王融 騰訊研究院資深專家

《歐盟數據保護通用條例》(General Data Protection Regulation,GDPR)的重要性毋庸置疑。作為隱私與數據保護領域20年來最引入矚目的立法變革,GDPR提出了大數據時代個人數據保護的新秩序願景。

隨著5月25日GDPR的實施,其可能帶來的影響也引起更大關注。在《條例》制定之初,作者曾就GDPR主要制度,重要變化進行了梳理,見舊文《歐盟數據保護通用GDPR詳解》[1]。然而,從《1995數據保護指令》34個條款發展到99條,GDPR創建了大量的新概念、新原則、新權利,導致產生許多爭議和尚待細化的領域。

為澄清相關問題,歐盟數據保護權威機構——第29條工作組[2]發布了一系列的指南[3]以回應各方關切。包括:數據可攜帶權,數據保護官,數據保護影響評估,識別主導監管機構,行政處罰、充分保護認定、BCR基本原則,數據泄露通知、自動決策和畫像、同意、隱私實踐透明度等等。這些指南對釐清爭議性問題提供了重要參考,但也正說明GDPR就像一個新生兒,處於探索塑造期。

本文聚焦10個最易被誤解和最具有爭議性的問題,展現更為全面、客觀的視角,以期消除刻板印象和固有偏見,儘力還原GDPR的真實面貌。

1.GDPR:史上最嚴格的數據保護立法?

2.用戶同意:數據處理的唯一合法基礎?

3.數據控制者的正當利益:還有適用情形么?4.被遺忘權:我隨時可以主張刪除數據,並被世界所遺忘?5.數據可攜權:不同的信息服務之間, 可以無縫遷移?6.數據跨境轉移: 變得更加嚴格?7.雲計算:將重建生態體系?8.人工智慧:深度學習即將違法?9.區塊鏈:與GDPR不相兼容?10.高昂的處罰不可避免?

看看你對GDPR的理解全面么?

1 GDPR:史上最嚴格的數據保護立法?

GDPR的嚴格主要體現在對個人權利的細緻保護,以及對違法行為的高昂處罰。但易被忽視的另一面是,GDPR依然完全秉承了1995數據保護指令的二元立法目標:保護個人權利並促進個人數據的流動。立法第一條開宗明義指出:不能以保護個人數據中的相關自然人為由,對歐盟內部個人數據的自由流動進行限制或禁止。

尤為值得注意的是,在歷時4年的立法商議中,GDPR的立法者們充分關注到了數據主體享有的並不是絕對權利,有關數據的權利應當與其他權利及正當利益之間形成恰當的平衡關係,為此,GDPR精心設計了大量的但書、克減條款,對例外情形作出補充,對權利作出適當限制,對義務、責任予以適當豁免。

需要平衡的其他正當利益及權利包括:1.公共利益,例如在醫療健康領域,為實現傳染疾病分析與預警目的;2.科學、歷史研究、統計目的;3.表達自由權與信息權,為了新聞目的、學術、藝術或文學表達;4.個人的其他核心重大利益與權利,例如生命權,健康權;5.數據控制者的合法利益等等。

圍繞上述正當利益與權利,GDPR進行了許多平衡折中,體現在:

1.對每一項數據主體權利,包括數據訪問權、被遺忘權、數據可攜權等條款均有限定條件(下文會重點介紹);2.對企業義務也考慮到多種豁免,比如:規模在250人以下的中小企業可以豁免數據活動文檔化記錄義務[4]等;3.引入了多種變通機制,來調和不同的權利,最為典型的即在數據跨境轉移中,構建了多種合規數據轉移路徑[5];4.在原則性禁止條款中,均設置了用戶同意的例外,例如對敏感信息的處理;5.專設「限制情形」一節,明確權利受到限制的各種情形,並授權成員國可以繼續圍繞上述利益通過制定本國法規的方式,進一步作出例外和克減規定,這實際上為GDPR未來的落地執行留有了更大的空間[6]。

所以總體來看,除了嚴格性外,GDPR整體體現出的是平衡兼顧。通過制度改革,在用戶個人權利和其他正當權益之間形成更為科學、合理的配置。與此同時,引入諸多平衡機制的結果是GDPR要遠比想像中複雜。正如本文中所探討的許多問題一樣,實際上就連GDPR自身也沒有給出明確答案。

2 用戶同意:數據處理的唯一合法基礎?

