Академический Документы
Профессиональный Документы
Культура Документы
GDPR 下互联网企业的机遇与挑战
郭戎晋(阿里巴巴集团)
而数据的全球化必然带来的是业务的全球化。
在全面进入网络环境前,数据是否被他人取得
1 个人信息保护发展潮流
是非常容易观察的,但是现在数据往往在产生
随 着 通 用 数 据 保 护 条 例(General Data
的同时就存在全球化的情形,甚至数据主体(Data
Protection Regulation,GDPR) 的 正 式 实 施, 许
Subject)本身也没有意识到个人信息已经在全球
多人开始关心个人信息保护以及数据安全问题,
快速的流通。
事实上这个问题从全球来说,经济合作与发展
目前国际上个人信息保护及数据安全的重
组织(Organization for Economic Co-operation and 要潮流,是如何让法律的规定跟技术能力能够连
Development,OECD) 在 1980 年 已 经 提 出 隐 私 结在一起,让两个不同的领域彼此间相互对话。
保护的重要基本原则,甚至更早之前在欧洲共同 跟传统的数据安全(Data Security)相较,个人
体(European Community)时代就开始谈论隐私 信息保护(Personal Data Protection)涉及的部门
保护议题。但是从网络开始受到人们关注到正式 及人员更加广泛,企业内部几乎找不到不需要接
进入商业应用的阶段,隐私保护问题比过往任 触个人信息的员工,因此隐私保护工作的落实,
何一个时间点都更加复杂。
“网络经济”
(Internet 需要企业内部所有的人共同投入。但对不具备法
Economy) 或“ 虚 拟 经 济”(Virtual Economy) 律背景的员工来说,即便法律规定无论多么白
对很多人来说已经不再陌生,在 20 世纪 90 年 话、再详细,看的人如果没办法正确理解法律条
代电子商务兴起,2000 年之后我们开始谈论移 文,再好的规定都不能在企业内部落地,所以
动商务及社交经济,但现在我们提到网络经济 企业隐私合规的首要工作,是建立所谓的隐私
或虚拟经济,基本上都用一个名词:数字经济 意识以及协助所有人完整理解相关的法律规范。
(Data Economy),也有人用“数据驱动经济” 另一方面,如何让技术人员也能共同参与隐私
(Data Driven Economy)来描述当前许多崭新的 保护工作,让隐私合规做到线上化、半自动化,
商务模式或技术应用,其背后都是基于“大数 甚至是全自动化,提升隐私合规工作的效率,
据”(Big Data)发展的现象。由于网络本身具 才能减少人工处理出错的可能。因此,目前全
备全球化的特性,故而造成数据流通的全球化, 球都在强调一件事情,就是“隐私能力”的建设,
从技术层面来说,也有人称为“隐私强化技术” FTC)跟日本内阁个人信息保护办公室提出的大
(Privacy Enhancing Technologies, PETs), 而 相 数据分析报告,不约而同地提到两个重要问题:
关特定的技术概念,包括数据隐私影响评估(Data 如何提升隐私强化技术的使用,以及如何规范
Privacy Impact Assessment, DPIA) 及 隐 私 设 计 数据的跨境流通。对隐私强化技术应用来说,
(Privacy by Design) 等, 被 正 式 放 入 了 GDPR 隐私保护不是只有看保护两个字,更重要的是
等隐私保护立法之中。 如何促进个人信息的合理利用,如同张衠博士
谈到的数据产权问题,个人信息保护固然重要,
2 个人信息保护统一标准的推动
但更重要的应当是如何发挥个人信息本身的价
许多的法律问题例如消费者保护或反垄断, 值,如何通过技术的方式来同时兼顾保护与个
经过长时间的发展,基本上已经有一些国际统一 人信息的合理运用,这是一个当时在美国跟日
