我们应该羡慕欧盟国家对个人数据的绝对保护吗?
引言
从全球范围看,欧盟对个人数据采取的保障措施无疑是非常完备且严苛的。2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)正式生效,这部被视为“史上最严”的数据保护法规自其制定伊始便受到广泛关注。GDPR的出台,为全球数据贸易与数据流动带来了广泛而深远的影响。作为欧盟对外输出的数据监管框架工具,GDPR在影响消费者和企业的同时,也成为世界各国在数据保护立法方面学习的范本。
01
GDPR的严苛数据保护
GDPR的严苛首先体现在其规定了数据控制者对个人数据保障不力可能产生的严重后果。根据GDPR第83条和第84条,若未对用户数据采取有效的保护措施,企业可能面临1000 万欧元或者上一年度全球营业收入的 2%的罚款;若自主泄露侵犯用户数据权益,企业则可能被处以最高 2000 万欧元或者企业上一年度全球营业收入的 4%的罚款。此外,在数据处理具体的保障要求上,GDPR还从保障用户同意有效性、记录数据处理过程、设立数据保护影响评估制度以及数据保护官制度等层面严格规范数据处理活动。
此外,GDPR还赋予数据监管机构极为广泛的管辖权。相较于1995年欧盟的《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》,GDPR大幅扩张了欧盟数据保护法律的管辖范围。GDPR的“长臂管辖”突破了既往数据保护法律的领土限制,体现在其对欧盟境内的数据主体利益的普遍保护中,亦即无论数据控制者或处理者的居所地在何处,只要其涉及收集、处理GDPR成员国自然人数据,就会落入GDPR的管辖范围内。具体而言,该法规第3条规定的管辖范围包括两类:一类是在欧盟境内设立机构的数据控制者或数据处理者,无论其处理行为是否发生在欧盟境内;另一类是虽然未在欧盟境内设立实体,但为欧盟境内的数据主体提供商品或服务,或对欧盟境内的数据主体在欧盟境内的行为进行监测。
广泛的管辖范围与高额的行政罚款使GDPR在个人数据保护层面产生了深远的影响。一言以蔽之,在GDPR的严苛保护下,在欧盟运营的跨国公司以及业务涉及欧盟居民数据的企业都空前重视用户个人数据安全和隐私保护,欧盟乃至全世界的公司在数据保护层面的投入都有所加强。因此,从数据主体基本权利保障的层面讲,欧盟此举的确值得羡慕。
02
欧盟数据保护制度是否值得学习
从历史文化的角度上讲,欧洲历来注重公民的个人隐私保护。在欧洲的传统观念中,隐私是人格尊严的重要组成部分,而人格尊严被视为一种基本权利。考虑到个人数据是人的延伸,体现个人意志,因此个人应当对其数据拥有一定程度的自决权。因此,GDPR对个人数据的保护与《欧洲人权公约》第 8 条和《欧洲基本权利宪章》第 7 条所载的隐私权或私人生活权一脉相承。虽然隐私权和数据保护在欧盟并非绝对权利,可能需要与其他欧盟价值观、人权或公共利益等进行平衡,但欧盟对个人数据的重视程度在全球范围来看都十分罕见。对个人数据保护的重视固然重要,但考虑到不同司法辖区的历史文化背景不同,不同群体、监管机构、企业等对个人隐私的重视程度也不尽相同,因而采取的保障措施也可能存在差异。
同时,由于GDPR下的数据保护义务与追责程度均达到了前所未有的高度,因此相关规定对于企业,尤其是中小企业而言,是一项巨大的合规成本。这一合规成本不仅体现在罚款层面,由于数据保护要求的改变,企业可能被迫改变商业模式以完成合规要求。这种商业模式的改变可能体现在用户数据管理体系、人力资源管理制度、企业内部数据管控等多个层面。若企业无法达到合规要求,甚至可能面临退出欧洲市场的风险。有研究调查显示,GDPR出台后,许多网络技术市场上占主导地位的公司的市场份额增加,而其他公司的份额均处于维持原状或下降状态。换言之,GDPR虽然为用户数据提供了强有力的保障,但其并没有如欧盟所预期的那样,成为推动欧盟数字经济发展的利器。
此外,严苛的数据管控同时也会限制数据的流动。单纯的个人信息本身价值并不大,真正让数字经济迸发活力的,是企业对个人信息的聚合、加工、处理。而如果限制了企业对个人信息的收集和处理,限制了个人信息的流通,那么大数据行业,乃至整个数字产业的发展也将受到限制。因此,在探讨欧盟全面的数据保障体系的同时,我们也需要注意到欧盟在全球数字经济版图中发力的不足。例如,德国《每日镜报》曾提出,较之于欧盟,美国和中国在数字经济领域仍然处于领先地位。当前,我国数字经济规模已达41万亿元,总量跃居世界第二,电商平台、移动互娱等产业巨头更是在多个领域跻身世界前列,可以说数字经济已成为我国经济高质量发展新引擎。我国今后若希望在生产端发展数字经济,则需要有广泛的全球链接、数据聚合、协同创新,而这一切都离不开对数据的自由流通和深度挖掘。因此,除了如何保障用户信息安全外,如何持续促进数字经济繁荣同样是法律需要解决的问题。因此,单纯“羡慕”欧盟是不够的,我们既需要保障个人数据安全,又需要挖掘其中的商业价值,寻求二者之间的平衡,才是个人数据保护的题中应有之义。
本文作者
宁宣凤
合规业务部
合伙人
金杜数字经济国际法律服务中心
负责人
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
屈尘
律师助理
合规业务部
责任编辑:魏雪婷
我知道你 在看 哦