歐盟數(shù)據(jù)保護(hù)新法意義重大

李軍

2015年8月24日，隨著一聲槍響，美國新奧爾良神學(xué)院的教授兼牧師約翰·吉布森倒在了血泊之中。他是全球最著名的“偷情網(wǎng)站” Ashley Madison的注冊用戶，也是在黑客公布了370萬Ashley Madison用戶賬戶信息后，第一個因檢索到自己的信息而自殺的人。

Ashley Madison是一家專門為已婚人士提供交友、約會服務(wù)的社交網(wǎng)站，其口號是“人生短暫，偷情無限”。為了免除用戶的后顧之憂，Ashley Madison承諾注冊用戶只要交納19美元就能把個人信息在系統(tǒng)中完全刪除。

不幸的是，Ashley Madison網(wǎng)站遭到黑客攻擊，3750萬注冊用戶的個人數(shù)據(jù)、公司財務(wù)記錄和其他機密信息被盜。

黑客組織表示，之所以發(fā)動攻擊，是因為Ashley Madison網(wǎng)站關(guān)于完全刪除用戶信息的承諾就是一個謊言。若Ashley Madison不立刻永久關(guān)閉網(wǎng)站，黑客組織將曝光所有用戶的信息。隨后，黑客逐步公布用戶信息，并釀成了約翰·吉布森自殺的慘劇。

在大數(shù)據(jù)時代，每個人都通過各種各樣的設(shè)備將自己的信息上傳至互聯(lián)網(wǎng)。無論是手機、汽車、可穿戴設(shè)備、家庭路由器，還是遍布城鄉(xiāng)的監(jiān)控網(wǎng)，都記錄下你的活動、交往、健康和娛樂信息。對于充分占有這些信息的企業(yè)和組織來說，你就是無可遁形的透明人，在大數(shù)據(jù)時代里裸奔。

歐盟數(shù)據(jù)保護(hù)立法史

2015年12月15日，歐盟執(zhí)委會（European Commission）通過了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR），以歐盟法規(guī)的形式確定了對個人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式，這將真正保護(hù)大眾，令其避免陷入裸奔尷尬。

歐盟的數(shù)據(jù)保護(hù)歷史可以追溯到上世紀(jì)90年代。歐盟1995年通過了《數(shù)據(jù)保護(hù)指令》（即“95指令”，全名為PROPOSAL FOR A COUNCIL DIRECTIVE CONCERNING THE PROTECTION OF INDIVIDUALS IN RELATION TO THE PROCESSING OF PERSONAL DATA），為歐盟成員國立法保護(hù)個人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。

在20年前制定“95指令”時，互聯(lián)網(wǎng)還沒有廣泛被大眾使用，個人數(shù)據(jù)的收集及處理只是限定在用戶名、地址及相對簡單的金融信息等。

但隨著互聯(lián)網(wǎng)飛速發(fā)展，24小時實時在線的移動互聯(lián)網(wǎng)和社交應(yīng)用，使人們每天的生活乃至地理位置信息都成為暴露的對象?！?5指令”中包含的訪問權(quán)（即用戶有權(quán)訪問他們的信息并且修改不當(dāng)?shù)牡胤剑康氖谴_保信息的正確性）已經(jīng)不能滿足用戶的需求，用戶轉(zhuǎn)而尋求對個人數(shù)據(jù)的控制權(quán)。

互聯(lián)網(wǎng)新技術(shù)的發(fā)展和用戶控制需求的變化，使“95指令”為代表的傳統(tǒng)數(shù)據(jù)保護(hù)框架亟待重大更新。

歐盟第一次修正努力始于2002年。歐盟在當(dāng)年7月12日發(fā)布的《隱私與電子通訊指令》（Directive on privacy and electronic communications，Directive 2002/58/EC）中，詳細(xì)規(guī)定了通信和互聯(lián)網(wǎng)服務(wù)商需要采取適當(dāng)?shù)拇胧?，保證通信和互聯(lián)網(wǎng)服務(wù)的安全性；禁止在未征得用戶同意的情況下存儲和使用用戶的數(shù)據(jù)；服務(wù)提供商應(yīng)該保障用戶的知情權(quán)，如告知用戶所收集的數(shù)據(jù)及進(jìn)一步處理此類數(shù)據(jù)的意圖和用戶有權(quán)不同意等。

