作為一般性的個(gè)人信息保護(hù)法律��,GDPR覆蓋公私領(lǐng)域���,適用各類機(jī)構(gòu)。政府機(jī)構(gòu)適用GDPR已無爭議�。2019年保加利亞數(shù)據(jù)保護(hù)委員會(huì)向其國家稅務(wù)局開具了近300萬美元的罰單,因后者沒有采取適當(dāng)?shù)谋Wo(hù)措施致使公民個(gè)人數(shù)據(jù)泄露�����。[8] 目前各成員國更多關(guān)注的是司法系統(tǒng)適用GDPR的問題�。GDPR第55條第3款規(guī)定:對(duì)于法庭在其司法活動(dòng)中進(jìn)行的處理操作��,監(jiān)管機(jī)構(gòu)不具有監(jiān)管職權(quán)�����。比利時(shí)在其評(píng)估報(bào)告中指出:這一條文容易在實(shí)踐中造成誤解,本條的立法本意是保障司法獨(dú)立�����,但容易被解釋為法院不受GDPR的規(guī)制��,因此比利時(shí)提出:應(yīng)明確將司法系統(tǒng)納入GDPR的調(diào)整范圍���,不管是行政機(jī)關(guān)�����、立法機(jī)關(guān)還是司法機(jī)關(guān)在處理數(shù)據(jù)時(shí)都應(yīng)視作數(shù)據(jù)控制者或處理者���。 法國對(duì)比利時(shí)的這一問題也做出了回應(yīng),表示司法系統(tǒng)毫無疑問也需要置于GDPR的規(guī)制之下���,考慮到司法獨(dú)立問題���,可以根據(jù)GDPR序言第20條的規(guī)定,在法院內(nèi)部設(shè)立一個(gè)獨(dú)立的數(shù)據(jù)監(jiān)管機(jī)構(gòu)���,保證法院受規(guī)制的同時(shí)不會(huì)影響司法的獨(dú)立性��。
圍繞司法系統(tǒng)的另一問題是����,在GDPR規(guī)定的“行政-司法”雙軌規(guī)制-救濟(jì)模式中,法院和數(shù)據(jù)保護(hù)機(jī)構(gòu)的職能應(yīng)如何協(xié)調(diào)�?奧地利在其報(bào)告中指出,由于數(shù)據(jù)保護(hù)機(jī)構(gòu)和法院都是完全獨(dú)立的����,且遵循不同的程序守則,因此GDPR規(guī)定的這種雙重救濟(jì)模式導(dǎo)致GDPR的適用不成體系�����,在某些情況下數(shù)據(jù)保護(hù)機(jī)構(gòu)的決定還會(huì)與法院相沖突��。 相比于GDPR中完整的行政規(guī)制體系�,歐盟對(duì)于司法救濟(jì)的態(tài)度僅僅停留在認(rèn)可階段。實(shí)踐中投訴到行政監(jiān)管的案件��,也只有1%左右會(huì)上訴到法院�,考慮到維權(quán)的時(shí)間和經(jīng)濟(jì)成本��、維權(quán)的靈活性等問題����,絕大多數(shù)的數(shù)據(jù)主體會(huì)主動(dòng)選擇行政規(guī)制模式����。[9] 數(shù)據(jù)跨境流通問題是歐盟此次GDPR評(píng)估的重點(diǎn)����,歐盟理事會(huì)提出數(shù)據(jù)自由流通是GDPR的一大目標(biāo),各成員國也就實(shí)踐中遇到具體問題進(jìn)行了反饋���。 首先�,各國都肯定了GDPR設(shè)置多類型����、多層次數(shù)據(jù)跨境流動(dòng)方式的必要性:充分性決定(第45條),適當(dāng)保障措施和行為準(zhǔn)則(第46���、40條)���,有約束力的公司規(guī)則(第47條)都有其不同的適用場景,需予以保持���。比利時(shí)提出:充分性決定對(duì)于私營公司數(shù)據(jù)跨境交換�、簡化手續(xù)和法律合規(guī)有重要意義,有助于實(shí)現(xiàn)單一(數(shù)字)市場的目標(biāo)�,但問題是這項(xiàng)制度屬于“正面白名單”,適用標(biāo)準(zhǔn)較高���,因此沒有得到充分利用�����,建議進(jìn)一步擴(kuò)充“白名單”�����,以納入更多可以合法流動(dòng)的區(qū)域���。 德國也支持上述觀點(diǎn):目前,通過歐盟充分性決定的國家與地區(qū)數(shù)量偏少(僅有13個(gè))�����。其中���,關(guān)于日本的充分性決定中�����,只認(rèn)可了商業(yè)部門��,而沒有為政府機(jī)構(gòu)之間的信息共享提供合法基礎(chǔ)���。歐盟理事會(huì)在其總結(jié)報(bào)告中吸收了成員國的上述觀點(diǎn),指出要繼續(xù)擴(kuò)充“白名單”�,以進(jìn)一步擴(kuò)展可以合法自由流動(dòng)的區(qū)域與部門。 此外��,對(duì)于“白名單”之外的其他合法流動(dòng)機(jī)制���,歐盟在報(bào)告中也指出����,將發(fā)布更多的標(biāo)準(zhǔn)合同模板��,以滿足不同類型的數(shù)據(jù)控制者和處理者的數(shù)據(jù)跨境流動(dòng)需求���。 自2012年啟動(dòng)GDPR立法時(shí)�,歐盟就負(fù)有著建立數(shù)字時(shí)代新秩序的雄心�����,對(duì)當(dāng)時(shí)的新技術(shù)應(yīng)用予以了制度回應(yīng)。例如:針對(duì)云計(jì)算業(yè)態(tài)中數(shù)據(jù)收集和處理相分離的情況�,在法律主體上區(qū)分了控制者和處理者;針對(duì)數(shù)據(jù)分析����,規(guī)定“畫像”條款;針對(duì)人工智能技術(shù)�,規(guī)定了自動(dòng)化決策條款。然而技術(shù)的迭代發(fā)展��,仍然持續(xù)帶來新問題���。最為典型的即區(qū)塊鏈技術(shù)�。直到今天��,圍繞該技術(shù)的GDPR適用����,仍然存在極大爭議(詳見:GDPR的真實(shí)面貌,十個(gè)誤解與爭議)。 隨著2016年的正式公布�,GDPR的制度已經(jīng)固化。相比之下��,技術(shù)發(fā)展卻仍在以驚人的速度高歌猛進(jìn)。在區(qū)塊鏈之外����,無人駕駛、面部識(shí)別�����、可穿戴設(shè)備����、智能家居�、醫(yī)療監(jiān)測器械、行為生物數(shù)據(jù)����、無人機(jī)等一個(gè)又一個(gè)技術(shù)應(yīng)用,不斷點(diǎn)燃數(shù)據(jù)驅(qū)動(dòng)的新領(lǐng)域��。