「GDPR 是一部什么样的法律?它会对你的生活和科技巨头带来哪些影响?互联网隐私的标准会被它改写吗?」

特约撰稿人 张雅馨 发自布鲁塞尔

经过长时间的协商以及两年的过渡期,从2018年5月25日起,欧盟的《通用数据保护条例》(GDPR)正式生效,对于大众而言,对自己产生的数据和隐私拥会有更大的知情权和控制权,对于企业或机构而言,处理用户信息则需更加谨慎,否则可能面临巨额罚款。
经过长时间的协商以及两年的过渡期,从2018年5月25日起,欧盟的《通用数据保护条例》(GDPR)正式生效,对于大众而言,对自己产生的数据和隐私拥会有更大的知情权和控制权,对于企业或机构而言,处理用户信息则需更加谨慎,否则可能面临巨额罚款。摄:Andrey Rudakov/Bloomberg via Getty Images

如果你是互联网重度使用者,最近一定也收到了大量关于隐私政策更新的邮件。不同以往的是,这些新版隐私政策不再是充满法律术语的长篇大论,而是真正给你“赋权”:既用“人话”清楚讲明了你的数据将被如何处理,又提供了简便的退订邮件选项,甚至还提供了查询和下载自己数据的功能——让你对自己的数据和隐私拥有了更多的知情权和控制权。这些变化,当然不是因为服务商们良心发现,而是和今天生效的欧盟新法规《通用数据保护条例》(General Data Protection Regulation,以下简称 GDPR)密切相关。

在 GDPR 的新规则下,服务商们将不能再用垃圾广告塞满我们的邮箱,也不能再用冗长晦涩的用户知情同意书,获取任意收集和处理我们数据的权利。一旦违反该条例,企业可能被处以全球百分之四营业额和两千万欧元两者中,较高数额的罚款。

虽然这是一部欧盟法律,但在全球化时代,它产生的影响力绝不仅限于28个欧盟成员国。根据 GDPR,只要公司为欧盟居民提供服务,收集、持有或处理欧盟居民的数据,即便公司位于欧盟境外,也要受此条例约束。

这部有着史上最严数据隐私保护法之称的 GDPR,和以往数据保护法例相比有什么特点?它究竟赋予了你哪些具体的权利,又对服务商管理数据的权力进行了何种限制?它实施之后,将如何影响现在的科技巨头,尤其是中国的互联网企业?长远来看,它由能否成为大数据时代,隐私新标准的引领者?本文将为你一一解析。

和以前的隐私保护法相比,GDPR 有哪些特点?

GDPR 的首要特点,就是上文提到的“域外适用性”(extra-territorial applicability)。它适用于任何采集、持有和处理欧盟居民数据,或为欧盟居民提供服务、监测欧盟居民行为的个人和机构,即使公司处于欧盟境外。也就是说,无论是 Google、Facebook、腾讯、阿里巴巴等全球性科技巨头,还是普通的中小企业,只要你持有的数据来自欧盟成员国居民,你管理和处理数据的行为,都在 GDPR 的管辖权内。

GDPR 所指的数据,包括所有能识别数据主体(data subject)的信息(personal identifiable data),如姓名、照片、地址、邮箱地址、银行账户信息、IP 地址等。它还特别规定种族、性取向、政治观点、宗教信仰、工会会员身份、基因信息、健康信息为敏感信息(sensitive data),一般不允许被处理,除非是在数据主体公开了该数据、给予了明确同意、符合法律规定且基于公共利益、公共健康、社会保护的情况下。

GDPR 的首要特点是“域外适用性”(extra-territorial applicability),即该条例适用于任何采集、持有和处理欧盟居民数据,或为欧盟居民提供服务、监测欧盟居民行为的个人和机构,即使公司处于欧盟境外,都会受到 GDPR 的约束。

GDPR 的首要特点是“域外适用性”(extra-territorial applicability),即该条例适用于任何采集、持有和处理欧盟居民数据,或为欧盟居民提供服务、监测欧盟居民行为的个人和机构,即使公司处于欧盟境外,都会受到 GDPR 的约束。摄:David Ramos/Getty Images