從企業視角出發,往往會得出這樣的結論。特別是國內相關個人信息保護法律文件,也更多將用戶的同意作為數據收集、使用的唯一合法理由。例如:《網路安全法》第41條[7]的表述也易被如此理解。然而,這一印象存在許多誤解。

GDPR面向適用的主體不僅包括企業,也包括決定和參與個人數據處理的任何個人,機構,涵蓋了政府部門、公共機構、司法機構以及其他實體[8]。上述個人和實體作為數據控制者或數據處理者,均需要適用GDPR。

因此,考慮到數據處理的多種可能場景以及與其他正當利益的平衡,除了數據主體的同意之外,GDPR還規定了五類處理個人數據的合法基礎,包括:

1. 為了履行數據主體所參與的合同,或者是在合同確立前依數據主體的請求而進行的處理;

2. 數據控制者為了履行法律職責的需要;3. 為了保護數據主體或另一個自然人的核心利益;4. 數據控制者為了公共利益或因官方權威要求而履行某項任務;5. 對於數據控制者或第三方所追求的正當利益是必要的,但這種正當利益不得凌駕於需要通過個人數據保護以實現數據主體的基本權利與自由,特別是兒童的基本權利與自由。

以上五種情形,都可以作為「同意」的其他替代機制,成為數據處理的合法基礎。而從國內來看,對於這一問題,我國行業標準《個人信息安全規範》也在嘗試修正,在同意的例外中,詳細羅列了11項情形[9]。

3 數據控制者的正當利益:有適用情形么?

作為用戶同意的替代機制——「數據控制者的正當利益」可能是GDPR中最易被誤解的概念。實際上正如本條所附加的限制條件,在很多商業場景中,企業不能夠依據自己的正當利益理由,去規避用戶同意的需求。但GDPR將其與用戶同意並列作為數據處理的合法理由,即表明了個人的權利並不總是優先,而是需要在用戶個人權利與數據控制者的合法利益之間做出平衡。

至少在目前的GDPR中,可以適用「數據控制者的正當利益」的情形包括:

1.直接推廣(direct marketing),如果企業已經與用戶有實際的交易關係,或者與用戶在達成交易的過程中,則企業可以適用本條所賦予的正當利益理由,通過軟選入方式(soft opt -in)的方式,即用戶默認同意的方式,向用戶發送與其此前交易商品或服務相關的營銷信息,直到用戶行使拒絕權為止[10];

2.以預防欺詐為目的的數據處理活動[11];

3.出於保障網路信息安全目的處理個人信息[12];

4.在集團或者系統內部,出於行政管理需要的數據披露[13](排除跨境轉移情形);

5.向主管部門報告犯罪或者公共安全重大威脅[14]。

考慮到GDPR對於控制者正當利益的界定是開放式的,因此不排除在實踐中還會出現其他正當利益類型,也會為執法機構所認可。

4 被遺忘權:我隨時可以主張刪除數據,並被世界所遺忘?

「被遺忘權」、「數據可攜權」是GDPR中最引入注目的兩項新型權利,但同時也引發了巨大爭議。單從名稱看,這兩項權利給人們帶來了多少遐想,就帶來了多少歧義。

GDPR中的被遺忘權實質上是傳統個人數據保護法中「刪除權」的升級,此外,2014年歐洲法院在谷歌西班牙一案中所確立的「被遺忘權」判例[15],深深影響了正在立法進程中GDPR,並在最終的版本中正式寫入[16]。

GDPR第17條擦除權(「被遺忘權」)共計三款。其中第1款的核心仍然是傳統個人信息保護法中已經確立的刪除權:當用戶依法撤回同意或者控制者不再有合法理由繼續處理數據等情形時,用戶有權要求刪除數據。

關於「被遺忘」的精神更多體現在第17條第2款:如果控制者將符合第1 款條件的個人數據進行了公開傳播,他應該採取所有合理的方式予以刪除(包括採取可用的技術手段和投入合理成本),控制者有責任通知處理此數據的其他數據控制者,刪除關於數據主體所主張的個人數據鏈接、複製件。

也就是說,控制者不僅要刪除自己所控制的數據,還要求控制者負責對其公開傳播的數據,要通知其他第三方停止利用、刪除。這是對傳統「刪除權」的極大擴張。要知道,在開放的互聯網空間,要控制者去確定並通知所有的第三方几乎是不可能完成的任務。

也正是考慮到「被遺忘權」的強大威力,立法者對其適用作出了許多限制,第17條第3款規定了並不適用「被遺忘權」例外情形:

1.基於表達自由和信息自由;

2.基於公共利益和履行法律職責需要;3.基於歷史、統計和科學研究的目的;4.出於提出、實施和保護合法權利的需要等;