這一次個人數(shù)據(jù)保護(hù)修正的內(nèi)容確定了未來互聯(lián)網(wǎng)個人數(shù)據(jù)保護(hù)的基本原則，但是在具體操作層面還較為粗略，也缺乏明確的違規(guī)懲罰措施。

2009年11月25日，歐盟對個人數(shù)據(jù)保護(hù)措施又進(jìn)行了一次重要修正，通過了《歐洲Cookie指令》（EU Cookie Directive，DIRECTIVE 2009/136/EC），并確定其于2011年5月25日在歐盟正式啟用。

《歐洲Cookie指令》的核心內(nèi)容，是對電子商務(wù)中Cookie的使用加以規(guī)范和必要的信息披露管理。

Cookie是互聯(lián)網(wǎng)常用的用戶跟蹤和識別技術(shù)。用戶在使用瀏覽器進(jìn)行網(wǎng)站內(nèi)容瀏覽時，網(wǎng)站可以在用戶電腦本地存放Cookie以識別和記錄用戶的登錄、瀏覽和購買信息。

盡管Cookie可以被用戶手工操作關(guān)閉，但對于絕大多數(shù)非IT背景的用戶來說，如果網(wǎng)站在未明確提示下使用Cookie記錄相關(guān)信息，用戶是毫無察覺的。

2002年的《隱私與電子通訊指令》要求網(wǎng)站告知用戶啟用Cookie及如何刪除或作廢Cookie，但絕大多數(shù)網(wǎng)站都會把這部分內(nèi)容放置在用戶注冊時必須“同意”的用戶協(xié)議中，而協(xié)議內(nèi)容幾乎沒有用戶真的會去完整閱讀。

《歐洲Cookie指令》則要求網(wǎng)站在用戶初始使用時網(wǎng)站必須關(guān)閉Cookie的使用，直到用戶明確同意啟用Cookie時才能開啟此功能。

《歐洲Cookie指令》是《隱私與電子通訊指令》的重要補充，它一方面強化了用戶的知情權(quán)，讓用戶對網(wǎng)站收集、存儲和跟蹤用戶信息有了清晰明確的了解；另一方面，指令也對網(wǎng)站生成、使用和管理以Cookie為核心的用戶個人數(shù)據(jù)提出了完整規(guī)范的管控要求，以避免網(wǎng)站濫用或以不夠安全的方式操作與存儲用戶個人數(shù)據(jù)。

最重要的是，在互聯(lián)網(wǎng)世界中有著除Cookie以外的眾多不規(guī)范甚至非法收集跟蹤用戶數(shù)據(jù)的技術(shù)手段。《歐洲Cookie指令》劃清了對用戶個人數(shù)據(jù)合法操作與非法操作的界限，讓歐盟管控互聯(lián)網(wǎng)并進(jìn)行個人數(shù)據(jù)保護(hù)有了明確的依據(jù)。

歐盟內(nèi)各國信息化主管部門隨后也以此為標(biāo)準(zhǔn)對本國的網(wǎng)站以及移動應(yīng)用進(jìn)行審查。

以英國為例，在Cookie合規(guī)性檢查之前，英國排名前50的網(wǎng)站只有12%遵照《歐洲Cookie指令》的要求，在網(wǎng)站上彈出窗口或在指定的頁眉頁腳提供Cookie信息確認(rèn)提示或信息說明。而法國和德國的前50大網(wǎng)站則全部不合規(guī)（根據(jù)TRUSTe2012年10月的統(tǒng)計報告）。

盡管歐盟在不同階段通過了不同的數(shù)據(jù)保護(hù)修正指令，但是這些修正內(nèi)容還是架構(gòu)在1995年頒布的《數(shù)據(jù)保護(hù)指令》基本框架之上。歐盟希望能夠有一個全新的完整框架用來代替20年前構(gòu)建的、已經(jīng)不能適應(yīng)移動互聯(lián)網(wǎng)時代需求的陳舊框架。

嚴(yán)厲的新法規(guī)

新的個人數(shù)據(jù)保護(hù)框架終于誕生了。2012年1月25日，歐洲議會公布了《一般數(shù)據(jù)保護(hù)條例》草案并希望在歐盟內(nèi)部盡快三讀通過。

