人们常说“互联网无隐私”,其实并非没有隐私,只是缺乏保护。2018年5月25日,被称为“史上最严”的欧盟《通用数据保护条例》(GDPR)生效。这一条例被广泛认为是目前全球主要经济体中,对数据信息保护管辖范围最宽、立法新意最多、处罚最为严厉的法律。中欧法律界人士指出,该条例不仅可能直接影响我国企业,具体规定和立法理念等也对包括我国在内的世界其他经济体有借鉴意义。
让法律扮演公民隐私“卫道者”
互联网时代,如果没有法律作为隐私的“卫道者”,侵犯隐私的下限就会不断被击穿。
GDPR最引人注目的,无疑是它对违法行为处以高额罚款。条例规定,对违反个人信息收集和使用的基本原则,以及没有保障数据主体权利的企业,最高可处以2000万欧元或全球营业额的4%(以较高者为准)作为罚款。
除了可能开出的“天价罚单”之外,直接使得GDPR在欧盟之外产生影响力的,是它采取的域外管辖原则。该条例不仅适用于欧盟域内的机构、企业,也适用于欧盟域外的组织、个人。正如法律界人士反复提醒的那样,欧盟之外的企业需要切记,即使是在欧盟之内没有分公司、代表处,没有雇员或“硬件”设施,但只要跟欧盟境内的数据“沾边”,都有可能受到GDPR“长臂”的影响。
此外,GDPR明确定义了“被遗忘权”“可携带权”等颇为新鲜的概念。根据条例,用户可在很多情况下随时要求掌握其数据的企业删除其个人数据、避免其个人数据被传播。“可携带权”赋予用户向掌握其数据的企业索取本人数据的权利,并且是以结构化、通用、可机读的方式进行接收,这意味着用户理论上将能够像管理金融资产一样对自身数据进行“搬家”。
不过,不同规模和种类的企业在GDPR下的合规负担并不相同。荷兰海牙世赫律师事务所首席合伙人布里奇特·斯皮尔勒说,尽管所有公司都必须遵守GDPR,但GDPR的一些要求并不适用于雇员少于250人的中小企业。如果与欧盟公民的个人数据处理活动无关或数据处理不是公司的业务活动或核心业务活动,则不会面临某些特定种类的风险。
考虑到GDPR的要求繁多且复杂,数据的收集、处理各个环节往往会涉及企业内部的法务、安全、IT、运营、市场、人力资源等多个部门,所以合规不应只被视为是企业内个别部门(例如法务)的事情。斯皮尔勒说,很多中国公司和欧洲公司都把重点放在业务上,但公司决策者一定要了解GDPR要求下数据处理的相关法律法规和技术过程。
中国企业应加快进行合规认证
GDPR生效当天,一些中国企业提供的互联网产品就对用户协议、隐私政策等进行“弹窗”提示,以取得欧洲用户的授权同意。
但在对这部法规的认识方面,不同企业间有较大差距。据金杜律师事务所合伙人吴涵介绍,一些国内大型互联网或物联网公司,早在2016年4月GDPR正式文本被公布时,就非常重视其宽泛的适用范围和极其严厉的罚则,认为极可能会对企业在欧洲市场的经营带来影响。这些中国企业持续密切关注条例落地与执法进程,非常积极地应对GDPR所带来的影响,不断更新隐私政策,发布新的产品版本,进行数据合规认证。
与此同时,仍有一些中国企业未进行合规认证。这些企业虽然也意识到巨额罚款的压力,但考虑到合规成本,仍持观望态度,倾向于在被调查或罚款之后再采取措施。“其中不乏主要业务集中于欧洲市场且有较高市场占有率的企业。这些企业在激烈市场竞争和GDPR对跨国企业格外关注的环境下,容易成为‘出头鸟’,面临较高的处罚风险。”吴涵说。
北京市中伦(上海)律师事务所合伙人周洋表示,相关领域一些需处理大量数据的大型中国企业,现在才开始着手GDPR合规工作,应该说在反应速度等方面存在不足。
不过,在欧盟执业经历丰富的布里奇特·斯皮尔勒说,即使在欧洲,大多数公司对GDPR的了解也并不充分。举例而言,根据GDPR,用户有权要求公司删除他的个人资料(即被遗忘权),但有的欧洲公司要求,如果用户希望公司删除其资料,需要提供本人护照的复印件。显然,护照复印件并不是用户删除个人数据所必须提交的资料。
厘清数据保护与产业发展边界
GDPR和我国现行数据保护制度有一些共性,比如在对个人信息处理的基本原则上,都强调数据主体知情同意,以及强调对个人信息主体权利的保障。
从立法角度看,GDPR对包括我国在内的世界其他国家和地区有借鉴意义。周洋认为,GDPR效力层级高,执法机构统一明了,内容全面详尽、可操作性强。相比之下,我国个人信息保护的法律规定则比较分散,可操作性有待提高,执法机构也比较分散,缺乏统一协调。
除了技术层面可资借鉴,欧盟多年来对个人信息保护的执着理念同样带来启示。事实上,GDPR的出炉带来的并非只有欢呼和掌声。质疑者认为,GDPR设立的较高门槛,无形中制造了市场障碍,会对创新产生抑制效应。尽管GDPR在制定过程中受到互联网业界尤其是美国互联网巨头的反对,但欧盟始终没有作出多少让步。
GDPR的目的,是从人的角度出发保护个人数据权利。在互联网技术快速发展的同时,电信诈骗、黑色数据产业链、滥用个人信息等现象越发猖獗。《中国网民权益保护调查报告2017》显示,我国57%的网民认为个人信息泄露严重,76%的网民亲身感受过个人信息泄露带来的不良影响。此前,美国社交网络公司Facebook被曝有超过5000万名用户资料被用来非法发送政治广告,这一大型数据泄露事件引起全球震惊。
周洋认为,欧盟在保护个人隐私上表现出来的坚定坚决,为我国处理上述问题提供了价值参考,那些为了降低企业合规成本而削弱个人信息保护的做法是本末倒置。这是GDPR给我们带来的深层次启示。
校对 丨 刘晓晗
主编 丨 王 镡
审核 丨 阮 莹
民主与法制社是由中国法学会主管的中央级新闻事业单位,拥有《民主与法制》杂志、《民主与法制时报》、民主与法制网、民主与法制移动新闻客户端等权威法制媒体。
微信号:minzhuyufazhishe
投稿邮箱:[email protected]
长按识别 二维码
閱讀更多 民主與法制社 的文章
