辛嘉

歐盟施行GDPR有得有失

觀察域外相關(guān)立法和執(zhí)法的情況可知，我國《數(shù)據(jù)安全法》出臺(tái)相對(duì)較早，歐盟、美國目前還處在相關(guān)立法程序中。但這并不意味著其他國家在數(shù)據(jù)安全方面沒有規(guī)范性文件。只是由于缺乏統(tǒng)一立法，域外數(shù)據(jù)安全規(guī)則分布在不同的領(lǐng)域，在具體施行過程中有得有失，其經(jīng)驗(yàn)值得借鑒。

在歐盟憲章框架下，歐盟層面的檢法系統(tǒng)和各成員國的司法機(jī)構(gòu)，是實(shí)施數(shù)據(jù)安全監(jiān)管的主體。發(fā)生有關(guān)數(shù)據(jù)、信息的案件時(shí)，由于各成員國檢法機(jī)關(guān)職能不同，其響應(yīng)方式也不盡相同。

歐盟頒布實(shí)施的《通用數(shù)據(jù)保護(hù)條例》（GDPR），一度被視為全球數(shù)據(jù)安全保護(hù)規(guī)則的典范。它確立了“一站式”服務(wù)模式，即當(dāng)發(fā)生數(shù)據(jù)保護(hù)相關(guān)案件時(shí)，先由歐盟最高檢察長提出建議，法院法官一般會(huì)采納其建議。比如歐盟最高檢察長針對(duì)谷歌導(dǎo)致個(gè)人信息泄露案的建議，就被歐盟最高法院的法官采納。歐盟前成員國英國，由于其國內(nèi)檢法機(jī)關(guān)定位與其他國家不同，所以其在GDPR框架內(nèi)保留了通過國內(nèi)途徑起訴的權(quán)力，檢法機(jī)關(guān)按照該國的法律行使職權(quán)。

GDPR在取得一定成效的同時(shí)，也顯現(xiàn)出諸多不足。歐洲議會(huì)中一些研究數(shù)據(jù)保護(hù)措施的人士毫不留情地指出：GDPR已經(jīng)過時(shí)，必須進(jìn)行重大修訂，以適應(yīng)網(wǎng)絡(luò)信息時(shí)代的飛速發(fā)展。

歐洲議會(huì)議員阿克塞爾·沃斯是GDPR的起草者之一。近日，他在接受英國《金融時(shí)報(bào)》采訪時(shí)指出，GDPR須進(jìn)行“某種手術(shù)”。歐洲議會(huì)應(yīng)該舉行表決，看看該條例還是不是“世界黃金標(biāo)準(zhǔn)”。

沃斯認(rèn)為，新冠肺炎疫情導(dǎo)致整個(gè)世界發(fā)生了重大變化，互聯(lián)網(wǎng)信息時(shí)代的新技術(shù)又層出不窮，這一切都應(yīng)被納入歐盟的相關(guān)立法考量。

這位德國籍歐洲議會(huì)議員表示：“我們必須明白，GDPR不是為區(qū)塊鏈、面部或聲音識(shí)別、文本和數(shù)據(jù)挖掘以及人工智能等技術(shù)而制定的法律。數(shù)字世界是不斷創(chuàng)新的。我們不能一直遵循最初的立法原則，那時(shí)的原則并不能反映我們現(xiàn)在所處的新形勢?！彼a(bǔ)充說，如果一板一眼地執(zhí)行現(xiàn)有的GDPR，那么部分人將面臨很多麻煩。“如果你在家里辦公，要處理個(gè)人數(shù)據(jù)，就得獨(dú)自承擔(dān)許多難以理解的法律義務(wù)。在私人住宅中處理數(shù)據(jù)，GDPR在這方面有什么規(guī)定？目前這類規(guī)定并不明確?！?/p>

GDPR需要修訂，這一觀點(diǎn)得到了歐洲議會(huì)中的政治團(tuán)體歐洲人民黨的支持。它是一個(gè)政治聯(lián)盟，德國前總理默克爾也在其中。歐洲人民黨的理由是：GDPR的施行產(chǎn)生了幾個(gè)負(fù)面效果。

