- 2018-09-27
欧盟GDPR对全球数字经济影响力
被称为史上最严的个人信息保护法——欧盟《一般数据保护条例》(GDPR)终于来了。但如果只将其视为在信息科技迅速发展背景下,欧盟对欧洲公民人格尊严和人格自由的重申,未免小觑了它的意义。
任何立法都不尽然是由理念推动,其背后往往有着更大现实考量。正如GDPR第1条“主旨与目标”中“不得以保护自然人个人数据处理为由,限制或禁止个人数据在欧盟的自由流动”所表明的,欧盟绝非仅仅高举数据基本权利大旗的道德至上主义者,相反,它深知个人数据对于数字经济的关键作用。因而,透过数字经济的棱镜,我们或许可以认识到GDPR的另一面。
数字经济的落后者
2016年,二十国集团(G20)在中国杭州发布《G20数字经济发展与合作倡议》,首次将“数字经济”列为G20创新增长蓝图中的重要议题。作为继农业经济、工业经济之后的一种新的经济社会发展形态,数字经济早已超出信息产业的藩篱,成为推动各领域数字转型,实现价值增值和效率提升的推动力。有鉴于此,无论是发达国家,还是发展中国家,均把数字经济转型视为重大的优先政策。然而,在数字经济的世界版图上,各国的发展并不均衡。中国信通院《G20国家数字经济发展研究报告(2017)》显示:2016年,美国数字经济规模达到10.8 万亿美元,在世界上遥遥领先;中国以3.4 万亿美元的总量位居第二,日本、德国和英国分列第三至五位,其平均规模约为中国的一半。
中美两国在这波数字经济浪潮中的领先地位在科技企业的市值上得到鲜明体现。2017年,全球市值前十的公司中有七家科技企业,其中,美国五家:苹果、微软、谷歌、Facebook、亚马逊,中国两家:阿里巴巴和腾讯。这一局势在各个细分领域更加显著。联合国《2017世界投资报告——投资与数字经济》(World Investment Report 2017—Investment and the Digital Economy Report)梳理了网络平台、数字化解决方案、电子商务、数字内容、IT、电信设施等主要数字经济领域,发现全球的领导者或跟随者基本被中美两国的企业占据。显然,较诸中美,欧洲在数字经济中暂时落后了。
事实上,欧盟很早就意识到数字经济的来临。早在1996年,为了激励数据产业的发展,欧盟理事会就签署了《关于数据库的法律保护的指令》,在全球首次赋予那些不受著作权法保护但又有实质性投资的数据库以特殊权利 (sui generis right protection)。但由于法律本身的模糊,该指令并未让欧盟数据产业蓬勃兴起,甚至于到了2004年,欧盟数据产业的发展已经回落到1996年的水平。
在这一形势下,2015年,欧盟发布“欧洲单一数字市场战略”,以期在确保货物、人员、服务、资本、数据自由流动的前提下,个人和企业均能在公平竞争的条件下无缝访问和在线活动,从而促进欧盟数字经济发展并确保欧洲在全球数字经济中的地位。欧盟认识到,作为这一战略的三大支柱,数字生产要素流动、基础设施建构和公共服务保障均不可或缺。因此,欧盟在GDPR之外,另外打出一套组合拳,从2017年《关于非个人数据自由流动框架的提案》到2018年4月的《关于修订公共部门信息再利用指令的提案》《修订2012年访问和保存科学信息的建议》《基于公共利益由私营部门向公共部门分享数据的指导意见》,欧盟展示了建立数字单一市场的雄心。正如因此,个人数据保护问题并非一个独立事件,它被统摄于欧盟数字经济的宏观架构中,共同服务于欧盟谋求数字经济领袖地位的总体布局。
GDPR的三种武器
GDPR有着双重效果:它一方面通过统一的个人数据保护立法和“一站式”执法,推动欧盟内部市场的一体化;另一方面通过域外效力搅动欧盟外的全球市场。
就后者来说,欧盟实际上是利用GDPR,向中美两国企业和政府开出了一道难以回答的选择题:要么让企业操作规程或国内法与GDPR保持一致,要么被5亿富有消费者的市场排除在外。
GDPR域外效力的落实有赖于三大杀器。首先是“保护性管辖”,即GDPR以保护欧盟内自然人利益为宗旨,不论数据控制者或处理者在欧盟之内还是欧盟之外,也不论处理行为是在欧盟之内还是之外发生,均适用欧盟法律。保护管辖是GDPR对1995年欧盟《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(“95指令”)的主要调整之一,它突破了传统的“属地管辖”和“属人管辖”原则,大大拓展了欧盟的管辖范围。事实上,在GDPR实施之前,欧盟已经在2014年Google Spain 诉AEPD及Mario Costeja案中表明了这一立场。在该案中,欧洲法院判定:即使个人数据的处理操作是谷歌公司在欧盟以外进行的,但由于谷歌母公司的经营活动与西班牙子公司的推广销售密不可分,谷歌仍然落入“95指令”的效力范围。