簡言之,「被遺忘權」雖然與個人權利直接掛鉤,但它與包括言論自由,信息自由流動、公眾知情權在內的其他公共價值追求有著尖銳衝突,即便在將個信息保護作為基本人權的歐盟,其也在立法上對「被遺忘權」作出必要的限制。

正如在典型的「被遺忘權」案例中:一名律師因為報紙網站上刊登了其曾經被指控有偽造罪的相關信息,將該報紙告上法庭,認為其刊登的信息對其職業生涯的聲譽產生了負面影響,但該律師的主張在法院中並沒有得到支持。法院認為,公眾關心的真實信息應當可以被合法公開,包括在網路上公開。國內也有相關案例,法官同樣以公共利益為由駁回[17]。

即便作出了諸多限制,「被遺忘權」仍然面臨很多質疑。對於用戶提出的「被遺忘權」請求,企業可能首先需要審查其是否屬於立法中規定的例外情形,而「表達自由」、「公共利益」這些抽象的判斷標準,無疑是將企業拖入裁判的泥潭,並由此成為一種新形式的「網路審查」。在GDPR後續實施中,「被遺忘權」仍然有許多問題留待解決。

5 數據可攜權:不同的信息服務之間, 可以無縫遷移?

如果說「被遺忘權」容易被普通公眾所誤解,那麼「數據可攜權」則是更令專業人士都易誤讀的的一項權利。

GDPR數據可攜權體現在第20條,共有四款。正如「被遺忘權」是傳統刪除權的升級,「可攜帶權」可以看做是傳統「訪問權」的增強。即首先保證的是用戶獲得自身數據的權利。第20條第1款即是這一內容:個人有權獲得其提供給數據控制者的相關個人數據,且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。

同時第1款也明確了「可攜權」適用的兩個限定條件:一是適用於建立在「用戶同意」基礎上的數據處理活動;二是處理是通過自動化方式完成的。

結合上文第二點,數據處理活動的合法基礎來看,用戶同意僅僅是合法基礎之一,因此用戶同意之外的其他數據處理活動並不適用於數據可攜權,例如:為了公共利益,為了預防欺詐的數據處理並不適用可攜權。

「可攜」的精神主要體現在第20條第2款:如果技術可行,數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。「技術可行」的表述,表明GDPR並沒有將可攜權上升到推廣強制性的互兼容,互操作技術標準的程度,而是給市場留有了一定空間。

最後,同樣在第3,4款對可攜權的適用明確了限制條件。

顯然,僅第20條一個獨立條款難以完全解釋「數據可攜權」所可能包涵的豐富含義,以及在具體實踐如何執行。

因此,歐盟第29條工作組專門發布了關於數據可攜權的指南[18]。這份指南回應了最具有爭議性的問題。因篇幅有限,擇取其中關鍵問題——個人可以通過行使「可攜帶權」,實現在不同服務商之間的自由切換么?

如果現實中:數據能夠簡單明了的切分為你的個人數據,我的個人數據,也許這個問題還比較簡單,然而在現實的萬物互聯時代,我們每個人的個人信息,似乎都與物的信息,機構的信息以及與他人的個人信息粘連在一起。在轉移過程中,如何不涉及對他人權利的負面影響,是「可攜權」面臨的最大考驗。

典型的:個人數據可能同時關涉其他第三方個人的數據,例如:通訊錄信息、電話記錄信息、聊天信息、郵件往來信息、轉賬記錄信息等等。按照個人數據定義,此類數據當然屬於個人數據,但數據主體針對此類數據行使「數據可攜帶權」時,則往往可能對其他第三方個人的基本權利帶來侵害。

因為這些第三方個人根本沒有機會得知自己的數據被他人提交給了新的數據控制者,從而也沒有機會行使自己的權利。這不僅在不同的服務商切換中帶來潛在的權利侵害風險,即使在同一家服務商上也會存在此類風險。

正如2010年,google 啟動其社交網路服務Google buzz時,不恰當的利用了其gmail用戶的關係鏈數據,在gmail用戶A接受Google buzz使用邀請時,用戶並不清楚其gmail的通信錄上的用戶都將被自動拉入Google buzz。而被拉入的用戶也並不知情自己的聯繫信息已被收錄並被buzz社區公開, Google也因此受到FTC處罰[19]。

近期爆發的Facebook事件中也再次證明,通過好友關係鏈的數據披露,的確更易對不知情第三人造成權利侵害。

在更加重視個人權利保護的歐盟,自然要對此類情況加以限制。GDPR第20條明確對可攜帶權的行使作出了明確限定,不能對他人的權利或自由產生負面影響。第29條工作組在指南中進一步作出了詳細解釋:

對於涉及到其他第三方個人數據的數據轉移,僅僅允許行使「數據可攜權」的數據主體本人對於轉移後的數據進行唯一的控制(solecontrol),只能將此類數據用於個人和家庭事務目的,比如出於個人目整理通信錄。這切斷任何第三方利用這些數據的可能性;

接收數據的數據控制者不得基於自己的利益去處理轉移後的數據,特別是禁止對數據中涉及的第三方個人開展商品營銷或服務活動,也不得將獲得的數據用於豐富第三方個人的數據畫像,或重建其社交圈,即使在數據控制者本身已經掌握第三方個人數據的情形下也要如此。

為避免對第三人的侵權風險,《指南》還鼓勵數據控制者不論是導出數據的那一方(exporter),還是接受數據的一方(importer)都應當設置相應的技術工具,幫助數據主體在轉移數據時剔除涉及其他第三方個人的數據。

以上規定已清楚指明,在類似於Facebook到Snapchat等社交網路的切換中,目前並不可能通過用戶行使「可攜帶權」,實現一鍵轉換。

在很多情形下,這反而是GDPR中所禁止的行為類型,因為它侵害到不知情第三方的基本權利。典型例如:用戶A將自己的好友信息,包括好友的姓名,手機號碼轉移到一個APP上,在這一場景下轉移只能服務於A用戶的個人存儲、管理目的,接收數據的APP不得基於自己的經營目的,處理用戶A的好友信息。直接面向用戶A的好友開展商品營銷或直接提供服務,都屬於明顯違反GDPR的行為。

可攜帶權關注數據主體本人對數據的控制力(這裡集中體現為轉移訴求),但更要保證所涉及的其他第三人的基本權利。也正是在這種需要兼顧不同方利益的複雜環境下,可攜權的設計是否科學?是否符合市場實際面臨許多質疑。

而其中質疑最大的是「可攜權」與競爭政策之間的關係。「數據可攜權」從表面看為用戶提供便利,減少用戶轉換成本,但是深入研究就會發現:有關鎖定用戶的成本以及用戶轉換服務時所遇到的阻礙問題完全可以通過競爭法來解決。

競爭法歷經百年發展歷史,已經形成了較為嚴密和成熟的基礎理論,它不僅考慮到了用戶的鎖定成本,也考慮到了鎖定也會帶來一定的消費者福利。一定的轉換成本可以鼓勵對新技術業務的投資,在長期來看是具有效率的。

競爭法的適用是以企業在市場上具有顯著市場地位,並濫用該地位損害正當的市場競爭為前提的。其規則適用具有複雜而嚴密的程序前提[20]。而根據《GDPR》規定,數據可攜權作為用戶的基本權利,可以被要求適用於任何一個機構,包括新興企業在內。總之,正如「被遺忘權」一樣,「數據可攜權」帶來的新問題也許也遠比想像中更多。

6 數據跨境轉移: 變得更加嚴格?

個人數據的跨境流動制度為歐盟所首創,因此很多人對歐盟這一制度留下了嚴格印象。然而在GDPR立法啟動時,跨境流動制度中存在的突出問題就被首先被識別出來。幾乎所有的歐盟企業都涉及到向歐盟境外傳輸數據,然而1995指令中關於跨境流動的嚴格規則早已難以適應數據國際流動[21]。為此,GDPR對跨境數據流動政策進行了大幅優化改革,特別著力於開闢更多的合法數據跨境方式,提升跨境流動的靈活度:

1.明確禁止各成員國以許可方式管理跨境數據流動。

多年的實踐表明,歐盟各成員國對跨境流動採取的許可管理方式並沒有實質性的提升個人信息出境的保護水平,相反,事前許可制度卻帶來官僚主義問題。因此,GDPR重點簡化了數據跨境傳輸機制,明確禁止了許可管理做法,只要符合了《GDPR》中跨境數據流動的合法條件,則成員國不得再通過許可方式予以限制。

2.增加了充分性認定的對象類型。

除了對國家可以作出評估外,還可以對一國內的特定地區、行業領域以及國際組織的保護水平作出評估判斷,以進一步擴展通過「充分性」決定(adequate decision)覆蓋的地區。

3. 擴展「標準合同條款」(Standard Clauses Contract,SCC)

除了保留目前已生效的3個標準合同範文,《GDPR》增加了成員國數據監管機構可以指定其他標準合同條款的渠道,以為企業提供更多的,符合實際需求的跨境轉移合同文本選擇。

