专家 | 付晓雨:欧盟在数据保护和创新发展之间寻求平衡
点击上方“网络空间治理创新”可以订阅哦
“作为欧洲公民就意味着其个人信息会受到完善的欧洲法律保护。因为在欧洲,隐私是非常重要的议题。这是一个事关人格尊严的问题。”——让-克洛德·容克(Jean-Claude Juncker),欧盟委员会主席2016国情咨文演说。
容克主席在国情咨文上的讲话反映了欧盟对隐私保护的重视程度。事实上,欧盟对个人隐私和数据保护的的重视很大程度上受到历史经验的影响。第二次世界大战中纳粹德国对欧洲个人信息的滥用为欧洲大陆带来了长久的阴影,并且持续提醒着欧洲公民隐私的敏感性。
随着科技的进步,欧洲人民感觉他们失去了对个人信息的控制权。在大数据时代,每个人都通过各种各样的设备将自己的信息上传至互联网。无论是智能终端、智能交通,可穿戴设备,还是遍布城市的各种仪器,都记录下人们的活动、社交、健康等信息。这使得欧盟在保护个人隐私方面面临更为严峻的挑战。根据最新的统计,目前超过百分之八十的欧洲人认为他们无法完全控制他们的个人数据如何被使用。[1]
在这种背景下,欧盟起草迄今为止世界上最严格的个人数据保护法规——《通用数据保护条例》(《条例》)就不足为奇了。《条例》替代了现行的1995年版《个人数据保护指令》(《指令》。不同于《指令》被用于指导各个国家单独立法,《条例》旨在在欧盟层面上为所有欧盟成员国提供一致的数据保护法。更重要的是,《条例》在信息技术快速发展的21世纪更新、协调了各国的法律。这将带来重大的变革,并且为数据隐私提供更广泛的保护,包括:
🔹 加强数据主体的权利:反对权和被遗忘权 (数据所有者即用户可以要求相关企业无条件删除或者撤回相关个人数据);
🔹 授权:数据对于个人信息的处理必须有“具体和清晰的授权”。但是在特定情况下可以不需要此类授权,最主要的一种情况是处理数据时具有“合法利益”;
🔹 数据泄露报告:数据控制者需要在发现数据泄露之后72个小时内通知监管机构;
🔹 责任义务:数据处理者需要实施适当的隐私管理政策和完善的安全措施,并在特定情况下任命数据保护官;
🔹 数据画像:《条例》增强了对数据主体的保护,防止自动决策(数据画像)对数据主体产生负面影响;
🔹 巨额惩罚:如严重违反《条例》规定,罚款上限是两千万欧元或者是高达违法机构全球年收入4%的巨额罚款(两者取最大者)。
《条例》的一大特点是其全球适用性。《条例》不仅限于欧洲,还适用于所有为欧盟居民提供商品服务的或监测欧盟居民行为的欧盟境外的数据处理者。这对在国际上提供服务的跨国公司有广泛的约束,其中也包括服务于欧洲客户的中国公司。也就是说,当中国企业在欧盟境外向欧盟居民提供产品和服务时如涉及到欧盟公民个人信息的操作,也需要严格遵从《条例》的要求。
欧盟国家间法律的进一步相互协调和对数据保护规定的一致性可能会为企业带来利好并刺激经济增长。但是,过于严厉地解读《条例》中的要求可能会造成价值稀释和成本上升。《条例》对公司最直接的影响是,公司必须按照新法律的要求设立数据保护官并对其全球数据流程进行标准化处理改造。
《条例》已于2016年5月颁布,并将于2018年5月正式生效。对于很多企业来说,要想合规就需要进行组织上的调整并对技术和业务流程做出改变,因此2年的过渡准备期时间并不很充裕。而根据全球个人征信机构Experian 的一项最新调查显示,只有6.5%的公司目前已经准备好做出变更[2]。
《条例》的适用范围
识别“自然人”的有关信息
