□文│赵如涵 袁 玥

进入21 世纪以来，政治与经济领域对数字平台和网络生态系统进行了全方位渗透，从根本上影响了文化产业的运营与平台政治，即互联网的 “平台化”（platformization）成为全球发展趋势。[1]“平台化” 以纵横结构的数据整合为基础，力图达到信息使用价值的最大化。针对大规模数据获取与处理带来的安全与伦理问题，2018 年5 月25 日，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）正式执行，其影响范围包括所有涉及收集欧盟公民数据或向其提供服务的全球信息平台。平台驱动下的新闻业（Platform-driven Journalism）也不可避免地受到了GDPR 的影响。包括《纽约每日新闻》（New York Daily News）、《芝加哥论坛报》（Chicago Tribune）等在内的北美1000多个知名新闻网站都暂时关闭网站并作出调整。我国 “今日头条”“腾讯新闻” 等平台也积极开展了适应性实践。本研究通过梳理GDPR 中有关新闻生产的主要内容，辅以国外新闻平台的应对策略分析，尝试为我国新闻平台的发展提供可行性建议。

一、GDPR 条例的历史演变

在数据使用伦理问题争议不断的当下，欧洲GDPR 的实施无疑为数据的采集与使用划定了法律边界。事实上，欧盟对数据保护问题的担忧自20 世纪末就已见端倪，欧盟为此进阶式地制定了法规条款，其主要发展历程主要经历如下三个阶段。

第一阶段是欧盟尝试对用户数据进行保护的开端。1995 年，欧盟颁布了《数据保护指令》 （Personal For A Council Directive concerning The Protection Of Individual In Relation To The Processing Of Personal Data， 以下简称《95 指令》)， 标志着欧盟在实践层面的正式行动，其目的是通过限制访问权来实现用户的数据保护。2002 年， 欧盟通过发布《隐私与电子通讯指令》（Directive on privacy and electronic communications，Directive 2002/58/EC）对《95 指令》进行了修正。修正方案规定：禁止在未征得用户同意的情况下存储和使用用户的数据，服务提供商应该保障用户的知情权。

第二阶段，欧盟对用户数据保护法规的修正与调整阶段。2009 年，欧盟针对自1993 年起便广受争论的网络技术Cookie 颁布了《欧盟Cookie 指令》（EU Cookie Directive，DIRE CTIVE 2009/136/EC），用以规定和约束信息服务提供商通过Cookie 技术储存个人用户信息。考虑到使用Cookie 技术的网站在记录用户性别、年龄、上网浏览痕迹等信息的同时也会据此推算用户兴趣，《欧洲Cookie 指令》对技术平台方出于商业营销目的来使用用户的个人数据进行了限制。

第三阶段，欧盟核心数据保护法的实施。2012年，欧盟公布了GDPR 的实施草案，但此条例于2016 年4 月14 日才正式获批。条例明确了随后两年为过渡期，并将于2018 年5 月25 日正式实行。自此，GDPR 成为了欧洲数据保护的核心法规框架。

不难看出，第一阶段的法规政策是欧盟对数据、市场与社会关系的应激式反应。作为早期的探索，此时期尚未形成具体有效的法律细则。随后，信息技术不断发展，数据需求不断增加，欧盟将规定逐步细化，最终形成了目前的GDPR。其独特性和严格性在于，在管辖范围方面，GDPR 突破了以往数据保护法的属地管辖，凸显出其跨境、跨国、跨地域的空间转向：无论是向欧盟居民提供产品、服务的科技公司和新闻网站，还是收集或监控相关数据的非欧盟企业和组织，都必须在信息服务时遵守GDPR 的规定。在内容规制上，欧盟成员国用户在非欧盟地区工作、旅游和接受医疗救治时，非欧盟地区的企业和组织也必须按照GDPR 的规定来保护欧盟成员国用户的个人数据安全。在处罚措施上，一旦跨国、跨境信息服务企业和组织发生违规行为，就将面临巨额罚款。例如，GDPR 第83 条规定：如企业或组织在进行信息处理时违反了知情同意原则，就将必须接受上限为2000 万欧元的罚金，或交付上一财政年度全球营业总额的4%作为罚款金额（选两者中数额高者为准）。[2]

