大数据时代:欧盟能否重建数据保护新秩序 作者:王融

针对成员国个人数据保护碎片化问题,以及云计算、大数据带来的法律适用挑战,欧盟对1995年数据保护指令进行了大刀阔斧的改革。新规继续坚守保护公民基本权利理念,全面提升个人数据保护力度,开创性引入数据可携权、被遗忘权,并特别针对大数据背景下的数据分析、画像活动,予以严格规制。新规能否像20年前的1995指令一样,产生示范效应,引导全球重建大数据时代的数据保护规则,各方拭目以待。

欧盟数据保护新规如箭在弦

2015年12月15日,欧盟发布消息称,欧洲议会,理事会、委员会三方机构在立法进程的最后阶段就欧盟数据保护改革达成一致 。这意味着,在接近四年的协商谈判之后,核心改革成果——欧盟数据保护总规(general data protection regulation,GDPR)即将正式颁布。

根据欧盟《里斯本条约》所确立的立法程序,欧盟立法涉及三大机构 :

1.欧洲委员会,由公务员精英群体构成,是欧盟执行机构,服务于欧盟整体利益。此次数据保护草案即由欧委会在2012年1月提出;

2.欧洲议会,由欧盟公民直接选举产生的议员组成,代表全欧公民利益。议会于2014年3月高票通过《数据保护总规》草案;

3.欧洲理事会,由成员国各行业、领域的部长组成,是欧盟政治机构,代表各成员国利益。因此区别于其他两家机构,理事会的立法意见一般分歧较大。例如,在数据保护领域,英国、爱尔兰政策相对宽松,而德国、意大利、西班牙则较为严格。理事会于2015年6月通过《数据保护总规》草案。

在谈判进程中,每个机构通过的草案版本均有一些差异,但从内容以及三方终于达成一致协议看,三家机构的分歧在逐步缩小甚至消弭 。

《数据保护总规》预计将在2016年年初正式颁布。为给产业界留有充分时间消化与准备,新规将在颁布两年后生效执行。

新规将带来哪些重大变革

2012年欧委会提出新规时,其所确立的一系列严苛制度旋即震动产业界,引发全球高度关注。美国互联网巨头前往布鲁塞尔进行立法游说。欧洲议会共计收到4400多份相关修正意见,在欧盟立法史上也属罕见。究其原因,一方面欧洲是坐拥5亿人口且经济发达的巨大市场,该市场的立法政策本身对产业有举足轻重的影响,另一方面,新规对适用范围极大扩展,不仅直接影响欧盟境内企业,还将适用于欧洲境外企业。

以下细数新规带来的重大变革:

1.“统一法规,统一标准”

数据保护立法由指令上升为法规。与指令不同,欧盟法规生效后无需经过成员国立法转化,将直接适用各成员国,这将彻底解决成员国之间的法律制度差异问题。

2. 跨境提供服务同样适用欧盟法规

1995年指令适用属地原则,如果公司跨境提供服务,则可规避欧盟法律。针对这一问题,欧盟新规大大扩展了其适用范围。规定即使“数据控制者”在欧盟境内没有设立机构,但其在跨境提供商品或服务的过程中,收集处理欧盟居民个人数据,则应当适用欧盟数据保护法律,并需要在欧盟境内指派特定代表负责合规事宜。这一规定将覆盖绝大多数通过跨境方式提供服务的企业,这其中包括美国、中国等互联网公司。

3.  外围IT厂商也将受到新规影响

新规建立了“隐私保护设计”制度(Privacy by design,PbD)。要求产品或服务的整个生命周期(包括产品设计、投放、停用各阶段)都应贯穿隐私和数据保护。正是这一制度将IT厂商纳入新规之下。

新规要求设备生产,IT厂商所提供的解决方案能够使得其客户满足数据保护合规要求。这将是IT厂商面临的新课题。落实隐私保护设计要求,意味着涉及用户个人数据的产品或和业务线,在业务设计的最初阶段,就需要IT厂商的充分参与,通过技术设计方式落实合规要求。

4. 全面引入新型权利,增强用户对个人数据“控制力”

在技术发展造成现有立法滞后的情形下,新规对数据主体的权利进行了扩充,其中最引入注目的是“数据可携权”,“被遗忘权”。尽管这两项权利备受争议,但从欧委会公布的消息看,这两项权利被保留在法规最终版本中。

