猎云网注:自2018年5月25日生效以来,欧盟数据保护条例(GDPR)已经走过了2年历程。这期间,围绕条例实施效果,存在问题,已有许多第三方开展了相关的评估报告(如:来自美国国家经济研究局(NBER)的报告)。相比之下,来自执法第一线欧盟各成员国监管机构的声音较少。文章来源:腾讯研究院,作者:王融、朱军彪。
实际上,从2019年下半年开始,欧盟委员会和欧盟理事会便组织各成员国监管机构开展执法回顾总结,并收到19份各国报告,欧盟理事会在此基础上,发布了《关于GDPR适用的立场与发现》报告。
本文通过对19份成员国报告和欧盟理事会报告的详细分析和对比,提炼了欧盟内部关于GDPR具体实施中的问题、经验和相关反思,以供参考。
一、投诉门槛过低,监管机构不堪重负
GDPR的一大特色是其赋予数据主体各项权能:访问权、更正权与删除权等等,但在实践执法落地中,强大的数据权利也给监管机构带来烦恼。
GDPR第77条规定:每个数据主体都有向监管机构进行申诉的权利。只要数据主体认为对其个人数据的处理违反了相关规定就可以向数据保护机构进行投诉。奥地利和保加利亚均在报告中指出:过低的投诉门槛和大量重复投诉已经严重妨碍了监管部门的正常运作。据欧盟内部统计,GDPR实施一年来,监管机构接收处理的行政案件达到27万件,包括14万件投诉,近9万件数据泄露。
处理数据泄露通知案件的负担尤甚,因为其涉及复杂的调查过程。GDPR第33、34条对数据泄露通知规定了严苛要求,包括通知时限和具体通知内容,但却没有规定通知的触发门槛,这意味着任何数量规模的数据泄露都可以触发后续通知要求。数据主体也因此可以向监管机构提出投诉,在实践中这带来了庞大的工作量。正如德国报告指出:数据保护部门很可能这些投诉报告压垮,建议提高相关投诉报告门槛。
监管机构负担问题在欧盟数据保护委员会(EDPB)2019年2月发布的评估报告中也有所反映,该报告指出:大多数国家表示他们需要增加30%-50%的执法预算,有的甚至要求增加100%,同时需要更多的专业人员,但几乎没有国家能够满足数据保护机构提出的预算与人力要求。
二、中小企业的特殊豁免并没有落到实处
欧盟多个成员国报告都提到了GDPR给中小企业施加过多义务的问题。如德国指出:对于其核心业务并不是数据处理活动的中小企业、协会等机构,应当简化GDPR中规定的数据处理记录、设立数据保护官(DPO)等义务。这一问题至关重要,特别是考虑到:在欧洲,99%以上的企业是中小型企业(员工少于250人的企业)。
对于雇员人数少于250人的企业,虽然GDPR豁免了其记录数据处理活动的要求,但同时又对豁免的适用予以了严格限定,即不但需要满足雇员人数低于250人的要求,还要求该机构的数据处理活动是偶然性的,非常态化的。这一额外的限定,使得该豁免形同虚设。
荷兰监管机构在执法实践发现:即使最小规模的企业,由于也普遍采用了软件方式来收集处理相关数据,也因此几乎所有的数据处理活动都是结构化的,而非GDPR豁免所要求的偶然数据处理。即使处理的个人数据量非常有限(例如,仅涉及客户/雇员的数据),这种处理仍具有持续性,而非偶然性。因此,荷兰、丹麦、德国等均主张应该给予中小型企业更多的豁免,将GDPR序言第13条“在实施本条例时考虑到微型、小型和中型企业的具体需要”落到实处。
特别是考虑到GDPR适用于各类型的数据处理活动,理论上即使是自然人,也可以作为数据控制或处理者接受GDPR规制,对于小微企业来说这种过高的合规成本很可能就此扼杀了创业发展机会。因此,欧盟理事会也进一步反思:数据保护机构应尽积极为中小企业提供各种咨询建议服务,简化其数据处理记录流程,减少其数据合规成本。
三、域外适用如何执行落地?
