本季度各国在立法和执法方面都较为活跃。各国立法机构从网络、数据、内容和业务几个层面制定立法和政策。在网络层面,加强网络安全管理机构职责,完善安全管理手段和数据获取机制;在数据保护层面,个人信息保护立法热度不减,执法活跃,推动和完善政府数据开放共享机制;在内容层面,内容管理不断收紧,政企合作成为关键,加强平台透明度的监管;在业务层面,促进新技术新业务发展和完善管理。
一、加强网络安全管理机构职责,完善安全管理手段和数据获取机制
各国通过立法,加强网络安全管理机构的职责。美国众议院1月14日一致通过《联邦首席信息官授权法案》,重新授权并提升联邦首席信息官的作用。3月12日,欧洲议会批准了《网络安全法》加强ENISA作为欧盟在网络安全问题方面的建议和专业知识中心的作用。新加坡新设网络安全咨询机构,加强政企合作。
继续保持对网络安全的关注和投入。根据特朗普总统的2020财年预算提案,在政府范围内网络安全相关支出将较上一财年增加5%,达到174亿美元。3月27日,美国总统特朗普致信国会,宣布将延长网络安全领域紧急状态期限一年至2020年4月1日。
加强网络安全管理手段。欧盟《网络安全法》引入了欧洲网络安全认证框架,作为建立ICT产品,服务和流程的欧洲网络安全认证计划的一种手段。
网络设施安全成全球关注焦点。在5G网络发展部署方面,各国对网络设施的安全尤为谨慎。3月26日,欧盟委员会制定了欧盟协调下一代移动宽带网络5G的计划,要求成员国在2019年6月底之前对5G网络基础设施进行风险评估。
明确执法机构获取数据的范围和程序。3月27日,美国犹他州州长签署了HB57法案,该法将保护存储在谷歌或脸书等第三方的私人电子数据免受政府自由访问。
二、个人信息保护立法热度不减,执法活跃
个人信息保护在全球掀起统一立法的浪潮。各国以GDPR为标杆,制定本国的个人信息保护立法。泰国颁布统一的《个人信息保护法》从其法律的域外适用效力、跨境数据流动限制、知情同意制度的设计来了看,吸收了许多GDPR的规则。一直采取分散立法的美国,也开始提出制定统一个人信息保护立法。美国的立法者和企业都认识到制定统一立法的重要性,也认同GDPR发挥的重要作用。美国众议院消费者保护和商业小组委员会正在推动联邦数据隐私法的立法。美国在个人信息保护法的立法理念和目标上与欧盟存在差异,更立足于促进竞争和保护创新。
重点细分领域制度逐步完善立法。近期,各国在面部识别、数据可携带、数据泄露通知、人工智能隐私保护和数据存储等方面着手制定和完善立法。美国两党参议员3月提出《商业面部识别隐私法》,旨在监管面部识别技术,保护消费者及其数据。2月,在西班牙巴塞罗那世界移动大会上,新加坡个人数据保护委员会(PDPC)发布了数据可携性讨论文件。美国州层面的数据泄露通知立法活跃,华盛顿州和马萨诸塞州对数据泄露通知立法进行完善。英国ICO发布了AI审查框架,该框架主要用于评估使用人工智能的数据控制者的合规性。
加强个人信息保护执法工作梳理和执法活动。欧盟自GDPR正式生效以来,监管部门开始了积极活跃的个人信息保护执法工作。欧盟层面对目前的执法活动进行了总结。各国监管机构开始梳理执法工作和具体的实施细则,积极开展具体的执法活动。欧盟EDPB向欧盟议会提交了GDPR的实施情况以及国家监管机构的作用和手段的报告。EDPB成员认为GDPR在实践中运作良好,并且由于过去两年对GDPR的充分准备,数据保护机构DPA的工作量是可控的。荷兰数据保护机构根据欧盟通用数据保护条例公布了其罚款政策。3月,美国联邦贸易委员会向七家美国互联网宽带提供商和相关实体发出命令,检查宽带公司如何收集,保留,使用和披露有关消费者及其设备的信息。
监管机构从反垄断法角度处理个人信息保护问题。大数据时代,个人信息作为重要的战略资源,成为市场竞争的关键要素。个人信息保护法与反垄断法之间的交织,为监管机构执法带来新的挑战。监管机构开始认识到大型企业收集用户信息,不仅涉及到侵犯用户个人隐私,还涉嫌滥用市场支配地位,未来竞争监管机构和隐私执法机构的合作将是数据保护领域执法的新特征。1月15日,德国反垄断监管机构“联邦卡特尔局”(FCO)宣布,不再允许脸书未经用户同意从第三方不受限制地信息收集,禁止脸书拥有的WhatsApp和Instagram之间的用户数据共享。3月,日本公平交易委员会考虑对谷歌和脸书等IT公司非法收集、使用个人信息的行为适用《反垄断法》。
三、内容管理不断收紧,政企合作是关键
近期各国监管机构对于内容管理方面有加强的趋势,主要体现在恐怖主义内容管理、版权保护、广告监管三个方面。
