張瑤

一項(xiàng)即將在歐盟生效的法律，正前所未有地挑動全球范圍內(nèi)互聯(lián)網(wǎng)企業(yè)們的神經(jīng)。

許多歐洲用戶已體驗(yàn)到變化——5月開始，他們的谷歌和雅虎郵箱開始涌入大量網(wǎng)站和APP的條款更改通知;登錄許多APP時都被彈窗要求重新授權(quán);更有公司直接向用戶宣布自己要在5月24日起停止?fàn)I業(yè)。

2018年5月25日生效的歐盟新數(shù)據(jù)保護(hù)法規(guī)《通用數(shù)據(jù)保護(hù)條例》（下稱“GDPR”）是變化的起點(diǎn)。這部新法規(guī)將公民個人信息保護(hù)提到前所未有的高度，為信息的收集、管理和利用流程劃出明確紅線，違規(guī)企業(yè)最高可能面臨全球營業(yè)額4%的罰款。除重罰之外，其管轄范圍廣及任何一家與歐盟有相關(guān)貿(mào)易往來的數(shù)字經(jīng)濟(jì)企業(yè)。

隨著生效日期的臨近，大公司們開始自我審視，沒有誰敢輕言自己能做到百分之百合規(guī)。近日，剛在數(shù)據(jù)問題上引發(fā)信用危機(jī)的Facebook CEO扎克伯格稱，F(xiàn)acebook將在全球范圍內(nèi)推出與GDPR相關(guān)的數(shù)據(jù)控制措施。

電信產(chǎn)業(yè)資訊公司Ovum調(diào)查顯示，52%的受訪IT決策者預(yù)計(jì)GDPR將會“導(dǎo)致他們公司受到罰款”;三分之二的受訪者認(rèn)為這將“迫使他們改變歐洲業(yè)務(wù)戰(zhàn)略”;超過70%的受訪者預(yù)計(jì)會增加開支來滿足要求。

普華永道給出更明確的合規(guī)成本估計(jì)——77%以上公司計(jì)劃花費(fèi)68%的公司預(yù)計(jì)將花費(fèi)100萬到1000萬美元的投入;另有9%的企業(yè)預(yù)計(jì)將花費(fèi)超過1000萬美元。

GDPR代表了全球興起的數(shù)據(jù)保護(hù)立法潮的趨勢，美國、中國也在向歐盟靠攏。

近期，歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（European Data Protection Supervisor，下稱“EDPS”）主管Giovanni Buttarelli接受《財經(jīng)》記者專訪，回應(yīng)與歐盟新規(guī)有關(guān)的質(zhì)疑和困惑，介紹他對于隱私觀念變遷的看法。

他主管的EDPS是由歐委會任命的獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)，旨在通過實(shí)踐和立法加強(qiáng)歐盟數(shù)據(jù)保護(hù)和隱私標(biāo)準(zhǔn)，有監(jiān)管、建議等職權(quán)。早在2011年，EDPS提出重新審視歐盟數(shù)據(jù)保護(hù)法律框架建議，隨后，GDPR立法啟動并于2016年通過。在GDPR規(guī)定的數(shù)據(jù)保護(hù)委員會（EDPB）成立后，EDPS也將承接其常設(shè)秘書處。

Giovanni Buttarelli是意大利最高法院法官，自1997年起曾任意大利數(shù)據(jù)保護(hù)機(jī)構(gòu)秘書長，2014年起被歐盟議會和理事會任命為數(shù)據(jù)保護(hù)監(jiān)督主管。他參與過歐盟與美國達(dá)成的“隱私盾”數(shù)據(jù)流動框架，在GDPR及相關(guān)法律的立法過程中是積極的立法建議者?！斑@是一場數(shù)據(jù)保護(hù)的變革，但不是革命?！彼f。

公眾隱私焦慮上升

《財經(jīng)》：你有超過20年的數(shù)據(jù)和隱私保護(hù)經(jīng)驗(yàn)，是否觀察到公眾隱私憂慮的增長？

Buttarelli：是的，公眾隱私觀念和憂慮的增長正不斷上升。我從未看到數(shù)據(jù)保護(hù)議題如此敏感，每個人都在討論隱私和保護(hù)。這不僅僅發(fā)生在歐洲，在國際范圍內(nèi)都成為超越政治的議題——貿(mào)易協(xié)定正聚焦于如何融入數(shù)據(jù)的自由流動和保護(hù)規(guī)范;許多議題關(guān)注隱私安全、監(jiān)控、加密、證據(jù)以及法律執(zhí)行活動等。

