2020年第一季度国际互联网法律政策
从第一季度互联网立法趋势来看,通过战略、法律、双多边规则等方式,积极推动数字经济发展,回应数字经济发展带来的负面问题。,纷纷构建符合本国国情的大数据战略,例如欧盟发布了《欧盟数据战略》,美国发布《联邦数据战略与2020年行动计划》;进一步加快推进个人信息立法,完善操作细则,明确疫情期间个人信息收集处理要求,全面开展执法活动。开始注重数据基础设施的安全和本地化,建立数字安全战略和安全风险管控工具,例如美国通过了《2019安全和可信通信法案》。强化网络平台的内容管理责任,加强儿童网络内容监管,例如通过《打击右翼极端主义和犯罪》的法律。加强人工智能和5G等新业务的战略布局,通过在新技术新业务领域建立数据制度框架,从而向全球输出自身的价值观,增强在国际规则制定中的话语权,例如欧盟发布了《人工智能——追求卓越和信任的欧洲方案》
数据成为数字经济时代关系和国际竞争力的重要资源。结合其本国国情,制定数据战略,明确数据竞争的方向和目标。美国的战略强调发挥在数据治理中的作用,从联邦层面确定具体的行动计划数据价值,建立数据使用规则,增加数据利用能力。欧盟的战略分为两个方面,对内要建立统一市场,推动内部数据的共享和流动;对外要推行其数据治理,从而影响全球数据规则的建立。二者在具体战略方面也有共同点,即在数据治理方面,都承认数据安全、完整、质量的重要性,提高数据利用的透明度,增进数据间的可操作性等。
美国已经很早就推出大数据研发战略,2019年底发布了《联邦数据战略与2020年行动计划》联邦数据战略确立了范围内的框架原则,明确了40项具体数据管理实践和2020年20项具体行动方案。联邦数据战略确立了一致的数据基础设施和标准实践,该战略的出台意味着美国对于数据的重视程度继续提升,并出现了聚焦点从梦见拉屎在裤子里“技术”到“资产”的转变。该数据战略具有动态性,将充分适应国家立法政策、利益相关者利益和用户需求以及新技术发展变化的需求。
2020年2月,欧盟委员会发布《欧盟数据战略》。战略概述了欧盟委员会在数据方面的政策措施及未来五年的投资计划,以助力数字经济发展。欧盟深刻认识到数据和技术的发展变化,及其对经济和社会的重要性,希望通过体现了欧盟价值观和基本观的政策和法律,为欧盟创造有利的数据发展,数据潜力,尤其是未来要促进来自工业、公共利益领域和日常生活的物联网应用等领域的数据在欧盟内部流通和使用。实际上,欧盟国已经开展相关的合作。2020年2月,法国和签署共同文件支持欧洲云基础设施Gaya—x,促进创建欧洲数据和AI驱动的生态系统,以确保数据主权,加强欧盟在数字市场的竞争力。
一是作为全球数据规则主导者之一的美国,国内各方力量在推动联邦统一个人信息保方面不断增强。2020年1月,美国商会(U.S. Chamber of Commerce)首席执行官汤姆·多诺霍在年度《美国商业状况》中敦促结束立法僵局,通过隐私法。美国纽约州柯尔斯顿·吉利布兰德希望美国更多地参与数字隐私,成立一个新的的数据机构。
二是发展中国家近期在人信息立法方面进展迅速。2020年1月,印度尼西亚总统已正式向印度尼西亚提交了《个人数据保》草案,一旦通过《个人数据保》,印度尼西亚将成为东南亚第五个颁布有关个人数据规则的国家。2020年2月,北马其顿国通过了《个人信息保》(2020),除了特殊以外,立法内容几乎完全与PR一致。同时,埃及议会通过《个人信息保》,成立一个名为“个人数据保障中心”的一般管理机构,以保障个人数据。
