经过近四年的讨论以及两年的过渡期,5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)在欧盟全体成员国正式生效。一部欧盟的法律引发世界各国热议,被称为“史上最严格大数据管理法规”。在 GDPR正式生效之际,笔者想就GDPR来一番漫谈,并消除有些人对GDPR的两个误解。 从法条本身出发,GDPR的立法目的并不单一,除保护欧洲公民的基本权利,还要促进个人数据在欧盟境内的自由流通。在欧洲,个人数据保护权是一项公民的基本权利,GDPR毫无疑问旨在强化对公民这一权利的保护。 但是,过于严苛的个人数据保护有可能损害欧盟数字经济的发展,因而欧盟立法者在进行GDPR立法时,希望通过统一的立法来平衡数据保护与数据流通之间的关系,建立简明、现代化的法律规则,为欧盟企业创新发展和促进欧盟“数字单一市场”创造良好的法律环境,促进数据流通。 GDPR是一部个人友好型法律,但也并非完全对企业不友好。从设计初衷来看,GDPR建立单一法律规范,是为了让欧盟企业开展商务活动变得更加简单和成本低廉;GDPR要求各国设立数据监管机构,是为了让企业可以只和单一的监管机构对接,节省不必要的行政和企业开支;GDPR鼓励企业在产品和服务开发较早阶段嵌入保护机制,除了加强保护个人数据,也有提高企业竞争力的良好初衷。 因此,与其说GDPR是“史上最严格大数据管理法规”,不如说它是“史上最全面大数据管理法规。” 大数据时代,数据是人工智能的基石,也是企业竞争力的体现,因而数据被誉为“21世纪的石油”。作为数据资源的一部分,个人数据应当有规则地流通利用。GDPR规定了严格的同意规则,但是其强化个人权利的思路,又使个人对个人数据的后续使用具有强有力的控制,这必然对数据经济产生羁绊。 在大数据时代,个人数据法律应当考虑数据流通的需要。每个人的数据都是有限的,数据只有结合起来才有价值,并更好地服务现代生活。如何在不侵犯隐私权或个人数据保护权的前提下,实现数据的合法流通?只有平衡好个人利益和经营者利益,个人数据法律才能回应社会需求,规则也才能得到有效遵守。 GDPR规定了严格的同意规则,但是并没有清晰规定在何种情形下,需要取得数据主体的同意。尤其是,从数据控制者那里间接获取不能直接识别个人的个人数据,要不要取得数据主体的同意?如何实现同意?大数据的优势在于可即时处理大规模、多样化的行为数据,这些行为数据的收集规则如不清晰,那么大数据应用就会受限。按GDPR的规则,数据初次收集目的完成后,数据主体可以请求删除数据,这样做就可能影响数据的连续性或完整性,影响数据的再利用。如果数据主体可以向数据控制者取回加工处理后的个人数据文档,并提供给其他人使用,这样做就可能损害前一数据控制人的利益,让其他数据控制人搭便车,导致不公平竞争。 就这一点而言,我对GDPR的前景并不看好。对于GDPR能否给欧盟经济带来繁荣,能否与美国数据经济抗衡,能否实现欧盟数字单一市场,我表示审慎的怀疑。 个人数据保护并不存在统一模式。欧洲的个人数据保护模式和美国的信息隐私保护模式,均源自欧美国家特有的社会政治制度、文化背景和司法体制。GDPR反映的是欧洲解决方案,与欧洲对人的基本权利的尊重是分不开的,其中也隐藏着欧盟统一市场的政治目的。我国不宜照搬欧盟模式,以免落入欧洲国家制定的标准受制于人,而应当立足于我国实际,探索符合中国国情的个人数据保护模式,创造个人数据保护的“中国经验”。 我国自2012年确立个人信息保护的基本原则以来,已通过《消费者权益保护法》《网络安全法》等法律,形成了我国个人数据保护的基本规则。在国家布局大数据战略、推进数字经济的背景下,我们应当重新审视个人信息在社会经济发展当中的作用,创新既有效保护个人尊严和自由,又能促进个人数据流通利用的法律制度规则,而不是一味效仿欧美国家的个人信息保护模式。 欧美国家个人信息保护理念和规则形成于以前的网络时代,彼时的个人信息来源和使用方式,与今天我们所处的网络化、数据化、智能化时代有着很大差异。欧美国家受制于传统,很难在大数据时代走出一条适应当今社会发展的个人数据保护之路。我国有条件也有能力创制引领数字经济发展的法律规则,也只有这样,我们才能在数字驱动的创新经济时代弯道超车。 |