2018年5月25日,歐盟委員會(huì)正式實(shí)施《一般數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱(chēng)GDPR),這部被譽(yù)為“世界最嚴(yán)”條例成為全球第一部以正式法典形式出現(xiàn)的數(shù)據(jù)保護(hù)法案!
隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)以及各種智能終端的普及,大型公司涉及數(shù)據(jù)的爭(zhēng)端愈演愈烈。2018年以來(lái),美國(guó)社交網(wǎng)絡(luò)Facebook因數(shù)據(jù)泄漏面臨自創(chuàng)建以來(lái)的最大危機(jī),創(chuàng)始人馬克·扎克伯格不僅在4月10~11日先后出席美國(guó)國(guó)會(huì)參議院和眾議院聽(tīng)證會(huì),更在5月22日前往布魯塞爾會(huì)見(jiàn)歐洲議會(huì)領(lǐng)導(dǎo)人,針對(duì)英國(guó)咨詢(xún)公司劍橋分析不當(dāng)使用Facebook數(shù)百萬(wàn)用戶(hù)數(shù)據(jù)的事情回答有關(guān)問(wèn)題。有媒體大膽預(yù)測(cè),除了2萬(wàn)億美元的罰單、英國(guó)議會(huì)的傳召,Facebook很有可能成為首家違反GDPR的企業(yè)。
在國(guó)內(nèi),2017年的順豐和菜鳥(niǎo)、華為和騰訊之間的數(shù)據(jù)爭(zhēng)端仍讓人記憶猶新。盡管最終4家企業(yè)最終合議解決了爭(zhēng)端,但由此也凸顯了中國(guó)數(shù)據(jù)保護(hù)中的法規(guī)和監(jiān)管體制的缺失問(wèn)題!
一、全球大數(shù)據(jù)產(chǎn)業(yè)規(guī)模高達(dá)千億美元
目前,中國(guó)和世界各國(guó)的大數(shù)據(jù)都處于起步階段。其中,美國(guó)、英國(guó)、法國(guó)、澳大利亞等國(guó)在大數(shù)據(jù)核心技術(shù)方面居于領(lǐng)先地位;中國(guó)則在收集端和應(yīng)用端全球領(lǐng)先,在處理端核心技術(shù)方面還有差距。全球公認(rèn)的領(lǐng)軍企業(yè)包括亞馬遜、SAP、谷歌、IBM等。
2017年,全球大數(shù)據(jù)市場(chǎng)結(jié)構(gòu)繼續(xù)向服務(wù)化轉(zhuǎn)變,同時(shí)從壟斷競(jìng)爭(zhēng)向完全競(jìng)爭(zhēng)格局演化。典型的表現(xiàn)是,企業(yè)數(shù)量迅速增多,服務(wù)的差異度增大,技術(shù)門(mén)檻逐步降低,市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈。
根據(jù)美國(guó)國(guó)際數(shù)據(jù)公司(IDC)的統(tǒng)計(jì),2017年,全球大數(shù)據(jù)產(chǎn)業(yè)市場(chǎng)規(guī)模將達(dá)1508億美元,比2016年增長(zhǎng)12.4%。其中,美國(guó)為788億美元,西歐為341億美元,二者之和占全世界市場(chǎng)規(guī)模的3/4;亞太地區(qū)(不包括日本)為128.5億美元。
在亞太地區(qū)(不包括日本),中國(guó)成為該地區(qū)在大數(shù)據(jù)和商業(yè)分析解決方案方面最大的市場(chǎng),預(yù)計(jì)2018年的支出將達(dá)到55億美元,占亞太地區(qū)(不包括日本)大數(shù)據(jù)和分析總收入的37.3%。從行業(yè)來(lái)看,電信和銀行業(yè)占據(jù)主導(dǎo)地位,2018年各項(xiàng)支出占總支出的14.6%,其次是專(zhuān)業(yè)服務(wù),占比11.9%。
二、GDPR“世界最嚴(yán)條例”
