原标题:“最严数据法”GDPR今日生效 能否将数字时代的权力关进笼子里?

  作者 王磬 

  五月下旬的布鲁塞尔有股风声鹤唳的气味。在位于舒曼广场的欧洲议会大楼里,扎克伯格佯装轻松,努力挤出一丝微笑,“脸书一直对欧洲尽心尽力。”他正在接受议员们关于剑桥分析事件的质询,“用户隐私始终是脸书工作的重点,但我们还可以做得更好。”

  发言时语气谦和、回答时避重就轻,从语调到策略,都与他六周前在美国国会接受质询时如出一辙。而他被问询的缘由——那场可能影响了美国大选结果的大规模数据泄漏事件——则把全世界对于数据保护的关注推向了一个小高潮。人们开始认识到,科技公司很可能只是将个人数据视为可牟利的原材料,而非需要保护的资产,而这是需要纠正的。

  这一次,在欧洲,扎克伯格恐怕没那么容易过关。

  议会质询结束的三天之后,2018年5月25日,一项被称为“史上最严”的数据保护法案从布鲁塞尔发出,在欧盟开始全面执行。这项名为GDPR(译作《通用数据保护条例》)的法案,因其详苛的规定、广阔的适用范围、高昂的罚款,早在其正式生效之前便已引得各方高度关注。随着日期临近,邮箱被各类数据企业发来的授权邮件所刷屏,似乎也在提示,一场数字时代的旋风即将来临。

  史上最严,严在何处

  “GDPR最重要的原则之一是,有数据的地方、就要有保护。数字空间没有国境线,那么保护也要跟随着数据走,而不止于欧盟的边境。”欧盟委员会委员维拉•朱洛娃(Věra Jourová)告诉界面记者,她执掌的欧盟司法、消费者权益和性别平等委员会主导了GDPR的立法过程。她强调,“在欧盟,隐私权是基本人权。”

  这个原则指导下的GDPR,展示出比以往的数据法案都更严格的样貌。“最突出的,便是给予了作为数据主体的个人前所未有的权利。”数据保护法专家克里斯托弗•库纳(Christopher Kuner)对界面记者表示,他目前是欧盟委员会GDPR特别小组的成员。他认为,宪法层面规定的对个人权利的保护,加上数字化时代中不断出现的隐私威胁,是GDPR得以出现的根本驱动力。

  这些权利体现在:除了拓宽“个人数据”的范围、并将高度保护个人隐私的“数据可携权”和“被遗忘权”明确写入法条之外,GDPR还强调了数据保护要由“属地”向“属人”转变。这意味着,条例的适用范围不再局限于欧盟境内,任何企业只要向欧盟市场提供商品服务,收集或处理个人数据,都受到管辖。

  无疑,这对从事数据收集和处理的企业及其产业链,都提出了极高的要求。

  GDPR规定,不管是数据管理者(data controller)还是数据处理者(data processor),都必须以合法、公平、透明的方式收集和处理信息,必须用通俗的语言向用户解释收集数据的方式,并有义务采取措施删除或纠正有误的个人数据。

  GDPR也规定了企业间数据交流的方式:允许欧盟企业在集团内部进行数据交流,但若要向欧盟以外传输数据,则需要满足一定条件,例如,该地需属于欧盟委员会认定“具有适当数据保护水平”的地区。而一旦出现不合规的现象,数据供应链自上而下的各方都会被问责。

  GDPR还对企业的人力提出了建议:不管是否欧盟企业,如果在欧盟地区的雇员超过了250人,便需要雇用一名“数据保护专员”(Data Protection Officer)。欧盟28个成员国均已设立监管机构“数据保护局”(Data Protection Authority),将对各国GDPR的执行状况进行监督。如有违规企业,最高处罚金额可至2000万欧元或企业全球年营业额的4%(二者取较高值)。

  值得注意的是,不光是企业,政府也受到GDPR的管辖。政府作为处理欧盟地区个人数据的“公共当局”,属于GDPR规范的行为主体之一。朱洛娃告诉界面记者,GDPR的主要目标中,也包括限制政府对个人数据的搜集和使用,“要让政府更少地掌控公民数据,而不是更多。”朱洛娃说,“我们(欧盟)希望逐渐把这套标准也推广到美国,当然,FBI和CIA可能不会乐意。”

