文章来源:http://www.cqlsw.net/news/overseas/2021052537025.html
核心提示:本文试从GDPR三周年来出现的现实问题以及立法理念出发,对比观察我国包括《个人信息保护法》在内的立法动向,与大家一同探讨个人信息保护的核心价值与监管技术。
当格林尼治的时针指向2021年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)生效实施就已正式届满三周年。回顾这三年,在欧洲数据保护委员会(European Data Protection Board, “EDPB”)以及各成员国数据保护机构的共同努力下,欧盟司法辖区内的个人数据保护法律框架已渐趋成熟,并以一个统一体的姿态更加自信地向“数字主权”和“数字单一市场”的重要立法目标迈进。[1]三年来多个国家参考借鉴GDPR的立法技术,但更值得重视的是GDPR背后蕴含的个人信息保护理念和价值倾向可能将更为深刻地影响全球数字时代的发展与监管方向。
在地球的另一端,我国个人信息保护立法顶层设计步稳蹄疾,将在不久后尘埃落定。[2]北京时间2021年4月28日,《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“《个人信息保护法》二审稿”)在中国人大网全文发布并公开向社会征询意见。[3]在历史与现实的交汇点上,我们不禁思考:应当如何站在全球数字经济发展的视角看待个人信息保护立法与执法的走向?在数字化尚未完全落地,智能化提前进场的复杂经济和社会变革阶段,个人信息中蕴含的人格权益与商业价值应当如何在法律规范的下取得精妙的平衡?企业又该如何自如地应对其中潜在的挑战,化风险为动力、趁势而上挖掘数据价值把握竞争优势?
本文试从GDPR三周年来出现的现实问题以及立法理念出发,对比观察我国包括《个人信息保护法》在内的立法动向,与大家一同探讨个人信息保护的核心价值与监管技术。
欧盟GDPR立法者一样十分关心这部个人数据保护统一立法在实际运行中的效果与问题,注重来自行业上下和欧盟内外如何看待这部法律的声音与意见。
GDPR生效两周年时即经历了首次内部评估。2020年6月欧盟委员会正式发布了官方报告(中文译名大致为《保护数据作为增强公民权利以及实现欧盟数字化转型的基础——GDPR生效实施两年》)。[4]而就在三个月前,欧洲议会又高票通过了《欧盟委员会关于GDPR实施两年后执行情况的评价报告》。在该份报告“一般性意见(General Observations)”章节中,欧洲议会认为GDPR总体上是成功的,并且同意欧盟委员会的观点,认为现阶段尚无更新或再度审查GDPR的必要。[5]由此可见,GDPR在个人数据保护领域内所发挥的作用和价值,获得了以考察人权状况为主的欧盟唯一直选议会机构的认可。在GDPR生效实施三周年之际,官方的立场已经鲜明地高度赞同了GDPR在个人数据权利保护的法律价值与实际影响力。
可以预见的是,个人数据得到更高层级保护时,其几乎必然会影响当前数据经济产业的发展。GDPR自诞生以来一直备受产业争议,尤其是批评GDPR的强监管态势和严格的惩罚性举措可能极大地阻碍世界互联网的进步与发展等。[6]相关意见尤见于原先采取另一种个人数据保护模式的美国产业研究机构或者专家观点。美国国家经济研究局2018年公开发表《GDPR对科技创业投资的短期影响》一文,从经济学视角对GDPR给欧洲科技行业带来的负面影响进行了实证分析[7];而在GDPR实施一周年之际,美国智库——信息技术和创新基金会(Information Technology and Innovation Foundation, ITIF)发布了《GDPR实施一年以来的影响》报告,并在报告中通过调研数据指出GDPR立法“损害了欧洲科技创业公司,降低了数字广告行业的竞争力”。[8]
然而,考虑到美国相关产业秉持数据自由流通价值至上倾向,我们需要更为客观和历史的眼光来看待GDPR的实施效果。不可否认个人数据保护立法对于依赖于数据生产要素的数据经济发展造成阻碍。但同时我们需要思考基于个人数据“滥用”发展的数据经济是不是“空中楼阁”。一旦个人数据滥用造成的社会影响超过数据经济发展的价值,理论上将不得不对已经发展到一定阶段的商业模式“拨乱反正”,纠正成本将大大增加。此外,GDPR的立法思路已经被多国借鉴,必将影响全球企业的数据保护以及数据利用的方式,其意义之一在于输出相对通用的标准。在全球数据保护基本规则和监管工具趋同的前提下,欧洲企业关于个人数据保护的“先行先试”至少将使得欧洲企业在未来“绿色”数字经济发展中占据“道德高地”以及“先发优势”。
