(阿里巴巴集团)
随着通用数据保护条例(General Data Protection Regulation,GDPR)的正式实施,许多人开始关心个人信息保护以及数据安全问题,事实上这个问题从全球来说,经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)在1980年已经提出隐私保护的重要基本原则,甚至更早之前在欧洲共同体(European Community)时代就开始谈论隐私保护议题。但是从网络开始受到人们关注到正式进入商业应用的阶段,隐私保护问题比过往任何一个时间点都更加复杂。“网络经济”(Internet Economy)或“虚拟经济”(Virtual Economy)对很多人来说已经不再陌生,在20世纪90年代电子商务兴起,2000年之后我们开始谈论移动商务及社交经济,但现在我们提到网络经济或虚拟经济,基本上都用一个名词:数字经济(Data Economy),也有人用“数据驱动经济”(Data Driven Economy)来描述当前许多崭新的商务模式或技术应用,其背后都是基于“大数据”(Big Data)发展的现象。由于网络本身具备全球化的特性,故而造成数据流通的全球化,而数据的全球化必然带来的是业务的全球化。在全面进入网络环境前,数据是否被他人取得是非常容易观察的,但是现在数据往往在产生的同时就存在全球化的情形,甚至数据主体(Data Subject)本身也没有意识到个人信息已经在全球快速的流通。
目前国际上个人信息保护及数据安全的重要潮流,是如何让法律的规定跟技术能力能够连结在一起,让两个不同的领域彼此间相互对话。跟传统的数据安全(Data Security)相较,个人信息保护(Personal Data Protection)涉及的部门及人员更加广泛,企业内部几乎找不到不需要接触个人信息的员工,因此隐私保护工作的落实,需要企业内部所有的人共同投入。但对不具备法律背景的员工来说,即便法律规定无论多么白话、再详细,看的人如果没办法正确理解法律条文,再好的规定都不能在企业内部落地,所以企业隐私合规的首要工作,是建立所谓的隐私意识以及协助所有人完整理解相关的法律规范。另一方面,如何让技术人员也能共同参与隐私保护工作,让隐私合规做到线上化、半自动化,甚至是全自动化,提升隐私合规工作的效率,才能减少人工处理出错的可能。因此,目前全球都在强调一件事情,就是“隐私能力”的建设,从技术层面来说,也有人称为“隐私强化技术”(Privacy Enhancing Technologies, PETs),而相关特定的技术概念,包括数据隐私影响评估(Data Privacy Impact Assessment, DPIA)及隐私设计(Privacy by Design)等,被正式放入了GDPR等隐私保护立法之中。
许多的法律问题例如消费者保护或反垄断,经过长时间的发展,基本上已经有一些国际统一的规范,但是在个人信息保护领域,反而不容易制定全球性标准。最主要的原因,是个人信息保护问题往往跟一个国家的社会文化、经济环境,甚至人文、宗教信仰等高度相关,由于各国状况不同,各国的隐私保护法设计很容易产生差异,所以不容易进一步推动放诸四海皆准的规定。另一个说明个人信息保护共通标准不易制定的例子是ISO国际标准,ISO/IEC针对数据安全管理系统(Information Security Management System, ISMS)制定了一系列的27000文件,其中ISO/IEC 27001作为认证标准(Certification Standard),总共提出133个确认企业是否符合数据安全标准的控制项目(Controls),无论是在哪个国家谈论ISMS,它的标准是一致性的;但是在个人信息保护部分,尽管ISO/IEC在2011年针对隐私保护提出了ISO/IEC 29100,但性质上只是一套初步的隐私保护框架(Privacy Framework),到目前为止ISO/IEC还没有提出认证标准及具体的控制项目。
随着个人信息的重要性日渐提高,如何打造一个全球性的保护标准,反而变成是一项难题。美国联邦贸易委员会(Federal Trade Commission,FTC)跟日本内阁个人信息保护办公室提出的大数据分析报告,不约而同地提到两个重要问题:如何提升隐私强化技术的使用,以及如何规范数据的跨境流通。对隐私强化技术应用来说,隐私保护不是只有看保护两个字,更重要的是如何促进个人信息的合理利用,如同张衠博士谈到的数据产权问题,个人信息保护固然重要,但更重要的应当是如何发挥个人信息本身的价值,如何通过技术的方式来同时兼顾保护与个人信息的合理运用,这是一个当时在美国跟日本都提出来的重要议题。另外,如何规范数据全球性的流动,从当前所处的环境以及技术条件观察,可以认为在数据产生的时候,就是处于一个全球流动的状况。过去数据是以外观可见的方式保存,容易管控数据的流向,但是今天包括云计算及不断出现的新兴数字科技,数据不再是由数据主体主动产生,而是被动生成,并且在我们不知不觉的时候被他人取得并出现全球性流动的情况。今天受益于互联网全球化的特性,互联网企业纷纷走向业务全球化的过程中,如何达成合规工作的全球落地,也考验着所有的互联网公司。但是目前全球性的共同标准还没有出现,还停留在区域组织性或者非强制性的产业标准,也使得互联网企业的国际隐私合规推动存在着诸多挑战。
