以欧盟GDPR为镜 在个人信息保护上走中国自己的路

5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称《条例》)正式生效实施。相比以往的相关法律规定,《条例》一是通过强化企业的义务使个人能够更好地行使知情权、访问权、反对权等《指令》已规定的权利。二是增加了数据可携带权、被遗忘权等两个新权利。三是在属地管辖的基础上兼采属人管辖,凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的,都将受到《条例》的管辖。四是统一确立并细化了一些具体制度,使《条例》可以直接作为企业和个人遵守的规范。

在大数据时代来临之际,《条例》尊重个人隐私权利的大方向,是值得肯定的。但在具体的条款设定上,《条例》也有一些值得商榷的地方,成为各方关注的热点。

首先是《条例》把数据保护与基本人权和自由联系在一起:将个人数据等同为隐私予以保护、把对个人数据的控制权视为基本人权,是否涉及道义立场虚高。实际上,并非所有的个人数据都与人格自由直接相关,个人数据也不等同于法律上的隐私。在个人数据,有一部分是需要严格保密的,控制该类个人数据的传播和利用才有助于主体的人格和尊严。除此之外的个人数据,正常开发和利用本身并不会导致主体的利益受损,控制或者开发利用这部分数据本身与基本人权无关,也与人格自由发展无涉。

其次是极端个人主义本位可能有碍社会经济发展。数据能够高效、自由的流动是大数据产业发展的基础。个人数据如果要充分发挥其价值,就必须让其自由流动。《条例》以个人对其数据的控制权为宗旨,轻视产业利益,并为此对企业苛以严格合规义务,对违规者施以严苛处罚。这样势必会使数据的自由流动受到不当的限制,还会导致企业减少对创新的投资,最终不利于产业和经济的发展,欧盟网络经济落后于中美的现实也印证了这种判断。

第三是技术上有过时之嫌。《条例》立法的核心是如何保障个人“有效”控制其数据,立法的基本原则源于上世纪六、七十年代的美国公平信息实践原则(Fair Information Practice Principles)。在那个时代,只有银行、电信、保险公司等少数机构拥有大型计算机,才能够收集、加工、处理个人数据,公平信息实践原则所体现的个人信息控制权在技术上是可以实现的。但在网络无处不在、无时不有的今天,只要上网,收集、加工、处理、分享和利用个人数据就在所难免,加上传统纸质信息数字化、网络化后,我们很难知道何时、何地、何人收集、加工、存储了我们的哪些数据。因此,《条例》因循守旧,沿袭公平信息实践原则的做法,在技术上已经过时了,其立法宗旨很难实现。

四是实施效果可能有悖于立法初衷。个人数据面临的威胁主要来黑客攻击,而非持有这些数据的企业。为保护数据免受网络攻击,《条例》的做法是处罚遭到攻击的企业,而非攻击者。为保障主体的删除权得以实现,《条例》要求企业都必须将消费者的详细记录保存三年,以备消费者在决定撤回许可、行使删除权时,可以得到有关验证。这样也为黑客获取这些数据提供了条件,最终的结果很可能与立法目的背道而驰。

在各国全面发展数字经济的年代,个人数据的保护和开发利用不仅攸关个人利益,还关乎产业发展、公共利益和国家利益。因此,有关个人数据法律制度的构建应该树立利益平衡的指导思想,综合处理好不同主体的合理利益诉求,做好个人利益保护和个人数据合理利用的平衡。

对于中国来说,GDPR的实施既是一种指引,更是一面镜子。我们要既避免照搬照抄其中的条款,也要从中吸取有益的经验和教训。在理论和立法上不妄自菲薄、崇欧媚欧,而是以自信的心态,走出一条符合时代背景的中国道路。在个人信息立法上,合理区分个人信息、个人数据和个人隐私。应该坚持利益平衡的指导思想,树立正确的隐私观,把重点和核心放在防治对个人信息(个人数据)的滥用问题上,制定一部个人信息(数据)滥用防治法。

About the Author

发表评论