三是已有立法的发达国家也在推动其立法的完善和修订。近期,美国总检察长就《消费者隐私法实施细则》(以下简称《实施细则》)发布了两次修订稿公开征求社会意见;2020年2月,竞争监管机构ACCC正式颁布了《竞争与消费者(消费者数据权)规则》。这是推进银行业消费者数据权的重要举措。除了在法律上要求四大银行与认证数据接收方共享产品参考数据外,该还赋予了从2020年7月1日起强制执行的银行业消费者数据共享义务的法律效力。2020年3月,日本内阁通过了修改《个人信息保》的法案。法案提出的修改内容包括:扩大数据主体的范围、改变披露保留个人数据的方法、引入数据泄露的强制性、非法或不当使用个人数据、修改数据转移到日本以外第三方的、提高罚款金额等。2020年2月,韩国对《信息通信网络的利用促进与信息等相关法》《个人信息保》《信用信息的利用与保》等个人信息相关法律作出大范围修订,对法律条款进行整合,将个人信息相关内容统一由《个人信息保》,并修订完善现行制度,解决有关人员混乱、重复监管等问题。2020年3月,隐私法案的修正案提案提交全体委员会审议。
网络空间的个人数据规则本身就具有复杂性,加上算法、人工智能、物联网等新技术新业务的发展,加深了规则制定和实践的难度。对此,多国从规则制定的宏观指导原则以及具体应用领域、应用技术、应用主体等方面进行制度细化和阐释。
在宏观层面,2020年1月,欧盟数据主管(EDPS)发布针对个人数据的比例原则的指南(以下简称指南),旨在帮助评估拟议措施是否符合欧盟数据保律,为欧盟的政策制定者和立法者提供方向。
针对金融服务、直接营销活动、科学研究等具体应用领域出台相关规则和。2020年1月,美国金融监管机构提醒银行和经纪人,他们仍然要对存储在第三方云中的消费者数据负责。2020年2月,英国信息专员办公室ICO与英国金融监管局、金融服务赔偿计划发布联合声明,要求破产企业依法处理用户个人信息,非法出售给赔偿企业。比利时数据机构发布《关于直销数据处理活动的》。欧盟个人数据机构EDPB发布《关于在联网车辆和交通相关应用程序中处理个人数据的指南》。2020年1月,欧洲数据主管发表了有关科学研究数据的初步意见,厘清PR中所的对科学研究的理解,对为科学研究目的而进行数据处理的特殊制度的一些关键原则进行了初步分析。
在应用技术方面,Cookies和算法颇受关注。希腊数据局和法国数据机构都就Cookies使用过程中如何个人信息提供。2020年1月,EDPB发表对于不公平算法与个人数据的意见,认为目前的法律框架解决了许多与通过算法处理个人数据相关的潜在风险和挑战。
在应用主体方面,针对个人信息对象儿童,对措施实施主体网络服务提供者、公共的安全责任,以及数据官的职责等进行了明确。2020年1月,英国信息专员办公室ICO发布《儿童网络隐私实践守则》最终版,了15条适龄设计的标准,为网络服务提供者在网络服务中儿童隐私提供。波兰数据机构宣布了“数据官手册”。2020年2月,的数据委员会发布了指南,以帮助数据控制者确保他们遵守其处理的个人数据的安全义务。2020年2月, EDPB开始针对PR第46条指南公开征求意见,该意见主要是关于在欧洲经济区EEA和非欧洲经济区的公共和机构之间转移个人数据的。
美国基于其没有统一个人信息保,以及在个人信息方面的自治传统,美国国家标准技术研究院NIST于2020年1月发布了《隐私框架1.0版:通过企业风险管理来提升隐私的工具》,该工具是自愿性工具,帮助组织管理因其产品和服务引起的隐私风险。
