谷歌最近又在歐洲被處罰了����。據(jù)報(bào)道����,法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對(duì)谷歌公司處以5000萬(wàn)歐元的罰款����,理由是其在用戶(hù)個(gè)人信息保護(hù)和數(shù)據(jù)處理上違反了歐盟《通用數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱(chēng)GDPR)中的相關(guān)規(guī)定。盡管這只是歐洲針對(duì)美國(guó)公司的一次個(gè)案處罰���,但其指向的卻是包括我國(guó)在內(nèi)當(dāng)下各國(guó)在網(wǎng)絡(luò)空間普遍遭遇的問(wèn)題��。
大數(shù)據(jù)時(shí)代�����,個(gè)人的表達(dá)和行為都會(huì)轉(zhuǎn)化為數(shù)據(jù)����,成為驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)和社會(huì)發(fā)展的戰(zhàn)略性資源���。但技術(shù)是一把“雙刃劍”�,個(gè)人數(shù)據(jù)的過(guò)度收集、濫用及隱私泄露問(wèn)題愈加突出�。正基于此,歐盟于2016年通過(guò)了《通用數(shù)據(jù)保護(hù)條例》��,代替1995年頒布的《個(gè)人數(shù)據(jù)保護(hù)指令》����,從“指令”上升為“條例”,效力層級(jí)更高����,保護(hù)力度更大。這次谷歌收到的罰單�����,是GDPR生效以來(lái)單個(gè)公司遭遇的最大一張�����。
從現(xiàn)實(shí)來(lái)看�����,作為處罰依據(jù)的GDPR���,為全球數(shù)據(jù)治理提供了一套具有前瞻性且相對(duì)嚴(yán)謹(jǐn)?shù)膫€(gè)人信息保護(hù)制度���,對(duì)于我們國(guó)家的網(wǎng)絡(luò)治理很有啟發(fā)。
一是高標(biāo)準(zhǔn)中的嚴(yán)要求�。GDPR被譽(yù)為史上最嚴(yán)個(gè)人信息保護(hù)法,該法通過(guò)制度設(shè)計(jì)賦予數(shù)據(jù)處理機(jī)構(gòu)較高的法律義務(wù)�。比如數(shù)據(jù)處理前的事先咨詢(xún)和影響評(píng)估制度,處理中的默認(rèn)不可訪(fǎng)問(wèn)制度���,數(shù)據(jù)泄露后的72小時(shí)報(bào)告制度等����。這次谷歌被處罰的原因之一���,就是將用戶(hù)“同意”選項(xiàng)設(shè)定為“全局默認(rèn)設(shè)置”����。同時(shí)�,責(zé)任追究力度也達(dá)到了空前的高度,歐盟對(duì)違法者可以處以最高達(dá)到其全球年收入的4%或2000萬(wàn)歐元的罰款�����,并以數(shù)額最高者為準(zhǔn)。
二是私權(quán)利外的公救濟(jì)�����。在“個(gè)人信息自決”的立法理念下��,GDPR賦予個(gè)人針對(duì)其數(shù)據(jù)的訪(fǎng)問(wèn)����、查詢(xún)、糾正�、刪除等一系列權(quán)利。為確保上述權(quán)利得到執(zhí)行����,法律還賦予了監(jiān)管機(jī)構(gòu)在責(zé)任認(rèn)定等方面較大的自由裁量權(quán),并構(gòu)建了從投訴�����、受理到處罰的一整套行政監(jiān)管與救濟(jì)制度���,通過(guò)強(qiáng)化公法救濟(jì)來(lái)彌補(bǔ)普通司法救濟(jì)的不足��。
三是老目標(biāo)下的新舉措��。個(gè)人信息保護(hù)并非對(duì)個(gè)人權(quán)益的絕對(duì)化保護(hù)���,本質(zhì)上是尋求個(gè)人權(quán)益與公共利益、保護(hù)個(gè)人信息與促進(jìn)信息流動(dòng)之間的平衡��。GDPR為適應(yīng)大數(shù)據(jù)時(shí)代“收集先于目的”的數(shù)據(jù)挖掘模式以及公民主動(dòng)披露信息的社交習(xí)慣���,首創(chuàng)了“被遺忘權(quán)”制度����,允許權(quán)利人能夠基于一定理由在事后刪除其信息�����,同時(shí)又設(shè)置了行使被遺忘權(quán)的限制條件����,以確保權(quán)益保護(hù)與信息流通平衡目標(biāo)的實(shí)現(xiàn)。
四是重形式上的強(qiáng)執(zhí)行�����。GDPR特別強(qiáng)調(diào)數(shù)據(jù)處理機(jī)構(gòu)在形式要件上的合規(guī)。比如要建立數(shù)據(jù)記錄制度���,對(duì)個(gè)人信息處理要實(shí)現(xiàn)文檔化管理��,在技術(shù)系統(tǒng)和人員培訓(xùn)上要制定明確制度以備檢查���,雇員達(dá)到一定規(guī)模的還要設(shè)置專(zhuān)門(mén)的數(shù)據(jù)保護(hù)官。從實(shí)踐來(lái)看����,正是得益于這些細(xì)致又可量化的形式要件,數(shù)據(jù)處理機(jī)構(gòu)對(duì)法律制度的重視與執(zhí)行力度在不斷加強(qiáng)���。
當(dāng)前我國(guó)互聯(lián)網(wǎng)行業(yè)已經(jīng)走在了世界發(fā)展前列���,但是在個(gè)人信息保護(hù)方面一直沒(méi)有專(zhuān)門(mén)立法。短期來(lái)看���,國(guó)內(nèi)企業(yè)可以基于國(guó)內(nèi)外政策環(huán)境的不同而制定不同方案�����。但從長(zhǎng)遠(yuǎn)出發(fā)����,盡快推動(dòng)《個(gè)人信息保護(hù)法》的出臺(tái),才是應(yīng)對(duì)未來(lái)信息安全挑戰(zhàn)的長(zhǎng)久之計(jì)����。在充分考慮國(guó)情的基礎(chǔ)上�����,GDPR為代表的一些有益做法值得借鑒�����,但也要看到我國(guó)的特殊性���。網(wǎng)絡(luò)治理模式幾經(jīng)轉(zhuǎn)變���,成為共識(shí)的全球方案沒(méi)有出現(xiàn),我國(guó)互聯(lián)網(wǎng)處于潮頭��,遭遇的許多問(wèn)題都是新的��,確實(shí)無(wú)域外經(jīng)驗(yàn)可借鑒�。這個(gè)意義上���,保護(hù)信息安全,還是要靠我們自己在制度構(gòu)建上有所創(chuàng)新�。(周沖)
(作者系中央人民廣播電臺(tái)主任編輯,法律顧問(wèn))
