胡裕嶺

隨著大數(shù)據(jù)、云計(jì)算技術(shù)的迅猛發(fā)展，人類已然進(jìn)入了數(shù)據(jù)信息時(shí)代。新時(shí)代下，數(shù)據(jù)信息正成為政府、企業(yè)以及公民所掌握的重要資源和自由空間的載體，也同時(shí)成了網(wǎng)絡(luò)黑客攻擊的主要目標(biāo)。網(wǎng)絡(luò)信息搜集、通訊自由與數(shù)據(jù)安全問題一直存在著尖銳的矛盾。如何平衡這一矛盾，已成為困擾當(dāng)今互聯(lián)網(wǎng)技術(shù)發(fā)展與現(xiàn)代法治進(jìn)程的世界性難題。

對此，英國政府進(jìn)行了一系列卓有成效的法治嘗試。尤其是啟動“脫歐”程序以來，英國在數(shù)據(jù)保護(hù)方面的立法似乎要比歐盟更進(jìn)一步。據(jù)英國《每日郵報(bào)》2017年10月22日的報(bào)道，根據(jù)一份新立法法案，數(shù)據(jù)泄露的受害者最高可獲得6000英鎊的經(jīng)濟(jì)賠償。

數(shù)據(jù)法案出臺背景

此次英國數(shù)字文化媒體和體育部公布的《數(shù)據(jù)保護(hù)法法案》，既有啟動脫歐程序的立法需求，也有公民數(shù)據(jù)泄露現(xiàn)象嚴(yán)重的現(xiàn)實(shí)困境。依據(jù)《里斯本條約》第50條，英國正式啟動“脫歐”程序。這個(gè)過程將是十分漫長而紛繁復(fù)雜的，需要辦理各類法律文件的轉(zhuǎn)接手續(xù)，英國政府預(yù)測最少需要兩年，最長可能七年。屆時(shí)，歐盟法原則上將不再適用于英國，英國議會也將索回期盼已久的立法主權(quán)，英國最高法院將“脫離”歐盟法院，重獲最終審判權(quán)。

盡管歐盟法不再適用于英國，但英國當(dāng)下尚未擺脫歐盟法的影響，其至少需要一個(gè)法律上的過渡和交接，以避免出現(xiàn)舊的英國法律脫離現(xiàn)實(shí)，新的歐盟法不再適用的“真空狀態(tài)”。那么有多少歐盟法律條款能夠被英國法律所直接吸收、改造發(fā)展或是直接廢棄，將由英國政府自行決定。幾乎就在英國啟動脫歐程序的同時(shí)，歐盟宣布其制定的《通用數(shù)據(jù)保護(hù)條例》將在2018年5月25日正式生效。這是繼1995年《個(gè)人數(shù)據(jù)保護(hù)指令》頒布后數(shù)據(jù)立法的全面制度變革，堪稱世界范圍數(shù)據(jù)保護(hù)立法的新標(biāo)桿。除了制定統(tǒng)一的法律規(guī)則和數(shù)據(jù)主體權(quán)利外，該條例的最大亮點(diǎn)在于建立起了嚴(yán)格的數(shù)據(jù)控制者、處理者的問責(zé)機(jī)制和嚴(yán)苛的罰金制度。歐盟成員國將在2018年5月實(shí)施這一數(shù)據(jù)保護(hù)條例。對此，英國政府在2017年8月24日提出，在脫歐后將與歐盟保持“強(qiáng)大的未來數(shù)據(jù)關(guān)系”。英國議會需要制定新的數(shù)據(jù)保護(hù)法案來使歐盟《通用數(shù)據(jù)保護(hù)條例》能夠在英國落地。

除了“脫歐”影響外，新的《數(shù)據(jù)保護(hù)法法案》也是推動英國數(shù)字經(jīng)濟(jì)發(fā)展和應(yīng)對國內(nèi)公民對數(shù)據(jù)泄露現(xiàn)象嚴(yán)重不滿的需求。英國數(shù)字文化媒體和體育部在法案報(bào)告中指出，根據(jù)波士頓咨詢公司的統(tǒng)計(jì)數(shù)據(jù)，英國是G20國家中互聯(lián)網(wǎng)經(jīng)濟(jì)滲透率最高的國家?；ヂ?lián)網(wǎng)經(jīng)濟(jì)在2016年的英國GDP中比重高達(dá)12.4%。然而，據(jù)國際電郵管理公司MIMECAST的調(diào)查，英國超過20%的網(wǎng)絡(luò)公司并沒有專門的數(shù)據(jù)保護(hù)預(yù)算。這意味著相當(dāng)數(shù)量的英國公司并沒有對其客戶的數(shù)據(jù)資料進(jìn)行有效監(jiān)控。

