GDPR正式生效美歐大數據隱私保護差異漸顯

特約撰稿人|云晴

GDPR條例已于2018年5月正式生效。這一數據保護條例的背景是移動互聯網高速發展帶來隱私數據保護需求爆發、歐盟期望通過保護用戶數據權利的方式獲得更多在互聯網領域的話語權、歐盟通過建立個人數據保護標準推動數據產業發展從而形成對發達互聯網國家競爭能力。

大數據的開放和利用中，做好規則設計和角色的職責劃分是最為重要的前提條件之一。用政策和規則明確地說明對數據的理解和應用的邊界很重要，一定要盡可能先行，要有規則框架和體制框架的思維。數據應該開放哪些，開放到什么程度，公眾可以以怎樣的方式使用這些數據（避免數據濫用），這些問題都需要通過立法的形式得到確認，這為政府部門開放數據給出了規則，這一點非常重要。

GDPR保障了個人選擇的權利

2016年，歐洲議會投票通過了《一般數據保護條例》（General Data Protection Regulation，GDPR），該條例已于2018年5月正式生效。這一數據保護條例的背景是移動互聯網高速發展帶來隱私數據保護需求爆發、歐盟期望通過保護用戶數據權利的方式獲得更多在互聯網領域的話語權、歐盟通過建立個人數據保護標準推動數據產業發展從而形成對發達互聯網國家競爭能力。因此GDPR的推出作為信息行業重要管制政策之一，得到了極大的關注。

和中國由政監合一的政府組成部門實施電信管制不同，歐盟在引入競爭實現私有化之后，為了使得管制機構能盡最大可能促進市場競爭，管制主導企業濫用市場勢力，在各個成員國設立了獨立的管制機構。而管制的權利則來源于立法，向國會等立法機構負責。也就是說，歐盟的條例（regulation）規定了各成員國所要達到的目標和為了實現這些目標所采用的實施手段所遵循的原則，而條例必須在歐盟各國內轉化為國內法才能夠得以實施。例如條例中所規定的一些數據保護的通用（基本）原則，包括收集限制原則、數據質量原則、說明目的原則、利用限制原則、安全保護原則、開放性原則、個人參與原則和負責任原則等，都對歐盟成員國在相關立法中指明了原則性的方向。

在1995年頒布的《個人數據保護指令》的基礎上，為了適應在新的社會經濟環境下數據的要求，GDPR引入了很多新的內容。如加強個人數據權利保護、強化企業維護數據安全的責任、限制企業針對個人的數據分析活動、加強對數據跨境轉移的監管等。

例如在個人數據權利保護方面，條例體現出以人為本、注重用戶權益保護的設計原則。在歐盟的條例設計過程中，用戶權益的保護始終作為首要目標選擇。但與此同時，歐盟認為，促進市場的有效競爭是保護用戶權益的最主要手段。因此我們會看到在條例中有這樣的條款：“在以直接營銷為目的的個人數據處理情形下，數據主體有權在任何時候、無需支付任何費用拒絕該類處理方式——包括與此類直接營銷相關的客戶畫像（profiling）分析。這一權利應該讓數據主體得到明確的關注，應該清晰表達并獨立于其他信息。”

“客戶畫像”指任何通過自動化方式處理個人數據的活動，該活動服務于評估個人的特定方面，或者專門分析及預測個人的特定方面，包括工作表現，經濟狀況、位置、健康狀況、個人偏好，可信賴度或者行為表現等。這是數據應用于市場最有價值的部分之一。因此該條款一方面表達了數據可以用于直接營銷為目的客戶畫像，給出了數據在市場中應用的價值；另一方面很明確地指出了數據主體的權益，保障了個人選擇的權利。

在強化企業維護數據安全的責任方面，該條例明確了數據處理者的法律責任。盡管數據處理者僅負責使用特定的方法對數據進行分析而不參與數據搜集和具體使用環節，但《條例》仍將其納入了監管范疇并明確規定，數據處理者必須在《條例》的框架下切實履行保護數據主體個人隱私權利不受侵犯的責任。與此同時，《條例》要求建立企業數據保護專員制度，通過加強與數據主體的溝通和自我監管，提升企業數據的管理水平。《條例》還對在數據采集和萬一發生數據泄露事件時對數據主體履行告知業務，做出了要求。

在數據保護影響評估方面，數據控制者、數據處理者還需要對擬建數據處理系統進行評估，以識別系統對數據保護可能產生的特定風險，評估的內容至少應包括對擬進行的數據處理活動的描述、對數據主體權利造成的風險以及應對風險的措施。此外，數據的控制者和使用者必須做好數據的留存待查。這也是GDPR給數據主體提供的最后一道保護防線。

