歐盟GDPR的得與失

辛嘉

歐盟施行GDPR有得有失

觀察域外相關(guān)立法和執(zhí)法的情況可知，我國《數(shù)據(jù)安全法》出臺相對較早，歐盟、美國目前還處在相關(guān)立法程序中。但這并不意味著其他國家在數(shù)據(jù)安全方面沒有規(guī)范性文件。只是由于缺乏統(tǒng)一立法，域外數(shù)據(jù)安全規(guī)則分布在不同的領(lǐng)域，在具體施行過程中有得有失，其經(jīng)驗值得借鑒。

在歐盟憲章框架下，歐盟層面的檢法系統(tǒng)和各成員國的司法機構(gòu)，是實施數(shù)據(jù)安全監(jiān)管的主體。發(fā)生有關(guān)數(shù)據(jù)、信息的案件時，由于各成員國檢法機關(guān)職能不同，其響應(yīng)方式也不盡相同。

歐盟頒布實施的《通用數(shù)據(jù)保護條例》（GDPR），一度被視為全球數(shù)據(jù)安全保護規(guī)則的典范。它確立了“一站式”服務(wù)模式，即當發(fā)生數(shù)據(jù)保護相關(guān)案件時，先由歐盟最高檢察長提出建議，法院法官一般會采納其建議。比如歐盟最高檢察長針對谷歌導(dǎo)致個人信息泄露案的建議，就被歐盟最高法院的法官采納。歐盟前成員國英國，由于其國內(nèi)檢法機關(guān)定位與其他國家不同，所以其在GDPR框架內(nèi)保留了通過國內(nèi)途徑起訴的權(quán)力，檢法機關(guān)按照該國的法律行使職權(quán)。

GDPR在取得一定成效的同時，也顯現(xiàn)出諸多不足。歐洲議會中一些研究數(shù)據(jù)保護措施的人士毫不留情地指出：GDPR已經(jīng)過時，必須進行重大修訂，以適應(yīng)網(wǎng)絡(luò)信息時代的飛速發(fā)展。

歐洲議會議員阿克塞爾·沃斯是GDPR的起草者之一。近日，他在接受英國《金融時報》采訪時指出，GDPR須進行“某種手術(shù)”。歐洲議會應(yīng)該舉行表決，看看該條例還是不是“世界黃金標準”。

沃斯認為，新冠肺炎疫情導(dǎo)致整個世界發(fā)生了重大變化，互聯(lián)網(wǎng)信息時代的新技術(shù)又層出不窮，這一切都應(yīng)被納入歐盟的相關(guān)立法考量。

這位德國籍歐洲議會議員表示：“我們必須明白，GDPR不是為區(qū)塊鏈、面部或聲音識別、文本和數(shù)據(jù)挖掘以及人工智能等技術(shù)而制定的法律。數(shù)字世界是不斷創(chuàng)新的。我們不能一直遵循最初的立法原則，那時的原則并不能反映我們現(xiàn)在所處的新形勢?！彼a充說，如果一板一眼地執(zhí)行現(xiàn)有的GDPR，那么部分人將面臨很多麻煩?！叭绻阍诩依镛k公，要處理個人數(shù)據(jù)，就得獨自承擔許多難以理解的法律義務(wù)。在私人住宅中處理數(shù)據(jù)，GDPR在這方面有什么規(guī)定？目前這類規(guī)定并不明確?！?/p>

GDPR需要修訂，這一觀點得到了歐洲議會中的政治團體歐洲人民黨的支持。它是一個政治聯(lián)盟，德國前總理默克爾也在其中。歐洲人民黨的理由是：GDPR的施行產(chǎn)生了幾個負面效果。

強化了頭部玩家。自GDPR施行以來，谷歌、“臉書”和亞馬遜增加了其在歐盟的市場份額，這得益于三個實事：一是GDPR合規(guī)成本高，對于大公司來說是利好，因為它們有較多的預(yù)算來支付軟件升級和專業(yè)人員費用。二是各公司已停止使用與谷歌和“臉書”競爭的工具，將更大的市場份額拱手讓給了頭部玩家。三是用戶不太可能嘗試新的平臺和工具。正如諾貝爾經(jīng)濟學獎得主喬治·斯蒂格勒在40多年前所分析的，“監(jiān)管由工業(yè)掌控并為其利益而運作”。更大的公司可能更歡迎GDPR，因為該條例可以將它們與激烈的競爭隔離開來。

