一、GDPR的成绩单 (一)欧盟数据保护委员会:协调执法 作为欧盟层面的数据保护机构,“欧盟数据保护委员会”(EDPB)的主要任务是保证欧盟整体数据保护规则的统一适用,以及促进各成员国监管机构之间的合作,其主要政策工具包括出台指南(Guidelines)、建议(Recommendations)、意见(Opinions)、有约束力的决定(Binding decisions)。迄今,欧盟数据保护委员会已发布六份指南(含征求意见稿),涉及GDPR适用地域、第42和43条下的认证及其标准、行为准则及其监督、履行合同所必需的数据处理以及数据跨境的例外情形等。此外,欧盟数据保护委员会已经或正在就有约束力的公司准则、数据控制者与处理者间标准合同、进行数据保护影响评估的国家名单、金融监管机构个人数据传输、GDPR与《隐私与电子通讯指令》的互动等发布多份“一致性意见”(Consistency opinions)。 2018年5月25日,欧盟数据保护委员会举行第一次全体会议。会上集中完成了设立委员会工作,并经选举产生了委员会主席和副主席;同时还完成了“第29条工作组”(WP29)与委员会的交接,批准了16个第29条工作组做出的GDPR指南。2018年7月4日至5日,欧盟数据保护委员会举行第二次全体会议,讨论了一站式(One-Stop-Shop)合作机制、互联网名称与数字地址分配机构(ICANN)、欧盟支付服务指令第二版(PSD2)、隐私盾等广泛主题。根据委员会的常设秘书处——“欧洲数据保护专员公署”(EDPS)的工作设想,后续执法要点包括:(1)GDPR实施工作的基本立场是遵循欧盟委员会有关数字单一市场的总体安排,保护欧盟公民和统一市场为直接目标;(2)将里斯本条约确认的基本人权——个人数据权作为贯彻落实GDPR的基点,设计出更具体的实施细则及合规指南;(3)GDPR主要凭借各成员国监管机构执法,而在“一站式”模式下,针对特定执法对象,应由其主要营业地所在国的监管机构履行监管职能;(4)GDPR的总体执法力度将类似于目前欧盟在反不正当竞争、反垄断领域的执法;(5)在国际冲突博弈方面,GDPR实施过程中会根据实际情况进一步考虑弹性的执法机制,例如充分发挥“公司准则”(Rules of Corporation)和“标准条款”(Standard Clause)的软法功能,以减少法定强制条款(例如充分性认定机制)的适用。截至2019年5月,欧盟数据保护委员会已经举办了10次全体会议。 2019年2月,欧盟数据保护委员会发布2019-2020年工作计划,列举出17项拟出台的指南,囊括了车联网、儿童数据、视频监控、数据控制者合法利益、政府机构以合作管理为目的的跨境传输、经由设计和默认的数据保护以及对个人数据权利的限制,等等。 (二)欧盟各成员国:具体执法 尽管GDPR可以直接适用于欧盟所有成员国,但它同样要求各成员国将其转化为国内法。目前,除了希腊、斯洛文尼亚和葡萄牙,其余25个国家均通过不同形式将GDPR纳入既有法律体系之中,并同时规定了本国数据保护局(DPA)的职权,包括但不限于:发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款。 根据欧盟数据保护委员会在2019年2月和5月发布的信息,欧盟各成员国的DPA处理案件28万件,其中数据跨境案件446件,并收到至少14.4万次个人投诉和89271次数据泄露通知,开出罚款高达5600万欧元。各国具体执法情况如下: 1. 爱尔兰 爱尔兰是多家大型科技、社交媒体公司等跨国公司的欧洲总部所在地,即“主营业地”。在GDPR“一站式”执法机制下,爱尔兰“数据保护委员会”(DPC)对跨国公司的数据监管发挥着重要作用。一年来,数据保护委员会收到6,624宗投诉,发现5,818个数据安全漏洞,开展了54项调查,其中35项是境内调查,19项是对跨国科技公司及其对GDPR的遵守情况的跨境调查。 作为苹果、脸书、微软、推特、爱彼迎、领英等科技巨头的牵头监管机构,数据保护委员会已发起多起涉及上述公司的法定调查,所涉问题包括脸书涉嫌利用外部链接从第三方软件中转移个人数据至脸书及其合作方、微软利用Office产品收集并处理遥测数据、WhatsApp与脸书公司共享个人数据,等等。