歐盟GDPR的得與失

辛嘉

歐盟施行GDPR有得有失

觀察域外相關立法和執法的情況可知，我國《數據安全法》出臺相對較早，歐盟、美國目前還處在相關立法程序中。但這并不意味著其他國家在數據安全方面沒有規范性文件。只是由于缺乏統一立法，域外數據安全規則分布在不同的領域，在具體施行過程中有得有失，其經驗值得借鑒。

在歐盟憲章框架下，歐盟層面的檢法系統和各成員國的司法機構，是實施數據安全監管的主體。發生有關數據、信息的案件時，由于各成員國檢法機關職能不同，其響應方式也不盡相同。

歐盟頒布實施的《通用數據保護條例》（GDPR），一度被視為全球數據安全保護規則的典范。它確立了“一站式”服務模式，即當發生數據保護相關案件時，先由歐盟最高檢察長提出建議，法院法官一般會采納其建議。比如歐盟最高檢察長針對谷歌導致個人信息泄露案的建議，就被歐盟最高法院的法官采納。歐盟前成員國英國，由于其國內檢法機關定位與其他國家不同，所以其在GDPR框架內保留了通過國內途徑起訴的權力，檢法機關按照該國的法律行使職權。

GDPR在取得一定成效的同時，也顯現出諸多不足。歐洲議會中一些研究數據保護措施的人士毫不留情地指出：GDPR已經過時，必須進行重大修訂，以適應網絡信息時代的飛速發展。

歐洲議會議員阿克塞爾·沃斯是GDPR的起草者之一。近日，他在接受英國《金融時報》采訪時指出，GDPR須進行“某種手術”。歐洲議會應該舉行表決，看看該條例還是不是“世界黃金標準”。

沃斯認為，新冠肺炎疫情導致整個世界發生了重大變化，互聯網信息時代的新技術又層出不窮，這一切都應被納入歐盟的相關立法考量。

這位德國籍歐洲議會議員表示：“我們必須明白，GDPR不是為區塊鏈、面部或聲音識別、文本和數據挖掘以及人工智能等技術而制定的法律。數字世界是不斷創新的。我們不能一直遵循最初的立法原則，那時的原則并不能反映我們現在所處的新形勢。”他補充說，如果一板一眼地執行現有的GDPR，那么部分人將面臨很多麻煩。“如果你在家里辦公，要處理個人數據，就得獨自承擔許多難以理解的法律義務。在私人住宅中處理數據，GDPR在這方面有什么規定？目前這類規定并不明確。”

GDPR需要修訂，這一觀點得到了歐洲議會中的政治團體歐洲人民黨的支持。它是一個政治聯盟，德國前總理默克爾也在其中。歐洲人民黨的理由是：GDPR的施行產生了幾個負面效果。

強化了頭部玩家。自GDPR施行以來，谷歌、“臉書”和亞馬遜增加了其在歐盟的市場份額，這得益于三個實事：一是GDPR合規成本高，對于大公司來說是利好，因為它們有較多的預算來支付軟件升級和專業人員費用。二是各公司已停止使用與谷歌和“臉書”競爭的工具，將更大的市場份額拱手讓給了頭部玩家。三是用戶不太可能嘗試新的平臺和工具。正如諾貝爾經濟學獎得主喬治·斯蒂格勒在40多年前所分析的，“監管由工業掌控并為其利益而運作”。更大的公司可能更歡迎GDPR，因為該條例可以將它們與激烈的競爭隔離開來。

削弱了中小企業。數據顯示，歐盟并沒有培育出適合中小企業成長的環境。在GDPR即將實施前的一段時間，只有20%的歐盟公司（主要是大公司）實現了數字化。沒有數據顯示，歐盟中小企業因這一條例受益。歐盟委員會的報告顯示，中小企業在網站和海外市場的現代化方面一直滯后。自GDPR生效以來，中小企業已經失去了三分之一的市場份額。許多零售商、游戲公司和服務提供商不再在歐盟運營。

對于許多公司來說成本高昂。為了能在歐盟做生意，擁有約500名雇員的公司，必須花費約300萬美元來滿足GDPR的合規性要求。數以千計的公司認為這不值得，因此退出了歐盟市場。當然，別說是300萬美元，就是3億美元，對谷歌、“臉書”和亞馬遜來說都算不了什么（財富500強公司為應對GDPR劃撥了80億美元）。事實上，只有不到一半的公司能夠完全符合GDPR的要求;五分之一的公司認為完全遵守其規則是不可能的。有統計數據顯示，GDPR導致每名歐洲公民的直接福利損失約260歐元。

如果在美國頒布實施類似的法規，美國公司的合規成本可能達到1500億美元——這是美國在寬帶網絡投資上花費金額的兩倍，是美國每年電子商務收入的三分之一。GDPR不僅影響了電商，也影響了廣告商。考慮到谷歌的廣告平臺及其在聯合網絡上的附屬公司的規模，其遵守GDPR規則的行為在市場上產生了連鎖反應。獨立廣告交易所指出，廣告價格暴跌了20%—40%。另外，歐洲法院裁定，互聯網生態系統的任何部分都應對數據泄露負責。于是，GDPR對于控制器和處理器等硬件的限制也產生了負面效果。芯片制造商、組件供應商和軟件供應商陷入困境。