4.將「有約束力的公司規則」(BCR)正式確定為法定有效的數據跨境機制。

BCR是集團型跨國企業可優先考慮的機制,集團遵循一套完整的,經個人數據監管機構認可的數據處理機制,則該集團內部整體成為一個「安全港」,個人數據可以從集團內的一個成員合法傳輸給另一個成員。

儘管已有部分歐盟成員國監管機構接受BCR規範,包括埃森哲、寶馬汽車、惠普、摩托羅拉等72家跨國公司獲得了BCR認可[22]。但由於1995保護指令中並沒有將BCR納入,BCR的法律效力尚不明確,而此次GDPR解決了這一問題。

5. 發揮行業協會等第三方監督與市場自律作用。

GDPR規定數據控制者可以成立協會並提出所遵守的詳細行為準則(codes of conduct)。該行為準則經由成員國監管機構或者歐盟數據保護委員認可後,可通過有約束力的承諾方式生效。此外,經認可的市場認證標誌(seals and marks)也可以作為數據跨境轉移的合法機制,這實際反映了GDPR對美國市場自律治理方式的充分借鑒。

因此,在GDPR生效後,企業將會有更為豐富的機制選擇,實現更為順暢的跨境數據流動。

7 雲計算:重建生態體系?

對於雲計算而言,GDPR的確帶來了重大變化。在典型的雲服務場景中,雲服務商作為數據處理者,而雲的客戶是數據控制者。1995年保護指令主要適用於控制者,處理者通過合同承擔數據保護責任。然而GDPR對於控制者、處理者在大多數情況下提出了相同的要求,例如:承擔對數據的安全保障義務,在管理措施、技術上採取必要措施,包括指定DPO、在發生數據泄露事故時及時報告控制者等。

更進一步的是,GDPR對於處理者的專門規定,深入到了處理者(雲服務商)與控制者(雲客戶)之間的權利義務關係配置,而在過去,這些內容是完全交由合同,市場自行去解決。因此有觀點認為:GDPR關於數據處理者的規範,與作為新生態的雲計算格格不入[26]。

例如:GDPR要求,如果沒有控制者授權,處理者不應聘用另一個處理者,對於涉及到補充或替換其他處理者的變動,處理者都應當告知控制者,以便使控制者有機會反對此類變化。對照此要求,目前市場上雲服務的集成、轉售業態都將面臨業務風險,因為控制者(雲客戶)隨時可以行使反對權。

承認GPDR對雲計算生態體系帶來重大影響,但客觀來看,也可以通過合規及業務調整來適應。按照新規,雲服務合同中關於安全保障措施、風險管理以及服務價格都會受到影響,控制者和處理者需要重新談判達成。

當然,也仍有許多問題留待後續解決。處理者在雲計算生態里實際體現為不同的類型,典型如IAAS ,PASS,SASS,它們與服務的客戶(控制者)之間的關係,以及數據處理服務本身都體現出不同的特點,統一適用GDPR一刀切的規範,存在著與實際並不相符合的情況。

例如,根據GDPR規定,處理者只有在收到控制者的書面指示時才可以處理個人數據,這對於大部分的IAAS場景來說幾乎是多餘的要求,因為IAAS更多是提供基礎設施,並不直接參与到客戶的數據處理;而在有些服務場景卻又是冗贅的,比如SAAS服務中,雲服務商需要開展相應的數據分析,以不斷優化服務體驗。

此外,GDPR要求:如果處理者認為控制者某項指示違反了數據保護法,其應當立即告知控制者。基於雲服務商與客戶之間的服務關係,這種告知機制如何在商業實踐中落地,以及GDPR在多大程度上追究處理者的責任仍有許多未解事宜。

8 人工智慧:深度學習即將違法?

《終極演算法》作者華盛頓大學教授 Pedro Domingos在今年年初稱:自 5 月 25 日起,歐盟將會要求所有演算法解釋其輸出原理,這意味著深度學習即將非法。更有文章提出:GDPR規定了自動決策的可解釋權(The Right to Explanation of Automated Decision):數據主體有權要求演算法自動決策給出解釋,有權在對演算法決策不滿意時選擇退出[23]。

然而,儘管承認GDPR對數字創新技術與應用帶來重大影響,但我們也不應誇大這種影響。

首先, GDPR的正式條款中並沒有出現過所謂的「自動決策可解釋權」,只是在GDPR背景引言(Recital71)中闡述了:數據主體對於自動化決定不滿意時,可以要求人工干預,並可以表達意見,獲取對相關自動化決定有關解釋。按照歐洲立法慣例,立法的背景引言只是起到幫助如何理解條款的目的,自身並不具有法律效力[24]。

