個(gè)人數(shù)據(jù)隱私保護(hù)更全、更嚴(yán)

銀昕

2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）（下稱“《條例》”）將正式生效，這也是歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》（下稱“《指令》”）生效以來(lái)頒布的又一項(xiàng)數(shù)據(jù)保護(hù)措施。

GDPR因何而生？

“在歐盟境內(nèi)開(kāi)展數(shù)據(jù)服務(wù)的企業(yè)目前一般在隱私政策透明度、獲得用戶同意的方式以及數(shù)據(jù)共享方面相對(duì)不規(guī)范?！敝袊?guó)人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東告訴《中國(guó)經(jīng)濟(jì)周刊》記者，鑒于不少企業(yè)在隱私政策中對(duì)個(gè)人信息收集設(shè)定霸王條款、一攬子協(xié)議，在收集個(gè)人敏感信息時(shí)未能提醒收集的用途和必要性，在獲得用戶同意的方式上采用被動(dòng)接受方式或默認(rèn)同意方式，而未給予用戶充分的選擇權(quán)等做法，因此許多歐盟數(shù)據(jù)企業(yè)的做法需要改變。

據(jù)悉，此次立法的主旨之一，便是結(jié)束1995年《指令》頒布以來(lái)各成員國(guó)之間的數(shù)據(jù)保護(hù)法律制度差異問(wèn)題，《條例》的統(tǒng)一規(guī)定將直接適用于各成員國(guó)。 “《條例》對(duì)各成員國(guó)直接生效，轉(zhuǎn)化為其國(guó)內(nèi)法?！睏顤|說(shuō)，但與《指令》相比，《條例》的強(qiáng)制性較大，“從某種意義上講《指令》不具有直接生效的權(quán)力，因?yàn)榭紤]到各成員國(guó)法律傳統(tǒng)的不同，還是賦予各成員國(guó)在轉(zhuǎn)化為國(guó)內(nèi)法方面以一定的選擇權(quán)。”

GDPR嚴(yán)在哪兒？

與1995年頒布的《指令》相比，《條例》頒布在數(shù)字經(jīng)濟(jì)高度發(fā)達(dá)的2018年，《指令》的很多概念和保護(hù)的范圍在《條例》中被擴(kuò)大和細(xì)化了。

首先是適用范圍的擴(kuò)大?！稐l例》規(guī)定接受管轄的主體，除歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者外，歐盟境外的數(shù)據(jù)控制者和處理者，只要其數(shù)據(jù)處理活動(dòng)向歐盟境內(nèi)的個(gè)體提供商品或服務(wù)，或涉及到監(jiān)測(cè)歐盟境內(nèi)主體活動(dòng)的，一概都是被管轄者。相較而言，《指令》的適用范圍則簡(jiǎn)單地取決于屬地因素，要么機(jī)構(gòu)的成立地在歐盟，要么利用了歐盟境內(nèi)的設(shè)備進(jìn)行了個(gè)人數(shù)據(jù)的處理活動(dòng)。

23年前的《指令》對(duì)用戶數(shù)據(jù)的定義僅有登錄名、密碼和購(gòu)物記錄等幾個(gè)項(xiàng)目，《條例》則將受保護(hù)的個(gè)人信息范圍大大延伸至：基本身份信息（姓名、地址、ID號(hào)碼等），網(wǎng)絡(luò)數(shù)據(jù)（位置、IP地址等），醫(yī)療保健和遺傳數(shù)據(jù)，生物識(shí)別數(shù)據(jù)（指紋、虹膜等），種族數(shù)據(jù)，政治觀點(diǎn)以及性取向等。

其次，《條例》賦予了《指令》之外更多的個(gè)體權(quán)利。比如，保障個(gè)人對(duì)其數(shù)據(jù)的“訪問(wèn)權(quán)”“限制處理權(quán)”與“拒絕權(quán)”。數(shù)據(jù)主體有權(quán)獲得其數(shù)據(jù)處理與否及其處理目的、分類、存儲(chǔ)的方式，并有權(quán)要求糾正以及限制數(shù)據(jù)的處理行為，在市場(chǎng)營(yíng)銷以及部分科學(xué)研究與統(tǒng)計(jì)活動(dòng)中，數(shù)據(jù)主體有權(quán)拒絕有關(guān)其個(gè)人的數(shù)據(jù)處理。

不僅如此，數(shù)據(jù)主體還有權(quán)就其被收集處理的個(gè)人數(shù)據(jù)獲得對(duì)應(yīng)的副本，并可以在技術(shù)可行時(shí)直接要求控制者將這些個(gè)人數(shù)據(jù)傳輸給另一管理者或管理機(jī)構(gòu)，以及可以隨時(shí)撤回同意的權(quán)利。

此外，《條例》對(duì)何謂有效的“個(gè)人同意”做了更嚴(yán)格的要求：個(gè)人沉默、預(yù)先勾選和靜止?fàn)顟B(tài)不足以認(rèn)定個(gè)人表達(dá)了“同意”。

GDPR 要求公司在收集和使用個(gè)人數(shù)據(jù)前必須向用戶明確告知數(shù)據(jù)的收集和使用方法，并且需要在獲得用戶明確同意后才可以進(jìn)行。這里的明確同意指的就是不可以和用戶協(xié)議捆綁，必須要在網(wǎng)站或應(yīng)用內(nèi)專門(mén)說(shuō)明，并獲取用戶同意，同時(shí)可以隨時(shí)便捷地取消和管理。