针对上述跨国科技公司,数据保护委员会还收到了16起来自其他欧盟监管机构的互助请求。 2. 法国 法国“国家信息与自由委员会”(CNIL)于2019年4月发布的活动报告显示,2018年其共收到11,077起投诉(相较于2017年上涨了32.5%),其中20%为一站式机制下来自其他监管机构的投诉。这些投诉主要涉及数据的互联网传播,尤其在线上声誉、市场/商业、人力资源等领域中主张删除个人数据。在调查方面,委员会在2018年共发起310起调查,并在2019年发布命令49项,主要集中在保险领域和广告定向推送领域,实施处罚11项,其中10项为罚款,以谷歌案最令人瞩目。2019年1月21日,委员会对谷歌作出了GDPR下至今最高额的罚款处罚——5000万欧元。其处罚决定理由主要基于两方面,一是谷歌违反了GDPR第12和13条规定的透明性义务,二是谷歌以广告定向投放为目的处理个人数据缺乏法律基础,即未获得数据主体的有效同意。 在规则制定层面,2018年12月28日,委员会基于GDPR同意和透明度原则,发布了“以直接营销目的向商业合作伙伴提供数据指南”。根据该指南,数据控制者向合作方提供个人数据时,应告知数据接受者的名称,并获得用户同意,该等同意是不可转移的,这意味着合作方不得将数据披露给第三方。最后,数据接收者将数据处理的情形在一个月内告知数据主体,并说明其如何行使权利,特别是反对权。 3. 英国 根据英国“信息专员办公室”(ICO)的官方信息,该办公室自GDPR生效以来共有59项执法行动,其中34项为罚款,15项为执行通知。 2018年10月,信息专员办公室向加拿大的Aggregate IQ数据服务有限公司(“AIQ”)发出执行通知,要求其删除所有与英国公民相关的个人数据,并称若其不履行义务,将面临最高2000万欧元或上一年全球总营业额4%的罚款。AIQ是一家利用个人数据在社交软件上定向投放政治广告的公司,其很多数据源于包括脱欧组织的政治团体提供的个人数据。信息专员办公室在执行通知中指出AIQ违反了GDPR第5(1)条中的(a)至(c)款,与此同时,加拿大隐私监管机构也以滥用个人数据为由对AIQ进行调查。在后续执法行动中,办公室还对脱欧集团有限公司(Leave.EU Group Limited)、投票脱欧有限公司(Vote Leave Limited)的非法利用数据和发送信息行为处以罚款。除了企业外,政府机构同样面临着执法威慑。2019年,英国税务与海关总署被依法调查,信息专员办公室认为:前者在采集生物特征数据(具有识别性的声纹)时,未征得个体同意,且没有对数据保护做预案。 4. 比利时 无独有偶,2019年5月28日,比利时数据保护局(DPA)发出首份GDPR罚单。在该案中,一位投诉人提出了对比利时市市长的投诉,认为市长滥用投诉人的个人邮箱向其发送竞选信息。对此,数据保护局指出:GDPR适用于任何数据控制人,当然也适用于市长等公共权力拥有人。根据GDRP第5条第1款第(b)项和第6条第4款中“目的限定”原则,市长获得的电子邮件地址必须用于特定目的,不得以与该目的不相容的方式进一步处理。基于此,比利时市市长使用数据主体个人电子邮件地址并发送竞选信息的行为,已经超出个人当时提交其邮件地址的目的,最终遭至2000欧元的处罚。 5. 其他国家 其他国家的监管机构也积极开展了执法活动,例如:德国“联邦数据保护与信息自由委员会”(BfDI)基于数据泄露对一家社交媒体公司处以2万欧元罚款;意大利“反垄断监管机构竞争和市场管理局”(Garante)就两家公司车辆的定位监控系统问题发出执行通知要求其纠正违法行为;葡萄牙“国家信息保护委员会”(CNPD)认定Barreiro医院未区分临床数据的访问权限,并且个人资料管理系统存在缺陷,违反了GDPR第51(f)条的“完整性和保密性”原则与51(c)条的“数据最小化”原则,对其处罚40万欧元;立陶宛“国家数据督查局”(SDPI)对一家互联网支付公司处以61,500欧元罚款,理由包括不恰当处理数据、泄露个人信息以及未向监管机构报告数据泄露事件。