5月25日,在欧盟成员国陆续完成本国法律修订之后,欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,GDPR)开始正式生效,以取代1995年的《数据保护指令》。GDPR自2012年制订时起就引发了全球的关注和争议,如今正式实施,更是牵动了全球跨境企业的心弦。
新《条例》的目标与特点
随着大数据、云计算等技术的发展和广泛应用,“如何平衡个人数据隐私保护与数据利益”成为摆在各国政府和企业面前的一个重要命题。GDPR在此背景下应运而生,其主要目标和特点有:
强化数据保护。GDPR虽然沿用了《数据保护指令》在数据处理方面的“合法性”、“公平性”、“透明性”等核心原则,但又有所加强。比如在问责制度上严格了很多。从地域上看,不仅欧盟内部设立数据控制和处理企业受到管辖,对于欧盟以外的企业,只要从事与欧盟个人数据有关的业务,都在其保护范围之中。因此,其管辖范围极其广泛,不仅微软、谷歌、Facebook、阿里云这样的跨国企业受到影响,一些小企业也难以幸免。小米生态链公司智能灯具品牌Yeelight就暂时下线了其产品。
重视数据主体的控制权。GDPR大大增加了企业在数据控制与处理方面的义务,增强了个人对数据的控制权。比如,增加了数据主体的“同意”条件,只有经过其自愿做出具体、明确的同意才能进行数据处理。在适用范围上也非常广泛,“全自动、半自动,以及形成或旨在形成用户画像的非自动个人数据处理”,都在其保护范围之内。还有个人对数据的“访问权”、“限制处理权”、“拒绝权”、“可携带权”、“被遗忘权”等规定,都充分证明了欧盟这一里程碑式的立法对个人权利的尊重和保护。
确保数据安全和自由流动。欧盟大费周章制订GDPR,不仅仅是为了个人权益的保护,还有更深层的原因:为了个人数据的收集、处理更为方便和安全,而且能够自由流动。通过近乎严苛的数据收集和处理规则,以及严厉的问责和制裁手段,GDPR更想实现的目标是数据安全,不要轻易就被犯罪分子所用,不要出现诸多Facebook那样的大规模数据泄露事件。
当然,欧盟也非常关注数据的跨国自由流动。由于“可携带权”的设立,用户不仅可以将个人数据传输给其他主体,还可以要求对数据进行打包,转换成其他便于利用的格式。这样,数据在各国间的自动流动就不存在障碍了。欧盟一直希望建立数字单一市场,数据的自由流动是第一步,也是极其重要的一步。
史上最严格隐私权保护法案
GDPR被称为史上最严格的个人隐私法案,名为数据保护,而其目标实际上是保护个人隐私。进入数字时代以来,如何在数据利益和个人隐私之间实现平衡,始终是各国政府面临的核心议题。
随着物联网、社交媒体的广泛应用,这一问题变得更为复杂和突出。两者之间如何取舍?欧盟和美国这两个世界上最大的经济体做出了不同的抉择。
美国虽然同样注重网络安全和个人隐私保护,但在行动上则主要采取行业自律模式,即更多依赖数据处理相关企业的自我约束和行业监督;而经济利益是其优先关注的目标,微软、Facebook、谷歌可以在法律允许范围内获取最大的经济利益。
而欧盟显然采取了不同的路径。GDPR明显确立了人权保护优先的原则,虽然GDPR也关注网络安全和数据保护,但更重视个人隐私保护。欧盟一直将隐私权视为一项重要的人权,因此一直致力于从立法上完善对隐私权的保护。从“访问权”、“限制处理权”到“可携带权”和“被遗忘权”,这些权利的创设和明确规定都说明了一个道理:在数字时代,当个人隐私权与数据利益发生冲突时,欧盟宁可牺牲经济发展,也要保护个人隐私。这非常符合欧盟在促进经济发展与保护个人权利之间的一贯立场。
欧美两种截然不同的保护模式很难说孰优孰劣,因为这深深根植于欧美在人文传统、法律价值理念和经济发展优先程度等方面的巨大差异。
欧洲有着上千年的文化积累,在法律价值理念上较为重视人的基本权利保护。当然,或许也和二次世界大战之前欧洲人权受到的深深伤害和践踏有关,欧盟一直非常重视包括隐私权在内的人权保护。因此,当人权与经济发展撞车时,欧洲人会优先选择人权。美国则有所不同。美国发展至今只有230年的历史,虽然其文化、宗教和法律价值理念与欧洲有着天然的联系,但依然有很大不同。美国虽口口声声保护人权,但在人权保护与经济利益冲突时,美国会毫不犹豫选择经济利益优先。
跨国企业合规压力剧增
当然,在欧盟做出优先保护个人隐私权的选择后,企业在数据处理方面的合规性压力骤然增大,而跨国企业尤为突出。GDPR被大量媒体称为“欧盟史上最严数据保护法案”,主要在于其惩罚措施极为严厉。比如Facebook,如果再犯出现数据泄露这样的问题,面临的处罚将是其全球营收的4%。按其在2017年406.53亿美元的营收计算,Facebook可能就要交出16.26亿美元罚金。这几乎是微软在欧盟因几次违反竞争法而被罚款数额的总和。
面对这样严厉的处罚规定,几家欢喜几家愁。在GDPR生效前,大大小小的公司就在忙于整理自己的数据保护和隐私政策。苹果已经做出修改,允许用户彻底注销AppleID;谷歌则低调更新了其文档的语言和导航等用户协议,让用户更清楚其收集和存储用户数据的方式,并允许他们访问并删除这些数据;而腾讯QQ国际版则暂停运作。更有企业干脆避开欧盟业务。
欧盟制订如此严厉的数据保护法案,是否会打击大量的中小企业甚至跨国企业的积极性,影响到欧盟的产业发展和经济的整体运行?这也是一直存在很大争议的问题。毕竟,随着GDPR的出台,企业在合规方面付出的人力物力成本大增,对于微软、谷歌这样的大企业或许并不在乎这点成本,而诸多中小企业或因为承受不了合规的成本而不得不关闭相关业务,或者离开欧盟市场。
当然,这些问题都是暂时的,这只是欧盟数字单一市场建立之前的阵痛。在加强数据监管、实现国家间的数据跨境流通这一方面,欧盟无疑走在了前面。更为重要的是,还会引起“布鲁塞尔效应”,即触发企业合规性修改的全球性影响。不管美国、中国还是其他国家,或许都要考虑紧跟其后或多或少提高数据监管和隐私权保护的门槛。这样一来,欧盟又将站立在全球数据监管的标准之上。这才是欧盟制订GDPR的最大收获。
(作者系同济大学德国研究中心研究员、上海国际知识产权学院副教授)