核心阅读
酝酿6年之久的欧盟《通用数据保护条例》(以下简称《条例》)近日正式生效。该条例被认为是欧盟有史以来最为严格的网络数据管理法规。业界普遍认为,这一法规将为未来10年全球数据保护打下基础,或将对包括互联网经济在内的社会、经济形态产生深远影响。
严格保护个人信息
1995年,欧盟通过《数据保护指令》(以下简称《指令》),第一次以立法的形式为保护成员国公民个人信息安全设定标准。随着互联网技术的高速发展,该《指令》几经修改,仍难以满足现实需求。在此背景下,2012年1月,欧盟制定了新的《条例》,并于2016年获得通过。这份长达200页、包括近百个条款的文件,要求企业在未经用户同意的情况下,不得私自处理个人隐私的数据。《条例》对个人信息的保护达到了前所未有的高度,被称为“史上最严保护法规”。
对此,欧盟委员会负责司法、消费者权益等事务的委员朱洛娃表示:“我们需要新规则来应对新风险,这是我们立法的初衷。”
欧盟委员会负责数字经济与社会事务的委员加布里尔表示:“对我们来说,保护公民个人隐私符合欧盟的核心价值,也是我们的责任,欧盟将在此方面采取更多积极主动的措施。”
新生效的《条例》内容主要有三方面特点。首先,《条例》的管辖范围大幅提升,不仅适用于设立在欧盟境内的企业,也适用于在欧盟境外从事与欧盟公民信息相关的企业。而对业务流程的限制,则覆盖了收集、记录、存储、修改、使用、传播等与个人数据有关的几乎所有环节。随着大数据的发展,用户个人信息早已超出了姓名、年龄、职业等基本内容范畴。目前企业的每个用户一般有2000个左右的参数,新规将把所有这些个人信息参数纳入保护范围。
其次,《条例》的监管水平大大增强。根据《条例》,欧盟层面须设立数据保护委员会,用于处理涉及跨成员国的企业违规案件;欧盟成员国则将分别成立数据保护局,对企业的商业行为进行监管;企业必须任命数据保护官确保企业行为合规。此外,《条例》要求企业必须向监管机构提供处理个人信息的记录,包括目的、分类、时效等,一旦发现个人数据泄露,必须在72小时内向相关机构报告。
第三,《条例》的惩罚力度空前提高。新规规定,根据企业的违规程度,最高可处以2000万欧元(1欧元约合7.5元人民币)或企业上一年度营业额4%的罚金(以金额高者为准)。
对全球数据经济影响深远
欧委会负责数字市场事务的副主席安西普曾表示,数据是欧洲经济和社会的核心。据欧委会公布的数据,预计到2020年,欧盟数据经济有望突破7000亿欧元,创造超过1000万个工作岗位,与数据业务有关的企业将达到100万家。考虑到欧洲在全球的重要地位以及《条例》本身突破地域限制的特点,其实施除在欧盟层面形成了统一的个人信息保护标准,对欧盟之外的国家和企业都将产生重大影响。
据英国电信产业咨询公司OVUM调查,2/3的欧盟以外受访企业认为,《条例》将迫使其改变欧洲业务战略。普华永道提供的报告则显示,92%的美国企业认为《条例》将成为最重要的数据保护措施。事实上,目前许多行业巨头已着手进行系统升级、修改合同等,以适应新规的要求,比如脸书公司网站就更新了该平台的隐私工具,让用户可以查看、下载或删除相关的个人信息,还采取了人脸识别技术等方式加强对信息的管理。苹果公司则对操作系统进行进一步升级,并推出了新的个人隐私应用程序。
《条例》的实施不仅对从事科技、市场调查以及数据经营等业务的企业构成影响。从制造业到服务业,从实体经济到虚拟经济,无不与数据发生着越来越密切的关系,这些领域的企业都将或多或少受到《条例》的影响。欧洲网络和信息安全联合机构负责人史蒂夫日前在接受记者采访时表示:“未来企业经营首先需要考虑的是如何与用户达成互信,而不是像以前一样怎么赚钱就怎么来。”
未来实施机遇与挑战并存
欧盟统计数据显示,2/3的欧盟公民对于在互联网世界中的个人信息安全感到担忧,近50%的人担心成为网络诈骗的受害者。《条例》实施后,获得用户同意成为企业处理个人数据的必要前提。这在很大程度上回应了人们的诉求,从根本上提升了用户在互联网中的地位和话语权。