奥地利“数据保护局”(DSB)因企业在其建筑物周边安装闭路监控设备监控、记录人行道人像数据等,而被认为未履行GDPR有关数据处理透明度的要求,对其处罚4800欧元。 二、GDPR执法的评估 一年来,从欧盟数据保护委员会到各成员国的数据保护局,GDPR已经显示出巨大的威力。但法律好不好,“关键看疗效”。我们有必要从法律、社会、经济各层面全面审视其实施效果。 (一)GDPR对民众的影响 保护个人的基本权利是GDPR的初心。GDPR的实施让欧盟民众比之前更加关注他们的数据权利。调查显示,2015年,大约只有20%的人知道政府保护个人数据,而现在有57%的人了解到国家专设了数据保护局,提供个人数据权的缜密保障,有67%的人听说过GDPR这部法律。同时,向各成员国数据保护局咨询GDPR和提出申诉的人日益增多,非营利组织代表个人发起的申诉也开始出现。 (二)GDPR对企业的影响 合规成本的上升是GDPR对企业最为直接的影响。“国际隐私专业人协会”(IAPP)的研究报告曾经预言,GDPR生效后,仅欧洲和美国就需要至少2.8万个数据保护官(DPO),而全球其他地方为满足GDPR的要求,将创建多达7.5万个职位。事实上,这一预计大大低估了GDPR的影响,截至目前,已有37.5万家企业和其他组织设置了数据保护官,并且,还有50万名尚待任命。显然,企业不得不为此花费不菲的资金。而有些雇主可能会将数据保护官的职责分配给在职员工,这极大增加了员工的工作量,可其福利却未必会同步提升。 除上述人力成本外,在普华永道的调查中,受访者表示,超过77%的美国公司计划在GDPR准备和合规工作上分配100万美元或更多,其中68%的公司表示将投资100万至1000万美元,9%的公司预计花费超过1000万美元。在当前的市场格局下,飙升的合规成本将必然削弱中美企业的竞争优势。在极端的情况下,凭借GDPR,欧盟可以中美两国公司数据保护欠缺为由,阻止其投资和收购的步伐。而对于中小企业而言,GDPR的合规成本更加难以承受。德勤的调查显示,在1000个受访的中小企业中,绝大多数保持观望态度。同时,作为面向未来的原则性法律监管框架,GDPR存在大量模糊规定,有54%的中小企业对于GDPR规则极度困惑,甚至有人戏称GDPR为“律师充分就业法”(Lawyer full employment law)。 (三)GDPR对欧盟境外的影响 GDPR的长臂管辖权使其在欧盟境外也保持着强大威慑。德勤在GDPR实施半年后的调查证实了这一点。在欧盟地域内,70%的被调查者增设了GDPR合规岗位,而欧盟境外的被调查者同样不敢掉以轻心,其比例仅仅落后1到2个百分点。 受到影响的绝不限于企业。随着GDPR的实施,欧盟以此为抓手向全球扩张其制度理念,并为世界个人信息保护法竖立新的标准。欧盟数据保护委员会在5月份的报告中自豪宣称:“GDPR的原则正在向欧盟之外辐射。从智利到日本,从巴西到韩国,从阿根廷到肯尼亚,我们看到新的隐私法正在浮现,它立基于更强保障、可执行的个人权利和独立监管机构之上。”正如个人数据保护领域著名学者Graham Greenleaf所指出的,凭借GDPR第45条设定的“充分性认定”条款和2018年5月18日欧洲委员会提出的“108号公约+”动议(“Convention 108+”),欧盟将GDPR的标准向全世界推广,意图确立个人数据保护的“国际标准”。在GDPR的影响下,美国《2018加州消费者隐私法》(The California ConsumerPrivacy Act of 2018)、印度《个人数据保护草案》(the 2018 PersonalData Protection Bill)相继出台,回应了人们对数据透明度的期待,并赋予个人就其数据更多的控制权。其中,《2018加州消费者隐私法》仿效GDPR,广泛界定个人数据的范围,为个人创造“删除权”“可携带权”等新的权利类型,并强调提供明确的同意通知。 