現(xiàn)實(shí)中的客戶數(shù)據(jù)泄露也是令人觸目驚心的。據(jù)網(wǎng)景新聞2017年10月11日報(bào)道稱，美國艾可飛通訊公司的消費(fèi)者數(shù)據(jù)庫受到未知黑客攻擊，多達(dá)1500多萬英國公民的通訊資料、銀行賬戶信息等存在泄露風(fēng)險(xiǎn)。事發(fā)一個(gè)月后，該公司未能將這些風(fēng)險(xiǎn)及時(shí)告知英國消費(fèi)者。對此，英國議會財(cái)政委員會要求美國艾可飛公司說明理由，并考慮該公司是否違反了英國相關(guān)法令以及監(jiān)管者是否有權(quán)強(qiáng)迫該公司向消費(fèi)者賠償。據(jù)英國信息專員辦公室稱，他們正在向艾可飛公司施壓，并開展相關(guān)調(diào)查。假如艾可飛公司的數(shù)據(jù)泄露屬實(shí)，他們將面臨最高50萬英鎊的罰款。而一旦新的《數(shù)據(jù)保護(hù)法法案》獲得通過，那么這些數(shù)據(jù)控制、處理公司很可能因?yàn)闆]有采取合理措施導(dǎo)致消費(fèi)者數(shù)據(jù)泄露而“一夜破產(chǎn)”。

數(shù)據(jù)保護(hù)立法歷程

英國是數(shù)據(jù)保護(hù)立法起步較早的國家。幾乎與互聯(lián)網(wǎng)誕生同時(shí)，早在20世紀(jì)60年代，英國國內(nèi)已經(jīng)開始出現(xiàn)設(shè)立互聯(lián)網(wǎng)和個(gè)人隱私保護(hù)立法的呼聲。但相對于歐洲大陸成文法國家，以判例法為主要形式的英國對個(gè)人隱私權(quán)的保護(hù)一直采取一種比較保守的態(tài)度，侵害隱私的案件常常被納入其他侵權(quán)行為的范疇，如侵害名譽(yù)等。直至1972 年、1978 年英國立法委員會分別通過了著名的《委員會隱私狀況報(bào)告》和《委員會個(gè)人數(shù)據(jù)保護(hù)狀況報(bào)告》。這兩份報(bào)告對于通過計(jì)算機(jī)處理個(gè)人信息所帶來隱私泄露的危險(xiǎn)做出了詳細(xì)分析，并第一次提出了“個(gè)人數(shù)據(jù)保護(hù)所應(yīng)當(dāng)采納”的基本原則，這些原則后來成了今天英國個(gè)人數(shù)據(jù)保護(hù)立法的基礎(chǔ)。

加入歐共體之后，英國數(shù)據(jù)立法開始受到歐洲大陸的影響。1980 年的歐洲經(jīng)濟(jì)合作組織《關(guān)于隱私個(gè)人保護(hù)和與個(gè)人資料跨國流通的指針的建議》和 1981 年歐洲理事會《關(guān)于個(gè)人資料自動化處理個(gè)人保護(hù)公約》，得到英國政府的承認(rèn)。受此影響，1984年英國議會通過了英國歷史上第一部《數(shù)據(jù)保護(hù)法令（Data Protection Bill）》，對個(gè)人數(shù)據(jù)資料的保護(hù)做出了相對全面的規(guī)定，第一次明確了個(gè)人數(shù)據(jù)的定義，即“個(gè)人數(shù)據(jù)是由有關(guān)一個(gè)活著的人的信息組成的數(shù)據(jù)，對于這個(gè)人，可以通過該信息（或者通過數(shù)據(jù)用戶擁有的該信息的其他信息）識別出來，該信息包括對有關(guān)該個(gè)人的評價(jià)，也包括個(gè)人數(shù)據(jù)處理者或其他人對該個(gè)人表示的意圖”。此定義，一直沿用至今。

之后由于歐盟1995年通過的《歐盟數(shù)據(jù)保護(hù)指令》要求，各成員國必須按照該指令修改本國法律。英國政府于1998年出臺了新的《數(shù)據(jù)保護(hù)法（Data Protection Act）》，并于2000 年3月1日起生效。新的數(shù)據(jù)保護(hù)法沿用了1984年《數(shù)據(jù)保護(hù)法令》的結(jié)構(gòu)篇章，針對歐盟要求和新的互聯(lián)網(wǎng)發(fā)展環(huán)境，制定了更為細(xì)致的規(guī)定，確立了數(shù)據(jù)保護(hù)原則。如政府采集與公民自身或企業(yè)有關(guān)的信息，必須遵守資料保護(hù)的法律與相關(guān)程序；應(yīng)當(dāng)維護(hù)資料的安全，確保信息收集行為的合法性、收集目的的正當(dāng)性、收集過程的科學(xué)性、信息內(nèi)容的正確性、數(shù)據(jù)的完整性和準(zhǔn)確性；公民擁有獲得與自身相關(guān)的全部信息、數(shù)據(jù)的合法權(quán)利；并允許公民修正個(gè)人資料中的錯(cuò)誤內(nèi)容。直至今日，《數(shù)據(jù)保護(hù)法》已施行17年。