因此我们不排除当前欧洲数据经济发展的滞塞仅仅是数字化与智能化产业合规发展成熟必经的“阵痛期”,我们仍然相信只有在法律框架约束下有序、自由的数字服务市场,才能够在尊重数据主体基本权益的前提下,更好地创造社会财富,形成真实、稳定与可持续的产业竞争力,我们也期待《个人信息保护法》正式生效后,国内企业的合规努力不仅将进一步推动中国数字经济的发展,也会增加企业和国家的国际竞争力。
GDPR执法状况成为目前欧盟数据保护领域内的主要关切。归总来看,执法工作质量参差不齐、行政处罚案件与投诉的跟进不力、采取措施的反应时限与执法周期过长,以及执法机构的能力建设相较落后等问题,成为困扰欧盟GDPR实施效果的关键矛盾。
此前,部分欧盟成员国家(如奥地利、保加利亚)提出GDPR设置的过低投诉门槛和大量重复投诉严重妨碍了监管部门的正常运作,强大的数据主体权利也给执法带来了巨大现实压力。[9]而根据上述提及的官方报告,目前有至少21个欧盟成员国的数据保护监管部门明确表示缺乏充足的人力、技术和财政支持以完全实现GDPR的各项监管权力与职责。一系列数据与摆在欧盟面前的实际问题,均体现出了个人数据保护执法能力保障的必要性和重要性。
相对应地,我国在个人信息保护过程中也高度重视执法落实的问题。《个人信息保护法》 二审稿针对第61条进行了部分修订,明确了网信部门在部分规则与标准领域的制定工作中的统筹地位、工作职责。在GDPR的经验引鉴之下,明确个人信息保护机构及其职责,专门从事个人信息保护的日常监督、管理、执法、评估等工作,并定期对我国个人信息保护状况进行汇总并向公众通告[10],有助于提升个人信息保护的法律贯彻执行力度,已成为实践中我国秉持的一项常态化工作内容。
此外,随着大数据、神经网络、机器学习等技术的飞速发展,如何穿透数据及新型技术的迷雾,有效地监管新型业态,将成为所有监管机构亟需解决的难题。因此我们理解,重视执法专业团队组建与技术能力建设的同时,可能需要在必要时引入外部独立机构的能力支持,动员社会力量,一方面避免因资源保障不到位而可能导致被动局面,另一方面也防止僵化执法以实质性阻碍新型业态的发展。
(三) 有效执行对大型数字平台和综合性公司、数字服务的数据合规监管
欧盟在对GDPR进行内部评估的过程中,充分关注到了综合性大型数字服务平台的个人数据监管问题,尤其是针对在线广告、精准定位、算法自动化决策与用户画像、内容推荐等互联网技术与商业营销手段的使用方式问题上。就GDPR条文本身而言,其分别在第21条和第22条以赋予数据主体拒绝权的方式,应对可能因直接营销(direct marketing)以及自动化识别分析(profiling)等带来的潜在不利影响与危害。但在评估中欧盟认为仍需要通过更为有效地执行相关制度和规则,以进一步落实对大型数字平台、综合性公司以及采纳相关技术提供数字服务的市场主体的监管。
此外,2020年底,欧盟委员会发布《数字服务法》(Digital Services Act)和《数字市场法》(Digital Markets Act),两部法律分别从互联网服务和市场竞争两个维度,对欧盟境内或者向欧盟提供的互联网服务进行了重点规制。“社会和经济的加速数字化创造了这样的现实,即一些大型平台控制着数字经济中的重要生态系统。他们成为了数字市场中的守门员,并具备了担任私主体规则制定者的能力。”[11]因此,《数字服务法》中定义了月活用户超过4500万的“超大型平台”的更高法律义务,如内容审查、报告审计和透明度等;《数字市场法》中还要求满足“守门人”(Gatekeeper)条件的大型平台企业向用户开放数据的权限等额外责任。[12]
在法律层面强化大型平台数据保护法律义务也成为了我国《个人信息保护法》二审稿中的一大备受关注的亮点。二审稿中新增的第57条为“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”增加了如“独立审计”和“发布社会责任报告”等强制性义务。虽然目前尚无相关配套法规与规范性文件说明该条所约束的具体适用主体和对象,但可以预见的是,为了防范平台型企业利用其双边市场地位下传导效应可能形成的垄断倾向[13],并滥用这种由数据和技术竞争力和供需市场关系中的信息对称差产生的优势地位,法律从个人信息保护的立场出发,进一步作出数据处理、共享的限制,强调数据主体的合法权益乃是未来趋势。而对于掌握数据资源和市场优势地位的平台型企业而言,提前做好数据合规准备、不断提高数据处理的透明度和算法合规性,才是正视数据合规与执法挑战的明智之举。
