史上最严数据保护法GDPR正式生效 颠覆既有商业模式
文:屈丽丽
“未来可能遭遇到的悲剧,会对我们现在的行为产生寒蝉效应。借助数字化记忆,圆形监狱能够随时随地监视我们。” 被誉为“大数据时代预言家”的维克托·迈尔·舍恩伯格曾这样描述大数据时代可能给人类带来的灾害。也就是在这一预言之后,欧盟起草了GDPR(General Data Protection Regulation,《一般数据保护法案》),并在商讨4年后的2016年4月14日获得了欧洲议会的投票通过。
然而,在很长一段时间里,这部法规一直默默无闻,直到2018年5月25日,GDPR正式生效的这一天,欧洲互联网业界发生的重大变化(一大堆网页链接无法使用,一些APP不在服务区),以及Google和Facebook分别收到欧盟39亿欧元和37亿欧元罚款的诉讼震惊全球。
段和段律师事务所合伙人知识产权部合伙人、中国电子商务协会政策法律委员会副主任刘春泉律师在接受《中国经营报》记者采访时表示:“GDPR的重大影响力主要体现在两个方面,一是GDPR采用了类似于此前美国长臂管辖的法律模式,不仅仅限于欧盟企业,而是将执法边界延伸到了所有收集欧盟公民信息的企业,对互联网产业相对发达的中美两国企业影响尤甚。” “二是GDPR对违法者设计了非常重大的法律责任,即根据GDPR的规定,被判违法的公司需要支付罚款,数额相当于其全球营业额4%,或最高2000万欧元(如果营业额没那么高的话)。”
不仅如此,GDPR还堵住了科技巨头公司寻求异地审判的法律漏洞。在此之前,科技巨头依据“避风港”原则将案件转移到欧盟以外(多数情况下是美国)的法院进行审讯,但GDPR切断了“避风港”原则的适用,Facebook的案件就在这一背景下由爱尔兰高等法院移交到了欧盟最高法院,驳回了其转回美国法院的申请。
在刘春泉律师看来,GDPR在实施上带来的影响力很可能会超越当年欧盟最早推出的《反垄断法》。一方面,违法企业都要面临天文数字的处罚,另一方面,诱发或启动GDPR的调查机制的原因要远远多于欧盟的《反垄断法》。 事实上,早在一年前,中国政法大学互联网金融法律研究院院长李爱君教授在组织翻译这部共11章99条法规时就指出:“GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。 GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。”
“长臂管辖”
来看一下GDPR法规的适用范围:
GDPR第3条“地域范围”规定了三种可能的情形:一是适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。 二是适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,但其处理行为只要满足以下两个条件之一即可适用: (a) 发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价; (b) 是对数据主体发生在欧盟内的行为进行的监控。 三是适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。
这意味着,企业无论是否设立在欧盟地域范围之内,只要你开发的某个软件 或APP放到了应用商店,就有可能被欧洲公民使用,进而与这部法规产生连接。很显然,在互联网时代,这种连接无时无刻不在发生。
刘春泉律师就告诉记者:“传统观念的理解是,企业不到欧盟做生意,GDPR便无法直接管辖。但问题在于,互联网时代,企业的业务和产品,尤以APP为例,通常都是被直接上传到应用商店里的,这时企业是无法限制全球范围内用户在应用商店里对APP的下载,那这当中就一定会包含部分欧盟的用户,与此同时也一定会产生对欧盟用户信息的收集。这样即使企业并没有在欧盟产生直接的业务往来,但却在欧洲具有了业务存在,GDPR就可以进行管辖。”
也正因为如此,在互联网经济高度发达的美国,商务部长罗斯在谈到欧美关系时将、GDPR的实施提升到了贸易障碍的高度,他表示:“此前生效的欧洲通用数据保护条例(GDPR)使美国公司在保护消费者隐私方面的责任发生了重大变化。GDPR的实施很可能会中断大西洋两岸的合作,并给贸易造成不必要的障碍。” 针对中国企业的适用问题,刘春泉律师表示:“适用的关键在于欧盟能不能够建立合法的管辖连接点,如果建立了合法管辖连接点后,就拥有了管辖的权利,那么一旦中国企业的业务在欧盟有所延伸,欧盟是可以直接对中国企业的行为进行远程取证,再通过法律程序来执行。”
“同时这里要注意的一点是,并不是在欧盟只拥有少量的业务就可以降低重视,GDPR里明确规定将按全球收入来进行处罚,反观全球级大公司的平均年利润也不过5%左右,所以GDPR的处罚力度是极其大的。” 正因如此,在5月25日GDPR正式生效之前,很多美国企业为应对GDPR作出了相应的调整。比如4月25日,Twitter、instagram和域名注册商godaddy分别向用户发送邮件,表示将更新旗下产品服务条款和隐私政策。
此外,YouTube表示,从5月21日开始将不再支持欧洲预定购买的第三方广告服务,并且也有可能会将这项政策推广到全球。微软也在5月更新了关于隐私声明,加入了GDPR要求的文字(如用户权利及法源),说明微软搜集用户资料种类、用途及举例。同时于5月22日宣布将把GDPR隐私保护的权利扩大至全球用户。 普华永道调查,68%的美国公司预计将花费100万到1000万美元投入来满足GDPR,还有9%的企业预计投入将超过1000万美元。
