■张东锋
当地时间5月25日,欧盟制定的《通用数据保护条例》(GDPR)正式生效。早在1995年,欧盟部长会议就以一纸《欧盟数据保护指令》(DPD),引领了信息时代个人数据隐私的法律保护规则。过去20年里,成员国个人数据保护法律碎片化问题,以及新时代下大数据、电子商务、网络安全等新领域带来的诸多挑战,促使欧盟大刀阔斧地改革DPD,并于2016年4月由欧盟议会审议通过了GDPR新规。那么,号称欧盟“史上最严”的个人数据保护条例到底“严”在哪里,又着力要塑造哪些重大规则共识呢?
在很多人眼里,一项法律规则是否足够严格,大多可以用其责任后果来衡量,GDPR也不例外。按照欧盟负责司法、消费者保护和性别平等事务委员尧罗娃的说法:“个人隐私堪比21世纪的黄金。”所以,雄心勃勃要“为个人隐私保护立法树立一个全球性标准”的GDPR,在“严”的方面给外界最直接的感受,就是对违反条例行为几近“天价罚款”的规定。根据该条例,企业滥用或不当处理个人数据,最高将被予以2000万欧元或者全球总营业收入的4%的经济处罚,且依规定取两者之间较高者征收。因此,只要拿脸书、亚马逊以及国内的BAT这些知名互联网企业2017年的财报数据来衡量一下,假使任何一家被认定违反GDPR,都有可能会创下一个天量的罚款数字。该条例的震慑之意显而易见。
重要的是,GDPR的“严”不仅体现在法律后果,更关键的在于对收集和处理个人数据行为的过程约束。首先,GDPR扩大了保护的范围,明确除了姓名、住址和手机号码这样常见的个人信息外,同样属于个人数据隐私的还有IP地址、Cookie数据和RFID标签这样的网络数据,以及指纹、虹膜等个人生物识别数据,种族和民族数据,政治取向和性取向,等等,总体上涵盖了个人数字生活所有重要的基本信息。其次,GDPR设定了名副其实的“通用”原则,即不仅以法规取代指令的形式,将条例直接适用各欧盟成员国,而且还将条例的适用从属地主义向属人主义扩展。意思是不论企业身在何处,只要在提供产权或服务过程中处理了欧盟境内的个人数据,就要受到条例约束。这就充分避免了数据控制者利用欧盟成员国间的法律制度差异来“钻空子”。因此,面对GDPR,“颤抖”的不止是欧盟境内的企业,即便远在千里之外的中国企业,倘若进军欧盟市场,都有必要赶紧补课。
当然,生活在今天这样的信息化时代,数据不止个人的一部分,还在很多时候成为公共治理不可或缺的一部分。有鉴于此,如果说GDPR的“严”是为了彰显对个人数据隐私强有力保护的鲜明立场,那么在利用个人数据上,则体现了公共性原则,这从其设置的“例外情形”条款中可见一斑。依据GDPR,用户同意是数据处理的合法基础,不过当数据控制者出于双方合同约定、履行法律职责的需要以及公共利益或因官方权威要求时,可以此替代用户授权。这其中,合同约定自然无需过多解释,关键是什么情形才体现了“公共性”。对此,GDPR列举的情形包括:出于科学、历史研究、统计目的,涉及新闻传播和学术、艺术方面的信息权和表达权,以及涉及传染疾病的分析和预警等重大公共利益。总体上看,这些规定看起来是为了平衡数据控制者的正当利益,但根本上说则是为了保护在增进公共利益方面的数据自由流动。
除了推动形成个人数据保护的上述共识外,GDPR还有一些具体的创设性制度值得借鉴。比如,条例要求相关数据管理的机构、企业设立数据保护官员(DataProtectionOfficer),负责企业数据处理的合规审核;再比如,以市场认证或第三方协会监督等形式确立对数据跨境转移的合法机制。这表明,保护个人数据安全,的确需要切实有效的行动。
