关于GDPR的几点思考

合作共赢2020年5月26日


引言

两年前的5月25日,作为世界数据保护立法标杆的GDPR(《通用数据保护条例》)生效了!为了纪念这一“数据法时刻”,数据法盟联合中兴通讯联合发起了“525数据合规年会(2020)”,年会发布的行业成果也会陆续向数据法的同仁推送,敬请期待!今天,数据君先结集何渊老师关于GDPR的几篇大作,以飨读者!

第一篇|何渊:最严数据保护法GDPR的中国治理启示

由于人工智能时代的不确定性和变动性,我国应当构建一种试验主义的治理模式,建立的是临时性的数据保护框架,并且根据不同环境下执行效果的递归评估而不断对这些框架进行深化并修正,等到时机成熟和经验丰富,再最终上升为法律。

2018年5月25日,全球第一部以正式法典形式出现的欧盟《一般数据保护条例》(简称GDPR)将正式生效。GDPR采取了“长臂”管辖原则,只要中国的企业为欧盟境内的数据主体提供了服务,即使其在欧盟境内没有设立任何分支机构,也依然受到GDPR的管辖。由此,GDPR与中国的关系不再是“事不关己”,而是息息相关。与欧盟业务相关的中国企业必须认真学习GDPR的基本精神与内核,尽快在企业内部完善相应的数据保护合规制度建设,以一种积极主动的态度迎接这部堪称世界史上最严格的数据保护法律。

GDPR之所以被称为“史上最严”,主要体现在两方面:一方面,GDPR赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由,同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务,以及履行对监管部门及数据保护认证组织的法定义务。另一方面,GDPR设定了天价的罚款,起步就是1000万欧元或企业上一财年全球营业总额2%,并以较高者为准。

无论是对数据违法行为及严重后果的认定,还是最终罚款额度的确定,欧盟成员国的监管机关都具有很大的自由裁量权。GDPR试图以这种近似严酷的监管手段来倒逼数据经济企业建立完善的数据合规制度,以实现对自然人数据权益的保护。

同时,GDPR在强化自然人基本数据权利的同时提供了统一的数据规则,在某种意义上也简化了跨国企业的合规程序,提升了跨国企业在数据经济中的创新能力和竞争力。欧盟的立法经验毫无疑问值得中国借鉴,其启示如下:

其一,单一的数据保护立法有利于统一市场的建设。差异化和不协调的数据保护方案和执法机制不仅影响到公民基本数据权利的保护效果,也会阻碍数据的自由流通和再利用。同时,还会让数据经济企业在开拓市场时面临着很大的法律不确定性,无形之中增加了企业的守法成本和合规风险。

其二,从保护基本权利的角度规范数据控制者的数据处理行为,这是各国普遍性接受的世界性规则。由于大数据的爆炸性增长和云计算能力的指数级进步,人人都变成了“透明人”,并深陷于一个巨大的“黑箱社会”之中。由此,旨在防范他人或公权力打扰生活安宁的“隐私”概念在人工智能时代面临着迭代更替,实现从个人隐私到个人数据的转变显得非常必要,强调数据主体有效控制权的“个人数据”概念应运而生。

其三,强调公法救济机制的重要性。GDPR强制性要求欧盟各成员国建立独立的数据监管机构以及数据主体向监管机构投诉、受理及处理的一整套完备的行政救济制度框架。对于人工智能时代的数据权利保护,GDPR并非通过私法权利体系及个人的司法救济来实现。

其四,“软法和硬法”的结合以及监管部门与平台企业的“合作治理”是欧盟的未来发展方向。从《数据保护指令》到《统一数据保护条例》,欧盟事实上一直致力于建立“行业行为准则+法律强制性规范”的双重规范体系和“数据控制者自律+政府数据监管机构的监督管理”的双重管理体系。

其五,GDPR注重“个人数据权利保护”与“个人数据自由流通”之间的平衡,特别强调个人数据的自由流通不得因为在个人数据处理过程中保护自然人权利而被限制或禁止。而根据最近公布的《欧盟企业间数据共享报告》显示,严格的数据权利保护制度并没有实质性影响欧盟境内的规模化和商业化数据共享,而欧盟精英阶层也并没有把“个人数据权利保护”定性为绝对的“政治正确”,而是采取柔性策略平衡数据共享中的价值冲突。

