谷歌最近又在歐洲被處罰了。據報道,法國數據保護監管機構對谷歌公司處以5000萬歐元的罰款,理由是其在用戶個人信息保護和數據處理上違反了歐盟《通用數據保護條例》(簡稱GDPR)中的相關規定。儘管這只是歐洲針對美國公司的一次個案處罰,但其指向的卻是包括我國在內當下各國在網絡空間普遍遭遇的問題。
大數據時代,個人的表達和行為都會轉化為數據,成為驅動數字經濟和社會發展的戰略性資源。但技術是一把“雙刃劍”,個人數據的過度收集、濫用及隱私洩露問題愈加突出。正基於此,歐盟於2016年通過了《通用數據保護條例》,代替1995年頒佈的《個人數據保護指令》,從“指令”上升為“條例”,效力層級更高,保護力度更大。這次谷歌收到的罰單,是GDPR生效以來單個公司遭遇的最大一張。
從現實來看,作為處罰依據的GDPR,為全球數據治理提供了一套具有前瞻性且相對嚴謹的個人信息保護制度,對於我們國家的網絡治理很有啟發。
一是高標準中的嚴要求。GDPR被譽為史上最嚴個人信息保護法,該法通過制度設計賦予數據處理機構較高的法律義務。比如數據處理前的事先諮詢和影響評估制度,處理中的默認不可訪問制度,數據洩露後的72小時報告制度等。這次谷歌被處罰的原因之一,就是將用戶“同意”選項設定為“全局默認設置”。同時,責任追究力度也達到了空前的高度,歐盟對違法者可以處以最高達到其全球年收入的4%或2000萬歐元的罰款,並以數額最高者為準。
二是私權利外的公救濟。在“個人信息自決”的立法理念下,GDPR賦予個人針對其數據的訪問、查詢、糾正、刪除等一系列權利。為確保上述權利得到執行,法律還賦予了監管機構在責任認定等方面較大的自由裁量權,並構建了從投訴、受理到處罰的一整套行政監管與救濟制度,通過強化公法救濟來彌補普通司法救濟的不足。
三是老目標下的新舉措。個人信息保護並非對個人權益的絕對化保護,本質上是尋求個人權益與公共利益、保護個人信息與促進信息流動之間的平衡。GDPR為適應大數據時代“收集先於目的”的數據挖掘模式以及公民主動披露信息的社交習慣,首創了“被遺忘權”制度,允許權利人能夠基於一定理由在事後刪除其信息,同時又設置了行使被遺忘權的限制條件,以確保權益保護與信息流通平衡目標的實現。
四是重形式上的強執行。GDPR特別強調數據處理機構在形式要件上的合規。比如要建立數據記錄制度,對個人信息處理要實現文檔化管理,在技術系統和人員培訓上要制定明確制度以備檢查,僱員達到一定規模的還要設置專門的數據保護官。從實踐來看,正是得益於這些細緻又可量化的形式要件,數據處理機構對法律制度的重視與執行力度在不斷加強。
當前我國互聯網行業已經走在了世界發展前列,但是在個人信息保護方面一直沒有專門立法。短期來看,國內企業可以基於國內外政策環境的不同而制定不同方案。但從長遠出發,儘快推動《個人信息保護法》的出臺,才是應對未來信息安全挑戰的長久之計。在充分考慮國情的基礎上,GDPR為代表的一些有益做法值得借鑑,但也要看到我國的特殊性。網絡治理模式幾經轉變,成為共識的全球方案沒有出現,我國互聯網處於潮頭,遭遇的許多問題都是新的,確實無域外經驗可借鑑。這個意義上,保護信息安全,還是要靠我們自己在制度構建上有所創新。
(作者 周衝系中央人民廣播電臺主任編輯,法律顧問)
來源:北京日報 作者:周衝
流程編輯:郭丹
