大数据时代,数据资源成为全球战略性资源,为有效掌控数据资源,维护数据主权,世界各国纷纷行动,美国于2018年3月出台《澄清境外数据合法使用法案》;欧盟酝酿6年之久的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)也于今年5月正式生效。GDPR致力于建立数字时代欧盟统一的数据保护规则,以替代1995年的《资料保护指令》,给予公民更多对个人数据的控制权,并要求企业承担更多数据保护责任。

GDPR在诸多方面做出了重大变革,如赋予个人数据删除权和携带权、限制机器自动数据分析活动等,这些新变化对我国加强个人信息保护、破除贸易壁垒、企业合规运行等多方面具有重要启示。

GDPR出台的背景

欧盟成员国间差异的数据保护制度限制了一体化的数字化市场建设步伐。近年来,欧盟提出要打破数字经济壁垒,建设内部单一数字市场。但是,欧盟现有的一些法律制度对此构成了阻碍,数据保护制度就是其中之一。1995年,欧盟制定了《资料保护指令》,确立了数据保护基本框架和规则,此后又制定实施了《隐私保护指令》《Cookie指令》等,强化对个人数据的保护。但是,欧盟内部并未形成统一的数据保护制度体系。各国由于本国的法律程序和文化传统不同,形成了不同的数据保护制度,加之法律实施和执法过程不同,数据保护水平差异也较大,这不仅影响了数据保护的实施效果,也阻碍了数据在欧盟内部的自由流动,这些不同的法律制度对数字经济发展构成严重阻碍。

云计算、大数据、机器学习等新技术发展使个人数据权益更易受到侵害,原有制度不能提供充分保护。云计算、大数据等新技术的发展,使得商业组织和公共机构可以开展大规模的数据收集、共享和转移等,通过数据挖掘分析等活动追求其价值目标,个人的位置信息、生活情况、消费习惯、身份特征等毫无掩盖地暴露在他人面前。一方面,数据收集变得无处不在,不管人们是否愿意,个人数据都会在其难以察觉时被收集并利用,且数据收集者往往会超出业务范围收集数据,以便未来挖掘在数据收集时无法预知的新用途;另一方面,数据之间越来越容易被关联和聚合,通过数据分析很容易使一些非个人信息获得身份属性,指向特定的个人,获悉其深层次的、无法显现的一些特征。针对这些变化,欧盟原有的数据保护制度已经不能提供充分的保护,数据保护制度急需加快变革以适应新时代的特点。

美国互联网巨头与情报机构密切合作,欧盟数据主权面临严重威胁。近年来,随着世界各国对数据的依赖快速上升,国际竞争焦点从对资本、土地、资源的争夺转向对大数据的争夺,维护数据主权成为国家主权的重要内容。2013年斯诺登披露,包括谷歌、微软等在内的科技、金融和制造企业,都与美国NSA、CIA和FBI等情报机构保持着紧密合作关系,向其提供包括个人敏感信息。这一方面引起了欧洲公民对遭遇美国政府大规模监控的恐慌;另一方面,也使欧盟认识到第三国企业在保护欧盟公民个人数据上应当承担更多的责任。为此,欧盟急需完善原有的《资料保护指令》规定的跨境数据流动的相关规则,以有效维护数据主权。

GDPR出台的三大特点

无需转化为成员国国内法,效率极高

GDPR以“条例”形式发布,可以即时生效,比欧盟传统的“指令”更直接有力,无需成员国转化为国内法,自生效之日起,在全欧盟范围内统一生效,避免了各国对该条例的不同解读,实现了法案执行上的一致性。

“长臂管辖”,管理范围极宽

GDPR适用范围不仅包括欧盟境内的数据控制者或处理者对个人数据的搜集、存储、处理,还适用于其他所有对欧盟内的数据主体所有的个人数据搜集、存储和处理。简而言之,只要公司服务链上有欧盟客户(无论其处于上中下游),拥有其个人信息,或公司雇用欧盟公民并拥有其个人信息,无论公司位于何处,皆适用于此法案。

处罚严重,震慑作用极强

GDPR对违反其规定行为设定了两级处罚,震慑相关企业。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。针对严重违法的数据处理行为,GDPR设定的第二等级的行政处罚最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。高额的罚金倒逼企业在GDPR框架下进行合规化运行。

