與歐盟業務相關的中國企業必須認真學習GDPR的基本精神與核心,盡快在企業内部完善相應的資料保護合規制度建設,以一種積極主動的态度迎接這部堪稱世界史上最嚴格的資料保護法律。
2018年5月25日,全球第一部以正式法典形式出現的歐盟《一般資料保護條例》(簡稱GDPR)将正式生效。GDPR采取了“長臂”管轄原則,隻要中國的企業為歐盟境内的資料主體提供了貨物或服務,即使其在歐盟境内沒有設立任何分支機構,也依然受到GDPR的管轄。由此,GDPR與中國的關系不再是“事不關己”,而是“息息相關”。與歐盟業務相關的中國企業必須認真學習GDPR的基本精神與核心,盡快在企業内部完善相應的資料保護合規制度建設,以一種積極主動的态度迎接這部堪稱世界史上最嚴格的資料保護法律。
GDPR之是以被稱為“史上最嚴”,主要展現在兩方面:一方面,GDPR賦予了資料主體同意權、通路權、更正權、被遺忘權、限制處理權、拒絕權及自動化自決權等廣泛的資料權利和自由,同時明确了資料控制者和處理者應盡到采取合法、公平和透明的技術群組織措施保護資料權益的法定義務,以及履行對監管部門及資料保護認證組織的法定義務。
另一方面,GDPR設定了天價的罰款,起步就是1000萬歐元或企業上一财年全球營業總額2%,并以較高者為準。無論是對資料違法行為及嚴重後果的認定,還是最終罰款額度的确定,歐盟成員國的監管機關都具有很大的自由裁量權。GDPR試圖以這種近似嚴酷的監管手段來倒逼資料經濟企業建立完善的資料合規制度,以實作對自然人資料權益的保護。
同時,GDPR在強化自然人基本資料權利的同時提供了統一的資料規則,在某種意義上也簡化了跨國企業的合規程式,提升了跨國企業在資料經濟中的創新能力和競争力。歐盟的立法經驗毫無疑問值得中國借鑒,其啟示如下:
其一,單一的資料保護立法有利于統一市場的建設。差異化和不協調的資料保護方案和執法機制不僅影響到公民基本資料權利的保護效果,也會阻礙資料的自由流通和再利用。同時,這使得資料經濟企業在開拓市場時面臨着很大的法律不确定性,無形之中增加了企業的守法成本和合規風險。
其二,從保護基本權利的角度規範資料控制者的資料處理行為,這是各國普遍性接受的世界性規則。由于大資料的爆炸性增長和雲計算能力的指數級進步,人人都變成了“透明人”,并深陷于一個巨大的“黑箱社會”之中。由此,旨在防範他人或公權力打擾生活安甯的“隐私”概念在人工智能時代面臨着疊代更替,實作從個人隐私到個人資料的轉變顯得非常有必要,強調資料主體有效控制權的“個人資料”概念應運而生。
其三,強調公法救濟機制的重要性。GDPR強制性要求歐盟各成員國建立獨立的資料監管機構以及資料主體向監管機構投訴、受理及處理的一整套完備的行政救濟制度架構。對于人工智能時代的資料權利保護,GDPR并非通過私法權利體系及個人的司法救濟來實作。
其四,“軟法和硬法”的結合以及監管部門與平台企業的“合作治理”是歐盟的未來發展方向。從《資料保護指令》到《一般資料保護條例》,歐盟一直緻力于建立“行業準則+法律規範”的雙重規範體系和“資料控制者自我規制+資料監管機構政府規制”的雙重治理體系。
其五,GDPR注重“個人資料權利保護”與“個人資料自由流通”之間的平衡,特别強調個人資料的自由流通不得因為在個人資料處理過程中保護自然人權利而被限制或禁止。而根據最近公布的《歐盟企業間資料共享報告》顯示,嚴格的資料權利保護制度并沒有實質性影響歐盟境内的規模化和商業化資料共享,而歐盟精英階層也并沒有把“個人資料權利保護”定性為絕對的“政治正确”,而是采取柔性政策平衡資料共享中的價值沖突。
歐盟最新的一份人工智能報告将中國資料模式總結為:相比于歐盟和美國,在中國收集資料相對容易,其發展人工智能項目的成本較低而發展速度更快。該報告進一步認為,中國資料模式從長遠看并不可行,因為成功的科技發展應該給予個人更大的權利和自由,而對科技給公民的福祉漠不關心的國家将不可能獲得數字經濟的繁榮。在筆者看來,歐盟對中國資料模式的總結帶有極大偏見,當然也有失偏頗。中國資料模式跟歐盟和美國并沒有本質差別,而隻是發展階段和實作機制有所不同。
事實上,中國的資料相關立法也是建構在個人資料權利和自由的基礎上,而突出資料公共利益也正是新時代社會主義立法的特色和優勢之所在。我國憲法本身特别重視對公民人格權的保護,而隐私主要是被放在民法總則中的名譽權範疇中加以保護,主要指的是個人的生活資訊;全國人大早在2003年就提出了制定“個人資料保護法”,并一直在為此努力;2009年刑法修正案增設了“侵犯公民個人資訊罪”,2013年的《消費者權益保護法》增加了對消費者個人信心保護的内容; 2016年的《網絡安全法》更是明确了資料控制者和處理者的法定義務,以保障網絡安全及保護資料主體的合法權益;2016年的最高檢和最高法聯合出台的《關于侵犯公民個人資訊刑事案件解釋》更是明确解釋或細化規定了“個人資訊”、“違反國家有關規定”、“提供公民個人資訊”及“情節嚴重”等不确定概念; 2017年的推薦性國家标準《個人資訊安全規範》更是從資訊權利保護的角度全面規定了個人資訊的收集、儲存、使用以及委托處理、共享、轉讓及公開披露等内容。由此,與歐盟相比,中國資料治理模式同樣注重個人資料權益的保護,也強調以大資料和算法為基礎的人工智能是否能給全體人民帶來福祉。中國的理想圖景如下:
未來的中國資料治理應當首倡試驗主義治理模式,這是資料監管領域的“摸着石頭過河”。由于人工智能時代的不确定性和變動性,我國應當建構一種試驗主義的治理模式,建立的是臨時性的資料保護架構,并且根據不同環境下執行效果的遞歸評估而不斷對這些架構進行深化并修正,等到時機成熟和經驗豐富,再最終上升為法律。事實上,這也是我國為何遲遲不出台強制性的硬法《個人資訊保護法》,而僅僅制定軟法性質的指導性國家标準《個人資訊安全規範》的主要原因之一。
未來的中國資料治理強調資料權利等個人利益與資料流通、共享及利用等公共利益的平衡,應當是一個以多元、開放、分享為基本特征的整體性體系,市場、社會及國家這三種治理機制循環往複,時而正向運動,時而反向運動,同時還包括國家内部的立法與行政、中央與地方之間的雙向自循環系統,共同形成一個整體的四重雙向治理生态。
原文釋出時間為:2018-05-26
本文作者:何淵
本文來自雲栖社群合作夥伴“
阿裡研究院”,了解相關資訊可以關注“
”。
![Nacos 2.0 更新前後性能對比壓測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)