數(shù)據(jù)保護(hù)正越來越成為一門科學(xué)，對個人數(shù)據(jù)的處理應(yīng)當(dāng)建立在專業(yè)的基礎(chǔ)上。

《財經(jīng)》：你認(rèn)為在當(dāng)下的大數(shù)據(jù)和AI時代，最大挑戰(zhàn)是什么？

Buttarelli：如今網(wǎng)絡(luò)社會中的公司擁有前所未有規(guī)模的個人完整數(shù)據(jù)，而個人則對自己的數(shù)字足跡失去控制。行業(yè)追求個人數(shù)據(jù)的最大化變現(xiàn)，出于商業(yè)或政治目的而被定位、畫像和評估的程度，已經(jīng)超越人們的控制和認(rèn)知，個人感受到無助，他們需要被賦予權(quán)利更好控制自己的信息。

我們所面臨的挑戰(zhàn)是兩面的：第一，要找到法律和技術(shù)上最有效的工具，幫助個人在算法和大數(shù)據(jù)時代實(shí)現(xiàn)自主權(quán);第二，挑戰(zhàn)“大數(shù)據(jù)思維”的數(shù)字公司應(yīng)當(dāng)基于對個人信息的尊重來開發(fā)可持續(xù)的商業(yè)模式，而不是進(jìn)行“數(shù)據(jù)的獨(dú)裁”。

《財經(jīng)》：一個擔(dān)憂是，找到公司非法利用或者錯誤處理數(shù)據(jù)的證據(jù)對個人來說很難。這是當(dāng)我們在討論個人信息保護(hù)時所面臨的最大挑戰(zhàn)嗎？

Buttarelli：個人感受到失控的原因有很多，不止你提到的難以獲得證據(jù)。還有：算法決策的不透明性;在一個復(fù)雜的數(shù)據(jù)生態(tài)系統(tǒng)中，非法處理數(shù)據(jù)者的責(zé)任分配等都構(gòu)成挑戰(zhàn)。相比而言，捆綁合同、不公平的服務(wù)只是增加了一些困難。

GDPR考慮到了這些挑戰(zhàn)。它首次明確承認(rèn)，數(shù)據(jù)權(quán)利組織可以成為個人和系統(tǒng)之間的中間人，可以在法庭上代表個人的利益，幫助個人尋找有效救濟(jì)。我非常支持這一條款——個人不能在為自己的權(quán)利而戰(zhàn)時被孤立。

法規(guī)是否過于嚴(yán)苛

《財經(jīng)》：GDPR提出的許多新權(quán)利備受關(guān)注，如基于隱私的設(shè)計(jì)（Privacy by design），企業(yè)在進(jìn)行個人數(shù)據(jù)處理時，應(yīng)采取匿名化、數(shù)據(jù)最小化等必要技術(shù)措施;默認(rèn)隱私保護(hù)（Privacy by default），默認(rèn)情況下，個人數(shù)據(jù)僅在必要時才能被收集和使用;數(shù)據(jù)可攜帶權(quán)，用戶有權(quán)向企業(yè)索取有關(guān)自己的個人信息，并自主決定用途，這意味著用戶可以在不同網(wǎng)站間進(jìn)行個人數(shù)據(jù)“搬家”，實(shí)現(xiàn)自己數(shù)據(jù)資產(chǎn)的管理;等等。這些新權(quán)利背景下，GDPR有何進(jìn)一步重要意義？

Buttarelli：首先，它加強(qiáng)了數(shù)據(jù)主體的權(quán)利，規(guī)定了許多新的權(quán)利，比如數(shù)據(jù)可攜帶權(quán)等。雖然“默認(rèn)隱私保護(hù)”和“基于隱私的設(shè)計(jì)”是公司的義務(wù)而非公民的權(quán)利，但它們的有效實(shí)施也將增強(qiáng)用戶權(quán)利。

其次，加強(qiáng)了商業(yè)主體的責(zé)任。數(shù)據(jù)控制者們被要求在進(jìn)行數(shù)據(jù)處理之前更好地評估影響，并對其行為負(fù)責(zé)。

最后，只要是向歐盟范圍內(nèi)提供服務(wù)的公司等數(shù)據(jù)控制者，即便建立在歐盟以外，GDPR也對其適用。我們希望歐盟范圍內(nèi)的法規(guī)統(tǒng)一適用，即一站式監(jiān)管，實(shí)現(xiàn)歐盟范圍內(nèi)只需向一個法律機(jī)構(gòu)提供電話號碼、電子郵箱和聯(lián)系人，而不是向28個成員國分別提供。