隨著數(shù)據(jù)產(chǎn)業(yè)規(guī)模的不斷擴(kuò)大,各國(guó)都在加強(qiáng)對(duì)本國(guó)數(shù)據(jù)的控制力,關(guān)注數(shù)據(jù)主權(quán)。美國(guó)、歐盟等紛紛利用技術(shù)優(yōu)勢(shì)和法律法規(guī)加強(qiáng)本國(guó)數(shù)據(jù)主權(quán)保護(hù)。作為第一部數(shù)據(jù)保護(hù)法典,GDPR要求掌握(或處理)數(shù)據(jù)的組織必須依法建立一套系統(tǒng)化的管理機(jī)制,符合GDPR條款中所要求的個(gè)人數(shù)據(jù)保護(hù)原則。
GDPR保護(hù)的隱私數(shù)據(jù)主要包括:基本的身份信息,如姓名、地址和身份證號(hào)碼等;網(wǎng)絡(luò)數(shù)據(jù),如位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等;醫(yī)療保健和遺傳數(shù)據(jù);生物識(shí)別數(shù)據(jù),如指紋、虹膜等;種族或民族數(shù)據(jù);政治觀點(diǎn);性取向。
1.監(jiān)管范圍擴(kuò)大到適用所有企業(yè)
歐盟1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》的適用范圍僅僅針對(duì)公司的成立地在歐盟,或者利用歐盟境內(nèi)的設(shè)備進(jìn)行了個(gè)人數(shù)據(jù)處理活動(dòng)(僅僅是傳輸通道除外)的公司。
但GDPR卻規(guī)定,任何存儲(chǔ)或處理歐盟國(guó)家內(nèi)有關(guān)歐盟公民個(gè)人信息的公司,即使在歐盟境內(nèi)沒(méi)有業(yè)務(wù)存在,都必須遵守GDPR。這也就意味著,GDPR新規(guī)幾乎適用于所有的公司。符合GDPR新規(guī)的公司的標(biāo)準(zhǔn)如下:
① 在歐盟境內(nèi)擁有業(yè)務(wù);
② 在歐盟境內(nèi)沒(méi)有業(yè)務(wù),但是存儲(chǔ)或處理歐盟公民的個(gè)人信息;
③ 超過(guò)250名員工;
④ 少于250名員工,但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私,或是包含某些類(lèi)型的敏感個(gè)人數(shù)據(jù)。
2.?dāng)?shù)據(jù)主體權(quán)利進(jìn)一步擴(kuò)大
GDPR對(duì)數(shù)據(jù)主體的權(quán)利規(guī)定細(xì)致入微,包括數(shù)據(jù)主體知情權(quán)、訪問(wèn)權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及數(shù)據(jù)可攜權(quán)等廣泛的數(shù)據(jù)權(quán)利和自由,同時(shí)明確了數(shù)據(jù)控制者和處理者應(yīng)盡到采取合法、公平和透明的技術(shù)和組織措施保護(hù)數(shù)據(jù)權(quán)益的法定義務(wù),以及履行對(duì)監(jiān)管部門(mén)及數(shù)據(jù)保護(hù)認(rèn)證組織的法定義務(wù)。
3.強(qiáng)化對(duì)數(shù)據(jù)企業(yè)自身監(jiān)管體制,建立問(wèn)責(zé)機(jī)制
GDPR實(shí)施一站式監(jiān)管,因此對(duì)于向歐盟不同國(guó)家提供業(yè)務(wù)的企業(yè)或者在不同國(guó)家都有設(shè)立地的企業(yè)來(lái)說(shuō),其不再需要與多個(gè)不同成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)打交道,企業(yè)主成立地所在國(guó)家的監(jiān)管機(jī)構(gòu)將作為主導(dǎo)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)的所有數(shù)據(jù)活動(dòng)負(fù)有監(jiān)管權(quán)力,其效力輻射于全歐境內(nèi),這在某種意義上也簡(jiǎn)化了跨國(guó)企業(yè)的合規(guī)程序,提升了跨國(guó)企業(yè)在數(shù)據(jù)經(jīng)濟(jì)中的創(chuàng)新能力和競(jìng)爭(zhēng)力。