当前,COVID-19肺炎在全球范围内不断扩散,针对疫情期间如何收集和使用个人数据,很多国家的数据机构发布了相关的指导意见和声明,其中大多数国家在疫情期间具有统一的看法:一是要求个人数据的收集和使用应当遵守数据立法的要求,且很多国家对于健康数据的范围进行了详细明确,要求健康数据的收集和使用要求应当遵守立法中针对特殊类别数据的。欧盟以及包括法国、、意大利、西班牙、奥地利、等在内的国均表示疫情期间不能违反PR的,EDPB明确疫情期间对个人数据的收集和使用也应当遵守包括PR在内的数据;专员办公室OAIC针对疫情期间如何适用《1988年隐私法》进行了说明;二是具有特定的公共机构可以收集人们的个人数据以预防病毒感染,英国ICO表示数据保和电子通信法不会、NHS或任何其他卫生专业人员通过电话、短信或电子邮件向人们发送公共卫生信息,因为这些信息不是直接营销,也不会医疗机构使用最新技术来促进安全迅速的咨询和诊断;法国CNIL表示卫生部门可以收集健康数据,并有资格采取适合于具体情况的措施。卫生部门等公共机构负责评估和收集与冠状病毒症状有关的信息以及某些人的近期活动信息;三是掌握个人健康数据的组织可以出于公共目的与特定机构共享个人健康数据,英国ICO表示组织可以出于公共卫生目的与机构共享员工的健康信息,数据保不会。
全球监管机构在个人信息执法方面全面铺开,虽然大型科技企业是执法重点,但针对一般的企业和组织的违法行为也严格开展执法活动。近期,针对企业的数据泄露、未保障用户等违法行为,全球数据机构进行了较大数额的罚款处罚。一是,对未能保障用户删除权的行为进行处罚,数据局DPA对谷歌违反PR的行为处以7500万克朗(约700万欧元)的罚款,因为谷歌没能实现用户行使删除权;二是针对存在数据泄露行为的企业进行处罚,如针对“剑桥分析事件”,隐私监管机构认为脸书的行为导致了数据泄露,于2020年3月对其提起法律诉讼;巴西司法部对脸书处以660万巴西雷亚尔的罚款,称发现其错误地将来自44.3万名脸书用户的数据泄露给个人;美国联邦贸易委员会FTC与一家总部位于州的科技公司InfoTrax Systems正式达成和解,FTCInfoTrax Systems公司没有使用合理的安全措施而导致黑客获取了大量客户的个人信息;英国ICO以数据泄露为由对DSG Retail处以50万英镑的罚款。三是针对美欧隐私盾协议的监督。2020年1月,美国联邦贸易委员会宣布,它与总部设在的Medable公司就虚假声明参与美国和欧盟之间隐私盾达成和解。2020年3月,美国联邦贸易委员会与一家纽约T&M公司达成的和解协议,该公司被事实,违反了美国和欧盟隐私盾协议。
随着一系列经济社会活动的数字化转型,数字安全风险直接关系到重要的经济社会服务的有效运作、甚至是更广泛的经济和社会繁荣。纷纷加速出台加强重要活动数字安全的政策。为了避免对重要行业数字化转型的收益产生不必要的影响,经济合作与发展组织(OECD)认为相关政策的出台不应采取创新或使用、更新、数字技术等措施。为此,OECD于2019年12月通过了《关于重要活动数字安全的》。该给应对数字安全风险提供了,包括要制定国家数字安全战略,增强数字安全风险管理和重要活动突发情况的还原应急能力,建立基于的监督机制以及将数字安全风险整合到国家风险管理中。
通过立法和政策文件对网络安全管理,尤其是5G的网络安全风险管控建立规则。从具体的政策措施来看,通信设备的管制是核心关键,在策略上采取了不同程度的管理措施。其中美国和俄罗斯对设备管控采取了较为激进的措施,通过立法使用外国通信设备;欧盟则相对,采取了更为柔性的手段,通过性文件,为国安全管理提供参考。
2020年2月,美国通过了《2019安全和可信通信法案》,并于3月3日交由总统签署成为法律。该法案将建立两个计划。一是由联邦通信委员会FCC管理的计划,补偿某些美国通信提供商移除和更换某些通信设备和服务的费用;二是建立一个由国家电信和信息管理局和其他联邦机构管理的计划,与通信供应商及其供应商共享供应链安全风险的信息。该法的主要目的是使用某些联邦补贴来购买构成风险的通信设备或服务,并建立补偿计划以更换存在此类风险的通信设备或服务。2020年1月,俄罗斯表示,通信部可以要求运营商只使用国内设备和电缆连接公共场所,其部长已被赋予修改已签订合同的。同时,其正在起草,提议在关键的国家基础设施中使用外国信息技术。