在《个人信息保护法》二审稿中,还有一点值得数据保护领域人士关注,即新增由超大型平台成立由外部成员组成的独立机构对个人信息处理活动监督的相关规定。尽管目前对于如何组建外部成员组成的独立机构还尚未有任何的指引文件,但利用独立机构监督管理在其他法域并不少见,比如反垄断执法领域中存在多年的“监督受托人”机制,就是平衡监管者、监管对象和独立监督机构关系的成功先例。
(四) 宽严相济:关注中小企业豁免与市场竞争利益失衡问题
GDPR并不是一部仅仅保护个人数据的法律,且与市场竞争有着不可分割的关系。已有研究揭示,随着GDPR的出台,在许多网络技术市场上占主导地位的公司——谷歌公司的市场份额增加了,而所有其他提供网络技术的公司要么没有被观察到市场份额的变化,要么遭受了损失。“监管隐私会对市场结构和竞争产生意想不到的后果——网络技术市场集度的提高,可能是GDPR后果中一种意料之外但有不可避免的现象。”[14]此外,以免费互联网模式最主要的创收来源——广告投放行业的调查结果为例:GDPR实行后,谷歌及Facebook等大平台的竞争力增强。谷歌及Facebook控制着3/4的数字广告开支,拥有大量资金和研发能力,于是很早就开始着手应对GDPR和提前采取合规措施,广告主们倾向于相信其能力而乐意在其平台上投放广告,以确保互联网广告投放的合规性与安全性。[15]
在数字市场领域内的客观竞争现状,也可能带来对众多中小平台的打击效应。由此,这一点也理所当然地联系到了GDPR实施效果中的另一个关键问题——对中小企业的特殊豁免政策尚未得到完全落实。例如,荷兰监管机构在执法实践发现:即使最小规模的企业,也普遍采用了软件的方式来收集处理相关数据。德国指出,对于其核心业务并不是数据处理活动的中小企业、协会等机构,应简化GDPR中规定的数据处理记录、设立数据保护官(DPO)等义务。这一建议的基本考虑是这么一种事实,即在欧洲99%以上的企业是中小型企业(员工少于250人的企业)。[16]
由上可见,GDPR在实施过程中显露出对中小企业的合规责任过分苛责,导致影响市场创新活力的现实问题。在市场经济自由配置市场资源,尤其是配置互联网生产力资源的同时,大力支持中小企业发展,将更有利于体现市场竞争的公平性,促进数字服务市场健康持续发展,警惕一项立法可能在客观上人为制造的“马太效应”。
因此,在基本的个人信息保护法律原则和规则框架内,适度考虑对不同份额和技术特征的数字服务市场主体进行差异化监管,或许是我们能从GDPR生效三周年获得的启发。从个人数据安全所可能导致的实质威胁角度而言,区分非数据驱动型企业的数据保护义务和以大数据、自动化算法技术等为核心竞争力的市场主体的数据合规监管重点或是处罚门槛,或许可以进一步符合个人信息保护立法的价值取向。此外,对于同在数字服务市场范围内的数据处理者而言,根据数据保护影响评估的客观结果,尽可能避免一刀切的隐私监管政策而可能形成的非公平的数字服务市场竞争秩序。
(一) 国家层面积极立法,回应监管工具输出与“长臂管辖”效应
在全球个人数据保护法律框架体系内,由于GDPR被认为是全球性隐私监管的最高标准与准则,故而成为了欧盟向其他国家或者地区输出的数据合规监管工具。在这个由GDPR提供的监管工具箱内,包括数据处理合法性(第6条)、数据处理协议DPA(第28条)、数据保护影响评估DPIA(第35条)、数据保护官制度(第37-39条)以及数据跨境传输机制(第5章)等均成为监管机构的具体执法手段。
上述执法工具箱加之GDPR的域外适用效力,对全球范围内的个人和企业都形成了实实在在的“长臂管辖”效应。GDPR第3条以及EDPB相对应发布的《域外适用指南》[17]都对其域外适用的对象与范围进行了相应的解释与界定。归总而言,满足“设立商业实体”(establishment)或者“针对性提供服务”(targeting)等相关要求,欧盟境内外从事个人数据处理活动的相应主体均有可能成为其管制的具体对象。在“数据隐私作为一项基本人权不受时空地域限制”的法理念支撑下,凭借GDPR强大的域外管辖法律效力,欧盟数据保护主管机构天然地被授予了一项可以实际行使“长臂管辖”的权力,但毋庸置疑对全球数字服务市场内的隐私监管、商业战略设计与执行产生了本质影响。
就本文观察来看,已有的相关研究[18]以网站的Cookie设置为主要观察对象,GDPR的生效实施影响了全球范围内设立于欧盟境内外网站引入第三方技术服务商提供数据合作的数量和意愿,在为境内外客户提供日常数据合规服务的过程中,我们也存在一个非常直观和鲜明的感受:以全球化经营为长期战略愿景的公司一般会倾向于选择提前将GDPR规则作为前置性合规要求,无论其业务是否已经实质或者潜在地落入了GDPR的管辖。尽管由此造成了合规资源的浪费和合规成本的不合理增加,但简言之,欧盟通过单方面的数据隐私监管法规和执法动作,充分发挥了其在全世界范围内针对个人数据处理企业和个人法律监管的外部性。
