□文│趙如涵 袁 玥

進入21 世紀以來，政治與經濟領域對數(shù)字平臺和網絡生態(tài)系統(tǒng)進行了全方位滲透，從根本上影響了文化產業(yè)的運營與平臺政治，即互聯(lián)網的 “平臺化”（platformization）成為全球發(fā)展趨勢。[1]“平臺化” 以縱橫結構的數(shù)據整合為基礎，力圖達到信息使用價值的最大化。針對大規(guī)模數(shù)據獲取與處理帶來的安全與倫理問題，2018 年5 月25 日，歐盟《通用數(shù)據保護條例》（General Data Protection Regulation，以下簡稱GDPR）正式執(zhí)行，其影響范圍包括所有涉及收集歐盟公民數(shù)據或向其提供服務的全球信息平臺。平臺驅動下的新聞業(yè)（Platform-driven Journalism）也不可避免地受到了GDPR 的影響。包括《紐約每日新聞》（New York Daily News）、《芝加哥論壇報》（Chicago Tribune）等在內的北美1000多個知名新聞網站都暫時關閉網站并作出調整。我國 “今日頭條”“騰訊新聞” 等平臺也積極開展了適應性實踐。本研究通過梳理GDPR 中有關新聞生產的主要內容，輔以國外新聞平臺的應對策略分析，嘗試為我國新聞平臺的發(fā)展提供可行性建議。

一、GDPR 條例的歷史演變

在數(shù)據使用倫理問題爭議不斷的當下，歐洲GDPR 的實施無疑為數(shù)據的采集與使用劃定了法律邊界。事實上，歐盟對數(shù)據保護問題的擔憂自20 世紀末就已見端倪，歐盟為此進階式地制定了法規(guī)條款，其主要發(fā)展歷程主要經歷如下三個階段。

第一階段是歐盟嘗試對用戶數(shù)據進行保護的開端。1995 年，歐盟頒布了《數(shù)據保護指令》 （Personal For A Council Directive concerning The Protection Of Individual In Relation To The Processing Of Personal Data， 以下簡稱《95 指令》)， 標志著歐盟在實踐層面的正式行動，其目的是通過限制訪問權來實現(xiàn)用戶的數(shù)據保護。2002 年， 歐盟通過發(fā)布《隱私與電子通訊指令》（Directive on privacy and electronic communications，Directive 2002/58/EC）對《95 指令》進行了修正。修正方案規(guī)定：禁止在未征得用戶同意的情況下存儲和使用用戶的數(shù)據，服務提供商應該保障用戶的知情權。

第二階段，歐盟對用戶數(shù)據保護法規(guī)的修正與調整階段。2009 年，歐盟針對自1993 年起便廣受爭論的網絡技術Cookie 頒布了《歐盟Cookie 指令》（EU Cookie Directive，DIRE CTIVE 2009/136/EC），用以規(guī)定和約束信息服務提供商通過Cookie 技術儲存?zhèn)€人用戶信息?？紤]到使用Cookie 技術的網站在記錄用戶性別、年齡、上網瀏覽痕跡等信息的同時也會據此推算用戶興趣，《歐洲Cookie 指令》對技術平臺方出于商業(yè)營銷目的來使用用戶的個人數(shù)據進行了限制。

第三階段，歐盟核心數(shù)據保護法的實施。2012年，歐盟公布了GDPR 的實施草案，但此條例于2016 年4 月14 日才正式獲批。條例明確了隨后兩年為過渡期，并將于2018 年5 月25 日正式實行。自此，GDPR 成為了歐洲數(shù)據保護的核心法規(guī)框架。