三、对GDPR实施的批评 (一)GDPR执法的不足 GDPR实施后,众多监管机构实现了权力扩张和身份转变,与以往被动的执法模式不同,后GDPR时代的数据监管机构倾向于积极主动的履行职能,监督其管辖范围内机构的数据保护情况,即便它们尚未出现数据泄露等安全隐患。这种执法模式和“警告、申诫、要求数据控制者、处理者改正、要求对个人数据予以更正或删除”等矫正权相结合,大大增加了政府介入企业经营的深度和广度,从而引发人们的忧虑。 不仅如此,尽管GDPR列明了罚款的考量因素,实践中也很难作出合理且有效的处罚。在欧盟开出的5600万欧元罚单中,谷歌以5000万欧元独占90%,而绝大多数欧盟公司并未因违反GDPR而被处罚,即便处罚,其罚款也非常轻微。这种不均衡在不同国家间体现的更加鲜明。尽管有欧盟数据保护委员会的协调和监督,但鉴于各国执法路径与社会文化的差异,各成员执法水平参差不齐的现状短期内难以改善,最终导致GDPR“统一规则和执法统一”沦为具文。法国国家信息与自由委员对谷歌的处罚案便是绝佳例证。 在该案中,尽管谷歌公司坚持其爱尔兰公司(Google Ireland Limited)是其主营业地,在“一站式”管辖规则下,爱尔兰数据保护局才是适格的监管机关,而非法国。但是,国家信息与自由委员认为,谷歌在欧盟内没有主营业机构,因为美国的谷歌总部(Google LLC)拥有对安卓及谷歌账号相关数据的处理决策权。其进一步指出:既然谷歌在欧盟境内没有主营业机构,那么欧盟境内任一谷歌营业机构所在地的监管机关,均对Google LLC拥有执法管辖权。这种对“主营业地”的狭义解释可能架空了“一站式”执法要求,因为对总部不在欧盟的跨国企业来说,其决策权不太可能在欧盟境内,因此不得不面对多个监管机关的分散式执法。 (二)GDPR实施未必有利于企业和用户建立信任 信任是数字经济的货币,GDPR意图建立一个强大且面向未来的监管框架,以保证消费者和企业增强信心和相互信任,从而为欧洲铺平数字时代的道路。为此,GDPR大幅提升了数据主体对个人数据的控制力和权利认知。而正如行为经济学的“禀赋理论”所指出的,一旦人们先入为主地认定个人数据属于自己,他们会为此赋予更高的价值。同时,由于每个人都厌恶损失,“避害”的威胁远大于“趋利”的考虑,因此,当企业提出数据收集和使用要求时,人们往往更不愿意达成交易。在此背景下,数据与其权利人之间更有粘性,用经济学的话来说,初始的权利配置直接决定了最终的资源分配,结果,数据并不会流向更能创造价值的地方。须知,数据如流水,静止的数据必然是一潭死水。 更严重的是,鉴于技术架构下天然的信息不对称,个人数据权利的增强可能加剧了用户对企业的不信任。研究表明:有关个人数据泄露的丑闻以及企业不正当地使用、出售个人数据的案件,将对消费者普遍信任水平产生负面影响。由此,人们或者只信任大企业:GDPR生效后不久,谷歌成功增加了其在线广告市场的份额,这是因为它以高于同行的速度获得用户对定向行为广告的明确同意;或者人们对所有企业普遍不信任,特别是各成员国数据保护局对跨国科技公司频频处罚之后。不论结局如何,这对于数字经济绝非福音。 (三)GDPR实施对数字经济的不利后果 之前的研究已揭示出GDPR可能损及互联网成熟业态、新兴产业和经济创新,GDPR实施后,这一预测逐渐得以证实。2018年5月以来,许多广告交易平台及其他广告发布商的欧洲广告需求量下降了25%到40%,一些美国广告发布商已暂停其欧洲网站上的所有程序化广告。另据路透社新闻研究所2018年8月发布的报告,GDPR实施后,一系列欧洲新闻网站上第三方提供内容和cookie的普及程度下降。Strand Consult的报告也认为,GDPR会对欧洲5G网络开发和服务公司的价值链产生负面影响,使欧盟在移动通信方面继续落后于美国和中国。并且,GDPR严格的数据收集和使用限制,也可能会阻碍云计算、区块链、人工智能(AI)等新兴产业的发展。 以云计算为例,GDPR不当介入到云计算客户与云服务提供商(CSP)的合同关系中,限制了双方的经营自由,云服务集成、转售业态面临着业务风险。2019年4月,欧盟数据保护委员会开始对欧盟机构与微软公司之间云服务合同的合规性进行调查,以确保后者向境外传输数据符合GDPR的要求。