然而,在我国,除了极个别企业对该法规的实施有所应对之外(比如小米生态链企业的YeeLight智能灯泡产品,因为无法赶在GDPR生效之前满足合规要求,而不得不暂停服务),大部分企业仍然认为GDPR与自己无关,认为仅有例如通信或互联网公司才会受其制约。但事实上,一旦企业使用了微博、微信与互联网相关,或是产品服务当中涉及到用户的隐私,都会受到监管。 “事实上,除了互联网企业之外,航空公司、银行等大多数行业,只要商业布点有在欧洲的,或者针对欧洲用户的,都很难避免与GDPR产生连接。”刘春泉律师告诉记者。
“被遗忘权”——用户数据保护条款
很显然,大数据时代带给人们新的生命体验是“遗忘成为例外,记忆成为常态”。然而,正如维克托所指出的:“数字化记忆加深了信息富民和信息贫民之间已经存在的鸿沟,进一步增强了权力的倾斜。” 正是基于对个人信息权利的保护,欧盟GDPR出台了世界范围内最严格的用户数据保护条款。
概括起来,这些条款包括两大内容: 一是数据收集者的操作规范,即针对数据收集者,不能用隐藏默认的方式获取用户许可,必须提前进行明确的提示与询问,获得允许后才可以获取使用用户数据;收集之后还需要为用户提供查看收集数据概览及用途,还必须有用户删除功能。 二是用户对自己数据完全的所有权,即便同意收集方收集,也可以随时查看撤回删除相关协议,在用户撤回删除相关授权后,数据收集者必须立即将相关数据进行匿名化处理。
说白了,法案要求所有的数据必须是最终用户可以完全控制的。这种控制体现在,他们可以自主决定分享/不分享哪些内容,将自己的数据导出/转移到其他平台上不受限制,以及在注销自己的账号之后,不在原网站上继续留存信息的“被遗忘权”。 同时,在长达91条、200多页的法案中,还规定了使用用户数据生成大数据画像的算法,必须向社会公开其基本运行原理,以及输入输出结果;不可以用算法黑箱子,或者是商业机密为借口,在收集用户数据的同时不给出理由。 “
法律的严格性不仅仅体现在对用户权利保护的充分完整方面,更重要的是,欧盟的立法经验让其在立法过程中对很多商业行为或现象给予了非常明确而细致的定义,杜绝了企业可能绕行的灰色地带。”一位来自德国的知识产权律师告诉记者。 以“个人数据”的定义为例。GDPR规定,“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
再以个人数据的“处理”来看,GDPR对“处理”的定义可谓“无孔不入”。“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。
此外,关于“同意的要件”(用户同意对个人数据进行处理)更是在极为详尽而严密的逻辑上做了非常明确的规定,即: 1. 如处理是基于同意,则控制者应能证明数据主体已经同意处理他或她的个人数据。 2. 如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具约束力。 3. 数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前,数据主体应被告知上述权利。撤回同意应与作出同意同样容易。 4. 当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。
颠覆既有商业模式
作为牛津大学网络学院互联网研究所治理与监管专业教授,以及曾经的哈佛大学肯尼迪学院信息监管科研项目负责人,维克托认为:“从某种意义上来看,遗忘并不是令人困扰的缺陷,而是一种足以救命的优势。当我们忘记了过去的时候,我们便获得了去概括,去概念化的自由,以及最重要的行动自由。”
然而,这一行动自由却是以商业模式的重新颠覆为代价的。 刘春泉律师认为:“欧盟推出GDPR的背景有三,一是欧盟认为互联网时代,商业企业存在过度收集、滥用大数据的背景;二是互联网经济时代,中国和美国的互联网企业和科技巨头非常多,而欧洲这类企业则没有或者很少,所以欧盟没有产业保护的负担,在公民隐私保护和产业保护的平衡中,很自然地就会倾向于对公民个人的隐私保护;三是欧盟相对保守,一直以来都更注重对隐私权的保护。”
所以,在中美贸易战为大国科技而博弈的背景之下,在中美为争夺大数据、云计算、人工智能的领导地位而不断针对技术投资进行谈判的当口,欧盟推出的GDPR有了更深层次的战略意味。 “很明显,这一法规正在颠覆现有的商业模式,或者至少对现有的商业模式构成一定的影响。”
一位来自国内互联网业界的企业CEO告诉记者,面对GDPR,他们正在考虑如何避免进入欧盟市场可能带来的潜在影响。 在他看来:“互联网经济的本质正转向用户创造价值,围绕用户创造价值,用户画像以及精准营销正成为标配,它可以极大地提升企业获取真实用户的效率并降低维护成本。如果按照GDPR的要求来设计企业运营模式,企业的竞争力将会倒退很多年。”
的确,以YouTube为例, GDPR对其从事的第三方广告服务的数字广告业已经产生了巨大的影响。互联网很大一部分收入的来源是数字广告,通过数字广告平台,大数据的精准推荐广告,原本都是合法的。但GDPR的出现及其对隐私权的保护正将这一模式推上潜在违法的灰色地带。 因此有人表示:“下一步互联网依靠大数据做增值服务的商业模式也该走到尽头了。算下来,还是老老实实将互联网服务进行收费最省心。”
不过,对大部分企业来说,如何在短时间内适应GDPR带来的改变仍是主要问题,刘春泉律师对此给出了合规建议:“第一,明确责任人员,企业内部必须有掌管该职责的岗位/部门。第二,风险评估。网络安全法的合规并非只是网络安全或者法务部门的事情,具体包含:技术、法律、管理三个方面。第三,供应商遴选应科学合理,防止因供应商的短板行为连累业主公司和其他供应商。”