削弱了中小企業(yè)。數(shù)據(jù)顯示，歐盟并沒有培育出適合中小企業(yè)成長的環(huán)境。在GDPR即將實施前的一段時間，只有20%的歐盟公司（主要是大公司）實現(xiàn)了數(shù)字化。沒有數(shù)據(jù)顯示，歐盟中小企業(yè)因這一條例受益。歐盟委員會的報告顯示，中小企業(yè)在網(wǎng)站和海外市場的現(xiàn)代化方面一直滯后。自GDPR生效以來，中小企業(yè)已經(jīng)失去了三分之一的市場份額。許多零售商、游戲公司和服務(wù)提供商不再在歐盟運營。

對于許多公司來說成本高昂。為了能在歐盟做生意，擁有約500名雇員的公司，必須花費約300萬美元來滿足GDPR的合規(guī)性要求。數(shù)以千計的公司認為這不值得，因此退出了歐盟市場。當然，別說是300萬美元，就是3億美元，對谷歌、“臉書”和亞馬遜來說都算不了什么（財富500強公司為應(yīng)對GDPR劃撥了80億美元）。事實上，只有不到一半的公司能夠完全符合GDPR的要求;五分之一的公司認為完全遵守其規(guī)則是不可能的。有統(tǒng)計數(shù)據(jù)顯示，GDPR導(dǎo)致每名歐洲公民的直接福利損失約260歐元。

如果在美國頒布實施類似的法規(guī)，美國公司的合規(guī)成本可能達到1500億美元——這是美國在寬帶網(wǎng)絡(luò)投資上花費金額的兩倍，是美國每年電子商務(wù)收入的三分之一。GDPR不僅影響了電商，也影響了廣告商?？紤]到谷歌的廣告平臺及其在聯(lián)合網(wǎng)絡(luò)上的附屬公司的規(guī)模，其遵守GDPR規(guī)則的行為在市場上產(chǎn)生了連鎖反應(yīng)。獨立廣告交易所指出，廣告價格暴跌了20%—40%。另外，歐洲法院裁定，互聯(lián)網(wǎng)生態(tài)系統(tǒng)的任何部分都應(yīng)對數(shù)據(jù)泄露負責。于是，GDPR對于控制器和處理器等硬件的限制也產(chǎn)生了負面效果。芯片制造商、組件供應(yīng)商和軟件供應(yīng)商陷入困境。

威脅創(chuàng)新和研究。GDPR的一些要求與大數(shù)據(jù)、人工智能、區(qū)塊鏈和機器學習基本上是不相容的，尤其是那些旨在要求數(shù)據(jù)處理器公開其數(shù)據(jù)，盡量減少數(shù)據(jù)使用和自動化決策的條款。對于技術(shù)開發(fā)人員、工程師和企業(yè)家來說，GDPR不僅在法律裁決中產(chǎn)生了不確定性，而且在機器學習和人工智能技術(shù)開發(fā)中也產(chǎn)生了不確定性。

一些重要的科學進展是用創(chuàng)造性的方法處理各種信息的結(jié)果——這些方法既不是主體也不是控制者所預(yù)期的。想想關(guān)于使用手機是否會導(dǎo)致腦癌的權(quán)威研究吧。丹麥癌癥協(xié)會通過處理社會安全號碼、手機號碼和國家癌癥登記處的信息，對358403名丹麥移動電話用戶進行了分析。丹麥國家癌癥登記處通過社會安全號碼記錄了每一名癌癥患者。該研究是同類研究中最全面的一次，證明使用手機與罹患腦癌無關(guān)。但是，用戶在信息被收集時，并未明確其研究目的。因此，如果GDPR在這項研究進行時已經(jīng)生效，那么研究實施方就無法獲得被分析數(shù)據(jù)的人群的同意，即GDPR使得這項研究無法進行。展望未來，由于GDPR的存在，一些有價值的研究可能無法順利進行。

歐盟的以上經(jīng)驗告訴我們，當數(shù)據(jù)保護力度越來越大時，企業(yè)可能在數(shù)據(jù)安全方面動輒得咎，這是否為我們推行合規(guī)不起訴的制度提供了背景和契機？當前我國檢察機關(guān)正在進行企業(yè)合規(guī)不起訴的試點，未來在數(shù)據(jù)安全領(lǐng)域的犯罪納入企業(yè)合規(guī)范圍，值得探討。

