特約撰稿人|云晴

GDPR條例已于2018年5月正式生效。這一數(shù)據(jù)保護(hù)條例的背景是移動互聯(lián)網(wǎng)高速發(fā)展帶來隱私數(shù)據(jù)保護(hù)需求爆發(fā)、歐盟期望通過保護(hù)用戶數(shù)據(jù)權(quán)利的方式獲得更多在互聯(lián)網(wǎng)領(lǐng)域的話語權(quán)、歐盟通過建立個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)推動數(shù)據(jù)產(chǎn)業(yè)發(fā)展從而形成對發(fā)達(dá)互聯(lián)網(wǎng)國家競爭能力。

大數(shù)據(jù)的開放和利用中，做好規(guī)則設(shè)計和角色的職責(zé)劃分是最為重要的前提條件之一。用政策和規(guī)則明確地說明對數(shù)據(jù)的理解和應(yīng)用的邊界很重要，一定要盡可能先行，要有規(guī)則框架和體制框架的思維。數(shù)據(jù)應(yīng)該開放哪些，開放到什么程度，公眾可以以怎樣的方式使用這些數(shù)據(jù)（避免數(shù)據(jù)濫用），這些問題都需要通過立法的形式得到確認(rèn)，這為政府部門開放數(shù)據(jù)給出了規(guī)則，這一點非常重要。

GDPR保障了個人選擇的權(quán)利

2016年，歐洲議會投票通過了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），該條例已于2018年5月正式生效。這一數(shù)據(jù)保護(hù)條例的背景是移動互聯(lián)網(wǎng)高速發(fā)展帶來隱私數(shù)據(jù)保護(hù)需求爆發(fā)、歐盟期望通過保護(hù)用戶數(shù)據(jù)權(quán)利的方式獲得更多在互聯(lián)網(wǎng)領(lǐng)域的話語權(quán)、歐盟通過建立個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)推動數(shù)據(jù)產(chǎn)業(yè)發(fā)展從而形成對發(fā)達(dá)互聯(lián)網(wǎng)國家競爭能力。因此GDPR的推出作為信息行業(yè)重要管制政策之一，得到了極大的關(guān)注。

和中國由政監(jiān)合一的政府組成部門實施電信管制不同，歐盟在引入競爭實現(xiàn)私有化之后，為了使得管制機(jī)構(gòu)能盡最大可能促進(jìn)市場競爭，管制主導(dǎo)企業(yè)濫用市場勢力，在各個成員國設(shè)立了獨立的管制機(jī)構(gòu)。而管制的權(quán)利則來源于立法，向國會等立法機(jī)構(gòu)負(fù)責(zé)。也就是說，歐盟的條例（regulation）規(guī)定了各成員國所要達(dá)到的目標(biāo)和為了實現(xiàn)這些目標(biāo)所采用的實施手段所遵循的原則，而條例必須在歐盟各國內(nèi)轉(zhuǎn)化為國內(nèi)法才能夠得以實施。例如條例中所規(guī)定的一些數(shù)據(jù)保護(hù)的通用（基本）原則，包括收集限制原則、數(shù)據(jù)質(zhì)量原則、說明目的原則、利用限制原則、安全保護(hù)原則、開放性原則、個人參與原則和負(fù)責(zé)任原則等，都對歐盟成員國在相關(guān)立法中指明了原則性的方向。

在1995年頒布的《個人數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上，為了適應(yīng)在新的社會經(jīng)濟(jì)環(huán)境下數(shù)據(jù)的要求，GDPR引入了很多新的內(nèi)容。如加強(qiáng)個人數(shù)據(jù)權(quán)利保護(hù)、強(qiáng)化企業(yè)維護(hù)數(shù)據(jù)安全的責(zé)任、限制企業(yè)針對個人的數(shù)據(jù)分析活動、加強(qiáng)對數(shù)據(jù)跨境轉(zhuǎn)移的監(jiān)管等。

例如在個人數(shù)據(jù)權(quán)利保護(hù)方面，條例體現(xiàn)出以人為本、注重用戶權(quán)益保護(hù)的設(shè)計原則。在歐盟的條例設(shè)計過程中，用戶權(quán)益的保護(hù)始終作為首要目標(biāo)選擇。但與此同時，歐盟認(rèn)為，促進(jìn)市場的有效競爭是保護(hù)用戶權(quán)益的最主要手段。因此我們會看到在條例中有這樣的條款：“在以直接營銷為目的的個人數(shù)據(jù)處理情形下，數(shù)據(jù)主體有權(quán)在任何時候、無需支付任何費用拒絕該類處理方式——包括與此類直接營銷相關(guān)的客戶畫像（profiling）分析。這一權(quán)利應(yīng)該讓數(shù)據(jù)主體得到明確的關(guān)注，應(yīng)該清晰表達(dá)并獨立于其他信息。”