欧盟最新的一份人工智能报告将中国数据模式总结为:相比于欧盟和美国,在中国收集数据相对容易,其发展人工智能项目的成本较低而发展速度更快。该报告进一步认为,这种模式从长远看并不可行,因为成功的科技发展应该给予个人更大的权利和自由。在笔者看来,欧盟对中国数据模式的总结带有极大的偏见,当然也有失偏颇。中国数据模式与欧盟和美国并没有本质区别,而只是发展阶段和实现机制有所不同。

事实上,中国的相关数据立法也是建构在个人数据权利和自由的基础上,而突出数据公共利益也正是新时代社会主义立法的特色和优势之所在。我国宪法本身特别重视对公民人格权的保护,而隐私主要是被放在民法总则中的名誉权范畴中加以保护,主要指的是个人的生活信息;全国人大早在2003年就提出了制定“个人数据保护法”,并一直在为此努力;2009年刑法修正案增设了“侵犯公民个人信息罪”,2013年的消费者权益保护法增加了对消费者个人信息保护的内容;2016年的网络安全法更是明确了数据控制者和处理者的法定义务,以保障网络安全及保护数据主体的合法权益;2016年的最高检和最高法联合出台的《关于侵犯公民个人信息刑事案件解释》也明确解释或细化规定了“个人信息”“违反国家有关规定”“提供公民个人信息”及“情节严重”等不确定概念;2017年的推荐性国家标准《个人信息安全规范》更是从信息权利保护的角度全面规定了个人信息的收集、保存、使用以及委托处理、共享、转让及公开披露等内容。由此,与欧盟相比,中国数据治理模式同样注重个人数据权益的保护,也强调以大数据和算法为基础的人工智能是否能给全体人民带来福祉。中国的理想图景如下:

未来的中国数据治理应当首倡试验主义治理模式,这是数据监管领域的“摸着石头过河”。由于人工智能时代的不确定性和变动性,我国应当构建一种试验主义的治理模式,建立的是临时性的数据保护框架,并且根据不同环境下执行效果的递归评估而不断对这些框架进行深化并修正,等到时机成熟和经验丰富,再最终上升为法律。事实上,这也是我国为何迟迟不出台强制性的硬法——个人信息保护法,而仅仅制定软法性质的指导性国家标准《个人信息安全规范》的主要原因之一。

未来的中国数据治理,强调数据权利等个人利益与数据流通、共享及利用等公共利益的平衡,是一个以多元、开放、分享为基本特征的整体性体系,市场、社会及国家这三种治理机制循环往复,同时还包括国家内部的立法与行政、中央与地方之间的双向自循环系统,共同形成一个整体的四重双向治理生态。

第二篇|何渊:为何CC PA比GDPR更适合供中国正在进行中的数据立法借鉴?!

当前,欧盟和美国正在试图打造独立的数据王国:如果说欧盟是以“数据基本权利”为基础的模式,集中体现在GDPR(《通用数据保护条例》);那么美国就是以“自由式市场+强监管”为基础的模式,集中体现在CC PA(《加州消费者隐私法案》)。从表面上看,美国和欧盟的两种模式互不兼容,甚至背道而驰,但事实上却是殊途同归,都在寻求“数据权利保护和数据自由流通的平衡”:无非欧盟模式偏向“数据权利保护”一方,意在打造公民的数据基本权利;而美国模式却偏向“数据自由流通”一方,意在数字经济的发展。

而对于正在进行中的中国数据立法来说,应当向左走靠近欧盟模式,还是向右走投向美国模式,抑或径直走向中国特色的独有道路?这个问题非常关键,值得我们认真思考。

一、GDPR是史上最严的数据法律

GDPR被称为人类史上最严格的数据隐私法律,这主要体现在两方面:

一方面,GDPR赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由,同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务,以及履行对监管部门及数据保护认证组织的法定义务。

另一方面,GDPR设定了天价的罚款,起步最高额度就是1000万欧元或企业上一财年全球营业总额2%,并以较高者为准。

二、GDPR必将对中国的数据立法产生重要的影响

毫无疑问的是,GDPR作为具有全球影响力的数据立法新范式和标杆,不仅形塑了中国、日本、新加坡、澳大利亚等亚太国家的《个人信息保护法》或《隐私法》的制定和修改,而且还深刻影响了美国的CC PA的出台,甚至影响后续的美国联邦的统一数据立法的进程。

