張瑤

一項(xiàng)即將在歐盟生效的法律，正前所未有地挑動(dòng)全球范圍內(nèi)互聯(lián)網(wǎng)企業(yè)們的神經(jīng)。

許多歐洲用戶已體驗(yàn)到變化——5月開(kāi)始，他們的谷歌和雅虎郵箱開(kāi)始涌入大量網(wǎng)站和APP的條款更改通知;登錄許多APP時(shí)都被彈窗要求重新授權(quán);更有公司直接向用戶宣布自己要在5月24日起停止?fàn)I業(yè)。

2018年5月25日生效的歐盟新數(shù)據(jù)保護(hù)法規(guī)《通用數(shù)據(jù)保護(hù)條例》（下稱(chēng)“GDPR”）是變化的起點(diǎn)。這部新法規(guī)將公民個(gè)人信息保護(hù)提到前所未有的高度，為信息的收集、管理和利用流程劃出明確紅線，違規(guī)企業(yè)最高可能面臨全球營(yíng)業(yè)額4%的罰款。除重罰之外，其管轄范圍廣及任何一家與歐盟有相關(guān)貿(mào)易往來(lái)的數(shù)字經(jīng)濟(jì)企業(yè)。

隨著生效日期的臨近，大公司們開(kāi)始自我審視，沒(méi)有誰(shuí)敢輕言自己能做到百分之百合規(guī)。近日，剛在數(shù)據(jù)問(wèn)題上引發(fā)信用危機(jī)的Facebook CEO扎克伯格稱(chēng)，F(xiàn)acebook將在全球范圍內(nèi)推出與GDPR相關(guān)的數(shù)據(jù)控制措施。

電信產(chǎn)業(yè)資訊公司Ovum調(diào)查顯示，52%的受訪IT決策者預(yù)計(jì)GDPR將會(huì)“導(dǎo)致他們公司受到罰款”;三分之二的受訪者認(rèn)為這將“迫使他們改變歐洲業(yè)務(wù)戰(zhàn)略”;超過(guò)70%的受訪者預(yù)計(jì)會(huì)增加開(kāi)支來(lái)滿足要求。

普華永道給出更明確的合規(guī)成本估計(jì)——77%以上公司計(jì)劃花費(fèi)68%的公司預(yù)計(jì)將花費(fèi)100萬(wàn)到1000萬(wàn)美元的投入;另有9%的企業(yè)預(yù)計(jì)將花費(fèi)超過(guò)1000萬(wàn)美元。

GDPR代表了全球興起的數(shù)據(jù)保護(hù)立法潮的趨勢(shì)，美國(guó)、中國(guó)也在向歐盟靠攏。

近期，歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（European Data Protection Supervisor，下稱(chēng)“EDPS”）主管Giovanni Buttarelli接受《財(cái)經(jīng)》記者專(zhuān)訪，回應(yīng)與歐盟新規(guī)有關(guān)的質(zhì)疑和困惑，介紹他對(duì)于隱私觀念變遷的看法。

他主管的EDPS是由歐委會(huì)任命的獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)，旨在通過(guò)實(shí)踐和立法加強(qiáng)歐盟數(shù)據(jù)保護(hù)和隱私標(biāo)準(zhǔn)，有監(jiān)管、建議等職權(quán)。早在2011年，EDPS提出重新審視歐盟數(shù)據(jù)保護(hù)法律框架建議，隨后，GDPR立法啟動(dòng)并于2016年通過(guò)。在GDPR規(guī)定的數(shù)據(jù)保護(hù)委員會(huì)（EDPB）成立后，EDPS也將承接其常設(shè)秘書(shū)處。

Giovanni Buttarelli是意大利最高法院法官，自1997年起曾任意大利數(shù)據(jù)保護(hù)機(jī)構(gòu)秘書(shū)長(zhǎng)，2014年起被歐盟議會(huì)和理事會(huì)任命為數(shù)據(jù)保護(hù)監(jiān)督主管。他參與過(guò)歐盟與美國(guó)達(dá)成的“隱私盾”數(shù)據(jù)流動(dòng)框架，在GDPR及相關(guān)法律的立法過(guò)程中是積極的立法建議者?！斑@是一場(chǎng)數(shù)據(jù)保護(hù)的變革，但不是革命?！彼f(shuō)。