“客戶畫像”指任何通過自動化方式處理個人數(shù)據(jù)的活動，該活動服務(wù)于評估個人的特定方面，或者專門分析及預(yù)測個人的特定方面，包括工作表現(xiàn)，經(jīng)濟(jì)狀況、位置、健康狀況、個人偏好，可信賴度或者行為表現(xiàn)等。這是數(shù)據(jù)應(yīng)用于市場最有價值的部分之一。因此該條款一方面表達(dá)了數(shù)據(jù)可以用于直接營銷為目的客戶畫像，給出了數(shù)據(jù)在市場中應(yīng)用的價值；另一方面很明確地指出了數(shù)據(jù)主體的權(quán)益，保障了個人選擇的權(quán)利。

在強(qiáng)化企業(yè)維護(hù)數(shù)據(jù)安全的責(zé)任方面，該條例明確了數(shù)據(jù)處理者的法律責(zé)任。盡管數(shù)據(jù)處理者僅負(fù)責(zé)使用特定的方法對數(shù)據(jù)進(jìn)行分析而不參與數(shù)據(jù)搜集和具體使用環(huán)節(jié)，但《條例》仍將其納入了監(jiān)管范疇并明確規(guī)定，數(shù)據(jù)處理者必須在《條例》的框架下切實履行保護(hù)數(shù)據(jù)主體個人隱私權(quán)利不受侵犯的責(zé)任。與此同時，《條例》要求建立企業(yè)數(shù)據(jù)保護(hù)專員制度，通過加強(qiáng)與數(shù)據(jù)主體的溝通和自我監(jiān)管，提升企業(yè)數(shù)據(jù)的管理水平?！稐l例》還對在數(shù)據(jù)采集和萬一發(fā)生數(shù)據(jù)泄露事件時對數(shù)據(jù)主體履行告知業(yè)務(wù)，做出了要求。

在數(shù)據(jù)保護(hù)影響評估方面，數(shù)據(jù)控制者、數(shù)據(jù)處理者還需要對擬建數(shù)據(jù)處理系統(tǒng)進(jìn)行評估，以識別系統(tǒng)對數(shù)據(jù)保護(hù)可能產(chǎn)生的特定風(fēng)險，評估的內(nèi)容至少應(yīng)包括對擬進(jìn)行的數(shù)據(jù)處理活動的描述、對數(shù)據(jù)主體權(quán)利造成的風(fēng)險以及應(yīng)對風(fēng)險的措施。此外，數(shù)據(jù)的控制者和使用者必須做好數(shù)據(jù)的留存待查。這也是GDPR給數(shù)據(jù)主體提供的最后一道保護(hù)防線。

在限制企業(yè)針對個人的數(shù)據(jù)分析活動方面，這一條例對數(shù)據(jù)使用管理范圍進(jìn)行了拓展：除了歐盟內(nèi)產(chǎn)生和處理的個人數(shù)據(jù)之外，條例還適用于設(shè)立在歐盟內(nèi)的控制者或處理者對個人數(shù)據(jù)的處理——無論其處理行為是否發(fā)生在歐盟內(nèi)。這樣一來，只要是在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，數(shù)據(jù)的控制者或處理者就必須遵循這個條例。

美國政府的隱私保護(hù)思路

由上述所舉的幾個例子我們可以感受到這一數(shù)據(jù)保護(hù)條例設(shè)計的一些指導(dǎo)思想。事實上GDPR在隱私保護(hù)理念、立法模式以及法律內(nèi)容等方面和互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)達(dá)的美國存在較大的差異。美國1996年的《信息自由法案》指出，除了可能危害國家安全的機(jī)密信息、執(zhí)法記錄以及侵犯他人隱私的信息等9種豁免情況之外，美國政府機(jī)構(gòu)，包括所有執(zhí)行分支部門、機(jī)構(gòu)和政府機(jī)關(guān)、聯(lián)邦管理機(jī)構(gòu)和聯(lián)邦公司必須向公眾公開所有信息。2009年，奧巴馬政府甚至提出開放政府的概念。美國政府希望通過公布有關(guān)政府工作內(nèi)容的信息、明確責(zé)任參與權(quán)、允許公眾人士提出自己的想法和專業(yè)意見來幫助政府做出明智的決定。

