A.3 中国的数据保护法规
近年来,人工智能研究和商业化在中国蓬勃发展,这在一定程度上要归功于中国政府的大力支持。在大力推广人工智能的同时,中国政府还出台了新的数据保护法律法规。中华人民共和国国家互联网信息办公室(Cyberspace Administration of China,CAC)是中华人民共和国(People's republic of China,PRC)的主要数据保护机构,同时还有执法监管部门,如公安部和其他行业监管机构会对数据保护进行监管和实施。如中国人民银行、中国银行保险监督管理委员会(简称中国银保监会)也会对银行和金融机构进行监管[10]。
与美国类似,中国也没有单一的完整的数据保护法律。《中华人民共和国民法通则》一般将数据保护权解释为名誉权或隐私权[10]。与数据保护相关的法律和条例是一个复杂框架的一部分,可以在各种法律和法规中找到[10]。以下是一些例子。
2014年3月15日起生效的《中华人民共和国消费者权益保护法》(也称《消费者保护法》)包含了数据保护义务,适用于绝大多数(如果不是所有的话)涉及消费者的个人数据的企业。2015年3月15日起,《关于惩治侵犯消费者权益行为的措施》进一步补充了《消费者保护法》。此外,2016年8月5日发布的《中华人民共和国消费者权益保护法实施条例(征求意见稿)》重申并明确了部分涉及消费者个人信息的数据保护义务[10]。
2016年11月7日发布并于2017年6月1日起实施的《中华人民共和国网络安全法》,是第一部涉及网络安全和数据保护的国家级法律。它要求互联网企业不得泄露或篡改其收集的用户的个人信息,在与第三方进行数据交易时,必须确保拟议的合同遵守法律上的数据保护义务[1,10]。
为贯彻实施《中华人民共和国网络安全法》,2017年12月29日,中国发布了个人信息保护国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2017),简称PIS(Personal Information Security Specification)规范[54,345],于2018年5月1日实施。该标准(尽管不具有法律约束力)列出了对公司进行审计并执行中国现有数据保护规定的监管机构的期望最佳做法[54,343]。
2018年8月31日通过并于2019年1月1日实施的《中华人民共和国电子商务法》重申了在电子商务环境下保护个人信息的要求。这项新法规旨在帮助恢复中国被称为“假冒伪劣商品的主要来源国”的声誉,同时也涉及电子商务的其他重要方面,包括虚假广告、消费者保护、数据保护和网络安全。这部新法规的框架是十分全面的,例如一些内容涉及数据保护和促进消费者保护,以及对数据安全违规行为作出相应的民事处罚和刑事处罚。电子商务法将使电子商务公司更难从收集到的客户个人数据中获取附加价值。
中华人民共和国国家卫生健康委员会于2018年7月12日发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》(简称《办法》)。在该《办法》中,健康与医疗大数据是指,在疾病防控或健康管理过程中产生的与健康和医疗相关的数据。医疗机构和有关单位是指,负责医疗卫生数据安全和应用管理的组织。卫生和医疗数据应安全存储在中国境内的可靠服务器上。如果需要将健康和医疗数据转移到海外,相关机构在选择服务代理时必须进行安全评估。负责单位应当保证受托人符合有关要求,并与选定的受托人共同承担责任。此外,中国正在通过《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》,制定个人信息和重要数据跨境传输规则[346]。
最后,随着人工智能在中国的迅速发展,新的数据保护法律法规也在不断涌现出来。例如,在2019年5月28日,国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》,意见反馈截止时间为2019年6月28日。这些措施草案的发布,表明中国正持续努力落实《中华人民共和国网络安全法》中对数据保护的要求[347]。新措施草案纳入了标准和修正案草案(即GB/T 35273-2017),并对“重要数据”的保护提出了一些新的要求。其中“重要数据”的定义是,如果数据泄露,可能直接影响中国的国家安全、经济安全、社会稳定、公共健康和安全的数据。这些措施草案旨在加强《中华人民共和国网络安全法》。
[1]为了公众利益、科学或历史研究或统计目的而进行的进一步处理,不被认为与最初目的不相容,因此是被允许的[335,338,339]。