強(qiáng)化了頭部玩家。自GDPR施行以來，谷歌、“臉書”和亞馬遜增加了其在歐盟的市場份額，這得益于三個(gè)實(shí)事：一是GDPR合規(guī)成本高，對(duì)于大公司來說是利好，因?yàn)樗鼈冇休^多的預(yù)算來支付軟件升級(jí)和專業(yè)人員費(fèi)用。二是各公司已停止使用與谷歌和“臉書”競爭的工具，將更大的市場份額拱手讓給了頭部玩家。三是用戶不太可能嘗試新的平臺(tái)和工具。正如諾貝爾經(jīng)濟(jì)學(xué)獎(jiǎng)得主喬治·斯蒂格勒在40多年前所分析的，“監(jiān)管由工業(yè)掌控并為其利益而運(yùn)作”。更大的公司可能更歡迎GDPR，因?yàn)樵摋l例可以將它們與激烈的競爭隔離開來。

削弱了中小企業(yè)。數(shù)據(jù)顯示，歐盟并沒有培育出適合中小企業(yè)成長的環(huán)境。在GDPR即將實(shí)施前的一段時(shí)間，只有20%的歐盟公司（主要是大公司）實(shí)現(xiàn)了數(shù)字化。沒有數(shù)據(jù)顯示，歐盟中小企業(yè)因這一條例受益。歐盟委員會(huì)的報(bào)告顯示，中小企業(yè)在網(wǎng)站和海外市場的現(xiàn)代化方面一直滯后。自GDPR生效以來，中小企業(yè)已經(jīng)失去了三分之一的市場份額。許多零售商、游戲公司和服務(wù)提供商不再在歐盟運(yùn)營。

對(duì)于許多公司來說成本高昂。為了能在歐盟做生意，擁有約500名雇員的公司，必須花費(fèi)約300萬美元來滿足GDPR的合規(guī)性要求。數(shù)以千計(jì)的公司認(rèn)為這不值得，因此退出了歐盟市場。當(dāng)然，別說是300萬美元，就是3億美元，對(duì)谷歌、“臉書”和亞馬遜來說都算不了什么（財(cái)富500強(qiáng)公司為應(yīng)對(duì)GDPR劃撥了80億美元）。事實(shí)上，只有不到一半的公司能夠完全符合GDPR的要求;五分之一的公司認(rèn)為完全遵守其規(guī)則是不可能的。有統(tǒng)計(jì)數(shù)據(jù)顯示，GDPR導(dǎo)致每名歐洲公民的直接福利損失約260歐元。

如果在美國頒布實(shí)施類似的法規(guī)，美國公司的合規(guī)成本可能達(dá)到1500億美元——這是美國在寬帶網(wǎng)絡(luò)投資上花費(fèi)金額的兩倍，是美國每年電子商務(wù)收入的三分之一。GDPR不僅影響了電商，也影響了廣告商。考慮到谷歌的廣告平臺(tái)及其在聯(lián)合網(wǎng)絡(luò)上的附屬公司的規(guī)模，其遵守GDPR規(guī)則的行為在市場上產(chǎn)生了連鎖反應(yīng)。獨(dú)立廣告交易所指出，廣告價(jià)格暴跌了20%—40%。另外，歐洲法院裁定，互聯(lián)網(wǎng)生態(tài)系統(tǒng)的任何部分都應(yīng)對(duì)數(shù)據(jù)泄露負(fù)責(zé)。于是，GDPR對(duì)于控制器和處理器等硬件的限制也產(chǎn)生了負(fù)面效果。芯片制造商、組件供應(yīng)商和軟件供應(yīng)商陷入困境。

威脅創(chuàng)新和研究。GDPR的一些要求與大數(shù)據(jù)、人工智能、區(qū)塊鏈和機(jī)器學(xué)習(xí)基本上是不相容的，尤其是那些旨在要求數(shù)據(jù)處理器公開其數(shù)據(jù)，盡量減少數(shù)據(jù)使用和自動(dòng)化決策的條款。對(duì)于技術(shù)開發(fā)人員、工程師和企業(yè)家來說，GDPR不僅在法律裁決中產(chǎn)生了不確定性，而且在機(jī)器學(xué)習(xí)和人工智能技術(shù)開發(fā)中也產(chǎn)生了不確定性。

