- +1
静观欧洲︱史上最严数据保护规则会成为“纸老虎”吗
欧盟《通用数据保护条例》(以下简称《条例》)上周正式生效了。这个长达200页的《条例》被称为世界上保护数据信息的“最严法规”,将对世界信息产业、人工智能发展产生深远影响。
数据是最宝贵财富,如何明确数据所有权?
欧盟向来重视个人隐私保护,早在1995年便出台《欧盟数据保护指令》。在当前个人数据滥用趋于恶化的情况下,《条例》应运而生,通过明确个人行使数据所有权的具体方式来加强隐私保护,力图让个人真正成为数据的“主人”,享有数据所有权。《条例》明确指出,处理个人数据必须要有合法理由,包括数据主体的同意、履行合同或者法定义务的要求以及数据控制者的合法利益等;个人同意必须具体、清晰,是用户在充分知情的前提下自由做出的;如果将同意数据处理作为签订合同的前提条件,而数据处理事实上超出了提供服务的需要范围,那么将违反有关“同意应当自由做出”的规定。
相比于之前规定,《条例》对个人数据权利细化为知情权、访问权、反对权等,并且引入数据可携权与遗忘权等新型权利类型。其中,遗忘权是对传统删除权的扩张,即用户可以随时撤回对数据利用的同意,而且当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,数据控制者不仅要删除自己所控制的数据,还要求数据控制者负责对其公开传播的数据的删除,也就是需要通知其他第三方停止利用并删除数据。
《条例》对个人数据权利进一步细分,希望增强个人数据所有权意识,更好地控制数据的收集与利用,遏制互联网巨头强势侵犯个人隐私和控制数据以牟利的状况。但是不少人也担心,“冰冻三尺,非一日之寒”,数据所有权意识的形成将是一个长期过程,不会一帆风顺。
我所在的英国也加大了对《条例》的普及介绍和宣传,中小学课堂上也专门讲解了《条例》的新变化,学生如何更好地利用《条例》保护自己合法权益。我个人也收到不少公司电子邮件,希望我能重新确认同意继续接受其邮件信息。但从我接触的普通民众来看,虽然大多知道《条例》已生效,但对《条例》的变化并不关心,对自己的个人数据依然保持着无所谓的态度,也不愿投入时间与精力来关注数据利用情况。在智库工作的西蒙认为,一般人使用互联网都希望能便捷地享受服务,对于分享数据也习以为常,几乎没人会花费时间去仔细阅读相关条款,互联网公司也深谙此道,因此有关征求是否同意分享数据的通知一般都非常冗长,甚至诘屈聱牙,使用者很少有不同意的。
虽然《条例》是否能够促使个人有效行使数据所有权还有待观察,培育民众的数据所有权意识也需要时日。但《条例》毕竟为有心人提供了有力的武器,其生效第一天,一名奥地利隐私保护积极分子便针对脸书、谷歌公司提起了巨额诉讼,指出两大公司“要求用户必须同意隐私政策,否则不能提供服务”的做法违反了《条例》的相关规定。
大公司尚能“掏钱免灾”,小公司难逃“穷途末路”?
《条例》协调统一了欧洲各国有关数据保护的规定,实行一站式监督管理。相较于之前企业需要了解不同国家的数据保护法规,《条例》的统一规定在一定程度上可以减少企业了解与适应不同规定的任务。但是,《条例》针对企业收集与利用个人数据的规范更加严格,要求企业必须遵从数据保护的若干规定。例如,《条例》明确了数据保护的问责机制,规定了数据保护官、文档化管理、数据保护影响评估、数据泄露报告以及安全保障措施等制度。数据控制者必须全面记载其数据处理活动,做到一举一动都有据可查,而且数据处理过程应当公开透明,用户有权随时查询。
《条例》提高了企业运营成本,企业需要花费较大开支来遵守《条例》。根据估算,富时指数的公司每年平均需要花费1500万英镑来遵守《条例》规定,世界500强公司平均每个公司需要雇佣5名数据保护专职人员以及5名兼职人员从事数据保护工作。与欧盟业务往来密切的美国公司已耗费数十亿美元以适应《条例》。微软公司已经投入了大量资源执行法规,如分派了1600多个工程师从事与《条例》相关的工作。仅清查公司数据信息,重新获取用户同意,便需要花费工作人员几个月的时间。
大公司尚能通过分摊成本支撑过去,中小企业则困难重重。调查清理数据的任务艰巨,不利于小公司的生存发展。不少中小企业没能在《条例》生效日期前做好各项准备工作,尤其是一些小公司忙于生计,无力履行数据保护义务,有的竟然对《条例》毫不知情。《条例》生效实施后,这些企业可能面临遭受行政处罚与侵权诉讼的风险。对一些依赖数据服务的小公司而言,可能从此失去选择和使用数据的权利,不得不改变商业模式甚至就此关张。大浪淘沙,适者生存,面对严格的数据保护规定,企业被迫采取相应措施来适应新的要求与挑战,相关行业可能又将迎来一番洗牌。
能否做到有法必依,违法必究?