GDPR为什么受到关注,在国内已经有非常多的探讨,包括非欧盟公司在一定条件下必须适用GDPR,以及出现违法行为时将面临的巨额罚款(2000万欧元或以全球营收4%作为罚款,取其高者),都是国内企业对于GPDR感到紧张的原因。但另一个更加关键的因素,是企业并不知道如果要完全符合GDPR的要求,所必须付出的合规成本将达到多少。现阶段GDPR本身仍然有些适用标准未完全明朗,特别是域外效力(Extraterritorial Effects)部分,如果非欧盟企业(Non-EU Business)对于是否适用GDPR感到不确定,在无法正确评估的前提下,先想到的往往是合规的成本,而不是可能被罚。另外,即便投入了大量的人力及物力,也不能保证一定可以符合GDPR规范,这样的一种状态造成人们对GDPR出现如履薄冰的情况。事实上不是只有企业面临GDPR的合规压力,对欧盟成员国的隐私监管机关(Data Protection Authority,DPA)也是,今年1月时欧盟委员会(European Commission)曾经指出成员国中只有德国及奥地利配合GDPR要求,完成该国的隐私保护立法的修正,而截至5月25日GDPR正式生效后,仍然有部分欧盟成员国尚未完成实施所有GDPR规定的准备工作。
GDPR对于互联网企业带来的影响,有以下出几点:
(1)受规范的可能性高
相较于传统行业或者以往面对面交易的商业模式,互联网企业受到GDPR规范的可能性较高。依据GDPR的域外效力规定,非欧盟公司只要锁定欧盟境内的数据主体进行商品销售或服务提供,就会被要求适用GDPR。而且欧盟境内的数据主体并未区分是“本国人”或“外国人”,所以中国游客即便短暂停留在欧盟境内,理论上也可能被认定为欧盟境内的数据主体。在网络随时随地可以连结及使用的情况下,互联网企业被认定锁定欧盟境内数据主体进行商品销售或服务提供的可能性一定是高于传统企业的。
(2)合规成本大幅增加
GDPR的严格规范造成企业合规的成本大幅增加。根据Veritas在2017年发布的调查数据,全球约有86%的企业担心未遵守GDPR规定将对其业务产生重大影响,其中更有20%企业觉得未能合规恐将造成企业迈向破产之路。Veritas指出平均每家企业在GDPR合规上所付出的成本达到了130万欧元(约为1000万人民币),高额成本无形中迫使企业必须做出选择,如果GDPR合规所支出的经费将远高于坚守欧盟市场带来的收益,企业就有可能直接放弃欧盟市场,所以已有几个美国本土的网站,如新闻类的洛杉矶时报(Los Angeles Times)及芝加哥论坛报(Chicago Tribune),以及提供网络文章保存服务的Instapaper等,在GDPR生效后采取封锁欧盟地区用户的作法。有些网站如Pottery Barn则是不屏蔽,但是拒绝接受来自于欧盟的订单,这些企业都是在合规与否的选择下,最终决定退出欧盟市场的例子。
(3)影响技术创新与应用
GDPR也被认为可能对新兴技术的应用产生影响。举例来说,GDPR赋予数据主体的隐私权利中,有关个人化自主决策(Automated Individual Decision-making)的规定可能影响了机器学习(Machine Learning)及人工智能(Artificial Intelligence)关联技术的应用,而被遗忘权(Right to be Forgotten)则被认为与区块链(Blockchain)技术的特性产生冲突。区块链的成功因素在于几个关键性的底层技术,包括:P2P、分布式账本及数位签名,比特币(Bitcoin)作为最早的区块链应用模式,就是通过数字签名,以数学演算加密方式设定了比特币的总量上限(2100万个),在物以稀为贵的概念下,吸引人们争相追逐比特币,也让一个比特币曾经一度达到两万美金的惊人价格。数字签名及非对称式加密算法(Asymmetric Cryptographic Algorithm)确保区块上的数据的真实性,任何人都无法篡改或修正。在这一特性下,假设用户要求更正或要求删除区块链上的信息,基本上将难以满足用户的请求,这也是区块链技术被认为可能与被遗忘权产生冲突的主要原因。
(4)用户流失及商誉受损
