一部被称为“史上最严”的个人数据保护法律,最近掀起了全球互联网产业的大讨论。
5月25日,由欧盟委员会制定的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式落地实施。这部被称为“欧盟数据宪章”的法律要求,网站经营者记录客户的搜索和购物记录前,必须事先声明并获得用户同意;不能再使用模糊、难以理解的语言或冗长的隐私政策从用户处获取数据使用许可;明文规定用户个人可以要求责任方删除关于自己的数据记录。
更重要的是,GDPR的管辖范围非常大,惩罚力度也很大。根据欧盟委员会官网的说法,只要数据的收集方、提供方和处理方有任何一方是欧盟公民或法人,就将受到该法案管辖。此外,GDPR对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
虽然早在2016年,欧洲议会就通过了GDPR,并给出了两年的过渡期。但真正落地之后,仍有许多企业不适应,并且引发了个人数据的保护是否过度的疑惑和讨论——若完全按照GDPR执行,大量与个人数据有关的网络服务难以开展,大数据产业的发展也将遭遇难以突破的法律瓶颈。
要GDPR保护下的个人数据安全,还是要大数据支持下的网络便利服务?这个欧洲已经作出选择的问题,将给我们带来哪些启示?
GDPR落地 涉欧企业忙应对
网络时代,个人数据信息的泄露是许多用户非常头疼又难以发现的问题。如何保护个人数据信息,成了网络服务提供者和监管者共同面对的挑战。
《中国网民权益保护调查报告(2017)》显示,我国57%的网民认为个人信息泄露严重,76%的网民亲身感受到个人信息泄露带来的诸多不良影响。而在2018年,全球最受关注的社交媒体公司Facebook被曝有超过5000万名用户的资料被非法用来发送政治广告,这一大型数据泄露事件让Facebook的市值在一天内蒸发60亿美元。
而GDPR显然对这些问题有所防范。GDPR将自然人的“个人数据”列为保护目标,只要该信息能被用于识别个人身份即为个人数据,例如姓名、地址、电子邮件地址、电话号码、银行账户、汽车牌照、IP地址,以及cookies(某些网站为了辨别用户身份、进行跟踪而储存在用户本地终端上的数据)等。此外,健康、宗教信仰、政治观点、性取向等更是被GDPR列为高度敏感、重点保护的个人数据。
此外,GDPR还明确网站经营者记录客户的搜索和购物记录前,必须事先声明并获得用户同意;不能再使用模糊、难以理解的语言或冗长的隐私政策从用户处获取数据使用许可;规定用户个人可以要求责任方删除关于自己的数据记录。
GDPR采用了“市场地原则”,在第三条规定,本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。只要其为欧盟境内的数据主体提供商品或服务(不论此项商品或服务是否要求数据主体支付),或对发生在欧洲范围内的数据主体的活动进行监控,GDPR都可对其进行管辖。
国际知名咨询公司埃森哲的一份报告认为,GDPR是“近20年来数据隐私规则领域发生的最重要变化”。因为在数据保护问题上,GDPR要求数据供应链的各方(包括数据的收集者、存储者、使用者、处理者)责任共担,各方都需直接承担合规风险和义务。
在GDPR落地后,谷歌和Facebook两家互联网巨头被起诉强制用户同意隐私条款,违反了GDPR的相关规定。受其影响,大量互联网平台纷纷更新与用户间的服务协议或隐私条款,许多中国企业的互联网业务也纷纷作出回应。
中国青年报·中青在线记者注意到,包括华为、腾讯、高德地图、国航、海尔等企业的网络平台在内,最近都更新了各自的用户隐私条款。阿里巴巴旗下全球速卖通、微信海外版、新浪微博国际版等与欧洲市场关联紧密的互联网平台,也纷纷向欧洲区用户请求重新授权。腾讯方面还曾表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。
数据保护与产业创新之间的矛盾
不过,GDPR的落地所带来的不全是欢呼与掌声,还有关于数据保护与产业创新之间矛盾的争议。
例如,GDPR规定了数据的“被遗忘权”和“可携带权”,即用户可以要求公司清除其个人数据,并禁止第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。但在产业界看来,这是当下比较难做到的。