其次,GDPR 既适用于数据管理者(data controller,即决定数据处理数据的目的、情况和方式的机构和个人),也适用于数据处理者(data processor,即代数据管理者处理数据的机构和个人)。

具体来说,处理、收集和分析数据的公司大都为数据管理者,而数据处理者则是相对容易被遗漏的部分,因为 GDPR 所指的处理数据,包括收集、记录、组织、构架、储存、改编、检索、查询、使用、传播等等,例如云服务(Cloud Service)、客户关系管理(CRM),群发邮件工具(Maichinmp)、监控系统等等。如果某公司使用客户关系管理软件储存客户信息、用群发邮件工具发送促销邮件,那么该公司即为数据管理者,而软件服务商则为数据处理者。

GDPR 还对两种涉及到大规模、重要数据的情况作出了额外规定。第一种情况是,在系统性评估个人数据、持有大规模敏感数据和大规模监测数据的情况下,例如个人信用数据、医院患者健康数据、公共交通工具的摄像监控等,必须执行数据保护影响测评(Data Protection Impact Assessment);第二种情况是,公共机构和大规模系统性监控或处理“敏感个人信息”的机构,必须任命专门的数据保护官(Data Protection Officer)直接向管理层汇报,并在数据保护主管部门登记联系方式。

而对用户来说,GDPR 带来的最直接影响,就是自己的权利被大大增强。用户在提供个人信息时,必须被准确告知处理信息的公司、处理目的、信息类别、法律依据、储存时间、可能会获取该信息的第三方、该信息是否会被转移到欧盟以外等信息。而当用户就自身权利提出诉求时,数据管理者应当在一个月内给予答复。

GDPR 赋予用户的主要权利有:

“获取权”(right to access):用户有权获取自己的数据,和数据被处理的情况与目的。而数据管理者必须向用户免费提供该用户所有数据的电子稿。因此,Facebook 和 Google 等企业,最近已经提供了让用户下载全部个人数据的功能。

“被遗忘权”(right to be forgotten)或“数据清除权”(Data Erasure):用户可以要求数据管理者清除或停止传播数据。

但是,这一权利需要和公共利益及相关法律进行权衡。早在 GDPR 问世前,被遗忘权诉讼已经在欧洲出现。2014年,欧盟最高法院就曾判决 Google 西班牙分公司删除由第三方发布、不再有效的个人信息。(详细案情见报导《大数据权利之争:对不起,你的数据属于你,但我们有权使用》

值得一提的是,围绕“被遗忘权”的争议也随着 GDPR 更加激烈。斯坦福大学教授、前 Google 法律顾问 Daphne Keller 就曾撰文表示,科技平台可能会出于避免陷入法律纠纷的谨慎态度,过分接受利益相关方的诉求,甚至删除网络上真实有效的评论和任何有争议的内容,最终限制了网络上的言论自由。

“拒绝自动处理”:用户可以要求自己的数据被自然人而非电脑处理。例如,用户申请银行贷款时,用户可以要求自然人而非算法进行审核。

“转移权”(Data Portability):用户可以要求数据管理者将自己的数据,通过“常用和机器可阅读的形式”转移给另一个数据管理者。例如,当用户希望更换社交媒体平台时,原服务商应当将该用户的全部数据(例如歌单、日志等)转移给新的服务商。

“反对权”(right to object):用户可以拒绝自己的数据被收集和处理,特别是数据管理者基于“合理权益”(见下文)而持有和处理数据的情况。

“使用限制权”(right to restrict):用户可以限制数据被处理的方式和目的,特别是在数据准确性不明、用户尚不希望清除数据、数据原定适用范围失效但尚未被删除、和用户行使反对权的要求尚在处理中的时候。

“更正权”(right to rectify):用户可以要求数据管理者更正不准确和不完整的数据。

“泄漏告示”(breach notification):如果数据发生泄露,数据管理者应在72小时内向相关部门汇报,不得无理由拖延。

Facebook的CEO扎克伯格在美国国会质询时,也表示会按照 GDPR 的要求,平等对待所有用户。但是据卫报报导,Facebook已经把一千多万北美用户的数据从爱尔兰总部转移到了加州总部,以避免受到欧盟法律的监管。