第二个武器是“数据跨境流动管控”。与欧洲单一数字市场战略强制要求数据在欧盟内自由流动不同,GDPR以独立一章的篇幅对数据向欧盟外流动严加限制。一般而言,欧盟境内的个人数据只允许流入欧盟认为能够提供“充分保护”或“适当保障措施”的第三国。这里的“充分性”标准包括该国的个人数据保护整体水平、数据流动现状,以及与欧盟的政治、贸易关系、秉持的价值观和目标等。目前来看,日本最有希望成为获得欧盟“充分性认定”的首个亚洲国家,而中国的可能性几乎为零。因此,对于中国企业而言,只有通过“有约束力公司规则”(Binding Corporate Rules)或“标准合同条款”(Standard Contractual Clauses)等“适当保障措施”的途径,实现数据跨境传输。在此情形下,中国企业必须在数据传输、存储、加工的各个环节提供充分保障,否则将随时面临在欧盟境内被起诉或申诉的法律风险。
最后,无责任的法律,就如无牙齿的老虎。要想达到真正的威慑,GDPR必须备有强力的处罚措施。对于违反GDPR的行为,GDPR设定了两档罚则:就违反隐私保护设计以及默认隐私保护、没有实施充分的IT安全保障措施、违反数据泄露通知要求等行为,处以1000万欧元或者上一年度全球营收的2%(以较高者为准);就违反数据处理原则、数据处理没有合法基础、违法同意要求、侵害数据主体的合法权利等行为,处以2000万欧元或者企业上一年度全球营业收入的4%(以较高者为准)。显而易见,对于中美大型跨国公司,与全球营收挂钩的处罚称得上一刀见血。
GDPR的经济后果
随GDPR而来的,首先当然是企业合规成本的飙升。Paul Hastings律师事务所调查了100家富时350指数公司和100家世界500强企业的总法律顾问和首席安全官,发现富时350指数公司平均将为GDPR增加43万英镑的支出,而世界500强企业更高达100万美元。受影响的不只是大企业。虽然GDPR第30条第5款对雇员人数少于250人的企业或组织,给予了特别义务豁免,但其豁免的范围有限,同时规定了诸如“可能给数据主体的权利或自由带来风险”等模糊的豁免条件,小企业仍将面临非常不确定的执法,由此它们可能不得不费时费力,像大企业一样承担义务,这削弱了小企业豁免的立法功能并有损于初创公司的发展。
GDPR带来的不仅仅是合规成本,事实上,通过复杂的连锁反应,它将最终影响到整个数字经济。
对于人工智能产业,《终极算法》作者华盛顿大学教授 Pedro Domingos在今年年初称:自 5 月 25 日起,欧盟将会要求所有算法解释其输出原理,这意味着深度学习即将非法。虽然有学者认为这一说法系对GDPR的误读,但GDPR所要求的算法透明和负责及其导致的数据类型和数量下降,必将是人工智能必须面对的挑战。对于区块链产业,其不可篡改性与GDPR赋予个人的更正权、删除权、被遗忘权直接冲突,多点记账和多方共识的设定使得每个节点都将承担苛刻的数据控制者义务,而这完全是不可能完成的任务。对于科技金融产业,正如经济学家Jentzsch之前的研究所发现的,以金融隐私指数(Financial Privacy Index)为指标,美国的个人数据保护弱于欧盟,但美国的信贷获取比例高于欧盟各国。GDRP的实施将进一步加剧个人获得信贷的难度。德勤会计师事务所估计:GDPR将令消费信贷下降19%,给GDP造成每年830亿欧元的损失并引发140万人失业。对于“行为定向广告”(online behavioral advertising )行业,由于在GDPR下,用户的IP地址、Cookies和设备ID等个人数据的处理变得更加困难,利用个人数据进行营销的成本上升,整个产业将丧失32亿欧元的收入。根据德勤会计事务所的整体评估,仅就直销、广告、网页分析、信贷等四大产业来说,GDPR将直接或间接地导致1730亿欧元的GDP损失以及280万元的就业损失。
容易想见,凭借GDPR的三种武器,这些不利经济后果中很大一部分将由欧盟外的数字经济大国负担。事实上,其后果已显露端倪。在GDPR生效的第一天,谷歌和Facebook便因在分享用户数据方面涉嫌违规而面临诉讼,可能遭受总额分别为37亿欧元和39亿欧元的罚款。互联网女王Mary Meeker在最新的互联网趋势报告中也警告说,GDPR对个人数据的管理权和控制权必将给创新带来阻碍。在此背景下,中国更应清醒、全面地认识GDPR的意图和影响,一方面要保持数字经济优位的制度定力,不因GDPR是世界个人信息保护的最新潮流而率尔追随,另一方面要严肃慎重地对待欧盟执法,通过国际磋商和政治谈判,化解中国法律和GDPR的冲突,进而帮助中国企业在合理范围内遵守GDPR,实现企业发展和个人信息保护的平衡。
企业如何应对GDPR已生效?