我认为,由于统一的数据法典更加适合大陆法系传统的中国,再加上“数据权利主义”也比较符合社会主义的“政治正确”,GDPR必将对中国正在制定中的《个人信息保护法》和《数据安全法》产生非常重大的影响。

而为中国数据立法积累经验的国家标准《个人信息安全规范》更是全盘借鉴了GDPR的精髓,从个人信息的定义、信息主体及信息控制者等法律关系主体的设置、同意机制、个人信息处理的基本原则等与GDPR如出一辙,收集、保存、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求也与GDPR的规定基本一致。

三、GDPR不符合中国数据立法的目的和整体利益

欧盟GDPR的出现最起码有以下几个原因:

一是,历史原因。由于希特勒德国通过个人信息的收集实施对犹太人的全面迫害,这让欧洲人民心有余悸,对隐私权利格外珍惜,并将其上升为宪法上的基本权利,即信息自决权;

二是,作为通用数据立法的GDPR是统一欧盟数字市场的最佳工具;

三是,通过输出严格的数据保护规则,以便在与美国和中国的贸易谈判中占据法律优势和道德制高点。比如欧盟和美国之间先后形成了“避风港”原则和“隐私盾”原则。

四是,GDPR制定严格的个人数据保护规则也与欧盟缺少世界领先(前20强没有一席)的互联网公司也有关系。

上述原因在中国基本都不存在或不成立,也并不符合中国的整体利益,更不适合中国数字经济的长远发展,因此GDPR不应当成为中国数据立法的借鉴对象。

四、CC PA才是中国数据立法的借鉴对象

在我看来,与以“数据基本权利”为基础的欧盟GDPR相比,CC PA模式更值得中国未来的数据立法借鉴和参考。理由阐述如下:

其一,美国CC PA模式更加强调“数据的自由流动”和“数字经济的发展”,这显然更加符合中国的整体利益和长远利益。根据腾讯孙海鸣老师的已有研究《GDPR VS CC PA:欧美这两部个人数据保护法规有什么差异?》(点击阅读),我对CC PA与GDPR的区别主要做如下整理:

1)个人数据的范围界。GDPR采取抽象概念定义模式,而CC PA结合抽象定义与不完全列举两种方式,一方面通过抽象定义对个人信息的管辖范围划定边界,另一方面通过具体列举为企业提供了相对明确的判定指引,以试图一定程度上避免交易双方对“个人数据”范围达不成一致的情况,也可以针对诸如面部识别、声纹识别、虹膜识别等新技术领域出现的存在标识属性的个人信息进行更加明确的界定。

2)管辖权原则:GDPR规定复杂覆盖面广,CC PA规定简练聚焦重点。GDPR的管辖较广泛,管辖逻辑复杂,只要与欧盟、欧盟居民、向欧盟输出产品服务或监控欧盟个人等因素相关,即大概率落入GDPR管辖范围。

相反,CC PA管辖逻辑简明,聚焦于管辖“以营利目的处理个人信息的企业”,为被管辖实体设置了“年收入金额门槛”和“消费者、家庭和设备数量门槛”,注重对于风险影响程度和范围较大的实体进行管辖,执法的针对性就更强。

3)数据跨境传输管控:GDPR环环相扣严格限制,CC PA无明确规定。GDPR环环相扣严格限制,设置五道“关口”:充分性认定白名单;是否提供适当协议、行为准则为跨境传输提供保障;集团内部规则(B CR)并被监管机构批准;通过“必要性测试”和“偶然性判定”等。

而CC PA对于跨境传输管控的态度则是留白与放任。因为美国的互联网乃至整个信息产业领先于全球,因而从价值取向上更加鼓励数据的跨境流动,跨境流动越自由,美方在数据资产控制和利用方面就越主动。

4)儿童个人信息处理的差异。GDPR倾向于默认13到16周岁儿童对个人信息的处理行为不具备完全认知能力,因而需要监护人的授权,企业方能处理其个人信息。而CC PA倾向默认为13到16周岁的儿童具备一定的行为能力,即其作为消费者有权授权他人处理自己的个人数据。

5)数据处理原则的差异。GDPR规定个人数据的处理“原则上禁止,有合法授权时允许,且个人有权反对或撤回授权”;而CC PA则是“原则上允许,有条件禁止”。GDPR是基于监管者的立场,以保护基本人权为出发点,强调有关责任主体主动规范数据处理的行为;而CC PA更偏向于消费者的立场,侧重规范数据的商业化利用。

