원본: GDPR at Two — Global Floor 또는 Global Ceiling?
엘리자베스 M. 레니에리스
저우위한 옮김
교정: Phala 팀
Omidyar 네트워크로"글로벌 데이터 보호의 경로와 함정"[1] 일련의 주제 중 일부인 이 기사에서는유럽 일반 데이터 보호 규정(일반 데이터 보호 규정, 이하 GDPR이라고 함)[2]은 2018년 5월에 발효된 이후 전 세계 데이터 보호 환경에 영향을 미쳤습니다. GDPR이 글로벌 관할권에서 법적 변화를 위한 새로운 길을 열었고, 데이터 거버넌스와 프라이버시에 대한 대중의 관심을 촉진하여 글로벌 데이터 보호 환경에 큰 영향을 미쳤다는 것은 사실입니다. , 이로 인해 다른 국가의 코드에서 이러한 단점이 상속되었습니다.
지난 2년 동안 등장한 족쇄는 다음과 같습니다. 일부 조항의 레버리지 비율이 너무 낮거나 너무 높으며, 부인할 수 없는불충분한 실행[3], 법과 혁신 사이의 지속적인 대립(예: 신기술에 법을 적용하는 문제). 다음으로, 이 기사에서는 GDPR 영향의 특성, 범위 및 핵심 제한 사항을 살펴보고 해당 법률이 글로벌 데이터 보호 패러다임인지 또는 실패한 수익인지 고려합니다.
전 세계적으로 GDPR의 역외 적용 가능성이 미치는 직접적인 영향이 모든 곳에서 감지되고 있습니다. 5억 명 이상의 소비자가 있는 유럽 연합은 세계 최대 규모입니다.단일 시장[4] 따라서 GDPR은 EU와 비즈니스를 수행하는 전 세계 거의 모든 지역에 영향을 미칠 수 있습니다. 미국의 기술 거인만큼 강력하더라도 이렇게 맛있는 케이크를 만지지 않는 것은 어렵습니다. 이러한 방식으로 GDPR은 많은 대기업과 다국적 기업에 대한 사실상의 표준을 설정합니다. 그 이유는 첫째, GDPR이 지역 또는 국가 데이터 보호법이 아니라 기업이 구현하기 편리한 단일 표준 또는 프레임워크이고, 둘째, 글로벌 데이터 거버넌스에는 유연한 패러다임이 부족하기 때문입니다. 현재 EU 데이터 보호 프레임워크에 필적하는 프레임워크를 찾기가 어렵습니다.
우리는 또한 “브뤼셀 효과(Brussels Effect)”(번역: EU가 시장의 힘으로 일방적으로 글로벌 시장을 규제할 수 있는 능력을 의미함)의 간접적인 영향을 관찰했습니다. 여기에서 우리는 사마짜오의 GDPR 핵심, 즉 그 원칙의 핵심, 이익의 토대, 이행 메커니즘을 볼 수 있습니다. 발효된 이후 GDPR은 케냐와 우간다와 같은 국가에서 최초의 국가 데이터 보호법을 제정하도록 촉구했으며 다른 국가에서도 기존 법률을 개선하거나 수정하도록 촉구했습니다. 예를 들어 아르헨티나는 2003년 유럽 데이터 보호 지침(GDPR의 전신)에 대한 기득권을 유지하기 위해 2018년에 데이터 보호법을 도입했습니다. GDPR은 또한 인도, 나이지리아, 브라질과 같은 국가에서 "부분적으로 적용 가능한" 데이터 보호 규정을 보다 일반적인 법률로 확장하도록 촉구했습니다.
"브뤼셀 효과"는 또한 다양한 다자간/양자간 포럼 및 무역 정책을 통해 개인 정보 보호 및 데이터 보호법을 통합하려는 유럽 위원회의 바람을 나타냅니다."아프리카를 위한 EU의 포괄적인 전략"[5]는 예시입니다. 전략에 나열된 몇 가지 주요 항목 중에는 GDPR의 영향을 크게 받고 국가 수준의 국경 간 무역 및 국제 투자에 영향을 미치는 아프리카 대륙 전반의 디지털 변환 전략이 있습니다. 그러나 실제로는 글로벌 수준의 조정으로 인해 일부 국가에서는 표준 및 원칙이 덜 엄격하게 시행될 수 있습니다. 중소기업은 규정 준수에 어려움을 겪고 있으며 Facebook 및 Google과 같은 글로벌 기술 회사는 글로벌 대응력으로 인해 경쟁에서 이익을 얻습니다. 사실 전략의 내용은아프리카 연합의 관심[6], AU는 이 조항이 AU와 EU가 공동으로 공식화해야 한다고 반복했습니다.