總體來看，歐盟的經(jīng)驗有助于我們更加有效地實施數(shù)據(jù)安全保護。

一是平衡好個人數(shù)據(jù)保護中的各方利益。個人數(shù)據(jù)保護涉及個人、數(shù)據(jù)處理企業(yè)等各利益相關(guān)方。為確保法律的有效實施，要平衡好各方的關(guān)系，不能因為加強個人數(shù)據(jù)保護而給企業(yè)造成過重的負擔，也不能因為偏重企業(yè)而降低個人數(shù)據(jù)保護水平。從數(shù)據(jù)處理企業(yè)來看，要特別關(guān)注企業(yè)履行法律責任的成本問題。在GDPR實施過程中，歐盟發(fā)現(xiàn)中小企業(yè)負擔過重，下一步將通過簡化履行程序、提供咨詢指導(dǎo)、給予財政支持等方式，促使其更好地履行法定義務(wù)。我國也應(yīng)借鑒該做法。從數(shù)據(jù)主體看，GDPR實施以來，缺乏統(tǒng)一的數(shù)據(jù)標準，導(dǎo)致數(shù)據(jù)“可攜權(quán)”難以落地。我國一定要結(jié)合金融、銀行等行業(yè)的數(shù)據(jù)共享情況，就是否賦予數(shù)據(jù)“可攜權(quán)”、在數(shù)據(jù)共享難以實現(xiàn)的情況下如何推動數(shù)據(jù)“可攜權(quán)”落地等進行充分論證。

二是嚴格限制基于公共利益處理個人數(shù)據(jù)。在對個人數(shù)據(jù)進行保護的同時，應(yīng)允許基于公共利益的需要處理個人數(shù)據(jù)。GDPR明確，可以基于科學研究、公共健康等目的對個人數(shù)據(jù)進行處理。但是GDPR施行以來，對于科學研究等具體情形，缺乏明確的規(guī)定。尤其是新冠肺炎疫情期間，歐盟各成員國基于不同規(guī)則處理個人數(shù)據(jù)，有些甚至暫時放棄了GDPR相關(guān)原則的適用。基于公共利益需要處理個人數(shù)據(jù)，是個人數(shù)據(jù)的開放性要求，相關(guān)情形應(yīng)進行嚴格限制。我國在制定和施行相關(guān)法律時，應(yīng)當嚴格限制基于公共利益處理個人數(shù)據(jù)的情形。對列入公共利益范圍的，如開展科學研究、維護公共健康、打擊犯罪等，應(yīng)盡可能明確個人數(shù)據(jù)開放和處理的規(guī)則，平衡好個人數(shù)據(jù)保護和公共利益之間的關(guān)系。

三是為創(chuàng)新和技術(shù)發(fā)展留有適當空間。當前人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)快速發(fā)展，數(shù)據(jù)的收集、傳輸、存儲、處理等行為越來越頻繁，引發(fā)了人們對個人數(shù)據(jù)被濫用、權(quán)利被侵犯等問題的擔憂。以人臉識別技術(shù)為例，出于對該技術(shù)對隱私權(quán)的侵犯、因不成熟導(dǎo)致其他問題的擔憂，歐盟對人臉識別技術(shù)應(yīng)用采取謹慎態(tài)度，在相關(guān)規(guī)則尚未出臺前，限制政府部門對該技術(shù)的使用。個人數(shù)據(jù)保護與技術(shù)創(chuàng)新發(fā)展是伴生性問題，要以寬容、發(fā)展、長遠的態(tài)度對待技術(shù)進步，對于技術(shù)發(fā)展的負面因素要加強管理。歐盟對GDPR實施評估，提出了可適用于人工智能等技術(shù)的基本原則。至于這些原則如何適用，還要持續(xù)監(jiān)測并在此基礎(chǔ)上出臺指南。

四是建立多元化的數(shù)據(jù)跨境轉(zhuǎn)移機制。數(shù)據(jù)自由流動是數(shù)字經(jīng)濟發(fā)展的重要基礎(chǔ)。GDPR在加強歐盟內(nèi)部數(shù)據(jù)保護的同時，也構(gòu)建了數(shù)據(jù)跨境轉(zhuǎn)移機制，以回應(yīng)數(shù)字經(jīng)濟背景下信息快速流動的需求。GDPR數(shù)據(jù)跨境轉(zhuǎn)移機制是多樣化的，包括充分性認定、適當保護措施、行為準則、認證制度等。我國在數(shù)據(jù)跨境轉(zhuǎn)移方面規(guī)定了重要數(shù)據(jù)出境安全評估制度，這種制度針對具體的數(shù)據(jù)出境活動，實行“一事一評”。建議在上海自貿(mào)試驗區(qū)臨港新片區(qū)、海南自由貿(mào)易港試點，在確保數(shù)據(jù)流動安全可控的前提下，探索建立能夠充分發(fā)揮數(shù)據(jù)價值的數(shù)據(jù)跨境轉(zhuǎn)移制度。可總結(jié)金融、電信等行業(yè)的實踐經(jīng)驗，分行業(yè)建立重要數(shù)據(jù)跨境轉(zhuǎn)移制度。同時，跟蹤國際數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則的研討、制定等情況，適當擴展數(shù)據(jù)跨境轉(zhuǎn)移的工具，對數(shù)據(jù)處理者進行認證。

“網(wǎng)信時代”數(shù)據(jù)安全治理難度不斷提高