相比1995年数据指令,GDPR尤为显著的变化是极大扩展了适用范围。GDPR第2条规定,即使机构在欧盟以外,但只要在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于条例。域外效力的延伸,显然能够为欧盟用户带来更为完整的保护,但在实践中却给监管部门带来难题。
在此次回顾评估中,奥地利、爱沙尼亚、爱尔兰等多国都提到:依据GDPR的要求,不在欧盟设立的控制者或处理者应在欧盟境内指定一名代表,但在实践中,这一模式存在可操作性问题。当该代表不履行相关义务时,监管部门无法对其进行处罚。
GDPR生效后,为符合法律要求,有大量欧盟境外机构委托欧盟境内律所作为其代表。Bird&Bird、Baker McKenzie等欧盟律师事务所均提供此项服务。从事代表业务的Lothar Determann律师在律所的官方网站上直截了当地指出:代表只承担与数据保护机构合作和保存处理活动的记录这两项积极义务,即使代表没有履行这两项义务,根据GDPR的规定也不能对其进行罚款,而只能针对雇佣其的数据控制者或处理者。虽然欧盟数据监管机构可以向代表发出传票、命令和罚款,但是如果欧盟以外的法院和政府机构并不与欧盟当局合作,欧盟数据监管机构对欧盟以外公司征收的罚款在欧盟外几乎无法执行。
正是考虑到域外效力的可执行问题,欧盟数据保护委员会EDPB在专门围绕该问题的指南(3/2018)中予以适度限缩,认为GDPR的适用必须是有“针对性(targeting)”。仅仅向欧盟境内提供服务不一定受GDPR管辖,还必须有向欧盟境内提供服务的主观意图。虽然这种限缩不能完全解决域外执行问题,但也可视为对现存问题的一种反思回应。
四、司法系统应同样适用GDPR
作为一般性的个人信息保护法律,GDPR覆盖公私领域,适用各类机构。政府机构适用GDPR已无争议。2019年保加利亚数据保护委员会向其国家税务局开具了近300万美元的罚单,因后者没有采取适当的保护措施致使公民个人数据泄露。
目前各成员国更多关注的是司法系统适用GDPR的问题。GDPR第55条第3款规定:对于法庭在其司法活动中进行的处理操作,监管机构不具有监管职权。比利时在其评估报告中指出:这一条文容易在实践中造成误解,本条的立法本意是保障司法独立,但容易被解释为法院不受GDPR的规制,因此比利时提出:应明确将司法系统纳入GDPR的调整范围,不管是行政机关、立法机关还是司法机关在处理数据时都应视作数据控制者或处理者。
法国对比利时的这一问题也做出了回应,表示司法系统毫无疑问也需要置于GDPR的规制之下,考虑到司法独立问题,可以根据GDPR序言第20条的规定,在法院内部设立一个独立的数据监管机构,保证法院受规制的同时不会影响司法的独立性。
五、如何协调行政规制和司法救济
围绕司法系统的另一问题是,在GDPR规定的“行政-司法”双轨规制-救济模式中,法院和数据保护机构的职能应如何协调?奥地利在其报告中指出,由于数据保护机构和法院都是完全独立的,且遵循不同的程序守则,因此GDPR规定的这种双重救济模式导致GDPR的适用不成体系,在某些情况下数据保护机构的决定还会与法院相冲突。
相比于GDPR中完整的行政规制体系,欧盟对于司法救济的态度仅仅停留在认可阶段。实践中投诉到行政监管的案件,也只有1%左右会上诉到法院,考虑到维权的时间和经济成本、维权的灵活性等问题,绝大多数的数据主体会主动选择行政规制模式。
六、继续构建多形式的数据跨境流动渠道
数据跨境流通问题是欧盟此次GDPR评估的重点,欧盟理事会提出数据自由流通是GDPR的一大目标,各成员国也就实践中遇到具体问题进行了反馈。
首先,各国都肯定了GDPR设置多类型、多层次数据跨境流动方式的必要性:充分性决定(第45条),适当保障措施和行为准则(第46、40条),有约束力的公司规则(第47条)都有其不同的适用场景,需予以保持。比利时提出:充分性决定对于私营公司数据跨境交换、简化手续和法律合规有重要意义,有助于实现单一(数字)市场的目标,但问题是这项制度属于“正面白名单”,适用标准较高,因此没有得到充分利用,建议进一步扩充“白名单”,以纳入更多可以合法流动的区域。
德国也支持上述观点:目前,通过欧盟充分性决定的国家与地区数量偏少(仅有13个)。其中,关于日本的充分性决定中,只认可了商业部门,而没有为政府机构之间的信息共享提供合法基础。欧盟理事会在其总结报告中吸收了成员国的上述观点,指出要继续扩充“白名单”,以进一步扩展可以合法自由流动的区域与部门。
此外,对于“白名单”之外的其他合法流动机制,欧盟在报告中也指出,将发布更多的标准合同模板,以满足不同类型的数据控制者和处理者的数据跨境流动需求。
七、为技术创新发展留有空间
自2012年启动GDPR立法时,欧盟就负有着建立数字时代新秩序的雄心,对当时的新技术应用予以了制度回应。例如:针对云计算业态中数据收集和处理相分离的情况,在法律主体上区分了控制者和处理者;针对数据分析,规定“画像”条款;针对人工智能技术,规定了自动化决策条款。然而技术的迭代发展,仍然持续带来新问题。最为典型的即区块链技术。直到今天,围绕该技术的GDPR适用,仍然存在极大争议。
随着2016年的正式公布,GDPR的制度已经固化。相比之下,技术发展却仍在以惊人的速度高歌猛进。在区块链之外,无人驾驶、面部识别、可穿戴设备、智能家居、医疗监测器械、行为生物数据、无人机等一个又一个技术应用,不断点燃数据驱动的新领域。对于这些新技术,是严格套用GDPR予以规范,还是适度平衡隐私保护与创新发展,是摆在欧盟面前的问题。
正如欧盟理事会在此次评估报告中所强调:我们也应该看到这些技术在某些领域的应用也可能是一个巨大的优势,并有可能加强欧洲公民的隐私保护。例如:基于区块链的“零知识证明技术”能够实现使用尽可能少的个人信息,同时验证某一特定主体的身份;差异隐私技术能够实现数据集中而带来的价值,但同时保持特定自然人身份不被识别。法律的适用应当为技术发展留有“一定空间”,而不是完全抵制。欧盟在今年3月发布的《人工智能白皮书》,最终删除了原本写入的人脸识别禁用条款,也再次体现了这种权衡。
结 语
正如两年前GDPR生效时,我们所预言的那样:立法文本的正式通过,并不意味着制度规范都已成熟,相反,秩序建设才刚刚拉开序幕。面临挑战的不仅是GDPR的适用对象,也包括GDPR本身。而让一项制度日臻完善的路径,是不断结合实践,持续对制度本身予以客观评估,识别问题并总结经验。