GDPR代表全球興起的數據保護嚴厲立法潮的趨勢,一個可能的共識是,個人不能在為自己信息權利而戰時被孤立
(近日,剛在數據問題上引發信用危機的Facebook CEO扎克伯格稱,Facebook將在全球範圍內推出與GDPR相關的數據控制措施。圖/AFP)
一項即將在歐盟生效的法律,正前所未有地挑動全球範圍內互聯網企業們的神經。
2018年5月25日生效的歐盟新數據保護法規《通用數據保護條例》(下稱“GDPR”)是變化的起點。這部新法規將公民個人信息保護提到前所未有的高度,為信息的收集、管理和利用流程劃出明確紅線,違規企業最高可能面臨全球營業額4%的罰款。除重罰之外,其管轄範圍廣及任何一家與歐盟有相關貿易往來的數字經濟企業。
隨著生效日期的臨近,大公司們開始自我審視,沒有誰敢輕言自己能做到百分之百合規。近日,剛在數據問題上引發信用危機的Facebook CEO扎克伯格稱,Facebook將在全球範圍內推出與GDPR相關的數據控制措施。
電信產業資訊公司Ovum調查顯示,52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”;三分之二的受訪者認為這將“迫使他們改變歐洲業務戰略”;超過70%的受訪者預計會增加開支來滿足要求。
普華永道給出更明確的合規成本估計——77%以上公司計劃花費68%的公司預計將花費100萬到1000萬美元的投入;另有9%的企業預計將花費超過1000萬美元。
GDPR代表了全球興起的數據保護立法潮的趨勢,美國、中國也在向歐盟靠攏。
他主管的EDPS是由歐委會任命的獨立數據保護機構,旨在通過實踐和立法加強歐盟數據保護和隱私標準,有監管、建議等職權。早在2011年,EDPS提出重新審視歐盟數據保護法律框架建議,隨後,GDPR立法啟動並於2016年通過。在GDPR規定的數據保護委員會(EDPB)成立後,EDPS也將承接其常設秘書處。
Giovanni Buttarelli是意大利最高法院法官,自1997年起曾任意大利數據保護機構秘書長,2014年起被歐盟議會和理事會任命為數據保護監督主管。他參與過歐盟與美國達成的“隱私盾”數據流動框架,在GDPR及相關法律的立法過程中是積極的立法建議者。“這是一場數據保護的變革,但不是革命。”他說。
公眾隱私焦慮上升
《財經》:你有超過20年的數據和隱私保護經驗,是否觀察到公眾隱私憂慮的增長?
Buttarelli:是的,公眾隱私觀念和憂慮的增長正不斷上升。我從未看到數據保護議題如此敏感,每個人都在討論隱私和保護。這不僅僅發生在歐洲,在國際範圍內都成為超越政治的議題——貿易協定正聚焦於如何融入數據的自由流動和保護規範;許多議題關注隱私安全、監控、加密、證據以及法律執行活動等。
數據保護正越來越成為一門科學,對個人數據的處理應當建立在專業的基礎上。
《財經》:你認為在當下的大數據和AI時代,最大挑戰是什麼?
Buttarelli:如今網絡社會中的公司擁有前所未有規模的個人完整數據,而個人則對自己的數字足跡失去控制。行業追求個人數據的最大化變現,出於商業或政治目的而被定位、畫像和評估的程度,已經超越人們的控制和認知,個人感受到無助,他們需要被賦予權利更好控制自己的信息。
我們所面臨的挑戰是兩面的:第一,要找到法律和技術上最有效的工具,幫助個人在算法和大數據時代實現自主權;第二,挑戰“大數據思維”的數字公司應當基於對個人信息的尊重來開發可持續的商業模式,而不是進行“數據的獨裁”。
《財經》:一個擔憂是,找到公司非法利用或者錯誤處理數據的證據對個人來說很難。這是當我們在討論個人信息保護時所面臨的最大挑戰嗎?
Buttarelli:個人感受到失控的原因有很多,不止你提到的難以獲得證據。還有:算法決策的不透明性;在一個複雜的數據生態系統中,非法處理數據者的責任分配等都構成挑戰。相比而言,捆綁合同、不公平的服務只是增加了一些困難。
GDPR考慮到了這些挑戰。它首次明確承認,數據權利組織可以成為個人和系統之間的中間人,可以在法庭上代表個人的利益,幫助個人尋找有效救濟。我非常支持這一條款——個人不能在為自己的權利而戰時被孤立。
法規是否過於嚴苛
《財經》:GDPR提出的許多新權利備受關注,如基於隱私的設計(Privacy by design),企業在進行個人數據處理時,應採取匿名化、數據最小化等必要技術措施;默認隱私保護(Privacy by default),默認情況下,個人數據僅在必要時才能被收集和使用;數據可攜帶權,用戶有權向企業索取有關自己的個人信息,並自主決定用途,這意味著用戶可以在不同網站間進行個人數據“搬家”,實現自己數據資產的管理;等等。這些新權利背景下,GDPR有何進一步重要意義?
Buttarelli:首先,它加強了數據主體的權利,規定了許多新的權利,比如數據可攜帶權等。雖然“默認隱私保護”和“基於隱私的設計”是公司的義務而非公民的權利,但它們的有效實施也將增強用戶權利。
其次,加強了商業主體的責任。數據控制者們被要求在進行數據處理之前更好地評估影響,並對其行為負責。
最後,只要是向歐盟範圍內提供服務的公司等數據控制者,即便建立在歐盟以外,GDPR也對其適用。我們希望歐盟範圍內的法規統一適用,即一站式監管,實現歐盟範圍內只需向一個法律機構提供電話號碼、電子郵箱和聯繫人,而不是向28個成員國分別提供。
GDPR既有對舊規則的延續,也有許多創新。許多公司正在採取措施調整做法,有很多積極信號。我們正在接近大數據世界,需要以未來為導向,使規則在數字社會中被很好地應用。
《財經》:許多從業者認為法規過於嚴苛,因此不能有效實施,你認為這是個問題嗎?