二、新闻生产中的新把关人：数据保护官及其豁免权

在GDPR 实施前，欧洲用户数据被滥用情况严重，仅2018 年，欧洲就有约4000 家中小企业和组织遭遇恶意数据泄露，新闻网站是主要受害者。GDPR 为解决以上问题，提升用户数据保护能力，创造了一个新的职业角色，一种新型 “把关人”（gatekeeper） —— 数 据 保 护 官（data protection officer，DPO）。

对新闻平台而言，GDPR 的规定意味着在新闻生产的过程中出现了新的把关环节，其作用是监管数据获取与处理行为。根据GDPR 的规定，当企业或组织需要进行大规模的监控或处理大量的个人数据时，则必须任命 “数据保护官”，其职责包括向企业和企业员工提供GDPR 数据保护方面的信息和建议，对企业GDPR 合规以及数据保护方面所做的工作进行监管，对企业数据保护方面工作的参与和管理，同监督机构合作，以及负责数据外泄的紧急汇报和协助企业实现数据主体的数据权利（见图1）。[3]

图1 数据保护官（DPO）的主要职责

值得注意的是，考虑到新闻业的现实需求，GDPR 在新闻实践活动和用户的数据保护之间设置了 “例外情况”。为保证新闻调查的信息核查实践，新闻生产中的数据收集具有豁免权（journalist exemption）。这意味着新闻生产者在新闻实践活动时拥有数据采集、数据整理的特殊准入权利。例如，对于以新闻报道为目的，且信息收集在基本权利范围以内的新闻调查活动，欧盟成员国都应对其工作予以配合。[4]

在新闻业的数字化转型过程中，由数据保护官所扮演的新把关者使得把关的目的和实际把关的原则都发生了改变。从把关的目的来看，在原把关的基础之上加入重视用户隐私保护和对个人数据加工与处理的监督和指导，一方面是为应对GDPR 对于个人数据保护的要求，从而达到合规标准，以免造成违规受罚的局面；另一方面则是为数字化转型背景下传统新闻生产环节中由记者、编辑主导的把关加入了更多技术专业支持。从内容来看，数据保护官既为新闻报道的信息源进行了把关，也产生了新的信息过滤机制。

三、国外新闻平台的应对策略

为应对GDPR 的严格规定，国外新闻平台主要在内容、技术与政策实施方面制定了相应的措施。

第一，在内容方面，因多数新闻网站缺乏对GDPR 实施情况的准确预判，导致调整内容时间紧迫，许多国家主要采取了关停删减的策略。例如，《洛杉矶时报》等多家北美地区的新闻网站向欧盟的读者暂时关闭了信息服务（如图2 所示），并且处于长期的技术合规调整状态。GDPR 的复杂细节为非欧盟新闻组织带来了巨大的技术挑战。考虑到可能涉及的巨额罚金，大多数新闻网站不得不暂时 “抛弃” 欧盟用户、关停服务。

图 2 北美新闻网站对欧洲用户暂时关停服务[5]

第二，国外技术公司涌现，为新闻网站提供技术升级服务。针对GDPR 的严苛规制，欧美地区的商业技术公司已经开始为新闻网站提供适应GDPR规制的相关服务及咨询。例如，名为 “网站改善”（Site Improve）的科技网站专门提供网站数据评估和GDPR 合规的相应调整服务。自2016 年GDPR在欧盟正式通过以来，许多商业技术公司就开始针对不同网站着手研发新的技术产品以符合GDPR 的技术要求，并且于GDPR 正式实施之前建立起了一整套应对GDPR 的技术体系，以此作为产品出售给欧洲、北美地区和其他地区的新闻平台。

另外，在与数据保护相关的立法与施行方面，北美地区与欧盟存在着明显的差异。例如，法国为使国家法律与GDPR保持一致，政府作出了“象征性” 选择，将原来的《法国数据保护法》引入GDPR，加强利益相关者的问责制理念。相反，与欧盟地区严格注重用户数据保护的立法理念不同，美国与之相关的个人隐私保护法案并没有严格且统一的应用标准以应对用户数据的使用和处理行为。与欧盟的新法案GDPR 相比，美国现存的一系列法律条款和范例呈现出更多的灵活性，往往针对具体情况进行具体分析和判断。因此，GDPR 的正式执行在给美国的新闻网站带来数据处理巨大压力的同时，也引发了欧盟用户数据保护法案的规制理念和非欧盟地区的用户隐私保护标准之间因尚未能够相互融合而在实践过程中产生矛盾和冲突的深层次影响。