的规范,但是在个人信息保护领域,反而不容 本都提出来的重要议题。另外,如何规范数据
易制定全球性标准。最主要的原因,是个人信 全球性的流动,从当前所处的环境以及技术条
息保护问题往往跟一个国家的社会文化、经济 件观察,可以认为在数据产生的时候,就是处
环境,甚至人文、宗教信仰等高度相关,由于各 于一个全球流动的状况。过去数据是以外观可
国状况不同,各国的隐私保护法设计很容易产生 见的方式保存,容易管控数据的流向,但是今
差异,所以不容易进一步推动放诸四海皆准的 天包括云计算及不断出现的新兴数字科技,数
规定。另一个说明个人信息保护共通标准不易 据不再是由数据主体主动产生,而是被动生成,
制定的例子是 ISO 国际标准,ISO/IEC 针对数据 并且在我们不知不觉的时候被他人取得并出现
安 全 管 理 系 统(Information Security Management 全球性流动的情况。今天受益于互联网全球化
System, ISMS)制定了一系列的 27000 文件,其 的特性,互联网企业纷纷走向业务全球化的过
中 ISO/IEC 27001 作 为 认 证 标 准(Certification 程中,如何达成合规工作的全球落地,也考验
Standard), 总 共 提 出 133 个 确 认 企 业 是 否 符 着所有的互联网公司。但是目前全球性的共同
合数据安全标准的控制项目(Controls),无论 标准还没有出现,还停留在区域组织性或者非
是 在 哪 个 国 家 谈 论 ISMS, 它 的 标 准 是 一 致 性 强制性的产业标准,也使得互联网企业的国际
的;但是在个人信息保护部分,尽管 ISO/IEC 在 隐私合规推动存在着诸多挑战。
2011 年针对隐私保护提出了 ISO/IEC 29100,但
3 GDPR 对互联网企业带来的挑战
性质上只是一套初步的隐私保护框架(Privacy
Framework),到目前为止 ISO/IEC 还没有提出 GDPR 为什么受到关注,在国内已经有非常
认证标准及具体的控制项目。 多的探讨,包括非欧盟公司在一定条件下必须
随着个人信息的重要性日渐提高,如何打造 适用 GDPR,以及出现违法行为时将面临的巨额
一个全球性的保护标准,反而变成是一项难题。 罚款(2000 万欧元或以全球营收 4% 作为罚款,
美国联邦贸易委员会(Federal Trade Commission, 取其高者),都是国内企业对于 GPDR 感到紧
张的原因。但另一个更加关键的因素,是企业 务提供的可能性一定是高于传统企业的。
并不知道如果要完全符合 GDPR 的要求,所必 (2)合规成本大幅增加
须付出的合规成本将达到多少。现阶段 GDPR GDPR 的严格规范造成企业合规的成本大幅
本身仍然有些适用标准未完全明朗,特别是域 增加。根据 Veritas 在 2017 年发布的调查数据,
外效力(Extraterritorial Effects)部分,如果非欧 全球约有 86% 的企业担心未遵守 GDPR 规定将
盟企业(Non-EU Business)对于是否适用 GDPR 对其业务产生重大影响,其中更有 20% 企业觉
感到不确定,在无法正确评估的前提下,先想 得未能合规恐将造成企业迈向破产之路。Veritas
到的往往是合规的成本,而不是可能被罚。另外, 指出平均每家企业在 GDPR 合规上所付出的成
即便投入了大量的人力及物力,也不能保证一 本达到了 130 万欧元(约为 1000 万人民币),
定可以符合 GDPR 规范,这样的一种状态造成 高额成本无形中迫使企业必须做出选择,如果
人们对 GDPR 出现如履薄冰的情况。事实上不 GDPR 合规所支出的经费将远高于坚守欧盟市场
是只有企业面临 GDPR 的合规压力,对欧盟成 带来的收益,企业就有可能直接放弃欧盟市场,
员国的隐私监管机关(Data Protection Authority, 所以已有几个美国本土的网站,如新闻类的洛
