中国企业必须在数据传输、存储、加工的各个环节提供充分保障,否则将随时面临在欧盟境内被起诉或的法律风险。
被称为史上最严的个人信息保——欧盟《一般数据条例》(PR)终于来了。但如果只将其视为在信息科技迅速发展背景下,欧盟对欧洲人格和人格的重申,未免小觑了它的意义。任何立法都不尽然是由推动,其背后往往有着更大现实考量。正如PR第1条“主旨与目标”中“不得以自然人个人数据处理为由,或个人数据在欧盟的流动”所表明的,欧盟绝非仅仅高举数据基本大旗的至上主义者,相反,它深知个人数据对于数字经济的关键作用。因而,透过数字经济的棱镜,我们或许可以认识到PR的另一面。
2016年,二十国集团(G20)在中国杭州发布《G20数字经济发展与合作》,首次将“数字经济”列为G20创新增长蓝图中的重要议题。作为继农业经济、工业经济之后的一种新的经济社会发展形态,数字经济早已超出信息产业的藩篱,成为推动各领域数字转型,实现价值增值和效率提升的推动力。有鉴于此,无论是发达国家,还是发展中国家,均把数字经济转型视为重大的优先政策。然而,在数字经济的世界版图上,的发展并不均衡。中国信通院《G20国家数字经济发展研究报告(2017)》显示:2016年,美国数字经济规模达到10.8 万亿美元,界上遥遥领先;中国以3.4 万亿美元的总量位居第二,日本、和英国分列第三至五位,其平均规模约为中国的一半。
中美两国在这波数字经济浪潮中的领先地位在科技企业的市值上得到鲜明体现。2017年,全球市值前十的公司中有七家科技企业,其中,美国五家:苹果、微软、谷歌、Facebook、亚马逊,中国两家:阿里巴巴和腾讯。这一局势在各个细分领域更加显著。联合国《2017世界投资报告——投资与数字经济》(World Investment Report 2017—Investment and the Digital Economy Report)梳理了网络平台、数字化解决方案、电子商务、数字内容、IT、电信设施等主要数字经济领域,发现全球的领导者或跟随者基本被中美两国的企业占据。
事实上,欧盟很早就意识到数字经济的来临。早在1996年,为了激励数据产业的发展,欧盟理事会就签署了《关于数据库的法律的指令》,在全球首次赋予那些不受著作权法但又有实质性投资的数据库以特殊 (sui generis right protection)。但由于法律本身的模糊,该指令并未让欧盟数据产业蓬勃兴起,甚至于到了2004年,欧盟数据产业的发展已经回落到1996年的水平。
在这一形势下,2015年,欧盟发布“欧洲单一数字市场战略”,以期在确保货物、人员、服务、资本、数据流动的前提下,个人和企业均能在公平竞争的条件下无缝访问和在线活动,从而促进欧盟数字经济发展并确保欧洲在全球数字经济中的地位。欧盟认识到,作为这一战略的三大支柱,数字生产要素流动、基础设施建构和公共服务保障均不可或缺。因此,欧盟在PR之外,另外打出一套组合拳,从2017年《关于非个人数据流动框架的提案》到2018年4月的《关于修订公共部门信息再利用指令的提案》《修订2012年访问和保存科学信息的》《基于公共利益由私营部门向公共部门分享数据的指导意见》,欧盟展示了建立数字单一市场的雄心。正如因此,个人数据问题并非一个事件,它被统摄于欧盟数字经济的宏观架构中,共同服务于欧盟谋求数字经济地位的总体布局。
PR有着双重效果:它一方面通过统一的个人数据立法和“一站式”执法,推动欧盟内部市场的一体化;另一方面通过域外效力搅动欧盟外的全球市场。就后者来说,欧盟实际上是利用PR,向中美两国企业和开出了一道难以回答的选择题:要么让企业操作规程或国内法与PR保持一致,要么被5亿富有消费者的市场排除在外。
PR域外效力的落实有赖于三大杀器。首先是“性管辖”,即PR以欧盟内自然人利益为旨,不论数据控制者或处理者在欧盟之内还是欧盟之外,也不论处理行为是在欧盟之内还是之外发生,均适用欧盟法律。管辖是PR对1995年欧盟《第95/46/EC号个人在数据处理和自动移动中的指令》(“95指令”)的主要调整之一,它突破了传统的“属地管辖”和“属人管辖”原则,大大拓展了欧盟的管辖范围。事实上,在PR实施之前,欧盟已经在2014年Google Spain 诉AEPD及Mario Costeja案中表明了这一立场。在该案中,欧洲法院判定:即使个人数据的处理操作是谷歌公司在欧盟以外进行的,但由于谷歌母公司的经营活动与西班牙子公司的推广销售密不可分,谷歌仍然落入“95指令”的效力范围。
