歐盟制定的《通用數(shù)據(jù)保護(hù)條例》正式生效
來源:南方日報(bào)時(shí)間:2018-05-29 18:32:32
■張東鋒
當(dāng)?shù)貢r(shí)間5月25日���,歐盟制定的《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效。早在1995年�����,歐盟部長會議就以一紙《歐盟數(shù)據(jù)保護(hù)指令》(DPD)��,引領(lǐng)了信息時(shí)代個(gè)人數(shù)據(jù)隱私的法律保護(hù)規(guī)則�����。過去20年里�,成員國個(gè)人數(shù)據(jù)保護(hù)法律碎片化問題���,以及新時(shí)代下大數(shù)據(jù)����、電子商務(wù)��、網(wǎng)絡(luò)安全等新領(lǐng)域帶來的諸多挑戰(zhàn)����,促使歐盟大刀闊斧地改革DPD�����,并于2016年4月由歐盟議會審議通過了GDPR新規(guī)�����。那么���,號稱歐盟“史上最嚴(yán)”的個(gè)人數(shù)據(jù)保護(hù)條例到底“嚴(yán)”在哪里,又著力要塑造哪些重大規(guī)則共識呢?
在很多人眼里�,一項(xiàng)法律規(guī)則是否足夠嚴(yán)格,大多可以用其責(zé)任后果來衡量�����,GDPR也不例外����。按照歐盟負(fù)責(zé)司法、消費(fèi)者保護(hù)和性別平等事務(wù)委員堯羅娃的說法:“個(gè)人隱私堪比21世紀(jì)的黃金�����。”所以,雄心勃勃要“為個(gè)人隱私保護(hù)立法樹立一個(gè)全球性標(biāo)準(zhǔn)”的GDPR���,在“嚴(yán)”的方面給外界最直接的感受���,就是對違反條例行為幾近“天價(jià)罰款”的規(guī)定。根據(jù)該條例��,企業(yè)濫用或不當(dāng)處理個(gè)人數(shù)據(jù)�����,最高將被予以2000萬歐元或者全球總營業(yè)收入的4%的經(jīng)濟(jì)處罰�,且依規(guī)定取兩者之間較高者征收。因此�,只要拿臉書�����、亞馬遜以及國內(nèi)的BAT這些知名互聯(lián)網(wǎng)企業(yè)2017年的財(cái)報(bào)數(shù)據(jù)來衡量一下��,假使任何一家被認(rèn)定違反GDPR�����,都有可能會創(chuàng)下一個(gè)天量的罰款數(shù)字。該條例的震懾之意顯而易見����。
重要的是,GDPR的“嚴(yán)”不僅體現(xiàn)在法律后果�����,更關(guān)鍵的在于對收集和處理個(gè)人數(shù)據(jù)行為的過程約束����。首先,GDPR擴(kuò)大了保護(hù)的范圍����,明確除了姓名、住址和手機(jī)號碼這樣常見的個(gè)人信息外���,同樣屬于個(gè)人數(shù)據(jù)隱私的還有IP地址��、Cookie數(shù)據(jù)和RFID標(biāo)簽這樣的網(wǎng)絡(luò)數(shù)據(jù)�,以及指紋��、虹膜等個(gè)人生物識別數(shù)據(jù)�����,種族和民族數(shù)據(jù),政治取向和性取向����,等等,總體上涵蓋了個(gè)人數(shù)字生活所有重要的基本信息���。其次����,GDPR設(shè)定了名副其實(shí)的“通用”原則���,即不僅以法規(guī)取代指令的形式�����,將條例直接適用各歐盟成員國�,而且還將條例的適用從屬地主義向?qū)偃酥髁x擴(kuò)展���。意思是不論企業(yè)身在何處,只要在提供產(chǎn)權(quán)或服務(wù)過程中處理了歐盟境內(nèi)的個(gè)人數(shù)據(jù)�����,就要受到條例約束。這就充分避免了數(shù)據(jù)控制者利用歐盟成員國間的法律制度差異來“鉆空子”�。因此,面對GDPR��,“顫抖”的不止是歐盟境內(nèi)的企業(yè)���,即便遠(yuǎn)在千里之外的中國企業(yè)���,倘若進(jìn)軍歐盟市場,都有必要趕緊補(bǔ)課���。
當(dāng)然��,生活在今天這樣的信息化時(shí)代�,數(shù)據(jù)不止個(gè)人的一部分����,還在很多時(shí)候成為公共治理不可或缺的一部分。有鑒于此����,如果說GDPR的“嚴(yán)”是為了彰顯對個(gè)人數(shù)據(jù)隱私強(qiáng)有力保護(hù)的鮮明立場�,那么在利用個(gè)人數(shù)據(jù)上�,則體現(xiàn)了公共性原則,這從其設(shè)置的“例外情形”條款中可見一斑��。依據(jù)GDPR��,用戶同意是數(shù)據(jù)處理的合法基礎(chǔ)�,不過當(dāng)數(shù)據(jù)控制者出于雙方合同約定、履行法律職責(zé)的需要以及公共利益或因官方權(quán)威要求時(shí)�����,可以此替代用戶授權(quán)���。這其中��,合同約定自然無需過多解釋��,關(guān)鍵是什么情形才體現(xiàn)了“公共性”��。對此�,GDPR列舉的情形包括:出于科學(xué)�����、歷史研究����、統(tǒng)計(jì)目的,涉及新聞傳播和學(xué)術(shù)��、藝術(shù)方面的信息權(quán)和表達(dá)權(quán)����,以及涉及傳染疾病的分析和預(yù)警等重大公共利益?�?傮w上看��,這些規(guī)定看起來是為了平衡數(shù)據(jù)控制者的正當(dāng)利益�����,但根本上說則是為了保護(hù)在增進(jìn)公共利益方面的數(shù)據(jù)自由流動��。
除了推動形成個(gè)人數(shù)據(jù)保護(hù)的上述共識外���,GDPR還有一些具體的創(chuàng)設(shè)性制度值得借鑒��。比如����,條例要求相關(guān)數(shù)據(jù)管理的機(jī)構(gòu)、企業(yè)設(shè)立數(shù)據(jù)保護(hù)官員(DataProtectionOfficer)����,負(fù)責(zé)企業(yè)數(shù)據(jù)處理的合規(guī)審核;再比如,以市場認(rèn)證或第三方協(xié)會監(jiān)督等形式確立對數(shù)據(jù)跨境轉(zhuǎn)移的合法機(jī)制���。這表明���,保護(hù)個(gè)人數(shù)據(jù)安全,的確需要切實(shí)有效的行動�。