DPA)也是,今年 1 月时欧盟委员会(European 杉矶时报(Los Angeles Times)及芝加哥论坛报
Commission)曾经指出成员国中只有德国及奥地 (Chicago Tribune),以及提供网络文章保存服
利配合 GDPR 要求,完成该国的隐私保护立法 务的 Instapaper 等,在 GDPR 生效后采取封锁欧
的修正,而截至 5 月 25 日 GDPR 正式生效后, 盟地区用户的作法。有些网站如 Pottery Barn 则
仍然有部分欧盟成员国尚未完成实施所有 GDPR 是不屏蔽,但是拒绝接受来自于欧盟的订单,
规定的准备工作。 这些企业都是在合规与否的选择下,最终决定
GDPR 对于互联网企业带来的影响,有以下 退出欧盟市场的例子。
出几点: (3)影响技术创新与应用
(1)受规范的可能性高 GDPR 也被认为可能对新兴技术的应用产
相较于传统行业或者以往面对面交易的商 生影响。举例来说,GDPR 赋予数据主体的隐
业模式,互联网企业受到 GDPR 规范的可能性 私 权 利 中, 有 关 个 人 化 自 主 决 策(Automated
较高。依据 GDPR 的域外效力规定,非欧盟公司 Individual Decision-making) 的 规 定 可 能 影 响
只要锁定欧盟境内的数据主体进行商品销售或服 了 机 器 学 习(Machine Learning) 及 人 工 智 能
务提供,就会被要求适用 GDPR。而且欧盟境内 (Artificial Intelligence)关联技术的应用,而被
的数据主体并未区分是“本国人”或“外国人”, 遗忘权(Right to be Forgotten)则被认为与区块
所以中国游客即便短暂停留在欧盟境内,理论上 链(Blockchain)技术的特性产生冲突。区块链
也可能被认定为欧盟境内的数据主体。在网络随 的成功因素在于几个关键性的底层技术,包括:
时随地可以连结及使用的情况下,互联网企业被 P2P、分布式账本及数位签名,比特币(Bitcoin)
认定锁定欧盟境内数据主体进行商品销售或服 作为最早的区块链应用模式,就是通过数字签
早期的网站是否具备商业属性判断上相对容 据安全、谈个人信息保护,绝对不是只有侧重
易,但现今的网站基本上都可以泛称为 Zippo 在所谓的“保护层面”。如何兼顾个人信息的
案中的互动性网站,所以滑动测试标准放到今 “合理使用”,也受到了高度关注。谈到合理
天来看,好像又变成似是而非的观点。今天有 使用法律人经常会以另外一部法规作为对比:
须先完整的梳理出有哪些商业模式,同时在可 格权及著作财产权,兼具人格及财产属性事实
能的商业模式下,欧盟是不是会被认定为企业 上跟个人信息是相近的,所以个人信息保护立
的目标市场。 法应不应该有类似于著作权法的合理使用(Fair
开发 的概念,开始出现许多的讨论。但就性质来说,
早期的隐私保护立法,可以说就是单纯的 个人信息保护跟著作权还是有着本质上的差异,
从法律层面谈论如何保护个人信息,但现今的 著作权本身是一种后天的权利,换句话说,人
隐私保护立法则是越来越重视技术的重要性, 们必须将脑海中的创意适度地表现出来,才会
甚至开始将特定的技术概念直接订入隐私保护 构成著作权,光只有想法是不够的。但个人信
私保护立法,技术概念现在已经变成个人信息 目前国内刚好处在东西方隐私文化汇集的
保护立法的一个重要趋势。对于合规来说应该 当下,从美国的产业自律思维,到欧盟强调的
怎么转换法律的语言,这也是前面所说的如何 立法保护,在今天来看,我们似乎受到了欧盟
让法律的规定跟技术能力能够连结在一起,让 较大的影响。但在发展的过程中,如何找到一
业是有条件能够做好这件事情。 网企业产生的影响中,及互联网企业如何应对
(3)个人信息保护与个人信息合理使用的 产生一些想法。
取舍
现阶段全世界都面对到的共同问题是个 作者简介
人信息保护与个人信息合理使用的取舍。谈数 郭戎晋,阿里巴巴集团高级专家。