以AI为例,美国数据创新中心(Center for Data Innovation)2018年发布《欧盟新数据保护条例对人工智能的影响》报告,从十个方面论述了GDPR 对AI产业的负面影响。例如,GDPR第22条规定数据控制者应对特定自动化决策加以人工干预和解释的义务,在深度学习的算法架构下,这几乎是不可能完成的任务。再如,“被遗忘权”将损害破坏AI系统的完整性。最后,虽然GDPR规定了去标识化数据的例外,但并未明确去标识化的标准,在严峻的监管规则面前,这削弱了企业采取技术措施对数据去标识化的积极性,限制了数据合法使用范围。2019年5月,美国数据创新中心再次发布研究报告,指出GDPR阻碍了AI在欧洲的开发和使用,使其处于竞争劣势。为此,数据创新中心主任Daniel Castro建议:“欧盟可以对GDPR进行改革,以实现更多的数据共享和AI的使用,但不会削弱对人类尊严、合法利益和其他基本权利的保护。对GDPR有针对性的改变将使欧盟能够实现其成为算法经济领导者的愿景。” 其次,GDPR还将削弱网络安全的防护能力。GDPR极致保护个人数据的鲜明立场,迫使大量域名注册机构清除用来查询域名的IP及其所有者信息的Whois数据,致使无法及时发现恶意域名关联的账户名、电话号码、邮箱地址,亦无法即时封堵同一黑客注册的多个恶意域名,加大了制止网络钓鱼、软件勒索、版权保护及其他攻击的难度。美国商务部负责通信和信息的助理部长大卫·雷德尔(David Redl)直言:这将极大危害互联网的持续稳定性和安全性。另一方面,实时在线的安全软件以企业与用户不间断数据交换为基础:对用户而言,他们可以随时连接到企业服务器上,以便下载具有网络欺诈内容和恶意软件网站的最新黑名单列表,帮助其快速识别并清除新型木马病毒以及钓鱼、挂马的恶意网页;对企业而言,用户终端里的大量数据也会上传到云端,企业据此建立全面的软件信息数据库,发现可疑样本,并改善数据安全服务。但在GDPR之下,这种数据共享变得困难。 最后,创新依赖于好的点子与资金的结合。2018年11月,美国国家经济研究局发布GDPR对科技创业投资短期影响的报告,指出GDPR将对风险投资交易数量、交易规模以及投资总额产生显著负面影响,尤其是从天使投资转向风险资本的新兴企业可能受影响最大。根据该报告,从2017年7月至2018年9月,GDPR导致很多担心法律风险的企业宣布停止欧洲服务,造成中小企业陷入融资困境,降低欧洲市场活跃度,交易数量和私募资金数量明显下降(分别减少了17%和40%),在短期内削弱了欧盟数字经济的竞争力。 四、GDPR对中国的启示 在我国制定《个人信息保护法》的关口,GDPR不啻于一枚宝贵的他山之石。相较于欧盟,我们有着鲜明的后发优势,完全可以也应当汲取GDPR实施的经验与教训,择其善者而从之,其不善者而改之。 (一)明确《个人信息保护法》的“通用性”和“一般性” GDPR以“General”一词作为其首要限定,彰显了它的通用性与广泛适用性。质言之,无论是处理个人数据的私人组织,还是公权力机构,皆应一体遵循。这主要考虑到两者在处理个人数据之时,均要具备正当性依据,以判断处理行为合法与否。就此而言,两者对于个人所负义务并无实质差异。尤其是,伴随着政府的数字化转型,国家不再单纯以超然于企业与个人之间利益关系的治理者角色出现,而同时也是最大的个人数据处理者,理应遵循个人信息保护的通用原则。近一年来,英国税务与海关总署、比利时市长纷纷因违反GDPR而遭受处罚,显示出它的普遍强制力。 反观我国,《网络安全法》的主要规制对象和数据保护的主要义务承担者是“网络运营者”,即网络的所有者、管理者和网络服务提供者。从该法第9条“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任”的语义判断,“网络运营者”或不包括政府机关,由此可能引发的疑问是:收集大量个人信息的政府机关是否以及如何执行《网络安全法》第四章“网络信息安全”的规定?特别是第41条确定的“个人信息收集和使用的合法、正当、必要原则”。