号称“史上最严”数据保护条例——欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR,以下简称《条例》),5月25日起正式实施。其威力几乎在第一时间就显现出来,部分美国网站已经决定屏蔽数量共计五亿的欧洲居民,而这些欧洲人口大约为美国人口的1.5倍。
一个地区性的法规之所以有这么大的影响力,就在于这份法规本身的严厉程度。《条例》将个人数据的种类扩展到包括基本的身份信息,网络数据,如位置、IP地址、Cookie数据等;医疗保健和遗传数据;生物识别数据,如指纹、虹膜等多个维度,基本已经覆盖到一个人的全部生活轨迹。在此前提下,《条例》赋予了数据主体更多的权利。比如,增加了数据主体的“同意”要件;保障个人对其数据的“访问权”“限制处理权”与“拒绝权”。此外,《条例》创建了“可携权”与“擦除权”(又称“被遗忘权”)等新权利。
数据的拒绝权和被遗忘权在个人数据维权体系中占据决定性的作用。我们知道大数据和人工智能之所以有个性化定制、精准推送、趋势预测这些丰富多彩的应用,关键在于数据的准确性和完整性,如果用户可以要求删除数据,遗忘个人信息,大数据的价值就会大打折扣,严重的情况下甚至可能失效。
不要以为远在欧盟的这份法规,跟我们无关,部分美国网站对欧盟公民屏蔽,显然是因为它们看到了其中暗藏的风险,潜在的伤害可能超出可能的收益,与其在风口上过日子,不如一关了之。《条例》)规定,只要其在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于《条例》。这也是《条例》在全球引起极大震动的核心原因之一。电子商务、社交网络等新兴行业固然在风波中心,银行、保险、航空等传统行业也很难置身事外,除非放弃欧盟5亿发达人口市场。《条例》同时规定,如果违反《条例》相关规定,相关企业会面临高额的经济处罚:处罚高达2000万欧元或者全球年总营业收入的4%。
对于这样一份法律,等闲视之是不行的,需要从政府到民间,特别是从事互联网服务的企业引起高度重视。这首先在于眼前的近忧需要应对之策,更在于数据权利保护的“远虑”已经呼之欲出。欧盟是世界重要的经济体,与其他国家和地区经济文化交流人员往来密切,我中有你你中有我,盘根错节,避无可避,很难完全绕得开。你可以不在欧盟境内开展业务,但你又如何拒绝欧盟公民来访问使用你的互联网服务呢?小企业可以关上大门,但对阿里腾讯以及所有立志走向世界的企业来说,合规性审查已经是一个迫在眉睫的问题。
更要看到,《条例》的出台传递出的信号非常明确,加强对数据权利的保护已经是世界趋势,不止欧盟,互联网产业更为发达的美国和中国也在推动数据权利保护的立法进程;大家的权利意识在觉醒,对数据权利保护的呼声只会越来越大。这些都决定了,过去一段时间里野蛮的数据收集行为不可能再持续下去,企业本身就需要跟上社会进步的步伐。
互联网产业始终存在的一个隐患就是,合法性的问题,由于立法的相对滞后,在个人信息收集、保护、利用、权属上一直存在巨大的争议;法律的缺失,也给数据的交易流通利用蒙上了阴影,眼前看来企业从无序收集中得到了便宜,但长远看,也埋下了隐患。尽早摘掉这个炸弹,将互联网产业的发展导入一个合法的渠道,给它一个坚实的法律基础,不是坏事。(高路)