GDPR既有對舊規(guī)則的延續(xù)，也有許多創(chuàng)新。許多公司正在采取措施調(diào)整做法，有很多積極信號。我們正在接近大數(shù)據(jù)世界，需要以未來為導(dǎo)向，使規(guī)則在數(shù)字社會中被很好地應(yīng)用。

《財經(jīng)》：許多從業(yè)者認(rèn)為法規(guī)過于嚴(yán)苛，因此不能有效實(shí)施，你認(rèn)為這是個問題嗎？

Buttarelli：我認(rèn)為恰恰相反。GDPR生效前的一個現(xiàn)實(shí)是，遵守數(shù)據(jù)保護(hù)法規(guī)與否對于公司來說不重要，他們甚至為可能的制裁準(zhǔn)備好了預(yù)算。但未來完全不同，當(dāng)人們有選擇性地對待這一法規(guī)時，特別是嚴(yán)重而反復(fù)違法時，會受到嚴(yán)厲的制裁。

我們也會引入其他國家關(guān)于執(zhí)行法律的經(jīng)驗(yàn)。過去，歐洲一直被批評有堅(jiān)實(shí)的理論基礎(chǔ)而缺乏強(qiáng)有力的執(zhí)行能力。

世界上121個國家如今有數(shù)據(jù)隱私保護(hù)條例，這些條例部分復(fù)制了歐盟原則。近期有人在國際研究中指出，中國關(guān)于個人信息保護(hù)的新國家標(biāo)準(zhǔn)也許在某些方面比歐盟更為嚴(yán)格。

《財經(jīng)》：具體你們會采取什么措施確保它的執(zhí)行？

Buttarelli：在執(zhí)行方面，首先要成立一個新委員會以替代現(xiàn)存的咨詢性組織——第29工作小組。

這一新實(shí)體被稱為歐洲數(shù)據(jù)保護(hù)委員會（EDPB），我的數(shù)據(jù)保護(hù)專員機(jī)構(gòu)（EDPS）會是這個組織的成員，并且接手其常秘書處。我們會確保委員會的新權(quán)力被負(fù)責(zé)任地行使。比如，在捆綁條款、認(rèn)證標(biāo)準(zhǔn)、公司行為準(zhǔn)則等方面發(fā)表意見和進(jìn)行授權(quán)。我們也會更深入地向企業(yè)提供咨詢意見，將他們的意見帶到委員會。這一機(jī)構(gòu)在GDPR實(shí)施的第一天就會開始工作。

其次，GDPR不僅意味著責(zé)任和義務(wù)，也是商業(yè)機(jī)會。因?yàn)樯婕盎陔[私的設(shè)計(jì)、默認(rèn)隱私、數(shù)據(jù)安全、認(rèn)證、合格鑒定、行為準(zhǔn)則以及數(shù)據(jù)保護(hù)官等方面，會是世界小中型企業(yè)可以發(fā)揮的市場機(jī)會——它們可以提供服務(wù)幫助數(shù)據(jù)控制者合規(guī)，我認(rèn)為這一市場潛藏著無限潛力。

《財經(jīng)》：要維護(hù)數(shù)據(jù)權(quán)利的個人會得到什么支持？

Buttarelli：個人在尋求信息、進(jìn)行聲明或者投訴時會得到更多支配權(quán)，不論他們居住地在哪里、屬于哪一個成員國，都可以向法院或者獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)提出訴求。GDPR確認(rèn)，在個人希望被通知、確認(rèn)或驗(yàn)證數(shù)據(jù)的質(zhì)量時，或者對于合法權(quán)益希望得到答案的時候，數(shù)據(jù)控制者們有給予快速回應(yīng)的義務(wù)。

《財經(jīng)》：個人的被遺忘權(quán)為什么很重要？

Buttarelli：被遺忘權(quán)早已存在，不是歐盟的發(fā)明，在許多國家是法律傳統(tǒng)。一個小的創(chuàng)新之處在于，例如，數(shù)據(jù)主體可以直接去找谷歌尋求錯誤信息的刪除，而不是通過很多步驟先找到原始信息源網(wǎng)站，再訴求搜索引擎作出更改。

《財經(jīng)》：隱私保護(hù)和數(shù)據(jù)保護(hù)有何區(qū)別？

Buttarelli：二者在里斯本條約中是被分別規(guī)定的，在許多成員國的法律系統(tǒng)中也是。隱私更多涉及親密層面，涉及“孤獨(dú)生活”而不被披露某些敏感信息的權(quán)利。數(shù)據(jù)保護(hù)超越這一點(diǎn)，它給你作為數(shù)據(jù)主體的另一項(xiàng)獨(dú)立的基礎(chǔ)權(quán)利。這在實(shí)踐中意味著，別人處理關(guān)于你的個人信息的方式，不管其是否屬于隱私，都是你的權(quán)利。你有權(quán)要求信息安全，有權(quán)在你需要的時候獲得關(guān)于你的全部信息。

