刘德良|以欧盟GDPR为镜 在个人信息保护上走中国自己的路
点击标题下「网络法前哨」可快速关注
前哨按语
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation)正式生效,因其适用上的域外效力可能影响中国在欧盟开展业务的企业而引发了国内广泛关注。其中有不少声音认为应该按照GDPR来改进中国的个人信息保护立法。可制度设计有着特定的政治、经济、文化甚至历史的背景,借鉴域外制度不能忽视这些因素,也要考虑是否适应社会发展的需要。面对GDPR,我们应该冷静思考中国未来个人信息保护前行之路,而不是简单的拿来主义。前哨今天特别推荐北京师范大学法学院刘德良教授对此问题的冷静观察和深刻洞见,感谢刘老师的授权。
以欧盟GDPR为镜
在个人信息保护上走中国自己的路
5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称《条例》)正式生效实施。相比以往的相关法律规定,《条例》一是通过强化企业的义务使个人能够更好地行使知情权、访问权、反对权等《指令》已规定的权利。二是增加了数据可携带权、被遗忘权等两个新权利。三是在属地管辖的基础上兼采属人管辖,凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的,都将受到《条例》的管辖。四是统一确立并细化了一些具体制度,使《条例》可以直接作为企业和个人遵守的规范。
在大数据时代来临之际,《条例》尊重个人隐私权利的大方向,是值得肯定的。但在具体的条款设定上,《条例》也有一些值得商榷的地方,成为各方关注的热点。
首先是《条例》把数据保护与基本人权和自由联系在一起:将个人数据等同为隐私予以保护、把对个人数据的控制权视为基本人权,是否涉及道义立场虚高。实际上,并非所有的个人数据都与人格自由直接相关,个人数据也不等同于法律上的隐私。在个人数据,有一部分是需要严格保密的,控制该类个人数据的传播和利用才有助于主体的人格和尊严。除此之外的个人数据,正常开发和利用本身并不会导致主体的利益受损,控制或者开发利用这部分数据本身与基本人权无关,也与人格自由发展无涉。
其次是极端个人主义本位可能有碍社会经济发展。数据能够高效、自由的流动是大数据产业发展的基础。个人数据如果要充分发挥其价值,就必须让其自由流动。《条例》以个人对其数据的控制权为宗旨,轻视产业利益,并为此对企业苛以严格合规义务,对违规者施以严苛处罚。这样势必会使数据的自由流动受到不当的限制,还会导致企业减少对创新的投资,最终不利于产业和经济的发展,欧盟网络经济落后于中美的现实也印证了这种判断。
第三是技术上有过时之嫌。《条例》立法的核心是如何保障个人“有效”控制其数据,立法的基本原则源于上世纪六、七十年代的美国公平信息实践原则(Fair Information Practice Principles)。在那个时代,只有银行、电信、保险公司等少数机构拥有大型计算机,才能够收集、加工、处理个人数据,公平信息实践原则所体现的个人信息控制权在技术上是可以实现的。但在网络无处不在、无时不有的今天,只要上网,收集、加工、处理、分享和利用个人数据就在所难免,加上传统纸质信息数字化、网络化后,我们很难知道何时、何地、何人收集、加工、存储了我们的哪些数据。因此,《条例》因循守旧,沿袭公平信息实践原则的做法,在技术上已经过时了,其立法宗旨很难实现。
四是实施效果可能有悖于立法初衷。个人数据面临的威胁主要来黑客攻击,而非持有这些数据的企业。为保护数据免受网络攻击,《条例》的做法是处罚遭到攻击的企业,而非攻击者。为保障主体的删除权得以实现,《条例》要求企业都必须将消费者的详细记录保存三年,以备消费者在决定撤回许可、行使删除权时,可以得到有关验证。这样也为黑客获取这些数据提供了条件,最终的结果很可能与立法目的背道而驰。
在各国全面发展数字经济的年代,个人数据的保护和开发利用不仅攸关个人利益,还关乎产业发展、公共利益和国家利益。因此,有关个人数据法律制度的构建应该树立利益平衡的指导思想,综合处理好不同主体的合理利益诉求,做好个人利益保护和个人数据合理利用的平衡。
对于中国来说,GDPR的实施既是一种指引,更是一面镜子。我们要既避免照搬照抄其中的条款,也要从中吸取有益的经验和教训。在理论和立法上不妄自菲薄、崇欧媚欧,而是以自信的心态,走出一条符合时代背景的中国道路。在个人信息立法上,合理区分个人信息、个人数据和个人隐私。应该坚持利益平衡的指导思想,树立正确的隐私观,把重点和核心放在防治对个人信息(个人数据)的滥用问题上,制定一部个人信息(数据)滥用防治法。
(本文首发于央广网)
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君
热点文章推荐:
大数据
人工智能
国内动态