第二个武器是“数据跨境流动管控”。与欧洲单一数字市场战略强制要求数据在欧盟内流动不同,PR以一章的篇幅对数据向欧盟外流动严加。一般而言,欧盟境内的个人数据只允许流入欧盟认为能够提供“充分”或“适当保障措施”的第三国。这里的“充分性”标准包括该国的个人数据整体水平、数据流动现状,以及与欧盟的、贸易关系、的价值观和目标等。目前来看,日本最有希望成为获得欧盟“充分性认定”的首个亚洲国家,而中国的可能性几乎为零。因此,对于中国企业而言,只有通过“有约束力公司规则”(Binding Corporate Rules)或“标准合同条款”(Standard Contractual Clauses)等“适当保障措施”的途径,实现数据跨境传输。在此情形下,中国企业必须在数据传输、存储、加工的各个环节提供充分保障,否则将随时面临在欧盟境内被起诉或的法律风险。
最后,无责任的法律,就如无牙齿的老虎。要想达到真正的威慑,PR必须备有强力的处罚措施。对于违反PR的行为,PR设定了两档罚则:就违反隐计以及默认隐私、没有实施充分的IT安全保障措施、违反数据泄露通知要求等行为,处以1000万欧元或者上一年度全球营收的2%(以较高者为准);就违反数据处理原则、数据处理没有基础、违法同意要求、侵害数据主体的等行为,处以2000万欧元或者企业上一年度全球营业收入的4%(以较高者为准)。显而易见,对于中美大型跨国公司,与全球营收挂钩的处罚称得上一刀见血。
随PR而来的,首先当然是企业合规成本的飙升。Paul Hastings律师事务所调查了100家富时350指数公司和100家世界500强企业的总法律顾问和首席安全官,发现富时350指数公司平均将为PR增加43万英镑的支出,而世界500强企业更高达100万美元。受影响的不只是大企业。虽然PR第30条第5款对雇员人数少于250人的企业或组织,给予了特别义务豁免,但其豁免的范围有限,同时了诸如“可能给数据主体的或带来风险”等模糊的豁免条件,小企业仍将面临非常不确定的执法,由此它们可能不得不费时费力,像大企业一样承担义务,这削弱了小企业豁免的立能并于初创公司的发展。
对于人工智能产业,《终极算法》作者大学教授 Pedro Domingos在今年年初称:自 5 月 25 日起,欧盟将会要求所有算释其输出原理,这意味着深度学习即将非法。虽然有学者认为这一说法系对PR的误读,但PR所要求的算法透明和负责及其导致的数据类型和数量下降,必将是人工智能必须面对的挑战。对于区块链产业,其不可性与PR赋予个人的更正权、删除权、被遗忘权直接冲突,多点记账和多方共识的设定使得每个节点都将承担苛刻的数据控制者义务,而这完全是不可能完成的任务。对于科技金融产业,正如经济学家Jentzsch之前的研究所发现的,以金融隐私指数(Financial Privacy Index)为指标,美国的个人数据弱于欧盟,但美国的信贷获取比例高于欧盟。RP的实施将进一步加剧个人获得信贷的难度。德勤会计师事务所估计:PR将令消费信贷下降19%,给P造成每年830亿欧元的损失并引发140万人失业。对于“行为定向广告”(online behavioral advertising )行业,由于在PR下,用户的IP地址、Cookies和设备ID等个人数据的处理变得更加困难,利用个人数据进行营销的成本上升,整个产业将32亿欧元的收入。根据德勤会计事务所的整体评估,仅就直销、广告、网页分析、信贷等四大产业来说,PR将直接或间接地导致1730亿欧元的P损失以及280万元的就业损失。
容易想见,凭借PR的三种武器,这些不利经济后果中很大一部分将由欧盟外的数字经济大国负担。事实上,其后果已显露端倪。在PR生效的第一天,谷歌和Facebook便因在分享用户数据方面涉嫌违规而面临诉讼,可能遭受总额分别为37亿欧元和39亿欧元的罚款。互联网女王Mary Meeker在最新的互联网趋势报告中也说,PR对个人数据的管理权和控制权必将给创新带来阻碍。在此背景下,中国更应、全面地认识PR的意图和影响,一方面要保持数字经济优位的制度定力,不因PR是世界个人信息的最新潮流而率尔,另一方面要严肃慎重地对待欧盟执法,通过国际磋商和谈判,化解和PR的冲突,进而帮助中国企业在合理范围内遵守PR,实现企业发展和个人信息的平衡。
本文由悠悠游戏 (www.youycu456.com)整理发布