浙江垦丁律师事务所联合创始人麻策表示,“被遗忘权”有些类似于我国网络安全法确定的删除权,但本质上却不甚相同;数据可携带权更是非常大胆突破了数据利用的商业界限。但实际上,“被遗忘权”和“数据可携带权”的使用不可能是无限制的,在具体适用时,仍然要参考公共利益、数据迁移成本等。
此外,GDPR还要求网络服务提供者要“响应数据主体的访问请求”,欧盟居民有权要求查阅公司收集的个人信息;用户可以要求删除、纠正个人信息,甚至可以要求以文件的形式拿到数据。
北京师范大学法学院教授刘德良认为,GDPR所规定的上述用户权利基本沿袭了欧盟在1995年发布的《欧盟数据保护指令》,进一步强化了用户对个人数据的控制权利。但在个人数据已经存在于网络上众多节点的今天,一味地强调用户对个人数据的绝对控制已经不现实。
“所谓的控制权在以前是可以实现的,但在移动互联网的今天,个人数据控制权的行使在技术上不可行,经济上成本巨大。”刘德良认为,欧盟的互联网产业发展速度较慢,跟他们对网络数据的严格管理有一定关系,而我国要发展大数据及互联网产业,不能盲目照抄欧盟的立法,否则会阻碍产业创新的力量。
作为专业互联网法律律师,麻策具体分析了GDPR对网络产业的影响。例如,GDPR对数据画像进行了规制,其第二十二条规定数据主体有权利拒绝自动化决策(包括数据支持下的用户画像),以及机器学习的结果。这样一来,对在线贷款授权、自动信用评价等业务而言将产生不利影响。
他进一步分析,若按GDPR的要求,如果在线贷款机构通过大数据自动识别某个用户的授信额度是10万元,或识别其风险较高不通过贷款申请,则该贷款机构就必须提供说明或解释,否则用户可以不接受该机器认定的结果,这对数据画像或深度学习等技术的商业化而言将带来制度挑战,对开展相应业务的科技公司而言也有一定伤害。
刘德良长期研究欧美的网络及数据法律,他认为应该谨慎对待欧洲的经验。“法律是帮助而不是限制产业发展,希望GDPR对我们而言,是一面镜子而不是一把尺子。”
该如何看待“他山之石”
麻策认为,我国应该吸收国际上对于数据保护的共同性规则,例如对数据主体权益、个人信息定义、数据画像等问题的规定,而不宜照搬了事。在他看来,强调数据或个人信息的“所有权”没有现实意义,因为这类数据一旦被披露,理论上不存在全盘收回的可能,更应当讲求如何让数据由用户控制、授权,以及数据流通过程中的安全性。“数据被称为21世纪的‘石油’,若一味强调(对其的)所有权,实不利于这个行业的发展。”麻策表示,GDPR还规定了数据处理者或控制者处理数据时,用户“同意”只是合法性条件之一,此外还有合同订立之必要、执行公共利益等5个方面的条件,这些条件值得我们参考。
目前,我国法律仅明确“用户同意”是网络运营者对个人信息收集和使用的唯一前提(个人信息安全规范列举了其他合法使用的来源),这与我国许多网络应用权限过高、过度收集用户隐私信息的现实存在一定差距。
九次方大数据创始人、贵阳大数据交易所执行总裁王叁寿认为,目前我国对个人数据的使用、交易相关规定还不完善,个人数据所有权的界定不明确,数据黑市交易依然存在,导致很多用户对数据的开放存在顾虑,也导致数据滥用时有发生。
在刘德良看来,对于数据保护与产业创新之间的矛盾,应该从问题出发寻找国际经验。“你究竟担心的是什么?是个人信息被滥用,是一大堆垃圾短信、骚扰电话。”在他看来,针对这类问题,提出过高的道德和法律要求,会给产业发展带来较大成本,因此应该厘清个人数据与个人信息、个人隐私的边界,以及个人数据的所有权、使用权、收益权的分配关系,否则个人数据很难流动和利用,大数据产业也无法快速发展。
作为大数据产业一线的创业者,王叁寿认为,个人数据经脱敏、脱密后,其所有权属于个人,使用权由数据拥有者授权使用,收益权由个人或其授权的主体拥有。例如,如果把病人的姓名、身份证等信息脱敏脱密后,将成千上万的病例数据提供给医疗研究机构,可以减少误诊、误判的情况。
“边界不清楚、权属不明晰,就会给数据产业发展埋下障碍。”刘德良认为,这也是数据保护与产业发展之间必须要回答的问题。
中国青年报·中青在线记者 王林