A3:观察
不仅是中国,如何调和数字经济发展与安全的矛盾是全球各国共同面临的难题。据统计,目前全球共有126个国家和地区制定了专门的个人信息保护法,内容包含建立专门的个人信息保护机构、强化数据权利主体的控制力和探索建立安全的数据自由流动规则等。
以美国和欧盟为例,二者在个人数据隐私保护领域就采取了迥异的立法模式。美国法模式的特点是分散立法而非制定统一的个人信息保护法,即在各个行业分别制定有关个人信息保护的法律规则、准则。不同于美国,欧盟选择了在政府主导下以立法手段规制个人信息领域问题的模式。2016年4月27日,欧盟通过了《一般数据保护条例》(GeneralDataProtectionRegulation)(以下简称“GDPR”)。GDPR经两年过渡期后取代1995年出台的《欧盟数据保护指令》(以下简称《指令》)并于2018年5月25日正式生效。这标志着欧盟建立了统一的个人数据保护法制。
GDPR的通过无疑是对个人信息保护领域做出的一次创新性尝试。根据GDPR第1条的表述,“本条例保护自然人的基本权利和自由,尤其是他们的个人数据保护权(theirrighttotheprotectionofpersonaldata)。”这意味着其突破了1995年《指令》将个人数据保护权归属于隐私权的权利属性,明确提出了个人数据保护权的概念,改变了以往该权利属性不明的状态。此外,GDPR还首次规定了删除权和数据便携性的权利。另外,GDPR对同意权的规定更为严格,数据主体的同意只能是具体的,不能被假设。
对美国和欧盟在个人信息保护领域立法的差异,方禹这样评价:“欧美两国在对该领域立法时,背后的逻辑截然不同。美国基于其自身信息通信产业优势地位,主张数据自由流动,所以立法更向数据收集者一方倾斜;而欧盟强调公民权利和自由,个人信息保护水平为全球最高。”
尽管美欧之间个人信息数据的保护程度存在差异,但跨境数据仍需要流动,这一问题已成为美欧间博弈的焦点。2000年,“安全港”的概念被首次使用,使美国公司的数据收集和处理行为能够达到相应的隐私权保护标准,从而消除了美国和欧盟间个人数据传送的障碍。然而,在2015年,也就是GDPR颁布的前一年,“安全港”协议被废除。尽管“安全港”协议被废除,但美欧之间仍存在价值2600亿美元的跨境数据贸易,2016年8月,“隐私盾”协议生效,代替了存续15年的“安全港”协议。方禹分析,这反映了欧盟对个人信息数据不断加强保护的倾向。
从2018年5月至今,GDPR已实施满一年。近日,美国智库信息技术和创新基金会(ITIF)下属的数据创新中心(Centerfordateinnovation)发布了《GDPR实施一年以来的影响》报告。该报告指出,GDPR实施一年以来,有越来越多的证据表明该法律没有产生预期的效果,而且还可能导致很多意想不到的严重后果。此外,也有多个调研机构用数据证实了GDPR的弊端,比如:对欧盟经济产生负面影响、消耗公司资源、损害欧洲科技创业公司、降低数字广告行业的竞争力、未能增加用户的信任、未能在成员国之间统一实施等。
(消费日报 www.xfrb.com.cn)