5月25日,欧盟《通用数据保护条例》(General Data Protection Reg-ulation,GDPR)生效。实施后,GDPR将覆盖所有28个欧盟成员国,替代各国自己的相关法律。此《条例》被称为欧盟史上最严数据条例。
那么,新出台的欧盟《通用数据保护条例》到底“严”在哪里,又将对中国企业带来怎样的影响,本期的时事对谈由此展开。
受访人:刘权
采访人:陈媛媛
经济观察报:既然欧洲已经有了《个人数据保护指令》,为何还要出台GDPR?
刘权:欧洲历来重视个人数据保护。早在1995年,欧洲议会就通过了《个人数据保护指令》,对欧盟个人数据进行了严格保护。在该指令实施17年后即2012年,欧盟委员会公布了《通用数据保护条例》(General Data Protection Regulation, 缩 写 为GDPR),对实施了近17 年的《个人数据保护指令》进行修订。
经过了长达4年的激烈讨论,2016年4月14日,欧洲议会投票通过了《通用数据保护条例》。该条例将在欧盟官方杂志公布正式文本的2年后,即2018年5月25日生效。我认为,之所以要制定新的《通用数据保护条例》,主要有两方面的背景原因:
一是,为了应对互联网时代个人数据保护的新挑战。随着近些年互联网技术的不断发展,私人企业和公共机构对数据的需求越来越大,数据挖掘和分析技术不断提高,个人数据滥用与隐私侵害的风险也日益增加。基于这样的背景,欧盟认为有必要制定新法律,保障欧盟公民个人数据基本权利。
二是,为了保障数据能够高效和安全流通,促进欧盟“数字单一市场”的建立。随着互联网和数字技术的应用与发展,欧盟在2015年再次提出“数字单一市场”战略,旨在打破欧盟境内线上经济的壁垒,使消费者在欧盟范围内获得更好的在线商品与服务,释放欧洲数字经济增长的最大潜力。所以GDPR试图通过确立统一的欧盟数据保护与流通规则,为欧盟企业创立统一、明确的行为规范,以促进欧盟数字经济发展。
经济观察报:GDPR的亮点是什么?它的适用范围广吗?
刘权:可以说有史以来,还没有哪一部地区性的法律,像GDPR一样受到了全球主权国家如此高度的关注与重视。
GDPR有许多亮点。例如,GDPR严格规定了数据处理的目的、原则、条件、程序等;GDPR赋予了数据主体一系列较为强大的权利,如同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利;GDPR还规定了较为完善的监督与救济机制,设定了严厉的数据处理法律责任。
同时,我们也必须注意到,GDPR的适用范围极广,将法律适用的属地主义与效果保护主义原则结合起来,扩大法律适用的域外效力。世界上任何一家与欧盟有相关贸易往来的数字经济企业,都可能受GDPR的管辖。因此,尽管GDPR是欧盟地区制定,而非全球国家共同制定的,但由于其设计的“长臂”管辖原则具有域外效力,所以GDPR事实上成为了全球性法律。
经济观察报:GDPR被一些学者誉为数据保护领域“哥白尼革命”的立法,在智能化时代给数据所有者创造了诸多新的法律权利,前面你也提到很多新的权利,其中“被遗忘权”备受关注,你能给大家讲讲什么是“被遗忘权”吗?
刘权:“被遗忘权”是指数据主体有被遗忘的权利,有权要求数据控制者永久删除某些数据,除非数据的保留有正当的理由。所以“被遗忘权”也可称为“被删除权”,它要求数据控制者删除某些不应当继续存储和处理的信息。
在国外有很多“被遗忘权”的案例。例如,欧洲法院2014年5月做出裁定,要求网络搜索引擎谷歌必须按照当事人要求删除涉及个人隐私的数据。
一名西班牙男子起诉谷歌称,在该公司的搜索引擎中搜索自己的名字时,有一个链接指向了1998年的一篇刊登在报纸上的文章,文章报道了他的住房被收回的情况。欧洲法院最终支持了该男子的主张,要求谷歌删除相关搜索结果。
对于被遗忘的数据范围,数据主体不但有权要求数据控制者删除其直接控制的数据信息,还有权要求数据控制者删除经第三方转载、复制后的所有数据。
经济观察报:GDPR被称为欧盟史上最“严”,它到底“严”在什么地方?企业或机构如果不遵守会面临什么处罚?
刘权:其“严”不仅体现在其设定了严格的数据处理条件与程序,更在于其设定了严厉的数据处理法律责任。
“没有牙齿的法律是纸老虎。”GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。对于数据处理的违法行为,GDPR主要设定了两个等级的处罚。
第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如数据控制者与处理者没有尽到相应数据保护义务、没有对数据保护认证组织履行义务、没有对监管部门履行义务。
针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。如数字经济企业违反数据处理的基本原则与条件、侵犯数据主体的权利、不符合条件将个人数据传输给第三国或国际组织。
经济观察报:欧盟现在有权对违规企业处以年收入4%的罚款或2000万欧元(两者取较大值)。4%的营收已超过很多企业的利润,这会不会影响企业发展?
