- +1
欧盟数据保护新规:收到“一呼百应”效果,也引发滥权担忧
在经欧洲议会通过并给予企业两年的适应期后,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)于5月25日正式生效。由于其“管得宽,罚得狠,覆盖广”等特点,以及在个人信息定义、企业责任等方面的巨大创新,而早在数月前就受到国际社会及数字信息产业界的广泛关注,并被称为“自互联网诞生以来最严格的”的数据监管法案。GDPR的确立,也将开启欧盟这一超国家共同体与跨国数字企业就数据领域权力博弈的新篇章,同时深刻影响包括中国企业在内的各国企业的数据运营模式和经营策略。
数据保护,人心所向
随着人类生活的信息化、网络化、移动化程度的不断提升,全球的政府和民众在享受数字经济带来的便利与经济利益的同时,对于个人数据是否被企业或其他非国家行为体滥用深切担忧。从通过分析用户浏览记录以针对性地推送商业内容,甚至如“剑桥分析”那样为政治活动打广告,个人数据保护领域缺乏行为体的约束使得随意收集和使用个人数据的造成的问题愈发严重。
实际上,欧盟近年来在民意压力及应对数据安全挑战等因素的刺激下,逐步加强数据保护。2013年,奥地利隐私权益保护人士施雷姆斯在爱尔兰法院控诉脸书公司的爱尔兰分公司,认为其不分监管地在欧美间传输用户个人数据侵害用户权益。2015年,欧洲法院认定欧盟与美国2000年签署的数据传输“安全港协议”无效。2016年,欧盟与美国签署了新的数据传输监管协议“隐私盾协议”,欧盟监管机构对企业的约束权力大大增强。
而在GDPR生效前夕,脸书的CEO扎克伯格前往欧洲议会接受质询,既是欧盟欲就“剑桥分析”事件与扎克伯格当庭对质,以缓解民众对于“技术操控政治生活”的担忧,同时也在GDPR正式生效前显示超国家行为体对企业的监管能力,甚至有人将扎克伯格参加质询看作是GDPR的“路演”,而扎克伯格以积极态度面对和准备质询,也意味着个人数据保护不仅是民众的诉求,更是互联网时代的道义高点,在这一点的失分极有可能导致用户对企业失去信任最终流失的风险。因此,像脸书这样的数据巨头无论是否真心愿意,也必须打出严格保护个人数据的旗号。
管得宽,罚的狠,覆盖广
从内容上看,GDPR更是以一种“全覆盖”的方式囊括了传统上难以界定的个人数据的保护范围。
首先,“管得宽”体现在监管范围的扩大。GDPR提出,任何向欧盟公民提供产品和服务的企业,均将受到该条例的监管,无论该企业是否是欧盟企业或在欧盟境内设有分支机构。这将数据监管对象以“属地划线”的规则变成了“属人划线”,也是为何GDPR受到全世界数字业界关注的原因。此外,管得宽还体现在“个人数据”的定义被大幅扩展,在GDPR的定义下个人数据不仅包括姓名、住址、电话、银行账户等公众熟知的基本信息,更包括健康状况、参加工会情况、基因信息、宗教信仰、种族甚至是性取向等方面,几乎是一个自然人的各种社会属性的全覆盖。
在落实层面,GDPR以对企业全方面的要求来覆盖公民权益的保护。企业不仅在获取和搜集数据前要征得用户同意,并且要以清晰通俗的语言告知用户其搜集和使用数据的目的、种类、去向及处理数据者的身份等各方面信息,在用户提出对其信息做出变动或了解信息使用情况的要求后,必须回应用户需求。
在安全保障方面,企业不仅被要求要设立专门的数据管理官专职负责数据安全,且一旦出现“数据泄露”事件,必须在72小时内将相关情况事无巨细地通知监管部门,同时在合适的时间通知相关用户。由此看,欧盟此条例以严格要求企业的方式来保障作为弱势一方用户的知情权、选择权和隐私权。客观上讲,是用户权利的一大保证。