因此,在个人数据保护法律中,目前国际通行的法律规则似乎始终在宣示“效果原则应当成为属地原则的补充、扩大法律域外效力”成为普遍共识。[19]回观近期公布的《个人信息保护法》二审稿,在适用范围条款上保持了此前草案一审稿的做法,以约束境内个人信息处理活动为主,但保留了必要的域外适用管辖接口和空间。我国《个人信息保护法》二审稿第3条规定了三种发生在境外处理个人信息的活动也接受本法管辖的具体情况,分别为“以向境内自然人提供产品或者服务为目的”“分析、评估境内自然人的行为”以及“法律、行政法规规定的其他情形”。相比于GDPR广泛的域外适用和难以清晰界定的现状来看,我国法律更为清楚明确地以“主观意图”和“行为效果”作为主要判断标准,在考虑实际执行可能性的基础上相应扩大了域外适用范围。尤其是“主观意图”的标准,正好切中了此前GDPR评估中“针对性”标准过于广泛所带来的执法难以落地的实际问题,即只要向欧盟境内提供服务的客观性满足,忽视了提供服务的主观性要求,使得一些偶发性的个人数据处理活动也被纳入了不合理的监管范畴,影响了执法的落地执行力。
总体而言,为了防范个人数据域外监管可能带来的不利影响,主动保护境内自然人或者企业在参与全球化数据竞争合作中的合法利益,我国个人信息保护立法以更为主动的姿态,在GDPR的基础上进一步完善个人信息保护的域外适用规则,是在国家总体安全观战略定位下兼顾数据安全与流动、强化数据主权与执法效力的积极回应。
(二) 企业层面提升合规,注重全球化数字经营战略部署
可以预见,当GDPR成为具有国际示范乃至通行效力的监管工具输出至其他国家和地区,以及凭借其广泛的域外适用效力,致力于出海提供互联网信息服务的全球化公司不仅需要适应和满足基本的数据合规要求,还应当在GDPR规则下积极探索有利于展开全球化合规经营的市场战略模式。
对于这一点而言,由于欧盟GDPR生效实施三周年过程中,欧盟境内各国数据保护机构曾作出了不少处罚案例,其中对于谷歌、Facebook等巨头互联网企业的关注和处罚事实,也引发了不少对个人数据保护规则有效运用和风险应对的积极启示。其中较为具有代表性的就是谷歌公司就“一站式机制”的管辖异议诉法国数据保护机构(CNIL)案件。[20]该案中谷歌公司因涉嫌缺乏数据处理透明度而受到CNIL的行政处罚。但该案被人们关心的重点问题是,谷歌公司以其欧洲主要实体(main establishment)设置在爱尔兰,而要求上诉法院(法国最高行政法院,the Council of State)审查CNIL是否具有管辖权。该案涉及了GDPR下对各国数据保护机构监管一致性机制——“一站式机制” [21](one stop shop mechanism)的解释问题。最终法院经审查认为,由于谷歌公司爱尔兰欧洲总部事实上并无对其他子公司的控制和决定权,因此导致谷歌公司不被认为在欧盟境内设立了主要实体,CNIL不受限于“一站式机制”反而基于域外管辖效力享有对谷歌公司的行政处罚权。
上述案件一锤落音后,我们理解欧盟数据保护机构对于GDPR的域外适用以及何为境内设立主要实体的认定遵从于实质且动态的过程。从事后角度来看,给予出海企业涉及欧盟地区的全球化运营思路的启发至少有两点:其一,明确欧盟境内主要实体并赋予其符合GDPR下认定主要实体的商业决策权,主要是个人数据的处理决定和对欧盟境内其他关联主体的控制权;其二,注重GDPR域外管辖的兜底效力,尤其是在企业不被认定为在欧盟境内设立主要实体的情形之下,广泛的“针对性提供服务”(targeting)标准就将成为口袋执法工具“粉墨登场”,成为企业全球化运营数据合规的主要风险。而这对于此前出海企业习惯性的离岸远程运营开展全球化数字服务的商业模式而言,显然已经不足以规避GDPR所必然可以实现长臂管辖的具体情形。为了避免由于长臂管辖带来的境内外法义务冲突问题,企业进行必要的数据隔离与架构独立,一定意义上或将成为应对与化解风险的可行路径。
(一) 多样化提供个人信息处理合法性依据,灵活满足现实需要
在GDPR生效实施的第二个年头,便遇到了来自COVID-19的严峻挑战。这一场突发性公共卫生事件中,GDPR所内含的个人数据保护与基于公共利益需要而产生的数据处理目的产生了极为激烈的价值碰撞,也因此不断考验着欧盟个人数据保护法律的韧性和灵活度。
