旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      GDPR前言强调个人信息保护与自由流动的平衡

      扫一扫下载界面新闻APP

      其他途径关注界面…

      GDPR前言强调个人信息保护与自由流动的平衡

      GDPR称得上是个人信息保护立法的标志性法规。

      法治周末报 ·

      方禹

      5月25日,欧盟《通用数据保护条例》(GDPR)正式生效。GDPR称得上是个人信息保护立法的标志性法规。数据的收集和使用已经成为数字经济时代的常态性活动,个人信息保护的价值取向成为了权利保护和经济发展相互影响的重点领域。GDPR的监管体系同时能覆盖到欧盟境外的个人数据处理活动。因此,其涉及面广、影响深远,引发了各方的深入研究和激烈讨论。政府、企业、专家以及用户立足于不同的认识角度、知识背景和本位诉求,提出了GDPR的各种看法,其中有些观点甚至相左。不过值得注意的是,国内很多GDPR的中文翻译稿中,都没有GDPR前言部分的翻译。那么GDPR的前言,到底说了什么呢?

      GDPR的前言一共有173段文字,篇幅上占到GDPR文本的三分之一多。大致内容包括三个部分,一是说明了GDPR的起草过程,对整个立法过程作了程序性介绍;二是阐明了立法思路,表达了《条例》制定的深刻法旨;三是解释了《条例》适用的有关理念,对《条例》正文中的有关概念、规则作出了适用说明。

      程序性介绍是法规经过欧盟委员会审议通过的必要内容。《条例》中概念和规则的适用,对于《条例》生效后的企业合规和监管执法具有指导意义。值得关注的是立法思路部分,这部分内容决定了该部法规的价值取向,或者说是此法之品格。仔细研读这一部分,能够找到立法者起草时平衡与博弈的蛛丝马迹。

      GDPR在前言中首先肯定了个人信息保护是一项基本权利(fundamental right),意味着欧盟将个人信息保护与基本权利保护放在同等层面,“史上最严的个人信息保护规定”的说法想必也以此为前提。不过如果认真读一读GDPR的前言,特别是有关立法思路的部分,就会发现有一个关键词出现了很多次——自由流动(free flow)。

      那么不妨来看看欧盟和美国在个人信息保护问题上的纠结。1995年欧盟实施了95指令,这部指令同样是一部较为严格的个人信息保护法规。2000年,美欧之间达成“安全港协议”,为美国企业开展95指令框架下的活动提供了一个“安全港”(safe harbor)。2016年5月,欧盟公布GDPR,并于2018年实施。2016年7月,美欧之间达成“隐私盾协议”,又为美国企业开展GDPR框架下的活动提供了一个“盾牌”(shield)。在个人信息保护立法的价值取向上,有个比较流行的观点是,美国信息通信业发达,因而更为主张数据自由跨境流动。欧盟注重权利保护,因而倾向于对个人信息从严监管。表面上水火不容的两个经济主体何以能够连续达成协议?实际上是美欧双方在经济利益上取得了共识。有数据显示,美欧之间的跨境数据交易规模达到2600亿美元。这个数字是美国和亚洲之间的1.5倍,美国和拉美之间的两倍。

      相信欧盟必为巨大规模的数字经济贸易规模所触动,虽然注重公民权利保护,但也不会一味追求个人权利保护,将之凌驾于经济发展之上。从欧盟95指令的名称上(《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》)就可以看出,促进数据自由流动和保护个人权利是并列的关系。GDPR前言中的有关内容,也反映了这一思路。它具体指出,个人信息保护是一项基本权利,但是并非绝对权利,需要结合个人信息本身在社会活动中的作用来实施对其保护。欧盟始终在致力于建设内部单一市场(internal market)。95指令的出台,就是旨在协调个人信息保护与欧盟成员国之间个人信息自由流动之间的关系。科技的发展改变了经济生活和社会生活,因此GDPR有必要在打造高水平个人信息保护环境的同时,进一步促进个人信息跨境自由流动。GDPR之所以在95指令的基础上进一步构建强壮、持续的个人信息保护体系,就是要明确构建信任基础的重要性,以促进欧盟内部市场的数字经济发展。