在限制企業針對個人的數據分析活動方面，這一條例對數據使用管理范圍進行了拓展：除了歐盟內產生和處理的個人數據之外，條例還適用于設立在歐盟內的控制者或處理者對個人數據的處理——無論其處理行為是否發生在歐盟內。這樣一來，只要是在向歐盟內的數據主體提供商品或服務，數據的控制者或處理者就必須遵循這個條例。

美國政府的隱私保護思路

由上述所舉的幾個例子我們可以感受到這一數據保護條例設計的一些指導思想。事實上GDPR在隱私保護理念、立法模式以及法律內容等方面和互聯網產業發達的美國存在較大的差異。美國1996年的《信息自由法案》指出，除了可能危害國家安全的機密信息、執法記錄以及侵犯他人隱私的信息等9種豁免情況之外，美國政府機構，包括所有執行分支部門、機構和政府機關、聯邦管理機構和聯邦公司必須向公眾公開所有信息。2009年，奧巴馬政府甚至提出開放政府的概念。美國政府希望通過公布有關政府工作內容的信息、明確責任參與權、允許公眾人士提出自己的想法和專業意見來幫助政府做出明智的決定。

實踐上可以通過觀察Data.gov就能夠看到美國政府對數據開放的指導思想——該平臺主要目標是開放美國聯邦政府的數據，通過鼓勵新的創意，讓數據走出政府，得到更多的創新型運用。一般情況下，政府、社會與企業可以從Data.gov免費下載數據，還可以利用Data.gov提供的API實現豐富的第三方應用的開發。與此相對，歐盟則將公民的隱私權劃歸為最基本的人權保護范疇。

GDPR對全體公民的個人隱私數據采取統一的司法保護，劃定了統一的標準和原則；而美國則采取典型的分類保護模式，從不同行業的特點、數據保護的目的和手段等因素出發，分別執行不同的數據保護方式。例如上述提到的美國政府數據開放平臺Data.gov就提供了9種分類方式，其中比較重要的包括以下方面: 主題(Topic)主要是按照數據集的內容進行分類，主題分類(Topic Categories)是對數據主題更精確細致的分類，數據集類型(Data Type) 包括地理數據和非地理數據兩種類型……

與之比較，GDPR對數據所有者權利的保護真可以稱得上是“無微不至”了。數據主體的同意是指數據主體自愿給出的具體的、有根據的、詳細的表明其意愿的說明，該說明可以通過聲明或明確肯定的行動表示。同時，數據主體還有權在任何時候撤回同意。也就是說，數據的控制者和使用者不僅要說服數據主體以“充分表達主觀意愿”的方式授權數據使用，還需要保證在使用過程中數據主體不要“變卦”撤回。從這個角度也能觀察到對“數據自由”美歐之間存在巨大的理解差異。

條例的制定可以很完善，各種維度也可以很周全，但具體條例的實施落地也是不能夠忽視的問題。例如GDPR賦予了數據主體對自身數據的被遺忘權和刪除權，這從設計出發點上很不錯。但在實踐中，被遺忘權和刪除權的實現并不容易。例如，互聯網上的信息發布之后，將會有轉載、擴散發布等可能，在這種情況下，被遺忘權和刪除權的實現將會耗費大量的資源。個人數據在使用同意授權后，可以隨時取消授權。如果這些同意授權的數據已經得到廣泛應用，“取消授權”可能會帶來的損失完全由數據的控制者和使用者來承擔是否公平？因此GDPR不應該教條地理解成為“對個人隱私數據最為嚴格地保護”，而是尋找個人隱私權與企業利用數據尋求發展機會之間的平衡——只有這樣，GDPR的存在才會更具現實意義和生長活力。

GDPR的正式生效，從“嚴格保護數據主體權利”的角度提供了一個成功實踐，提供了與美國政府“保護信息自由”全然不同的角度。在深化個人數據保護的透明度、強化企業的信息安全治理義務、提升對數據主體的賦權的力度、增加對數據侵權行為的懲罰力度與對數據主體的有效補償、推動數據跨境流動等方面，我們都能夠得到很多啟發。然而，數據使用保護政策還是一個與對“數據自由”理解相關性很強的問題。熟悉條例，便于和歐盟開展數據領域的合作；想要管好數據，還需要更好地回答關于“數據自由”的一些問題。