“歐盟的隱私保護法正在面臨自1995設立以來最大的改革。今年5月25日,一項被稱為“史上最嚴”的數據保護法案從布魯塞爾發出,在歐盟開始全面執行。”
這項名為《通用數據保護條例》(簡稱GDPR)的法案,因其詳苛的規定、廣闊的適用範圍、高昂的罰款,早在其正式生效之前便已引得各方高度關注。該法案的生效似乎也在提示,一場數字時代的旋風即將來臨。
GDPR重構互聯網治理秩序 為互聯網秩序提供基本合規框架
GDPR的宗旨在於協調整個歐盟的數據隱私立法,讓人們更好地掌控自己的個人數據,其將徹底改變各類組織處理和使用他們收集的個人數據的方式。
GDPR主要從個人對其信息的控制權、信息控制者、處理者的義務和責任的界定、信息跨境和刑事活動領域的特殊信息保護規則等方面,對科技公司使用身份數據的邊界、應當承擔的責任和義務,提供了基本的合規框架。
GDPR的權利體現在:除了拓寬“個人數據”的範圍、並將高度保護個人隱私的“數據可攜權”和“被遺忘權”明確寫入法條之外,GDPR還強調了數據保護要由“屬地”向“屬人”轉變。
這意味著,條例的適用範圍不再侷限於歐盟境內,任何企業只要向歐盟市場提供商品服務,收集或處理個人數據,都受到管轄。無疑,這對從事數據收集和處理的企業及其產業鏈,都提出了極高的要求。
GDPR規定,不管是數據管理者(data controller)還是數據處理者(data processor),都必須以合法、公平、透明的方式收集和處理信息,必須用通俗的語言向用戶解釋收集數據的方式,並有義務採取措施刪除或糾正有誤的個人數據。
GDPR也規定了企業間數據交流的方式:允許歐盟企業在集團內部進行數據交流,但若要向歐盟以外傳輸數據,則需要滿足一定條件,例如,該地需屬於歐盟委員會認定“具有適當數據保護水平”的地區。而一旦出現不合規的現象,數據供應鏈自上而下的各方都會被問責。
在歐洲,數據隱私向來都是一項重要議題。關於數據保護的討論早在上世紀中期便已開始,立法實踐則可追溯到1970年的德國,當時的黑森州頒佈了世界上第一部專門針對個人數據保護的法律。
到1995年,歐盟發佈了《歐盟數據保護指令》(簡稱“95指令”)這是第一部面向全歐盟的數據保護法律,一直沿用至今。2018年5月25日之後,“95指令”將被GDPR取代。
進入2000年以後,科技的高速發展不斷帶來數字侵權的新案例,“稜鏡門”等也引發了政府監控的新擔憂。
當今的社會是“平臺社會”,用戶和數據不斷向Google、Facebook這類的大平臺聚集,除了給平臺帶來巨大的商業利益,也賦予了它們越來越不受約束的權力。
在這一輪數字化的洗牌之後,權力結構完成重組,是時候進入對“平臺社會”的管控階段了。為了追趕這一趨勢,歐洲議會在2012年1月提出要改革歐盟數據保護法規,於2016年4月通過了GDPR,並給予了兩年的過渡期,至2018年5月。
如何協調技術發展與GDPR 成未來法案關鍵點
如何協調技術發展與GDPR法案,將是未來該法案的一個關鍵點,比如區塊鏈就與GDPR有所衝突。
雖然GDPR有意要避免技術侷限性,但它仍是建立在個人數據會被存儲在傳統中心化實體的假設之上,可以由人輕鬆地在GDPR框架下統一管理。但在區塊鏈的語境下,全球性的分佈式網絡如何能夠實現與GDPR標準的對接,還需要更多探索。
其中一種可行的方案是,探索個人數據的鏈下存儲方式。這種分裂式的數據結構允許區塊鏈引用個人信息,但沒有獲得權限時不能訪問存儲在鏈下數據庫中的個人信息。通過雙重數據處理結構,使其中一筆交易的合約部分通過鏈上的智能合約來執行,而實際數據的傳輸則發生在鏈下。
GDPR框架的提出,也衍生出了一系列必須思考的議題。比如,如何確認鏈下數據庫的合規管理?鏈下訪問的個人數據如何能輕鬆地服務於鏈上交易?如何確保區塊鏈數字身份的每個節點都符合GDPR的隱私標準?這些區塊鏈數字身份項目在未來需要解決的艱鉅任務。
除了區塊鏈,通過限制數據流動和增加法律風險,GDPR或許還將給人工智能行業帶來一股冷風。《金融時報》歐洲編輯約翰•桑希爾曾指出,如果說數據是算法需要的大量燃料,那麼歐洲也許正在配給供應其最寶貴的大宗商品,幾乎完全不受隱私憂慮桎梏的中國人工智能企業,在利用海量數據方面將具有原始競爭力。
數據共享的核心其實是信任,嚴格的法律保護能夠建立足夠的社會信心,使得數據可以在企業層面流動,才有空間產生新產品和新產業,這是一整個良性循環的生態系統。在歐洲,總體的信任程度比中國要強,數據共享也因此能夠走在前面。
另外,GDPR的執行也是一項難點。歐盟在制定法條時沒有把中小企業的合規成本考慮進去,這將讓它們在競爭中處於更加弱勢的位置。合規本身構成進入障礙,有強化老牌企業、遏制中小企業之嫌,這是GDPR被人批評的另一個方面。
同時,法案能在歐盟域外生效的特性也招致了域外執法是否可能的質疑。原則上,歐盟法對於域外的主體仍有約束力,可以開出罰單,但要如何執行仍然存疑。
GDPR邁出了數據向用戶賦能的重要一步,尤其是它要求所有公司允許用戶下載甚至刪除數據、或者把數據遷移到其他平臺。未來數字身份的發展方向將是在合規的法律框架下,確保必要的調控和新技術可以和諧共存。
閱讀更多 科技雲報道 的文章