      GDPR设置了高额的处罚,目标建立一个有力的执法环境。这与GDPR前言部分的一些思路似乎不太相称。不过GDPR的直接效果还有待于下一步欧盟执行GDPR的尺度。GDPR的管辖范围很宽,既能规范欧盟境内个人信息处理的活动,也能规范欧盟境外的相关活动。如果欧盟选择较为严厉的执法模式,虽然能够在一定程度上提升个人信息保护水平,数据主体(data subject)对自身数据的控制权将大为提高,从权利保护的角度来看,有望实现有益的正面效果。但是在整体数字经济发展环境下,未必会形成良好的长期效果。

      数据是数字经济发展的基本要素,严苛的数据保护活动,无疑会影响对数据的挖掘和利用,产业和技术发展都会受到限制。特别是由于GDPR的合规成本过高,作为创新主力军的中小企业,可能会大受影响。用户侧的长期影响也是存在的,互联网服务往往以免费为主要模式,用户让渡的是自己的数据。互联网企业通过获取、挖掘数据来实现经济补偿和收益。假如互联网企业面对高代价的违规成本,或许不得不调整免费服务的模式。扎克伯格在Facebook丑闻事件后就表示不排除未来可能同时推出付费版Facebook的可能性。所以过度向权利保护方向实施监管,有可能彻底消灭免费服务的互联网模式。对于用户而言,很难说是一件好事。这与GDPR前言中所提出的个人信息保护与个人信息自由流动相平衡的立法思路,也不相匹配。

      权利保护与自由流动背后隐含着更宏观的命题,就是安全与发展平衡的问题,这也是当前我国所面临的重要战略抉择。党中央早就对安全与发展问题作出重要论断,指出安全与发展是一体之两翼和驱动之两轮。安全的目的是促发展,发展的目的是保安全。不过在一定的历史时期以内,两者完全平衡的难度极大。矛盾分为主要矛盾和次要矛盾,两者相互依赖、相互影响,在一定条件下可以相互转换。具体到个人信息保护领域,安全与发展之间的矛盾转换条件,就取决于社会、经济发展水平。不同的发展环境下,应当有所侧重,优先解决主要矛盾,及时应对主次矛盾的相互转换,作出相应的策略调整。

      带着安全与发展的宏观命题,去读完GDPR前言后,再读GDPR的正文条款,感觉可能大不一样了。促进发展的内容是理念和方向,在具体法律条款中比较难以体现。条文本身更多地是确定规则和制度。GDPR中为用户设置了很多具体的权利,包括知情权、修正权、删除权(被遗忘权)、限制处理权、数据可携带权和拒绝权。但是在每一项权利条款之后,都规定了大段的例外情形。GDPR第23条中还规定了总体的例外规则,适用于整个GDPR。这些例外规则,主要是为了平衡国家利益与个人权利、公共事务与个人权利以及数据主体权利与其他自然人权利之间的关系。通过例外规则去理解GDPR前言中的立法思路,也能反映出GDPR制定者的深思和谨慎。

      GDPR实施以后,互联网企业层面不外乎有三种应对方法:第一种是暂停欧洲业务,比如5月25日当天,《洛杉矶时报》《纽约每日新闻》《芝加哥时报》等美国新闻网站在欧洲暂停业务。第二种是努力合规,巨头互联网企业陆续有所行动,来达到GDPR的规范要求,但是实现GDPR合规,是一件费时费力费钱的事情,一般的中小企业很难做到。所以第三种是赌博,相信有很多中小企业根本无法做到实现GDPR的要求,只能祈祷不被GDPR监管到,或者不被重罚。很多专家学者都对GDPR持观望态度。诚然,法规的前言部分并不具有法律效力。守法者更为关注的是具体条文的规定,但是具体GDPR怎么实施,还是应该聚焦于GDPR前言中就立法思路所提出的双重目的,如果目的失衡,相比GDPR也会在实践中失去它应有的效果。

      (作者系中国信息通信研究院互联网法律研究中心副主任)

