個人數(shù)據(jù)隱私保護(hù)更全、更嚴(yán)

銀昕

2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）（下稱“《條例》”）將正式生效，這也是歐盟1995年《個人數(shù)據(jù)保護(hù)指令》（下稱“《指令》”）生效以來頒布的又一項數(shù)據(jù)保護(hù)措施。

GDPR因何而生？

“在歐盟境內(nèi)開展數(shù)據(jù)服務(wù)的企業(yè)目前一般在隱私政策透明度、獲得用戶同意的方式以及數(shù)據(jù)共享方面相對不規(guī)范?！敝袊嗣翊髮W(xué)金融科技與互聯(lián)網(wǎng)安全研究中心主任楊東告訴《中國經(jīng)濟(jì)周刊》記者，鑒于不少企業(yè)在隱私政策中對個人信息收集設(shè)定霸王條款、一攬子協(xié)議，在收集個人敏感信息時未能提醒收集的用途和必要性，在獲得用戶同意的方式上采用被動接受方式或默認(rèn)同意方式，而未給予用戶充分的選擇權(quán)等做法，因此許多歐盟數(shù)據(jù)企業(yè)的做法需要改變。

據(jù)悉，此次立法的主旨之一，便是結(jié)束1995年《指令》頒布以來各成員國之間的數(shù)據(jù)保護(hù)法律制度差異問題，《條例》的統(tǒng)一規(guī)定將直接適用于各成員國。 “《條例》對各成員國直接生效，轉(zhuǎn)化為其國內(nèi)法?！睏顤|說，但與《指令》相比，《條例》的強(qiáng)制性較大，“從某種意義上講《指令》不具有直接生效的權(quán)力，因為考慮到各成員國法律傳統(tǒng)的不同，還是賦予各成員國在轉(zhuǎn)化為國內(nèi)法方面以一定的選擇權(quán)?！?h3>GDPR嚴(yán)在哪兒？

與1995年頒布的《指令》相比，《條例》頒布在數(shù)字經(jīng)濟(jì)高度發(fā)達(dá)的2018年，《指令》的很多概念和保護(hù)的范圍在《條例》中被擴(kuò)大和細(xì)化了。

首先是適用范圍的擴(kuò)大?！稐l例》規(guī)定接受管轄的主體，除歐盟境內(nèi)的數(shù)據(jù)控制者和數(shù)據(jù)處理者外，歐盟境外的數(shù)據(jù)控制者和處理者，只要其數(shù)據(jù)處理活動向歐盟境內(nèi)的個體提供商品或服務(wù)，或涉及到監(jiān)測歐盟境內(nèi)主體活動的，一概都是被管轄者。相較而言，《指令》的適用范圍則簡單地取決于屬地因素，要么機(jī)構(gòu)的成立地在歐盟，要么利用了歐盟境內(nèi)的設(shè)備進(jìn)行了個人數(shù)據(jù)的處理活動。

23年前的《指令》對用戶數(shù)據(jù)的定義僅有登錄名、密碼和購物記錄等幾個項目，《條例》則將受保護(hù)的個人信息范圍大大延伸至：基本身份信息（姓名、地址、ID號碼等），網(wǎng)絡(luò)數(shù)據(jù)（位置、IP地址等），醫(yī)療保健和遺傳數(shù)據(jù)，生物識別數(shù)據(jù)（指紋、虹膜等），種族數(shù)據(jù)，政治觀點以及性取向等。

其次，《條例》賦予了《指令》之外更多的個體權(quán)利。比如，保障個人對其數(shù)據(jù)的“訪問權(quán)”“限制處理權(quán)”與“拒絕權(quán)”。數(shù)據(jù)主體有權(quán)獲得其數(shù)據(jù)處理與否及其處理目的、分類、存儲的方式，并有權(quán)要求糾正以及限制數(shù)據(jù)的處理行為，在市場營銷以及部分科學(xué)研究與統(tǒng)計活動中，數(shù)據(jù)主體有權(quán)拒絕有關(guān)其個人的數(shù)據(jù)處理。

不僅如此，數(shù)據(jù)主體還有權(quán)就其被收集處理的個人數(shù)據(jù)獲得對應(yīng)的副本，并可以在技術(shù)可行時直接要求控制者將這些個人數(shù)據(jù)傳輸給另一管理者或管理機(jī)構(gòu)，以及可以隨時撤回同意的權(quán)利。

此外，《條例》對何謂有效的“個人同意”做了更嚴(yán)格的要求：個人沉默、預(yù)先勾選和靜止?fàn)顟B(tài)不足以認(rèn)定個人表達(dá)了“同意”。

