《2020—2024年數據保護戰略》亮點及啟示

魏書音

近期，歐洲數據保護專員公署（EDPS）發布《2020—2024年數據保護戰略》（以下簡稱《戰略》），明確了EDPS數據保護的三大核心任務，即前瞻性、行動性和協調性，概述了未來5年的行動目標和實現路徑，并提出在數字世界要堅持歐洲價值觀，改變目前依賴利用個人信息盈利的商業模式，促進歐盟數字團結，重建數字社會信任，塑造更安全、更公平和可持續的數字歐洲。

《戰略》界定了數據保護的

三大任務

前瞻性。繼續監測世界各地的法律、社會和技術進展情況，積極跟隨數據處理實踐的最新進展，以及可能會對隱私和數據保護產生影響的新技術。

行動性。建立有效的數據保護監督機制;開發工具協助歐盟機構執行數據保護標準，促進歐盟執法機構活動的一致性。

協調性。保護全體公民的隱私，推動負責任和可持續的數據處理，以公正公平的方式增進個人權益，并使社會利益最大化。

《戰略》主要內容及亮點

關注現實問題——在疫情新常態下，必須解決防控帶來的數據安全和隱私保護問題。新冠肺炎疫情期間的公共衛生管理和研究非常依賴數據，數字工具的廣泛使用增加了隱私、數據保護和人權方面的安全風險?！稇鹇浴诽岢觯枰园踩x侵犯公民的私人領域，在疫情新常態下要確保個人權利?！稇鹇浴方ㄗh，對歐盟新冠肺炎疫情期間采取的措施進行評估，因特殊情況監視公民的措施在危機解除后應及時廢除;建立有效的監督機制，確?？箵粢咔榈募夹g和工具有利于增強公民權益，而非控制、壓制或羞辱公民;在歐盟發展電子衛生服務;與各利益攸關方制定一致和針對性戰略，應對新冠肺炎疫情和數據保護問題。

堅持長遠發展觀——改變現有商業模式，推進數字經濟轉型和可持續發展。一方面，目前依賴于追蹤、分析和行為定位的數字經濟商業模式日益壯大，作為商業或政治資產的個人信息被貨幣化或用于操縱用戶，這種模式促使互聯網公司不加選擇地保留所有通信數據，以獲得基本服務來交換隱私和數據安全，而這不符合歐盟價值觀、基本權利和數據保護規則，也難以實現可持續的經濟增長?！稇鹇浴方ㄗh，應強制推行個人數據收集使用最小化和負責任的數據處理，鼓勵在數據使用方面以最有益的方式開展競爭，而不是在收集數據總量方面競爭。另一方面，少數強大的私人公司掌握著海量數據，可將其數據集中控制權轉化為有價值的戰略資源和操縱手段。《戰略》呼吁，歐盟應加強對私人公司持有的個人數據進行監管，以便用于公共利益服務方面的研究，比如用于衛生保健或推進衛生研究，以及解決氣候危機或日益加劇的社會不平等;應針對數據再分配政策展開更廣泛的辯論，采取相應舉措促進數據共享，進而在遵守歐洲基本權利的框架下實現數據社會效益最大化。

側重個人信息權益保護——增強個人對自身信息的控制權，規制壟斷供應商對數據的強制收集問題。一方面，側重保護用戶權益，確保用戶與數據控制者的力量平衡。人工智能算法決策等技術的使用，加劇了數據控制者對員工和消費者的控制，強化了對婦女、有色人種和殘疾人的歧視，但后者理解或挑戰這些決策的能力有限。《戰略》建議，個人應當對自身數據的收集、處理方式和目的有更大的控制權，侵權證明責任也應由數據控制者負擔。另一方面，要減少用戶對單一通信和軟件服務壟斷供應商的依賴，促進市場充分競爭;與歐盟組織和公共管理機構合作，對標準合同條款進行審查，修改強制收集信息的條款;呼吁歐洲企業聯盟和歐盟其他公共行政機構，審查其數字產品、軟件、服務和技術的對外合約，采用標準的數據保護條款。

