内容解读
“通用数据保护条例”(General Data Protection Regulation,即GDPR),为欧盟旨在通过限制企业对个人信息的采集和使用,来加强对个人信息权益的保护的立法行动。GDPR明文规定了六种权利,分别是获得权、更正权、删除权(被遗忘权)、限制处理权、数据可携权和反对权,并分类细化了保护的边界
该条例整体上体现出了充分的严格性:
首先,体现在其管辖范围上。条例中不仅概括性地规定了欧盟行政范围内所有企业,还明确包含了在欧盟境内进行“实质数据处理活动”的业务机构。在此基础上,与上述企业或业务机构有业务往来者皆受条例管辖。这样的规定已经超出了传统立法中基于属地管辖的理念。鉴于互联网时代信息往来的高速、无形等特征,“实质数据处理活动”的限定在实际上对管辖的可能性做了扩大的延展。
其次,体现在其对“个人信息”概念的外延扩大上。在《牛津法律大辞典》并无“个人信息”的定义,在学者观点中,“个人信息”的概念范围仍然限制在个人的社会属性的信息,遑论“个人数据”。而该条例显性地扩大了概念定义大幅拓展了对于“个人数据”的定义,除了姓名、住址、身份证号码以及网络IP地址此类归属性的社会属性信息外,还包括了指纹、虹膜这些生物识别数据,以及种族和宗教信仰等属于深度人格权益的信息。
最后,还体现在限制力度和追责力度上。该条例单向性赋予了企业较严格的义务。在事前,企业和机构在收集或使用个人数据之前,必须以通俗的语言向用户说明用途,并征求用户的授权(用户年龄在16岁以下,则必须征得其监护人的同意)。在事后,即数据泄露的情况发生时,企业被要求在72小时内向政府报备。在追责措施上,违规企业将可能会面临最高罚款金额可达到2千万欧元的罚款,或者该企业在全球范围内营业收入的4%,以上述两者其中较高者为准。
综上所述,被条例可以说全方面地加强了对企业的要求,满足了个人用户对信息保护的需求。
争议探讨
鉴于目前并无公认的“个人信息”的定义,笔者只能从更本位的隐私权出发。在《牛津法律大辞典》中,隐私权被表述为个人保持独处、保有独立空间的权利。这是因为个人作为独立的主体天然具有独立生活不被他人干扰的权益。既然个人在独立空间内的行为应当自主且不为人所知,由此可以延伸出,凡是可以推测出私人行为特征的信息,都应当得到保护。如果这些信息不可避免的要被他人所知,这个“特定他人”也应当负有保护的义务。具体到互联网信息使用中,由于诸多互联网的服务不可避免的要使用个人的信息,而企业也从中获利,企业就应当负于在此活动范围内使用个人信息且防止其外泄的义务。
如此严格的法案一旦实施,对于企业的影响是多方面的。
第一,将增加企业内部控制成本(即合规成本)。这个成本首先个人体现在信息的采集上。按照条例的要求,互联网服务中任何个人信息的使用都需要事前通俗化地告知用户(所使用的信息的内容和使用的方式)并征得用户同意。而此前诸多企业的事前告知通常只包括了所使用的信息内容(且不全面),隐瞒了这些信息可能被使用的方式。而条例一旦实施,企业的信息系统必须在结构上进行改变。其次,由于企业被赋予了防止信息泄漏的义务,企业在网络安全部门上的成本也将明显增加。由于条例中对信息泄漏事件的惩罚较为严重,此后个人信息数据的保护价值甚至可能和商业秘密的价值提升到同一层次。在这种可能性下,防止内部员工泄密和盗窃行为显得尤为重要,因为内控支出的增加是可预见的。
第二,将增加营业外支出。主要是指一旦发生违规事件企业将面临高额的罚款。任何大型企业的业务运营都是一个完整的循环系统,在短期内完成结构性转变的可能性较大,因而存在在转变期间面临大额处罚的可能性。
第三,部分服务无法提供或效率降低。缺乏部分的信息将直接导致一些基于大数据分析的服务无法提供,将导致另一些基于个性化分析的服务降低效率或缺乏准确性。这样的现实结果是一些服务部门的取缔、一些服务形式的变更。信息已经成为了一些互联网企业的生态基础,类型化信息的缺失从长期来看甚至会影响企业的战略性决策。
从一方面,该条例单方面加强了对个人用户的保护,自然削减了企业和机构等互联网服务提供者的利益。究其原因,在互联网技术和大数据技术高速发展并投入应用的今天,个人用户的信息已经是众多企业的一项重要资产。基于大范围的不同方式的数据使用,企业得以增加不同的赢利点、得以低成本地精准化服务、得以基于大量信息制定经营策略等等。超越企业的个体视角,从社会整体利益的角度,依赖于个人数据简易使用的许许多多的大数据服务极大地提升了个人的生活水平、更新了工业和服务业的生产方式、促进了社会部门的流转速度。以上这些利好无疑都是一个只考虑发展的政府所乐于见到的。换言之,这些都极大了提升了社会的效率——不只是企业的利益,而是同时也提升了社会的整体利益。
因而,本次立法的均衡点并非是不同主体之间的利益均衡(商业利益和个人人格权益),而是更为本质的社会公平和社会效率的均衡。
拓展延伸
关于社会效率和社会公平的争论由来已久,笔者一路追溯,直至边沁(Jeremy Bentham)的功利主义和康德(Immanuel Kant)的绝对道德主义之争。前者对社会规则的追求可简单表述为“为更多的人争取更大的幸福”,即从结果上追求功利的最大化,读者可参见引发著名讨论的“电车难题”。而后者告诫我们在我们的先天理性中存在着不考虑利弊的道德价值,这些价值是不可妥协的。漫长的文明的发展自然伴随着科技的进步和社会效率的提升,历史的长河中不断存在着两者之间的进退抉择。一次简单的立法也深刻地反映着这些最基本的价值选择。进退之间,期待你的参与。