作為一般性的個人信息保護法律����,GDPR覆蓋公私領域����,適用各類機構。政府機構適用GDPR已無爭議���。2019年保加利亞數(shù)據(jù)保護委員會向其國家稅務局開具了近300萬美元的罰單�����,因后者沒有采取適當?shù)谋Wo措施致使公民個人數(shù)據(jù)泄露�。[8] 目前各成員國更多關注的是司法系統(tǒng)適用GDPR的問題。GDPR第55條第3款規(guī)定:對于法庭在其司法活動中進行的處理操作�,監(jiān)管機構不具有監(jiān)管職權��。比利時在其評估報告中指出:這一條文容易在實踐中造成誤解�,本條的立法本意是保障司法獨立,但容易被解釋為法院不受GDPR的規(guī)制�����,因此比利時提出:應明確將司法系統(tǒng)納入GDPR的調整范圍�,不管是行政機關、立法機關還是司法機關在處理數(shù)據(jù)時都應視作數(shù)據(jù)控制者或處理者���。 法國對比利時的這一問題也做出了回應�����,表示司法系統(tǒng)毫無疑問也需要置于GDPR的規(guī)制之下���,考慮到司法獨立問題,可以根據(jù)GDPR序言第20條的規(guī)定��,在法院內部設立一個獨立的數(shù)據(jù)監(jiān)管機構,保證法院受規(guī)制的同時不會影響司法的獨立性��。
圍繞司法系統(tǒng)的另一問題是����,在GDPR規(guī)定的“行政-司法”雙軌規(guī)制-救濟模式中,法院和數(shù)據(jù)保護機構的職能應如何協(xié)調��?奧地利在其報告中指出�����,由于數(shù)據(jù)保護機構和法院都是完全獨立的��,且遵循不同的程序守則�,因此GDPR規(guī)定的這種雙重救濟模式導致GDPR的適用不成體系,在某些情況下數(shù)據(jù)保護機構的決定還會與法院相沖突��。 相比于GDPR中完整的行政規(guī)制體系��,歐盟對于司法救濟的態(tài)度僅僅停留在認可階段�。實踐中投訴到行政監(jiān)管的案件,也只有1%左右會上訴到法院�,考慮到維權的時間和經(jīng)濟成本、維權的靈活性等問題�,絕大多數(shù)的數(shù)據(jù)主體會主動選擇行政規(guī)制模式��。[9] 數(shù)據(jù)跨境流通問題是歐盟此次GDPR評估的重點����,歐盟理事會提出數(shù)據(jù)自由流通是GDPR的一大目標��,各成員國也就實踐中遇到具體問題進行了反饋��。 首先�����,各國都肯定了GDPR設置多類型��、多層次數(shù)據(jù)跨境流動方式的必要性:充分性決定(第45條)��,適當保障措施和行為準則(第46��、40條)����,有約束力的公司規(guī)則(第47條)都有其不同的適用場景�,需予以保持。比利時提出:充分性決定對于私營公司數(shù)據(jù)跨境交換�、簡化手續(xù)和法律合規(guī)有重要意義��,有助于實現(xiàn)單一(數(shù)字)市場的目標�����,但問題是這項制度屬于“正面白名單”�����,適用標準較高�����,因此沒有得到充分利用�,建議進一步擴充“白名單”�����,以納入更多可以合法流動的區(qū)域��。 德國也支持上述觀點:目前�,通過歐盟充分性決定的國家與地區(qū)數(shù)量偏少(僅有13個)。其中�,關于日本的充分性決定中,只認可了商業(yè)部門����,而沒有為政府機構之間的信息共享提供合法基礎�。歐盟理事會在其總結報告中吸收了成員國的上述觀點����,指出要繼續(xù)擴充“白名單”,以進一步擴展可以合法自由流動的區(qū)域與部門�。 此外,對于“白名單”之外的其他合法流動機制���,歐盟在報告中也指出,將發(fā)布更多的標準合同模板���,以滿足不同類型的數(shù)據(jù)控制者和處理者的數(shù)據(jù)跨境流動需求��。 自2012年啟動GDPR立法時�����,歐盟就負有著建立數(shù)字時代新秩序的雄心����,對當時的新技術應用予以了制度回應�����。例如:針對云計算業(yè)態(tài)中數(shù)據(jù)收集和處理相分離的情況,在法律主體上區(qū)分了控制者和處理者����;針對數(shù)據(jù)分析,規(guī)定“畫像”條款�;針對人工智能技術,規(guī)定了自動化決策條款���。然而技術的迭代發(fā)展����,仍然持續(xù)帶來新問題�。最為典型的即區(qū)塊鏈技術。直到今天����,圍繞該技術的GDPR適用,仍然存在極大爭議(詳見:GDPR的真實面貌,十個誤解與爭議)�����。 隨著2016年的正式公布���,GDPR的制度已經(jīng)固化�。相比之下,技術發(fā)展卻仍在以驚人的速度高歌猛進�����。在區(qū)塊鏈之外����,無人駕駛、面部識別�、可穿戴設備、智能家居�、醫(yī)療監(jiān)測器械、行為生物數(shù)據(jù)��、無人機等一個又一個技術應用����,不斷點燃數(shù)據(jù)驅動的新領域���。對于這些新技術�,是嚴格套用GDPR予以規(guī)范�,還是適度平衡隱私保護與創(chuàng)新發(fā)展�����,是擺在歐盟面前的問題��。 正如歐盟理事會在此次評估報告中所強調:我們也應該看到這些技術在某些領域的應用也可能是一個巨大的優(yōu)勢�����,并有可能加強歐洲公民的隱私保護���。