其次,GDPR中正式條款中與自動決策相關的條款,共有三個部分,但均沒有提出自動決策可解釋的要求

1.在第22條自動化的個人決策,畫像條款中,僅要求:數據控制者應當採取適當措施保障數據主體的權利、自由、正當利益,以及數據主體對控制者進行人工干涉,以便表達其觀點和對決策進行異議的基本權利;

2.在13、14條數據主體的知情權部分,相關規定為:控制者應當為數據主體提供:是否存在自動化的決策的信息,以及在存在自動化決策的情形下,對於相關邏輯、包括此類處理對於數據主體的預期後果的有效信息。這一表述也推斷不出有演算法可解釋的要求。3.同樣,在第15條數據主體的訪問權中,也不存在此類要求。

歐盟29條工作組在2017年10月專門就此問題發布了指南[25]明確澄清:關於自動決策,數據控制者並不必然要解釋複雜的演算法,對於用戶來說,只需要用儘可能簡單的方法告知其背後的基本邏輯或者標準即可。

而最關鍵的是,GDPR中規制的自動決策與「深度學習」並不能劃等號。GDPR僅僅規制對於個人產生法律或者重大影響的純自動化決策,而包括「深度學習」在內的人工智慧顯然有廣闊的應用領域,不涉及個人數據,不產生法律影響,或者存在人工干預的人工智慧還有很多。

當然,儘管GDPR中沒有明確規定演算法的可解釋性要求,但演算法的透明和負責任依然是人工智慧所面臨的重大挑戰,演算法公開所涉及到的商業秘密、知識產權保護,以及深度學習演算法的自身黑箱特點等現實問題,意味著在如何保證演算法的公平公正透明性方面還需要深入探討更加有效的機制,僅僅依靠所謂「可解釋權」難以走出困境。

9 區塊鏈:與GDPR不相兼容?

隱私和個人信息保護制度一直不斷受到技術創新的衝擊挑戰。從1995年保護指令到過去的20多年,是信息技術浪潮快速更迭的20年,因此,GDPR立法中最重要的一個任務就是如何回應數字創新帶來的制度難題。

如果說移動互聯網、物聯網、雲計算、大數據是對數據保護具體制度,包括知情同意機制、安全責任、個人信息邊界帶來如何具體執行的問題,那麼作為互聯網誕生以來最具有顛覆性的區塊鏈,對於個人信息保護制度的規範範式則帶來更加根本性的衝擊。

因為區塊鏈是一種全新的數據存儲與管理範式,在本質上是一種通過共識演算法,在多點分布存儲的去中心化資料庫。它依靠密碼學和數學演算法,無需藉助任何第三方中心的介入就可以使參與者達成共識,以極低成本解決了信任與價值的可靠傳遞難題,對互聯網中心化的平台商業模式帶來巨大衝擊,當然也對建立在中心化商業模式之上的數據保護制度帶來衝擊。

不論是1995年的數據保護指令,還是改革之後的GDPR, 依然是一種中心化的規範範式[27]。它的制度體系重點指向的是那些中心化的數據控制者,數據處理者,例如:政府機構、銀行機構、醫院,以及互聯網世界中各種各樣的中心化平台。GPPR中所建立以來的一系列規範要求,是要求這些中心化的機構去承擔相關保護義務,從而實現對個人的保護目的。

而區塊鏈的數據處理模式是完全相反的去中心化模式,這與GDPR在規範起點上就無法兼容,並導致後續一系列的問題。

按照GDPR對個人數據的寬泛定義,以及對匿名化數據的高門檻要求[28],區塊鏈中以文本格式顯示的個人數據,乃至被加密,或者哈希之後的與個人相關的數據,包括公鑰、交易數據,在相當大程度上仍然屬於個人數據。那麼參與此類數據處理的,在區塊鏈上任何節點的礦工,都可以被認定為數據控制者,同時也是數據的處理者[29],從而被要求遵從GDPR的各項要求。

而對照目前的區塊鏈應用,這幾乎是不可能實現的要求,特別是對於公共鏈更是如此。以比特幣區塊鏈為例,截止目前大約有11000個節點礦工分布全球,不用說數據主體本人,即使對數據保護監管機構都是很大挑戰。

