欧盟立法者希望通过GDPR更新数据保护法律规则,来强化个人数据保护,促进欧盟地区统一的数据市场的发展。对于这样的制度设想,研究者褒贬不一。
褒扬者多从新法律规则的时代性、统一性、合理念性、可操作性等方面总体性地称赞GDPR。有研究者甚至认为,GDPR因其完善且符合时代发展的内容,生效后可能会成为国际数据隐私保护标准,成为未来主导世界数据隐私保护的国际治理模式之一[16]。还有研究者认为,GDPR或将在全球掀起新一轮个人数据保护的规制热潮,对其他国家的数据管理产生重要作用[17]。即使有研究者看到了欧盟推动高标准的法律制度会增加产业合规成本,也有可能对技术业务创新带来抑制作用这一前景,但是其仍然认为,GDPR更多的是欧盟在对信息通信技术的深刻反思的基础上,在保护公民基本权利这一理念的指引之下,对大数据时代公民基本权利与数据保护机制的自我革新与完善;更高的安全保障标准和用户信任水平,将有利于欧盟在数字经济中塑造独特的竞争优势[18]。
批评者则多从具体制度构建(尤其是GDPR在欧盟数据保护法中引入的被遗忘权、数据可携带权)的角度发难,认为GDPR的实施可能会增加企业成本,减少消费者福利[19]。
例如,有研究者指出,就被遗忘权而言,由于一个大型企业的用户信息往往分布在从营销、销售、客服乃至财务和供应链等多个系统中,甚至还会存在于一些excel文件中,一旦需要把某个用户的数据完全删除,就要依靠一套数据同步机制以确保删除没有遗漏,这是非常困难且成本高昂的操作。对于面向公众的互联网企业,这个问题就更为复杂。以新浪微博账号删除为例,尽管微博账号已经删除了,但是搜索引擎(如Google或百度)还存在着原账号的搜索镜像数据,搜索引擎是否有义务配合,把所有相关的搜索数据一并删除,法律上并不明确[20]。
又如,旧金山软件商GoodData公司安全和合规总监Toma Honzák认 为,GDPR带来的挑战之一是“数据中心可能需要建立更强大的物理安全性。……这会给数据中心运营商带来很大的压力,因为改变数据中心是一项战略和艰难的决定,但加强数据中心安全措施也可能是一项费时费力的工作。”SANS研究所的律师兼讲师Benjamin Wright表示,许多数据中心供应商并不了解适用于他们的这个法律,为此在时间和布置上没有为合规做好准备。根据调研机构Gartner公司的说法,到2018年底大多数企业在遵从GDPR方面仍不完全达标,而不合规的处罚费用是相当昂贵的,这意味着有的企业所面临的违规罚款可能会从数百万美元飙升到数十亿美元[21]。
再如,有研究者通过分析“谷歌诉西班牙数据保护局案”裁决后的事态发展,表达了对GDPR上的删除权(被遗忘权)的忧虑:2014年5月欧洲法院通过该案裁决,赋予欧洲公民要求谷歌公司在其姓名搜索结果中删除特定内容的权利后,拥有欧洲90%以上在线搜索份额的谷歌公司收到超过7万条的申请,被要求删除27.6万个网页。结果,“谷歌依法行事,组建了主要由律师助理组成的庞大审核团队,将次贷危机中的银行高管、说谎的足球裁判、骂人的律师等争议人物的负面报道链接统统删除。此举引起了欧洲媒体界的强烈反弹,人们纷纷指责律师助理组成的团队权威性不足,且赋予谷歌审核权本身对于定位于中立的搜索引擎而言很可能就是个错误”[22]。
另外,还有从言论自由等基本人权层面立论的批评者。英国学者Jeffrey Rosen即认为“被遗忘权将是网上言论自由在未来十年最大的威胁”[23]。尽管GDPR参考欧洲法院在“谷歌诉西班牙数据保护局案”中所持的应同时考虑公众查询有关信息的利益的立场,已将“行使言论自由和信息自由”等五项内容规定为不适用关于被遗忘权的规定的例外情形(详前),但仍有论者认为“这种方式虽然在哲理上讲和吸引人,但是存在模糊的问题”,并希望在未来欧盟法的条文中加以明确,以期保证法律的确定性,减少数据保护可能给言论自由带来的“寒蝉效应”[24]。