GDPR的主要变革

数据处理必须取得数据主体的明确同意

“告知与同意”框架是欧盟数据保护制度的基础,在该框架下,企业或组织在收集、使用和共享个人数据前,必须明确向数据主体告知要收集哪些数据、如何使用数据等,并且取得数据主体的同意。原1995年《资料保护指令》中对“告知与同意”的形式并没有严格规范,但此次GDPR则明确要求“同意”行为,需通过声明方式或者以清晰肯定的行动作出,而且“同意”可以在任何时间撤销,只要不影响基于原有“同意”所作的数据处理。

完善数据主体原有权利并扩充新型权利

依据原有数据保护制度,数据主体享有被告知数据处理相关信息的权利、接入个人数据的权利、更正和修改有错误的数据的权利、以及特定情况下反对数据处理的权利。而此次GDPR在上述权利的基础上,进行了全面完善和扩充,如要求数据控制者向数据主体提供更详细的与数据处理相关的信息,赋予数据主体以新的权利——数据删除权,增强数据主体对个人数据的控制。值得注意的是,删除权对一个公司数据的系统性和透明度是一项重大挑战,履行该项义务直接提升了公司的运营成本。

明确隐私保护设计和默认设置要求

GDPR引入了隐私保护设计概念,明确企业、组织或机构在产品、服务、系统等设计时,就要考虑数据保护因素,而不是将其作为后来的附加考虑,在数据处理的整个过程中都要进行数据保护。GDPR还引入了隐私保护默认设置的概念,明确要求仅有与特定目的紧密相关的、必要的、最小规模的个人数据才能被处理,且这些数据不会被更广泛扩散,不会被不必要的人员所获得。

限制自动化的数据挖掘、分析行为

在1995年的《资料保护指令》中,受限于当时的计算机条件,尚无基于海量数据进行数据挖掘分析这一条件,故其中并没有对当前滥用的大数据分析行为进行规制。此次GDPR则对这种大数据分析行为进行了明确界定,即任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,特别是分析和预测个人工作表现,经济状况、健康状况、个人偏好、兴趣、可信赖度或行为表现等。对这种自动化的数据分析行为,GDPR赋予个人不受自动化数据处理结果约束的权利(当仅基于自动化的数据处理来评估个人的特定方面,对个人产生法律效果或重大影响时,个人有权不受该评估结果的约束)和反对数据分析的权利(个人有权反对与其相关的数据分析活动,数据控制者应当终止数据分析活动,除非其有合法理由证明该数据分析的合法性)。

全面强化监管措施

一是建立数据泄露通知制度,规定当发生个人数据泄露,可能给个人权利或自由带来较高风险时,数据控制者应立即通知主管部门和数据主体。通知的内容包括数据泄露数量、方式、渠道以及可能的影响范围等。

二是强制设立数据保护官员,其履行监督企业或组织数据处理合规性的职责,在发生数据处理违规操作时承担法律责任。

三是建立了数据保护影响评估制度,明确规定,当数据处理活动的性质、范围或目的可能给数据主体的权利和自由带来特定风险时,企业或组织应当进行数据保护影响评估。

四是鼓励制定落实条例相关要求的行为准则,并推行认证制度。

全新的跨境数据传输机制

一是禁止向无法提供充足数据保护的国家传输个人数据,充足数据保护国家名单由委员会决定,此条法律同美国《澄清境外数据合法使用法案》中的“适格国家”异曲同工。

二是在没有充分性决定的情况下,企业、组织或机构可以基于标准合同条款、约束公司规则等机制向欧盟境外传输个人数据,但是欧盟委员会会定期进行回顾(至少四年一次)。

我国企业面临的挑战

合法依规运营挑战

GDPR高额的处罚力度迫使企业寻求新法框架下的合规性运营。但是,GDPR是个人数据保护领域具有开创性的法律,其全新的法律原则、权利体系都尚存争议,有待进一步澄清和解释,例如数据可携带权、数据保护官制度、自动决策和画像等问题,而这些模糊性和不确定性对企业构建合规体系造成极大挑战。此外,由于GDPR设定了广泛的司法管辖权,因此可能产生与他国法律之间的冲突,比如微软隐私案,存在欧盟GDPR与美国SCA(存储通讯法案)间的法律冲突。法律冲突问题将导致企业在建立统一的合规体系、降低运营成本方面遭遇挑战。