一些重要的科學(xué)進(jìn)展是用創(chuàng)造性的方法處理各種信息的結(jié)果——這些方法既不是主體也不是控制者所預(yù)期的。想想關(guān)于使用手機(jī)是否會(huì)導(dǎo)致腦癌的權(quán)威研究吧。丹麥癌癥協(xié)會(huì)通過處理社會(huì)安全號(hào)碼、手機(jī)號(hào)碼和國家癌癥登記處的信息，對(duì)358403名丹麥移動(dòng)電話用戶進(jìn)行了分析。丹麥國家癌癥登記處通過社會(huì)安全號(hào)碼記錄了每一名癌癥患者。該研究是同類研究中最全面的一次，證明使用手機(jī)與罹患腦癌無關(guān)。但是，用戶在信息被收集時(shí)，并未明確其研究目的。因此，如果GDPR在這項(xiàng)研究進(jìn)行時(shí)已經(jīng)生效，那么研究實(shí)施方就無法獲得被分析數(shù)據(jù)的人群的同意，即GDPR使得這項(xiàng)研究無法進(jìn)行。展望未來，由于GDPR的存在，一些有價(jià)值的研究可能無法順利進(jìn)行。

歐盟的以上經(jīng)驗(yàn)告訴我們，當(dāng)數(shù)據(jù)保護(hù)力度越來越大時(shí)，企業(yè)可能在數(shù)據(jù)安全方面動(dòng)輒得咎，這是否為我們推行合規(guī)不起訴的制度提供了背景和契機(jī)？當(dāng)前我國檢察機(jī)關(guān)正在進(jìn)行企業(yè)合規(guī)不起訴的試點(diǎn)，未來在數(shù)據(jù)安全領(lǐng)域的犯罪納入企業(yè)合規(guī)范圍，值得探討。

總體來看，歐盟的經(jīng)驗(yàn)有助于我們更加有效地實(shí)施數(shù)據(jù)安全保護(hù)。

一是平衡好個(gè)人數(shù)據(jù)保護(hù)中的各方利益。個(gè)人數(shù)據(jù)保護(hù)涉及個(gè)人、數(shù)據(jù)處理企業(yè)等各利益相關(guān)方。為確保法律的有效實(shí)施，要平衡好各方的關(guān)系，不能因?yàn)榧訌?qiáng)個(gè)人數(shù)據(jù)保護(hù)而給企業(yè)造成過重的負(fù)擔(dān)，也不能因?yàn)槠仄髽I(yè)而降低個(gè)人數(shù)據(jù)保護(hù)水平。從數(shù)據(jù)處理企業(yè)來看，要特別關(guān)注企業(yè)履行法律責(zé)任的成本問題。在GDPR實(shí)施過程中，歐盟發(fā)現(xiàn)中小企業(yè)負(fù)擔(dān)過重，下一步將通過簡化履行程序、提供咨詢指導(dǎo)、給予財(cái)政支持等方式，促使其更好地履行法定義務(wù)。我國也應(yīng)借鑒該做法。從數(shù)據(jù)主體看，GDPR實(shí)施以來，缺乏統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，導(dǎo)致數(shù)據(jù)“可攜權(quán)”難以落地。我國一定要結(jié)合金融、銀行等行業(yè)的數(shù)據(jù)共享情況，就是否賦予數(shù)據(jù)“可攜權(quán)”、在數(shù)據(jù)共享難以實(shí)現(xiàn)的情況下如何推動(dòng)數(shù)據(jù)“可攜權(quán)”落地等進(jìn)行充分論證。

