隨著歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)的實施,坊間言必稱GDPR,不談GDPR則看似落伍,甚至立法中引入GDPR成為一種“政治正確”,與“國際接軌”。
但我們真的搞明白GDPR了嗎?筆者在這裡想聊聊GDPR的一些怪現狀。
(蔡雄山 騰訊研究院法律研究中心副主任,首席研究員)
一、立法龐雜,難以消化
GDPR英文原文加上序言約200頁左右,一本書的分量,且歐盟為了進一步闡釋GDPR,陸續頒佈了一系列配套Guidance (指南),分量不小。就一個立法確立如此龐雜的體系,也創立法之最。
目前大談GDPR大有人在,不知業內有多少人系統讀過這一系列原文?整體認為,當前我們的研究和理解還是遠遠不夠的。
二、解讀眾說紛紜,執法有很大不確定性
GDPR難以理解,一方面在於立法龐雜,另一方面,在於其創設了一系列新的概念及制度等,加劇瞭解釋的困難。如被遺忘權、數據可攜權等,此類權利適用的尺度及條件解讀不一,增加了執法的不確定性。
筆者曾於近期作為中歐數字經濟專家組成員參加了中歐數字經濟專家對話,GDPR再次成為討論焦點。當我問及歐方專家如何解釋立法中的“legitimate interest”(合法利益)時,對方只能舉例回答,如酒店裝了攝像頭,是為了安保,這就是legitimate interest,不需要取得同意。
但問題在於,現實生活複雜多變,法律解釋應該有確定性,如果只能通過列舉形式解釋,將極大增加執法的不確定性。
無獨有偶,筆者近期參加了斯坦福大學舉辦的一個互聯網法律政策會議,期間GDPR也是討論的焦點。
有趣的是,圓桌討論中Google 、Facebook、Amazon 、Ebay相關負責人,以及來自愛爾蘭的頂尖律所合夥人等明確表示,說實話他們也搞不明白GDPR,並認為GDPR是“Lawyer full employment law ”(大意為,“不會讓律師失業的法律”)。
期間還對data processor(數據處理者) 和data controller (數據控制者)的區分進行了激烈的爭論,難以達成一致。此類會議應該聚集了全球業內頂尖大咖,但感覺是大家的理解難以達成一致。
正因為如此,目前全球企業應對GDPR也有截然不同的兩種反應。有的過度反應,大規模向用戶發送郵件,有人說GDPR造就了人類歷史上最大規模的“垃圾郵件”潮。
國外媒體報道一些企業更新的用戶協議打出來可以鋪滿一個足球場。甚至有的企業直接關停了向歐盟用戶服務的網頁,即使如此也心懷忐忑,這樣就符合GDPR了嗎?另一類企業則無動於衷,認為GDPR和自己沒啥關係,或者認為都可以用“合法利益”條款來免責。
三、影響難以評估
經常有人問起GDPR對企業的影響,但我覺得可能目前很難評估,增加企業合規成本僅僅是其中一項。主要原因在於法律解釋的不確定性太大,可能走向過度反應與無動於衷兩個極端,其結果自然截然不同。
國外有媒體認為,評估GDPR的影響,應該是20年後的事情。但近期一個相關例子值得一提,即GDPR實施後Icann起訴德國域名服務商EPAG。
EPAG為域名服務商,與ICann有協議負責幫後者維護其Whois系統,即收集域名註冊的相關信息,以供查詢等。但GDPR實施後EPAG拒絕收集相關信息,認為違背GDPR。而Whois系統為全球互聯網域名的重要部分,域名等關鍵資源關係到互聯網的安全與穩定。
目前一審法院駁回了原告的請求,上訴還在進行中。由此可見,其影響在各行各業正在顯現出來,甚至影響到管理互聯網關鍵資源的組織ICANN,而且有的甚至是根本性的。
GDPR的一些影響,我認為歐委會也並沒有事先考慮到,需要隨著實踐發展不斷評估。
四、最後,歐盟委員會真的搞明白他們在做什麼了嗎?
以前只是從資料及文章研究分析歐盟在互聯網立法方面的保守,如歐盟對於分享經濟的禁止等。近期與歐盟相關人員交流,才真正發現,他們的理念更多停留在工業時代。在此類理念的指導下,可以看出歐盟並不適合互聯網企業的成長。
目前全球市值前十的公司中,基本都是中國和美國公司,沒有一個來自歐盟。由於互聯網企業較弱,在立法中並沒有能積極反應訴求,也是導致GDPR如此嚴苛的一個原因。
我在中歐數字經濟專家組對話中舉了一箇中國發展“三十年河東,三十年河西”的例子。
10多前在巴黎,我很驚訝路邊的攤販都可以有POS機,支持信用卡支付,非常先進。而10多年後,今天中國路邊的攤販賣紅薯都可以用微信支付。移動支付應該是中國互聯網發展的一個縮影,是我們可以彎道超車的一個例子。
我們的傳統金融基礎設施並沒有他們做得好,但我們可以通過技術手段實現彎道超車,滿足老百姓日益增長的物質文化生活需要,這也同樣需要我們在制度建設方面促進創新。
如果沿用歐盟模式,片面強調監管,將遏制創新,在我國“人口多,底子薄,經濟文化落後”的情況下,難以滿足老百姓日益增長的物質文化生活需要。
縱觀當前各國數據保護立法,歐美採納了不同路徑:統一立法與分散立法;專門監管機構與非專門監管機構;行政主導與行業自律;數據限制流動與數據自由流動;人權保障理念與消費者權益保護理念。
當前數據保護制度面臨如下挑戰:技術與商業模式變革,導致個人數據概念不斷擴展,界限模糊;個人數據財產權性質凸顯,挑戰傳統制度框架;國家安全價值與個人數據保護價值衝突與選擇;數據跨境流動日益頻繁,域外管轄情況複雜等。
回到中國數據保護制度建設,筆者認為還是要立足中國發展情況,不要盲目崇洋媚外,囫圇吞棗,而應該“取其精華,棄其糟粕”。甚至在產業高速發展、國外沒有足夠經驗和樣本可以借鑑時,需要我們自己進行制度創新。
在人工智能與大數據時代,毋庸置疑需要加強數據保護,但也應該促進創新,讓制度建設成為生產力和軟實力,走出適合中國發展的“第三條道路”。
五、數據保護也呼喚新的國際規則
以歐盟剛剛實施的GDPR為例,其確立了“長臂管轄”原則,即歐盟立法可以管轄歐盟之外向歐盟居民提供服務的企業。今年美國也通過了雲法案,即可以通過程序調取美國境外企業的數據。
隨著數據跨境流動日益頻繁,各國在數據管轄方面的衝突可能體現出來。
農業時代確立了產權規則,工業時代確立了知識產權規則,人工智能時代呼喚數據規則,而當前該規則正在行成過程中,需要各國加強交流與合作,共同推進此類國際規則的形成。
閱讀更多 騰訊研究院 的文章