公眾隱私焦慮上升

《財(cái)經(jīng)》：你有超過(guò)20年的數(shù)據(jù)和隱私保護(hù)經(jīng)驗(yàn)，是否觀察到公眾隱私憂慮的增長(zhǎng)？

Buttarelli：是的，公眾隱私觀念和憂慮的增長(zhǎng)正不斷上升。我從未看到數(shù)據(jù)保護(hù)議題如此敏感，每個(gè)人都在討論隱私和保護(hù)。這不僅僅發(fā)生在歐洲，在國(guó)際范圍內(nèi)都成為超越政治的議題——貿(mào)易協(xié)定正聚焦于如何融入數(shù)據(jù)的自由流動(dòng)和保護(hù)規(guī)范;許多議題關(guān)注隱私安全、監(jiān)控、加密、證據(jù)以及法律執(zhí)行活動(dòng)等。

數(shù)據(jù)保護(hù)正越來(lái)越成為一門(mén)科學(xué)，對(duì)個(gè)人數(shù)據(jù)的處理應(yīng)當(dāng)建立在專(zhuān)業(yè)的基礎(chǔ)上。

《財(cái)經(jīng)》：你認(rèn)為在當(dāng)下的大數(shù)據(jù)和AI時(shí)代，最大挑戰(zhàn)是什么？

Buttarelli：如今網(wǎng)絡(luò)社會(huì)中的公司擁有前所未有規(guī)模的個(gè)人完整數(shù)據(jù)，而個(gè)人則對(duì)自己的數(shù)字足跡失去控制。行業(yè)追求個(gè)人數(shù)據(jù)的最大化變現(xiàn)，出于商業(yè)或政治目的而被定位、畫(huà)像和評(píng)估的程度，已經(jīng)超越人們的控制和認(rèn)知，個(gè)人感受到無(wú)助，他們需要被賦予權(quán)利更好控制自己的信息。

我們所面臨的挑戰(zhàn)是兩面的：第一，要找到法律和技術(shù)上最有效的工具，幫助個(gè)人在算法和大數(shù)據(jù)時(shí)代實(shí)現(xiàn)自主權(quán);第二，挑戰(zhàn)“大數(shù)據(jù)思維”的數(shù)字公司應(yīng)當(dāng)基于對(duì)個(gè)人信息的尊重來(lái)開(kāi)發(fā)可持續(xù)的商業(yè)模式，而不是進(jìn)行“數(shù)據(jù)的獨(dú)裁”。

《財(cái)經(jīng)》：一個(gè)擔(dān)憂是，找到公司非法利用或者錯(cuò)誤處理數(shù)據(jù)的證據(jù)對(duì)個(gè)人來(lái)說(shuō)很難。這是當(dāng)我們?cè)谟懻搨€(gè)人信息保護(hù)時(shí)所面臨的最大挑戰(zhàn)嗎？

Buttarelli：個(gè)人感受到失控的原因有很多，不止你提到的難以獲得證據(jù)。還有：算法決策的不透明性;在一個(gè)復(fù)雜的數(shù)據(jù)生態(tài)系統(tǒng)中，非法處理數(shù)據(jù)者的責(zé)任分配等都構(gòu)成挑戰(zhàn)。相比而言，捆綁合同、不公平的服務(wù)只是增加了一些困難。

GDPR考慮到了這些挑戰(zhàn)。它首次明確承認(rèn)，數(shù)據(jù)權(quán)利組織可以成為個(gè)人和系統(tǒng)之間的中間人，可以在法庭上代表個(gè)人的利益，幫助個(gè)人尋找有效救濟(jì)。我非常支持這一條款——個(gè)人不能在為自己的權(quán)利而戰(zhàn)時(shí)被孤立。