同时,能否基于第44条“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,将“网络服务提供者”的义务一体适用至政府机关?目前尚未明确。显然,这是一个法律漏洞,亟待通过《个人信息保护法》填补。 另一方面,“General”还表明GDPR作为一般法的定位。在万物皆数的大数据时代,数据已经成为企业运营的要素、市场竞争的关键、用户关切的核心、政府监管的依托、国际博弈的抓手。正是由于个人数据在经济、政治和生活中的基础地位,我国的《个人信息保护法》应借鉴GDPR,定位于个人信息保护的一般法。在此基础上,允许针对不同主体、不同事项制定因地制宜的特别法,以满足多元多层次的社会需求。以主体特别法为例,GDPR就从事预防、调查、侦查、起诉刑事犯罪或执行刑罚为目的的司法机关,明确适用刑事诉讼法等特别法。以事项特别法为例,美国在实用主义思路的指导下,树立了基于细分领域的立法模式。通过《公平信用报告法》《财务隐私法》《有线通信信息法》《健康保险携带和责任法》等法律,美国在金融、医疗、通信等不同领域制定行业个人数据保护法,辅以包括网络隐私认证、建议性行业指引等行业自律机制,形成了“部门立法+行业自律”的松散体制。 如前所述,GDPR与新兴行业的抵牾恰恰说明,我们务必摒弃“一刀切”的个人信息保护思维,而应在认真评估个人数据风险以及规制成本收益的基础上,制定AI、区块链、云计算、网络信贷等不同产业的特别规范,从而在数据保护与数据利用之间达至动态平衡。 (二)灵活解释个人信息保护中的“知情同意” 作为GDPR的基石,由信息自决权衍生出的“知情同意”原则,优先于其他所有合法数据处理事由。根据GDPR第4.11条,“同意”必须是“通过明确的主动式行为而给出的个人意愿的指示,指示应当具体、明确、在知情情况下作出”,这意味着GDPR下的“同意”限于“明示同意”。第29条工作组进一步指出:如果数据处理存在多项目的,那么每一个收集行为均应单独取得同意,反过来说,多项同意不得在接受服务之初捆绑在一起。正是基于上述规则,谷歌被重罚。 法国国家信息与自由委员会认为,谷歌没有完全让用户“知情”,它向用户提供的信息是“碎片化”的,过于分散在不同的文件中:在创建账户时会打开《隐私权政策与服务条款》,随后是通过点击文件中的链接打开《隐私权政策》和《服务条款》,而在这两份文件中又有为获得补充信息必须点击激活的按键和链接。这种“挤牙膏”式的信息设置,使得用户必须多次点击后才能获得必要信息。国家信息与自由委员会进一步指出:面对要么接受所有收集行为,要么全部拒绝的困境,用户往往缺乏真正的选择,从而欠缺了GDPR所必需的“自由意志”。然而,谷歌恰恰违背了这一点。此前默认情况下预先勾选了同意框,类似于“选择退出”而不是“选择加入”,这带来了“勾选疲劳”的危险。事实上,国家信息与自由委员会上述观点早已与之。2018年10月,其在针对法国线上广告商Vectaury作出限期整改决定时,就警告说:企业不能通过将多个用途捆绑在单个“我同意”按钮上,来获得对处理个人数据的同意。 无独有偶,在2019年初《关于开展App违法违规收集使用个人信息专项治理的公告》中,中央网信办、工业和信息化部、公安部、市场监管总局重申对App强制授权、过度索权、超范围收集个人信息的治理,要求收集个人信息时应以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权。显然,与法国相似,个人信息收集的透明度和一揽子捆绑同意亦是我国监管者关注的重点。 发现问题不难,难的是如何解决问题。在“知情同意”的架构下,最彻底的根治手段莫过于在用户首次登录之时,巨细靡遗地列出所提供的不同服务、不同产品、不同业务功能及其相关的个人信息类型,并就各服务、产品、业务的信息处理规则(包括但不限于处理目的、方式、频率、存放地域、存储期限、对外共享、转让、披露的情形)一一告知用户,同时,针对每一项服务、产品、业务,向用户提供填写、点击或勾选的途径,以便于用户主动进入或退出。然而,这样的解决方案一方面必然增加企业重新设计软件和用户界面的成本;另一方面,也必然大幅降低用户的使用体验。在以打造生态为目标的互联网上,纷繁复杂的产品、服务、功能往往关联到同一个账户。