實踐上可以通過觀察Data.gov就能夠看到美國政府對數(shù)據(jù)開放的指導(dǎo)思想——該平臺主要目標(biāo)是開放美國聯(lián)邦政府的數(shù)據(jù)，通過鼓勵新的創(chuàng)意，讓數(shù)據(jù)走出政府，得到更多的創(chuàng)新型運(yùn)用。一般情況下，政府、社會與企業(yè)可以從Data.gov免費下載數(shù)據(jù)，還可以利用Data.gov提供的API實現(xiàn)豐富的第三方應(yīng)用的開發(fā)。與此相對，歐盟則將公民的隱私權(quán)劃歸為最基本的人權(quán)保護(hù)范疇。

GDPR對全體公民的個人隱私數(shù)據(jù)采取統(tǒng)一的司法保護(hù)，劃定了統(tǒng)一的標(biāo)準(zhǔn)和原則；而美國則采取典型的分類保護(hù)模式，從不同行業(yè)的特點、數(shù)據(jù)保護(hù)的目的和手段等因素出發(fā)，分別執(zhí)行不同的數(shù)據(jù)保護(hù)方式。例如上述提到的美國政府?dāng)?shù)據(jù)開放平臺Data.gov就提供了9種分類方式，其中比較重要的包括以下方面: 主題(Topic)主要是按照數(shù)據(jù)集的內(nèi)容進(jìn)行分類，主題分類(Topic Categories)是對數(shù)據(jù)主題更精確細(xì)致的分類，數(shù)據(jù)集類型(Data Type) 包括地理數(shù)據(jù)和非地理數(shù)據(jù)兩種類型……

與之比較，GDPR對數(shù)據(jù)所有者權(quán)利的保護(hù)真可以稱得上是“無微不至”了。數(shù)據(jù)主體的同意是指數(shù)據(jù)主體自愿給出的具體的、有根據(jù)的、詳細(xì)的表明其意愿的說明，該說明可以通過聲明或明確肯定的行動表示。同時，數(shù)據(jù)主體還有權(quán)在任何時候撤回同意。也就是說，數(shù)據(jù)的控制者和使用者不僅要說服數(shù)據(jù)主體以“充分表達(dá)主觀意愿”的方式授權(quán)數(shù)據(jù)使用，還需要保證在使用過程中數(shù)據(jù)主體不要“變卦”撤回。從這個角度也能觀察到對“數(shù)據(jù)自由”美歐之間存在巨大的理解差異。

條例的制定可以很完善，各種維度也可以很周全，但具體條例的實施落地也是不能夠忽視的問題。例如GDPR賦予了數(shù)據(jù)主體對自身數(shù)據(jù)的被遺忘權(quán)和刪除權(quán)，這從設(shè)計出發(fā)點上很不錯。但在實踐中，被遺忘權(quán)和刪除權(quán)的實現(xiàn)并不容易。例如，互聯(lián)網(wǎng)上的信息發(fā)布之后，將會有轉(zhuǎn)載、擴(kuò)散發(fā)布等可能，在這種情況下，被遺忘權(quán)和刪除權(quán)的實現(xiàn)將會耗費大量的資源。個人數(shù)據(jù)在使用同意授權(quán)后，可以隨時取消授權(quán)。如果這些同意授權(quán)的數(shù)據(jù)已經(jīng)得到廣泛應(yīng)用，“取消授權(quán)”可能會帶來的損失完全由數(shù)據(jù)的控制者和使用者來承擔(dān)是否公平？因此GDPR不應(yīng)該教條地理解成為“對個人隱私數(shù)據(jù)最為嚴(yán)格地保護(hù)”，而是尋找個人隱私權(quán)與企業(yè)利用數(shù)據(jù)尋求發(fā)展機(jī)會之間的平衡——只有這樣，GDPR的存在才會更具現(xiàn)實意義和生長活力。

GDPR的正式生效，從“嚴(yán)格保護(hù)數(shù)據(jù)主體權(quán)利”的角度提供了一個成功實踐，提供了與美國政府“保護(hù)信息自由”全然不同的角度。在深化個人數(shù)據(jù)保護(hù)的透明度、強(qiáng)化企業(yè)的信息安全治理義務(wù)、提升對數(shù)據(jù)主體的賦權(quán)的力度、增加對數(shù)據(jù)侵權(quán)行為的懲罰力度與對數(shù)據(jù)主體的有效補(bǔ)償、推動數(shù)據(jù)跨境流動等方面，我們都能夠得到很多啟發(fā)。然而，數(shù)據(jù)使用保護(hù)政策還是一個與對“數(shù)據(jù)自由”理解相關(guān)性很強(qiáng)的問題。熟悉條例，便于和歐盟開展數(shù)據(jù)領(lǐng)域的合作；想要管好數(shù)據(jù)，還需要更好地回答關(guān)于“數(shù)據(jù)自由”的一些問題。