欧盟推史上“最严数据法”,隐私成了所有互联网巨头的命门丨科技云·视角

2022-04-14 20:20:48 浏览数 (1)

欧盟的隐私保护法正在面临自1995设立以来最大的改革。今年5月25日,一项被称为“史上最严”的数据保护法案从布鲁塞尔发出,在欧盟开始全面执行。


这项名为《通用数据保护条例》(简称GDPR)的法案,因其详苛的规定、广阔的适用范围、高昂的罚款,早在其正式生效之前便已引得各方高度关注。该法案的生效似乎也在提示,一场数字时代的旋风即将来临。

GDPR重构互联网治理秩序

为互联网秩序提供基本合规框架

GDPR的宗旨在于协调整个欧盟的数据隐私立法,让人们更好地掌控自己的个人数据,其将彻底改变各类组织处理和使用他们收集的个人数据的方式。

GDPR主要从个人对其信息的控制权、信息控制者、处理者的义务和责任的界定、信息跨境和刑事活动领域的特殊信息保护规则等方面,对科技公司使用身份数据的边界、应当承担的责任和义务,提供了基本的合规框架。

GDPR的权利体现在:除了拓宽“个人数据”的范围、并将高度保护个人隐私的“数据可携权”和“被遗忘权”明确写入法条之外,GDPR还强调了数据保护要由“属地”向“属人”转变。

这意味着,条例的适用范围不再局限于欧盟境内,任何企业只要向欧盟市场提供商品服务,收集或处理个人数据,都受到管辖。无疑,这对从事数据收集和处理的企业及其产业链,都提出了极高的要求。

GDPR规定,不管是数据管理者(data controller)还是数据处理者(data processor),都必须以合法、公平、透明的方式收集和处理信息,必须用通俗的语言向用户解释收集数据的方式,并有义务采取措施删除或纠正有误的个人数据。

GDPR也规定了企业间数据交流的方式:允许欧盟企业在集团内部进行数据交流,但若要向欧盟以外传输数据,则需要满足一定条件,例如,该地需属于欧盟委员会认定“具有适当数据保护水平”的地区。而一旦出现不合规的现象,数据供应链自上而下的各方都会被问责。

在欧洲,数据隐私向来都是一项重要议题。关于数据保护的讨论早在上世纪中期便已开始,立法实践则可追溯到1970年的德国,当时的黑森州颁布了世界上第一部专门针对个人数据保护的法律。

到1995年,欧盟发布了《欧盟数据保护指令》(简称“95指令”)这是第一部面向全欧盟的数据保护法律,一直沿用至今。2018年5月25日之后,“95指令”将被GDPR取代。

进入2000年以后,科技的高速发展不断带来数字侵权的新案例,“棱镜门”等也引发了政府监控的新担忧。

当今的社会是“平台社会”,用户和数据不断向Google、Facebook这类的大平台聚集,除了给平台带来巨大的商业利益,也赋予了它们越来越不受约束的权力。

在这一轮数字化的洗牌之后,权力结构完成重组,是时候进入对“平台社会”的管控阶段了。为了追赶这一趋势,欧洲议会在2012年1月提出要改革欧盟数据保护法规,于2016年4月通过了GDPR,并给予了两年的过渡期,至2018年5月。

如何协调技术发展与GDPR

成未来法案关键点

如何协调技术发展与GDPR法案,将是未来该法案的一个关键点,比如区块链就与GDPR有所冲突。

虽然GDPR有意要避免技术局限性,但它仍是建立在个人数据会被存储在传统中心化实体的假设之上,可以由人轻松地在GDPR框架下统一管理。但在区块链的语境下,全球性的分布式网络如何能够实现与GDPR标准的对接,还需要更多探索。

其中一种可行的方案是,探索个人数据的链下存储方式。这种分裂式的数据结构允许区块链引用个人信息,但没有获得权限时不能访问存储在链下数据库中的个人信息。通过双重数据处理结构,使其中一笔交易的合约部分通过链上的智能合约来执行,而实际数据的传输则发生在链下。

GDPR框架的提出,也衍生出了一系列必须思考的议题。比如,如何确认链下数据库的合规管理?链下访问的个人数据如何能轻松地服务于链上交易?如何确保区块链数字身份的每个节点都符合GDPR的隐私标准?这些区块链数字身份项目在未来需要解决的艰巨任务。

除了区块链,通过限制数据流动和增加法律风险,GDPR或许还将给人工智能行业带来一股冷风。《金融时报》欧洲编辑约翰•桑希尔曾指出,如果说数据是算法需要的大量燃料,那么欧洲也许正在配给供应其最宝贵的大宗商品,几乎完全不受隐私忧虑桎梏的中国人工智能企业,在利用海量数据方面将具有原始竞争力。

数据共享的核心其实是信任,严格的法律保护能够建立足够的社会信心,使得数据可以在企业层面流动,才有空间产生新产品和新产业,这是一整个良性循环的生态系统。在欧洲,总体的信任程度比中国要强,数据共享也因此能够走在前面。

另外,GDPR的执行也是一项难点。欧盟在制定法条时没有把中小企业的合规成本考虑进去,这将让它们在竞争中处于更加弱势的位置。合规本身构成进入障碍,有强化老牌企业、遏制中小企业之嫌,这是GDPR被人批评的另一个方面。

同时,法案能在欧盟域外生效的特性也招致了域外执法是否可能的质疑。原则上,欧盟法对于域外的主体仍有约束力,可以开出罚单,但要如何执行仍然存疑。

GDPR迈出了数据向用户赋能的重要一步,尤其是它要求所有公司允许用户下载甚至删除数据、或者把数据迁移到其他平台。未来数字身份的发展方向将是在合规的法律框架下,确保必要的调控和新技术可以和谐共存。


【科技云报道原创】

转载请注明“科技云报道”并附本文链接

0 人点赞