面对数以百计的勾选窗口,估计任何一个正常的用户,都会选择直接关闭页面。正是考虑到这一点,谷歌才通过一揽子的方式取得授权,而只有用户点击“更多选项”后,才能单独地选择同意接受数据处理的子项。除了给企业和用户带来不便,这样的全面披露甚至是“反人性的”。芝加哥大学教授欧姆瑞·本·沙哈尔在《过犹不及:强制披露的失败》中充分揭示了信息披露的悖论。在监管者看来,用户会感激涕零地利用披露信息进行审慎的决定,事实上,绝大多数人都是“决策厌恶”(decision averse)的:没有人愿意去做陌生而复杂的决策,他们总是希望利用更少的信息、花更少心思去做选择。所以,全面披露往往过犹不及。那么,有没有更好的方案? 一方面,可以放松“知情”的要求,经由合理设计的“明智披露”(smart disclosure),将数据控制者的“全面披露”义务,转换为“概括披露”义务。简言之,允许它们将用户首要使用目的和最主要需求的基本业务信息(包括所处理的个人信息类型及其规则),打包提供给用户。同时,这些信息应当是标准化和简明的。而针对上述“基本业务”以外的“扩展业务”,则应通过交互界面或设计向用户逐一告知并由其逐一选择同意与否。显然,基本功能的概括披露和扩展功能的详细披露,减少了信息数量,大幅降低了企业和用户的负担。 另一方面,可以放宽“同意”的解释,将“默示同意”纳入其中。尽管GDPR对“同意”做出严格限定,但GDPR第6条另外规定了“为履行合同所必要”“为履行数据控制者法定义务所必要”“为保护数据主体或其他自然人重大利益所必要”“为实施数据控制者职权之必要”“为履行涉及公共利益的职责所必要”“为追求合法利益目的所必要”等数据处理的正当性基础,以缓解“明示同意”的僵化。反观我国,在《网络安全法》下,用户同意几乎成为个人数据处理的唯一前提。若仿效GDPR对“同意”的界定,必然导致其承受不能承受之重。为此,不妨合我国《合同法》第22条,对“同意”作出更灵活、更丰富的解释,使之涵盖用户通过特定行为作出的“默示同意”。当然,这里的“行为”首先是有目的和有意义的积极行为,比如发送、点击、登录等,纯粹的不作为不构成同意。其次,蕴含于特定行为内的“内在意思”应结合交易习惯、服务类型、合同目的综合判断。为避免“默示同意”超出用户真实意思,其应限于前述“基本业务”,以反映社会一般公众的认知。 最后需要指出,“基本业务”和“扩展业务”是不断发展和相互转化的,本质上是市场竞争和当事人共同决定的结果。我们既要防范数据控制者利用自身优势,随意划定基本业务的范围,重蹈一揽子授权捆绑同意的覆辙,也要防范监管机构事前以自身标准,取代市场选择。因此,无论是国家执法机关,还是司法机关,均应采取事后的、个案式、权衡性的规制手段,从企业的市场推广、商务定位、产品名称以及一般用户的理解与期待出发,加以综合判断。 (三)重新锚定个人信息保护的制度基点 GDPR正确认识到“信任”对于数字经济的重要意义,但它却试图通过赋予个人数据的高度控制权来促进它,但结果却事倍功半,甚至是南辕北辙。其原因一言以蔽之,在个人信息上根本无法成立由个人支配和控制的绝对权利。正如德国学者多反思的,信息是人类行动的产物和前提,是现实世界的精神模式,在法律上制造个人信息的稀缺性,无疑于禁锢思想,阻吓交流,如果在个人信息上承认一种近似于所有权的支配权,其结果只能是对他人行为的支配,而不仅仅是对自己个人信息的支配。其次,在信息爆炸的数字时代,个人在事实上也不可能完全控制自己的信息。在生活中,由于缺乏资源、学习时间有限和专业知识的缺乏等因素,个人常常会以无知的状态作出决定。所以,与其说我们主张对个人信息处理拥有最终决定权,不如说追求发言权。最后,个人信息弥散在人类所有社会交往和日常交易空间,法律要根据不同的生活场景和商业领域,随物附形地予以调整。个人信息绝对化的权利定位,丧失了应有的灵活性,使得后续的权利限制和克减困难重重。 信任至关重要,但信任始终是双方的事业。GDPR试图通过“用户赋权—企业担责”的单向路径实现信任,忽略了在激烈市场竞争下用户和企业共赢的可能性。