  最先落地,为何是欧盟

  GDPR并不是一日写就的。

  “对欧洲人来说,隐私从来就很重要。GDPR只是这漫长积累的最后一步。”牛津大学网络研究院教授维克多·麦尔-荀伯格(Viktor Mayer-Schönberger)告诉界面记者,“这有历史遗留的原因,过去,独裁者曾利用所掌控的个人数据滥杀无辜。”他指的是二战期间,纳粹德国对犹太人进行身份识别并试图种族灭绝。荀伯格另一个为人所知的身份是“被遗忘权”的捍卫者,他还著有多部关于数字伦理的畅销书。

  在欧洲,关于数据保护的讨论早在上世纪中期便已开始,立法实践则可追溯到1970年的德国,当时的黑森州颁布了世界上第一部专门针对个人数据保护的法律。到1995年,欧盟发布了《欧盟数据保护指令》(简称“95指令”)这是第一部面向全欧盟的数据保护法律,一直沿用至今。2018年5月25日之后,“95指令”将被GDPR取代。

  在律师冯坚坚看来,“95指令”的退位是因为无法继续适应数字时代的新要求。95年时的网络技术还仅仅只针对计算机数据的自动化处理,主要是信息发布和传输这两个功能。“当时互联网只有一个雏形,’95指令’虽然在那时来说是部不错的法案,但肯定考虑不到移动互联网、物联网会像今天这样发展。”他告诉界面记者。冯坚坚有多年的数据合规与跨境投资业务经验,现在是竞天公诚律师事务所上海办公室的合伙人。

  进入2000年以后,科技的高速发展不断带来数字侵权的新案例,“棱镜门”等也引发了政府监控的新担忧。传播学者托马斯·普尔(Thomas Poell)分享了他的一个研究:当今的社会是“平台社会”,用户和数据不断向谷歌、脸书这类的大平台聚集,除了给平台带来巨大的商业利益,也赋予了它们越来越不受约束的权力。在这一轮数字化的洗牌之后,权力结构完成重组,是时候进入对“平台社会”的管控阶段了。

  为了追赶这一趋势,欧洲议会在2012年1月提出要改革欧盟数据保护法规,于2016年4月通过了GDPR,并给予了两年的过渡期,至2018年5月。

GDPR立法大事记(来源:埃森哲)GDPR立法大事记(来源:埃森哲

  在欧盟法的体系中,指令(directive)和条例(regulation)是两种不一样的法律形式:指令不直接适用于各成员国,还需由成员国自己转化成为国内法,成员国在转化过程中具有一定的自主裁量权;而条例则对成员国具有直接适用的效力。

  库纳指出,从“95指令”到GDPR(《通用数据条例》),既体现了欧盟对于数据保护的决心和力度是“史上最严”,又是追求“单一数字市场”的题中之义。“欧盟一直希望内部的数字市场能够单一化。现在是从数据保护开始,把各成员国都融合成一体,内部的数据可以流动,出了问题有统一的法律,这是单一化的第一步。”库纳说。

  保护与发展,如何平衡

  长久以来,中国的业界对欧盟似乎有这样一种认识:即认为,欧盟对于数据、尤其是个人数据的严格保护,限制了数据产业乃至整个互联网业的发展,导致欧盟国家在互联网产业上没有竞争力,远落后于中美。

  在欧洲的业界,一种批评声音来自于近期被定为战略重点的人工智能行业。《金融时报》欧洲编辑约翰•桑希尔曾指出,“通过限制数据流动和增加法律风险,GDPR将给人工智能行业带来一股冷风。如果说数据是算法需要大量食用的饲料,那么欧洲也许正在配给供应其最宝贵的大宗商品… … 几乎完全不受隐私忧虑桎梏的中国人工智能企业,在利用海量数据方面将具有原始竞争力。”

  在冯坚坚看来,这种认识有其短视之处。他在仔细研究了欧盟企业间数据共享的多起案例之后,得出结论:数据共享的核心其实是信任。严格的法律保护能够建立足够的社会信心,使得数据可以在企业的层面得以流动,才有空间产生新产品和新产业,这是一整个良性循环的生态系统。在欧洲,总体的信任程度比中国要强,数据共享也因此能够走在前面。