      本文为转载内容,授权事宜请联系原著作权人。
      互联网日常信息安全 用户隐私 互联网
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      GDPR前言强调个人信息保护与自由流动的平衡

      GDPR称得上是个人信息保护立法的标志性法规。

      法治周末报 · 2018/06/24 12:43

      方禹

      5月25日,欧盟《通用数据保护条例》(GDPR)正式生效。GDPR称得上是个人信息保护立法的标志性法规。数据的收集和使用已经成为数字经济时代的常态性活动,个人信息保护的价值取向成为了权利保护和经济发展相互影响的重点领域。GDPR的监管体系同时能覆盖到欧盟境外的个人数据处理活动。因此,其涉及面广、影响深远,引发了各方的深入研究和激烈讨论。政府、企业、专家以及用户立足于不同的认识角度、知识背景和本位诉求,提出了GDPR的各种看法,其中有些观点甚至相左。不过值得注意的是,国内很多GDPR的中文翻译稿中,都没有GDPR前言部分的翻译。那么GDPR的前言,到底说了什么呢?

      GDPR的前言一共有173段文字,篇幅上占到GDPR文本的三分之一多。大致内容包括三个部分,一是说明了GDPR的起草过程,对整个立法过程作了程序性介绍;二是阐明了立法思路,表达了《条例》制定的深刻法旨;三是解释了《条例》适用的有关理念,对《条例》正文中的有关概念、规则作出了适用说明。

      程序性介绍是法规经过欧盟委员会审议通过的必要内容。《条例》中概念和规则的适用,对于《条例》生效后的企业合规和监管执法具有指导意义。值得关注的是立法思路部分,这部分内容决定了该部法规的价值取向,或者说是此法之品格。仔细研读这一部分,能够找到立法者起草时平衡与博弈的蛛丝马迹。

      GDPR在前言中首先肯定了个人信息保护是一项基本权利(fundamental right),意味着欧盟将个人信息保护与基本权利保护放在同等层面,“史上最严的个人信息保护规定”的说法想必也以此为前提。不过如果认真读一读GDPR的前言,特别是有关立法思路的部分,就会发现有一个关键词出现了很多次——自由流动(free flow)。

      那么不妨来看看欧盟和美国在个人信息保护问题上的纠结。1995年欧盟实施了95指令,这部指令同样是一部较为严格的个人信息保护法规。2000年,美欧之间达成“安全港协议”,为美国企业开展95指令框架下的活动提供了一个“安全港”(safe harbor)。2016年5月,欧盟公布GDPR,并于2018年实施。2016年7月,美欧之间达成“隐私盾协议”,又为美国企业开展GDPR框架下的活动提供了一个“盾牌”(shield)。在个人信息保护立法的价值取向上,有个比较流行的观点是,美国信息通信业发达,因而更为主张数据自由跨境流动。欧盟注重权利保护,因而倾向于对个人信息从严监管。表面上水火不容的两个经济主体何以能够连续达成协议?实际上是美欧双方在经济利益上取得了共识。有数据显示,美欧之间的跨境数据交易规模达到2600亿美元。这个数字是美国和亚洲之间的1.5倍,美国和拉美之间的两倍。

      相信欧盟必为巨大规模的数字经济贸易规模所触动,虽然注重公民权利保护,但也不会一味追求个人权利保护,将之凌驾于经济发展之上。从欧盟95指令的名称上(《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》)就可以看出,促进数据自由流动和保护个人权利是并列的关系。GDPR前言中的有关内容,也反映了这一思路。它具体指出,个人信息保护是一项基本权利,但是并非绝对权利,需要结合个人信息本身在社会活动中的作用来实施对其保护。欧盟始终在致力于建设内部单一市场(internal market)。95指令的出台,就是旨在协调个人信息保护与欧盟成员国之间个人信息自由流动之间的关系。科技的发展改变了经济生活和社会生活,因此GDPR有必要在打造高水平个人信息保护环境的同时,进一步促进个人信息跨境自由流动。GDPR之所以在95指令的基础上进一步构建强壮、持续的个人信息保护体系,就是要明确构建信任基础的重要性,以促进欧盟内部市场的数字经济发展。