虽然个人数据的范围被广泛定义为所有与定义或识别自然人相关的信息,包括个人数据(如姓名或地址)和敏感数据(如宗教、政治观点、生物数据等),但《条例》仅涵盖个人信息。例如,“理查德·李去国家剧院观看图兰朵”这句话是个人数据。“理查德·李”显示人物名称,“去国家剧院”显示人物所在地,“观看图兰朵”显示人物习惯和文化偏好。因为这些信息都可以用于识别自然人,所以整个句子都被认为是受到《条例》保护的个人数据。但是法律实体(法人实体)相关的信息并不在《条例》的适用范围之内。
个人数据或因“合法权益”被保存和转移
在特定情况下,《条例》保护范围内的个人权利会充分考虑负责数据收集和处理的个人或机构(“数据控制者”)的合法权益。《条例》中提到的具体例子包括保证信息安全和欺诈防控。比如,某个人向银行借贷后停止还款并且失联。银行可能会将其个人信息披露给第三方的收债员以取回银行资金,这就属于银行的“合法权益”。
数据的跨境流通
《条例》并不阻止个人数据跨境流动。根据《条例》,个人数据可以通过以下方式转移出欧盟:
🔹 授权:只要被提前告知数据转移可能造成的风险,数据主体就可以授权数据的跨境转移;
🔹 充分性决定:接收数据的目标国家须是欧盟认可国家。欧盟根据各国在个人信息保护立法和执法等因素制定了一个“信息保护充分国家名单”(Adequate Level of Protection White List)。数据可以跨境转移到名单上的国家如加拿大、瑞士和新西兰等被欧盟认证过其充分性的国家。欧盟近日与美签订“隐私盾”协议同意将个人信息跨境转移到美国;
🔹 模式条款:采用标准合同条款达成实体之间的协议,以确保离开欧盟的个人信息同样以《条例》的规定进行处理;
🔹 具有约束性的公司规则(Binding Corporate Rules):有约束的公司规则被《条例》明确承认。只要商业机构具有合格的数据保护标准,欧盟数据保护机构可以授权其处理欧盟的个人数据。这是业务遍布全球不同市场的跨国公司经常采用的一种方式;
🔹 其他方式:公共利益和上面提到的合法权益。
《条例》并未要求所有的数据都保存在欧盟,但是欧盟成员国可以设立自己的数据本地化要求。欧盟通信网络内容与技术总司和欧盟司法总司近日正在联合推动欧盟内部《数据自由流通计划》的出台,用以消除成员国之间数据本地化的限制。因为欧盟认为数据本地化限制了数据经济的发展,影响了欧洲工业的竞争力。
权利之间的平衡
由于《条例》里对个人数据保护的严格要求,欧盟在四年的立法过程中收到了互联网以及IT企业的海量意见。欧盟以及一些国际行业组织一方面承认欧盟加强对个人数据隐私保护的重要性,另一方面也表达了对《条例》的担忧,担心其中过于严厉的要求将会对欧洲经济增长、就业、创新、投资以及国家安全带来负面影响。欧盟委员会表示《条例》将在保障个人基本权利的同时为企业提供灵活性。但是《条例》中对企业收集、分析和管理用户信息的严格限定将对企业创新空间产生约束。综上所述,欧盟该如何平衡公民数据保护和促进产业创新发展之间的矛盾,一方面要充分抓住大数据和云计算时代所带来的机遇,另外一方面要保证个人信息隐私和数据安全,这很大程度取决于欧盟在执行《条例》时的实际把控和掌握了。
注释
[1]http://ec.europa.eu/justice/data-protection/document/factsheets_2016/data-protection-factsheet_01a_en.pdf
[2]https://www.edq.com/globalassets/uk/papers/data-iq-general-data-protection-regulatons-report-experian-interactive.pdf
编辑 | 叶雪枫
付晓雨
安可顾问政府事务总监,比利时鲁汶大学欧洲研究硕士,专攻欧洲一体化以及欧洲共同市场相关政策和法规。