2020年1月,欧盟委员会发布“5G网络安全措施工具箱”报告,批准了一套措施,以减轻与5G相关的网络安全风险。主要包括:一是加强网络的设计、部署和运作的安全;二是提高产品和服务安全的相关标准;三是尽量减少个别供应商的风险;四是避免或者5G网络对任何单一供应商的主要依赖;五是促进5G网络设备的多样化、竞争性和可持续的市场,包括维持欧盟在5G网络产业链中的能力。
近年来,随着网络虚假信息、言论、、虚假新闻等网络内容的泛滥,引起国际社会高度重视,加强网络信息内容管理正在成为互联网治理的发展趋势。加强网络平台的主动审查、报告等内容管理责任已经成为的通用做法,并且逐步纳入法律体系。
2020年2月,英国文化大臣与内政大臣宣布,准备负责管理电信及的监管的Ofcom承担管理网络内容的责任。根据介绍,规范对象主要是允许用户进行内容分享的平台,例如社交平台等。受到规范的平台必须在收到通知后,尽快移除网站上的有害内容,以将减到最低,特别是内容与儿童性剥削的内容。不过,英国也强调,在规范网络内容时,将会兼顾、捍卫角色、技术创新,以及避免对平台造成太大的负担。
通过《打击右翼极端主义和犯罪》的法律草案,对现有的《网络执法法》(NetzDG)进行了。根据拟议的立法,社交网络将有义务向联邦刑事办公室(BKA)报告通过用户投诉标记或从平台删除的某些犯罪内容,以便采取行动。社交网络运营商将有义务将可疑用户的IP地址和端口号传递给BKA。立法还将扩大言论的定义,使其包括或财产损失的,以及对严重的认可。
荷兰议会近期开始审查其《法》以符合欧盟指令。欧盟指令中的一项重要内容是了在线内容分享平台的特殊责任机制,此类平台需要积极履行授权寻求义务[1]和版权过滤义务[2],免受和恐怖内容的内容的侵害以及平台上视听商业通信的透明度。2020年2月,巴基斯坦批准了监管网络的新准则,社交公司有义务协助执法机构获取相关信息,并将非法的网络信息内容移除。巴基斯坦官员表示,新将有助于“识别和清除不受欢迎的和性的网络内容”。
长期以来,欧盟国家高度关注在线儿童工作,并将其作为网络治理特别是信息内容管理的重点。2020年1月,英国ICO发布了《网络服务适龄设计实践守则》(以下简称《守则》)的最终版,旨在儿童免受网络服务可能带来的隐私与安全,为儿童学习、探索和娱乐创造一个更加安全的网络。《守则》从欧盟与英国的数据保规入手,介绍了网络服务提供者和父母监护人在其中扮演的角色,重点了15条儿童适龄的网络服务设计标准,意图为儿童在线隐私与安全提供。
2020年1月,发布《在线安全和法规法案》计划草案,加强在线年《法》有关内容,旨在在线儿童。该草案在线服务必须遵守在线安全专员制定的具有约束力的在线安全法规,在线安全专员有权对不遵守法规的公司财务制裁。成立了新的委员会,其职责之一是儿童的利益,免受不良信息侵害。
目前,人工智能作为数字经济领域最重要的应用之一,不仅为全球经济社会发展带来新机遇,也带来就业、安全、伦理等新挑战,同时面临人工智能领域人才短缺、技术革新、政策调整等新问题。全球都在积极探索制定合适自身发展的人工智能战略和政策,以抢占人工智能领域的领导地位。美欧两大在人工智能领域也正在争锋博弈,美国白宫欧盟进行风险评估和成本效益分析之前,避免严格监管人工智能,而欧盟则希望通过加大投资和监管,为人工智能发展创造可信任的。
美国沿袭其一贯的新技术新业务规则主张,对人工智能实行轻管制,避免过度干预。2020年1月,美国白宫发布《人工智能应用规范指南》的文件,提出10条人工智能监管原则,这些原则要求避免联邦机构对人工智能应用的过度干预,强调监管的灵活性,“鼓励人工智能的创新和发展”和“减少部署和使用人工智能的障碍”。2020年2月,美国白宫科技政策办公室(OSTP)发布《美国人工智能行动:第一年度报告》。报告认为,保持美国人工智能在全球的领导地位至关重要。