不難看出，第一階段的法規(guī)政策是歐盟對數(shù)據、市場與社會關系的應激式反應。作為早期的探索，此時期尚未形成具體有效的法律細則。隨后，信息技術不斷發(fā)展，數(shù)據需求不斷增加，歐盟將規(guī)定逐步細化，最終形成了目前的GDPR。其獨特性和嚴格性在于，在管轄范圍方面，GDPR 突破了以往數(shù)據保護法的屬地管轄，凸顯出其跨境、跨國、跨地域的空間轉向：無論是向歐盟居民提供產品、服務的科技公司和新聞網站，還是收集或監(jiān)控相關數(shù)據的非歐盟企業(yè)和組織，都必須在信息服務時遵守GDPR 的規(guī)定。在內容規(guī)制上，歐盟成員國用戶在非歐盟地區(qū)工作、旅游和接受醫(yī)療救治時，非歐盟地區(qū)的企業(yè)和組織也必須按照GDPR 的規(guī)定來保護歐盟成員國用戶的個人數(shù)據安全。在處罰措施上，一旦跨國、跨境信息服務企業(yè)和組織發(fā)生違規(guī)行為，就將面臨巨額罰款。例如，GDPR 第83 條規(guī)定：如企業(yè)或組織在進行信息處理時違反了知情同意原則，就將必須接受上限為2000 萬歐元的罰金，或交付上一財政年度全球營業(yè)總額的4%作為罰款金額（選兩者中數(shù)額高者為準）。[2]

二、新聞生產中的新把關人：數(shù)據保護官及其豁免權

在GDPR 實施前，歐洲用戶數(shù)據被濫用情況嚴重，僅2018 年，歐洲就有約4000 家中小企業(yè)和組織遭遇惡意數(shù)據泄露，新聞網站是主要受害者。GDPR 為解決以上問題，提升用戶數(shù)據保護能力，創(chuàng)造了一個新的職業(yè)角色，一種新型 “把關人”（gatekeeper） —— 數(shù) 據 保 護 官（data protection officer，DPO）。

對新聞平臺而言，GDPR 的規(guī)定意味著在新聞生產的過程中出現(xiàn)了新的把關環(huán)節(jié)，其作用是監(jiān)管數(shù)據獲取與處理行為。根據GDPR 的規(guī)定，當企業(yè)或組織需要進行大規(guī)模的監(jiān)控或處理大量的個人數(shù)據時，則必須任命 “數(shù)據保護官”，其職責包括向企業(yè)和企業(yè)員工提供GDPR 數(shù)據保護方面的信息和建議，對企業(yè)GDPR 合規(guī)以及數(shù)據保護方面所做的工作進行監(jiān)管，對企業(yè)數(shù)據保護方面工作的參與和管理，同監(jiān)督機構合作，以及負責數(shù)據外泄的緊急匯報和協(xié)助企業(yè)實現(xiàn)數(shù)據主體的數(shù)據權利（見圖1）。[3]

圖1 數(shù)據保護官（DPO）的主要職責

值得注意的是，考慮到新聞業(yè)的現(xiàn)實需求，GDPR 在新聞實踐活動和用戶的數(shù)據保護之間設置了 “例外情況”。為保證新聞調查的信息核查實踐，新聞生產中的數(shù)據收集具有豁免權（journalist exemption）。這意味著新聞生產者在新聞實踐活動時擁有數(shù)據采集、數(shù)據整理的特殊準入權利。例如，對于以新聞報道為目的，且信息收集在基本權利范圍以內的新聞調查活動，歐盟成員國都應對其工作予以配合。[4]

在新聞業(yè)的數(shù)字化轉型過程中，由數(shù)據保護官所扮演的新把關者使得把關的目的和實際把關的原則都發(fā)生了改變。從把關的目的來看，在原把關的基礎之上加入重視用戶隱私保護和對個人數(shù)據加工與處理的監(jiān)督和指導，一方面是為應對GDPR 對于個人數(shù)據保護的要求，從而達到合規(guī)標準，以免造成違規(guī)受罰的局面；另一方面則是為數(shù)字化轉型背景下傳統(tǒng)新聞生產環(huán)節(jié)中由記者、編輯主導的把關加入了更多技術專業(yè)支持。從內容來看，數(shù)據保護官既為新聞報道的信息源進行了把關，也產生了新的信息過濾機制。