GDPR 即将生效时,正好赶上了 Facebook 的剑桥分析(Cambridge Analytica)丑闻。摄:Tom Williams/CQ Roll Call

而对于企业最直接的影响是,GDPR 要求数据管理者和处理者的行为必须具备法律依据(legal ground)。

我们最为熟悉的法律依据,当然是用户“知情同意”(consent)。根据 GDPR 的规定,用户同意必须在自由、完全知情、充分了解目的后,通过清楚和直白的语言给予同意。所以,从前长达几十页的“用户协议”,将无法构成 GDPR 所要求的知情同意。并且,用户必须主动做出选择,即主动勾选或填写表格,例如在注册时,服务商用灰色打勾默认的“同意”,将不再具有法律效力。

此外,基于“知情同意”收集和处理数据时,行为不得超出用户给予同意时给出的具体目的和范围。例如,若果用户同意获取促销信息,公司将不得随意发送其他内容的邮件。而且,用户必须能够随时随地撤回同意,也就是便捷地退订邮件或取消服务。

其他法律依据,还包括相对好理解的“合同必要性”、“重大利益”、“公共利益”和“法定义务”。“合同必要性”是指用户和数据控制者或持有者之间的合同要求。例如网店持有用户的地址和手机号码,用于寄送商品;“重大利益”是指保护用户的生命安全的操作。如医院在必要时,可不经同意收集和处理病人的信息,以便实施治疗;“公共利益”是指欧盟或成员国法律要求、维护公共利益所需要的数据,例如税务、犯罪数据、医生和律师的从业许可等;“法定义务”则是根据欧盟或成员国法律要求,而持有的数据信息,如公司因为社保要求而持有的员工信息。

除了以上几个特点,GDPR 最为重要的是贯彻了“从设计开始保护隐私”(data protection by design)和“默认保护隐私”(data protection by default)的理念

也就是说,数据管理者和处理者在其工作机制时,必须尽可能地保护用户权利,在默认的设置中做到限制数据滥用,而不是要求用户主动关闭相关选项。具体来说,数据管理和处理必须合法、透明、目的明确、只收集必要的数据(即最简化,data minimisation),并限制数据储存时间。它们还必须保证数据的安全,利用适当的科技手段做好加密,保留处理记录,并防范入侵、丢失、损坏等情况。

上述的原则和许多科技公司实际运作方法恰恰相反。比如 Facebook 和 Google 这一类公司,本身的商业模式就建立在获取用户数据、进行分析并获取广告收入,而 Uber 、Airbnb 这一类公司,也必须依靠收集和分析用户数据才能服务体验优化。对于以盈利为目的的公司,数据最大化才是最符合它们商业利益的做法。

那么,既然 GDPR 的立法精神和规定,都与公司的商业利益存在冲突,这部新法规到底会对企业产生怎样的影响呢?

早在 GDPR 问世前,被遗忘权诉讼已经在欧洲出现。2014年,欧盟最高法院就曾判决 Google 西班牙分公司删除由第三方发布、不再有效的个人信息。

GDPR 的立法精神和规定与科技巨头的商业利益存在冲突。摄:Leon Neal/Getty Images

GDPR 将会给互联网企业带来哪些影响?

GDPR 的前身《数据保护指导条例》(Data Protection Directive)颁布于1995年,当时就是一部领先世界的数据保护法。但是指导条例(Directive)仅为欧盟成员国设下目标,而各国可以根据情况制定相关法律。相比之下, GDPR 作为法规(Regulation),是适用于欧盟全境的强制性法律,统一了欧盟各成员国对数据保护法律要求。

GDPR 即将生效时,正好赶上了 Facebook 剑桥分析(Cambridge Analytica)丑闻。由于剑桥分析窃取了5000 万 Facebook 用户数据,并用于提供政治宣传服务,民意质疑的不仅是 Facebook 没有尽到保护用户数据的责任,更是互联网服务商持有并分析大量用户数据,而从中盈利的行为并没有充分告知用户,也没有受到充分的法律监管。在用户认识、企业责任和监管缺位三重缺位的情况下,某些利益群体甚至别国政府,都可能通过精准投放的社交媒体广告,对美国总统大选或者英国脱欧公投这样的重大民主政治决策,产生难以明确估计的影响。