欧盟仍然坚守其基本价值观和的,通过加大投资和创新,构建卓越和可信的人工智能管监管框架。2020年2月,欧盟委员会发布了《人工智能——追求卓越和信任的欧洲方案》,该方案希望欧洲可以将其技术和产业优势与高质量的数字基础设施和基于其基本价值观的监管框架相结合,成为数据经济及其应用创新的全球领导者。还强调,人工智能必须以欧洲的价值观和人类及隐私等基本为基础,创建独特的“信任生态系统”,系统必须确保遵守欧盟规则,在欧盟运行的高风险的人工智能系统消费者的基本。
随着5G在全球的商用和布局,用户数量逐渐攀升,5G产业的竞争加剧。发达国家都争相在技术和研发上加大投入,以谋求领先地位。对此,发达国家依然是通过立法的方式,为5G发展创造条件。日本主要通过为5G企业提供资金支持的方式促进发展,美国则致力于加强其盟国之间的合作以其在技术和标准方面的主导地位,同时对其竞争对手进行。
2020年2月,日本内阁批准了一项法案,支持企业开发安全的5G移动网络和无人机技术。以目前的形式,新法案将允许开发这类技术的公司从下属的金融机构获得低息贷款。为提升美国在5G基础设施和系统方面的领导地位,2020年1月,美国投票通过了《促进美国在5G领域的国际领导地位法案(2019)》及《促进美国在无线)》。法案明确了美国及其盟国、合作伙伴应在第五代及下一代移动电信系统和基础设施的国际标准制定机构中保持参与和领导地位;美国应与其盟国、合作伙伴密切合作,促进第五代及下一代移动通信系统和基础设施的供应链和网络安全;在美国及其盟国、合作伙伴之间保持电信和网络空间安全的高标准是美国利益的要求。
人脸识别技术广泛应用,从设备解锁、刷脸核身、刷脸支付到安检、安防、犯罪侦查等,在带来效率、便利并增进社会福祉的同时,也不断引发歧视、隐私、个人、伦理边界等诸多争议。随着相关争议的不断发酵,专项立法的需求渐增,一些国家开始推进人脸识别立法,尝试为使用人脸识别技术建立较高的法律门槛。
2020年2月,美国在提出了《使用人脸识别法案》,要求暂时机构使用人脸识别,直到形成使用准则和条件,以防止人脸识别技术违反第一修正案中的。同时,美国明尼苏达州联合会也讨论了规范企业和使用面部识别技术的立法草案。
欧盟也在积极探索对于人脸识别技术的规制径。欧盟人工智能战略显示,欧盟计划针对生物识别技术制定明确的标准。欧盟希望与国、企业以及其它组织探讨,是否应该再增加一些新的例外。例如,是否存在可以未经授权就可以使用远程自动人脸识别技术情况。2020年3月,苏格兰议会通过《生物识别技术专员法案》,要求在中设立生物识别技术专员,以监督苏格兰警方如何获取、存储、使用和处置生物识别数据。
2020年2月,世界经济论坛发布《负责任地使用人脸识别技术的政策框架》。为了设计出可以确保负责任地使用人脸识别技术的政策框架,世界经济论坛工业创新中心的人工智能团队在多方沟通的基础上,提出了以下的方案和步骤:界定负责任使用人脸识别技术的原则;设计出实践做法以支持产品团队开发出负责任的系统;评估系统的负责任程度,通过问卷的方式的进行评估。
在推动人工智能发展的同时,也开始加强人工智能技术管控和数据监管。目前,对人工智能的监管还只是在原则层面,对具体应用的监管主要采用自愿性标准以及指南性文件等柔性监管方式。