事实上,由德国多名政、商、学界精英组成的社会团体于2016年12月提交欧洲议会并公布以供全欧范围内讨论的《欧盟数字基本权利宪章》(Charter of Digital Fundamental Rights of the European Union)草案中,就涉及对作为基本人权的言论自由在数字时代的大背景下的定位问题。该宪章的倡议者指出,GDPR的内容主要集中于个人数据保护领域,而面对新技术带来的伦理问题以及个人教育权、工作权等权利问题,目前仍需要进一步的关注,互联网融合了社会经济发展、公民基本权利、媒体监管政策、国际关系、贸易政策、消费者保护、反垄断、技术标准等诸多因素,更需要去寻找和达成一个高层面上价值观的共识[25]。
2018年5月25日,即GDPR完全地和直接地适用于欧盟各成员国的第一日,欧盟成员国的国内法院就开始收到以GDPR为依据的诉请。曾经在2013年起诉Facebook并最终导致美欧安全港协议无效,且于此前后在世界各地数次将Facebook拖入争讼的奥地利青年法律学者马克斯·施雷姆斯(Max Schrems)并不意外地再次选择在爱尔兰起诉Facebook和Google,指控其强迫用户同意共享个人数据,违反了GDPR关于“同意”的规定。施雷姆斯提出的三项诉请共涉及高达39亿欧元的罚款。而在几乎同时的另一起案件中,原告互联网名称与数字地址分配机构ICANN向德国波恩地方法院提出要求法院向EPAG颁布“初步禁令”的动议。该案的被告EPAG系一家德国的域名注册服务机构,与ICANN订有协议,负责帮助ICANN维护其Whois系统,用于收集域名注册的相关信息,以供查询等。然而,EPAG拒绝在2018年5月25日以后收集相关信息,理由是这样做将违背GDPR。Whois系统为全球互联网域名的重要部分,域名等关键资源关系到互联网的安全与稳定。ICANN提出动议的目的就是为了禁止EPAG拒绝根据协议收集域名注册人的个人数据。5月30日,德国波恩地方法院驳回了原告的动议。2018年6月13日原告提出上诉,目前该案上诉审仍在进行中。(www.xing528.com)
在若干欧盟成员国国内法院陆续收到以GDPR为依据的诉请的同时,一些欧盟成员国的数据执法机关也开始启动GDPR合规调查。例如,德国下萨克森州数据保护局即于2018年6月25日宣布将调查其辖区内企业的GDPR合规情况,具体方式是:在本年夏秋季节向辖区内来自不同行业的20家大型公司和30家中型公司发放并回收GDPR合规问卷,并可能选定企业做现场查问,调查内容主要包括一般准备措施、数据处理的法律依据、技术信息安全措施、数据保护影响评估、数据保护官状况、事故报告情况等,同时要求被调查公司提供隐私声明、数据处理协议和数据保护影响评估文件等。其预计将在2019年5月发布关于此次调查的“最终报告”。
此外,在一些由于GDPR文本并未明确涉及而此前没有受到研究者充分关注的领域,随着GDPR完全地和直接地适用于欧盟各成员国,相关问题也开始显露出来。
例如,关于云计算,就有研究者指出,GDPR关于数据处理者的规范,与作为互联网新生态的云计算格格不入。按照GDPR的要求,如果没有控制者授权,处理者不应聘用另一个处理者,对于涉及补充或替换其他处理者的变动,处理者都应当告知控制者,以便使控制者有机会反对此类变动。对照此种要求,目前市场上云服务的集成、转售业态都将面临业务风险,因为控制者(云客户)随时可以行使反对权。不过,也有研究者在承认GPDR对云计算生态体系带来重大影响的同时认为可以通过合规及业务调整来加以适应。在GPDR之下,作为数据处理者的云服务商和作为数据控制者的云客户之间的云服务合同中关于安全保障措施、风险管理以及服务价格都会受到影响,控制者和处理者需要重新谈判达成云服务合同,从而重建云计算生态体系。