归结起来,现实的困难主要来源于GDPR个人数据处理的合法性依据规定过窄,即GDPR以“数据主体同意”为主要的合法性依据而建构,个别例外规定都难以作为在疫情中强制获取个人数据的合法性依据。2020年4月8日,欧盟委员会发布《关于新冠疫情中利用移动数据和应用官方建议》[22],并于4月17日进一步发布配套的《支持抗击新冠疫情的APP的数据保护指引》[23],准备和使用统一的移动应用程序、政府主动介入参与以解决个人数据处理的安全性忧虑;此外,EDPB主席也通过发布官方声明[24],表示GDPR已经为COVID-19下官方机构处理个人数据提供了依据,并不妨碍个人数据保护规则的执行。但事实上,各国公民对公共卫生事件带来的隐私保护冲击敏感性不同,尤其是在公共利益与个人隐私之间的平衡度把握上存在较大差异,导致欧盟内部数据保护的执法步调、举措等都难以协调一致。
鉴于GDPR存在的客观反映,这一场全球性的突发公共卫生事件,一定程度上也对国内个人信息保护立法产生了实际影响。《个人信息保护法》二审稿延续了此前草案一审稿的规定,更新了《网络安全法》下仅将“个人信息主体同意”作为合法性基础的做法,在第13条中新增了新的合法性依据,尤其是“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”明确作为其中的一项情形。此外,草案二审稿为了与此前《民法典》相关规定保持一致,此次修改补充了“依照本法规定在合理的范围内处理已公开的个人信息”这一合法性依据。我们认为,不再拘泥于“告知-同意”这一过于单纯或理想化的框架设计隐私监管规则,而是更加服从于个人信息保护立法落地的实际需要,并且参考“风险控制路径”[25]、强调评估个人信息保护风险的方式,也是从这场对于全人类而言的灾难中所可能参透的一点教训。
(二) 主动应对数据主权浪潮,完善跨境提供规则,寻求国际协作
2020年内,影响GDPR在全球范围内的规则运行的第二个重要事件便是欧盟法院对欧盟-美国“隐私盾协议”无效的宣告。这是继2015年以来法院第二次推翻欧美之间数据传输及使用协议。[26]但在无效宣告中,欧盟法院仍然维持并确认了GDPR规则下标准合同条款(Standard Contractual Clauses, SCCs)的有效性。“隐私盾协议”被宣告无效,再度触碰了欧盟和美国两个司法辖区下不同的个人数据保护立法价值观念。但尽管如此,正因为此前由于白名单国家范围过小、数据跨境传输成本过高而导致全球性数据交换成本居高问题,招致了包括德国、比利时等在内的成员国的批评。[27]欧盟仍在积极认定数据跨境传输与流动的白名单国家,最近的消息表明,韩国或将成为欧盟认定下的“充分性保护水平”国家。[28]
事实上,在经济全球化、网络化的时代,个人数据的跨境流通不可避免。GDPR严格限定充分性保护水平国家以及跨境传输规则的使用,一定意义上意味着对未来国际经济树立了一道无形的法律屏障,成为今后国际贸易摩擦和谈判的重要内容。[29]面对愈发明显的数据主权全球化浪潮,对于境内的个人信息保护而言,在确保数据主权的前提下,通过降低企业数据跨境可能的规则执行成本,使得个人数据在合适、必要和充分安全的环境中得到流动成为今后立法与执法的主要目标。《个人信息保护法》二审稿第38条:通过新增国家网信部制定标准合同,一方面降低企业在数据跨境时支出的额外合规成本,另一方面以保持相对安全的数据跨境传输协议控制水平,体现着立法者达成上述目标的努力。
此外,我们认为不能想当然地将《个人信息保护法》二审稿中第1条中删去“保障个人信息依法有序自由流动”的条文改变,解读为立法已经持有否定数据跨境传输的基本态度。相反,我们同时也要注意到,草案二审稿对一审稿的第12条进行了沿用和保留,将“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认”作为总则章节下的一项原则加以规定,以体现出个人信息跨境安全流动的法律价值取向。
GDPR生效实施的三年来,欧盟进一步加强个人数据权利作为一项基本人权的保护。我们也逐步认识到,在本文谈及的诸多个人信息保护规则上与GDPR存在的客观差距,究其根本都来源于其背后的立法价值理念的根本差异。由于人类正在依赖高速发展的互联网和人工智能技术,加速向下一个智能化的人类纪元迈进,这种根源于立法价值取向的不同,形成了如今基于个人数据而生长、丰富和成熟的产业模式的巨变与割裂。而如何继续维持互联网设计之初的“全球互联互通”愿景,成为各国在个人数据保护立法和隐私监管政策的出台制定时所必须严肃正视的问题。