在处罚上,GDPR规定,企业违反相应条例将被处以1000万欧元或全球年营收2%的罚款,取两者间较高者征收,若出现“严重违规”的行为,标准则将分别提高到2000万欧元或4%,同样取两者高者。这就意味着,即使是初创企业,一旦出现了违规行为,就将至少付出1000万欧元的惨痛代价。有媒体曾经测算出,GDPR实行的第一年就可能为欧盟实现60亿欧元的“创收”。
既定规则又当裁判引担忧
由此看出,GDPR是欧盟在个人数据保护领域的全方位探索,在个人数据的界定、企业的主体责任以及受监管的范围上在全球率先抛出了独特的标准和规则。而鉴于欧盟约占全球34%的数字市场规模,使得任何希望进入欧洲市场的企业受到这些方面的监管约束,使得其将市场力量转化为了规范性权力。
从GDPR生效至今的情况看,这项条例已经达到了“一呼百应”的效果:欧洲民众的邮箱内充斥着各种企业就使用个人数据的通知,微软、谷歌等企业均发布遵守GDPR的声明,并在数据存储、产品设计等方面积极进行调整,《洛杉矶时报》等美国媒体网站甚至一度暂停对欧洲用户的服务,这些现象体现了个人数据保护的道义力量和GDPR高额罚金的双重震慑。同时,GDPR作为国内法,也将大幅增加欧盟数据监管领域的国际权力。
作为历时数年酝酿而来的数据监管条例,GDPR全面反思了传统行业数字化、移动终端广泛普及、社交网络全方位扩展影响力给个人数据保护到来的冲击,而其对数据保护前沿问题的探索,如对个人数据、责任主体的定义等,也将塑造各国监管部门及数字企业的行为。如英国虽然正处于“脱欧”进程,但却同时在2018年适用了GDPR相关规则,同时将一般违规的罚金下限提升到1700万英镑,显示维护数据安全的决心。《华尔街日报》引用美国部分企业的首席信息官的话表示,美国若效仿GDPR的部分措施将极大提升数据保护的水平。同时,跨国企业为了适应GDPR而调整其产品、技术和用户服务政策时,也会将相应调整引入其在全球的运营之中,使得GDPR的间接影响力得以扩大。
而GDPR的新政策对欧盟外企业的约束扩大不可避免地提升了人们对欧盟未来是否滥用监管的担忧。由于GDPR的诸多重要方面仍然表述模糊,同时当前并没有对具体条款的补充说明,如“向欧盟公民提供产品或服务”这一概念的范围或定义,欧盟公民以虚假身份注册使用他国企业提供的产品等情况该如何界定等,而欧盟自身既是规则制定者,又是裁判员的情况下,其执行GDPR是否对他国企业待遇公正均存有疑问。
因此,GDPR对中国企业拓展欧洲业务将面临挑战。有民调显示亚太地区的数字企业对于GDPR的了解和准备远不及欧洲和北美的同行,若企业在未知情况下接触到GDPR的管辖范围,很可能遭遇其重罚。同时,随着近年来中国科技企业和中国对欧制造业及科技产业投资的大幅增加,欧盟从保护市场和技术竞争力的角度考虑,对于中国在新型产业的发展逐渐转向担忧与防范,比如频频叫停中企投资项目、对于“中国制造2025”计划消极评价等等。
相较于中国对于数字技术运用十分友好的市场和信息监管环境,后GDPR时代里在中国蓬勃发展的移动支付、电商、网上银行的数字业务将在欧洲面临更多关注,甚至招致欧盟数据监管机构有针对性的调查。而GDPR的运用尺度和解释权均在欧盟行政、立法机构手中,中国互联网企业若受到“特殊关注”将面临及其不友好的市场环境甚至是无妄之灾。因此,未来中国在学习GDPR等国外先进数据监管经验的同时,应增强中国在全球数据保护等网络空间治理规则上的制定权和话语权,切实推进我国网络强国战略,推动和塑造国际网络空间治理环境向对中国维护国内利益与拓展海外利益有利的方向发展,警惕西方发达国家通过国内法规规制和影响他国企业经营模式的做法。
(牛帅,中国现代国际关系研究院信息与社会研究所助理研究员;董一凡,中国现代国际关系研究院欧洲研究所助理研究员)
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司