又如,关于人工智能,有研究者指出,GDPR规定了自动决策的可解释权(The Right to Explanation of Automated Decision)——数据主体有权要求算法自动决策给出解释,有权在对算法决策不满意时选择退出,这将影响到人工智能深度学习在欧盟的合法性。美国知名智库信息技术与创新基金会(ITIF)甚至在题为《欧盟新的数据保护规定对人工智能的影响》的报告中指出,GDPR将至少在九个方面对欧洲人工智能的开发和使用产生负面影响,其中包括GDPR在自动决策的可解释权、删除权(被遗忘权)、数据可携带权、跨境数据传输以及限制数据被用于除首次收集目的外的其他目的等方面的规定所造成的影响。并且,ITIF认为,GDPR在人工智能上的限制规定对于保护消费者实际上没有任何作用,在某些情况下甚至可能损害消费者。不过,也有研究者指出,GDPR的正式条款中没有出现“自动决策可解释权”,与自动决策相关的三个条款也都没有提出自动决策可解释的要求,只是GDPR前言第71段提到数据主体对于自动化决定不满意时,可以要求人工干预,并可以表达意见,获取对相关自动化决定有关解释,而前言自身并不具有法律效力;并且,第29条工作组认为:关于自动决策,数据控制者并不必然要解释复杂的算法,只需要尽可能简单地告知用户其背后的基本逻辑或者标准即可。
再如,关于区块链,有研究者指出,GDPR的要求与区块链的核心架构背道而驰,作为对GDPR的回应,企业的IT专业人员可以采取的选择包括:没有区块链(对任何应用程序均不部署区块链);没有公共区块链(仅在内部部署区块链,形成一个封闭的联盟或社区);没有管理个人身份信息(Personal Identity Information,PII)的区块链(将区块链限制为纯粹的非PII应用,如加密货币、工业物联网以及产品、供应链和物流记录的主数据管理,PII则继续在完全独立的数据平台进行并行管理,从而使其可以被删除和更改);没有缺乏自我删除功能的PII区块链(即部署具备PII自我删除功能的区块链)。不过,也有研究者指出,尽管区块链与GDPR在底层逻辑上存在根本冲突,但区块链也是实现GDPR立法目标的一种可能技术路径,区块链技术将有利于提升人们对个人数据的控制权,用户掌握着唯一的公钥和私钥,可以更为自由地选择将个人数据在何时披露给何人。在实务中,据报道,东欧地区最大的征信机构波兰征信办与区块链技术公司Billon合作,将区块链技术用于存储客户的敏感信息并保障信息安全,该解决方案提供了全球首个符合GDPR标准的区块链平台。从报道的内容看,这一区块链平台似乎属于前述四种选择中的最后一种即“没有缺乏自我删除功能的PII区块链”。
另外,在医疗健康领域,有研究者指出,被遗忘权可能与保留患者或居民出院或死亡后的数据的法律要求相冲突;医疗保健专业人员经常使用Whatsapp等网络向对方发送患者数据,当这些信息通过网络传播时,可能意味着敏感数据在欧盟以外流转,因而违反GDPR。不过,也有研究者认为这些问题可以通过网络技术手段加以解决——Hospify公司就开发了类似Whatsapp的消息传递服务,使医疗团队能够通过基于欧盟的网络安全发送患者数据。按照该公司首席执行官James Flint的解释,“Hospify加密并传送来自端到端的文本信息,然后在72小时内从服务器中删除该信息,因此唯一的副本只会保留在相关对话或群组人员的电话中”。
应当说,褒扬者、批评者和持折中立场者的立论均有各自的基础,而不能仅仅解读为出于个人或小群体的利益考量。由于目前GDPR刚刚得到欧盟各成员国的国内法院的适用,而法律条文的适用又是行政部门和司法部门持续地对于各种不断变化着的现实利害因素进行权衡的过程,要全面评判GDPR的成就与问题,或许为时尚早。对于欧盟以外的研究者而言,似乎更有理由对各方面的意见均给予充分的关注与借鉴。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。