辛嘉

欧盟施行GDPR有得有失

观察域外相关立法和执法的情况可知，我国《数据安全法》出台相对较早，欧盟、美国目前还处在相关立法程序中。但这并不意味着其他国家在数据安全方面没有规范性文件。只是由于缺乏统一立法，域外数据安全规则分布在不同的领域，在具体施行过程中有得有失，其经验值得借鉴。

在欧盟宪章框架下，欧盟层面的检法系统和各成员国的司法机构，是实施数据安全监管的主体。发生有关数据、信息的案件时，由于各成员国检法机关职能不同，其响应方式也不盡相同。

欧盟颁布实施的《通用数据保护条例》（GDPR），一度被视为全球数据安全保护规则的典范。它确立了“一站式”服务模式，即当发生数据保护相关案件时，先由欧盟最高检察长提出建议，法院法官一般会采纳其建议。比如欧盟最高检察长针对谷歌导致个人信息泄露案的建议，就被欧盟最高法院的法官采纳。欧盟前成员国英国，由于其国内检法机关定位与其他国家不同，所以其在GDPR框架内保留了通过国内途径起诉的权力，检法机关按照该国的法律行使职权。

GDPR在取得一定成效的同时，也显现出诸多不足。欧洲议会中一些研究数据保护措施的人士毫不留情地指出：GDPR已经过时，必须进行重大修订，以适应网络信息时代的飞速发展。

欧洲议会议员阿克塞尔·沃斯是GDPR的起草者之一。近日，他在接受英国《金融时报》采访时指出，GDPR须进行“某种手术”。欧洲议会应该举行表决，看看该条例还是不是“世界黄金标准”。

沃斯认为，新冠肺炎疫情导致整个世界发生了重大变化，互联网信息时代的新技术又层出不穷，这一切都应被纳入欧盟的相关立法考量。

这位德国籍欧洲议会议员表示：“我们必须明白，GDPR不是为区块链、面部或声音识别、文本和数据挖掘以及人工智能等技术而制定的法律。数字世界是不断创新的。我们不能一直遵循最初的立法原则，那时的原则并不能反映我们现在所处的新形势。”他补充说，如果一板一眼地执行现有的GDPR，那么部分人将面临很多麻烦。“如果你在家里办公，要处理个人数据，就得独自承担许多难以理解的法律义务。在私人住宅中处理数据，GDPR在这方面有什么规定？目前这类规定并不明确。”

GDPR需要修订，这一观点得到了欧洲议会中的政治团体欧洲人民党的支持。它是一个政治联盟，德国前总理默克尔也在其中。欧洲人民党的理由是：GDPR的施行产生了几个负面效果。

强化了头部玩家。自GDPR施行以来，谷歌、“脸书”和亚马逊增加了其在欧盟的市场份额，这得益于三个实事：一是GDPR合规成本高，对于大公司来说是利好，因为它们有较多的预算来支付软件升级和专业人员费用。二是各公司已停止使用与谷歌和“脸书”竞争的工具，将更大的市场份额拱手让给了头部玩家。三是用户不太可能尝试新的平台和工具。正如诺贝尔经济学奖得主乔治·斯蒂格勒在40多年前所分析的，“监管由工业掌控并为其利益而运作”。更大的公司可能更欢迎GDPR，因为该条例可以将它们与激烈的竞争隔离开来。

削弱了中小企业。数据显示，欧盟并没有培育出适合中小企业成长的环境。在GDPR即将实施前的一段时间，只有20%的欧盟公司（主要是大公司）实现了数字化。没有数据显示，欧盟中小企业因这一条例受益。欧盟委员会的报告显示，中小企业在网站和海外市场的现代化方面一直滞后。自GDPR生效以来，中小企业已经失去了三分之一的市场份额。许多零售商、游戏公司和服务提供商不再在欧盟运营。

对于许多公司来说成本高昂。为了能在欧盟做生意，拥有约500名雇员的公司，必须花费约300万美元来满足GDPR的合规性要求。数以千计的公司认为这不值得，因此退出了欧盟市场。当然，别说是300万美元，就是3亿美元，对谷歌、“脸书”和亚马逊来说都算不了什么（财富500强公司为应对GDPR划拨了80亿美元）。事实上，只有不到一半的公司能够完全符合GDPR的要求;五分之一的公司认为完全遵守其规则是不可能的。有统计数据显示，GDPR导致每名欧洲公民的直接福利损失约260欧元。

如果在美国颁布实施类似的法规，美国公司的合规成本可能达到1500亿美元——这是美国在宽带网络投资上花费金额的两倍，是美国每年电子商务收入的三分之一。GDPR不仅影响了电商，也影响了广告商。考虑到谷歌的广告平台及其在联合网络上的附属公司的规模，其遵守GDPR规则的行为在市场上产生了连锁反应。独立广告交易所指出，广告价格暴跌了20%—40%。另外，欧洲法院裁定，互联网生态系统的任何部分都应对数据泄露负责。于是，GDPR对于控制器和处理器等硬件的限制也产生了负面效果。芯片制造商、组件供应商和软件供应商陷入困境。