欧盟向来将个人数据受法律保护作为一项基本人权加以规定,由此才有了GDPR作为全球最高个人数据合规最高要求和标准的法理基础。[30]根据《欧盟基本权利宪章》(EU Chapter of Fundamental Rights)第8条、以及作为《里斯本条约》(Lisbon Treaty)一部分的《欧盟运行条约》(Treaty on the Functioning of the European Union)第16条,个人信息保护权是欧盟公民的一项宪法性权利。[31]基于此,我们才不难以理解GDPR项下为个人数据控制者和处理者所附加的严格义务。
但客观上而言,个人数据主体过度和无限制的绝对权和控制权,对于法律天平另一端的依赖个人数据分析挖掘的产业利益,就将形成更为现实的打击。不断强化的个人数据主体基于其个人数据所掌握或享有的权利,必然将导致数字服务市场主体基于生存压力而主动寻求商业模式的转变。而最先体现出这种改变的消极效应,应该是全球的互联网广告行业。举例而言,近期某国际终端设备制造商操作系统已经开始实行“隐私新规”,其赋予所有用户以事前主动选择开启或者关闭跟踪工具以获取设备广告标识符(在GDPR下符合“识别+关联”的个人数据的定义)的自主权利。这种理想化的隐私设计完全符合GDPR的合规要求,但几乎必然会损害赖于设备广告标识符而形成的互联网广告行业的经营利益。近期,该操作系统开发公司向两家境内应用开发者发出邮件警告,要求限期14天内完成版本更新以符合其隐私新规。[32]而被要求限期整改的内容,正是此前互联网广告协会联合多家单位共同制定的基于CAID(一种可变广告标识符)的替代性底层技术方案。而该种替代性方案,已经通过多种技术手段和管理要求,一定程度上降低用户的个人信息风险。尽管对于CAID方案是否符合法律法规要求尚不明确,但如果基于该操作系统开发公司全部推行落地隐私新规,将尤其对未能掌握大数据用户画像库的中小型互联网广告市场主体带来毁灭性的打击。基于“免费服务”+“个性化推送”的经营模式也将面临近乎颠覆性的变革,此前长期的市场流量与获客战略,不计其数的技术研发投入与市场投放成本,已经使得原本采取免费互联网创收模式的竞争玩家难以轻松地实现盈利模式的转型。
基于个人数据保护领域的立法空白与实践混乱,我们目前仍需要不断强调与突出个人信息保护的积极意义与法律价值,也不断地在各个角度寻求其基本的法理基础与权利来源。[33]但与此同时,我们还需要对这样一种事实保持清醒的认知,即评价包括个人信息保护在内的任何一项法律制度良善与否的重要标准,就在于其是否精妙地平衡了各种值得追求与需要权衡的多样价值。我们也应当完全理解,个人信息保护是立法追求的重要目标,但绝非是唯一目标。如果脱离社会生活实际,在个人信息保护问题上一味追求“理想化”和“高标准”,对社会整体福祉和个人信息主体所可能接受因互联网产业发展带来的福利而言,也未必会产生积极效果。[34]我们期待即将迎来全面的个人信息法律保护时代,我们的立法立规、合法合规活动,都将更好地在我们迈向智能化时代的过程中,在值得追求的社会价值保护上展现法律衡平的最佳艺术。
回顾、反思欧盟GDPR制定、颁布与执行的三周年历程,其对于提高全球个人数据保护水平、保障个人数据主体享有合法权益同时促进规范数字服务产业的竞争秩序与行业规则,都具有国际社会公认的积极和正面的示范效应。不难预见,未来的GDPR仍将在较长的一段时间内继续发挥其个人数据保护的法律功能,并且在大型平台数字服务的算法透明度与市场竞争规制、新技术应用下个人数据处理的风险识别、个人数据主体权利的可落地性以及个人数据跨境规则的全球性图谱探索等方面,引领着国际互联网和数字服务企业进一步注重个人数据的合法合规处理与商业化运营。
更值得期待的是,我们也即将迎来全面的个人信息保护全新时代,我们建议企业密切关注其中的立法动态以及规则演变,也寄希望于向同仁们传达个人信息保护立法立规背后的理念与价值。我们心怀人类社会智能的远大宏景,也执着于脚底每一步迈出的数据合规要领,以更为坚实地理解、贡献和拥抱互联互通的美好数字图景。
[1] Statement by Vice-President Ansip and Commissioner Jourová ahead of the entry into application of the General Data Protection Regulation, https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_18_3889 ,最后访问日期:2021年5月22日。