正如管理学大师德鲁克所言:“关于企业的目的,唯一正确而有效的定义就是创造客户。”获得客户的信任同样是企业念兹在兹的目标。因此,如何从正面激励企业尊重用户对个人信息的权益,将“零和博弈”转向“正和博弈”,才是《个人信息保护法》的出发点。 这一思路转换的重点在于同时承认用户和企业的利益,但企业必须将其利益的实现建立在用户利益实现的基础之上,这意味着企业应当成为用户的“受托人”(fiduciary),一个为用户利益行事,对用户负有信赖、忠实、善意以及诚实义务的人。作为一个高度灵活性的概念,信义规则(fiduciary rule)不但内在于罗马法以降的大陆法之中,而且被陆续运用到18世纪的英美代理法、合伙法和19世纪末的公司法中。20世纪以来,从“医生与病人”、“药剂师与顾客”到“银行与存款人”,再到“特许人与被特许人”、“许可(license)的授予者与受领者”,其范围不断拓展。在信息时代,包括书店、搜索引擎、电子邮件提供商、云存储服务、物理和流媒体提供商,以及在处理我们数据时的网站和社交网络,都可以成为“信息受托人”(information fiduciary)。这一观念绝非理论想象。从英国政府“数据信托”(data trust)的提出,到美国统一州法委员会《受托人访问数字资产统一法案(2015年修正)》(Revised Uniform Fiduciary Access to Digital Assets Act),相关制度实践已经浮现。 个人信息的信义规则不但能塑造个人与企业的信任,更深刻改变了他们的权利、义务和期待。作为受托人,企业对个人信息拥有开放性权力,由此从GDPR严格规范、“动辄得咎”的境地中解脱出来,得以在不侵害用户利益的前提下,最大化个人信息的价值。当然,这绝不意味着企业可以恣意妄为,通过事后责任追究而非事前行为禁止的机制,监督其勤勉、忠实地对待用户。作为委托人,用户固然失去了部分的信息控制权,但仍保留了查询、审查和撤销授权的权利。借用英国哲学家密尔的名言,“用户的确是信息的主人,但他需要一个好的仆人。”而受托人就是这样的仆人。只有在企业付出人力、物力、财力,努力记录、存储、分析、汇聚个人信息之后,个人信息才真正变为用户可感可用的资产。就此而言,用户经历了从权利到福利的提升与转变。 结语 从经合组织1980年《关于隐私保护与个人数据跨境流通指引》(the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data)到GDPR,个人信息保护制度已经走过三代。毋庸讳言,GDPR凝聚了欧盟智识、彰显出欧洲价值,其在欧盟以外的影响力亦与日俱增。但任何一部法律都是“地方性”的,总有其自身的背景、历史和关切。GDPR近一年的实践进一步证明:它在个人数据权利和数字经济发展的平衡方面并不成功。作为拥有网民最多、数字经济位居世界前列的国家,中国理应成为全球个人信息保护制度的关键塑造者。为此,我国《个人信息保护法》当以GDPR为镜鉴,以超迈他国的勇气,为数字时代贡献伟大的中国智慧。(为便于读者阅读,已略去注释。原文载于《电子知识产权》2019年第6期。本文源自微信公众号“数字经济与社会”, 从经合组织1980年《关于隐私保护与个人数据跨境流通指引》(the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data)到GDPR,个人信息保护制度已经走过三代。毋庸讳言,GDPR凝聚了欧盟智识、彰显出欧洲价值,其在欧盟以外的影响力亦与日俱增。但任何一部法律都是“地方性”的,总有其自身的背景、历史和关切。GDPR近一年的实践进一步证明:它在个人数据权利和数字经济发展的平衡方面并不成功。作为拥有网民最多、数字经济位居世界前列的国家,中国理应成为全球个人信息保护制度的关键塑造者。为此,我国《个人信息保护法》当以GDPR为镜鉴,以超迈他国的勇气,为数字时代贡献伟大的中国智慧。(为便于读者阅读,已略去注释。原文载于《电子知识产权》2019年第6期。本文源自微信公众号“数字经济与社会”,作者:对外经济贸易大学数字经济与法律创新研究中心执行主任,许可。) |
|
|
