特約撰稿人|云晴

GDPR條例已于2018年5月正式生效。這一數(shù)據(jù)保護條例的背景是移動互聯(lián)網(wǎng)高速發(fā)展帶來隱私數(shù)據(jù)保護需求爆發(fā)、歐盟期望通過保護用戶數(shù)據(jù)權利的方式獲得更多在互聯(lián)網(wǎng)領域的話語權、歐盟通過建立個人數(shù)據(jù)保護標準推動數(shù)據(jù)產(chǎn)業(yè)發(fā)展從而形成對發(fā)達互聯(lián)網(wǎng)國家競爭能力。

大數(shù)據(jù)的開放和利用中，做好規(guī)則設計和角色的職責劃分是最為重要的前提條件之一。用政策和規(guī)則明確地說明對數(shù)據(jù)的理解和應用的邊界很重要，一定要盡可能先行，要有規(guī)則框架和體制框架的思維。數(shù)據(jù)應該開放哪些，開放到什么程度，公眾可以以怎樣的方式使用這些數(shù)據(jù)（避免數(shù)據(jù)濫用），這些問題都需要通過立法的形式得到確認，這為政府部門開放數(shù)據(jù)給出了規(guī)則，這一點非常重要。

GDPR保障了個人選擇的權利

2016年，歐洲議會投票通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR），該條例已于2018年5月正式生效。這一數(shù)據(jù)保護條例的背景是移動互聯(lián)網(wǎng)高速發(fā)展帶來隱私數(shù)據(jù)保護需求爆發(fā)、歐盟期望通過保護用戶數(shù)據(jù)權利的方式獲得更多在互聯(lián)網(wǎng)領域的話語權、歐盟通過建立個人數(shù)據(jù)保護標準推動數(shù)據(jù)產(chǎn)業(yè)發(fā)展從而形成對發(fā)達互聯(lián)網(wǎng)國家競爭能力。因此GDPR的推出作為信息行業(yè)重要管制政策之一，得到了極大的關注。

和中國由政監(jiān)合一的政府組成部門實施電信管制不同，歐盟在引入競爭實現(xiàn)私有化之后，為了使得管制機構能盡最大可能促進市場競爭，管制主導企業(yè)濫用市場勢力，在各個成員國設立了獨立的管制機構。而管制的權利則來源于立法，向國會等立法機構負責。也就是說，歐盟的條例（regulation）規(guī)定了各成員國所要達到的目標和為了實現(xiàn)這些目標所采用的實施手段所遵循的原則，而條例必須在歐盟各國內(nèi)轉化為國內(nèi)法才能夠得以實施。例如條例中所規(guī)定的一些數(shù)據(jù)保護的通用（基本）原則，包括收集限制原則、數(shù)據(jù)質量原則、說明目的原則、利用限制原則、安全保護原則、開放性原則、個人參與原則和負責任原則等，都對歐盟成員國在相關立法中指明了原則性的方向。

在1995年頒布的《個人數(shù)據(jù)保護指令》的基礎上，為了適應在新的社會經(jīng)濟環(huán)境下數(shù)據(jù)的要求，GDPR引入了很多新的內(nèi)容。如加強個人數(shù)據(jù)權利保護、強化企業(yè)維護數(shù)據(jù)安全的責任、限制企業(yè)針對個人的數(shù)據(jù)分析活動、加強對數(shù)據(jù)跨境轉移的監(jiān)管等。

例如在個人數(shù)據(jù)權利保護方面，條例體現(xiàn)出以人為本、注重用戶權益保護的設計原則。在歐盟的條例設計過程中，用戶權益的保護始終作為首要目標選擇。但與此同時，歐盟認為，促進市場的有效競爭是保護用戶權益的最主要手段。因此我們會看到在條例中有這樣的條款：“在以直接營銷為目的的個人數(shù)據(jù)處理情形下，數(shù)據(jù)主體有權在任何時候、無需支付任何費用拒絕該類處理方式——包括與此類直接營銷相關的客戶畫像（profiling）分析。這一權利應該讓數(shù)據(jù)主體得到明確的關注，應該清晰表達并獨立于其他信息?！?/p>