《条例》洋洋洒洒几百页,对规范数据保护行为做出详尽规定,但也遭到“规定过于复杂繁琐”,“条文艰涩难懂”等批评。而且,由于《条例》未能清晰地阐述部分法律义务,存在被规范主体无所适从的问题。尽管欧盟法规的复杂难懂属于“标配”,但《条例》的部分含混不清主要来源于法规制定过程中的争议。法规毕竟是妥协的产物,在《条例》草案征求意见过程中立法机构收到了4000多份修改建议,公司、政府、其他组织利用数据的目的与功能不同,成员国的历史状况和目前对数据利用的态度也不同。艾莉森在《纽约时报》的撰文中指出,她曾经在瑞典访问过许多科学家、数据管理员、律师等,很多人认为《条例》很费解,而且质疑完全遵守《条例》的可能性。
《条例》能否有效执行,是否会受到成员国软抵制,也受到舆论关注。截至今年初,欧盟成员国中只有德国与奥地利根据《条例》要求完成了对国内法规的相关修改,甚至还有成员国没有发布任何有关如何实施《条例》的法规与文件。而且,欧盟数据保护机构的执法能力也深受质疑。各国数据保护机构由国家财政资助,欧盟没有提供任何财政支持,同时,设立的欧洲数据保护机构本身力量薄弱,工作人员相对不足,很难向成员国提供所需的指导和帮助。
《条例》大大增强了监管机构的执法权,规定了比较严苛的罚金。由于个人数据总量庞大,流动性强,企业处理数据的过程又复杂隐秘,因此,数据保护机构的监管任务十分繁重,难度较大。荷兰数据保护机构前主席科恩斯塔姆曾指出,鉴于监管机构十分有限的财政预算,查出企业违反数据保护规定的机率会很低。更令人担忧的是,与人丁兴旺的大公司相比,监管机构的人力资源相形见拙。例如,爱尔兰数据保护机构的工作人员已经相对充足,但其1179万欧元的预算仍是比较小的变化,根本无法与脸书公司的公共事务部门相媲美。
理想丰富,现实骨感。随着时间推移,史上最严《条例》如不能得到有效执行,将会沦为“纸老虎”,最终成为人们的笑柄。
欧盟展现了抢抓全球规则制定权的雄心,会否滋生“数据保护主义”?
《条例》似乎有针对美国的意味。《条例》生效不久,美国商务部长罗斯便在《金融时报》上撰文抨击《条例》,称其将对跨大西洋贸易造成障碍,甚至可能中断欧洲与世界各国在相关领域的有效合作。这也难怪,美国的科技巨头多年来在欧洲攻城略地,见佛杀佛。欧洲相关领域的主宰方全是清一色的美国巨头。
欧洲由于方方面面的原因,出不了科技巨头。世界前十大公司中没有一家欧洲公司。欧洲十大公司中入围的大多是汽车和能源行业的巨头,没有一家科技公司。欧洲最大的科技公司就算德国软件公司SAP SE了,这也是欧洲唯一一家市值在1000亿美元以上的科技公司,相形之下,美国苹果公司的市值已超过8000亿美元,谷歌、微软、亚马逊等市值也在7000亿美元左右,规模上远超欧洲企业。在初创企业中,欧盟拥有25家独角兽公司,总共价值约490亿美元,近一半都来自英国。如果把脱欧的英国去掉,欧盟只有12个独角兽公司,市值不到250亿美元。而美国独角兽企业多达114个,其中优步公司市值便超过欧盟的12个公司市值。
为了抵御美国的“侵略”,欧盟使尽了招,但效果不彰。此次《条例》生效,让欧洲“处罚”美国科技巨头又多了一把“尚方宝剑”,同时也给在欧洲“野蛮生长”的美国公司戴上了“紧箍咒”。美国大多公司是不会忍心丢失欧洲市场的,只能根据《条例》的新要求来加强数据保护措施或者调整商业模式,而这种改变不仅会针对欧盟用户,也可能扩展至其他地区的用户,例如,微软公司已经宣布会让全世界用户都能享受相同的数据权利。跨国公司的隐私保护措施也会影响其他地区的公司的行为,逐渐促进商业习惯规范的形成。而且,根据《条例》规定,与欧盟签订贸易协议的国家必须承诺遵守《条例》的规定。同时,与之前的《数据保护指令》相比,《条例》的适用范围扩大,适用于所有获取欧盟公民数据的公司、机构等;世界上的任何组织处理有关欧盟公民的数据时必须保证收集、储存与处理数据的过程透明化。以上变化都可能促进其他国家修改数据保护法规,尽力提供与欧盟相同水平的数据保护。
目前《条例》已产生了涟漪效应,例如日本、哥伦比亚、韩国,制定或者修改了数据保护方面的法规,加快提高数据保护水准。中国也于近日实施了《信息安全技术个人信息安全规范》。随着越来越多的国家提高数据保护标准,欧盟又一次成功展示了规范能力及其对世界的影响力。
让欧盟尴尬的是,软实力虽在,硬实力已大幅下滑,当前欧盟在人工智能、互联网经济方面落后于美国、中国,欧盟只有将其高标准推广为全球标准,才可能在新一轮关于物联网、人工智能等高科技竞争中赢得一席之地。因此,欧盟这种“做减法”的方式也招致诸多诟病,批评者认为其打着加强个人数据权利保护的幌子,实际上则是通过降低外国高科技公司控制数据的能力,遏制其快速发展的势头。这种做法只会滋生“数据保护主义”。
总之,个人隐私与公共安全总是一对矛盾。控制与运用个人数据是人的自主权利,是隐私保护的重要部分。保护个人数据所有权与加强数据利用需要保持平衡。在数据滥用已常态化的时代,无论争议如何,欧盟尝试性地向前迈出了一步。正如两位中国的前辈所说,既有“尝试成功自古无”,也有“自古成功在尝试”。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司