围绕着剑桥分析丑闻,数据保护和用户隐私权成为了当下最热门的话题,Facebook 和谷歌等硅谷科技巨头,也不得不格外谨慎地遵守这一新条例。除了收到大量精心撰写的数据授权请求外,现在用户可以 Facebook 的账户设置和谷歌的用户活动记录处,下载自己的全部数据,还可以关闭谷歌的“搜索活动”和 YouTube “浏览历史”功能。另外,据媒体报导,Facebook 此前在得知剑桥分析窃取数据的情况下并没有公开消息,但按照 GDPR 的要求,它将有义务即时、主动向主管部门报告数据泄漏的情况。

按照 GDPR 所要求的标准,互联网公司除了更新用户协议和重新要求授权外,可能还会彻底改变其收集和处理数据的模式。例如,由于 GDPR 将政治倾向和宗教信仰等信息被列为“敏感信息”,针对特定群体的分析和精准投放行为可能会受到很大影响,甚至有分析预测,今后 Facebook 可能会提供按月收费的无广告版本。

同时,企业还要付出大量的合规成本,聘请专业的法律和合规人才,辨别数据类型,制定数据处理规则,指定数据保护官,进行数据影响评估等。企业还必须在收到用户的数据权利请求时(见上文),及时合法地做出回复。如果出现大量用户要求获取或转移数据的情况,企业将会面临巨大的技术和资源压力。如果企业和用户或者鼓吹隐私权的非营利组织产生纠纷,还要准备好承担舆论的压力,指定危机公关预案,应对来自监管部门的调查,并承担相应的诉讼和赔偿成本等。

更重要的是,受到 GDPR 影响得远不只是科技巨头,任何持有或处理个人数据的公司一旦违规,都将面临高达两千万欧元或4%全球营业额的罚款。银行、酒店、保险、医院,公共交通运营商等等,都需要深入分析自身持有和处理数据的情况,做好合规工作。但比起拥有专业法律顾问、政策分析师和合规人员的大型跨国企业和科技巨头,这些中小企业理解和应对新法规的能力都较为有限,也难以承担诉讼和罚款成本,却同样面临着相关的法律风险。

2018年4月,部分QQ国际版用户收到通知称,QQ国际版将暂停在欧洲运营。尽管腾讯公司随即声明服务不会下线,但是腾讯将会如何更新用户协议和数据管理方式还未见报导。

2018年4月,部分QQ国际版用户收到通知称,QQ国际版将暂停在欧洲运营。尽管腾讯公司随即声明服务不会下线,但是腾讯将会如何更新用户协议和数据管理方式还未见报导。摄: Thomas Trutschel/Photothek via Getty Images

对于中国企业来说,不仅要注意到 GDPR 本身的域外适用性,还要考虑该法规对数据从欧盟向第三国转移的专门规定。根据规定,当数据从欧盟转移到没有“提供充分数据保护”的第三方国家,数据管理者必须采取恰当的保护措施,包括签订相关的数据保护协议等。

目前,欧盟委员会已经将加拿大、以色列、新西兰等国家列为“提供充分数据保护”的国家,并正在和韩国、日本进行商谈。根据金融时报报导,欧盟甚至有可能在未来的贸易协议中,把数据保护法列入不可妥协的基本个人隐私权,也就是说,限制欧盟与和个人隐私不受保护的国家签订贸易协议。

今年4月,部分 QQ 国际版用户收到通知称,QQ 国际版将暂停在欧洲运营。尽管腾讯公司随即声明服务不会下线,但是腾讯究竟将如何应对,至今还未见腾讯有公开说明。正如上文所说,除了科技企业,通过淘宝海外购向欧洲客户出售产品的网店、向欧盟居民提供金融服务的银行、为欧洲企业提供服务或是有其他贸易往来的国内公司,也都可能落入 GDPR 的监管范围内。故而,GDPR 给中国企业带来的合规性问题,与欧盟企业并无本质差异。

GDPR 将会怎样推动数据保护和隐私权发展?

