王孔祥
从根本的立法理念出发,理解该条例的精髓,客观地将其与相关法律法规做比较,才能在“合规”成本最小化的当下,探索具有中国特色且更适合中国国情的应对策略和措施
2018年5月生效的欧盟《通用数据保护条例》(GDPR),其影响远远超越了地理范畴,进而扩散到数据流通的全球网络空间。原本是在欧盟网信行业总体发展和政策导向背景下出台的条例,却将保护欧盟公民个人数据的“域内效力”上升为“全球标准”。从立法理念的根本出发,理解该条例的精髓,客观地比较与其相关的法律法规,才能在“合规”成本最小化的当下,探索具有中国特色且更适合中国国情的应对策略和措施。
GDPR的生效表明,欧盟正在改变其数据隐私规则。现在人们已经习惯了以“免费”换取服务:授予公司许可存储、处理和利用其个人数据和信息。但是,近年来曝光的一些案例、关于大数据安全漏洞的丑闻,以及公司如何使用和销售其收集的信息,已经引起人们对个人数据如何被用来构建自身无法控制的详细个人档案的担忧。
2018年4月10日,脸书公司首席执行官马克·扎克伯格在美国参议院联合听证会上曾表示,在用户同意放弃数据之前,他“原则上”支持为用户提供类似于GDPR的选择标准,并认为“总的来说,GDPR对互联网将是非常积极的一步”。在4月22日出席欧洲议会听证会时,扎克伯格承诺,一定会遵守这一新法规。
对于国际化公司而言,遵守当地政策和法规是基本前提。毕竟,公司的国际化战略布局绕不开当地监管。同样,互联网公司也会遵守适用于其相关业务的GDPR规则。因此,欧盟新规对于互联网巨头们的威慑力不可谓不严。
许多大型在线服务和社交媒体公司都在更新他们的隐私政策和服务条款,为新立法做准备。其中就包括Beacon广告计划,Beacon是脸书在2007年推出的一项富有争议的社交广告服务,该服务会将用户在其他网站的行为公之于众。为应对GDPR的影响,美国科技巨头正在按照新规定倾注资源,例如微软公司聘用了超过1600名工程师。此外,像医疗保健提供商、保险公司、银行和任何其他处理敏感个人数据的公司都将面临困境。有些小型美国公司正在退出欧盟市场,以避免受到GDPR的冲击。美国科技初创企业担心,合规成本可能超过其在欧盟地区获得的收益。如果小公司退出市场,像谷歌和脸书这样的公司就可以从GDPR中受益。
GDPR是一部重整全球数据秩序的法令,欧盟以外的公司也将从多个层面受到影响。从过去两年的过渡期运行来看,欧盟内企业关于GDPR合规的意识普遍较强,甚至有不少企业已经为GDPR合规付出了较大的财务和管理成本,削减了营业收入和营销手段。由于GDPR规定企业间数据交流的方式,一旦出现不合规的现象,数据供应链上下各方都会被问责。为避免风险,欧盟企业日后在选择境外合作伙伴时,会将数据保护作为一项重要考量标准。当前,欧盟委员会甚至已经开始讨论,未来不排除限制欧盟与数据保护不过关的国家签订贸易协议的可能。
适用GDPR的中国企业主要有两种情形:第一,在欧盟境内设有机构的中国企业,如果其通过该机构开展业务的过程中涉及对个人数据的处理,不管该处理是否发生在欧盟境内,都应适用GDPR;第二,尚未在欧盟境内设有机构的中国企业,如果其向欧盟境内的个人提供商品或服务的过程中(无论是否收费),涉及对个人数据的处理,也应适用于GDPR。
相比西方巨头们的未雨绸缪,似乎不少中国公司对此反应并不明显。中国互联网企业对GDPR的重视程度严重不足,或者说是严重低估和错判了它带来的影响。毕竟,在过去很多公司是以大规模搜集和运用网民个人数据为基础建立起来的商业模式。现有中国互联网公司在欧盟以外地区的做法基本难以符合GDPR的规范。基于个人信息收集和隐私驱动的互联网企业,可能首当其冲。
2018年5月25日,包括微信海外版、新浪微博国际版、阿里巴巴旗下的全球速卖通(AliExpress)等多家中国互联网公司,已纷纷向欧洲区用户更新隐私政策、请求重新授权。据了解,海尔、华为等在欧洲有较大市场份额并有意进军物联网的制造业领军者,也早已雇请专门团队应对GDPR。业界普遍认为,GDPR既对行业提出了更高要求和挑战,也使企业间的竞争有法可依,在一定程度上使行业更加规范。可谓,机遇与挑战并存。
腾讯的反应最为迅速。2018年4月13日,腾讯QQ就向其国际版用户发布通知,将在5月20日起停止向欧洲区用户提供服务。尽管腾讯随即声明会继续保留该服务,但可以看出,慑于强大的惩罚力度,不少中国企业已经对GDPR有所行动。随后,腾讯官方表示,更新到5.0及以上版本的QQ国际版可继续使用,旧版本则在5月20日停止使用。其中隐私政策于2018年5月23日已更新,详细说明所搜集的信息类型、存储和使用方法、信息共享对象、数据处理地点、信息保留时长等内容。显然,这是为符合GDPR的要求做出的修改。