最后,GDPR的实施也可能造成用户的大量流失。Facebook在2018年7月25日公布第二季财报,公开表示受到GDPR的影响,欧盟用户在近二年首次出现负增长情形,其中,日活用户(Daily Active Users, DAUs)较2018年第一季减少300万人;月活用户(Monthly Active Users,MAUs)则较2018年第一季减少100万人。用户流失导致企业的市场价值遭受损害,Facebook公布欧盟用户下跌情形后,当日股价随即下跌18.96%,市值减少超过1200亿美元(约8200亿人民币)。是将GDPR视为一个发展的契机、一个危机还是一个阻力,某程度上决定了互联网企业是要持续拥抱欧盟市场,还是暂时观望,或者干脆放弃整个欧盟市场。
互联网企业面临GDPR带来的挑战,可以做些什么,以下3点很重要:
(1)欧盟用户及欧盟市场的明确界定
许多人是出于避免受到2000万欧元或全球营收4%的罚款,才关注GDPR。但如果我们自己无法清楚界定是否拥有欧盟用户的话,是否会遭到欧盟处罚事实上只是一个想象中或假设的问题。但要怎么去界定欧盟用户,企业到底有没有针对欧盟境内的数据主体进行商品销售或服务提供?事实上这个问题并不是GDPR生效后才出现,也不是隐私保护领域独有的议题。从90年代网际网络进入商业应用的时候就开始出现了,而其他的法律领域如反垄断或国际私法,事实上也曾出现相似讨论。90年代的时候我们可能以网络服务器(Server)所在地作为分支机构(Establishment)的判断标准之一,当时曾将这一概念称为黄金法则(Golden Rule),但现在进入云计算(Cloud Computing)时代,多数企业已无须实际采购网络服务器,这个判断标准也很快地不适用于当前的云服务环境。
可以一并留意的地方则是网站性质的明确界定:有没有锁定特定用户进行商品销售或服务提供,某程度上可以说与“网络管辖权”判断问题高度雷同,美国1997年Zippo案曾提出了知名的“滑动测试标准”(Sliding Scale Test)并将网站区分为三大类型:第一类是绝对商业性网站,它就是以商品销售/服务提供为目的,因此认定目标用户所在地法院有管辖权是毫无争议的,另一类是单纯的资讯提供网站,在不涉及商业目的下,不能认为网站有锁定用户进行商业活动的意图,所以用户所在地法院并不具有管辖权;而第三类则是处在两者之中的互动性网站,但互动性网站是否具备商业性质,则必须透过个案事实进行认定,并无法一概而论。观察90年代与当前的网络环境,早期的网站是否具备商业属性判断上相对容易,但现今的网站基本上都可以泛称为Zippo案中的互动性网站,所以滑动测试标准放到今天来看,好像又变成似是而非的观点。今天有没有GDPR合规的必要性,我们无可避免的必须先完整的梳理出有哪些商业模式,同时在可能的商业模式下,欧盟是不是会被认定为企业的目标市场。
(2)技术概念入法及对应的隐私合规工具开发
早期的隐私保护立法,可以说就是单纯的从法律层面谈论如何保护个人信息,但现今的隐私保护立法则是越来越重视技术的重要性,甚至开始将特定的技术概念直接订入隐私保护立法。例如GDPR所要求的“数据隐私影响评估”,最早只是列在ISO/IEC 27005中的产业标准,2002年美国联邦数据安全管理法(Federal Information Security Management Act, FISMA)正式将PIA纳到法律当中,从数据安全立法到隐私保护立法,技术概念现在已经变成个人信息保护立法的一个重要趋势。对于合规来说应该怎么转换法律的语言,这也是前面所说的如何让法律的规定跟技术能力能够连结在一起,让两个不同的领域彼此间相互的对话,互联网企业是有条件能够做好这件事情。
(3)个人信息保护与个人信息合理使用的取舍
现阶段全世界都面对到的共同问题是个人信息保护与个人信息合理使用的取舍。谈数据安全、谈个人信息保护,绝对不是只有侧重在所谓的“保护层面”。如何兼顾个人信息的“合理使用”,也受到了高度关注。谈到合理使用法律人经常会以另外一部法规作为对比:著作权法,而著作权本身又可以区分为著作人格权及著作财产权,兼具人格及财产属性事实上跟个人信息是相近的,所以个人信息保护立法应不应该有类似于著作权法的合理使用(Fair Use),甚至是“公共领域”(Public Domain)的概念,开始出现许多的讨论。但就性质来说,个人信息保护跟著作权还是有着本质上的差异,著作权本身是一种后天的权利,换句话说,人们必须将脑海中的创意适度地表现出来,才会构成著作权,光只有想法是不够的。但个人信息被视为是一种与生俱来的权利,这在学术上就产生很多讨论,包括它到底是不是一种宪法上的基本权利,还是只是民事上的权利,在民法典上需不需要纳入人格权法,以及在财产法体系下又应该如何体现它的价值。
目前国内刚好处在东西方隐私文化汇集的当下,从美国的产业自律思维,到欧盟强调的立法保护,在今天来看,我们似乎受到了欧盟较大的影响。但在发展的过程中,如何找到一条适合国内的道路,希望能从GDPR对于互联网企业产生的影响中,及互联网企业如何应对产生一些想法。