《財經(jīng)》：除了GDPR，還會有更多為了個人信息保護(hù)而需要做的法律變化嗎？

Buttarelli：GDPR的成功很大程度上取決于歐盟數(shù)據(jù)保護(hù)和隱私框架其他要素的部署和完成。不過，現(xiàn)在仍有許多缺失，例如E-privacy 法規(guī)。因?yàn)镚DPR需要與確保電子通訊秘密的規(guī)則相輔相成，現(xiàn)在是時候停止使用追蹤技術(shù)來逃避檢測，停止不斷增加的數(shù)據(jù)收集周期。我希望立法機(jī)關(guān)能盡快完成網(wǎng)絡(luò)隱私的“交通法規(guī)”。

僅有法律也是不夠的。我們還需要投資于隱私增強(qiáng)技術(shù)以及加密技術(shù)，需要一套可持續(xù)的立場，說明國家和執(zhí)法部門應(yīng)如何獲取商業(yè)和私人數(shù)據(jù)——人們不應(yīng)該持續(xù)地被在線監(jiān)控和控制。

最后，正如我之前提到的，我們需要一些關(guān)于數(shù)據(jù)流動的國際標(biāo)準(zhǔn)來補(bǔ)充貿(mào)易協(xié)定。

保護(hù)數(shù)據(jù)會阻礙創(chuàng)新嗎？

《財經(jīng)》：你同意GDPR是世界上最嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)，并將殺死很多商業(yè)機(jī)會的說法嗎？

Buttarelli：不同意。我們生活在一個現(xiàn)代化的世界上，這里信任和開放都是本質(zhì)的需求。對大數(shù)據(jù)世界來說，沒有不斷提升的透明度就沒有成熟的改革。

我們堅(jiān)信并承諾，保護(hù)數(shù)據(jù)和隱私不是創(chuàng)新或者經(jīng)濟(jì)增長的障礙，所以我們希望促進(jìn)歐盟內(nèi)部市場數(shù)據(jù)的流動。

問題可能出現(xiàn)于那些數(shù)據(jù)過度集中在少數(shù)手里的商業(yè)模式以及政治原因等，但這些其實(shí)與GDPR的影響無關(guān)。

《財經(jīng)》：在歐盟運(yùn)營的大公司和數(shù)據(jù)控制者們現(xiàn)在準(zhǔn)備得如何？

Buttarelli：我在數(shù)據(jù)保護(hù)領(lǐng)域已經(jīng)全職工作超過23年。回顧20年前，許多公司在爭辯規(guī)則、請求延期執(zhí)行或?qū)捪奁诘取，F(xiàn)在，特別是科技巨頭們，都急于宣稱他們愿意承擔(dān)責(zé)任。

這一法規(guī)施行前他們曾有兩年的時間準(zhǔn)備。我們相信，特別是大的機(jī)構(gòu)和公司能夠很快遵守合規(guī)，不過，只有國家數(shù)據(jù)保護(hù)機(jī)構(gòu)通過調(diào)查和審計(jì)，才能決定他們的努力是否足夠。也許小中型企業(yè)在合規(guī)上會存在問題，這是我們作為獨(dú)立的監(jiān)管者將會關(guān)注的地方。

《財經(jīng)》：數(shù)據(jù)保護(hù)擔(dān)憂會否成為中國高科技企業(yè)進(jìn)入歐盟市場的一個壁壘？你對此有何建議？

Buttarelli：任何企業(yè)在歐盟向個人提供服務(wù)和商品，都應(yīng)當(dāng)遵守GDPR。公司應(yīng)當(dāng)采取行動決定他們是否屬于被監(jiān)管主體。歐盟法院的判例明確指出，國家對數(shù)據(jù)保護(hù)和隱私權(quán)利的任何干涉都必須是適當(dāng)和必要的，這也適用于對任何商業(yè)持有數(shù)據(jù)的獲取。

這些都是基本要求，不僅適用于中國的高科技企業(yè)，也適用于所有想在歐盟做生意的企業(yè)。

《財經(jīng)》：為什么GDPR這項(xiàng)數(shù)據(jù)保護(hù)法規(guī)在全世界都受到關(guān)注？

Buttarelli：GDPR標(biāo)志著數(shù)據(jù)保護(hù)文化的變革。許多基本規(guī)則體現(xiàn)在里斯本條約中，有著和憲法一樣的價值。