以个人数据保护为突破口,不少国家加快了互联网数据管理的规则制定,欧盟的GDPR是其中的一个代表。未来,更加平衡、完善和科学的互联网数据管理方法,需要兼顾数字经济的发展、个人隐私的保护和国家安全三方面的正当诉求,可以有所侧重,但不能出现显著偏颇,更不能用“回到过去”的方式消极应对。
沈逸
5月底,欧盟《通用数据保护条例》(GDPR)在走完两年的缓冲期后正式生效。
GDPR被称为“史上最严数据保护条例”,从某种意义上说,该条例试图实现对网络空间个人信息的“绝对保护”,不仅对个人信息的类型、网络空间采集和使用个人信息的主体及使用规范做出了严格规定,还制定了金额巨大的罚款规则。理论上,违规企业最高将面临2000万欧元或全球年营业额4%(以较高者为准)的罚款。
一些媒体和分析人士认为,该条例将引发一场“互联网大革命”。
欧盟:个体信息权利至上
GDPR之所以冲击巨大,首先因为欧洲在全球互联网市场中的地位非常重要。据互联网数据统计机构(IWS)的数据,截至2017年12月31日,全球互联网渗透率约为54.4%,而欧洲(包括俄罗斯)的互联网渗透率高达85.2%,仅次于北美地区的95%。欧洲互联网用户占全球互联网用户的比例为17%,仅次于亚洲,位列世界第二。单就欧盟而言,其互联网用户数占全球的比例为11.3%,如果排除英国,欧盟的互联网用户仍占到全球总数的9.7%。
其次,GDPR开启了一个先例,即在互联网领域把个体权利保障上升为一种至高的准则,在形式和程序上要求互联网公司的业务流程必须服从和服务于个人隐私保障的需要,并愿意为此承受巨大代价。这种代价包括落实和执行的代价、牺牲数字经济发展带来的收益以及在必要时以某种方式和全球网络空间主要部分以制度性的方式进行隔离等。
美国智库“数据创新中心”(CFDI)就认为,该条例将对人工智能技术发展造成重大负面影响,使欧盟公司与北美和亚洲的竞争对手相比处于竞争劣势。同时,GDPR限制条款对保护消费者没有什么作用,在某些情况下甚至可能对消费者造成伤害。
一些分析人士认为,欧盟最终让GDPR生效,并非全然不知其中的弊端,但自2016年特朗普赢得美国总统大选以来,关于俄罗斯是否借助社交媒体影响了欧美等国国内政治的各种猜测和报道,以及近期脸书发生严重数据泄露丑闻等,让如何有效保护个人隐私成为欧盟各国关注的焦点。
此外,相比于北美和亚洲,欧盟在互联网领域缺乏具有重大利益的本土企业。这使得GDPR虽然处罚很重,但“打别人家的孩子自己不心疼”。
美国:重在对数据“长臂管辖”
美国是互联网的发源地,该国一直在探索如何构建网络空间的有效治理体系,其遵循的原则与欧盟明显不同。2014年,当欧洲法院做出普通民众享有“被遗忘权”(即民众可要求互联网公司从网络空间删除其不希望被展示的信息)的裁决时,有分析指出,尽管同样对个人隐私敏感,但美国的法院不太可能做出类似裁决,因为相比于欧盟对个人隐私压倒性的关注,美国的治理体系更加关注公司需求,以及作为“大国”在全球网络空间享有的行动自由。
在美国看来,比起保护个人隐私和数据的正当使用,保障政府对数据的“长臂管辖”更为重要。2018年3月23日,美国国会通过了《澄清境外数据合法使用法案》,又称《云法案》。其核心就是授权美国政府与其认定的“合格国家”建立近似对等的跨境数据调取体系,从而使开展跨境数据流动的管辖和电子取证更加便捷。
该法使美国政府的相关部门可以要求在美国开展业务或者设立分支机构的公司提供其业务网络能够调取的电子证据和相关数据,而无视这些数据存储在哪个具体的地理位置;同时,该法为在非“合格国家”开展相关业务的美国企业拒绝当地政府的类似数据要求提供了美国国内法依据。此外,该法案设置了成为“合格国家”的特定条件,搭建了一个排他系统。
此外,美国还非常重视保持自身在全球网络空间关键基础设施管辖上的优势。例如,2016年10月,美国商务部下属机构国家电信和信息管理局(NTIA)将掌握着互联网域名解析的全球顶级根服务器的监管权移交给总部位于美国加利福尼亚州的互联网名称与数字地址分配机构(ICANN),此举使美国政府对互联网域名的行政管辖转化为形式上更加间接的司法管辖,但仍然确保了最终的游戏规则遵循美国的法律。
欧美规则的问题
欧盟公布GDPR已有半月多,据欧盟的消息,该条例的全球示范效应正在显现。日本、韩国、印度和泰国已着手从该条例中吸取灵感来构建自己的互联网数据保护规范。
但是,欧盟要将GDPR保护民众数据安全的初衷落到实处并不容易,其对个人权利的绝对化主张,无视了信息时代不同以往的对获取和使用个人数据的内生需求,可谓“过犹不及”;其次,欧盟内部与该条例相关的机制也需要调整,制定出细则,而这也将耗时耗力。而美国的规则更加偏向自己的公司和国家利益,强调美国的控制,“霸权”色彩较浓,更非国际互联网空间治理的良性选择。
2016年以来,全球网络空间自发生长的状态正在逐渐成为过去时;以个人数据保护为突破口,不少国家都加快了相关领域的规则制定,GDPR是其中的一个代表,该条例虽然存在明显缺陷,未来随着其实施效果的不断显现,或可刺激世界其他各国和地区制定出更加平衡、完善和科学的互联网数据管理方法。该方法需要兼顾数字经济的发展、个人隐私的保护和国家安全三方面的正当诉求,可以有所侧重,但不能出现显著偏颇,更不能用“回到过去”的方式消极应对。
(作者系复旦大学网络空间治理研究中心主任)