유럽연합 집행위원회(European Commission)는 지난 2년간 GDPR 적용 및 운영 평가 보고서[7]에서 중소기업이 이 규정을 준수하도록 돕는 방법에 초점을 맞춰야 한다고 강조했습니다. 그러나 전반적으로 유럽 위원회는 상대적으로 높은 자체 평가를 가지고 있으며 "GDPR이 개인 데이터 보호 권리를 강화하고 EU 내에서 개인 데이터의 자유로운 흐름을 보장하는 목표를 성공적으로 달성했습니다."라고 믿습니다. 이 보고서는 또한 GDPR 프레임워크의 유연성을 높이 평가하며 새로운 왕관 전염병 방지 조치와 호환되는 데 큰 역할을 했다고 주장했습니다.
그러나 위원회는 특히 다음과 같은 국제 데이터 이전, 협력 및 조화 측면에서 개선의 여지가 있음을 인정했습니다."원스톱 메커니즘"[8], 데이터 보호 당국(DPA)의 자원이 부족하고 데이터 이동성에 대한 권리가 완전히 구현되지 않았으며, 블록체인 및 인공 지능과 같은 신흥 기술에 대한 GDPR의 적용은 여전히 불분명합니다. 마지막으로, 위원회는 회원국들이 데이터 보호에 대한 기본권과 표현의 자유 사이의 긴장을 다루기 위한 결의안에서 일관성이 없다는 점에 주목했습니다.
이는 유럽 위원회 보고서에서 다루지 않았지만 특히 GDPR이 전 세계 환경에 미치는 상당한 영향을 통해 널리 수출되고 있기 때문에 프레임워크의 다른 단점을 지적하는 것이 중요합니다. 이러한 제한 사항 중 일부는 GDPR이 이전 버전인 1995년 데이터 보호 규정과 대체로 동일하기 때문입니다. 하지만 그 당시의 디지털 환경은 오늘날과 많이 달랐습니다. 또 다른 이유는 의미 있는 대안적 패러다임이 없기 때문입니다.
첫째, GDPR과 GDPR에서 영감을 받은 법률은 데이터 처리의 법적 근거로 "동의"에 너무 많이 의존합니다. 특히 오늘날의 디지털 영역에서는 의미 있는 정보에 입각한 동의를 얻기 어려운 경우가 많습니다. 오늘날의 디지털 세계에는 거대한 비대칭이 존재합니다. 소수의 대기업이 대부분의 지식과 권력을 차지하는 반면 개인은 데이터 의사 결정을 관리하고 이해하는 인식과 능력이 부족할 뿐만 아니라 진정으로 의미 있는 선택이 거의 없습니다. . .
또한 GDPR과 같은 데이터 보호 프레임워크의 단점을 드러냅니다. 이는 시장의 역학 관계를 다루지 않고 경쟁법이나 독점금지법과 같은 다른 영역으로 보완해야 합니다. 예를 들어, 최근 독일에서독점 금지 사건[9], 고등 법원은 Facebook이 Instagram, WhatsApp 및 Messenger와 같은 Facebook 플랫폼에서 데이터를 혼합하여 사용자 데이터를 불법적으로 얻기 위해 소셜 미디어에서 지배적인 지위를 남용했다고 판결했습니다. 이러한 데이터 혼합은 GDPR에 근거하여 문제가 될 수 있지만, 판결은 데이터 보호 권리에 손을 대는 시장 환경이 시장에서 우리의 선택과 따라서 우리의 자유와 자율성을 제한한다는 것을 보여줍니다. 이것은 또한 데이터 보호 및 반독점법의 보완적 특성을 보여줍니다.
일부 GDPR 관련 규정에서 일부 드로스(예: 사용자 동의 "동의합니다"에 기반한 데이터 처리)가 너무 많이 유지되는 반면, 다음과 같은 일부 에센스는 충분한 관심을 받지 못했습니다.GDPR 제25조[10] - 애플리케이션 설계 및 기본 설정, 자동 데이터 수집 및 의사 결정, 개인 데이터 이동성을 위한 효과적인 조치를 기반으로 한 개인 정보 보호 옵션.