2020年1月6日,美国一项新的监管政策生效。该来源于2018年8月美国通过的《2018年出口控制法案》(Export Controls Act of 2018),对“新兴和基础技术”设置了出口。该法案要求研究如何对美国至关重要的“新兴”技术(包括人工智能)的出口。根据《2018年出口控制法案》的要求,特朗普出台了新的管制措施,要求自 2020年1月6日起美国企业出口某些地理空间图像软件时必须申请许可,才能将软件发送到海外(除外),应用于智能化传感器、无人机、卫星和其他自动化设备的目标识别软件(无论民用或军用)都在范围之内。
2020年1月,美国管理和预算办公室(OMB)发布“人工智能应用监管指南”草案,指导机构如何处理“维持美国在人工智能领域领导地位”,以支持联邦机构对人工智能(AI)应用的监管。在准则清单中,文件草案强调了制定涉及人工智能应用的自愿共识标准的方向,它还为机构参与自愿共识标准的制定和使用以及合格评定活动提供指导。
2020年2月,英国ICO发布《人工智能审查框架指南》进行公开质询,指南重点关注人工智能数据合规性的最佳实践,为审计人工智能应用程序和确保它们公平处理个人数据提供了可靠的方法。
一直以来,传统基础电信运营商都依据相关电信法和竞争法受到竞争行为管制。随着互联网的快速发展,宽带网络和移动网络的发展成为竞争的重要领域。近期,欧洲的监管机构对相关市场开展了事前和事后的监管措施。
2020年3月,意大利反垄断监管机构AGCM对意大利电信(Telecom Italia, TIM)处以总计1.16亿欧元的罚款。经过三年的调查,竞争管理委员会(AGCM)裁定,这家前垄断企业实施了“有的反竞争战略”,阻碍了竞争对手在宽带行业获取市场份额的努力。监管机构发现该电信公司更改其资费计划以将客户锁定在合同中,避免他们切换到竞争对手的网络。AGCM表示,TIM为其他竞争对手的进入设置了障碍,既阻碍了市场根据基础设施竞争条件的转变,也阻碍了针对终端客户的零售服务市场的定期竞争比较。
2020年1月,捷克电信监管机构CTU表示将开始监管批发移动市场。监管机构将批发市场指定为适合事前监管的市场,预计将为移动虚拟网络运营商MVNOs租赁网络容量创造更好的条件,从而也通过促进竞争改善消费者的资费。
近几年,美欧监管机构都开始关注大型科技企业在收集数据方面的行为,是否构成不公平竞争。欧盟在竞争领域监管方面动作领先于美国,针对大型科技企业的反竞争行为频繁出手,进行高额处罚。联邦卡特尔办公室表示需要构建新的机制治理科技巨头企业。但这过程中也出立法在应对新技术新经济形态方面的滞后,监管机构与企业之间的博弈日渐激烈,未来欧盟针对竞争方面进行立法是趋势。虽然美国享受了大型科技企业带来的快速发展,目前国内相关各方也开始关注到这些企业的行为对竞争的影响。一些人士认为美国监管机构在对大型科技企业的监管方面缺乏作为,从而影响中小企业的发展。一些有针对性的立法也正在酝酿之中。可以看到,监管机构已经认识到数据收集行为和能力与竞争具有强相关性,未来的立法将重点解决平衡竞争与隐私之间的关系。
近期,谷歌向欧洲最高法院提起起诉,反对对其处以24亿欧元的反垄断罚款,认为罚款了创新,而且其一直被置于高标准要求之下。2017年谷歌的竞争对手(比价购物网站)表示,搜索巨头在在线搜索结果中不公平地降低了它们的排名。实际上,自2017年以来,欧洲反垄断官员在三起不同的反垄断案件中对这家科技巨头处以了逾80亿欧元的罚款,该公司正在就所有这些案件提起上诉。
美国联邦贸易委员会也Alphabet(谷歌的母公司)、苹果、脸书、亚马逊和微软交出与过去10年收购小公司有关的文件,目的是查明此类交易让大型科技公司获得大量有价值的信息是否存在反竞争行为。
俄罗斯监管部门对Booking展开反垄断调查,认为其俄罗斯酒店市场价格。如违反俄罗斯反垄断法,Booking将面临其在俄罗斯年收入1%至15%的罚款。
[2]版权过滤义务即对于人事先提供了相关必要信息或发出充分实质通知的作品,尽最大努力其出现在平台上并将来上传。