GDPR正式生效美欧大数据隐私保护差异渐显
2018-07-14云晴
特约撰稿人|云晴
GDPR条例已于2018年5月正式生效。这一数据保护条例的背景是移动互联网高速发展带来隐私数据保护需求爆发、欧盟期望通过保护用户数据权利的方式获得更多在互联网领域的话语权、欧盟通过建立个人数据保护标准推动数据产业发展从而形成对发达互联网国家竞争能力。
大数据的开放和利用中,做好规则设计和角色的职责划分是最为重要的前提条件之一。用政策和规则明确地说明对数据的理解和应用的边界很重要,一定要尽可能先行,要有规则框架和体制框架的思维。数据应该开放哪些,开放到什么程度,公众可以以怎样的方式使用这些数据(避免数据滥用),这些问题都需要通过立法的形式得到确认,这为政府部门开放数据给出了规则,这一点非常重要。
GDPR保障了个人选择的权利
2016年,欧洲议会投票通过了《一般数据保护条例》(General Data Protection Regulation,GDPR),该条例已于2018年5月正式生效。这一数据保护条例的背景是移动互联网高速发展带来隐私数据保护需求爆发、欧盟期望通过保护用户数据权利的方式获得更多在互联网领域的话语权、欧盟通过建立个人数据保护标准推动数据产业发展从而形成对发达互联网国家竞争能力。因此GDPR的推出作为信息行业重要管制政策之一,得到了极大的关注。
和中国由政监合一的政府组成部门实施电信管制不同,欧盟在引入竞争实现私有化之后,为了使得管制机构能尽最大可能促进市场竞争,管制主导企业滥用市场势力,在各个成员国设立了独立的管制机构。而管制的权利则来源于立法,向国会等立法机构负责。也就是说,欧盟的条例(regulation)规定了各成员国所要达到的目标和为了实现这些目标所采用的实施手段所遵循的原则,而条例必须在欧盟各国内转化为国内法才能够得以实施。例如条例中所规定的一些数据保护的通用(基本)原则,包括收集限制原则、数据质量原则、说明目的原则、利用限制原则、安全保护原则、开放性原则、个人参与原则和负责任原则等,都对欧盟成员国在相关立法中指明了原则性的方向。
在1995年颁布的《个人数据保护指令》的基础上,为了适应在新的社会经济环境下数据的要求,GDPR引入了很多新的内容。如加强个人数据权利保护、强化企业维护数据安全的责任、限制企业针对个人的数据分析活动、加强对数据跨境转移的监管等。
例如在个人数据权利保护方面,条例体现出以人为本、注重用户权益保护的设计原则。在欧盟的条例设计过程中,用户权益的保护始终作为首要目标选择。但与此同时,欧盟认为,促进市场的有效竞争是保护用户权益的最主要手段。因此我们会看到在条例中有这样的条款:“在以直接营销为目的的个人数据处理情形下,数据主体有权在任何时候、无需支付任何费用拒绝该类处理方式——包括与此类直接营销相关的客户画像(profiling)分析。这一权利应该让数据主体得到明确的关注,应该清晰表达并独立于其他信息。”
“客户画像”指任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这是数据应用于市场最有价值的部分之一。因此该条款一方面表达了数据可以用于直接营销为目的客户画像,给出了数据在市场中应用的价值;另一方面很明确地指出了数据主体的权益,保障了个人选择的权利。
在强化企业维护数据安全的责任方面,该条例明确了数据处理者的法律责任。尽管数据处理者仅负责使用特定的方法对数据进行分析而不参与数据搜集和具体使用环节,但《条例》仍将其纳入了监管范畴并明确规定,数据处理者必须在《条例》的框架下切实履行保护数据主体个人隐私权利不受侵犯的责任。与此同时,《条例》要求建立企业数据保护专员制度,通过加强与数据主体的沟通和自我监管,提升企业数据的管理水平。《条例》还对在数据采集和万一发生数据泄露事件时对数据主体履行告知业务,做出了要求。
在数据保护影响评估方面,数据控制者、数据处理者还需要对拟建数据处理系统进行评估,以识别系统对数据保护可能产生的特定风险,评估的内容至少应包括对拟进行的数据处理活动的描述、对数据主体权利造成的风险以及应对风险的措施。此外,数据的控制者和使用者必须做好数据的留存待查。这也是GDPR给数据主体提供的最后一道保护防线。
