5月25日,在歐盟成員國陸續完成本國法律修訂之後,歐盟《一般數據保護條例》(GeneralDataProtectionRegulation,GDPR)開始正式生效,以取代1995年的《數據保護指令》。GDPR自2012年制訂時起就引發了全球的關註和爭議,如今正式實施,更是牽動了全球跨境企業的心弦。
新《條例》的目標與特點
隨著大數據、雲計算等技術的發展和廣泛應用,“如何平衡個人數據隱私保護與數據利益”成為擺在各國政府和企業面前的一個重要命題。GDPR在此背景下應運而生,其主要目標和特點有:
強化數據保護。GDPR雖然沿用了《數據保護指令》在數據處理方面的“合法性”、“公平性”、“透明性”等核心原則,但又有所加強。比如在問責制度上嚴格了很多。從地域上看,不僅歐盟內部設立數據控制和處理企業受到管轄,對於歐盟以外的企業,只要從事與歐盟個人數據有關的業務,都在其保護範圍之中。因此,其管轄範圍極其廣泛,不僅微軟、谷歌、Facebook、阿里雲這樣的跨國企業受到影響,一些小企業也難以幸免。小米生態鏈公司智能燈具品牌Yeelight就暫時下線了其產品。
重視數據主體的控制權。GDPR大大增加了企業在數據控制與處理方面的義務,增強了個人對數據的控制權。比如,增加了數據主體的“同意”條件,只有經過其自願做出具體、明確的同意才能進行數據處理。在適用範圍上也非常廣泛,“全自動、半自動,以及形成或旨在形成用戶畫像的非自動個人數據處理”,都在其保護範圍之內。還有個人對數據的“訪問權”、“限制處理權”、“拒絕權”、“可攜帶權”、“被遺忘權”等規定,都充分證明了歐盟這一里程碑式的立法對個人權利的尊重和保護。
確保數據安全和自由流動。歐盟大費周章制訂GDPR,不僅僅是為了個人權益的保護,還有更深層的原因:為了個人數據的收集、處理更為方便和安全,而且能夠自由流動。通過近乎嚴苛的數據收集和處理規則,以及嚴厲的問責和制裁手段,GDPR更想實現的目標是數據安全,不要輕易就被犯罪分子所用,不要出現諸多Facebook那樣的大規模數據泄露事件。
當然,歐盟也非常關註數據的跨國自由流動。由於“可攜帶權”的設立,用戶不僅可以將個人數據傳輸給其他主體,還可以要求對數據進行打包,轉換成其他便於利用的格式。這樣,數據在各國間的自動流動就不存在障礙了。歐盟一直希望建立數字單一市場,數據的自由流動是第一步,也是極其重要的一步。
史上最嚴格隱私權保護法案
GDPR被稱為史上最嚴格的個人隱私法案,名為數據保護,而其目標實際上是保護個人隱私。進入數字時代以來,如何在數據利益和個人隱私之間實現平衡,始終是各國政府面臨的核心議題。
隨著物聯網、社交媒體的廣泛應用,這一問題變得更為複雜和突出。兩者之間如何取舍?歐盟和美國這兩個世界上最大的經濟體做出了不同的抉擇。
美國雖然同樣註重網絡安全和個人隱私保護,但在行動上則主要采取行業自律模式,即更多依賴數據處理相關企業的自我約束和行業監督;而經濟利益是其優先關註的目標,微軟、Facebook、谷歌可以在法律允許範圍內獲取最大的經濟利益。
而歐盟顯然采取了不同的路徑。GDPR明顯確立了人權保護優先的原則,雖然GDPR也關註網絡安全和數據保護,但更重視個人隱私保護。歐盟一直將隱私權視為一項重要的人權,因此一直致力於從立法上完善對隱私權的保護。從“訪問權”、“限制處理權”到“可攜帶權”和“被遺忘權”,這些權利的創設和明確規定都說明了一個道理:在數字時代,當個人隱私權與數據利益發生沖突時,歐盟寧可犧牲經濟發展,也要保護個人隱私。這非常符合歐盟在促進經濟發展與保護個人權利之間的一貫立場。
歐美兩種截然不同的保護模式很難說孰優孰劣,因為這深深根植於歐美在人文傳統、法律價值理念和經濟發展優先程度等方面的巨大差異。
歐洲有著上千年的文化積累,在法律價值理念上較為重視人的基本權利保護。當然,或許也和二次世界大戰之前歐洲人權受到的深深傷害和踐踏有關,歐盟一直非常重視包括隱私權在內的人權保護。因此,當人權與經濟發展撞車時,歐洲人會優先選擇人權。美國則有所不同。美國發展至今只有230年的歷史,雖然其文化、宗教和法律價值理念與歐洲有著天然的聯系,但依然有很大不同。美國雖口口聲聲保護人權,但在人權保護與經濟利益沖突時,美國會毫不猶豫選擇經濟利益優先。
跨國企業合規壓力劇增
當然,在歐盟做出優先保護個人隱私權的選擇後,企業在數據處理方面的合規性壓力驟然增大,而跨國企業尤為突出。GDPR被大量媒體稱為“歐盟史上最嚴數據保護法案”,主要在於其懲罰措施極為嚴厲。比如Facebook,如果再犯出現數據泄露這樣的問題,面臨的處罰將是其全球營收的4%。按其在2017年406.53億美元的營收計算,Facebook可能就要交出16.26億美元罰金。這幾乎是微軟在歐盟因幾次違反競爭法而被罰款數額的總和。
面對這樣嚴厲的處罰規定,幾家歡喜幾家愁。在GDPR生效前,大大小小的公司就在忙於整理自己的數據保護和隱私政策。蘋果已經做出修改,允許用戶徹底註銷AppleID;谷歌則低調更新了其文檔的語言和導航等用戶協議,讓用戶更清楚其收集和存儲用戶數據的方式,並允許他們訪問並刪除這些數據;而騰訊QQ國際版則暫停運作。更有企業幹脆避開歐盟業務。
歐盟制訂如此嚴厲的數據保護法案,是否會打擊大量的中小企業甚至跨國企業的積極性,影響到歐盟的產業發展和經濟的整體運行?這也是一直存在很大爭議的問題。畢竟,隨著GDPR的出臺,企業在合規方面付出的人力物力成本大增,對於微軟、谷歌這樣的大企業或許並不在乎這點成本,而諸多中小企業或因為承受不了合規的成本而不得不關閉相關業務,或者離開歐盟市場。
當然,這些問題都是暫時的,這只是歐盟數字單一市場建立之前的陣痛。在加強數據監管、實現國家間的數據跨境流通這一方面,歐盟無疑走在了前面。更為重要的是,還會引起“布魯塞爾效應”,即觸發企業合規性修改的全球性影響。不管美國、中國還是其他國家,或許都要考慮緊跟其後或多或少提高數據監管和隱私權保護的門檻。這樣一來,歐盟又將站立在全球數據監管的標準之上。這才是歐盟制訂GDPR的最大收獲。
(作者系同濟大學德國研究中心研究員、上海國際知識產權學院副教授)