(图片来源:全景视觉)
经济观察报 刘德良/文 5月25日,欧盟《通用数据保护条例》(General Data Protection Reg-ulation,以下简称《条例》)正式生效实施。相比以往的相关法律规定,《条例》一是通过强化企业的义务使个人能够更好地行使知情权、访问权、反对权等《指令》已规定的权利。二是增加了数据可携带权、被遗忘权等两个新权利。三是在属地管辖的基础上兼采属人管辖,凡在欧盟境内设立的企业或有向欧盟境内个人提供视频或服务的,都将受到《条例》的管辖。四是统一确立并细化了一些具体制度,使《条例》可以直接作为企业和个人遵守的规范。在大数据时代来临之际,《条例》尊重个人隐私权利的大方向,是值得肯定的。但在具体的条款设定上,《条例》也有一些值得商榷的地方,成为各方关注的热点。
首先,是《条例》把数据保护与基本人权和自由联系在一起:将个人数据等同为隐私予以保护、把对个人数据的控制权视为基本人权。其实,并非所有的个人数据都与人格自由直接相关,个人数据也不等同于法律上的隐私。隐私是需要严格保密的,控制该类个人数据的传播和利用才有助于主体的人格和尊严。除此之外的数据,正常开发和利用本身并不会导致主体的利益受损,控制或者开发利用这部分数据本身与基本人权无关,也与人格自由发展无涉。其次,极端个人主义本位有碍社会经济快速发展。数据能够高效、自由的流动是大数据产业发展的基础。大数据如果要充分发挥其价值,就必须让其整体地开发使用。《条例》夸大了个人对其数据的控制权,对企业苛责过严,不利于刚刚起步的产业发展。当数据的自由流动受到过多的限制,企业对创新的投资意愿下降,不利于产业和经济的发展,欧盟的新经济明显落后于中美就是一个现实的佐证。
第三,是技术上有过时之嫌。《条例》立法的核心是如何保障个人“有效”控制其数据,立法的基本原则源于上世纪六、七十年代的美国公平信息实践原则(Fair Information Prac-tice Principles)。在那个时代,只有银行、电信、保险公司等少数机构拥有大型计算机,才能够收集、加工、处理个人数据,公平信息实践原则所体现的个人信息控制权在技术上是可以实现的。但在网络无处不在、无时不有的今天,只要上网,收集、加工、处理、分享和利用个人数据就在所难免,加上传统纸质信息数字化、网络化后,我们很难知道何时、何地、何人收集、加工、存储了我们的哪些数据。因此,《条例》因循守旧,沿袭公平信息实践原则的做法,在技术上已经过时了,立法宗旨也难实现。
第四,是实施效果可能有悖于立法初衷。个人数据面临的威胁主要来黑客攻击,而非持有这些数据的企业。为保护数据免受网络攻击,《条例》的做法是处罚遭到攻击的企业,而非攻击者。其结果很可能与立法目的背道而驰。
在各国全面发展数字经济的年代,个人数据的保护和开发利用不仅攸关个人利益,还关乎产业发展、公共利益和国家利益。因此,有关个人数据法律制度的构建应该树立利益平衡的指导思想,综合处理好不同主体的合理利益诉求,做好个人利益保护和个人数据合理利用的平衡。对于中国来说,GDPR的实施既是一种指引,也是一面镜子。我们要既避免照搬照抄其中的条款,也要从中吸取有益的经验和教训。在理论和立法上不妄自菲薄、崇欧媚欧,而是以自信的心态,走出一条通往新时代美好生活的中国道路。在个人信息立法上,有必要合理区分个人信息、个人数据和个人隐私。坚持利益平衡的指导思想,树立正确的隐私观,把重点和核心放在防治对个人信息的滥用问题上,制定一部中国自己的个人信息(数据)滥用防治法。
(作者系北京师范大学法学院教授)