| 标题 | GDPR下我国互联网企业面临的挑战及其应对 |
| 范文 | 李丹 师毅婷 摘 要 2018年5月,欧盟《一般数据保护条例》(GDPR)正式实施,其适用范围扩展至欧盟域外。在GDPR下,互联网企业基于数据全球流通的特性更可能受其规制,也面临更多义务。同时,互联网企业面临合规成本大幅提升、创新发展受到负面影响等挑战,为更好地开展合规工作,互联网企业应采取设置数据保护官、开发隐私合规工具等措施应对挑战。 关键词 GDPR 互联网企业 数据保护 应对策略 作者简介:李丹、师毅婷,华东理工大学法学院,本科生。 中图分类号:D99 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文献标识码:A ? ? ? ? ? ?? ? ? ? ? ?DOI:10.19387/j.cnki.1009-0592.2019.06.333 一、前言 随着互联网技术的快速发展,个人数据的收集、使用、加工、传输等大数据产业异军突起,互联网信息产业呈现出欣欣向荣的发展趋势。为推动欧盟“数字一体化市场”战略的实施,提升数字经济的增长潜力,欧盟于2016年颁布《一般数据保护条例》(GDP R),全面提升对个人数据这一数字经济的关键生产要素的保护。2018年 5 月GDPR正式实施,在地域适用范围、权利义务配置、监督体系等方面对原立法框架进行了重大调整,特别是将为欧盟境内数据主体提供商品或服务、监督其行为的欧盟境外企业,以及数据的跨境移动等内容纳入了规制范围。①与其他行业相比,互联网企业更有可能在开展业务的过程中接触到欧盟境内数据主体的个人数据,从而受到GDPR的规制。在业务全球化的过程中,如何顺利完成GDPR合规工作,是我国互联网企业亟待解决的难题。②这不仅仅关系到企业是否将面临巨额惩罚,更决定了企业如何合法地应用新技术以及业务创新来获取基于个人数据的巨大经济效益。企业应当立足GDPR的立法理念,理解GDPR的精髓,在符合国内法的前提下,探索合规成本最小化的应对策略。 二、 GDPR对互联网企业的主要规制内容 (一)互联网企业适用可能性较大 GDPR不仅适用于在欧盟境内设立有机构的企业,还将其适用范围扩大到了欧盟域外。GDPR第3条规定,在提供產品或服务的过程中处理欧盟境内个人的数据或对欧盟境内个人的行为实施监控的企业,均将受到GDPR规制。这意味着任何网站只要能够被欧盟境内的个人访问、产品或服务使用的语言包含英语或特定的欧盟成员国语言,都有可能受到GDPR规制。③GDPR适用范围之广对中国互联网企业的移动应用安全以及数据收集、处理和交易等均将产生巨大影响。 (二)互联网用户权利广泛 GDPR完善和细化了数据主体的权利,全方位保障个人对其信息的控制权。GDPR第13条规定数据主体拥有“知情权”,企业收集用户数据时,必须以清楚、简明的方式向用户说明其数据收集目的等一系列信息。GDPR第6条规定,企业在收集处理数据时需存在合法的理由,包括用户同意、企业的合法利益等。其中,对于用户同意这一情形,GDPR第7条进一步规定,用户的“同意”必须是具体的、在充分知情的情况下自由做出的,且用户拥有随时撤回的权利。针对企业的直接营销行为,GDPR第20条规定,企业虽然可以基于合法利益的需要利用用户数据进行营销,但用户对此拥有绝对的“反对权”。当前实践中,企业普遍通过冗长隐晦的隐私政策来获取用户一揽子同意,为满足GDPR合规要求,必须对这一方式进行革新。 (三)互联网企业义务增加 基于风险管理理论,GDPR以数据控制者为核心,确立了一系列问责与监督机制。GDPR首次引入了“隐私设计”的理念,在第25条中明确规定,产品或服务的设计之初即应融入隐私保护的理念,将隐私保护贯穿数据生命周期的全过程。④对于数据处理过程中存在的高风险处理活动,GDPR第35条规定,企业需要事先进行隐私保护影响评估。