随着欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的实施,坊间言必称GDPR,不谈GDPR则看似落伍,甚至立法中引入GDPR成为一种“政治正确”,与“国际接轨”。
但我们真的搞明白GDPR了吗?笔者在这里想聊聊GDPR的一些怪现状。
(蔡雄山 腾讯研究院法律研究中心副主任,首席研究员)
一、立法庞杂,难以消化
GDPR英文原文加上序言约200页左右,一本书的分量,且欧盟为了进一步阐释GDPR,陆续颁布了一系列配套Guidance (指南),分量不小。就一个立法确立如此庞杂的体系,也创立法之最。
目前大谈GDPR大有人在,不知业内有多少人系统读过这一系列原文?整体认为,当前我们的研究和理解还是远远不够的。
二、解读众说纷纭,执法有很大不确定性
GDPR难以理解,一方面在于立法庞杂,另一方面,在于其创设了一系列新的概念及制度等,加剧了解释的困难。如被遗忘权、数据可携权等,此类权利适用的尺度及条件解读不一,增加了执法的不确定性。
笔者曾于近期作为中欧数字经济专家组成员参加了中欧数字经济专家对话,GDPR再次成为讨论焦点。当我问及欧方专家如何解释立法中的“legitimate interest”(合法利益)时,对方只能举例回答,如酒店装了摄像头,是为了安保,这就是legitimate interest,不需要取得同意。
但问题在于,现实生活复杂多变,法律解释应该有确定性,如果只能通过列举形式解释,将极大增加执法的不确定性。
无独有偶,笔者近期参加了斯坦福大学举办的一个互联网法律政策会议,期间GDPR也是讨论的焦点。
有趣的是,圆桌讨论中Google 、Facebook、Amazon 、Ebay相关负责人,以及来自爱尔兰的顶尖律所合伙人等明确表示,说实话他们也搞不明白GDPR,并认为GDPR是“Lawyer full employment law ”(大意为,“不会让律师失业的法律”)。
期间还对data processor(数据处理者) 和data controller (数据控制者)的区分进行了激烈的争论,难以达成一致。此类会议应该聚集了全球业内顶尖大咖,但感觉是大家的理解难以达成一致。
正因为如此,目前全球企业应对GDPR也有截然不同的两种反应。有的过度反应,大规模向用户发送邮件,有人说GDPR造就了人类历史上最大规模的“垃圾邮件”潮。
国外媒体报道一些企业更新的用户协议打出来可以铺满一个足球场。甚至有的企业直接关停了向欧盟用户服务的网页,即使如此也心怀忐忑,这样就符合GDPR了吗?另一类企业则无动于衷,认为GDPR和自己没啥关系,或者认为都可以用“合法利益”条款来免责。
三、影响难以评估
经常有人问起GDPR对企业的影响,但我觉得可能目前很难评估,增加企业合规成本仅仅是其中一项。主要原因在于法律解释的不确定性太大,可能走向过度反应与无动于衷两个极端,其结果自然截然不同。
国外有媒体认为,评估GDPR的影响,应该是20年后的事情。但近期一个相关例子值得一提,即GDPR实施后Icann起诉德国域名服务商EPAG。
EPAG为域名服务商,与ICann有协议负责帮后者维护其Whois系统,即收集域名注册的相关信息,以供查询等。但GDPR实施后EPAG拒绝收集相关信息,认为违背GDPR。而Whois系统为全球互联网域名的重要部分,域名等关键资源关系到互联网的安全与稳定。
目前一审法院驳回了原告的请求,上诉还在进行中。由此可见,其影响在各行各业正在显现出来,甚至影响到管理互联网关键资源的组织ICANN,而且有的甚至是根本性的。
GDPR的一些影响,我认为欧委会也并没有事先考虑到,需要随着实践发展不断评估。
四、最后,欧盟委员会真的搞明白他们在做什么了吗?
以前只是从资料及文章研究分析欧盟在互联网立法方面的保守,如欧盟对于分享经济的禁止等。近期与欧盟相关人员交流,才真正发现,他们的理念更多停留在工业时代。在此类理念的指导下,可以看出欧盟并不适合互联网企业的成长。
目前全球市值前十的公司中,基本都是中国和美国公司,没有一个来自欧盟。由于互联网企业较弱,在立法中并没有能积极反应诉求,也是导致GDPR如此严苛的一个原因。
我在中欧数字经济专家组对话中举了一个中国发展“三十年河东,三十年河西”的例子。
10多前在巴黎,我很惊讶路边的摊贩都可以有POS机,支持信用卡支付,非常先进。而10多年后,今天中国路边的摊贩卖红薯都可以用微信支付。移动支付应该是中国互联网发展的一个缩影,是我们可以弯道超车的一个例子。
我们的传统金融基础设施并没有他们做得好,但我们可以通过技术手段实现弯道超车,满足老百姓日益增长的物质文化生活需要,这也同样需要我们在制度建设方面促进创新。
如果沿用欧盟模式,片面强调监管,将遏制创新,在我国“人口多,底子薄,经济文化落后”的情况下,难以满足老百姓日益增长的物质文化生活需要。
纵观当前各国数据保护立法,欧美采纳了不同路径:统一立法与分散立法;专门监管机构与非专门监管机构;行政主导与行业自律;数据限制流动与数据自由流动;人权保障理念与消费者权益保护理念。
当前数据保护制度面临如下挑战:技术与商业模式变革,导致个人数据概念不断扩展,界限模糊;个人数据财产权性质凸显,挑战传统制度框架;国家安全价值与个人数据保护价值冲突与选择;数据跨境流动日益频繁,域外管辖情况复杂等。
回到中国数据保护制度建设,笔者认为还是要立足中国发展情况,不要盲目崇洋媚外,囫囵吞枣,而应该“取其精华,弃其糟粕”。甚至在产业高速发展、国外没有足够经验和样本可以借鉴时,需要我们自己进行制度创新。
在人工智能与大数据时代,毋庸置疑需要加强数据保护,但也应该促进创新,让制度建设成为生产力和软实力,走出适合中国发展的“第三条道路”。
五、数据保护也呼唤新的国际规则
以欧盟刚刚实施的GDPR为例,其确立了“长臂管辖”原则,即欧盟立法可以管辖欧盟之外向欧盟居民提供服务的企业。今年美国也通过了云法案,即可以通过程序调取美国境外企业的数据。
随着数据跨境流动日益频繁,各国在数据管辖方面的冲突可能体现出来。
农业时代确立了产权规则,工业时代确立了知识产权规则,人工智能时代呼唤数据规则,而当前该规则正在行成过程中,需要各国加强交流与合作,共同推进此类国际规则的形成。