“客戶畫像”指任何通過自動化方式處理個人數(shù)據(jù)的活動，該活動服務于評估個人的特定方面，或者專門分析及預測個人的特定方面，包括工作表現(xiàn)，經(jīng)濟狀況、位置、健康狀況、個人偏好，可信賴度或者行為表現(xiàn)等。這是數(shù)據(jù)應用于市場最有價值的部分之一。因此該條款一方面表達了數(shù)據(jù)可以用于直接營銷為目的客戶畫像，給出了數(shù)據(jù)在市場中應用的價值；另一方面很明確地指出了數(shù)據(jù)主體的權益，保障了個人選擇的權利。

在強化企業(yè)維護數(shù)據(jù)安全的責任方面，該條例明確了數(shù)據(jù)處理者的法律責任。盡管數(shù)據(jù)處理者僅負責使用特定的方法對數(shù)據(jù)進行分析而不參與數(shù)據(jù)搜集和具體使用環(huán)節(jié)，但《條例》仍將其納入了監(jiān)管范疇并明確規(guī)定，數(shù)據(jù)處理者必須在《條例》的框架下切實履行保護數(shù)據(jù)主體個人隱私權利不受侵犯的責任。與此同時，《條例》要求建立企業(yè)數(shù)據(jù)保護專員制度，通過加強與數(shù)據(jù)主體的溝通和自我監(jiān)管，提升企業(yè)數(shù)據(jù)的管理水平。《條例》還對在數(shù)據(jù)采集和萬一發(fā)生數(shù)據(jù)泄露事件時對數(shù)據(jù)主體履行告知業(yè)務，做出了要求。

在數(shù)據(jù)保護影響評估方面，數(shù)據(jù)控制者、數(shù)據(jù)處理者還需要對擬建數(shù)據(jù)處理系統(tǒng)進行評估，以識別系統(tǒng)對數(shù)據(jù)保護可能產(chǎn)生的特定風險，評估的內(nèi)容至少應包括對擬進行的數(shù)據(jù)處理活動的描述、對數(shù)據(jù)主體權利造成的風險以及應對風險的措施。此外，數(shù)據(jù)的控制者和使用者必須做好數(shù)據(jù)的留存待查。這也是GDPR給數(shù)據(jù)主體提供的最后一道保護防線。

在限制企業(yè)針對個人的數(shù)據(jù)分析活動方面，這一條例對數(shù)據(jù)使用管理范圍進行了拓展：除了歐盟內(nèi)產(chǎn)生和處理的個人數(shù)據(jù)之外，條例還適用于設立在歐盟內(nèi)的控制者或處理者對個人數(shù)據(jù)的處理——無論其處理行為是否發(fā)生在歐盟內(nèi)。這樣一來，只要是在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務，數(shù)據(jù)的控制者或處理者就必須遵循這個條例。

美國政府的隱私保護思路

由上述所舉的幾個例子我們可以感受到這一數(shù)據(jù)保護條例設計的一些指導思想。事實上GDPR在隱私保護理念、立法模式以及法律內(nèi)容等方面和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)達的美國存在較大的差異。美國1996年的《信息自由法案》指出，除了可能危害國家安全的機密信息、執(zhí)法記錄以及侵犯他人隱私的信息等9種豁免情況之外，美國政府機構，包括所有執(zhí)行分支部門、機構和政府機關、聯(lián)邦管理機構和聯(lián)邦公司必須向公眾公開所有信息。2009年，奧巴馬政府甚至提出開放政府的概念。美國政府希望通過公布有關政府工作內(nèi)容的信息、明確責任參與權、允許公眾人士提出自己的想法和專業(yè)意見來幫助政府做出明智的決定。