또한 GDPR 기반 규제는 코로나19 기간 동안 노출된 공공의 이익과 공중 보건 위기의 균형을 어떻게 맞출 것인가와 같은 국가 안보 강화, 정부 이익 및 법적 권한 보호에 상대적으로 관대합니다. 유럽위원회의 근본적인 조치에도 불구하고 광범위한 적용에 대한 저항안면 인식 시스템[11] 및 기타 침입 기술, 위원회의 대응은 훨씬 약했습니다. GDPR 스타일 법률의 기초가 되는 강력하고 잘 정립된 전통적 코드가 없으면 현재와 같은 위기는 법률의 내용과 정신을 크게 약화시킵니다. 더욱이 해당하는 법적, 정치적, 제도적 및 기타 인프라가 부족한 경우 GDPR 스타일의 법률을 복사하여 붙여넣거나 직접 국내법으로 변환하거나 피해가 이익을 능가하고 "결함"을 "보호"로 칠합니다. ".
다행스럽게도 글로벌 데이터 보호 분야에서 GDPR 이후의 추세를 이미 볼 수 있습니다. GDPR이 개인 데이터 보호에 대한 임계값을 높인 후 그 중 하나는 공공 및 연구 분야에서 더 많은 데이터 공유를 장려하고 촉진하는 것입니다. 그러한 반복은 EU 자체에 의해 촉진될 수 있습니다.유럽의 디지털 미래 형성[12]"인공지능 백서"[13] 및유럽 데이터 전략[14]. 이 전략의 일환으로 위원회는 이후에 데이터 공유 및 흐름을 촉진하고 개인이 데이터 이식성 권리의 경계를 확장하도록 돕기 위해 2021 버전의 데이터 법을 도입할 수 있습니다. 분명히 EU는 인공 지능 및 기타 신흥 분야의 데이터 보호에 대해 매우 우려하고 있으며 데이터 보호 및 개인 정보 보호 표준이 EU를 불리하게 만들 것을 우려하고 있습니다.
미국에는 현재까지 포괄적인 연방 개인 정보 보호법이 없지만 유연한 패러다임이 나타날 수 있습니다. 과거로부터 교훈을 얻은 미국은 후발주자라는 이점이 있다. 데이터 수집 패러다임, 알림 푸시 및 "동의" 버튼을 기반으로 하는 옵션은 더 큰 문제에 직면하게 될 것입니다. 예를 들어, Sherrod Brown 미국 상원의원은 최근에제안[15], 제안은 사전에 동의하고 사용자가 알리는 소수의 목적을 제외하고는 기본적으로 데이터의 수집, 사용 또는 공유를 금지합니다. 미국 전역의 주와 지방 자치 단체는 얼굴 인식 기술의 사용을 점차 중단했으며 경우에 따라 완전히 금지했습니다. 이 제안은 또한 데이터 주체 권리를 협상하기 위한 정보 수탁자 또는 중개자의 생성과 데이터 트러스트 또는 데이터 집합체와 같은 단체 교섭 주체의 도입을 언급합니다.
GDPR이 시행된 지 2년이 지났지만 데이터 보호의 최종선인지 입법의 상한선인지는 여전히 불확실합니다. 이러한 관점에서 글로벌 데이터 거버넌스의 대의는 아직 갈 길이 멀다.
팔라 소개
Phala Network는 Polkadot의 사설 컴퓨팅 파라체인입니다.포우와 같은 경제 인센티브 모델을 기반으로 무수한 CPU의 개인 정보 컴퓨팅 성능을 해제하고 이를 Polkadot 파라체인에 적용함으로써 Polkadot에서 Defi 및 데이터 서비스와 같은 다른 애플리케이션을 서비스합니다. Phala 기반 애플리케이션 pLibra 및 Web3 Analytics는 web3 Foundation으로부터 보조금을 받았습니다. 2020년 3월에 Phala는 Substrate Builders Program에 참여하는 첫 번째 프로젝트 중 하나가 되었습니다. 2020년 7월, Phala는 컴퓨팅 파워 싱크 탱크로부터 "프라이버시 컴퓨팅 이머징 오리지널 포스"를 수상했습니다.
Reference
[3]불충분한 실행;
[4]단일 시장;
[5]EU의 아프리카 종합 전략;
[6]보고서;
[7]보고서;
[8]"원스톱 메커니즘";
[9]독일의 최근 반독점 소송;
[10]GDPR 제25조;
[11]안면 인식 시스템;
[12]유럽의 디지털 미래 형성;
[13]"인공지능 백서";
[14]유럽 데이터 전략;
[15]Sherrod Brown의 제안。