在限制企业针对个人的数据分析活动方面,这一条例对数据使用管理范围进行了拓展:除了欧盟内产生和处理的个人数据之外,条例还适用于设立在欧盟内的控制者或处理者对个人数据的处理——无论其处理行为是否发生在欧盟内。这样一来,只要是在向欧盟内的数据主体提供商品或服务,数据的控制者或处理者就必须遵循这个条例。
美国政府的隐私保护思路
由上述所举的几个例子我们可以感受到这一数据保护条例设计的一些指导思想。事实上GDPR在隐私保护理念、立法模式以及法律内容等方面和互联网产业发达的美国存在较大的差异。美国1996年的《信息自由法案》指出,除了可能危害国家安全的机密信息、执法记录以及侵犯他人隐私的信息等9种豁免情况之外,美国政府机构,包括所有执行分支部门、机构和政府机关、联邦管理机构和联邦公司必须向公众公开所有信息。2009年,奥巴马政府甚至提出开放政府的概念。美国政府希望通过公布有关政府工作内容的信息、明确责任参与权、允许公众人士提出自己的想法和专业意见来帮助政府做出明智的决定。
实践上可以通过观察Data.gov就能够看到美国政府对数据开放的指导思想——该平台主要目标是开放美国联邦政府的数据,通过鼓励新的创意,让数据走出政府,得到更多的创新型运用。一般情况下,政府、社会与企业可以从Data.gov免费下载数据,还可以利用Data.gov提供的API实现丰富的第三方应用的开发。与此相对,欧盟则将公民的隐私权划归为最基本的人权保护范畴。
GDPR对全体公民的个人隐私数据采取统一的司法保护,划定了统一的标准和原则;而美国则采取典型的分类保护模式,从不同行业的特点、数据保护的目的和手段等因素出发,分别执行不同的数据保护方式。例如上述提到的美国政府数据开放平台Data.gov就提供了9种分类方式,其中比较重要的包括以下方面: 主题(Topic)主要是按照数据集的内容进行分类,主题分类(Topic Categories)是对数据主题更精确细致的分类,数据集类型(Data Type) 包括地理数据和非地理数据两种类型……
与之比较,GDPR对数据所有者权利的保护真可以称得上是“无微不至”了。数据主体的同意是指数据主体自愿给出的具体的、有根据的、详细的表明其意愿的说明,该说明可以通过声明或明确肯定的行动表示。同时,数据主体还有权在任何时候撤回同意。也就是说,数据的控制者和使用者不仅要说服数据主体以“充分表达主观意愿”的方式授权数据使用,还需要保证在使用过程中数据主体不要“变卦”撤回。从这个角度也能观察到对“数据自由”美欧之间存在巨大的理解差异。
条例的制定可以很完善,各种维度也可以很周全,但具体条例的实施落地也是不能够忽视的问题。例如GDPR赋予了数据主体对自身数据的被遗忘权和删除权,这从设计出发点上很不错。但在实践中,被遗忘权和删除权的实现并不容易。例如,互联网上的信息发布之后,将会有转载、扩散发布等可能,在这种情况下,被遗忘权和删除权的实现将会耗费大量的资源。个人数据在使用同意授权后,可以随时取消授权。如果这些同意授权的数据已经得到广泛应用,“取消授权”可能会带来的损失完全由数据的控制者和使用者来承担是否公平?因此GDPR不应该教条地理解成为“对个人隐私数据最为严格地保护”,而是寻找个人隐私权与企业利用数据寻求发展机会之间的平衡——只有这样,GDPR的存在才会更具现实意义和生长活力。
GDPR的正式生效,从“严格保护数据主体权利”的角度提供了一个成功实践,提供了与美国政府“保护信息自由”全然不同的角度。在深化个人数据保护的透明度、强化企业的信息安全治理义务、提升对数据主体的赋权的力度、增加对数据侵权行为的惩罚力度与对数据主体的有效补偿、推动数据跨境流动等方面,我们都能够得到很多启发。然而,数据使用保护政策还是一个与对“数据自由”理解相关性很强的问题。熟悉条例,便于和欧盟开展数据领域的合作;想要管好数据,还需要更好地回答关于“数据自由”的一些问题。