自2018年5月25日以來,關於個人數據(個人信息)保護的歐盟新一代制度規範《一般數據保護條例》(GDPR,General Data Protection Regulation)已經正式進入全面施行階段。這是歐盟數據治理執法的里程碑事件,在信息系統和數字經濟改造人類生活的時代大潮下,其超越成員國制度差異、協調個人數據保護機制、革新個人數據保護模式,進而深度修正歐盟數據治理的執法框架,也將對全球數據治理格局產生廣泛深遠的影響。
尤其對於我國網絡企業而言,首先需要正視的是,GDPR對於歐盟境外的數據治理態勢所帶來的重大沖擊。特別是其明確規定即使是歐盟境外的各類主體在特定條件下也必須遵循GDPR的相關規範,這在數字化業務運營乃至交易樣態日趨多樣化的經濟-技術背景下,迫使我們必須研判、評估GDPR的適用可能性、施行執法走向以及考慮、設計必要合理的風控合規準備。
自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通過,歐盟委員會乃至歐盟內部經歷了前所未見的遊說博弈過程,反映了GDPR本身並非純粹的個人數據規範,而是深層次融合了國際政治博弈、產業經濟競爭以及社會文化擴張等諸多元素的複雜綜合體。
就其目標追求和價值訴求而言,一方面,旨在建設現代化的個人數據治理規範機制、確保歐盟公民和居民對於自身個人數據享有充分的控制權,同時通過協調、簡化現行的“數字單一市場”體系在歐盟體制內建設統一的規範框架進一步改革監管環境。
另一方面,在歐盟現行政策法律框架下,個人數據保護問題一貫被統攝於歐盟“數字單一市場”建設進程中,與其他元素共同服務於歐盟在數字經濟中謀求世界級領袖地位的總體佈局。
正是在這深層次背景下,相對於歐盟《1995年個人數據保護指令》,歐盟全境範圍內有關個人數據保護的執法力度在2018年5月25日後會絕對加強,構成歐盟各成員國必須履行的、不可剋扣的政治責任;關於GDPR的具體執法力度,依據歐盟委員會目前確定的口徑,總體強度將類似於歐盟目前有關反不正當競爭、反壟斷領域的執法力度。
在執法機制上,GDPR的執法憑藉主要是各國個人數據保護署(DPAs),但強調“一站式”執法模式,也即由某執法對象(例如某跨國公司)主要營業地的成員國個人數據保護署履行主要的監管保護職能;在歐盟整體層面,2018年5月25日後,歐洲數據保護委員會(European Data Protection Body,EDPB)正式投入運行,其主要組成成員包括各國個人數據保護署及其代表,主要職能在於協調成員國個人數據保護署的執法工作。
新成立的歐洲數據保護委員會主席(EDPB)安德烈婭·耶利內克(路透社)
此外,由於GDPR的域外管轄條款是全新的制度設計,預計在實施過程中會遇到較大的反彈,為此GDPR實施過程中會根據實際情況進一步考慮彈性的執法機制,例如充分發揮“約束性公司規則”和“標準條款”兩個機制的彈性功能,以減少法定強制條款(例如“充分性認定”機制)的適用情形。
以上這些都會對中國企業的合規風控工作帶來相當的衝擊:其一,對網絡新技術新應用研發造成重大影響,尤其是大數據、雲計算以及人工智能等深度依賴數據處理的新業務樣態將承受GDPR的嚴格約束;其二,對包括企業數據處理主體的業務運營模式造成重大影響,尤其是GDPR引入“設計隱私(Privacy by Design)”數據保護機制,使得網絡企業在業務合規過程中被迫接受歐盟數據治理理念;其三,以個人數據跨境制度為有力抓手,直接制約了中國企業的業務“走出去”國際化進程。
當前,中國企業對GDPR規範框架的認識水平可能存在相當不足,因此難以對GDPR相關判例、實施指南、標準文件和內部規則等形成的綜合體系具備完整的認知理解。例如對於中國APP平臺企業而言,除了比照GDPR的99條文本修改自身的隱私協議,也需要注意歐盟今年4月發佈的有關權利人同意的合規指南,還需要注意歐盟各成員國有關隱私協議合規的具體執法案例。
此外,由於中國企業普遍對GDPR執法框架認識存在相當不足,難以對歐洲數據署以及各成員國數據署、司法機關等部門之間的聯動工作關係具備系統的實操認知。在實操之中,歐洲數據署(EDPB)會主要倚賴各成員國數據署的地域執法,只有在出現管轄衝突的情況下可以指令某國數據署承擔主要管轄責任,因此合規的重點考慮因素之一依然是各成員國的執法慣例。
從合規工作而言,中國企業已經面對的突出挑戰包括:對於歐盟要求採取的數據安全措施,由於規則要求不是很清晰明確,而且可能與中國網絡安全法的要求存在衝突,如何確定合規需要的技術安全措施難度很大,例如有關數據留存的保存期限問題,就與中國網絡安全法有關網絡日誌保存期限的規定不一致。
此外,對於歐盟要求設立的數據保護官(DPO)等制度,如何予以滿足並且符合中國網絡安全法的要求,依然存在相當的不確定性。“被遺忘權”、“數據遷移權”等新設權利以及中歐數據跨境的落地實現,存在很大的模糊性,更缺少國內規範的支撐指引。
總體而言,面對GDPR的施行執法趨向,中國網絡企業在合規風控中的當務之急包括:其一,系統梳理研判自身業務線中的各類涉數據事項,通過分類、分環節的流程設計,將涉數據責任風險做必要的分割、阻隔;其二,全面考察涉歐業務的主要區域分佈,根據成本風控和責任風險的對比選定主要的業務區域以細化當地的合規要求及其落地;其三,及早設計GDPR維權追責事件的應急預案,配備必要的技術、法務人員及時響應各監管機關的執法要求,等等。(文/吳沈括 北京師範大學刑科院暨法學院副教授、碩導、中國互聯網協會研究中心秘書長)
(以上言論系作者個人觀點,不代表本網立場)
閱讀更多 參考消息 的文章