法規(guī)是否過(guò)于嚴(yán)苛

《財(cái)經(jīng)》：GDPR提出的許多新權(quán)利備受關(guān)注，如基于隱私的設(shè)計(jì)（Privacy by design），企業(yè)在進(jìn)行個(gè)人數(shù)據(jù)處理時(shí)，應(yīng)采取匿名化、數(shù)據(jù)最小化等必要技術(shù)措施;默認(rèn)隱私保護(hù)（Privacy by default），默認(rèn)情況下，個(gè)人數(shù)據(jù)僅在必要時(shí)才能被收集和使用;數(shù)據(jù)可攜帶權(quán)，用戶有權(quán)向企業(yè)索取有關(guān)自己的個(gè)人信息，并自主決定用途，這意味著用戶可以在不同網(wǎng)站間進(jìn)行個(gè)人數(shù)據(jù)“搬家”，實(shí)現(xiàn)自己數(shù)據(jù)資產(chǎn)的管理;等等。這些新權(quán)利背景下，GDPR有何進(jìn)一步重要意義？

Buttarelli：首先，它加強(qiáng)了數(shù)據(jù)主體的權(quán)利，規(guī)定了許多新的權(quán)利，比如數(shù)據(jù)可攜帶權(quán)等。雖然“默認(rèn)隱私保護(hù)”和“基于隱私的設(shè)計(jì)”是公司的義務(wù)而非公民的權(quán)利，但它們的有效實(shí)施也將增強(qiáng)用戶權(quán)利。

其次，加強(qiáng)了商業(yè)主體的責(zé)任。數(shù)據(jù)控制者們被要求在進(jìn)行數(shù)據(jù)處理之前更好地評(píng)估影響，并對(duì)其行為負(fù)責(zé)。

最后，只要是向歐盟范圍內(nèi)提供服務(wù)的公司等數(shù)據(jù)控制者，即便建立在歐盟以外，GDPR也對(duì)其適用。我們希望歐盟范圍內(nèi)的法規(guī)統(tǒng)一適用，即一站式監(jiān)管，實(shí)現(xiàn)歐盟范圍內(nèi)只需向一個(gè)法律機(jī)構(gòu)提供電話號(hào)碼、電子郵箱和聯(lián)系人，而不是向28個(gè)成員國(guó)分別提供。

GDPR既有對(duì)舊規(guī)則的延續(xù)，也有許多創(chuàng)新。許多公司正在采取措施調(diào)整做法，有很多積極信號(hào)。我們正在接近大數(shù)據(jù)世界，需要以未來(lái)為導(dǎo)向，使規(guī)則在數(shù)字社會(huì)中被很好地應(yīng)用。

《財(cái)經(jīng)》：許多從業(yè)者認(rèn)為法規(guī)過(guò)于嚴(yán)苛，因此不能有效實(shí)施，你認(rèn)為這是個(gè)問(wèn)題嗎？

Buttarelli：我認(rèn)為恰恰相反。GDPR生效前的一個(gè)現(xiàn)實(shí)是，遵守?cái)?shù)據(jù)保護(hù)法規(guī)與否對(duì)于公司來(lái)說(shuō)不重要，他們甚至為可能的制裁準(zhǔn)備好了預(yù)算。但未來(lái)完全不同，當(dāng)人們有選擇性地對(duì)待這一法規(guī)時(shí)，特別是嚴(yán)重而反復(fù)違法時(shí)，會(huì)受到嚴(yán)厲的制裁。

我們也會(huì)引入其他國(guó)家關(guān)于執(zhí)行法律的經(jīng)驗(yàn)。過(guò)去，歐洲一直被批評(píng)有堅(jiān)實(shí)的理論基礎(chǔ)而缺乏強(qiáng)有力的執(zhí)行能力。

世界上121個(gè)國(guó)家如今有數(shù)據(jù)隱私保護(hù)條例，這些條例部分復(fù)制了歐盟原則。近期有人在國(guó)際研究中指出，中國(guó)關(guān)于個(gè)人信息保護(hù)的新國(guó)家標(biāo)準(zhǔn)也許在某些方面比歐盟更為嚴(yán)格。