2017年3月13日，英國議會通過“脫歐”法案。同時(shí)，歐盟提出了數(shù)十個(gè)倡議和規(guī)則推動數(shù)字單一市場。如前所述，新的《數(shù)據(jù)保護(hù)條例》將于2018年5月取代被認(rèn)為已經(jīng)過時(shí)的1995年《個(gè)人數(shù)據(jù)保護(hù)指令》。根據(jù)英國的立法體系，該法案目前還是一項(xiàng)新的立法草案，但在2018年議會兩院通過并經(jīng)女王御準(zhǔn)后將取代實(shí)施了近20年的《數(shù)據(jù)保護(hù)法》和一系列先前加入的歐盟網(wǎng)絡(luò)數(shù)據(jù)相關(guān)法令條約。新的《數(shù)據(jù)保護(hù)法法案》旨在營造一個(gè)最好的、最安全的在線生活和商業(yè)環(huán)境，以維持可信、推動貿(mào)易發(fā)展和確保安全。除了部分原則與歐盟《數(shù)據(jù)保護(hù)條例》相一致外，還在其他方面加強(qiáng)。如特定情況下，個(gè)人可要求社交平臺刪除其曾發(fā)布的所有信息，并設(shè)定了專門的刑事司法數(shù)據(jù)保護(hù)框架等。

精神賠償是否必要

值得關(guān)注的是，新的《數(shù)據(jù)保護(hù)法法案》不僅是英國“脫歐”和響應(yīng)《數(shù)據(jù)保護(hù)條例》的要求，也是應(yīng)對大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)和推動數(shù)字經(jīng)濟(jì)發(fā)展的重要變革。其中最引人注目的是，近日在法案的辯論中，有提案要求對數(shù)據(jù)泄露者施以巨額罰款，甚至是給予每個(gè)消費(fèi)者精神賠償。精神賠償是否有必要，在英國國內(nèi)引發(fā)不同的見解。英國消費(fèi)者權(quán)益組織聲稱消費(fèi)者數(shù)據(jù)泄露現(xiàn)象十分嚴(yán)重，對此持支持態(tài)度。并依據(jù)一項(xiàng)調(diào)查結(jié)果指出，有10%的被調(diào)查者認(rèn)為自己的個(gè)人數(shù)據(jù)被泄露了，高達(dá)73%的被調(diào)查者認(rèn)為自己在網(wǎng)上分享的數(shù)據(jù)存在泄露的風(fēng)險(xiǎn)。但消費(fèi)者權(quán)益組織同時(shí)也指出了《數(shù)據(jù)保護(hù)法法案》的不足，甚至表達(dá)不滿，并呼吁繼續(xù)增加法案修訂案。對于消費(fèi)者來說，如何提起訴訟程序是十分困難的。他們期望政府修改法案允許包括自己在內(nèi)的第三方機(jī)構(gòu)能夠代表消費(fèi)者在數(shù)據(jù)泄露后尋求集體救濟(jì)。

對此，有法律專家指出，該措施大大增加了企業(yè)的法律風(fēng)險(xiǎn)。一方面，法律生效期過短，眾多企業(yè)很可能面臨“一夜破產(chǎn)”。維護(hù)數(shù)據(jù)安全需要大量的經(jīng)濟(jì)投入，短時(shí)間內(nèi)，企業(yè)無法做出有效而完備的調(diào)整。一旦遭到入侵，特別是經(jīng)濟(jì)效益不好難以加大數(shù)據(jù)保護(hù)投入的中小企業(yè)，將雪上加霜，甚至直面破產(chǎn)。另一方面，互聯(lián)網(wǎng)技術(shù)的革新發(fā)展非常迅速，如何應(yīng)對專業(yè)的黑客攻擊，如何證明企業(yè)盡到了數(shù)據(jù)保護(hù)責(zé)任，如何界定數(shù)據(jù)入侵的“敏感度”而衡量精神或心理傷害的數(shù)額，將是法案實(shí)施的重要難題。

編輯：黃靈 yeshzhwu@foxmail.comendprint