四、GDPR 规制下我国新闻平台的挑战与应对

在跨境、 跨国、 跨地域的GDPR 法规面前，我国新闻平台必须采取相应的技术合规调整行为，以便更好地对欧盟国家进行新闻传播，展现我国政府对数据保护的积极态度。目前，因欧盟内各国间对数据保护的相关理解和操作尚未达成共识，导致我国的新闻网站在向欧盟用户提供信息服务时面临多重挑战。针对复杂的政策环境与新闻业的实践需求，笔者提出以下建议。

1.设立数据保护专员

在新闻平台内部，需设立数据保护专员的职业角色。数据保护专员与GDPR 规范中提出的数据保护官（DPO）相对应，其职责聚焦法律法规的解读和发现新闻平台的信息传播需求。一方面，我国数据保护专员需在向其他国家提供信息服务时平衡国家间数据保护法律的规制和新闻实践之间的冲突。另一方面，数据保护专员还需确保用户个人数据的安全使用和处理，谨防数据泄露、盗取等危害用户个人信息安全事件的发生。

数据保护官还承担鉴定 “数字身份” 的任务。数字身份是定义一个主体特质的组合数据，是有关一个人所有的数字信息的总和。[6]“身份盗用” 是社交媒体产生与传播假新闻与谣言的重要原因之一。因此，信息安全与信息核查的任务拓展了数据保护官在新闻业的工作内容。在新闻生产领域，数据保护专员的出现意味着新闻生产中把关环节的增加，且新的把关环节更加侧重对于用户个人数据和隐私信息的收集与处理。作为新的把关人，数据新闻专员在新闻网站获取用户数据的过程中判断其收集数据的行为是否合规，并进一步协助实现用户作为数据主体所拥有的被遗忘权、删除权等权利。

在GDPR 实施以前，新闻组织已经通过数字身份验证辨别信息真伪，但此工作一直由新闻记者承担。数据保护专员的出现，将提升新闻核查的效率，并通过专业知识和方法对信息发布者进行追踪验证。因此，这一把关角色担负着双重责任：既协助新闻机构对数据进行把关，也协助用户对新闻机构的信息获取进行监督。

2.建立数据保护部门

我国社会快速发展，对新闻信息的需求不断增加，但我国在数据保护方面的经验尚待积累。因此，为更好地进行我国数据工作的整体统筹和规划，应建立数据保护部门并进行专业化分工。欧美国家的数据服务公司的目标是在市场驱动下帮助企业规避数据条例中面临的风险，而政府的数据保护部门则从用户权利而非商业角度出发，从内部对相关行为进行 “把关”，对不断更新的法律法规进行学习与实践。目前，欧洲多个国家已经建立数据保护部门，如法国数据保护局（Commission Nationale de l'Informatique et des Libertés）、挪威数据保护局（Norwegian Data Protection Authority）、捷克个人数据保护局（Office for Personal Data Protection）。GDPR 条例发布后，巴西也在2018 年公布 “临时措施” 提出成立 “国家个人数据保护局”。

除政府建立数据保护部门外，新闻平台自身也需设立数据保护部门，建立起一条完整的数据使用和处理的工作链，不仅在部门内部形成流畅贯通的把关，还将新闻平台各部门有机地联结在一起，从而在符合数据保护法律规范的基础上更好地发挥平台本身的优势，以此推动自身数据处理和新闻信息采集分发的进一步有效整合。新闻组织中的数据保护部门的工作包括如下方面：首先，在数据保护专员的协同合作下，将国内外信息保护条例进行整合。例如，与GDPR 相对应，我国于2018 年5 月1 日起执行了《信息安全技术个人信息规范》（Personal Information Security Specifications，以下简称《规范》）。该《规范》基于《网络信息安全法》（Network Security Law）确立，对数据处理等问题也进行了详细的规范，因此如何在运营中遵守多重规范则成为数据保护部门的重要工作。其次，数据保护部门还应对涉及新闻报道中不同国家、不同法律框架内的目击者、当事人等进行数据保护，建立安全的数据存储档案，防止信息泄露等数据安全问题。最后，为新闻组织建立应急反应机制。因技术发展的极速性与不确定性，预先设定应对危机的预案是降低损失的重要策略。数据保护部门需要关注技术更新与危机处理方式的知识积累，制定有效的防范措施。