      GDPR设置了高额的处罚,目标建立一个有力的执法环境。这与GDPR前言部分的一些思路似乎不太相称。不过GDPR的直接效果还有待于下一步欧盟执行GDPR的尺度。GDPR的管辖范围很宽,既能规范欧盟境内个人信息处理的活动,也能规范欧盟境外的相关活动。如果欧盟选择较为严厉的执法模式,虽然能够在一定程度上提升个人信息保护水平,数据主体(data subject)对自身数据的控制权将大为提高,从权利保护的角度来看,有望实现有益的正面效果。但是在整体数字经济发展环境下,未必会形成良好的长期效果。

      数据是数字经济发展的基本要素,严苛的数据保护活动,无疑会影响对数据的挖掘和利用,产业和技术发展都会受到限制。特别是由于GDPR的合规成本过高,作为创新主力军的中小企业,可能会大受影响。用户侧的长期影响也是存在的,互联网服务往往以免费为主要模式,用户让渡的是自己的数据。互联网企业通过获取、挖掘数据来实现经济补偿和收益。假如互联网企业面对高代价的违规成本,或许不得不调整免费服务的模式。扎克伯格在Facebook丑闻事件后就表示不排除未来可能同时推出付费版Facebook的可能性。所以过度向权利保护方向实施监管,有可能彻底消灭免费服务的互联网模式。对于用户而言,很难说是一件好事。这与GDPR前言中所提出的个人信息保护与个人信息自由流动相平衡的立法思路,也不相匹配。

      权利保护与自由流动背后隐含着更宏观的命题,就是安全与发展平衡的问题,这也是当前我国所面临的重要战略抉择。党中央早就对安全与发展问题作出重要论断,指出安全与发展是一体之两翼和驱动之两轮。安全的目的是促发展,发展的目的是保安全。不过在一定的历史时期以内,两者完全平衡的难度极大。矛盾分为主要矛盾和次要矛盾,两者相互依赖、相互影响,在一定条件下可以相互转换。具体到个人信息保护领域,安全与发展之间的矛盾转换条件,就取决于社会、经济发展水平。不同的发展环境下,应当有所侧重,优先解决主要矛盾,及时应对主次矛盾的相互转换,作出相应的策略调整。

      带着安全与发展的宏观命题,去读完GDPR前言后,再读GDPR的正文条款,感觉可能大不一样了。促进发展的内容是理念和方向,在具体法律条款中比较难以体现。条文本身更多地是确定规则和制度。GDPR中为用户设置了很多具体的权利,包括知情权、修正权、删除权(被遗忘权)、限制处理权、数据可携带权和拒绝权。但是在每一项权利条款之后,都规定了大段的例外情形。GDPR第23条中还规定了总体的例外规则,适用于整个GDPR。这些例外规则,主要是为了平衡国家利益与个人权利、公共事务与个人权利以及数据主体权利与其他自然人权利之间的关系。通过例外规则去理解GDPR前言中的立法思路,也能反映出GDPR制定者的深思和谨慎。

      GDPR实施以后,互联网企业层面不外乎有三种应对方法:第一种是暂停欧洲业务,比如5月25日当天,《洛杉矶时报》《纽约每日新闻》《芝加哥时报》等美国新闻网站在欧洲暂停业务。第二种是努力合规,巨头互联网企业陆续有所行动,来达到GDPR的规范要求,但是实现GDPR合规,是一件费时费力费钱的事情,一般的中小企业很难做到。所以第三种是赌博,相信有很多中小企业根本无法做到实现GDPR的要求,只能祈祷不被GDPR监管到,或者不被重罚。很多专家学者都对GDPR持观望态度。诚然,法规的前言部分并不具有法律效力。守法者更为关注的是具体条文的规定,但是具体GDPR怎么实施,还是应该聚焦于GDPR前言中就立法思路所提出的双重目的,如果目的失衡,相比GDPR也会在实践中失去它应有的效果。

      (作者系中国信息通信研究院互联网法律研究中心副主任)

      本文为转载内容,授权事宜请联系原著作权人。