小
中
大
原标题:数据治理论坛在京举办 中欧学者激辩GDPR应对之策
6月5日,“数据治理和网络安全研究联盟”2018年年度论坛在北京举办。时值欧盟《一般数据保护条例》(以下简称GDPR)生效十天之际,来自中、欧、美、日、韩等国的专家分享了全球各地数据治理的经验。
中央网信办国际合作局副局长王建朝在致辞中称,数据治理和网络安全研究联盟作为中欧专家组会议的重要落地成果,聚焦数据治理和网络安全方面的政策、法律、技术研究工作,必将为促进中欧双方数字合作发挥积极的作用。
本次论坛的联合主办方是南都个人信息保护研究中心。南方都市报社大数据研究院副院长虞伟介绍,南都正在尝试以新闻报道与第三方评测监督的方式,促使业界对个人信息安全形成共识。“尽管我国的互联网发展环境与欧盟有很大不同,但GDPR的实施为我们提供了一个借鉴和思考问题的新角度。”他说。
南方都市报社大数据研究院副院长虞伟致辞。
论坛主办方数据治理和网络安全研究联盟秘书长洪延青表示,论坛最重要的目的是加强各方交流,让每个学者讲清楚所在国家和地区的真实情况。联盟将在此基础上联合研究,凝聚共识,针对数据跨境流动等全球性数据治理难题,为各国政府提供具有操作性的解决方案。
数据治理和网络安全研究联盟秘书长洪延青致辞。焦点一:如何看GDPR “天价罚款”规定?最终目标不是罚款,而是改变市场行为
作为“史上最严”的数据保护条例,GDPR在条款中明确,没有充分获得用户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业就可能面临全球年营业额4%或2000万欧元(以较大者为准)的行政罚款。这一“天价罚款”规定一直备受业界关注,许多企业甚至认为GDPR可能阻碍数字经济的进步。
对此,荷兰阿姆斯特丹大学法学院教授 Nico van Eijk 解释说,企业并不会因为某个很小的地方没有合规就遭遇天价罚款。GDPR 旨在完善欧洲的数据保护框架,它将与各国的消费者法律与其他市场监管机制共同发挥作用。整个框架的最终目标不是罚款,而是改变企业的行为,令市场更加规范地发展。相较于可能的负面影响,GDPR 的正面效应更值得关注,就像传说中的“潘多拉魔盒”,盒中最重要的东西其实是“希望”。
荷兰阿姆斯特丹大学法学院教授Nico van Eijk发言。
与Eijk类似,中国社会科学院法学研究所研究员周汉华也对法案的影响持正面看法。他认为,GDPR 追求的是数字经济发展和个人数据保护之间的平衡,其核心可以概括为“激励相容”,即让企业在数据保护方面受到的激励不亚于在数据利用方面受到的激励,借此提高企业的合规动力。
周汉华表示,从突出强调透明原则来看,欧盟试图调动企业参与数据治理的积极性,使个人数据保护成为企业内生机制的一部分。在个人信息使用目的限制、数据留存期限等方面,GDPR也都“留了口子”,尽量为大数据开发利用开辟可能的路径。相关的“激励相容”思路也为我国个人信息保护立法提供了参考。
中国社会科学院法学研究所研究员周汉华发言。焦点二:怎样处理跨境数据?跨境数据流动需要一体化路径
数据跨境是论坛的另一热门话题。多位专家表示,世界很多国家都在积极制定数据跨境流动规则,而各国的差异性可能导致贸易壁垒。因此,他们提出,数据跨境流动不仅要把传统的国际经济法与网络、数据保护的相关法律结合起来,还需要实现国际的趋同和融合。