朱洛娃表示:“近期出现的脸书数据外泄事件表明,欧盟的选择是正确的。”欧委会也表示,“统一的数据管理法规将为建立欧洲‘数字单一市场’带来更多机会,也将为商业创新带来推动力。”另据IBM商业价值研究院调查结果,用户更倾向于选择重视数据保护的公司,一旦赢得用户在安全方面的信任,用户的消费意愿将提升24%以上。
但是,企业方面的反应没有那么乐观,主要担心成本大幅提升,尤其中小企业承受的压力会更大。欧洲咨询公司“维度研究”的报告显示,为适应新规的要求,所有欧盟相关企业的运营成本共将提升2000亿欧元,而美国企业则需要多投入大约417亿欧元。美银美林集团的首席投资策略师哈特奈特表示:“行业经验证明,监管浪潮会带来投资低下的结果。”由于新规内容庞杂,且其中很多条款欧盟尚没有给出明确的解释,初期企业违规成为大概率事件。OVUM公司调查报告显示,52%的科技公司管理者预计他们会因违规而受到处罚。
除企业外,欧盟成员国政府层也未完全做好准备。据《欧洲观察家》网站报道,截至5月25日新规实施,因财政紧张、人才短缺等因素,仍有包括比利时、希腊、匈牙利等在内的8个成员国未能如期完成国内相关法律修改。朱洛娃对此表示:“这将增加新规执行的不确定性。”她称欧盟或将采取包括法律、罚款等在内的手段,向成员国施压。
史蒂夫认为:“《条例》无疑提供了一个很好的法律支持框架,但关键在于如何落实,如何将其转化为具体的可操作的流程和工具。立法的目的不是为了让律师变得更富有,而是要让人们在数字世界中获得更大利益。我们已经付出了很多努力,但未来需要做得更多。”
(本报布鲁塞尔电)
个人数据保护,“度”是个难题
姜奇平
近日,欧盟《通用数据保护条例》(以下简称《条例》)在欧盟全体成员国正式生效。这一新条例被认为是“史上最严格的个人数据保护条例”。与美国相比,欧盟在个人信息开发与保护上明显更强化保护。欧盟有舆论担心,这有利于保护个人隐私,但也可能进一步拉大欧盟与美国在互联网发展上的差距。
《条例》突出了“赋权用户”“严管企业”的原则,在受到欧盟消费者保护组织欢迎的同时,却引起互联网公司一片反对之声。进入信息时代,对于以数据为核心的个人信息采取何种政策,事关大数据、人工智能发展和数据应用走向。美国和欧盟在“赋权用户”原则上基本一致,但在其他几个关键问题上立场相左。
第一,在鼓励还是限制信息与数据发展上态度不同。美国将大数据战略作为国策,鼓励发展,而《条例》则明确提出“数据最小化”原则。这意味着在数据时代,美国将继续让数据作用最大化;而欧盟将沿着“数据最小化”方向特立独行。过去20年来,欧盟人为限制互联网发展,使其互联网世界级平台下降为零。在《条例》指导下,未来欧盟也很难发展出世界级数据平台。目前的一个现象是,欧洲的人工智能公司几乎都在发展到10亿美元规模时被巨头收购,例如英国的阿尔法狗团队被美国谷歌收购。
第二,消费者政策取向对比鲜明。美国作为互联网数据平台领先国家,采取了在个人信息开发与保护之间保持平衡的政策取向,突出个人信息、个人数据的中性色彩。而欧盟作为数据消费方,则更强调个人隐私保护。认为个人信息是中性的,则会将“赋权用户”平衡在个性化服务信息开放透明与个人隐私保护两个相反方向的中间点,由用户决定取舍;认为个人信息是负面的(例如都属于“隐私”),则会限制个性化服务信息开放透明,只强调个人数据保护。有利的是,欧盟的消费者会享受更多的数据安全,例如《条例》强化“被遗忘权”,有利于用户在网络中“隐身”;不利的是,欧盟消费者会失去较多的个性化服务机会。
第三,对企业政策取向截然不同。《条例》强调“欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律。这将对其他国家数据巨头在欧盟开展业务产生广泛影响。
总体来看,《条例》使欧洲的隐私监管机构获得了对企业处以高额罚款的权力,可能达到企业全球年度销售额的4%。未来,新规是否能与发展保持协调,值得关注。
(作者为中国社会科学院数量经济与技术经济所信息化与网络经济室主任)