[2] 申佳平:《增强顶层设计 我国个人信息保护立法步稳蹄疾》,转引自“人民网” http://it.people.com.cn/n1/2020/1223/c1009-31976314.html 最后访问日期:2021年5月22日。
[3] 个人信息保护法(草案二次审议稿)征求意见,http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80818178f9100801791b35d78b4eb4 最后访问日期:2021年5月22日。
[4] Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0264 最后访问日期:2021年5月22日。
[5] Commission evaluation report on the implementation of the General Data Protection Regulation two years after its application, https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_EN.html 最后访问日期:2021年5月22日。
[6] 沈建光:《“惩罚性”监管有碍创新与增长——从欧洲GDPR谈起》,https://www.iyiou.com/news/20191017115624 最后访问日期:2021年5月23日。
[7] THE SHORT-RUN EFFECTS OF GDPR ON TECHNOLOGY VENTURE INVESTMENT, 原文链接可见:https://www.nber.org/system/files/working_papers/w25248/w25248.pdf 最后访问日期:2021年5月23日。
[8] What the Evidence Shows About the Impact of the GDPR After One Year, https://datainnovation.org/2019/06/what-the-evidence-shows-about-the-impact-of-the-gdpr-after-one-year/ 转引自“CAICT互联网法律研究中心”公众号,最后访问日期:2021年5月23日。
[9] 王融,朱军彪:《GDPR两周年:来自欧盟内部的反思与启示》,转引自“腾讯研究院”,https://www.tisi.org/14590 最后访问日期:2021年5月22日。
[10] 刘玉琢:《欧盟个人信息保护对我国的启示》,载《网络空间安全》2018年第7期,第42页。
[11] EU Commission: The Digital Services Act package,https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package 最后访问日期:2021年5月23日。
[12]The Digital Markets Act: ensuring fair and open digital markets, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_en 最后访问日期:2021年5月23日。
[13] 冯源:《互联网领域优势传导效应与反垄断规制——以双边市场为视角》,载《网络法律评论》2015年第2期,第177页。
[14] Christian Peukert, Stefan Bechtold, Michail Batikas, Tobias Kretschmer: Regulatory export and spillovers: How GDPR affects global markets for data, https://voxeu.org/article/how-gdpr-affects-global-markets-data ,转引自“数字经济与社会”公众号,《前沿译文 | 欧盟GDPR如何影响全球数字经济?》,https://mp.weixin.qq.com/s/WJlRrX2uG2sy05PPg1hD8w 最后访问日期:2021年5月23日。
[15] Adtime:《面对越来越严格的隐私法律,数字营销该何去何从?》,转引自“新浪财经头条”,https://t.cj.sina.com.cn/articles/view/3212340783/bf786e2f027009u1a?cre=tianyi&mod=pcpager_fintoutiao&loc=2&r=9&doct=0&rfunc=100&tj=none&tr=9& 最后访问日期:2021年5月22日。