Buttarelli:我認為恰恰相反。GDPR生效前的一個現實是,遵守數據保護法規與否對於公司來說不重要,他們甚至為可能的制裁準備好了預算。但未來完全不同,當人們有選擇性地對待這一法規時,特別是嚴重而反覆違法時,會受到嚴厲的制裁。
我們也會引入其他國家關於執行法律的經驗。過去,歐洲一直被批評有堅實的理論基礎而缺乏強有力的執行能力。
世界上121個國家如今有數據隱私保護條例,這些條例部分複製了歐盟原則。近期有人在國際研究中指出,中國關於個人信息保護的新國家標準也許在某些方面比歐盟更為嚴格。
《財經》:具體你們會採取什麼措施確保它的執行?
Buttarelli:在執行方面,首先要成立一個新委員會以替代現存的諮詢性組織——第29工作小組。
其次,GDPR不僅意味著責任和義務,也是商業機會。因為涉及基於隱私的設計、默認隱私、數據安全、認證、合格鑑定、行為準則以及數據保護官等方面,會是世界小中型企業可以發揮的市場機會——它們可以提供服務幫助數據控制者合規,我認為這一市場潛藏著無限潛力。
《財經》:要維護數據權利的個人會得到什麼支持?
《財經》:個人的被遺忘權為什麼很重要?
Buttarelli:被遺忘權早已存在,不是歐盟的發明,在許多國家是法律傳統。一個小的創新之處在於,例如,數據主體可以直接去找谷歌尋求錯誤信息的刪除,而不是通過很多步驟先找到原始信息源網站,再訴求搜索引擎作出更改。
《財經》:隱私保護和數據保護有何區別?
Buttarelli:二者在里斯本條約中是被分別規定的,在許多成員國的法律系統中也是。隱私更多涉及親密層面,涉及“孤獨生活”而不被披露某些敏感信息的權利。數據保護超越這一點,它給你作為數據主體的另一項獨立的基礎權利。這在實踐中意味著,別人處理關於你的個人信息的方式,不管其是否屬於隱私,都是你的權利。你有權要求信息安全,有權在你需要的時候獲得關於你的全部信息。
《財經》:除了GDPR,還會有更多為了個人信息保護而需要做的法律變化嗎?
Buttarelli:GDPR的成功很大程度上取決於歐盟數據保護和隱私框架其他要素的部署和完成。不過,現在仍有許多缺失,例如E-privacy 法規。因為GDPR需要與確保電子通訊秘密的規則相輔相成,現在是時候停止使用追蹤技術來逃避檢測,停止不斷增加的數據收集週期。我希望立法機關能儘快完成網絡隱私的“交通法規”。
僅有法律也是不夠的。我們還需要投資於隱私增強技術以及加密技術,需要一套可持續的立場,說明國家和執法部門應如何獲取商業和私人數據——人們不應該持續地被在線監控和控制。
最後,正如我之前提到的,我們需要一些關於數據流動的國際標準來補充貿易協定。
保護數據會阻礙創新嗎?
《財經》:你同意GDPR是世界上最嚴格的數據保護法規,並將殺死很多商業機會的說法嗎?
Buttarelli:不同意。我們生活在一個現代化的世界上,這裡信任和開放都是本質的需求。對大數據世界來說,沒有不斷提升的透明度就沒有成熟的改革。
我們堅信並承諾,保護數據和隱私不是創新或者經濟增長的障礙,所以我們希望促進歐盟內部市場數據的流動。
問題可能出現於那些數據過度集中在少數手裡的商業模式以及政治原因等,但這些其實與GDPR的影響無關。
《財經》:在歐盟運營的大公司和數據控制者們現在準備得如何?
Buttarelli:我在數據保護領域已經全職工作超過23年。回顧20年前,許多公司在爭辯規則、請求延期執行或寬限期等。現在,特別是科技巨頭們,都急於宣稱他們願意承擔責任。
這一法規施行前他們曾有兩年的時間準備。我們相信,特別是大的機構和公司能夠很快遵守合規,不過,只有國家數據保護機構通過調查和審計,才能決定他們的努力是否足夠。也許小中型企業在合規上會存在問題,這是我們作為獨立的監管者將會關注的地方。
《財經》:數據保護擔憂會否成為中國高科技企業進入歐盟市場的一個壁壘?你對此有何建議?
Buttarelli:任何企業在歐盟向個人提供服務和商品,都應當遵守GDPR。公司應當採取行動決定他們是否屬於被監管主體。歐盟法院的判例明確指出,國家對數據保護和隱私權利的任何干涉都必須是適當和必要的,這也適用於對任何商業持有數據的獲取。
這些都是基本要求,不僅適用於中國的高科技企業,也適用於所有想在歐盟做生意的企業。
《財經》:為什麼GDPR這項數據保護法規在全世界都受到關注?
Buttarelli:GDPR標誌著數據保護文化的變革。許多基本規則體現在里斯本條約中,有著和憲法一樣的價值。
(本文將刊發於2018年5月28日出版的《財經》雜誌)
閱讀更多 財經雜誌 的文章