這個條例草案的內(nèi)容預(yù)示著個人數(shù)據(jù)保護(hù)管理提到了前所未有的高度。條例甚至通過制定詳細(xì)的管理規(guī)范，使其具備了在企業(yè)內(nèi)控和合規(guī)管理方面的可操作性，適用對象也從歐盟內(nèi)的企業(yè)擴展到向歐盟用戶提供互聯(lián)網(wǎng)和商業(yè)服務(wù)的所有企業(yè)。

在《一般數(shù)據(jù)保護(hù)條例》長達(dá)206頁的文件中，我們可以看到一些關(guān)鍵的變化：

★從地域/國家劃分轉(zhuǎn)向基于數(shù)據(jù)內(nèi)容劃分

傳統(tǒng)的立法管轄權(quán)通常是按照國家/地域進(jìn)行劃分的。但在本條例中，數(shù)據(jù)保護(hù)約束同樣適用于向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)控相關(guān)數(shù)據(jù)的非歐盟企業(yè)和組織，而與這些企業(yè)和組織所在位置無關(guān)。

換句話說，非歐盟的企業(yè)和組織向歐盟用戶提供服務(wù)，哪怕是免費的服務(wù)，也需要嚴(yán)格遵從歐盟這份數(shù)據(jù)保護(hù)條例的要求。

這就開了一個獨特的先例：法律管轄范圍不是嚴(yán)格按照國家/地域劃分，而是按照數(shù)據(jù)的分布來認(rèn)定。

由于互聯(lián)網(wǎng)上數(shù)據(jù)分布本身也是在動態(tài)變化的，這還意味著法律管轄范圍也有可能按照數(shù)據(jù)的遷移而不斷變化。

所以，雖然是歐盟的數(shù)據(jù)保護(hù)條例，但卻有可能應(yīng)用到全球任何企業(yè)身上。

★進(jìn)一步嚴(yán)格的內(nèi)控和監(jiān)管

企業(yè)和組織在對個人數(shù)據(jù)進(jìn)行操作時，必須記錄所有的操作流程和步驟。換句話說，企業(yè)必須建立個人數(shù)據(jù)操作監(jiān)控記錄機制，以備政府和相關(guān)監(jiān)管機構(gòu)檢查。由于條例是全歐盟內(nèi)部統(tǒng)一的，所以大型跨國公司可以使用一套標(biāo)準(zhǔn)的監(jiān)控記錄機制對歐盟內(nèi)所有國家的分公司進(jìn)行監(jiān)控和管理。

對于個人數(shù)據(jù)被廣泛使用的情況下，例如個人數(shù)據(jù)被公共機構(gòu)或團(tuán)體使用、被超過250名雇員的企業(yè)使用、或者個人數(shù)據(jù)在特定目的下被持續(xù)和系統(tǒng)地收集監(jiān)控，那么進(jìn)行數(shù)據(jù)處理或控制的企業(yè)或組織應(yīng)該任命有專門數(shù)據(jù)保護(hù)知識的數(shù)據(jù)保護(hù)專員（Data Protection Officer， DPO）。

DPO的任職期限至少為兩年并可連任，任命過程應(yīng)該是透明的，向公眾及監(jiān)管機構(gòu)通報其姓名及詳細(xì)的聯(lián)系方式。

DPO會確保企業(yè)遵從個人數(shù)據(jù)保護(hù)條例的規(guī)定，并在企業(yè)發(fā)生個人數(shù)據(jù)操作違規(guī)時承擔(dān)相應(yīng)的法律責(zé)任。

當(dāng)發(fā)生嚴(yán)重的數(shù)據(jù)泄露時，條例要求公司及組織第一時間通知相關(guān)國家監(jiān)管機構(gòu)，并把數(shù)據(jù)泄露的數(shù)量、方式、渠道以及可能的影響范圍上報。

如果數(shù)據(jù)泄露會對數(shù)據(jù)所有者（用戶）產(chǎn)生負(fù)面影響，公司及組織也必須毫不延誤地通知數(shù)據(jù)所有者（用戶）以便其采取必要的措施消除影響。

英國寬帶服務(wù)提供商TalkTalk在2015年曾多次出現(xiàn)用戶數(shù)據(jù)被黑客竊取而沒有及時上報，在條例生效后，TalkTalk這樣的行為預(yù)計會被處以接近懲罰上限的巨額罰單。