GDPR 要求公司在收集和使用個人數(shù)據(jù)前必須向用戶明確告知數(shù)據(jù)的收集和使用方法，并且需要在獲得用戶明確同意后才可以進(jìn)行。這里的明確同意指的就是不可以和用戶協(xié)議捆綁，必須要在網(wǎng)站或應(yīng)用內(nèi)專門說明，并獲取用戶同意，同時可以隨時便捷地取消和管理。

跨國公司該怎么辦？

對跨國公司而言，最引人注意的是《條例》對歐盟境外數(shù)據(jù)控制方和處理方的境外管轄權(quán)。

對此，楊東告訴《中國經(jīng)濟(jì)周刊》記者：“《條例》采用的域外管轄接近于‘效果原則（當(dāng)公司在境外的行為對境內(nèi)產(chǎn)生了‘效果時就行使對其的管轄權(quán)），確實是跨國公司開展業(yè)務(wù)不得不重點關(guān)注的重要法律文件?！比绱艘粊?，總部不在歐盟成員國境內(nèi)，但在歐盟開展數(shù)據(jù)業(yè)務(wù)，收集并服務(wù)于歐盟成員國個體的跨國公司在《條例》生效后將面臨極大考驗。

除跨境管轄外，《條例》令全球震動的另一個原因是其嚴(yán)厲的處罰措施，即若違反規(guī)定，企業(yè)會面臨高額經(jīng)濟(jì)處罰，在2000萬歐元或全球總營業(yè)收入4%二者中取最高值作為罰金。

假設(shè)以微軟為例，其2017財年總營收為899.5億美元，占其4%的35.98億美元高于2000萬歐元（約合2367萬美元），則35.98億美元就是微軟在其2018財年年報尚未發(fā)布時違規(guī)的罰金數(shù)額。

此外，與我國今年5月1日正式實施的《個人信息安全規(guī)范》中，要求規(guī)模超過200人的、業(yè)務(wù)涉及用戶個人信息的企業(yè)建立專門負(fù)責(zé)個人信息安全保護(hù)的部門以及設(shè)立專門的負(fù)責(zé)人的規(guī)定相似，《條例》要求相關(guān)數(shù)據(jù)管理的機(jī)構(gòu)、企業(yè)任命一名數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO），監(jiān)督數(shù)據(jù)處理的活動，推出各項措施來確保不會違反GDPR。

對不久前臉書與劍橋分析發(fā)生的數(shù)據(jù)丑聞事件，《條例》在也有涉及。楊東告訴《中國經(jīng)濟(jì)周刊》記者：“臉書與劍橋分析觸碰的兩個問題是數(shù)據(jù)共享與數(shù)據(jù)泄露通知制度。在數(shù)據(jù)共享方面，《條例》要求企業(yè)與服務(wù)提供商共享數(shù)據(jù)時需簽訂數(shù)據(jù)處理協(xié)議，與歐盟境外的公司共享數(shù)據(jù)時還需要提供數(shù)據(jù)傳輸方案;在數(shù)據(jù)泄露通知方面，數(shù)據(jù)控制者應(yīng)當(dāng)在發(fā)現(xiàn)該情形后的72小時內(nèi)告知監(jiān)管機(jī)構(gòu)，如果可能危及個人的權(quán)利和自由，則需通知數(shù)據(jù)主體，如果數(shù)據(jù)控制方和處理方切實遵守上述規(guī)定，對解決不當(dāng)處理用戶信息的問題將有所幫助?！?/p>

有分析認(rèn)為，隨著我國對外開放程度不斷擴(kuò)大，企業(yè)在歐盟的業(yè)務(wù)日益擴(kuò)大，特別是銀行、電子商務(wù)、互聯(lián)網(wǎng)等企業(yè)均涉及個人信息獲取和處理，勢必會成為《條例》的規(guī)制對象。如果想繼續(xù)在歐盟開展上述業(yè)務(wù)，對《條例》的研究和應(yīng)對至關(guān)重要。

楊東表示，在具體的司法實踐當(dāng)中，跨國企業(yè)在歐盟境內(nèi)的海外業(yè)務(wù)會受到《條例》何種程度的規(guī)制，對其未來是否有足夠動力開發(fā)歐洲市場具有重大意義。

以華為公司為例，根據(jù)市場研究公司Canalys的報告，2018年第一季度華為智能手機(jī)產(chǎn)品在歐洲市場上的銷量同比增長38.6%，達(dá)到740萬部?！叭A為的業(yè)務(wù)肯定是要受《條例》的監(jiān)管的，因為每一部手機(jī)背后都與云服務(wù)相連，都會涉及到數(shù)據(jù)處理的行為。”通信行業(yè)觀察家項立剛告訴《中國經(jīng)濟(jì)周刊》記者，華為為歐盟國家提供云服務(wù)的數(shù)據(jù)中心就建在歐盟境內(nèi)，從這一點來說并不適用于跨屬地管理的原則，而是毫無疑問會受《條例》的管轄。