■張東鋒
當?shù)貢r間5月25日,歐盟制定的《通用數(shù)據(jù)保護條例》(GDPR)正式生效。早在1995年,歐盟部長會議就以一紙《歐盟數(shù)據(jù)保護指令》(DPD),引領(lǐng)了信息時代個人數(shù)據(jù)隱私的法律保護規(guī)則。過去20年里,成員國個人數(shù)據(jù)保護法律碎片化問題,以及新時代下大數(shù)據(jù)、電子商務(wù)、網(wǎng)絡(luò)安全等新領(lǐng)域帶來的諸多挑戰(zhàn),促使歐盟大刀闊斧地改革DPD,并于2016年4月由歐盟議會審議通過了GDPR新規(guī)。那么,號稱歐盟“史上最嚴”的個人數(shù)據(jù)保護條例到底“嚴”在哪里,又著力要塑造哪些重大規(guī)則共識呢?
在很多人眼里,一項法律規(guī)則是否足夠嚴格,大多可以用其責(zé)任后果來衡量,GDPR也不例外。按照歐盟負責(zé)司法、消費者保護和性別平等事務(wù)委員堯羅娃的說法:“個人隱私堪比21世紀的黃金。”所以,雄心勃勃要“為個人隱私保護立法樹立一個全球性標準”的GDPR,在“嚴”的方面給外界最直接的感受,就是對違反條例行為幾近“天價罰款”的規(guī)定。根據(jù)該條例,企業(yè)濫用或不當處理個人數(shù)據(jù),最高將被予以2000萬歐元或者全球總營業(yè)收入的4%的經(jīng)濟處罰,且依規(guī)定取兩者之間較高者征收。因此,只要拿臉書、亞馬遜以及國內(nèi)的BAT這些知名互聯(lián)網(wǎng)企業(yè)2017年的財報數(shù)據(jù)來衡量一下,假使任何一家被認定違反GDPR,都有可能會創(chuàng)下一個天量的罰款數(shù)字。該條例的震懾之意顯而易見。
重要的是,GDPR的“嚴”不僅體現(xiàn)在法律后果,更關(guān)鍵的在于對收集和處理個人數(shù)據(jù)行為的過程約束。首先,GDPR擴大了保護的范圍,明確除了姓名、住址和手機號碼這樣常見的個人信息外,同樣屬于個人數(shù)據(jù)隱私的還有IP地址、Cookie數(shù)據(jù)和RFID標簽這樣的網(wǎng)絡(luò)數(shù)據(jù),以及指紋、虹膜等個人生物識別數(shù)據(jù),種族和民族數(shù)據(jù),政治取向和性取向,等等,總體上涵蓋了個人數(shù)字生活所有重要的基本信息。其次,GDPR設(shè)定了名副其實的“通用”原則,即不僅以法規(guī)取代指令的形式,將條例直接適用各歐盟成員國,而且還將條例的適用從屬地主義向?qū)偃酥髁x擴展。意思是不論企業(yè)身在何處,只要在提供產(chǎn)權(quán)或服務(wù)過程中處理了歐盟境內(nèi)的個人數(shù)據(jù),就要受到條例約束。這就充分避免了數(shù)據(jù)控制者利用歐盟成員國間的法律制度差異來“鉆空子”。因此,面對GDPR,“顫抖”的不止是歐盟境內(nèi)的企業(yè),即便遠在千里之外的中國企業(yè),倘若進軍歐盟市場,都有必要趕緊補課。
當然,生活在今天這樣的信息化時代,數(shù)據(jù)不止個人的一部分,還在很多時候成為公共治理不可或缺的一部分。有鑒于此,如果說GDPR的“嚴”是為了彰顯對個人數(shù)據(jù)隱私強有力保護的鮮明立場,那么在利用個人數(shù)據(jù)上,則體現(xiàn)了公共性原則,這從其設(shè)置的“例外情形”條款中可見一斑。依據(jù)GDPR,用戶同意是數(shù)據(jù)處理的合法基礎(chǔ),不過當數(shù)據(jù)控制者出于雙方合同約定、履行法律職責(zé)的需要以及公共利益或因官方權(quán)威要求時,可以此替代用戶授權(quán)。這其中,合同約定自然無需過多解釋,關(guān)鍵是什么情形才體現(xiàn)了“公共性”。對此,GDPR列舉的情形包括:出于科學(xué)、歷史研究、統(tǒng)計目的,涉及新聞傳播和學(xué)術(shù)、藝術(shù)方面的信息權(quán)和表達權(quán),以及涉及傳染疾病的分析和預(yù)警等重大公共利益。總體上看,這些規(guī)定看起來是為了平衡數(shù)據(jù)控制者的正當利益,但根本上說則是為了保護在增進公共利益方面的數(shù)據(jù)自由流動。
除了推動形成個人數(shù)據(jù)保護的上述共識外,GDPR還有一些具體的創(chuàng)設(shè)性制度值得借鑒。比如,條例要求相關(guān)數(shù)據(jù)管理的機構(gòu)、企業(yè)設(shè)立數(shù)據(jù)保護官員(DataProtectionOfficer),負責(zé)企業(yè)數(shù)據(jù)處理的合規(guī)審核;再比如,以市場認證或第三方協(xié)會監(jiān)督等形式確立對數(shù)據(jù)跨境轉(zhuǎn)移的合法機制。這表明,保護個人數(shù)據(jù)安全,的確需要切實有效的行動。