對(duì)于這些新技術(shù)����,是嚴(yán)格套用GDPR予以規(guī)范,還是適度平衡隱私保護(hù)與創(chuàng)新發(fā)展��,是擺在歐盟面前的問題。 正如歐盟理事會(huì)在此次評(píng)估報(bào)告中所強(qiáng)調(diào):我們也應(yīng)該看到這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個(gè)巨大的優(yōu)勢�����,并有可能加強(qiáng)歐洲公民的隱私保護(hù)�����。例如:基于區(qū)塊鏈的“零知識(shí)證明技術(shù)”能夠?qū)崿F(xiàn)使用盡可能少的個(gè)人信息�,同時(shí)驗(yàn)證某一特定主體的身份;[10]差異隱私技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)集中而帶來的價(jià)值����,但同時(shí)保持特定自然人身份不被識(shí)別。[11]法律的適用應(yīng)當(dāng)為技術(shù)發(fā)展留有“一定空間”���,而不是完全抵制���。歐盟在今年3月發(fā)布的《人工智能白皮書》,最終刪除了原本寫入的人臉識(shí)別禁用條款�����,也再次體現(xiàn)了這種權(quán)衡��。[12] 正如兩年前GDPR生效時(shí),我們所預(yù)言的那樣:立法文本的正式通過�����,并不意味著制度規(guī)范都已成熟���,相反���,秩序建設(shè)才剛剛拉開序幕����。面臨挑戰(zhàn)的不僅是GDPR的適用對(duì)象,也包括GDPR本身��。而讓一項(xiàng)制度日臻完善的路徑��,是不斷結(jié)合實(shí)踐��,持續(xù)對(duì)制度本身予以客觀評(píng)估��,識(shí)別問題并總結(jié)經(jīng)驗(yàn)�����。
注釋:
[1]歐盟理事會(huì)已將這19個(gè)報(bào)告匯總在一起,下文提到的各國報(bào)告都可通過查閱匯總報(bào)告獲得���。Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) - Comments from Member States,https://data.consilium.europa.eu/doc/document/ST-12756-2019-REV-1/en/pdf.
[2] Council position and findings on the application of the General Data Protection Regulation (GDPR) – Adoption,https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf.
[3] https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
[4] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
[5] Harris M, Patten K, Regan E, Fjermestad J, Harris M (2012) Mobile and connected device security considerations : a dilemma for small and medium enterprise business mobility? In: AMCIS 2012
[6] See Lothar Determann , Representatives under Art. 27 of the GDPR: All your questions answered,https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/2018/10/representatives-under-art-27-of-the-gdpr-iapp-2018.pdf?la=en
[7] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en
[8] Se https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_ene Bulgaria, fines in millions for personal data breaches, https://www.lexology.com/library/detail.aspx?g=6356ed78-03c2-48d0-add2-c8848bfc60c9.
[9] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
[10]零知識(shí)證明技術(shù)指的是證明者能夠在盡可能少向驗(yàn)證者提供甚至不提供任何有用的信息的情況下��,使驗(yàn)證者相信某個(gè)論斷是正確的��。AHN Gail-Joon, “Zero-knowledge proofs of retrievability”, Science China (Information Sciences), Vol.10(8), 2011, pp.1608-1617.
[11]差異隱私技術(shù)指的是從統(tǒng)計(jì)數(shù)據(jù)庫查詢時(shí)�����,最大化數(shù)據(jù)查詢的準(zhǔn)確性��,同時(shí)最大限度減少識(shí)別其記錄的機(jī)會(huì)����,這種機(jī)制的核心是給查詢的結(jié)果增加一定的噪點(diǎn)��。Mannhardt, Felix, “Privacy-Preserving Process Mining”, Business & information systems engineering, Vol.61(5), 2019, pp.595-614.
[12] See European Commission, White Paper on Artificial Intelligence: a European approach to excellence and trust,https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en
作者 | 王 融 騰訊研究院資深專家
作者 | 朱軍彪 騰訊研究院助理研究員