在數據權利方面,作為數據控制者,也很難按照GDPR的要求,滿足數據主體訴求。特別是更正權、刪除權、被遺忘權等基本權利更是與區塊鏈的核心機理相衝突

區塊鏈解決去中心化信任的關鍵功能就在於數據的不可篡改性。一旦信息經過驗證並添加至區塊鏈,就會永久的存儲起來,除非能夠同時控制住系統中超過51%的節點,否則單個節點上對資料庫的修改是無效的,而同時控制眾多節點幾乎是不可能的。

此外,區塊鏈的單點記入,全網同步功能也與GDPR中的數據最小化原則格格不入。按照數據最小化原則,數據控制者應當只是處理滿足目的的必要數據,而不得超出範圍。在區塊鏈特別是公有鏈中,每個節點的數據維護都會實現自動同步,且並不限制訪問。

然而,儘管區塊鏈與GDPR在底層邏輯上就存在根本衝突,但不可否認,區塊鏈可能是實現GDPR立法目標的一種可能技術路徑,特別是在GDPR作為制度本身仍然存在很多缺陷的背景下,在現實中僅依靠GDPR顯然無法實現對個人信息進行充分保護的美好願景。而在這一點上,區塊鏈技術本身可大有作為。

區塊鏈技術將有利於提升人們對個人數據的控制權,用戶掌握著唯一的公鑰和私鑰,可以更為自由地選擇將個人數據在何時披露給何人,相比之下,目前中心化的數據管理範式,如身份證號,醫療記錄則有更多的被非授權披露的風險。

如果從一開始,就保守地將GDPR用於規範和約束區塊鏈技術,甚至視區塊鏈為違法技術,那麼無疑扼殺了實現數據保護目標的一條可能技術路徑。更多採取寬容態度,並在區塊鏈應用發展過程中,將制度與技術進行更雙向的包容互動,彼此調整和完善,將會是一個多贏的結果。

目前已有部分公有鏈嘗試將個人數據單獨儲存在鏈下,滿足合規要求。也有越來越多的專家呼籲,GDPR對於區塊鏈技術應當給予適當的豁免。這即使從歐盟的立場出發,也是一個值得考慮的選項。

10 高昂的處罰不可避免?

對於GDPR的嚴苛印象很大程度上來自於高昂的罰金。這主要是源於GDPR對於違法行為在法規中並沒有設置具體的罰金幅度,而是只有最高金額的限制。且僅僅區分為兩檔,分別針對不同的違法行為:

1.處以1000萬歐元或者上一年度全球營收的2%,兩者取其高;針對:違反隱私保護設計,以及默認隱私保護,沒有實施充分的IT安全保障措施、違反數據泄露通知要求等等(第83條第4款);

2.處以2000萬歐元或者企業上一年度全球營業收入的4%,兩者取其高。針對:違反數據處理原則,數據處理沒有合法基礎,違法同意要求,侵害數據主體的合法權利等(第83條第5款)。

顯然,最高罰金僅僅在最嚴重的違法行為下適用。監管機構的矯正權力也並不僅限於罰金,還包括:警告,申誡,要求數據控制者、處理者改正、要求對個人數據予以更正或擦除等。

GDPR背景引言中也引入了「輕微侵權」概念,基於對案件具體情況的考慮,如果違法行為不會對有關數據主體的權利構成重大風險,在這種情況下,可以用訓誡取代罰款。

在第29條工作組發布的《行政罰款的適用和設置指南》[30]中也明確:監管機構有責任選擇最適當的措施,必須考慮所有能夠採取的矯正措施,在具體案件中,採取審慎平衡的方法,處罰措施應當是「有效的、恰當的、有說服力的」。

此外,GDPR規定了監管機構在評估是否應當適用罰款和罰款金額的標準時,應當考慮以下因素:(a) 違法的性質、嚴重性與持續時間;(b) 基於故意還是過失;(c) 控制者或處理者為了減輕數據主體損失而採取的所有行動;(d) 與監管機構的合作程度;(h)監管機構得知違法行為的方式等等。

因此,也可以從以上因素著手,包括:在事前形成完善的數據管理制度,一旦發生數據事件後與監管機構保持良好密切的溝通,都有助於避免更為嚴厲的處罰。

最後,考慮到GDPR適用於各類主體,處罰及罰金措施不僅適用於企業,也包括政府機構、公共事業機構等。為此,GDPR授權成員國可以制定規則,以覆蓋對國內公共機構實施行政處罰的情形。

結語

GDPR帶來許多改變。2016年立法文本的正式通過,並不意味著制度規範都已成熟,相反,秩序建設才剛剛拉開序幕。特別是本文中所列出的那些充滿爭議的棘手問題,面臨挑戰的不僅是GDPR的適用對象,也包括GDPR本身。所以,請我們放鬆心態,保持開放視角,不論是對於個人數據保護合規工作,還是個人數據保護法律完善,都是一場需要投入耐心和耐力的馬拉松