三、國外新聞平臺的應對策略

為應對GDPR 的嚴格規(guī)定，國外新聞平臺主要在內容、技術與政策實施方面制定了相應的措施。

第一，在內容方面，因多數(shù)新聞網站缺乏對GDPR 實施情況的準確預判，導致調整內容時間緊迫，許多國家主要采取了關停刪減的策略。例如，《洛杉磯時報》等多家北美地區(qū)的新聞網站向歐盟的讀者暫時關閉了信息服務（如圖2 所示），并且處于長期的技術合規(guī)調整狀態(tài)。GDPR 的復雜細節(jié)為非歐盟新聞組織帶來了巨大的技術挑戰(zhàn)。考慮到可能涉及的巨額罰金，大多數(shù)新聞網站不得不暫時 “拋棄” 歐盟用戶、關停服務。

圖 2 北美新聞網站對歐洲用戶暫時關停服務[5]

第二，國外技術公司涌現(xiàn)，為新聞網站提供技術升級服務。針對GDPR 的嚴苛規(guī)制，歐美地區(qū)的商業(yè)技術公司已經開始為新聞網站提供適應GDPR規(guī)制的相關服務及咨詢。例如，名為 “網站改善”（Site Improve）的科技網站專門提供網站數(shù)據評估和GDPR 合規(guī)的相應調整服務。自2016 年GDPR在歐盟正式通過以來，許多商業(yè)技術公司就開始針對不同網站著手研發(fā)新的技術產品以符合GDPR 的技術要求，并且于GDPR 正式實施之前建立起了一整套應對GDPR 的技術體系，以此作為產品出售給歐洲、北美地區(qū)和其他地區(qū)的新聞平臺。

另外，在與數(shù)據保護相關的立法與施行方面，北美地區(qū)與歐盟存在著明顯的差異。例如，法國為使國家法律與GDPR保持一致，政府作出了“象征性” 選擇，將原來的《法國數(shù)據保護法》引入GDPR，加強利益相關者的問責制理念。相反，與歐盟地區(qū)嚴格注重用戶數(shù)據保護的立法理念不同，美國與之相關的個人隱私保護法案并沒有嚴格且統(tǒng)一的應用標準以應對用戶數(shù)據的使用和處理行為。與歐盟的新法案GDPR 相比，美國現(xiàn)存的一系列法律條款和范例呈現(xiàn)出更多的靈活性，往往針對具體情況進行具體分析和判斷。因此，GDPR 的正式執(zhí)行在給美國的新聞網站帶來數(shù)據處理巨大壓力的同時，也引發(fā)了歐盟用戶數(shù)據保護法案的規(guī)制理念和非歐盟地區(qū)的用戶隱私保護標準之間因尚未能夠相互融合而在實踐過程中產生矛盾和沖突的深層次影響。

四、GDPR 規(guī)制下我國新聞平臺的挑戰(zhàn)與應對

在跨境、 跨國、 跨地域的GDPR 法規(guī)面前，我國新聞平臺必須采取相應的技術合規(guī)調整行為，以便更好地對歐盟國家進行新聞傳播，展現(xiàn)我國政府對數(shù)據保護的積極態(tài)度。目前，因歐盟內各國間對數(shù)據保護的相關理解和操作尚未達成共識，導致我國的新聞網站在向歐盟用戶提供信息服務時面臨多重挑戰(zhàn)。針對復雜的政策環(huán)境與新聞業(yè)的實踐需求，筆者提出以下建議。

1.設立數(shù)據保護專員

在新聞平臺內部，需設立數(shù)據保護專員的職業(yè)角色。數(shù)據保護專員與GDPR 規(guī)范中提出的數(shù)據保護官（DPO）相對應，其職責聚焦法律法規(guī)的解讀和發(fā)現(xiàn)新聞平臺的信息傳播需求。一方面，我國數(shù)據保護專員需在向其他國家提供信息服務時平衡國家間數(shù)據保護法律的規(guī)制和新聞實踐之間的沖突。另一方面，數(shù)據保護專員還需確保用戶個人數(shù)據的安全使用和處理，謹防數(shù)據泄露、盜取等危害用戶個人信息安全事件的發(fā)生。

