创建一种系统的数据共享方法，因为“共享数据的动机通常来自业务需求”。“通用数据共享语言