6)对“被遗忘权”的态度。GDPR关于被遗忘权的规定采取“以被遗忘为原则,以不遗忘为例外”,例外主要有:为了行使言论和信息自由权,遵守法律义务,在公共健康领域执行有公共利益的任务或行使控制者被授予的官方权力,为公共利益、科学或者历史研究目的、数据统计目的,或者为了法律辩护需要时。

相比GDPR,CC PA为数据主体“被遗忘权”的行使设置了更多障碍,想要突破这些障碍的门槛较高(如:需确保“数据主体的基本权利和自由与控制者的合法利益不相冲突”,这就要求企业要开展“利益平衡测试”来证明两种利益不互相冲突)。这也体现了CC PA促进数据自由流动和便捷交易的价值取向。

其二,美国对隐私权利的保护事实上是很严格的。

在这里,我必须强调一点,我并不认为,对个人数据权利的忽视或剥夺会导致数字经济的发展。如果这个逻辑能成立的话,最大的互联网公司应该会在非洲或南极州出现,印度也应该拥有比facebook更大的数据公司,这显然不是现实。相反,我认为,对数据权利的保护有利于数字经济的发展,只是要注意数据权利保护与数据流通的平衡,不可偏颇。

事实上,美国对个人数据及数据权利的保护,并不像我们想象中的那么宽松。美国在联邦层面的确没有统一立法,但却有行业领域的严格立法,如在金融领域有FCRA,在健康医疗领域有HIPPA,在消费领域有VPPA,在儿童隐私领域有COPPA,在教育领域有FERPA,在政府数据开放领域有FIA,在数据跨境领域有CLOUD ACT等等。

五、小结

当前,中国、美国和欧盟正在试图打造独立的数据王国:如果说欧盟是以“数据基本权利”为基础的模式,那么美国就是以“自由式市场+强监管”为基础的模式,而中国模式则是以“安全风险防范为主兼顾数字经济发展”的模式。

我认为,与以“数据基本权利”为基础的欧盟GDPR相比,我个人更加推崇以“促进数据自由流动和便捷交易为价值取向”的美国CC PA模式,这更值得中国未来的数据立法借鉴和参考。

“安全风险防范为主兼顾数字经济发展”的中国数据立法模式与GDPR并不兼容,“数据隐私保护和数字经济发展的平衡”才是中国数据立法应当遵守的主要指导原则。

第三篇|国际金融报对何渊的专访:GDPR或成美欧谈判重要筹码

实施效果不佳

如果问一个欧洲人“GDPR是什么”,他不一定能回答上来。

但如果提到“弹出式隐私声明”,他一定知道。因为网络上到处都是“已更新隐私政策”的通知,而用户们似乎也只是盲目地点击“同意”,并没有真正了解如何正确地使用GDPR保护自己。

据CNB C的报道,一些法律人士已经指出,这种同意模式不仅会导致人们“同意疲劳”,还会让用户产生一种减轻保护隐私责任的错觉。

除了“同意疲劳”,GDPR还存在与企业产生利益冲突的问题。根据GDPR规定,有250名或以上员工在处理敏感数据或犯罪记录的企业,必须指定“数据保护官”(DPO)。

作为一个“外来者”,DPO的职责是保护用户数据,而不负责企业的盈利。再加上这种合规费用对企业来说也是一笔不小的支出,所以在GDPR的重压之下,互联网公司日子并不好过。

在监管方面,欧盟也存在“人手短缺”和“罚款不足”的现象。

根据GDPR规定,企业需在发现隐私违规事件后的72小时内,向监管部门和受影响的个人作出报告,这比以往规定的报告时间要严格不少。不仅企业恐慌,监管部门也是“手忙脚乱”。

去年,英国的监管机构就体验了这种被报告淹没的感觉。英国委员会办公室(U.K.commission office)称,“你们是在提交报告,而我们淹死在报告里”。欧盟的监管机构也发现,媒体上有关GDPR的谣言、误解和恐慌越来越多,工作人员根本处理不过来。

不仅如此,在罚款上,欧盟也显得有些“心慈手软”。根据GDPR规定,对于最严重的隐私违规行为,欧盟监管机构可获取该违规企业全球年收入的4%作为罚款,或直接处以2000万欧元的罚款(约合2239万美元),以较高者为准。