數(shù)據保護官還承擔鑒定 “數(shù)字身份” 的任務。數(shù)字身份是定義一個主體特質的組合數(shù)據，是有關一個人所有的數(shù)字信息的總和。[6]“身份盜用” 是社交媒體產生與傳播假新聞與謠言的重要原因之一。因此，信息安全與信息核查的任務拓展了數(shù)據保護官在新聞業(yè)的工作內容。在新聞生產領域，數(shù)據保護專員的出現(xiàn)意味著新聞生產中把關環(huán)節(jié)的增加，且新的把關環(huán)節(jié)更加側重對于用戶個人數(shù)據和隱私信息的收集與處理。作為新的把關人，數(shù)據新聞專員在新聞網站獲取用戶數(shù)據的過程中判斷其收集數(shù)據的行為是否合規(guī)，并進一步協(xié)助實現(xiàn)用戶作為數(shù)據主體所擁有的被遺忘權、刪除權等權利。

在GDPR 實施以前，新聞組織已經通過數(shù)字身份驗證辨別信息真?zhèn)危斯ぷ饕恢庇尚侣動浾叱袚?。?shù)據保護專員的出現(xiàn)，將提升新聞核查的效率，并通過專業(yè)知識和方法對信息發(fā)布者進行追蹤驗證。因此，這一把關角色擔負著雙重責任：既協(xié)助新聞機構對數(shù)據進行把關，也協(xié)助用戶對新聞機構的信息獲取進行監(jiān)督。

2.建立數(shù)據保護部門

我國社會快速發(fā)展，對新聞信息的需求不斷增加，但我國在數(shù)據保護方面的經驗尚待積累。因此，為更好地進行我國數(shù)據工作的整體統(tǒng)籌和規(guī)劃，應建立數(shù)據保護部門并進行專業(yè)化分工。歐美國家的數(shù)據服務公司的目標是在市場驅動下幫助企業(yè)規(guī)避數(shù)據條例中面臨的風險，而政府的數(shù)據保護部門則從用戶權利而非商業(yè)角度出發(fā)，從內部對相關行為進行 “把關”，對不斷更新的法律法規(guī)進行學習與實踐。目前，歐洲多個國家已經建立數(shù)據保護部門，如法國數(shù)據保護局（Commission Nationale de l'Informatique et des Libertés）、挪威數(shù)據保護局（Norwegian Data Protection Authority）、捷克個人數(shù)據保護局（Office for Personal Data Protection）。GDPR 條例發(fā)布后，巴西也在2018 年公布 “臨時措施” 提出成立 “國家個人數(shù)據保護局”。

除政府建立數(shù)據保護部門外，新聞平臺自身也需設立數(shù)據保護部門，建立起一條完整的數(shù)據使用和處理的工作鏈，不僅在部門內部形成流暢貫通的把關，還將新聞平臺各部門有機地聯(lián)結在一起，從而在符合數(shù)據保護法律規(guī)范的基礎上更好地發(fā)揮平臺本身的優(yōu)勢，以此推動自身數(shù)據處理和新聞信息采集分發(fā)的進一步有效整合。新聞組織中的數(shù)據保護部門的工作包括如下方面：首先，在數(shù)據保護專員的協(xié)同合作下，將國內外信息保護條例進行整合。例如，與GDPR 相對應，我國于2018 年5 月1 日起執(zhí)行了《信息安全技術個人信息規(guī)范》（Personal Information Security Specifications，以下簡稱《規(guī)范》）。該《規(guī)范》基于《網絡信息安全法》（Network Security Law）確立，對數(shù)據處理等問題也進行了詳細的規(guī)范，因此如何在運營中遵守多重規(guī)范則成為數(shù)據保護部門的重要工作。其次，數(shù)據保護部門還應對涉及新聞報道中不同國家、不同法律框架內的目擊者、當事人等進行數(shù)據保護，建立安全的數(shù)據存儲檔案，防止信息泄露等數(shù)據安全問題。最后，為新聞組織建立應急反應機制。因技術發(fā)展的極速性與不確定性，預先設定應對危機的預案是降低損失的重要策略。數(shù)據保護部門需要關注技術更新與危機處理方式的知識積累，制定有效的防范措施。

3.平臺數(shù)據共享下的新聞核查機制

作為目前流行的新聞表現(xiàn)形式，數(shù)據新聞成為諸多媒體的專設欄目。數(shù)據新聞既包含對大量數(shù)據信息的分析與處理，也包含將數(shù)據報道可視化。在GDPR等數(shù)據法規(guī)實施后，數(shù)據獲取的合法性將成為此類新聞報道的一大挑戰(zhàn)。與此同時，“假新聞” 在 “后真相時代” 成為信息傳播中最大的挑戰(zhàn)，保障新聞報道的真實性是新聞業(yè)得以良性發(fā)展的重要前提。