呼吁歐盟一致行動——在數據保護價值觀、利益、目標、規則等方面達成協同。一方面，強調團結、共同的價值觀、利益和目標?！稇鹇浴泛粲鯕W洲應團結，努力執行數據保護規則，以確保到2025年GDPR作為一個數據保護標準模型得到各國認可。加強數據安全和隱私保護等基本權利保護，將其作為歐洲未來會議的核心議題，并納入《歐洲民主行動計劃》。另一方面，對歐盟法律中數據保護標準方面的差異進行有效協調;確保數據保護規則的執行與適用于數字經濟的其他規則（特別是有關消費者保護和競爭法規則）相協同;在確保個人信息得到保護的同時，避免對言論的全面監控和審查;通過對具體案件的處理，建立數據監管機構間的務實合作和聯合執法。

提前預防未來安全隱患——密切追蹤和研究新技術引發的數據安全問題。在未來5～10年，生物識別技術及各種形式的面部自動識別系統，都將對隱私和匿名性產生深遠影響。人工智能將越來越多地應用于公共服務和刑事司法，在娛樂、醫療和零售領域使用的增強/虛擬現實（AR/VR）技術將生成高度敏感數據。5G和6G將使物聯網成為可能，設備和數據的激增引發隱私和數據安全風險，增加了為獲取信息、破壞服務、敲詐錢財的犯罪，針對工業控制網絡的網絡攻擊行動將增多且愈發隱蔽。《戰略》要求，應積極跟進可能對隱私和數據保護產生影響的數據處理實務和技術發展，組織研究電子健康、生物識別技術和自動識別系統、量子計算、邊緣計算和區塊鏈等侵入性的、正在發展或潛在技術對數據安全的影響;歐盟組織如果計劃部署新技術，則需說清楚技術影響及其安全風險。

三點啟示

加強疫情常態化背景下對個人信息的保護。我國的《傳染病防治法》等法律，僅原則性地要求疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息和資料，并未對疫情爆發等特殊時期對個人信息的收集、使用、刪除等進行具體規范。建議制定個人信息保護法時充分考慮疫情常態化背景下的個人信息保護問題，從法律上進一步明確患者個人信息收集主體，并遵守最少必要原則。采取技術措施規制所收集的患者個人信息的使用和處理。比如國家建立突發公共衛生事件個人信息上報平臺，對疫情期間所收集的個人信息進行統一管理，設置嚴格的分級訪問控制機制，授權必要管轄單位進行訪問和使用，并在疫情結束后對信息統一進行匿名化或刪除處理;完善傳染病醫療信息披露制度，明確傳染病信息公開披露的主體、程序和時限;根據披露主體明確披露的信息范圍，所披露信息不得超過防治傳染病所需的必要范圍。

探索研究可持續的數字經濟增長模式。數據已成為企業競相爭奪的重要戰略資源，個人信息是最具價值的核心資源。目前，互聯網企業的競爭還主要集中在個人信息收集最大化，利用個人信息和算法進行定向推送成為互聯網行業的一大營利模式，這種對用戶信息的無限制挖掘，使得強制授權、過度索權、超范圍收集等現象普遍存在，嚴重威脅到隱私和個人信息安全。建議研究可持續的數字經濟增長模式，引導企業在數據使用方面進行技術和應用創新，改變以犧牲個人隱私為代價的發展模式，不斷創造新的數字經濟增長點。

增強數據安全執法力度和能力，形成有效威懾。目前，工信、公安等部門都啟動了數據安全執法工作，但各部門執法標準不盡一致，執法力度不夠，震懾效應不足。建議充分調動地方各級數據安全保護機構的力量，深入開展數據安全執法，提升威懾力。各部門共同制定統一的執法標準，確保各行業領域、各地方執法部門都能采用相對統一的標準要求，防止“同案不同判”。在監管實踐中，不斷探索平衡個人信息權益和其他個人合法權益、社會經濟發展等利益關系的路徑，積累解決安全與發展問題的經驗和能力。