原文:The GDPR at Two — Global Floor or Global Ceiling?
作者:Elizabeth M. Renieris
原文:The GDPR at Two — Global Floor or Global Ceiling?
作者:Elizabeth M. Renieris
譯:周禹涵校對:Phala Team作為Omidyar Network“全球數據保護的路徑和缺陷”[1] 系列專題中的一篇,本文探討了《
歐洲通用數據保護條例》(General Data Protection Regulation,後文簡稱GDPR)[2]自2018年5月生效以來對全球數據保護格局產生的影響。誠然,GDPR 為全球法域內的法律變革開闢了新的道路,促進了公眾對數據治理和隱私的關注,從而極大地影響了全球數據保護的格局;但其在通過治外法權或作為立法典範直接或間接擴大自身影響力的同時,也放大了缺陷和局限性,導致其他國家一脈相承的法典同樣繼承了這些不足。近兩年顯現出來的桎梏有:有些條款槓桿率過低/過高、無法否認的
執行力不足[3]、以及法律和創新之間持續的對抗(比如將法律應用到新興技術的挑戰)。接下來,本文將探討GDPR影響的性質、範圍及其核心局限性,並思考該法律究竟是全球數據保護的示範者,還是一條失敗的底線。縱覽全球,各地都能感受到GDPR 在其域外適用範圍產生的直接影響。歐盟擁有超過五億的消費者,是世界上最大的
單一市場
[4],因此GDPR 幾乎能影響到世界上每一個與歐盟做生意的地區。即便強如美國科技巨頭,也很難不碰這樣塊美味的蛋糕。憑藉這種方式,GDPR 為眾多大型企業和跨國公司設立了一個實際的標準。究其原因,其一,GDPR 是一個方便公司履行的單一標准或框架,而不是一個地方的或國家的數據保護法律;其二,全球數據治理缺少一個靈活的範式。目前,很難找到一個能夠與歐盟數據保護框架比肩的框架。我們還觀察到了“布魯塞爾效應”(譯註:指歐盟憑藉市場力量單方面監管全球市場的能力)的間接影響:通過在世界各地的司法區擴散新頒布和調整的法律,讓一些國家直接照搬GDPR。由此可以看出GDPR 的司馬昭之心:它的原則之核心、利益之根本以及執行之機制。自生效以來,GDPR 已經推動了肯尼亞和烏幹達等國頒布其第一部國家數據保護法,同時也在促進其他國家完善或修訂其現有法律。例如,2018 年阿根廷推出了一部數據保護法律,某種程度上只是為了維繫其於2003 年在《歐洲數據保護指導條例》(GDPR的前身)中的既得利益。 GDPR 還促使印度、尼日利亞和巴西等國將“部分適用”的數據保護條例擴大為更為通用的法律。“布魯塞爾效應”也是歐盟委員會想要通過各種多邊/雙邊論壇、貿易政策收斂隱私和數據保護法的體現,《歐盟對非洲的全面戰略》[5]就是一個例子。該戰略列出的幾個高優條款中包括了縱貫非洲大陸的數字轉型戰略,這將深度受用於GDPR 且影響國家級跨境貿易和國際投資。但實際上,全球層面的協調可能會導致某些國家的標準和原則在執行時不夠嚴格。中小企業難以遵守,卻讓Facebook 和谷歌之類全球大型科技公司因其全球應對能力在競爭中獲利。事實上,該戰略內容也確實引起了
非洲聯盟的注意
[6],非盟重申該條款應由非盟和歐盟共同製定。歐盟委員會在其評估近兩年GDPR 應用及運作的報告[7] 中強調:要聚焦如何幫助中小企業遵守這項法規。不過,總體來看,歐盟委員會自我評價較高,認為“GDPR已經成功實現了它的目標:增強個人數據保護權和保證個人數據在歐盟內的自由流通”。這份報告同時讚揚了GDPR 框架的靈活性,認為其在兼容新冠抗疫措施方面做得很好。但委員會也承認有提高的空間,特別是在國際數據傳輸、合作和一致性方面,如
“一站式機制”
[8];數據保護部門(Data Protection Authorities, DPAs)資源不足,數據移植權尚未完全落實;GDPR 在區塊鍊和人工智能等新興科技上的應用也還不明晰。最後,委員會指出,成員國在處理數據保護基本權利和言論自由之間的矛盾上的決議是不一致的。