新聞平臺是協(xié)調信息分發(fā)和用戶獲取的中間節(jié)點，平臺應建立起以新聞業(yè)為主體的運營機制，以完整高效、協(xié)調得當、準確規(guī)范作為基本原則。2019 年4 月，社交網絡臉書嘗試建立新聞付費板塊，提升社交媒體的新聞報道功能，并將用戶閱讀時間作為網站推送排行的參考數(shù)值。由此可見，網站的功能將逐漸從單一轉向復合，新聞信息的傳播將成為不可或缺的基礎功能。目前，傳統(tǒng)媒體與新媒體的融合路徑就嘗試了 “云” 概念，使得數(shù)據資源可隨時供電視、廣播與互聯(lián)網渠道調用。社交媒體、新聞資訊網站以及政府數(shù)據可嘗試在規(guī)范的框架內，協(xié)商信息共享機制。一方面，在此運營機制內平臺的數(shù)據處理將更進一步規(guī)范化、合理化、透明化；另一方面，社交網絡等信息集合可供新聞組織核查新聞信息。該運營機制也應囊括數(shù)據保護專員、數(shù)據保護部門與其他角色在內，層層嵌套、權責分明、有機統(tǒng)一，從而服務于平臺新聞業(yè)在大數(shù)據時代的持續(xù)健康發(fā)展。

五、反思與討論

自大數(shù)據、云計算、人工智能等與數(shù)據密切關聯(lián)的核心技術在全球范圍內廣泛并持續(xù)深度應用以來，數(shù)據的全球化越來越成為當下的 “數(shù)字化生存” 社會需要緊密關注的重點主題。歐盟的數(shù)據保護新規(guī)GDPR 率先應對個人隱私與社會公共性之間的沖突，引起全球對于數(shù)據保護的持續(xù)性關注。GDPR 法案引發(fā)了有關數(shù)據使用的多重倫理論爭。該法案展現(xiàn)出歐洲國家對數(shù)據重要性及其使用的謹慎態(tài)度，并為此付出實際行動保障個人信息權益。GDPR 的頒布保護了數(shù)據的合法性，又改變了企業(yè)與客戶互動的方式。然而，GDPR 也為新聞業(yè)帶來數(shù)據分析調查更為嚴苛的限制。

新聞業(yè)是一種反應性的、即時的信息實踐活動，它滿足社會需求，通過信息收集整理和發(fā)布服務于公共利益，同時伴隨法律、法規(guī)與政策的調整而產生結構性變遷。GDPR 的實施對新聞生產過程中的采、寫、編等過程都產生了影響。它使 “個人數(shù)據” 成為更復雜的概念，并賦予了其與社會交織的權利和義務。

與此同時，社會資本的介入和平臺化的運營模式勢必將在身處數(shù)字化之中的新聞生產實踐產生深遠的影響。截至目前，我國包括 “今日頭條” 的海外版Top Buzz 等在內的新聞客戶端已經基本完成了GDPR 技術合規(guī)調整，在進行對歐盟地區(qū)的信息提供服務時增加了相應環(huán)節(jié)的權限校驗。

然而，對我國新聞業(yè)而言，應當如何應對由此帶來的技術、倫理和法規(guī)的挑戰(zhàn)還需要在實踐中不斷探索。盡管GDPR 提供了新聞記者的豁免申請，但具體實施方案尚未確定，并且在多樣化的歐洲國家內難以達成統(tǒng)一標準。數(shù)據管理專員也可能成為在復雜環(huán)境中，收集、使用并掌控個人信息的權利所有者。面對未來可能不斷更新的數(shù)據保護條例帶來的影響，數(shù)據全球化是否需要全球治理也就成為亟待商榷的核心話題。對我國的數(shù)據保護來說，處理個人隱私與社會公共性的沖突、安全與自由的沖突、網絡平臺商業(yè)驅動與用戶權利的沖突需要在實踐中不斷探索。