人們常說“互聯網無隱私”,其實並非沒有隱私,只是缺乏保護。2018年5月25日,被稱為“史上最嚴”的歐盟《通用數據保護條例》(GDPR)生效。這一條例被廣泛認為是目前全球主要經濟體中,對數據信息保護管轄範圍最寬、立法新意最多、處罰最為嚴厲的法律。中歐法律界人士指出,該條例不僅可能直接影響我國企業,具體規定和立法理念等也對包括我國在內的世界其他經濟體有借鑑意義。
讓法律扮演公民隱私“衛道者”
互聯網時代,如果沒有法律作為隱私的“衛道者”,侵犯隱私的下限就會不斷被擊穿。
GDPR最引人注目的,無疑是它對違法行為處以高額罰款。條例規定,對違反個人信息收集和使用的基本原則,以及沒有保障數據主體權利的企業,最高可處以2000萬歐元或全球營業額的4%(以較高者為準)作為罰款。
除了可能開出的“天價罰單”之外,直接使得GDPR在歐盟之外產生影響力的,是它採取的域外管轄原則。該條例不僅適用於歐盟域內的機構、企業,也適用於歐盟域外的組織、個人。正如法律界人士反覆提醒的那樣,歐盟之外的企業需要切記,即使是在歐盟之內沒有分公司、代表處,沒有僱員或“硬件”設施,但只要跟歐盟境內的數據“沾邊”,都有可能受到GDPR“長臂”的影響。
此外,GDPR明確定義了“被遺忘權”“可攜帶權”等頗為新鮮的概念。根據條例,用戶可在很多情況下隨時要求掌握其數據的企業刪除其個人數據、避免其個人數據被傳播。“可攜帶權”賦予用戶向掌握其數據的企業索取本人數據的權利,並且是以結構化、通用、可機讀的方式進行接收,這意味著用戶理論上將能夠像管理金融資產一樣對自身數據進行“搬家”。
不過,不同規模和種類的企業在GDPR下的合規負擔並不相同。荷蘭海牙世赫律師事務所首席合夥人布里奇特·斯皮爾勒說,儘管所有公司都必須遵守GDPR,但GDPR的一些要求並不適用於僱員少於250人的中小企業。如果與歐盟公民的個人數據處理活動無關或數據處理不是公司的業務活動或核心業務活動,則不會面臨某些特定種類的風險。
考慮到GDPR的要求繁多且複雜,數據的收集、處理各個環節往往會涉及企業內部的法務、安全、IT、運營、市場、人力資源等多個部門,所以合規不應只被視為是企業內個別部門(例如法務)的事情。斯皮爾勒說,很多中國公司和歐洲公司都把重點放在業務上,但公司決策者一定要了解GDPR要求下數據處理的相關法律法規和技術過程。
中國企業應加快進行合規認證
GDPR生效當天,一些中國企業提供的互聯網產品就對用戶協議、隱私政策等進行“彈窗”提示,以取得歐洲用戶的授權同意。
但在對這部法規的認識方面,不同企業間有較大差距。據金杜律師事務所合夥人吳涵介紹,一些國內大型互聯網或物聯網公司,早在2016年4月GDPR正式文本被公佈時,就非常重視其寬泛的適用範圍和極其嚴厲的罰則,認為極可能會對企業在歐洲市場的經營帶來影響。這些中國企業持續密切關注條例落地與執法進程,非常積極地應對GDPR所帶來的影響,不斷更新隱私政策,發佈新的產品版本,進行數據合規認證。
與此同時,仍有一些中國企業未進行合規認證。這些企業雖然也意識到鉅額罰款的壓力,但考慮到合規成本,仍持觀望態度,傾向於在被調查或罰款之後再採取措施。“其中不乏主要業務集中於歐洲市場且有較高市場佔有率的企業。這些企業在激烈市場競爭和GDPR對跨國企業格外關注的環境下,容易成為‘出頭鳥’,面臨較高的處罰風險。”吳涵說。
北京市中倫(上海)律師事務所合夥人周洋表示,相關領域一些需處理大量數據的大型中國企業,現在才開始著手GDPR合規工作,應該說在反應速度等方面存在不足。
不過,在歐盟執業經歷豐富的布里奇特·斯皮爾勒說,即使在歐洲,大多數公司對GDPR的瞭解也並不充分。舉例而言,根據GDPR,用戶有權要求公司刪除他的個人資料(即被遺忘權),但有的歐洲公司要求,如果用戶希望公司刪除其資料,需要提供本人護照的複印件。顯然,護照複印件並不是用戶刪除個人數據所必須提交的資料。
釐清數據保護與產業發展邊界
GDPR和我國現行數據保護制度有一些共性,比如在對個人信息處理的基本原則上,都強調數據主體知情同意,以及強調對個人信息主體權利的保障。
從立法角度看,GDPR對包括我國在內的世界其他國家和地區有借鑑意義。周洋認為,GDPR效力層級高,執法機構統一明瞭,內容全面詳盡、可操作性強。相比之下,我國個人信息保護的法律規定則比較分散,可操作性有待提高,執法機構也比較分散,缺乏統一協調。
除了技術層面可資借鑑,歐盟多年來對個人信息保護的執著理念同樣帶來啟示。事實上,GDPR的出爐帶來的並非只有歡呼和掌聲。質疑者認為,GDPR設立的較高門檻,無形中製造了市場障礙,會對創新產生抑制效應。儘管GDPR在制定過程中受到互聯網業界尤其是美國互聯網巨頭的反對,但歐盟始終沒有作出多少讓步。
GDPR的目的,是從人的角度出發保護個人數據權利。在互聯網技術快速發展的同時,電信詐騙、黑色數據產業鏈、濫用個人信息等現象越發猖獗。《中國網民權益保護調查報告2017》顯示,我國57%的網民認為個人信息洩露嚴重,76%的網民親身感受過個人信息洩露帶來的不良影響。此前,美國社交網絡公司Facebook被曝有超過5000萬名用戶資料被用來非法發送政治廣告,這一大型數據洩露事件引起全球震驚。
周洋認為,歐盟在保護個人隱私上表現出來的堅定堅決,為我國處理上述問題提供了價值參考,那些為了降低企業合規成本而削弱個人信息保護的做法是本末倒置。這是GDPR給我們帶來的深層次啟示。
校對 丨 劉曉晗
主編 丨 王 鐔
審核 丨 阮 瑩
民主與法制社是由中國法學會主管的中央級新聞事業單位,擁有《民主與法制》雜誌、《民主與法制時報》、民主與法制網、民主與法制移動新聞客戶端等權威法制媒體。
微信號:minzhuyufazhishe
投稿郵箱:[email protected]
長按識別 二維碼
閱讀更多 民主與法制社 的文章