刘权:4%的营收确实已超过很多企业的利润,无论是互联网巨头企业,还是中小型企业,都会受到影响。企业如果被欧盟监管当局重罚后,可能就没有足够的资金投入新技术研发,无法及时提升产品性能,无法有效改善服务质量,从而可能最终在竞争激烈的全球市场中被淘汰。对于一些中小企业来说,欧盟的一次罚款,可能马上就会使其濒临破产的边缘。
因此,对于全球数字经济企业而言,不应抱有欧盟“执法不严、违法不究”的侥幸心理,而应及早“退而结网”完善数据保护合规制度建设。
经济观察报:据媒体报道,GDPR正式生效的当天,包括《芝加哥时报》和《洛杉矶时报》在内的多家美国热门新闻网站在欧盟地区陷入瘫痪,原因是没能及时取得用户授权。那么,GDPR的实施,对中国企业将产生怎样的影响?
刘权:GDPR的实施,对中国企业将产生深远影响,既包括积极影响,也包括不利影响。
从好的方面来说,GDPR的实施实际上有利于推动中国企业提升数据治理水平,有利于保障我国公民个人信息权利。我国至今还未制定个人信息保护法等专门法律,个人数据保护面临严重危机。
个人数据经常受到侵犯,被不当收集、储存、处理、利用,甚至用来非法交易。在互联网时代,我们很多人似乎都处于“裸奔”状态,很多时候我们可能毫无隐私可言。各种各样“知根知底”的营销电话、短信接踵而来,就连上网痕迹、手机通话、聊天记录中的关键词也可能被抓取用来实施“精准”营销。
因此,从长远来看,GDPR的实施对中国企业的长远发展实际上是有利的,有利于提高我国数字经济企业的国际竞争力,有利于我国数字经济企业做大做强,进而有利于促进我国的数字经济市场的整体良性快速发展。
然而,GDPR是一把双刃剑。GDPR的实施,也将对中国企业产生一些不利影响。
首先,GDPR会给企业带来高昂的合规成本。GDPR设立了严格的数据保护机制,企业需要为此支付巨大的合规成本。据专业机构调查,68%的美国企业预计将花费100万到1000万美元来满足GDPR的要求,另有9%的企业预计花费超过1000万美元。
其次,GDPR可能阻碍企业的技术创新与市场发展。在大数据时代,数据就是生产资料。但欧盟GDPR选择了相对偏重保护个人数据权利,企业获取数据没那么容易,可能会对技术创新与市场的发展产生一定的阻碍。例如,可能阻碍人工智能技术的发展创新。
再次,除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍我国数字经济企业在欧盟的发展扩张。以数据安全为由,阻碍我国企业海外发展的案例已屡见不鲜。例如,2018年年初,美国电话电报公司(AT&T)退出了面向美国消费者销售华为Mate 10智能手机的协议。
此事突显出美方对中方企业,在技术、用户隐私和安全等问题上的不信任。再如,因为没有得到美国一个审查外资收购的委员会的批准,阿里巴巴蚂蚁金服出价12亿美元收购速汇金(MoneyGram)失败,该交易遭到了美国议员的猛烈抨击,被指可能会让中国掌握美国的用户的个人数据。未来此类以数据保护不力为由的贸易纠纷,很可能在欧盟反复上演。
在我国正在推行“一带一路”倡议的大背景下,GDPR将会对中国数字经济发展产生重大影响,可能成为阻挡我国数字经济企业“走出去”的障碍,可能阻碍“一带一路”倡议地顺利推进。
经济观察报:如果公司是在中国处理数据,是否也要遵守欧盟新条例?
刘权:如果公司是在中国处理数据,也可能要受GDPR的约束。GDPR设立了“长臂”管辖原则,赋予了GDPR域外效力。即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。
因此,不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,不管该企业在世界上哪个地方,都要受GDPR的拘束。
经济观察报:GDPR是否会阻碍创新,导致企业对云计算感到紧张?
刘权:GDPR可能成为创新的绊脚石。一方面个人数据权利要保护,另一方面技术要创新,市场要发展,二者之间难免时常发生冲突。尽管欧盟GDPR也没有忽视欧盟数字经济的发展,但主要还是偏重于个人数据权利保护,所以必然会对技术创新产生一定的阻碍。
例如,应用云计算的企业,如果缺乏大量的原始基础数据支撑,就无法得出有价值的结果,但如果过度收集相关数据,又可能会被欧盟监管当局处以重罚,所以很多云计算企业可能会感到比较紧张,压力比较大。
事实上,全球很多数字经济企业都会受GDPR的影响,如人工智能企业、电子商务企业、金融科技企业、新型的分享经济企业等企业,在研发使用新技术时都可能受到不同程度的阻碍。
经济观察报:GDPR对中国在数据立法方面有哪些值得借鉴的地方?
刘权:我国目前需要制定实施类似欧盟GDPR标准的专门法律,既保障个人信息不受我国企业侵犯,减少只重视欧盟用户数据权的不平等保护现象,也保障我国公民个人信息不受境外企业收集处理。
面对大数据时代对个人信息的大量的收集、存储、处理,我国对个人信息的保护仍缺少系统的立法回应。我国对个人信息保护的规定散见于法律、行政法规、部门规章以及规范性文件之中,呈现出法律层级不高、法律条款分散、法律规定缺乏系统性等特点。
因此,在国内层面,我国政府应当及时制定个人信息保护的专门法律。需要全国人大、国务院、网信办、工业部、商务部、国家市场监督管理总局等多部门共同参与,制定出一部经得起历史检验的良法,既切实有效保障公民个人信息,又有力促进我国数字经济良性快速发展。