对于各国企业来讲,尤其要注意的是GDPR的适用范围。一方面,对于各国企业在欧洲设立或者收购而成的子公司,无论其数据处理活动是否在欧盟境内,均需遵守GDPR。另一方面,如果企业为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息,或者为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,也要受GDPR的管辖。因此,对于已经在欧盟进行战略布局或者拟将业务网络拓展到欧盟的企业(尤其是银行、电子商务、互联网、航空、IT企业和软硬件生产商)来讲,必须重视GDPR的合规,否则将会遭受重大的财务和声誉上的损失。
GDPR关键要素解析
GDPR包括序言和11个章节,共99条具体保护条款。其中重点聚焦于个人数据主体的各项权利。这意味着数据主体对自己的个人数据有了更强的把控能力,可在使用企业的产品或服务时提出更多的合法诉求。同时,GDPR中也进一步明确了需特别管理的个人数据以及相关处理的要求,这也对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求。
a 数据主体的各项权利
在个人数据主体的权利方面,GDPR中阐述的用户权利可概括为以下几个主要方面,即数据访问权、数据纠正权、被遗忘权、限制处理权、可携带权、自主决定权以及拒绝权等。通过这些权利,数据主体可随时向企业要求个人数据备份,或要求其提供个人数据的使用目的,并可对相关数据进行更正、删除、导出转移等多项操作。同时,用户也可向企业明确提出要求,禁止企业对其个人数据的某些处理及使用,以避免受到某些自动化决策的影响。此类来源于个人用户的限制甚至拒绝要求,也是GDPR中明确提出的重点内容。
b 特殊类型的个人数据
过去企业对隐私保护的关注各不相同,对个人数据的定义也存在一定差异,但此次GDPR中明确了特殊类型的个人数据类别,涉及到种族、政治观点、宗教信仰、工会,以及个人的基因数据、生物特征值、健康信息、性生活及取向等。针对这些敏感的个人数据,企业需将其与其他个人数据进行独立管理,并提供更加严密的安全保护措施。
c 未成年人的个人数据
针对未成年人,GDPR也规定了具体条款进行特殊保护。当企业向未成年人提供产品或服务并处理其个人数据时,GDPR明确指出需获取16岁以下未成年人的监护人同意及授权,而不可仅向未成年人征询同意。
d 面向企业的隐私保护管理要求
对于企业而言,GDPR也提出了全方位的隐私保护管理要求,从不同方面开展持续性的监管工作。
第一,对于已收集的个人数据,若企业已没有了收集数据时的使用目的,则需主动将相关数据进行清除;
第二,若企业发生了数据泄露事件,将在72小时内向监管机构披露个人数据方面的泄露问题,并且在某些影响用户安全的情况下,还需同时向受影响的个人进行披露;
第三,企业需设立数据保护专员(Data Protection Officer,DPO)负责企业的隐私保护工作,完善相关的管理制度、工作流程,开展基于业务的隐私影响评估,并根据企业自身情况,在欧盟境内设立相关代表人,全面并及时地响应用户需求。
GDPR隐私保护阶段性实施方法
既然GDPR这一柄“达摩克利斯之剑”已经悬在头上,企业如何去应对这项法规,并满足相对应的合规要求,正是“5.25”之后的重中之重。因为企业对个人数据的处理一旦触发了GDPR的违规条款,则会面临着可高达企业全球年营业额的4%的罚款(企业全球年营业额的4%或2000万欧元,两者取高)。
对于GDPR的正式执行,诸多企业对其产生了一定的担忧及疑虑,本文整理并汇总了一部分GDPR正式执行后可能带来的重大挑战,并提出了相应的建议。
1 个人数据类型的定义及识别
企业在梳理个人数据时往往感到界定困难,甚至出现企业内部不同部门或团队,对相同的数据采取不同定义的情况。
建议:“可识别”这个概念,往往是在多项数据结合之后实现的,因此即使某一项数据无法直接识别某个具体用户,但由于其与其他数据结合后可识别用户,这些数据仍需要进行保护。
2 未成年人的个人数据处理授权
针对16岁以下未成年人的监护人同意和授权,企业很难真实识别未成年人与其监护人的关系,存在一定的违规风险。
建议:可针对不同国家适用的官方文件进行进一步判断,可参考的文件包括但不限于出生证明、收养证明等。
3 个人数据的跨境传输
GDPR中已明确数据跨境的要求,但部分企业存在数据中心单一或欧盟境内没有相关设施的情况。
建议:若企业无法在欧盟境内设立数据中心,应考虑通过有约束的公司规则(Binding Corporate Rules、BCR)、标准合同条款、经批准的行为准则或其他认证机制,进行个人数据的跨境传输。
随着今日GDPR的正式生效,各国的政府及监管机构也对数据隐私保护工作愈发重视,相关法律法规也在逐步完善或实施的过程中,诸多中国企业也对数据隐私保护进行了全面规划,相关工作可谓任重而道远。我们也期待在可预见的未来,越来越多的企业会逐步提升自身的。