3.平台数据共享下的新闻核查机制

作为目前流行的新闻表现形式，数据新闻成为诸多媒体的专设栏目。数据新闻既包含对大量数据信息的分析与处理，也包含将数据报道可视化。在GDPR等数据法规实施后，数据获取的合法性将成为此类新闻报道的一大挑战。与此同时，“假新闻” 在 “后真相时代” 成为信息传播中最大的挑战，保障新闻报道的真实性是新闻业得以良性发展的重要前提。

新闻平台是协调信息分发和用户获取的中间节点，平台应建立起以新闻业为主体的运营机制，以完整高效、协调得当、准确规范作为基本原则。2019 年4 月，社交网络脸书尝试建立新闻付费板块，提升社交媒体的新闻报道功能，并将用户阅读时间作为网站推送排行的参考数值。由此可见，网站的功能将逐渐从单一转向复合，新闻信息的传播将成为不可或缺的基础功能。目前，传统媒体与新媒体的融合路径就尝试了 “云” 概念，使得数据资源可随时供电视、广播与互联网渠道调用。社交媒体、新闻资讯网站以及政府数据可尝试在规范的框架内，协商信息共享机制。一方面，在此运营机制内平台的数据处理将更进一步规范化、合理化、透明化；另一方面，社交网络等信息集合可供新闻组织核查新闻信息。该运营机制也应囊括数据保护专员、数据保护部门与其他角色在内，层层嵌套、权责分明、有机统一，从而服务于平台新闻业在大数据时代的持续健康发展。

五、反思与讨论

自大数据、云计算、人工智能等与数据密切关联的核心技术在全球范围内广泛并持续深度应用以来，数据的全球化越来越成为当下的 “数字化生存” 社会需要紧密关注的重点主题。欧盟的数据保护新规GDPR 率先应对个人隐私与社会公共性之间的冲突，引起全球对于数据保护的持续性关注。GDPR 法案引发了有关数据使用的多重伦理论争。该法案展现出欧洲国家对数据重要性及其使用的谨慎态度，并为此付出实际行动保障个人信息权益。GDPR 的颁布保护了数据的合法性，又改变了企业与客户互动的方式。然而，GDPR 也为新闻业带来数据分析调查更为严苛的限制。

新闻业是一种反应性的、即时的信息实践活动，它满足社会需求，通过信息收集整理和发布服务于公共利益，同时伴随法律、法规与政策的调整而产生结构性变迁。GDPR 的实施对新闻生产过程中的采、写、编等过程都产生了影响。它使 “个人数据” 成为更复杂的概念，并赋予了其与社会交织的权利和义务。

与此同时，社会资本的介入和平台化的运营模式势必将在身处数字化之中的新闻生产实践产生深远的影响。截至目前，我国包括 “今日头条” 的海外版Top Buzz 等在内的新闻客户端已经基本完成了GDPR 技术合规调整，在进行对欧盟地区的信息提供服务时增加了相应环节的权限校验。

然而，对我国新闻业而言，应当如何应对由此带来的技术、伦理和法规的挑战还需要在实践中不断探索。尽管GDPR 提供了新闻记者的豁免申请，但具体实施方案尚未确定，并且在多样化的欧洲国家内难以达成统一标准。数据管理专员也可能成为在复杂环境中，收集、使用并掌控个人信息的权利所有者。面对未来可能不断更新的数据保护条例带来的影响，数据全球化是否需要全球治理也就成为亟待商榷的核心话题。对我国的数据保护来说，处理个人隐私与社会公共性的冲突、安全与自由的冲突、网络平台商业驱动与用户权利的冲突需要在实践中不断探索。