例如:基于區(qū)塊鏈的“零知識證明技術”能夠實現(xiàn)使用盡可能少的個人信息,同時驗證某一特定主體的身份���;[10]差異隱私技術能夠實現(xiàn)數(shù)據(jù)集中而帶來的價值�����,但同時保持特定自然人身份不被識別���。[11]法律的適用應當為技術發(fā)展留有“一定空間”,而不是完全抵制��。歐盟在今年3月發(fā)布的《人工智能白皮書》,最終刪除了原本寫入的人臉識別禁用條款��,也再次體現(xiàn)了這種權衡�。[12] 正如兩年前GDPR生效時,我們所預言的那樣:立法文本的正式通過�,并不意味著制度規(guī)范都已成熟,相反�����,秩序建設才剛剛拉開序幕�。面臨挑戰(zhàn)的不僅是GDPR的適用對象,也包括GDPR本身�。而讓一項制度日臻完善的路徑,是不斷結合實踐����,持續(xù)對制度本身予以客觀評估,識別問題并總結經(jīng)驗���。
注釋:
[1]歐盟理事會已將這19個報告匯總在一起���,下文提到的各國報告都可通過查閱匯總報告獲得����。Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) - Comments from Member States,https://data.consilium.europa.eu/doc/document/ST-12756-2019-REV-1/en/pdf.
[2] Council position and findings on the application of the General Data Protection Regulation (GDPR) – Adoption,https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf.
[3] https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
[4] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
[5] Harris M, Patten K, Regan E, Fjermestad J, Harris M (2012) Mobile and connected device security considerations : a dilemma for small and medium enterprise business mobility? In: AMCIS 2012
[6] See Lothar Determann , Representatives under Art. 27 of the GDPR: All your questions answered,https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/2018/10/representatives-under-art-27-of-the-gdpr-iapp-2018.pdf?la=en
[7] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en
[8] Se https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_ene Bulgaria, fines in millions for personal data breaches, https://www.lexology.com/library/detail.aspx?g=6356ed78-03c2-48d0-add2-c8848bfc60c9.
[9] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
[10]零知識證明技術指的是證明者能夠在盡可能少向驗證者提供甚至不提供任何有用的信息的情況下�,使驗證者相信某個論斷是正確的���。AHN Gail-Joon, “Zero-knowledge proofs of retrievability”, Science China (Information Sciences), Vol.10(8), 2011, pp.1608-1617.
[11]差異隱私技術指的是從統(tǒng)計數(shù)據(jù)庫查詢時����,最大化數(shù)據(jù)查詢的準確性���,同時最大限度減少識別其記錄的機會�����,這種機制的核心是給查詢的結果增加一定的噪點��。Mannhardt, Felix, “Privacy-Preserving Process Mining”, Business & information systems engineering, Vol.61(5), 2019, pp.595-614.
[12] See European Commission, White Paper on Artificial Intelligence: a European approach to excellence and trust,https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en
作者 | 王 融 騰訊研究院資深專家
作者 | 朱軍彪 騰訊研究院助理研究員