《財(cái)經(jīng)》：具體你們會(huì)采取什么措施確保它的執(zhí)行？

Buttarelli：在執(zhí)行方面，首先要成立一個(gè)新委員會(huì)以替代現(xiàn)存的咨詢性組織——第29工作小組。

這一新實(shí)體被稱(chēng)為歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB），我的數(shù)據(jù)保護(hù)專(zhuān)員機(jī)構(gòu)（EDPS）會(huì)是這個(gè)組織的成員，并且接手其常秘書(shū)處。我們會(huì)確保委員會(huì)的新權(quán)力被負(fù)責(zé)任地行使。比如，在捆綁條款、認(rèn)證標(biāo)準(zhǔn)、公司行為準(zhǔn)則等方面發(fā)表意見(jiàn)和進(jìn)行授權(quán)。我們也會(huì)更深入地向企業(yè)提供咨詢意見(jiàn)，將他們的意見(jiàn)帶到委員會(huì)。這一機(jī)構(gòu)在GDPR實(shí)施的第一天就會(huì)開(kāi)始工作。

其次，GDPR不僅意味著責(zé)任和義務(wù)，也是商業(yè)機(jī)會(huì)。因?yàn)樯婕盎陔[私的設(shè)計(jì)、默認(rèn)隱私、數(shù)據(jù)安全、認(rèn)證、合格鑒定、行為準(zhǔn)則以及數(shù)據(jù)保護(hù)官等方面，會(huì)是世界小中型企業(yè)可以發(fā)揮的市場(chǎng)機(jī)會(huì)——它們可以提供服務(wù)幫助數(shù)據(jù)控制者合規(guī)，我認(rèn)為這一市場(chǎng)潛藏著無(wú)限潛力。

《財(cái)經(jīng)》：要維護(hù)數(shù)據(jù)權(quán)利的個(gè)人會(huì)得到什么支持？

Buttarelli：個(gè)人在尋求信息、進(jìn)行聲明或者投訴時(shí)會(huì)得到更多支配權(quán)，不論他們居住地在哪里、屬于哪一個(gè)成員國(guó)，都可以向法院或者獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)提出訴求。GDPR確認(rèn)，在個(gè)人希望被通知、確認(rèn)或驗(yàn)證數(shù)據(jù)的質(zhì)量時(shí)，或者對(duì)于合法權(quán)益希望得到答案的時(shí)候，數(shù)據(jù)控制者們有給予快速回應(yīng)的義務(wù)。

《財(cái)經(jīng)》：個(gè)人的被遺忘權(quán)為什么很重要？

Buttarelli：被遺忘權(quán)早已存在，不是歐盟的發(fā)明，在許多國(guó)家是法律傳統(tǒng)。一個(gè)小的創(chuàng)新之處在于，例如，數(shù)據(jù)主體可以直接去找谷歌尋求錯(cuò)誤信息的刪除，而不是通過(guò)很多步驟先找到原始信息源網(wǎng)站，再訴求搜索引擎作出更改。

《財(cái)經(jīng)》：隱私保護(hù)和數(shù)據(jù)保護(hù)有何區(qū)別？

Buttarelli：二者在里斯本條約中是被分別規(guī)定的，在許多成員國(guó)的法律系統(tǒng)中也是。隱私更多涉及親密層面，涉及“孤獨(dú)生活”而不被披露某些敏感信息的權(quán)利。數(shù)據(jù)保護(hù)超越這一點(diǎn)，它給你作為數(shù)據(jù)主體的另一項(xiàng)獨(dú)立的基礎(chǔ)權(quán)利。這在實(shí)踐中意味著，別人處理關(guān)于你的個(gè)人信息的方式，不管其是否屬于隱私，都是你的權(quán)利。你有權(quán)要求信息安全，有權(quán)在你需要的時(shí)候獲得關(guān)于你的全部信息。

《財(cái)經(jīng)》：除了GDPR，還會(huì)有更多為了個(gè)人信息保護(hù)而需要做的法律變化嗎？

Buttarelli：GDPR的成功很大程度上取決于歐盟數(shù)據(jù)保護(hù)和隱私框架其他要素的部署和完成。不過(guò)，現(xiàn)在仍有許多缺失，例如E-privacy 法規(guī)。因?yàn)镚DPR需要與確保電子通訊秘密的規(guī)則相輔相成，現(xiàn)在是時(shí)候停止使用追蹤技術(shù)來(lái)逃避檢測(cè)，停止不斷增加的數(shù)據(jù)收集周期。我希望立法機(jī)關(guān)能盡快完成網(wǎng)絡(luò)隱私的“交通法規(guī)”。