世界各国都在积极地制定数据跨境规则。高丽大学教授朴鲁馨表示,其中影响最大的国家和地区分别是美国、欧盟和中国:美国因为发达的IT产业而具有先发优势,并致力于制定让这种优势最大化的数据跨境规则;欧盟已经通过了单一数字市场战略,GDPR作为其中的一部分,扩大了域外适用范围,有望在数据跨境监管方面夺回领先地位;中国也在2017年实施了《网络安全法》,对数据跨境作出了规定。
高丽大学教授朴鲁馨发言。
对外经贸大学法学院院长石静霞认为,在数据贸易的背景下,数据跨境流动显得非常重要,但每个国家处于不同的发展阶段,因此对于数据跨境流动的限制有很多的考虑,“具体怎么做,哪个因素影响更大,如何达到安全与发展之间的平衡,每个国家都在探索”。
对外经贸大学法学院院长石静霞发言。
日本是亚洲少数已经在就数据跨境流动充分性认证跟欧盟委员会谈判的国家之一。日本筑波大学副教授Kaori Ishii认为,亚洲国家应该和欧盟、美国合作,让现有的数据跨境流动相关规则与欧盟更好地协调,实现国际制度的趋同和融合。
对于未来数据跨境流动规则的制定方向,朴鲁馨认为,不能只用传统的国际经济法来规制,而是需要一种一体化或整合性的路径,覆盖数据保护、网络安全等非贸易政策的议题,把传统的国际经济法和网络安全、数据保护的国际法结合在一起,反映网络空间的共性。
焦点三:GDPR来了,定向广告“凉了”?广告营销公司想继续发展,仅做好数据匿名化远远不够
根据 cookie 推送精准的定向广告,在广告业内已不是新鲜事。以 cookie 为基础的定向技术,能对网民几乎所有的上网行为进行个性化的深度分析,并按照广告主的需求锁定目标受众,进行一对一传播。而GDPR要求企业必须获得用户同意才能收集和使用他们的个人数据,包括cookie。在论坛的一个主题单元中,嘉宾围绕GDPR对定向广告的影响进行了探讨。
“有一次我查了一个航班信息,接下来的两周时间里,我在各种网站上都看到了这个航班的广告。”围绕定向广告发言时,阿姆斯特丹大学信息法研究所研究员Frederik Zuiderveen Borgesius首先诉说了亲身经历。“我去的航空公司网站跟一个营销公司有合作,所以他们就在我的电脑上放了一个cookie。当我去其他网站时,这个cookie就把我认出来了。”
Frederik Zuiderveen Borgesius与参会嘉宾交流。
Borgesius说,以往营销公司会以数据已经匿名化处理为由,规避用户隐私保护的责任。但匿名化处理并非不可逆,当一个人在网上留下了太多数据,还是有可能因为某些特征被识别出来。如今 GDPR 已经生效,营销公司秉持的匿名化理由可能不再适用。
他指出,GDPR强调了透明原则,在数据使用和储存方面也提出了诸多限制,这些都要求营销公司作出相应调整。此外,欧盟还在修订电子隐私权的保护法案,届时定向技术或将受到更严格的限制,普通人则可以更加便捷地关闭 cookie 等定向技术。
定向广告受限后,企业如何发展?中国人民大学法学院教授张新宝另辟蹊径,提出一种新的机制建议,即“个别付费模式”与“普遍免费模型”并行的双重机制。在“免费模式”下,用户就其个人信息享有统一的法定保障,网络运营者可在“合法、正当、必要”的范围内收集和使用个人信息。而在“付费模式”下,用户就其个人信息享有订制化和高标准的合同保障,网络运营者一般不得收集个人信息,已收集信息的使用亦应遵守严格的限制,包括但不限于禁止用于广告营销。
Q&A 集锦
1.中小企业如何应对GDPR?监管部门是否会考虑对其进行特殊照顾?
2.行业特殊要求与 GDPR 规定相抵触时,是否有协调解决机制?
3.此前未考虑 GDPR 要求的设备类产品,是否需要升级?
4.大型跨国公司应该将其欧洲分公司的员工信息储存在当地还是转移到境外的全球HR数据库中?