除了目前看到的这些影响外,GDPR 作为一部影响范围极大又领先世界的数据保护法,极有可能成为未来全球各国数据保护和隐私权定义的重要参考标准。

欧盟委员会通讯局局长 Roberto Viola 在采访中表示,如果欧洲能发展一个稳定、透明、由人民控制、尊重人民未来的道德框架,世界其他地区也可能会紧跟欧洲的脚步。

但由于欧盟法律对全球企业的直接作用,和对全球未来立法起到的重要影响,一些美国企业也增加了在欧盟的游说与合规支出。2016年,Google 公布的游说欧盟机构支出约为500万欧元,位居所有企业之首;同年,Facebook 的游说支出约为100万欧元,次年则增加到了约200万欧元。除此以外,这些企业还加入了各类协会,如美欧贸易协会(Am Cham EU),商业欧洲(Business Europe),数字欧洲(Digital Europe)等,还聘请了多家咨询公司和律师事务所,进行政策游说和合规操作。

有分析称,严格的数据保护可能会限制机器学习和AI的发展,相比较监管环境更为严格的欧洲,中国和美国的企业将更容易获取和处理大量数据,从而在相关行业上取得显著优势。

有分析称,严格的数据保护可能会限制机器学习和AI的发展,相比较监管环境更为严格的欧洲,中国和美国的企业将更容易获取和处理大量数据,从而在相关行业上取得显著优势。摄:Zhang Peng/LightRocket via Getty Images

对于大多数中国企业来说,被用户诉诸欧盟监管机构或法庭的风险还没有到迫在眉睫的程度。但是在全球化高速发展的今天,每天都有大量数据在欧盟和中国之间流动,积极理解、适应甚至参与欧盟的决策过程,将是中国企业不可忽视的重要任务。

此外,还有分析称,严格的数据保护可能会限制机器学习和 AI 的发展,例如人工智能的处理方法能否符合 GDPR 公开处理过程的要求,机器学习所使用的数据如何计算储存时间等问题,在技术和法律上尚有争议。相比较监管环境更为严格的欧洲,中国和美国的企业可能更容易获取和处理大量数据,从而在相关行业上取得显著优势。

与之对应的是,欧盟委员会4月25日发布的 AI 战略(Communications Artificial Intelligence for Europe)宣布,2020年前,欧盟将在 AI 研发中投资15亿欧元,并通过公私伙伴关系(public-private partnership)吸引25亿欧元投资。该战略还列明,欧盟保证 AI 发展和应用的同时,必须尊重“欧盟的价值观、基本权利,和透明、负责任的道德准则”,并希望欧盟在全球舞台上领导这一议题。

结语

一方面,GDPR 在欧盟内统一了数据和隐私保护的法律要求,使得欧盟内的数据流动更加透明、统一,甚至还推动了全球数据保护和隐私权的发展。但另一方面,GDPR 也增加了收集、转移、处理数据的难度,给相关科技和服务带来了诸多限制。未来的数据保护将何去何从,高度监管的欧盟市场究竟是会落后于野蛮发展的自由市场,还是会给企业和社会提供更加公正透明的发展环境,仍是未知之数。实际上,由于 GDPR 的管辖范围之大、执行难度之高,其最终的实施情况,还要经过长期的探索实践和判例完善,才能真正落地生根。

近期关于剑桥分析事件的讨论,已经显示出技术发展正在倒逼立法机构和公民社会对数据保护和隐私权提起重视。数据保护问题已经深入到了各行各业,也早已跨越了国境,世界范围内监管合作和协调管理将成为新的趋势。不过,这还有太多立法的空白,需要在技术、法律、政治和公民社会等各方通力合作,才能在鼓励技术发展和保护用户权利之间找到适当平衡。GDPR 是欧盟在该领域的一个重要尝试,而随着技术的发展,相关领域在未来的立法、监管、执行以及全球合作,都还有相当长的路要走。