GDPR对企业数据保护的全面规制将对企业的制度构建、业务流程、网络技术系统等产生直接影响。⑤ (四)互联网企业的数据画像行为受到规制 GDPR将以自动化方式处理的并以得到特定的分析结果为目的的数据处理行为界定为“数据画像”行为。GDPR第22条规定,企业的数据画像行为只有在为履行与用户之间的合同、成员国法律明确授权或用户明确同意时才是合法的,且第13条还明确规定,在必要情况下,企业需向用户提供基本的算法逻辑以及针对其个人的运算结果,保障用户的“解释权”。GDPR对数据画像行为的界定将目前诸多利用个人数据的大数据分析活动涵盖在内,如当下市场中常见的,通过对用户个人喜好进行大数据分析开展市场营销。可以预见的是,GDPR对数据画像行为的高标准要求将对大数据背景下的分析营销活动带来巨大的冲击。⑥ 三、 GDPR对我国互联网企业形成的挑战 (一)大幅提升互联网企业的合规成本 作为“史上最严数据保护法案”,GDPR对个人信息数据的保护达到了前所未有的高度,迫使企业不得不投入大量的人力和财力改变现有的用户数据处理方式等以满足合规要求。⑦根据GDPR第83条的规定,企业一旦违规,则面临着最高2000万欧元或全球运营额4%的巨额处罚,这对于诸多中小企业来说可谓“灭顶之灾”。严苛的合规要求实质上为涉欧企业设置了一道贸易壁垒,迫使企业做出两难的选择:要么迎合欧盟个人信息保护的高标准,要么放弃拥有5亿消费者的产品市场。 (二)影响互联网行业的成熟业态 目前国内互联网企业的盈利模式主要是,通过利用收集和掌握的大量用户个人数据对用户行为进行分析,根据所形成的数据画像为用户提供一些更为精准和个性化的服务,从而产生直接或间接的收益。⑧个人数据是互联网企业生存和发展的源泉,而在GDPR下,数据收集及数据画像等自动化处理行为受到严格规制,只有用户主动、明确地进行授权后,企业才可以正当地获取和利用个人数据开展直接营销、定向广告、网页分析等业务,大大改变了之前的数据“选择退出”机制,将会对互联网行业现有商业模式造成一定程度的冲击。⑨ (三)限制互联网行业的创新与发展 数字经济时代,人工智能、区块链等新兴技术的发展驱动着互联网产业的创新与进步,而GDPR对数据处理的种种限制性规定则在一定程度上制约了技术的创新应用。作为人工智能的核心技术,“深度学习”依赖海量数据使其得以不断成熟,但GDPR中关于自动化处理行为的规制则对人工智能自动获取数据设置了重重障碍。此外,区块链技术的特性也与GDPR的规定存在冲突。数字签名及非对称式加密算法技术确保了任何人都无法篡改或修正区块上的数据,这显然与GDPR赋予数据主体的更正权、被遗忘权直接冲突。⑩ 四、互联网企业的应对策略 (一)对欧盟用户及欧盟市场进行界定 企业首先要界定是否拥有欧盟用户,才能判断自身是否需要合规。要解决这一问题,首先,应对网站性质进行明确界定,即判断企业有没有锁定特定用户销售商品或提供服务。90年代时以网络服务器所在地作为分支机构的判断标准之一。但云计算时代,多数企业不再实际采购网络服务器,现今网站基本上都可以泛称为互动性网站,以上判断标准已不适用。 互动性网站是否具备商业性质,必须对个案事实进行认定,不能一概而论。因此判断企业有没有合规的必要性,我们必须先完整地梳理出有哪些商业模式,同时在可能的商业模式下,判断欧盟是不是会被认定为企业的目标市场。 (二)建立数据保护官制度 为符合GDPR的要求,企业要尽快健全数据合规的基础设施,完善数据处理协议、评估和反思合规差距,并进行持续性的培训、检测与跟踪。 有效做到这一点,需要企业建立数据保护官制度,GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定数据保护官(DPO)。数据保护官的主要职责是促进企业与主管机关、消费者之间的交流,并监督企业对个人信息的保护。