參考文獻:

[1]舊文《歐盟數據保護通用GDPR詳解》對理解GDPR提供了一些參考,但隨著大量指南的發布,其中部分觀點也需要補充,本文即作為更新。

[2]根據GDPR規定,第29條工作組也將由新組建的歐盟數據保護委員會(European Data Protection Board,EDPB)替代。

[3]部分指南已正式發布,部分指南仍處於公眾徵詢意見期。

[4]當然為了避免豁免的濫用,對豁免本身也有一些合理的限制。

[5]關於數據跨境的機制,可參見舊文《數據跨境流動政策認知與建議》

[6]見GDPR 第三章 數據主體的權利 第五節限制

[7]第四十一條網路運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。

[8]結合我國網安法對網路運營者的廣泛界定,第七十六條(三)網路運營者,是指網路的所有者、管理者和網路服務提供者,實際上同樣包含了政府機構、公共機構和企業。

[9]信息安全技術 :個人信息安全規範,2017 -12 - 29 發布 2018 - 05 - 01 實施

[10]詳細的適用條件可以參見GDPR的姊妹法規——ePrivacy Regulation,該法規對電子營銷作出了更為具體的規定,包括opt-in的例外情形。

[11] GDPR RECITAL 47

[12] GDPR RECITAL 47

[13] GDPR RECITAL 48

[14] GDPR RECITAL 50

[15] InfoCuria - Case-law of the Court of Justice,JUDGMENT OF THE COURT (Grand Chamber),13 May 2014 (*),Google SpainSL,Google Inc.VS Agencia Espa?ola de Protección de Datos (AEPD),Mario CostejaGonzález

[16]當然,GDPR的被遺忘權(第17條)與歐洲法院判決中提出的「被遺忘權」相比,在權利的內涵方面仍然有較大區別,可以參考舊文,《被遺忘權很美?,對兩方面權利內容作了對比。

[17]任某訴百度名譽權案,也被國內媒體稱之為「國內第一期被遺忘權案」,見北京市第一中級人民法院民事 判 決 書(2015)一中民終字第09558號

[18] ARTICLE 29 DATA PROTECTION WORKING PARTY:Guidelines on the right to data portability,Adopted on 13 December 2016,As last Revised and adopted on 5 April 2017,16/EN WP 242 rev.01

[19] US Federal Trade Commission:FTC Gives Final Approval to Settlementwith Google over Buzz Rollout,ftc.gov/news-events/pre on Feb 24th,2018

[20] Peter Swire and Yianni Lagos,WHY THE RIGHT TO DATA PORTABILITY LIKELY REDUCES

CONSUMER WELFARE: ANTITRUST ANDPRIVACY CRITIQUE,Maryland Law Review 2013,72 Md. L. Rev. 335

[21] European Commission - Press release,Commission proposes a comprehensive reform of data protection rulesto increase users control of their data and to cut costs for businesses,25 January 2012

[22] Available atec.europa.eu/justice/da

[23] Richa Bhatia,Is Deep Learning Going to be Illegal in Europe?Available at analyticsindiamag.com/d

[24]歐洲法院ECJ明確指出了立法背景引言不具有法律效力。ECJ has commented directly on the legal status of Recitals,clarifying that: "Whilst a recital in the preamble to a regulation maycast light on the interpretation to be given to a legal rule, it cannot initself constitute such a rule.",Case 215/88 Casa Fleischhandels [1989]ECR-2789, para 31; See also Baratta (n 16) 13.

[25]《Guidelines on Automatedindividual decision-making and Profiling for the purposes of Regulation2016/679》,

[26] W. Kuan Hon,GDPR: Killingcloud quickly? Available at iapp.org/news/a/gdpr-ki

[27] Michèle Finck,Blockchains and Data Protection in the European Union,Max Planck Institute for Innovation and Competition Research PaperNo. 18-01

[28] ARTICLE 29 DATA PROTECTION WORKING PARTY,Opinion 05/2014 on Anonymisation Techniques,Adopted on 10 April 2014,Opinion 05/2014。

[29] Hoganlovells,A guide to blockchainand data protection,September 2017

[30] ARTICLE 29 DATA PROTECTION WORKING PARTY,17/EN,WP 253,Guidelines on the application and setting of administrative finesfor thepurposes of the Regulation 2016/679,Adopted on 3 October 2017


推薦閱讀:
相关文章