跨國(guó)公司該怎么辦？

對(duì)跨國(guó)公司而言，最引人注意的是《條例》對(duì)歐盟境外數(shù)據(jù)控制方和處理方的境外管轄權(quán)。

對(duì)此，楊東告訴《中國(guó)經(jīng)濟(jì)周刊》記者：“《條例》采用的域外管轄接近于‘效果原則（當(dāng)公司在境外的行為對(duì)境內(nèi)產(chǎn)生了‘效果時(shí)就行使對(duì)其的管轄權(quán)），確實(shí)是跨國(guó)公司開(kāi)展業(yè)務(wù)不得不重點(diǎn)關(guān)注的重要法律文件?！比绱艘粊?lái)，總部不在歐盟成員國(guó)境內(nèi)，但在歐盟開(kāi)展數(shù)據(jù)業(yè)務(wù)，收集并服務(wù)于歐盟成員國(guó)個(gè)體的跨國(guó)公司在《條例》生效后將面臨極大考驗(yàn)。

除跨境管轄外，《條例》令全球震動(dòng)的另一個(gè)原因是其嚴(yán)厲的處罰措施，即若違反規(guī)定，企業(yè)會(huì)面臨高額經(jīng)濟(jì)處罰，在2000萬(wàn)歐元或全球總營(yíng)業(yè)收入4%二者中取最高值作為罰金。

假設(shè)以微軟為例，其2017財(cái)年總營(yíng)收為899.5億美元，占其4%的35.98億美元高于2000萬(wàn)歐元（約合2367萬(wàn)美元），則35.98億美元就是微軟在其2018財(cái)年年報(bào)尚未發(fā)布時(shí)違規(guī)的罰金數(shù)額。

此外，與我國(guó)今年5月1日正式實(shí)施的《個(gè)人信息安全規(guī)范》中，要求規(guī)模超過(guò)200人的、業(yè)務(wù)涉及用戶個(gè)人信息的企業(yè)建立專門(mén)負(fù)責(zé)個(gè)人信息安全保護(hù)的部門(mén)以及設(shè)立專門(mén)的負(fù)責(zé)人的規(guī)定相似，《條例》要求相關(guān)數(shù)據(jù)管理的機(jī)構(gòu)、企業(yè)任命一名數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO），監(jiān)督數(shù)據(jù)處理的活動(dòng)，推出各項(xiàng)措施來(lái)確保不會(huì)違反GDPR。

對(duì)不久前臉書(shū)與劍橋分析發(fā)生的數(shù)據(jù)丑聞事件，《條例》在也有涉及。楊東告訴《中國(guó)經(jīng)濟(jì)周刊》記者：“臉書(shū)與劍橋分析觸碰的兩個(gè)問(wèn)題是數(shù)據(jù)共享與數(shù)據(jù)泄露通知制度。在數(shù)據(jù)共享方面，《條例》要求企業(yè)與服務(wù)提供商共享數(shù)據(jù)時(shí)需簽訂數(shù)據(jù)處理協(xié)議，與歐盟境外的公司共享數(shù)據(jù)時(shí)還需要提供數(shù)據(jù)傳輸方案;在數(shù)據(jù)泄露通知方面，數(shù)據(jù)控制者應(yīng)當(dāng)在發(fā)現(xiàn)該情形后的72小時(shí)內(nèi)告知監(jiān)管機(jī)構(gòu)，如果可能危及個(gè)人的權(quán)利和自由，則需通知數(shù)據(jù)主體，如果數(shù)據(jù)控制方和處理方切實(shí)遵守上述規(guī)定，對(duì)解決不當(dāng)處理用戶信息的問(wèn)題將有所幫助。”

有分析認(rèn)為，隨著我國(guó)對(duì)外開(kāi)放程度不斷擴(kuò)大，企業(yè)在歐盟的業(yè)務(wù)日益擴(kuò)大，特別是銀行、電子商務(wù)、互聯(lián)網(wǎng)等企業(yè)均涉及個(gè)人信息獲取和處理，勢(shì)必會(huì)成為《條例》的規(guī)制對(duì)象。如果想繼續(xù)在歐盟開(kāi)展上述業(yè)務(wù)，對(duì)《條例》的研究和應(yīng)對(duì)至關(guān)重要。

楊東表示，在具體的司法實(shí)踐當(dāng)中，跨國(guó)企業(yè)在歐盟境內(nèi)的海外業(yè)務(wù)會(huì)受到《條例》何種程度的規(guī)制，對(duì)其未來(lái)是否有足夠動(dòng)力開(kāi)發(fā)歐洲市場(chǎng)具有重大意義。

以華為公司為例，根據(jù)市場(chǎng)研究公司Canalys的報(bào)告，2018年第一季度華為智能手機(jī)產(chǎn)品在歐洲市場(chǎng)上的銷量同比增長(zhǎng)38.6%，達(dá)到740萬(wàn)部?！叭A為的業(yè)務(wù)肯定是要受《條例》的監(jiān)管的，因?yàn)槊恳徊渴謾C(jī)背后都與云服務(wù)相連，都會(huì)涉及到數(shù)據(jù)處理的行為?！蓖ㄐ判袠I(yè)觀察家項(xiàng)立剛告訴《中國(guó)經(jīng)濟(jì)周刊》記者，華為為歐盟國(guó)家提供云服務(wù)的數(shù)據(jù)中心就建在歐盟境內(nèi)，從這一點(diǎn)來(lái)說(shuō)并不適用于跨屬地管理的原則，而是毫無(wú)疑問(wèn)會(huì)受《條例》的管轄。