  埃森哲咨询公司在2016年的一项调查佐证了这一点:83%的受访者坚信,信任是数字化经济的基石。西门子CTO博乐仁(Roland Busch)在早前接受界面记者采访时也曾表示,GDPR能给西门子这样的企业提供一种“有意义并且考虑周全”的指导,这对行业的生态是有好处的。

  “如果你去看GDPR的逻辑,会发现贯穿始终的是两个彼此冲突的价值观:保护个人的数据权利,确保数据能够合法地自由流动。”冯坚坚指出,大众和媒体看到的更多是保护个人数据权利的面向,因为往往数据泄露事件并产生了恶果才能赢得关注;数据自由流动的面向其实是被忽视了。

  例如,GDPR规定用户拥有“数据的可携权”(data portability),这是一项颇具创新性的权利。它不仅赋予用户取得、重复利用相关数据的权利,还赋予用户传输该等数据的权利。打个比方,用户可以要求脸书将自己所有的脸书数据打包成推特、Linkedin和微博都能使用的格式,在离开脸书时将之携带走,传输到另一个平台并继续使用。在冯坚坚看来,虽然这对于企业而言是一项极大的挑战,具体如何落地也尚无良好实践,但对于促进数据的自由流动可能产生深远影响。

  “欧盟现在在做的事情是,把数据保护的大坝修得很高,其他国家也得跟进。欧盟只想跟’和我做得一样好的国家一块玩’。”冯坚坚这样看待GDPR的全球影响。如前文提到,欧盟认定了十余个“具有适当数据保护水平”的国家与地区,在进行跨境的数据传输时不受限制;而那些不在名单上的国家则需要满足更严苛的条件。中国目前尚不在名单之上。

  法网恢恢,难点在执行

  界面记者接触过的多位中外学界和业界人士,对GDPR前景的基本态度是:谨慎乐观。

  “几乎没有人会特别旗帜鲜明地反对GDPR,它对个人自由和社会规范的好处是不言自明的。但如果现在去细查,几乎任何组织都能发现自己正在违规。”库纳表示。

  这是对GDPR复杂性的一个注脚。洋洋洒洒99条的GDPR,其所规范的主体、事项之庞杂,涉及企业内部的人力、法务、IT多个部门,涉及产业链的多个环节,还包括不少具有开创性和实验性的法条,要想完完全全合规,绝非易事。

  雇佣了解GDPR的专业人士、为企业制定GDPR合规是被鼓励的做法。据界面记者了解,GDPR合规的成本取决于企业的规模及数据业务的复杂程度,低则十几万人民币、高可达上千万。“对大企业来说这些成本都不算什么,它们甚至可以负担得起一整个GDPR的团队。但对中小企业来说却不轻松。”荷兰资深法律顾问陈红娟告诉界面记者,欧盟在制定法条时没有把中小企业的合规成本考虑进去,这将让它们在竞争中处于更加弱势的位置。合规本身构成进入障碍,有强化老牌企业、遏制中小企业之嫌,这是GDPR被人批评的另一个方面。

  而GDPR能在欧盟域外生效的特性也招致了域外执法是否可能的质疑。原则上,欧盟法对于域外的主体仍有约束力,可以开出罚单,但要如何执行仍然存疑。冯坚坚表示,主要只能靠欧盟市场的吸引力。一旦违规并且拒缴罚款,这间企业就很难再去欧盟发展业务了,等于完全放弃这个市场。“欧盟市场有5亿消费能力不低的人口,但凡做一点国际业务的企业都不可能不考虑GDPR的影响。”冯坚坚指出,全球的其他发达经济体,如澳大利亚、新加坡、美国等,目前也都在做相应的数据保护工作。

  多年关注数据立法的荀伯格则回忆了二十多年前他经历“95指令”立法的过程。“当时也有过类似的讨论,认为那部法令能够引领全球的隐私讨论。某种程度上确实也有影响,但远远低于欧洲隐私卫道者们的期待。”荀伯格说。