儘管歐盟委員會的報告未對此進行探討,但指出其框架的其他缺點是很重要的,特別是在GDPR 通過其對全球格局的重大影響廣泛輸出的情況下。其中一些限制的原因是,GDPR 與它的前身,1995 年的數據保護條令,很大程度上是相同的。但當時數字環境與今天的情況相差甚遠。其他原因就是,缺乏一個有意義的可替代範式。首先,GDPR 和受其啟發的法律過分依賴於將“同意”作為數據處理的合法基礎。特別是在今天的數字領域,有意義的知情和同意常常是難以捉摸的。如今的數字世界存在著巨大的不對稱,少數的大型企業往往佔據著大多數的知識和權力,而個人不僅缺乏對數據決策管理和理解的意識與能力,真正有意義的選擇也少之又少。這也暴露了像GDPR 這樣的數據保護框架的缺陷,它不能解決市場中的動態問題,而需要其他領域的補充,如競爭法或反壟斷法。例如,在最近德國的一樁
反壟斷案[9]中,高等法院裁定,Facebook 濫用其在社交媒體上的主導地位,通過混合Instagram 、WhatsApp 和Messenger 等Facebook 平台上的數據,非法獲取用戶數據。儘管可能會以GDPR 為依據對這種數據混合提出質疑,但該裁決表明,涉足數據保護權利的市場環境也限制了我們在市場上的選擇,從而限制了我們的自由和自主權。這也說明了數據保護與反壟斷法的互補性。在一些GDPR 係法規中,一些糟粕被過多保留(如基於用戶協議“我同意”的數據處理),一些精華卻沒有受到足夠重視,如
GDPR 第二十五條[10]——基於應用設計和默認設置的隱私保護選項、自動數據採集和決策、以及個人數據移植的有效措施。此外,GDPR 係法規對強化國家安全、維護政府利益和法律權威的情況也相對寬容,如新冠肺炎期間暴露的如何平衡大眾利益和公共衛生危機。儘管歐盟委員會採取了基本措施,但在抵制廣泛應用
面部識別系統[11]等侵入性技術上,委員會的反應則疲軟許多。如果沒有強大且完善的傳統法典作為GDPR 式立法的基礎,像現在這樣的危機就會大大削弱法律的文本效力和精神內核。並且,在缺乏相應法律、政治、制度等基礎設施的地方,將GDPR 式的法律複製粘貼或直接轉換成國家法律,或將弊大於利、用“保護”粉飾了“缺失”。[12]《塑造歐洲數字未來》[13]和《人工智能白皮書》[13]和
《歐洲數據策略》[14]。作為這種策略的一部分,委員會可能後續會推出數據法案2021版,以促進數據共享和流動、幫助個人拓展數據移植權的邊界。顯然歐盟對諸如人工智能和其他新興領域的數據保護也十分關注,且擔心其數據保護和隱私標準會置歐盟於時代下風口。儘管迄今為止美國還沒有一部全面的聯邦隱私法,但可能會出現一個靈活的範式。前車之鑑面前,美國有後發優勢。基於“同意”按鈕的數據收集範式、通知推送和選項將面臨更大的挑戰。例如美國參議員Sherrod Brown 最近發起了
一項提案
[15],該提案將禁止默認情況下的數據收集、使用或共享,除非是出於少數提前商議且用戶知情的目的。美國各州和市政當局已經逐漸暫停使用面部識別技術,甚至在某些情況下會完全禁用。提案還提到了創建信息受託人或中介機構以協商數據主體權利,以及引入數據信託或數據集體等集體談判實體等。
GDPR 已實施兩年,它究竟是數據保護的底線,還是立法的天花板,恐怕還無法蓋棺定論。如此看來,全球數據治理事業仍然任重道遠。
Reference
[1]關於Phala;
[3]“全球數據保護的路徑和缺陷”;
[4]《歐洲通用數據保護條例》(General Data Protection Regulation,簡稱GDPR);
[5]歐盟對非洲的全面戰略;
[6]報告;
[7]報告;
[8]報告;
[9]報告;
[10]“一站式機制”;
[11]最近德國的一樁反壟斷案;
[12]GDPR 中的第二十五條;
[13]面部識別系統;
[14]《人工智能白皮書》;
[15]Sherrod Brown 提案。