目前欧盟积极通过立法来倡导平台发挥更多的内容审查义务,但从具体条款以及监管机构的对立法的解读来看,尚未明确对平台设置严苛的主动审查义务。然而,企业出于对法律风险的控制,一般会主动加强内容的审查,导致业界对限制创新、言论自由和文化多样性等方面的担忧。例如欧盟新的版权指令关于平台“过滤器”的条款,引发了抗议活动。在线请愿网站有超过500万个签名,谷歌全球事务高级副总裁肯特沃克表示,该制度可能促使在线平台过度封锁内容以限制法律风险。因此,完全依赖于平台进行内容治理的思路面临调整,需要政府发挥更积极的作用,扎克伯格在3月发布的公开信中也谈到此观点。
4月17日,欧洲议会通过了《关于解决在线传播恐怖主义内容的规则》建立一个处理滥用托管服务传播恐怖主义内容的明确法律框架,要求托管服务提供商收到了成员国主管部门关于删除其用户提供内容的删除令,应当在一个小时的时间内将该内容删除或禁止所有欧盟成员国的访问。没有规定托管服务提供商应当具有监控其传输或存储的信息的义务。3月27日,欧洲议会颁布《数字单一市场版权指令》,第17条规定互联网平台应当确保其平台上的信息(包括用户发布的信息)获得版权许可,如果互联网平台没能阻止侵犯版权的行为发生,就要对侵权行为负责,该条被外界称为“过滤器”条款。欧盟在官网上的解读表示,该指令并未强制要求进行上传过滤,也未要求平台设置技术手段对违法内容进行监控。但是从指令的第17条规定来看,对于未获得版权许可的内容,平台需要对其向公众传播负责,除非他们能证明已经尽到了“尽力而为”的义务,包括发现违法内容及时删除,尽最大努力寻求获得版权许可等。因此,虽然指令没有明文要求“主动审查”义务,但企业从合规的角度无法绕过此项要求。2月13日,英国广告实践委员会(CAP)发布了新的广告标准,禁止儿童相关网站和视频游戏播放博彩广告。
四、加强数字经济时代平台透明度的监管
近期,各国主要关注透明度问题,一是平台规则的透明度,二是平台上的虚假评论。政府认为平台对其规则的透明度应承担相应的义务,要求平台应当将自营业务和第三方业务之间的规则予以明确并公示,对平台上企业采取的处置措施要公开透明,建立纠纷解决机制。
英国上议院发布的《数字世界的监管》报告指出,在线服务提供商有特殊义务公平对待用户、其他公司和社会利益。4月17日,欧洲议会批准了《关于提高在线平台交易的公平性和透明度规则》,要求在线平台需要使其标准条款和条件更加透明,易于获取并提前公布变更,必须告知企业,如何对待自身及其控制下的企业提供的商品或服务,平台限制账户使用需要陈述理由。2月26日,美国联邦贸易委员会公布了第一个起诉营销商在亚马逊上使用虚假付费评论的案例,FTC要求该公司通知亚马逊公司,他们购买了亚马逊评论,并对其处以1280万美元罚款。
五、推动和完善政府数据开放共享机制
建立政府数据开放清单和共享系统,设立专职机构。美国总统特朗普1月14日签署《公共、公开、电子与必要性政府数据法案》,要求各部门须创建一份全面的数据清单,确立了首席数据官的法定职位,计划设立联邦首席数据官委员会。英国政府宣布投资启动《数据信托计划》将在政府、商业、能源与工业战略以及数据开放研究部门之间建立数据共享系统。
降低开放门槛,扩大数据范围,减少数据开放壁垒。2月21日,美国政府发布了第四个“美国开放政府行动计划”。4月4日,欧盟批准了《开放数据和公共部门信息再利用的指令》(PSI),限制公共机构对其数据的重复使用收费超过边际成本,将数据开放利用的范围扩展到水务、能源、运输和邮政业实体采购范围内从事活动的公共事业所持有的文件以及特定的研究数据;要求公共部门机构通过API提供数据;明确禁止排他性协议。
六、促进新技术新业务发展和完善管理,人工智能战略政策在全球推进
发展区块链技术和产业。3月25日,韩国议员提出了《区块链振兴和培育等相关法案》,提出促进区块链技术的研究开发;促进与区块链相关的创新性研究项目;制定并实施促进区块链产业发展的基本计划;推进区块链技术相关标准研究,加强专业人才培养等内容。
明确自动驾驶设备、保险和责任要求。3月8日,日本内阁通过了《道路运输车辆法》,明确自动驾驶汽车配备的摄像头、传感器和监管设备、保险、责任等要求,并将制定规则,涵盖自动驾驶系统的测试和维修。
建立互联网金融准入和管理制度。韩国去年10月16日颁布了《互联网专门银行设立和运营特例法》,2019年1月17日,正式施行。法律从准入、经营行为等方面对互联网银行的管理进行规定。
加强人工智能产业投入,确立人工智能治理框架。2月11日签署了《美国人工智能倡议》行政命令,旨在从国家战略层面调动更多联邦资金和资源用于人工智能研发,以确保美国在该领域的领先地位。1月23日,新加坡就《人工智能治理示范框架》公开征求意见。该示范框架是亚洲第一个向私营部门组织提供详细且易于实施的指南,以便其在使用AI解决方案时能够解决关键的道德和治理问题。
本文系中国信息通信研究院互联网法律研究中心团队原创作品
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。