“个人数据可携权”,是指用户可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另一个信息服务提供者。例如facebook的用户可以将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。当然,该权利不仅适用于社交网络服务,还包括云计算、网络服务以及手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利,还需要配合用户提供数据文本。

“被遗忘权”,当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据。在欧洲法院裁决《欧盟数据留存指令》无效的大背景下,欧盟各国陆续通过立法缩短法定数据留存时限,从过去的六个月甚至2年缩短到数周。这意味着用户实现“被遗忘权”的机会大大增加。

5.  “数据保护官”为法定标配

为保证企业有效实施法规,欧盟要求大型企业(雇员在250人以上)必须设立数据保护官“data protection officer”。这一岗位并不是虚职,数据保护官必须依法履行职责,在企业违法情况下,数据保护官将被追究法律责任。

6. “同意”必须是明示的,且用户可撤销

1995年指令并没有规定同意应当是“明示同意”还是“默认同意”,此次新规对该问题予以回应。“同意”必须是明示的“同意”,而不得被推定为“同意”。一个有效合法的同意,其要件包括:用户必须被告知充分的相关信息,自由地做出明确同意的意思表示,不得附带任何条件,且用户有权撤销同意。

7.  违法处罚额度以企业全球营业总额为基准

新规大大提升了违法处罚力度:

第一类违规行为:没有为用户访问、获取个人数据提供相应机制,最高将被处以全球营业总额的0.5%;

第二类违规行为:没有合法理由,拒绝用户删除个人数据的请求;没有建立对用户数据保护的文档化管理,最高将被处以全球营业总额的1%;

第三类违规行为:非法处理个人数据;没有合法理由,拒绝用户关于停止处理个人数据的请求;在数据泄露事故发生之后,没有及时通知监管机构;没有执行隐私风险评估;没有任命数据保护官;违法向第三国传输个人数据;最高将被处以全球营业总额的2%。

 针对大数据分析、数据画像的特别规范

根据新规界定,“数据画像”(profiling)概念外延广泛,它是指:“任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析活动。例如对个人偏好的分析,可涵盖市场中最普遍的大数据分析市场营销活动。

在对“画像”进行界定的基础上,草案对画像活动予以了严格规制:

第一,画像活动必须具有法定依据或者获得用户明确同意。

第二,对于画像活动,用户必须是在充分知情下做出同意授权。

第三、数据画像,应当优先对数据进行匿名化处理。

第四、特定的数据分析活动被完全禁止。

欧盟新规能否重建数据保护新秩序?

尽管自上世纪70年代起,全球范围内掀起了个人数据保护的立法风潮,但在信息通信技术的强大冲击之下,个人数据保护已到了名存实亡的危险边缘。个人数据保护法所确立的用户“知情同意”原则被戏称为互联网最大谎言。利用业务协议,超出业务目的和范围,一揽子取得用户关于个人数据使用授权成为业界普遍做法。利用数据分析画像,对个人进行精准化营销,似乎成为产业不可阻挡的发展趋势。

在这一时代背景下,是放弃隐私、个人自由等基本价值观念,任技术与市场一路狂奔,还是继续坚守基本权利保护,通过法律将技术锁定在特定的发展轨道上?

显然,欧盟选择了后者。有观点认为:欧盟之所以坚持数据保护的高标准,是因为欧盟互联网产业发展落后。诚然,这是因素之一,但并不是欧盟数据保护改革的全部背景。数据保护新规更多是欧盟对信息通信技术的深刻反思,是在保护公民基本权利这一理念的指引之下,对大数据时代公民基本权利与数据保护机制的自我革新与完善。

推动高标准的法律制度,会增加产业合规成本,也有可能对技术业务创新带来抑制作用,但欧盟同时认为,更高的安全保障标准和用户信任水平,也将有利于欧盟在数字经济中塑造独特竞争优势。

欧盟新规将直接适用于欧盟28个成员国,覆盖全球第一经济总量地区。此外,欧盟新规对适用范围大大延展,也将对全球产生直接影响,新规能否像1995年指令一样,对全球产生示范效应,引导各国重建大数据时代下数据保护新秩序,我们拭目以待。

而在当下,对比国内与欧盟数据保护的巨大落差,对于我国涉及欧盟个人数据处理的企业来说,为满足合规要求,企业要做好为欧盟居民提供“超国民待遇”数据保护的准备!

 

2016-04-06 12:11
来源:中国信息安全杂志(2016.01)
热门推荐更多
热点新闻更多