4.增強(qiáng)和擴(kuò)大監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)和自由裁量權(quán)
根據(jù)GDPR新規(guī),無(wú)論是對(duì)數(shù)據(jù)違法行為及嚴(yán)重后果的認(rèn)定,還是最終罰款額度的確定,歐盟成員國(guó)的監(jiān)管機(jī)關(guān)都具有很大的自由裁量權(quán)。
監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)包括:通知數(shù)據(jù)控制者、處理者相關(guān)違反行為;要求違法者提供相關(guān)信息,或者向監(jiān)管機(jī)構(gòu)提供訪問(wèn)此類(lèi)信息的接口;現(xiàn)場(chǎng)調(diào)查、審計(jì);命令修改、刪除或者銷(xiāo)毀個(gè)人數(shù)據(jù);可以采取臨時(shí)性的或者限定性的數(shù)據(jù)處理禁令;課以罰金。
5.實(shí)施高額的罰款制度
企業(yè)一旦違反GDPR,歐盟將有權(quán)對(duì)其進(jìn)行高額罰款,罰金分為兩檔:
(1)處以1000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的2%,兩者取其高。
針對(duì)的違法行為包括:沒(méi)有實(shí)施充分的IT安全保障措施,或者沒(méi)有提供全面的透明的隱私政策,沒(méi)有簽訂書(shū)面的數(shù)據(jù)處理協(xié)議等;
(2)處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%,兩者取其高。
針對(duì)的違法行為包括:無(wú)法說(shuō)明如何獲得用戶(hù)的同意,違反數(shù)據(jù)處理的一般性原則,侵害數(shù)據(jù)主體的合法權(quán)利,以及拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等。
與其形成對(duì)比的是,如果在美國(guó)觸犯了隱私保護(hù)條例,那通常情況下罰金的大概范圍是幾十萬(wàn)到數(shù)百萬(wàn)美元。而在中國(guó),根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,侵害個(gè)人信息相關(guān)權(quán)利時(shí),對(duì)直接責(zé)任人員的罰款數(shù)額上限為10萬(wàn)元人民幣,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的罰款數(shù)額上限為100萬(wàn)元人民幣。
三、GDPR對(duì)中國(guó)企業(yè)的影響
一旦正式實(shí)施GDPR,首當(dāng)其沖受影響的中國(guó)企業(yè)涉及銀行、電子商務(wù)、互聯(lián)網(wǎng)、IT企業(yè)和軟硬件生產(chǎn)商等,尤其是大數(shù)據(jù)和云服務(wù)這兩類(lèi)企業(yè)。這些中國(guó)企業(yè)面臨3個(gè)選擇:停止向歐盟居民提供互聯(lián)網(wǎng)服務(wù)(包括免費(fèi)服務(wù));或者接到罰單后再去面對(duì);主動(dòng)完成歐盟GDPR的合規(guī)性要求。
普華永道發(fā)布的調(diào)查數(shù)據(jù)顯示,68%的美國(guó)公司預(yù)計(jì)將投入100萬(wàn)—1000萬(wàn)美元的來(lái)滿(mǎn)足GDPR的合規(guī)性要求;另有9%的企業(yè)預(yù)計(jì)將投入1000萬(wàn)美元以上。如果要想合規(guī)GDPR,中國(guó)相關(guān)企業(yè)應(yīng)關(guān)注以下幾個(gè)方面:
① 必須設(shè)立一個(gè)數(shù)據(jù)保護(hù)官(Data Protection Officer,DPO),其職責(zé)是監(jiān)管和規(guī)范數(shù)據(jù)負(fù)責(zé)人和數(shù)據(jù)處理者的數(shù)據(jù)活動(dòng);