此外,微信也在5月更新了其国际版的隐私条款,条款详细说明了信息的使用规则、存储地点、适用法规等。值得注意的是,微信国际版的隐私政策中对信息的保留时间也有明示:未登录账号时间达到180天后,账号信息会被删除;聊天记录会被存储72小时,随后永久删除。但是,这些改变在中国的微信版本中并没有体现。
早在2016年,阿里巴巴集团董事局主席马云就提出,未来海外市场要占到阿里收入的一半。截至目前,阿里云在全球已覆盖18个国家和地区,完成42个可用域。阿里云相关业务已从平台、系统、产品、服务、合规、流程、政策等全方面进行改进。按照GDPR的要求,持续进行数据保护与相关服务的整改。
此外,蚂蚁金服也一直非常重视数据安全和个人信息保护。2017年,蚂蚁金服率先成立了隐私保护办公室,进一步加强对数据隐私的管理体系、规范和能力。为确保有效地落实隐私保护各项要求,华为公司成立了“全球网络安全与用户隐私保护委员会”,是华为公司最高的网络安全和用户隐私保护管理机构,聚集了全球网络安全和用户隐私保护领域的精英人士,設立并任命了全球网络安全与用户隐私保护官,直接向CEO汇报。华为所有业务单元均设置有专职的隐私相关的角色或组织。同时,根据GDPR的要求,华为还任命了欧盟数据保护官。小米表示,整个行业都需要全力提升数据安全和隐私保护的意识,加大设计和研发投入,以加速符合GDPR的要求。
GDPR正在改变大公司对待用户数据的方式。中国企业对GDPR的态度分化比较明显。一方面,有很早就开始为GDPR做准备的企业,主要是一些大型互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力可以负担合规成本。另一方面,也有大量企业并未认真对待GDPR。其中有一类企业面临的风险最大,即在某个细分市场已经做到了领头羊、拥有涉欧业务、但尚未进行GDPR合规的中国企业。这类企业有一定的关注度和财力,在欧盟通常会有本地的竞争对手,而对手很有可能在过去两年已经投入了GDPR合规成本,甚至就此调整了业务、减少了广告活动。此时,尚未进行合规的中国企业将很容易成为“枪靶子”。因为作为竞争对手的欧盟企业将有很强的动机向所在国监管机关投诉、举报。而成员国政府出于保护本国企业的目的,也会有很强的动机进行调查。中国企业将因此面临巨大的GDPR处罚风险。
应对GDPR,企业越早做准备越好。虽然短期内会增加一定成本,但是可帮助企业避免风险,且对长期的声誉有好处。以下建议可供中国相关互联网企业应对GDPR的参考:
第一,企业应先对GDPR有大致了解,进行初步评估,判断该企业是否适用GDPR。在情况复杂、无法判断的情况下,企业可以聘请外部机构做进一步调查确认。一旦确认适用GDPR,应开展相应的GDPR专项合规工作。由于GDPR涉及业务、信息技术、法务等多个部门的协同,在人力方面,应考虑设置内部数据保护方面的负责人,或是聘请外部合规顾问。
第二,对于一些还不能达到合规要求的产品,建议相关公司选择关闭其欧洲业务。比如热门的《绝地求生》游戏就在2018年4月份关闭了欧洲服务器。小米生态链企业、智能灯具品牌Yeelight则通知称,由于无法满足欧盟最新出台的GDPR要求,将不再向欧洲用户提供服务。
第三,要尽快落实数据合规的基础设施,调整隐私政策、审查数据处理协议、开展数据审计、评估合规差距,并进行持续性的培训、检测与跟踪。
第四,在具体细节方面,尽管这部法律未作强制性的要求,但是结合GDPR立法的本意是将用户同意视为数据处理最重要的条件,其核心变化是,数据主体做出声明,或者做出清晰的肯定性动作,同意才被认为有效。个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意。GDPR还明确了何种情况下,同意不是由数据主体自由地做出。数据控制方还应当告知数据主体撤回同意的权利。建议采用隐私政策单独弹框同意,作为风险相对较小的做法。
GDPR的总体思路就是制定更有效的内部治理,以及更强的外部威慑。实际上,它在个人信息使用目的限制、数据留存期限等方面“留了口子”,尽量为大数据开发利用开辟可能的路径;同时也更加强调责任原则、透明原则的地位和作用,调动信息控制者参与数据治理的积极性。GDPR只是提高了门槛,法律对全世界的公司来说都是公平的,企业可以通过改变自己去适应监管。
未来,基于大数据和隐私保护的相关产业,也会更加受到重视。毕竟,规则制定者的目的,是为了引导行业更好发展,而不是为了扼杀它们。在全球化趋势下,一部分中国企业对此反思,也未尝不是一次完善自己的机会。在大平臺的带动下,中国互联网公司对于数据隐私的保护也会更上一个台阶。
(作者为中国国际关系学院法律系教授。硕士生李剑对此文亦有贡献)