★數(shù)據(jù)保護(hù)的前瞻性要求/最簡化原則和數(shù)據(jù)操作的告知權(quán)

條例把數(shù)據(jù)保護(hù)作為基本要求，強制企業(yè)在業(yè)務(wù)設(shè)計初期就必須考慮。

這包含了兩方面的要求：第一，在設(shè)計新的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和服務(wù)時，處理個人數(shù)據(jù)的環(huán)節(jié)就必須按照條例要求的方式進(jìn)行構(gòu)造。企業(yè)還必須提供相關(guān)信息證明自己滿足了上述要求。

第二，當(dāng)系統(tǒng)、流程和服務(wù)包含了個人數(shù)據(jù)被共享的多個不同級別時，默認(rèn)的缺省選項必須是共享內(nèi)容最小的選項——不共享任何內(nèi)容，這就是數(shù)據(jù)保護(hù)的最簡化原則。

另外，數(shù)據(jù)操作的告知權(quán)在條例中也進(jìn)行了嚴(yán)格限定。數(shù)據(jù)操作者（企業(yè)或組織）在收集和使用個人數(shù)據(jù)前必須向數(shù)據(jù)所有者（用戶）明確告知數(shù)據(jù)的收集內(nèi)容和使用方式，并且需要獲得數(shù)據(jù)所有者的明確同意。條例不認(rèn)可任何形式的“缺省同意”，對于企業(yè)基于大數(shù)據(jù)的業(yè)務(wù)創(chuàng)新，這可能成為一道沉重的枷鎖。

★數(shù)據(jù)所有者（用戶）的個人數(shù)據(jù)刪除權(quán)

數(shù)據(jù)所有者的個人數(shù)據(jù)刪除權(quán)，（有時也被稱為“數(shù)據(jù)被遺忘權(quán)”，“right to be forgotten”）也在條例中明確提出。當(dāng)數(shù)據(jù)所有者（用戶）撤回自己向企業(yè)或組織授予的個人數(shù)據(jù)使用權(quán)時，相關(guān)企業(yè)或組織必須立即無條件刪除所有的個人數(shù)據(jù)。

換句話說，當(dāng)一個歐盟居民要求刪除自己的新浪微博賬號和相關(guān)內(nèi)容時，新浪微博必須無條件刪除微博賬號內(nèi)的所有信息并不得保留其他備份。

數(shù)據(jù)刪除權(quán)并不像大眾想象的那樣清晰且易于執(zhí)行。

對于一個大型企業(yè)來說，用戶信息往往分布在從營銷、銷售、客服乃至財務(wù)和供應(yīng)鏈等多個系統(tǒng)中，甚至還會存在于一些excel文件中。一旦需要把某個用戶的數(shù)據(jù)完全刪除，就要依靠一套數(shù)據(jù)同步機制確保刪除沒有遺漏，這是非常困難且成本高昂的操作。

對于面向公眾的互聯(lián)網(wǎng)企業(yè)，這個問題就更為復(fù)雜了。

以新浪微博賬號刪除為例，盡管微博賬號已經(jīng)刪除了，但是搜索引擎如Google或百度，還存在著原賬號的搜索鏡像數(shù)據(jù)。搜索引擎是否有義務(wù)配合把所有相關(guān)的搜索數(shù)據(jù)一并刪除？

★巨額的懲罰上限

條例中最吸引眼球的就是巨額的懲罰上限。

盡管條例中規(guī)定違法的懲罰金額由成員國自行確定，但懲罰上限確是處于歐盟立法中相當(dāng)高的水準(zhǔn)：對于不太嚴(yán)重的違法，罰款上限是1000萬歐元或前一年全球營業(yè)收入的2%（兩值中取大者）；

對于嚴(yán)重的違法，罰款上限是2000萬歐元或前一年全球營業(yè)收入的4%（兩值中取大者）。如果是Google或者Facebook這樣的公司按照全球營業(yè)收入罰款，那就是幾億甚至幾十億美元的罰單。

《一般數(shù)據(jù)保護(hù)條例》和“95指令”具有完全不同的法律效力。歐盟的“指令”（Directive）是需要各成員國據(jù)此在本國立法并加以執(zhí)行的，所以“95指令”和后續(xù)的各個修正指令是不能直接應(yīng)用到各成員國的。