业务拓展受限挑战

基于互联网、大数据、云计算、人工智能、区块链等信息技术发展起来的数字经济业态及服务模式,都将数据视为关键的生产要素,与用户个人数据的收集、控制、处理及利用密切相关。面对GDPR,企业面临维护个人隐私与充分发挥数据价值、寻求商业利益之间平衡的难题。以云计算为例,GDPR直接规定了云服务商和云客户之间的权利义务配置,如果没有控制者授权,数据处理者不能随意更换。与此对应,目前市场上云服务的集成、转售业态都将面临业务风险,因为客户(数据控制者)随时可以行使反对权。对于新兴的区块链技术,由于GDPR的中心化管理模式,以及对更正权、删除权、被遗忘权的固定,与区块链的去中心化、数据不可篡改等底层逻辑存在冲突,将使得企业在开发区块链应用时难以符合GDPR要求。

面临贸易壁垒挑战

在国际法律层面,各国之间关于个人信息保护的分歧未得到有效解决。1994年WTO框架下的《服务贸易总协定》(GATS)明确了成员国可以隐私保护为由限制跨境服务贸易。欧洲各国可通过WTO将成员国对数据处理和传播过程中的个人数据保护立法转变为一种合法限制国际自由贸易的措施。在贸易保护主义、“中国威胁论”重新抬头的环境下,“隐私保护”这一事由可能被国外监管机构或竞争对象滥用,中国企业可能面临“隐私保护不力”等贸易壁垒,成为实施双重标准、构建新式贸易壁垒的借口。

应对策略

政府层面

一是借鉴GDPR中关于“要求企业或组织向数据主体说明更多数据处理的相关信息”规定,增强企业数据处理活动的透明度。建议根据大数据时代特点,进一步就增强数据处理活动的透明度作出规定。例如,要求收集、处理个人信息需经主体同意,可以是明确的表示,也可以是行动上的表示;要求企业或组织将个人信息使用目的、应用情境、使用情况等向数据主体说明;在应用情境与原有使用目的不一致时,应进行突出说明;应当说明与第三方分享个人信息的目的、范围等。

二是明确数据主体对个人数据享有的权利。GDPR规定了数据主体对数据享有选择权、知情权、获取权、修改权等基本权利和删除权、携带权等新型权利。目前我国立法已部分确立了数据主体的同意权、知情权,但对于获取权、修改权、携带权等,还没有明确规定,建议确立上述权利,以增强主体对个人数据的控制。

三是建立数据泄露应急通告及应急处理方案。明确企业在个人信息泄露、毁损、丢失等情况发生时,应当立即通知可能受到影响的用户,并通知主管部门;及时采取技术手段防止泄露范围扩大,减轻泄露造成的影响;每年定期组织数据泄露应急处理抽查,监督企业执行情况。

四是对大数据分析和跨境数据流动明确管理细则。建议参考欧盟的相关规定,一方面对数据分析行为进行清晰界定,并明确,若自动化数据处理用于评估个人特定方面,如工作表现、信用、可信赖度、行为表现等,评估结果对个人产生法律效果或重大影响时,个人有权不受该评估结果的约束;另一方面,完善我国跨境数据传输规则和机制,有效控制有价值个人信息的向外流动。

企业层面

对于在欧盟范围内开展业务的而言,一是按照GDPR要求,理清职责,补齐短板,合规运营。企业首先要明确自己到底是属于数据的控制者还是处理者,或者是两者兼有,明确自身定位及其责任。其次理清自身与外部第三方企业的责任,识别数据的使用授权,明确与第三方进行数据服务交换的范围和方式,明确第三方使用数据的规则,并与第三方签订权责清晰的数据使用协议。最后制定数据使用、监管模型,其中包括数据收集、使用和监管等,并对照GDPR要求补齐短板。

二是构建个人隐私信息全生命周期保护体系。对于个人信息保护采取闭环管理的措施,在设计系统架构之初就应该把安全因素纳入架构设计范围,定期自查从定义数据格式到采集数据,再到分析展现,直至持久化存储的生命周期中,是否能够做到安全可控。此外注重产品和服务生态管理,健全第三方应用数据访问权限设置机制,包括建立严格的数据访问授权机制,最大限度地向用户披露第三方对个人信息的收集范围、目的和利用方式,设置便捷化操作实现用户对数据的查询、更改、删除等权利。

(作者单位:中国电子信息产业发展研究院,编辑李楠)