實踐上可以通過觀察Data.gov就能夠看到美國政府對數(shù)據(jù)開放的指導思想——該平臺主要目標是開放美國聯(lián)邦政府的數(shù)據(jù)，通過鼓勵新的創(chuàng)意，讓數(shù)據(jù)走出政府，得到更多的創(chuàng)新型運用。一般情況下，政府、社會與企業(yè)可以從Data.gov免費下載數(shù)據(jù)，還可以利用Data.gov提供的API實現(xiàn)豐富的第三方應用的開發(fā)。與此相對，歐盟則將公民的隱私權劃歸為最基本的人權保護范疇。

GDPR對全體公民的個人隱私數(shù)據(jù)采取統(tǒng)一的司法保護，劃定了統(tǒng)一的標準和原則；而美國則采取典型的分類保護模式，從不同行業(yè)的特點、數(shù)據(jù)保護的目的和手段等因素出發(fā)，分別執(zhí)行不同的數(shù)據(jù)保護方式。例如上述提到的美國政府數(shù)據(jù)開放平臺Data.gov就提供了9種分類方式，其中比較重要的包括以下方面: 主題(Topic)主要是按照數(shù)據(jù)集的內(nèi)容進行分類，主題分類(Topic Categories)是對數(shù)據(jù)主題更精確細致的分類，數(shù)據(jù)集類型(Data Type) 包括地理數(shù)據(jù)和非地理數(shù)據(jù)兩種類型……

與之比較，GDPR對數(shù)據(jù)所有者權利的保護真可以稱得上是“無微不至”了。數(shù)據(jù)主體的同意是指數(shù)據(jù)主體自愿給出的具體的、有根據(jù)的、詳細的表明其意愿的說明，該說明可以通過聲明或明確肯定的行動表示。同時，數(shù)據(jù)主體還有權在任何時候撤回同意。也就是說，數(shù)據(jù)的控制者和使用者不僅要說服數(shù)據(jù)主體以“充分表達主觀意愿”的方式授權數(shù)據(jù)使用，還需要保證在使用過程中數(shù)據(jù)主體不要“變卦”撤回。從這個角度也能觀察到對“數(shù)據(jù)自由”美歐之間存在巨大的理解差異。

條例的制定可以很完善，各種維度也可以很周全，但具體條例的實施落地也是不能夠忽視的問題。例如GDPR賦予了數(shù)據(jù)主體對自身數(shù)據(jù)的被遺忘權和刪除權，這從設計出發(fā)點上很不錯。但在實踐中，被遺忘權和刪除權的實現(xiàn)并不容易。例如，互聯(lián)網(wǎng)上的信息發(fā)布之后，將會有轉載、擴散發(fā)布等可能，在這種情況下，被遺忘權和刪除權的實現(xiàn)將會耗費大量的資源。個人數(shù)據(jù)在使用同意授權后，可以隨時取消授權。如果這些同意授權的數(shù)據(jù)已經(jīng)得到廣泛應用，“取消授權”可能會帶來的損失完全由數(shù)據(jù)的控制者和使用者來承擔是否公平？因此GDPR不應該教條地理解成為“對個人隱私數(shù)據(jù)最為嚴格地保護”，而是尋找個人隱私權與企業(yè)利用數(shù)據(jù)尋求發(fā)展機會之間的平衡——只有這樣，GDPR的存在才會更具現(xiàn)實意義和生長活力。

GDPR的正式生效，從“嚴格保護數(shù)據(jù)主體權利”的角度提供了一個成功實踐，提供了與美國政府“保護信息自由”全然不同的角度。在深化個人數(shù)據(jù)保護的透明度、強化企業(yè)的信息安全治理義務、提升對數(shù)據(jù)主體的賦權的力度、增加對數(shù)據(jù)侵權行為的懲罰力度與對數(shù)據(jù)主體的有效補償、推動數(shù)據(jù)跨境流動等方面，我們都能夠得到很多啟發(fā)。然而，數(shù)據(jù)使用保護政策還是一個與對“數(shù)據(jù)自由”理解相關性很強的問題。熟悉條例，便于和歐盟開展數(shù)據(jù)領域的合作；想要管好數(shù)據(jù)，還需要更好地回答關于“數(shù)據(jù)自由”的一些問題。