以個人數據保護為突破口,不少國家加快了互聯網數據管理的規則制定,歐盟的GDPR是其中的一個代表。未來,更加平衡、完善和科學的互聯網數據管理方法,需要兼顧數字經濟的發展、個人隱私的保護和國家安全三方面的正當訴求,可以有所側重,但不能出現顯著偏頗,更不能用“回到過去”的方式消極應對。
沈逸
5月底,歐盟《通用數據保護條例》(GDPR)在走完兩年的緩沖期后正式生效。
GDPR被稱為“史上最嚴數據保護條例”,從某種意義上說,該條例試圖實現對網絡空間個人信息的“絕對保護”,不僅對個人信息的類型、網絡空間采集和使用個人信息的主體及使用規范做出了嚴格規定,還制定了金額巨大的罰款規則。理論上,違規企業最高將面臨2000萬歐元或全球年營業額4%(以較高者為準)的罰款。
一些媒體和分析人士認為,該條例將引發一場“互聯網大革命”。
歐盟:個體信息權利至上
GDPR之所以沖擊巨大,首先因為歐洲在全球互聯網市場中的地位非常重要。據互聯網數據統計機構(IWS)的數據,截至2017年12月31日,全球互聯網滲透率約為54.4%,而歐洲(包括俄羅斯)的互聯網滲透率高達85.2%,僅次于北美地區的95%。歐洲互聯網用戶占全球互聯網用戶的比例為17%,僅次于亞洲,位列世界第二。單就歐盟而言,其互聯網用戶數占全球的比例為11.3%,如果排除英國,歐盟的互聯網用戶仍占到全球總數的9.7%。
其次,GDPR開啟了一個先例,即在互聯網領域把個體權利保障上升為一種至高的準則,在形式和程序上要求互聯網公司的業務流程必須服從和服務于個人隱私保障的需要,并愿意為此承受巨大代價。這種代價包括落實和執行的代價、犧牲數字經濟發展帶來的收益以及在必要時以某種方式和全球網絡空間主要部分以制度性的方式進行隔離等。
美國智庫“數據創新中心”(CFDI)就認為,該條例將對人工智能技術發展造成重大負面影響,使歐盟公司與北美和亞洲的競爭對手相比處于競爭劣勢。同時,GDPR限制條款對保護消費者沒有什么作用,在某些情況下甚至可能對消費者造成傷害。
一些分析人士認為,歐盟最終讓GDPR生效,并非全然不知其中的弊端,但自2016年特朗普贏得美國總統大選以來,關于俄羅斯是否借助社交媒體影響了歐美等國國內政治的各種猜測和報道,以及近期臉書發生嚴重數據泄露丑聞等,讓如何有效保護個人隱私成為歐盟各國關注的焦點。
此外,相比于北美和亞洲,歐盟在互聯網領域缺乏具有重大利益的本土企業。這使得GDPR雖然處罰很重,但“打別人家的孩子自己不心疼”。
美國:重在對數據“長臂管轄”
美國是互聯網的發源地,該國一直在探索如何構建網絡空間的有效治理體系,其遵循的原則與歐盟明顯不同。2014年,當歐洲法院做出普通民眾享有“被遺忘權”(即民眾可要求互聯網公司從網絡空間刪除其不希望被展示的信息)的裁決時,有分析指出,盡管同樣對個人隱私敏感,但美國的法院不太可能做出類似裁決,因為相比于歐盟對個人隱私壓倒性的關注,美國的治理體系更加關注公司需求,以及作為“大國”在全球網絡空間享有的行動自由。
在美國看來,比起保護個人隱私和數據的正當使用,保障政府對數據的“長臂管轄”更為重要。2018年3月23日,美國國會通過了《澄清境外數據合法使用法案》,又稱《云法案》。其核心就是授權美國政府與其認定的“合格國家”建立近似對等的跨境數據調取體系,從而使開展跨境數據流動的管轄和電子取證更加便捷。
該法使美國政府的相關部門可以要求在美國開展業務或者設立分支機構的公司提供其業務網絡能夠調取的電子證據和相關數據,而無視這些數據存儲在哪個具體的地理位置;同時,該法為在非“合格國家”開展相關業務的美國企業拒絕當地政府的類似數據要求提供了美國國內法依據。此外,該法案設置了成為“合格國家”的特定條件,搭建了一個排他系統。
此外,美國還非常重視保持自身在全球網絡空間關鍵基礎設施管轄上的優勢。例如,2016年10月,美國商務部下屬機構國家電信和信息管理局(NTIA)將掌握著互聯網域名解析的全球頂級根服務器的監管權移交給總部位于美國加利福尼亞州的互聯網名稱與數字地址分配機構(ICANN),此舉使美國政府對互聯網域名的行政管轄轉化為形式上更加間接的司法管轄,但仍然確保了最終的游戲規則遵循美國的法律。
歐美規則的問題
歐盟公布GDPR已有半月多,據歐盟的消息,該條例的全球示范效應正在顯現。日本、韓國、印度和泰國已著手從該條例中吸取靈感來構建自己的互聯網數據保護規范。
但是,歐盟要將GDPR保護民眾數據安全的初衷落到實處并不容易,其對個人權利的絕對化主張,無視了信息時代不同以往的對獲取和使用個人數據的內生需求,可謂“過猶不及”;其次,歐盟內部與該條例相關的機制也需要調整,制定出細則,而這也將耗時耗力。而美國的規則更加偏向自己的公司和國家利益,強調美國的控制,“霸權”色彩較濃,更非國際互聯網空間治理的良性選擇。
2016年以來,全球網絡空間自發生長的狀態正在逐漸成為過去時;以個人數據保護為突破口,不少國家都加快了相關領域的規則制定,GDPR是其中的一個代表,該條例雖然存在明顯缺陷,未來隨著其實施效果的不斷顯現,或可刺激世界其他各國和地區制定出更加平衡、完善和科學的互聯網數據管理方法。該方法需要兼顧數字經濟的發展、個人隱私的保護和國家安全三方面的正當訴求,可以有所側重,但不能出現顯著偏頗,更不能用“回到過去”的方式消極應對。(轉載自新華網)