而“條例”（Regulation）在通過之后，立即在整個歐盟范圍內(nèi)生效，無需在各成員國內(nèi)立法確認(rèn)。這一點恰恰是歐盟希望以統(tǒng)一的標(biāo)準(zhǔn)推進(jìn)個人數(shù)據(jù)保護(hù)所要達(dá)到的效果。

不過，考慮到歐盟各成員國內(nèi)部的文化、經(jīng)濟發(fā)展和習(xí)慣的差異，歐盟允許各成員國政府就條例出臺一些補充規(guī)定，以適應(yīng)本國特殊的數(shù)據(jù)保護(hù)需求。

對遏制創(chuàng)新的擔(dān)憂

《一般數(shù)據(jù)保護(hù)條例》草案的出臺，直接震動了向個人提供互聯(lián)網(wǎng)服務(wù)、同時大量收集用戶個人數(shù)據(jù)的互聯(lián)網(wǎng)巨頭們。歐洲和美國的行業(yè)組織提出警告說，條例中嚴(yán)格的數(shù)據(jù)保護(hù)約束將極大阻礙數(shù)據(jù)的商業(yè)價值挖掘，并將給企業(yè)帶來相當(dāng)大的額外成本。

以Google、Amazon和Facebook為主的美國互聯(lián)網(wǎng)巨頭們，在獲知草案內(nèi)容后組成了龐大的游說團(tuán)，在布魯塞爾歐洲議會總部所在地展開了曠日持久的院外游說活動。

Google和Facebook等企業(yè)希望推遲草案的通過時間，甚至修訂草案的內(nèi)容，以便現(xiàn)存的互聯(lián)網(wǎng)用戶信息收集和使用方式能夠持續(xù)下去。

歐洲議會曾就《一般數(shù)據(jù)保護(hù)條例》草案收到超過4400份修正意見，數(shù)量之多為歐盟立法修正案中所罕見，而其中大部分修正意見來自于美國互聯(lián)網(wǎng)企業(yè)。

目前看來，相關(guān)公司的游說并未取得顯著效果。歐盟執(zhí)委會（European Commission）已經(jīng)率先通過了《一般數(shù)據(jù)保護(hù)條例》。預(yù)計2016年初，歐洲議會（European Parliament）和歐洲理事會（European Council）將批準(zhǔn)通過該條例，兩年過渡準(zhǔn)備期后，《一般數(shù)據(jù)保護(hù)條例》將于2018年正式生效，并成為歐盟數(shù)據(jù)保護(hù)法的核心框架。由于《一般數(shù)據(jù)保護(hù)條例》增加的數(shù)據(jù)保護(hù)要求和實施的復(fù)雜性遠(yuǎn)高于原先的“95指令”，對于中大型企業(yè)的業(yè)務(wù)調(diào)整和IT系統(tǒng)改造來說，兩年的過渡準(zhǔn)備期，時間并不很充裕。

未來歐洲的大數(shù)據(jù)時代，有可能在《一般數(shù)據(jù)保護(hù)條例》的約束與引導(dǎo)下走上一條與美國有較大差異的道路。一方面，企業(yè)自由收集、分析和管理用戶信息的權(quán)限將會被嚴(yán)格限定和監(jiān)管，大數(shù)據(jù)所帶來的創(chuàng)新空間會受到明顯約束；另一方面，嚴(yán)格的個人數(shù)據(jù)保護(hù)所帶來的額外成本、復(fù)雜的數(shù)據(jù)使用授權(quán)（尤其是跨企業(yè)數(shù)據(jù)共享）和政府過度監(jiān)管的風(fēng)險，也會讓企業(yè)的信息資產(chǎn)管理的運營成本顯著增加。而美國在個人數(shù)據(jù)保護(hù)上采用相對寬松的管理理念，保證信息能夠充分地自由流動，有可能給企業(yè)帶來更為靈活與廣泛的大數(shù)據(jù)創(chuàng)新空間。

無論如何，政府都需要在個人數(shù)據(jù)保護(hù)和數(shù)據(jù)融合創(chuàng)新之間取得一個平衡。那么，歐盟在為大數(shù)據(jù)時代裸奔的大眾穿上衣服的同時，會不會束縛了大眾自由活動的手腳？這就要看歐盟在《一般數(shù)據(jù)保護(hù)條例》執(zhí)行上的平衡藝術(shù)了。

作者為埃森哲前資深顧問