二是嚴(yán)格限制基于公共利益處理個(gè)人數(shù)據(jù)。在對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)的同時(shí)，應(yīng)允許基于公共利益的需要處理個(gè)人數(shù)據(jù)。GDPR明確，可以基于科學(xué)研究、公共健康等目的對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理。但是GDPR施行以來，對(duì)于科學(xué)研究等具體情形，缺乏明確的規(guī)定。尤其是新冠肺炎疫情期間，歐盟各成員國基于不同規(guī)則處理個(gè)人數(shù)據(jù)，有些甚至?xí)簳r(shí)放棄了GDPR相關(guān)原則的適用?；诠怖嫘枰幚韨€(gè)人數(shù)據(jù)，是個(gè)人數(shù)據(jù)的開放性要求，相關(guān)情形應(yīng)進(jìn)行嚴(yán)格限制。我國在制定和施行相關(guān)法律時(shí)，應(yīng)當(dāng)嚴(yán)格限制基于公共利益處理個(gè)人數(shù)據(jù)的情形。對(duì)列入公共利益范圍的，如開展科學(xué)研究、維護(hù)公共健康、打擊犯罪等，應(yīng)盡可能明確個(gè)人數(shù)據(jù)開放和處理的規(guī)則，平衡好個(gè)人數(shù)據(jù)保護(hù)和公共利益之間的關(guān)系。

三是為創(chuàng)新和技術(shù)發(fā)展留有適當(dāng)空間。當(dāng)前人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)快速發(fā)展，數(shù)據(jù)的收集、傳輸、存儲(chǔ)、處理等行為越來越頻繁，引發(fā)了人們對(duì)個(gè)人數(shù)據(jù)被濫用、權(quán)利被侵犯等問題的擔(dān)憂。以人臉識(shí)別技術(shù)為例，出于對(duì)該技術(shù)對(duì)隱私權(quán)的侵犯、因不成熟導(dǎo)致其他問題的擔(dān)憂，歐盟對(duì)人臉識(shí)別技術(shù)應(yīng)用采取謹(jǐn)慎態(tài)度，在相關(guān)規(guī)則尚未出臺(tái)前，限制政府部門對(duì)該技術(shù)的使用。個(gè)人數(shù)據(jù)保護(hù)與技術(shù)創(chuàng)新發(fā)展是伴生性問題，要以寬容、發(fā)展、長遠(yuǎn)的態(tài)度對(duì)待技術(shù)進(jìn)步，對(duì)于技術(shù)發(fā)展的負(fù)面因素要加強(qiáng)管理。歐盟對(duì)GDPR實(shí)施評(píng)估，提出了可適用于人工智能等技術(shù)的基本原則。至于這些原則如何適用，還要持續(xù)監(jiān)測并在此基礎(chǔ)上出臺(tái)指南。

四是建立多元化的數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制。數(shù)據(jù)自由流動(dòng)是數(shù)字經(jīng)濟(jì)發(fā)展的重要基礎(chǔ)。GDPR在加強(qiáng)歐盟內(nèi)部數(shù)據(jù)保護(hù)的同時(shí)，也構(gòu)建了數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制，以回應(yīng)數(shù)字經(jīng)濟(jì)背景下信息快速流動(dòng)的需求。GDPR數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制是多樣化的，包括充分性認(rèn)定、適當(dāng)保護(hù)措施、行為準(zhǔn)則、認(rèn)證制度等。我國在數(shù)據(jù)跨境轉(zhuǎn)移方面規(guī)定了重要數(shù)據(jù)出境安全評(píng)估制度，這種制度針對(duì)具體的數(shù)據(jù)出境活動(dòng)，實(shí)行“一事一評(píng)”。建議在上海自貿(mào)試驗(yàn)區(qū)臨港新片區(qū)、海南自由貿(mào)易港試點(diǎn)，在確保數(shù)據(jù)流動(dòng)安全可控的前提下，探索建立能夠充分發(fā)揮數(shù)據(jù)價(jià)值的數(shù)據(jù)跨境轉(zhuǎn)移制度?？煽偨Y(jié)金融、電信等行業(yè)的實(shí)踐經(jīng)驗(yàn)，分行業(yè)建立重要數(shù)據(jù)跨境轉(zhuǎn)移制度。同時(shí)，跟蹤國際數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則的研討、制定等情況，適當(dāng)擴(kuò)展數(shù)據(jù)跨境轉(zhuǎn)移的工具，對(duì)數(shù)據(jù)處理者進(jìn)行認(rèn)證。

“網(wǎng)信時(shí)代”數(shù)據(jù)安全治理難度不斷提高