数据保护官应对企业数据保护状况作出整体评估,帮助企业建立完整的数据保护体系,再与其他部门配合完成试行、落实、审查、整改与条例相关的各项流程,促进管理体系不断完善 。 (三)开发隐私合规工具 现今的隐私保护立法越来越重视技术的重要性,甚至开始将特定的技术概念直接写入法案中。从数据安全立法到隐私保护立法,技术概念已经变成个人信息保护立法的一个重要趋势。 GDPR将用户同意视为数据处理最关键的条件,数据主体做出声明或明确的肯定性动作,同意才被认为有效。GDPR规定,企业在收集用户信息时,应告知用户信息收集的原因、方式,信息將会被如何利用及信息的存储时间等一系列事项。另外,建议企业采用隐私政策单独弹框的形式征求用户同意,从而降低侵犯用户个人数据的风险。 (四)个人信息保护和个人信息合理使用的取舍 谈及个人信息保护,既要关注“保护层面”,也要兼顾个人信息的“合理使用”。GDPR作为全球个人信息保护立法的引领者,其内容与规则已经相当完善,但在个人信息保护和利用的平衡上,则明显倒向保护层面,双重目标显著失衡。 数字经济时代,人工智能、云计算等新兴技术的发展驱动着互联网产业的创新与进步。2018年数字经济规模突破31万亿元人民币,中央与地方正加快数字经济建设新一轮政策布局,可以预见,在未来很长时期内数字经济依然是我国的优位目标。在坚持个人数据保护底线的前提下,对个人数据进行合理使用,以促进数字经济增长,推动互联网行业不断创新与发展,才是当下我国制度选择的“中道”。 五、结语 GDPR一方面制定了有效的内部规则,另一方面构成了外部威慑。它在个人信息使用目的限制、数据留存期限等方面留有余地,为大数据的开发利用提供途径,还高度强调责任原则、透明原则,调动信息控制者积极进行信息治理。新一代网络基础设施在数字经济时代对创新发展有着极大作用,互联网企业只有顺利完成GDPR合规工作,才能更好适应经济全球化的趋势,为企业发展注入更多动力。在经济全球化的背景下,一部分中国企业对此反思,也是一次完善企业治理的机会,中国互联网公司对于数据隐私的保护也会更加完善。 注释: 任虎,译.欧盟一般数据保护条例[M].上海:华东理工大学出版社,2018年版,第1-2页. 郭戎晋.GDPR下互联网企业的机遇与挑战[J].信息安全与通信保密,2018(8),第18-19页,第20页,第21页. 杨一泽.欧盟个人数据保护条例适用研究[D].哈尔滨工业大学硕士论文,2017年,第17页. 胡文华,孔华锋.欧盟《一般数据保护条例》之中国效应及应对[J].计算机应用与软件,2018(11),第301页. 王融.欧盟数据保护通用条例[J].大数据,2016(4),第97页,第100页. 魏书音.GDPR对我国数字经济企业的影响及建议[J].网络空间安全,2018(8),第35页. 许可.数字经济视野中的欧盟《一般数据保护条例》[J].财经法学,2018(6),第78页,第79-80页,第82页. 王孔祥.GDPR出台,互联网企业该如何应对[J].中国经济报告,2018(9),第79页. 卢光明.欧盟实施《通用数据保护条例》以及我国对欧出口企业的应对措施[J].网络空间技术,2018(4),第20页. 参考文献: [1]朱幼恩,尹冬梅.GDPR对我国跨境电商企业的影响及对策研究[J].对外经贸,2018(8). [2]田贵生.解析GDPR及对中国涉欧企业的影响[J].对外经贸实务,2018(7). [3]王灏晨.欧盟《通用数据保护条例》对人工智能发展的影响及启示[J].中国经贸导刊(理论版),2018(17). [4]施勤.GDPR 如约而至,企业需有备无患[J].网络安全和信息化,2018(6). |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。