僅有法律也是不夠的。我們還需要投資于隱私增強(qiáng)技術(shù)以及加密技術(shù)，需要一套可持續(xù)的立場(chǎng)，說(shuō)明國(guó)家和執(zhí)法部門(mén)應(yīng)如何獲取商業(yè)和私人數(shù)據(jù)——人們不應(yīng)該持續(xù)地被在線監(jiān)控和控制。

最后，正如我之前提到的，我們需要一些關(guān)于數(shù)據(jù)流動(dòng)的國(guó)際標(biāo)準(zhǔn)來(lái)補(bǔ)充貿(mào)易協(xié)定。

保護(hù)數(shù)據(jù)會(huì)阻礙創(chuàng)新嗎？

《財(cái)經(jīng)》：你同意GDPR是世界上最嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)，并將殺死很多商業(yè)機(jī)會(huì)的說(shuō)法嗎？

Buttarelli：不同意。我們生活在一個(gè)現(xiàn)代化的世界上，這里信任和開(kāi)放都是本質(zhì)的需求。對(duì)大數(shù)據(jù)世界來(lái)說(shuō)，沒(méi)有不斷提升的透明度就沒(méi)有成熟的改革。

我們堅(jiān)信并承諾，保護(hù)數(shù)據(jù)和隱私不是創(chuàng)新或者經(jīng)濟(jì)增長(zhǎng)的障礙，所以我們希望促進(jìn)歐盟內(nèi)部市場(chǎng)數(shù)據(jù)的流動(dòng)。

問(wèn)題可能出現(xiàn)于那些數(shù)據(jù)過(guò)度集中在少數(shù)手里的商業(yè)模式以及政治原因等，但這些其實(shí)與GDPR的影響無(wú)關(guān)。

《財(cái)經(jīng)》：在歐盟運(yùn)營(yíng)的大公司和數(shù)據(jù)控制者們現(xiàn)在準(zhǔn)備得如何？

Buttarelli：我在數(shù)據(jù)保護(hù)領(lǐng)域已經(jīng)全職工作超過(guò)23年?；仡?0年前，許多公司在爭(zhēng)辯規(guī)則、請(qǐng)求延期執(zhí)行或?qū)捪奁诘取，F(xiàn)在，特別是科技巨頭們，都急于宣稱(chēng)他們?cè)敢獬袚?dān)責(zé)任。

這一法規(guī)施行前他們?cè)袃赡甑臅r(shí)間準(zhǔn)備。我們相信，特別是大的機(jī)構(gòu)和公司能夠很快遵守合規(guī)，不過(guò)，只有國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)通過(guò)調(diào)查和審計(jì)，才能決定他們的努力是否足夠。也許小中型企業(yè)在合規(guī)上會(huì)存在問(wèn)題，這是我們作為獨(dú)立的監(jiān)管者將會(huì)關(guān)注的地方。

《財(cái)經(jīng)》：數(shù)據(jù)保護(hù)擔(dān)憂會(huì)否成為中國(guó)高科技企業(yè)進(jìn)入歐盟市場(chǎng)的一個(gè)壁壘？你對(duì)此有何建議？

Buttarelli：任何企業(yè)在歐盟向個(gè)人提供服務(wù)和商品，都應(yīng)當(dāng)遵守GDPR。公司應(yīng)當(dāng)采取行動(dòng)決定他們是否屬于被監(jiān)管主體。歐盟法院的判例明確指出，國(guó)家對(duì)數(shù)據(jù)保護(hù)和隱私權(quán)利的任何干涉都必須是適當(dāng)和必要的，這也適用于對(duì)任何商業(yè)持有數(shù)據(jù)的獲取。

這些都是基本要求，不僅適用于中國(guó)的高科技企業(yè)，也適用于所有想在歐盟做生意的企業(yè)。

《財(cái)經(jīng)》：為什么GDPR這項(xiàng)數(shù)據(jù)保護(hù)法規(guī)在全世界都受到關(guān)注？

Buttarelli：GDPR標(biāo)志著數(shù)據(jù)保護(hù)文化的變革。許多基本規(guī)則體現(xiàn)在里斯本條約中，有著和憲法一樣的價(jià)值。