威脅創新和研究。GDPR的一些要求與大數據、人工智能、區塊鏈和機器學習基本上是不相容的，尤其是那些旨在要求數據處理器公開其數據，盡量減少數據使用和自動化決策的條款。對于技術開發人員、工程師和企業家來說，GDPR不僅在法律裁決中產生了不確定性，而且在機器學習和人工智能技術開發中也產生了不確定性。

一些重要的科學進展是用創造性的方法處理各種信息的結果——這些方法既不是主體也不是控制者所預期的。想想關于使用手機是否會導致腦癌的權威研究吧。丹麥癌癥協會通過處理社會安全號碼、手機號碼和國家癌癥登記處的信息，對358403名丹麥移動電話用戶進行了分析。丹麥國家癌癥登記處通過社會安全號碼記錄了每一名癌癥患者。該研究是同類研究中最全面的一次，證明使用手機與罹患腦癌無關。但是，用戶在信息被收集時，并未明確其研究目的。因此，如果GDPR在這項研究進行時已經生效，那么研究實施方就無法獲得被分析數據的人群的同意，即GDPR使得這項研究無法進行。展望未來，由于GDPR的存在，一些有價值的研究可能無法順利進行。

歐盟的以上經驗告訴我們，當數據保護力度越來越大時，企業可能在數據安全方面動輒得咎，這是否為我們推行合規不起訴的制度提供了背景和契機？當前我國檢察機關正在進行企業合規不起訴的試點，未來在數據安全領域的犯罪納入企業合規范圍，值得探討。

總體來看，歐盟的經驗有助于我們更加有效地實施數據安全保護。

一是平衡好個人數據保護中的各方利益。個人數據保護涉及個人、數據處理企業等各利益相關方。為確保法律的有效實施，要平衡好各方的關系，不能因為加強個人數據保護而給企業造成過重的負擔，也不能因為偏重企業而降低個人數據保護水平。從數據處理企業來看，要特別關注企業履行法律責任的成本問題。在GDPR實施過程中，歐盟發現中小企業負擔過重，下一步將通過簡化履行程序、提供咨詢指導、給予財政支持等方式，促使其更好地履行法定義務。我國也應借鑒該做法。從數據主體看，GDPR實施以來，缺乏統一的數據標準，導致數據“可攜權”難以落地。我國一定要結合金融、銀行等行業的數據共享情況，就是否賦予數據“可攜權”、在數據共享難以實現的情況下如何推動數據“可攜權”落地等進行充分論證。

二是嚴格限制基于公共利益處理個人數據。在對個人數據進行保護的同時，應允許基于公共利益的需要處理個人數據。GDPR明確，可以基于科學研究、公共健康等目的對個人數據進行處理。但是GDPR施行以來，對于科學研究等具體情形，缺乏明確的規定。尤其是新冠肺炎疫情期間，歐盟各成員國基于不同規則處理個人數據，有些甚至暫時放棄了GDPR相關原則的適用。基于公共利益需要處理個人數據，是個人數據的開放性要求，相關情形應進行嚴格限制。我國在制定和施行相關法律時，應當嚴格限制基于公共利益處理個人數據的情形。對列入公共利益范圍的，如開展科學研究、維護公共健康、打擊犯罪等，應盡可能明確個人數據開放和處理的規則，平衡好個人數據保護和公共利益之間的關系。

三是為創新和技術發展留有適當空間。當前人工智能、物聯網、區塊鏈等技術快速發展，數據的收集、傳輸、存儲、處理等行為越來越頻繁，引發了人們對個人數據被濫用、權利被侵犯等問題的擔憂。以人臉識別技術為例，出于對該技術對隱私權的侵犯、因不成熟導致其他問題的擔憂，歐盟對人臉識別技術應用采取謹慎態度，在相關規則尚未出臺前，限制政府部門對該技術的使用。個人數據保護與技術創新發展是伴生性問題，要以寬容、發展、長遠的態度對待技術進步，對于技術發展的負面因素要加強管理。歐盟對GDPR實施評估，提出了可適用于人工智能等技術的基本原則。至于這些原則如何適用，還要持續監測并在此基礎上出臺指南。

四是建立多元化的數據跨境轉移機制。數據自由流動是數字經濟發展的重要基礎。GDPR在加強歐盟內部數據保護的同時，也構建了數據跨境轉移機制，以回應數字經濟背景下信息快速流動的需求。GDPR數據跨境轉移機制是多樣化的，包括充分性認定、適當保護措施、行為準則、認證制度等。我國在數據跨境轉移方面規定了重要數據出境安全評估制度，這種制度針對具體的數據出境活動，實行“一事一評”。建議在上海自貿試驗區臨港新片區、海南自由貿易港試點，在確保數據流動安全可控的前提下，探索建立能夠充分發揮數據價值的數據跨境轉移制度。可總結金融、電信等行業的實踐經驗，分行業建立重要數據跨境轉移制度。同時，跟蹤國際數據跨境轉移規則的研討、制定等情況，適當擴展數據跨境轉移的工具，對數據處理者進行認證。

“網信時代”數據安全治理難度不斷提高