[17] Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en 最后访问日期:2021年5月23日。
[18] Christian Peukert, Stefan Bechtold, Michail Batikas, Tobias Kretschmer: Regulatory export and spillovers:同前注[11]。
[19] 张建文,张哲:《个人信息保护法域外效力研究——以欧盟<一般数据保护条例>为视角》,载“大数据和人工智能法律研究院” https://mp.weixin.qq.com/s/acvmzME-74OHUD-2_xjpjw 最后访问日期:2021年5月23日。
[20] EU: How CNIL fined Google - insights on the One Stop Shop mechanism, https://www.dataguidance.com/opinion/eu-how-cnil-fined-google-insights-one-stop-shop 最后访问日期:2021年5月23日。
[21] GDPR由于需要协调各国执法的一致性,因此设立“一站式机制”,简言之即当某监管对象在欧盟司法辖区内任意成员国设有主要实体(main establishment),则该成员国境内的监管机构将获得监管执法的主导权。
[22] Coronavirus: Commission adopts Recommendation to support exit strategies through mobile data and apps, https://mp.weixin.qq.com/s/rQJ-IRLX19c-ScYweb41zg 最后访问日期:2021年5月23日。
[23] Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020XC0417%2808%29 最后访问日期:2021年5月23日。
[24] Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en 最后访问日期:2021年5月23日。
[25] 参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。
[26] 商务部:《欧盟法院裁定欧美“隐私盾”协议无效》,http://eu.mofcom.gov.cn/article/jmxw/202008/20200802993103.shtml 最后访问日期:2021年5月23日。
[28] European Commission: Adequacy decisions-How the EU determines if a non-EU country has an adequate level of data protection, https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en 最后访问日期:2021年5月23日。
[29] 高富平:《个人数据保护和利用国际规则》,法律出版社2016年9月第1版,第135页。
[30] EDPB: Data Protection, https://edps.europa.eu/data-protection/data-protection_en 最后访问日期:2021年5月23日。
[31] 参见刘泽刚:《欧盟个人数据保护的“后隐私权”变革》,载《华东政法大学学报》2018年第4期。
[32] 凤凰网:《A公司警告中国开发者:不要尝试绕过新隐私功能》,https://tech.ifeng.com/c/84jSB4UCAlF 最后访问日期:2021年5月23日。
[33] 参见王锡锌,彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。
[34] 参见薛军:《苹果隐私新政背后的利益衡量需引起关注》,载“法治日报”http://views.ce.cn/view/ent/202104/14/t20210414_36470908.shtml 最后访问日期:2021年5月23日。