到目前为止,罚款数额较大的仅有两个案例:一个是Facebook与剑桥分析公司涉及滥用客户个人信息研究美国总统选举,被罚款64.5万美元;另一个是今年1月,谷歌因使用用户数据进行广告定位遭到了5700万美元罚款,但该金额远低于GDPR的最高罚款限额。对谷歌来说,若罚该公司全球收入的4%,那将超过40亿美元。

数据保护不可绝对化

虽然欧盟隐私立法的精神值得肯定,但GDPR执行效果不佳的背后也存在更深层次的原因。

《国际金融报》记者采访了上海交通大学数据法律研究中心执行主任何渊,他专精于数据隐私法、网络安全法和国家安全法等领域的研究。

在何渊看来,GDPR问题的关键在于没有处理好“数据保护”与“数据流通”的关系,欧盟现在采取被动的“同意模式”,导致很多企业的数据基本无法共享。

“目前欧盟采取这种绝对化的方式,基本上限制了用户所有数据的流通,不仅用户不了解如何正确使用自己的权力,对企业来说,处理这种合规的成本也是极高的。”何渊说。

在被问到应如何改进时,何渊表示,“首先,应当赋予数据主体,即用户更多的‘选择权’而非‘控制权’,如果享有‘自由选择权’,用户就可以将数据卖给第三方加以利用,这种商业化也有利于科技公司的发展。另外,欧盟还应区别对待‘个人信息’与‘个人隐私’。涉及个人隐私的信息只是一小部分,大部分信息还是可以被利用的,而欧盟限制了企业对所有数据的利用显然是过于绝对的。”

在区块链技术下,这一难题可能会得到解决。何渊指出,“正如扎克伯格所提及的,未来可能实现两个人在社交软件上谈话,只有双方和监管部门能看到个人信息,企业无法看到,但其仍然可以在不涉及隐私的情况下对这些数据进行处理和利用,实现其商业价值,而这项技术也已经处于研究之中。”

对于GDPR的罚款不到位和监管机构人员不足的问题,何渊表示,“其实这种隐私侵权案取证的时间是比较长的,所以也需要一个慢慢调试的过程。另外,由于欧盟不是一个统一的国家,它对区域内各国的政策推行很难进行得十分到位。虽然各国有自己的监管机构,但据我所知,欧盟监管机构在这方面的工作人员也仅有四五十人。”

在何渊看来,其实这一问题的根本原因也可以追根于欧盟限制“数据流通”的绝对化。他告诉记者,“目前欧盟直接限制了数据的流通与共享,这仍然是一个误区。如果采取‘事先告知、事后追责、罚以重金’的方式,对美国企业来说可能更加有效,这样也不会过分影响商业的活力。”

欧酝酿“最严监管范本”

事实上,欧盟也意识到了自己在GDPR上存在的问题,并推出了《欧盟企业间数据共享报告》《非个人数据自由流动框架条例》等后续指令作为改进。

但在何渊看来,欧盟其实不会对GDPR作出实质性的改变,因为目前GDPR存在的问题在根本上还是由其最初“定位”造成的。

“除保护公民的隐私权外,欧盟还想将GDPR打造成一个‘最严监管范本’以增加其在对美贸易谈判中的筹码。从这一层面上讲,GDPR就不仅是一个条例了,它也是区域间经济竞争的一个‘重要抓手’。”何渊对记者说。

《经济学人》杂志指出,在全球市值最高的20家科技公司中美国占15家,而欧洲仅有1家。何渊认为,“正是由于美国有Facebook、谷歌等众多互联网公司,而欧洲缺乏这类科技巨头,所以打造‘最严监管范本’对欧洲本地数字经济的威胁和影响并不大,欧盟正是利用了这一点。”

而事实上,隐私监管也确实成为了欧盟在与美贸易谈判中的“重要筹码”。何渊告诉记者,“由于欧盟将美国列入了对隐私保护不充分的国家名单中,无论是早期的《避风港》协议还是后来的《隐私盾》协议,都令欧盟在谈判中占据了优势。”

何渊还强调,“正是由于欧盟目前的处境以及GDPR在谈判中的重要地位,其在短期内对GDPR的改进仅限于‘小修小补’,不会有大的变动。”

(作者为数据法盟主理人,上海交大数据法律研究中心执行主任)


0
热门文章
最新文章
0个评论
支付通道大全-公众号支付通道大全-官方唯一指定QQ群-939963332
免责声明
X