② 需要保留用戶(hù)數(shù)據(jù)監(jiān)管信息,并定期刪除無(wú)關(guān)數(shù)據(jù);
③ 必須部署合適的工具用以保護(hù)數(shù)據(jù),以防數(shù)據(jù)丟失、損壞或泄露。當(dāng)發(fā)生任何數(shù)據(jù)泄露相關(guān)事件,數(shù)據(jù)管控者與數(shù)據(jù)處理者需要在72小時(shí)內(nèi)進(jìn)行報(bào)告;
④ 處理個(gè)人數(shù)據(jù)必須要有合法理由,包括數(shù)據(jù)主體的同意、為了簽訂或履行合同需要、遵守法定義務(wù)的需要、為公共利益或行事政府授權(quán)以及為追求數(shù)據(jù)控制者的合法利益等;
⑤ 當(dāng)用戶(hù)不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒(méi)有合法理由保存該數(shù)據(jù),用戶(hù)有權(quán)要求刪除數(shù)據(jù);
⑥ 用戶(hù)有權(quán)并可以無(wú)障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者處;
⑦ 禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康、性生活或性取向的數(shù)據(jù)。但在例外的情況下也可以收集加工以上數(shù)據(jù),如已獲得個(gè)人的明示同意,或數(shù)據(jù)控制者因處理勞動(dòng)關(guān)系、社會(huì)保險(xiǎn)之需要在法律允許的范圍內(nèi)已采取了適當(dāng)?shù)谋Wo(hù)手段等;
⑧ 處理16歲以下兒童的個(gè)人數(shù)據(jù)時(shí),必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán);
⑨ 需要實(shí)現(xiàn)數(shù)據(jù)的“缺省保護(hù)隱私”,即這種數(shù)據(jù)保護(hù)的隱私設(shè)計(jì)需要有默認(rèn)的兩個(gè)原則,一是數(shù)據(jù)采集與數(shù)據(jù)使用目的的一一對(duì)應(yīng)原則;二是數(shù)據(jù)采集的最小化原則。
四、中國(guó)數(shù)據(jù)保護(hù)機(jī)制仍然缺失
盡管我國(guó)早在2003年就提出了制定“個(gè)人數(shù)據(jù)保護(hù)法”,并制定了大數(shù)據(jù)行業(yè)規(guī)劃,但截至目前,我國(guó)在數(shù)據(jù)保護(hù)方面的法律分散且僅覆蓋少數(shù)部門(mén)。
盡管我國(guó)的相關(guān)數(shù)據(jù)立法也是構(gòu)建?在個(gè)人數(shù)據(jù)權(quán)利和自由的基礎(chǔ)上,但突出數(shù)據(jù)公共利益成為我國(guó)數(shù)據(jù)保護(hù)法的主導(dǎo)思想之一,這也是我國(guó)為何遲遲不出臺(tái)強(qiáng)制性法的原因之一。
但隨著跨國(guó)數(shù)據(jù)企業(yè)的不斷進(jìn)入中國(guó)市場(chǎng),未來(lái)谷歌、Facebook、亞馬遜等科技巨頭帶來(lái)的數(shù)據(jù)壟斷問(wèn)題將會(huì)越來(lái)越嚴(yán)峻,這些壟斷數(shù)據(jù)的跨國(guó)科技巨頭正在通過(guò)競(jìng)爭(zhēng)跨領(lǐng)域的數(shù)據(jù),從而最終形成極度中心化的商業(yè)格局。
同時(shí),隨著互聯(lián)網(wǎng)和在線(xiàn)服務(wù)的快速發(fā)展,涉及個(gè)人信息泄露、數(shù)據(jù)權(quán)屬、數(shù)據(jù)交易、數(shù)據(jù)濫用等一系列的問(wèn)題頻發(fā),數(shù)據(jù)保護(hù)業(yè)已成為信息時(shí)代的一大隱憂(yōu)。因此,盡快啟動(dòng)和構(gòu)建國(guó)內(nèi)數(shù)據(jù)保護(hù)法律體系,規(guī)范和完善數(shù)據(jù)的收集、使用、保存、復(fù)制等,已迫在眉睫!
(機(jī)工智庫(kù)研究員 裘紅萍)