威胁创新和研究。GDPR的一些要求与大数据、人工智能、区块链和机器学习基本上是不相容的，尤其是那些旨在要求数据处理器公开其数据，尽量减少数据使用和自动化决策的条款。对于技术开发人员、工程师和企业家来说，GDPR不仅在法律裁决中产生了不确定性，而且在机器学习和人工智能技术开发中也产生了不确定性。

一些重要的科学进展是用创造性的方法处理各种信息的结果——这些方法既不是主体也不是控制者所预期的。想想关于使用手机是否会导致脑癌的权威研究吧。丹麦癌症协会通过处理社会安全号码、手机号码和国家癌症登记处的信息，对358403名丹麦移动电话用户进行了分析。丹麦国家癌症登记处通过社会安全号码记录了每一名癌症患者。该研究是同类研究中最全面的一次，证明使用手机与罹患脑癌无关。但是，用户在信息被收集时，并未明确其研究目的。因此，如果GDPR在这项研究进行时已经生效，那么研究实施方就无法获得被分析数据的人群的同意，即GDPR使得这项研究无法进行。展望未来，由于GDPR的存在，一些有价值的研究可能无法顺利进行。

欧盟的以上经验告诉我们，当数据保护力度越来越大时，企业可能在数据安全方面动辄得咎，这是否为我们推行合规不起诉的制度提供了背景和契机？当前我国检察机关正在进行企业合规不起诉的试点，未来在数据安全领域的犯罪纳入企业合规范围，值得探讨。

总体来看，欧盟的经验有助于我们更加有效地实施数据安全保护。

一是平衡好个人数据保护中的各方利益。个人数据保护涉及个人、数据处理企业等各利益相关方。為确保法律的有效实施，要平衡好各方的关系，不能因为加强个人数据保护而给企业造成过重的负担，也不能因为偏重企业而降低个人数据保护水平。从数据处理企业来看，要特别关注企业履行法律责任的成本问题。在GDPR实施过程中，欧盟发现中小企业负担过重，下一步将通过简化履行程序、提供咨询指导、给予财政支持等方式，促使其更好地履行法定义务。我国也应借鉴该做法。从数据主体看，GDPR实施以来，缺乏统一的数据标准，导致数据“可携权”难以落地。我国一定要结合金融、银行等行业的数据共享情况，就是否赋予数据“可携权”、在数据共享难以实现的情况下如何推动数据“可携权”落地等进行充分论证。

二是严格限制基于公共利益处理个人数据。在对个人数据进行保护的同时，应允许基于公共利益的需要处理个人数据。GDPR明确，可以基于科学研究、公共健康等目的对个人数据进行处理。但是GDPR施行以来，对于科学研究等具体情形，缺乏明确的规定。尤其是新冠肺炎疫情期间，欧盟各成员国基于不同规则处理个人数据，有些甚至暂时放弃了GDPR相关原则的适用。基于公共利益需要处理个人数据，是个人数据的开放性要求，相关情形应进行严格限制。我国在制定和施行相关法律时，应当严格限制基于公共利益处理个人数据的情形。对列入公共利益范围的，如开展科学研究、维护公共健康、打击犯罪等，应尽可能明确个人数据开放和处理的规则，平衡好个人数据保护和公共利益之间的关系。

三是为创新和技术发展留有适当空间。当前人工智能、物联网、区块链等技术快速发展，数据的收集、传输、存储、处理等行为越来越频繁，引发了人们对个人数据被滥用、权利被侵犯等问题的担忧。以人脸识别技术为例，出于对该技术对隐私权的侵犯、因不成熟导致其他问题的担忧，欧盟对人脸识别技术应用采取谨慎态度，在相关规则尚未出台前，限制政府部门对该技术的使用。个人数据保护与技术创新发展是伴生性问题，要以宽容、发展、长远的态度对待技术进步，对于技术发展的负面因素要加强管理。欧盟对GDPR实施评估，提出了可适用于人工智能等技术的基本原则。至于这些原则如何适用，还要持续监测并在此基础上出台指南。

四是建立多元化的数据跨境转移机制。数据自由流动是数字经济发展的重要基础。GDPR在加强欧盟内部数据保护的同时，也构建了数据跨境转移机制，以回应数字经济背景下信息快速流动的需求。GDPR数据跨境转移机制是多样化的，包括充分性认定、适当保护措施、行为准则、认证制度等。我国在数据跨境转移方面规定了重要数据出境安全评估制度，这种制度针对具体的数据出境活动，实行“一事一评”。建议在上海自贸试验区临港新片区、海南自由贸易港试点，在确保数据流动安全可控的前提下，探索建立能够充分发挥数据价值的数据跨境转移制度。可总结金融、电信等行业的实践经验，分行业建立重要数据跨境转移制度。同时，跟踪国际数据跨境转移规则的研讨、制定等情况，适当扩展数据跨境转移的工具，对数据处理者进行认证。

“网信时代”数据安全治理难度不断提高