Q:中小企业如何应对GDPR?监管部门是否会考虑对其进行特殊照顾?
A:从1995年的指令算起,欧盟的个人隐私相关法规已经生效20年了,刚开始实施的GDPR并没有给企业增加很多新的责任和义务。
但是,对于部分中小企业来说,GDPR的生效确实会对它们造成一些影响。相关法律法规制定部门应当考虑对于中小企业和初创企业应该有不同的待遇制定不同的政策。
抛开GDPR不谈,亚洲许多中小企业在遵守数据保护相关法律方面都存在一定的问题。在此之前,它们可能从未要求自家企业必须要遵守个人信息保护相关的规定。类似的,初创企业也存在着自身的问题,它们在创业之初往往会搜集很多的数据,但是他们却不知道要拿这些数据来做什么。
今年1月,欧盟委员会出台了一系列的具体的实施细则,其中就包括了对中小企业的相关规定。其中,对中小企业的问责要求是可延展的。中小公司虽然在日常的业务中也会涉及到对客户信息的处理,但因为信息的数量有限,而且敏感度也相对没有那么高,相应的中小企业的义务和责任也就比较有限。但这只是概论,具体还需要看企业所从事的具体行业。像一些比较关键的行业,如医药业,其客户信息较多就需要重点关注其数据信息的保护。而从事其它行业的中小企业理论上来讲是可以在GDPR生效后有一定的准备时间的。
Q:金融行业在风控方面可能会有一些特殊的要求,比如反洗钱和反恐怖融资等。当涉及这部分的内容与GDPR的规定相抵触时,是否有对应的协调解决机制?比如GDPR里面涉及到有被遗忘权,而反洗钱里面是对部分客户的数据保护期限是有一定要求的。
A:当此类状况发生时需要判断什么样的权利是应当得到优先处理的。通常情况下,当GDPR的相关规定和金融部门监管相冲突时,是可以被作为例外的。相应的,有关部门会通过相关的培训课程或者研讨会等形式来讨论类似的问题的处理方式。
Q:如果一家中国的设备供应商在欧洲现有的一些产品,在此前的产品开发中尚未考虑到GDPR的所有需求,现在是否要根据GDPR的要求产品进行升级?
A:根据GDPR的第25条规定,定制该设备的客户作为数据的控制者应该是GDPR的第一责任人,但是与此同时,设备供应商也存在责任转嫁的风险。建议企业不要坐等GDPR的要求明确后再采取行动,应该尽所能地去做到合规。可以从小的地方开始入手,例如做一些文档记录,记录下企业都做了哪些数据和隐私的保护方面的工作。还可以根据GDPR的数据对隐私保护的影响进行评价,还可以用具体事例说明企业经过了一个深思熟虑的过程去考虑每一个行为对隐私保护所带来的影响,同时也设立了一些保障措施去缓释这些方面的风险。这样一旦发生问题,就能够在监管部门提出置疑的时候起到作用。
Q:大型跨国公司应该将其欧洲分公司的员工信息储存在当地还是转移到境外的全球HR数据库中?
A:这个问题需要注意以下两个方面:
一、欧洲分公司员工的数据不仅仅是由GDPR来进行约束,这部分数据最主要还是要遵守各分公司所在欧洲国家的劳动法,员工数据应使用该国的规定来去规制。
二、目前没有一个通行的规则说,不允许大型跨国企业将海外分公司的员工数据储存在第三国。当然前提必须是在能够保证这些数据安全的情况下,并以符合GDPR的方式去加以处理。
更多报道请戳:
欧盟专家:GDPR不是潘多拉魔盒,不会限制创新
专家谈数据跨境流动:各国规则应趋同、融合
欧盟专家详解GDPR责任原则:企业要以符合伦理的方式处理数据
采写:南都记者冯群星 蒋琳 李玲 实习生尤一炜 钱柳君
文章由第三方提供,不构成投资建议,不代表本平台立场。阅读者应独立判断并自担风险。