《通用数据保护条例》(GDPR)生效已有七年,它保障了欧盟居民的隐私权,改变了全球隐私格局。在这七年里,GDPR既备受赞誉,也饱受批评。它启发了全球各地的隐私法规,改变了跨国企业的经营方式,有时这种改变让企业感到懊恼。回顾GDPR的七年历程,我们希望回顾其发展历程和实际应用,展望其遗产和持续面临的挑战。现在,让我们深入探讨。
GDPR是如何诞生的?
欧盟的GDPR于2016年最终确定,但欧洲将隐私视为一项重要基本权利的传统可以追溯到更早时期。1995年的《数据保护指令》定义了数据保护的基本要素,各成员国将其转化为国内法律。每个欧盟成员国在其管辖范围内管理数据保护的监管和执行工作,根据该指令第29条,欧盟成员国的数据保护专员参与了社区层面的一个工作组。2000年,《欧洲基本权利宪章》(简称《宪章》)以两种形式确立了明确的基本隐私权:数据保护权以及尊重个人私人和家庭生活、住所和通信的权利。2009年,《里斯本条约》使《宪章》成为一份具有法律执行力的文件,不仅对整个欧盟有效,对欧盟各机构和成员国来说,它就像一部凌驾于成员国法律之上的宪法。2011年,欧盟公布了GDPR的草案版本,在现有监管文件的基础上对1995年的《数据保护指令》进行修订。重要的是,这项新法规将是一个基于权利的工具,其基础是将个人数据保护视为一项基本权利。经过多年的反复讨论,并历经欧盟出了名的繁琐立法程序,GDPR于2016年最终确定,并于2018年5月25日开始实施。
欧盟的数据保护制度为全球隐私立法提供了全面的范本。GDPR的核心假设是,除非有合法依据,否则处理个人数据属于违法行为。第6条列出了六种公认的处理依据。“处理”个人数据的定义极为宽泛,包括收集、记录、组织、整理、存储、使用或删除数据。在欧盟,几乎任何对个人数据的收集和 / 或使用都受GDPR的约束。GDPR的另一个极其重要的方面是,它适用于所有欧盟境内人员的个人数据,无论被处理数据者的国籍,也无论处理数据的实体为何。
七年后的今天,GDPR已成为首个此类技术和数字权利监管体系的基石。一些行业,如金融部门,在数据处理方面的义务有所增加,但除此之外,无论数据控制者和处理者是谁,基本要求都是一致的,不过有一个重要的例外。GDPR不适用于执法部门对个人数据的处理,这部分由《执法指令》管控。《执法指令》与GDPR密切相关,因为这两项立法是协同起草的,但由于欧盟在监管国家安全措施方面的自我限制,在数据主体权利和透明度要求方面,二者存在明显差异 。
GDPR发挥作用了吗?
尽管有人批评GDPR的执行速度比预期慢,频率也比预期低(我们将在下一部分讨论这个问题),但自GDPR生效七年来,已经采取了一系列重大行动:2018年5月至2025年5月期间,至少有2632起违规行为受到执法行动的处理,GDPR罚款总额达到61.959亿欧元。虽然被处罚的公司来自世界各地,其中也包括许多欧洲公司,但最高额的罚款都发给了美国大型科技公司和TikTok,因为它们处理的个人数据量比大多数其他实体要高得多。
GDPR框架下最具影响力的判决之一,不仅产生了迄今为止最高的GDPR罚款(2023年5月,因持续进行不符合规定的数据传输,最终被罚款12亿欧元),还彻底宣告《隐私盾协议》无效,该协议当时是欧盟和美国之间主要的数据传输机制。法院最终裁定,《隐私盾协议》没有为欧盟居民的个人数据提供足够的数据保护,原因如下:
第一,它没有对美国的监控项目进行任何保护或限制,这些监控项目以既不必要也不相称的方式扫描受保护的数据;
第二,没有相应机制让欧盟居民针对这些严重侵犯GDPR权利的行为获得有效的司法救济或补偿。
除了这一判决及其罚款之外,十大最高额的GDPR罚款均发给了大型科技公司。十大最高额罚款中有六笔都与Meta及其旗下公司有关:
1. 因不当数据传输被罚款12亿欧元(2023年5月)
2. 因在没有适当法律依据的情况下处理儿童个人数据被罚款4.05亿欧元(2022年9月)
3. 因强迫用户接受个性化广告才能使用Facebook被罚款3.9亿欧元(2023年1月)
4. 因大规模数据泄露和安全措施不足被罚款2.65亿欧元(2022年11月)
5. 因另一起数据泄露事件,以及未能记录泄露情况并通知受影响人员被罚款2.51亿欧元(2024年12月)
6. WhatsApp因违反GDPR的透明度要求被罚款2.25亿欧元(2021年9月)
其他进入前十的高额罚款对象包括:
1. 亚马逊:因定向广告系统在未经适当同意的情况下运行被罚款7.46亿欧元(2021年7月)
2. TikTok:因在数据处理、透明度以及处理儿童个人数据的公平性方面存在违规行为被罚款3.45亿欧元(2023年9月)
3. 领英:因滥用用户数据进行定向广告和行为分析被罚款3.1亿欧元(2024年10月)
4. 优步:因将欧盟居民数据不当传输至美国被罚款2.9亿欧元(2024年7月)
总体而言,导致罚款最多的违规行为包括不遵守数据处理原则(违反透明度、公平性等原则)、数据处理的法律依据不充分或不当、安全措施不足、披露和记录不充分,以及未能充分保障数据主体的权利。
GDPR的影响
对GDPR影响的评价褒贬不一。这项法律将数字权利置于全球经济的核心位置,要求企业将数字权利作为商业计划的关键部分加以考虑,并创建了一个全球范围内的执行这些权利的架构。然而,由于管辖权挑战、资源短缺和政治因素等多种原因,负责执行这项法律的政府机构行动迟缓。即便隐私倡导者和个人批评执法力度不够,但Meta和苹果等美国公司却指责欧盟将人权置于行业底线之上。
互联网创造了一个深度互联的全球经济体系,由于GDPR的适用范围广泛,涵盖大量人群,欧盟迫使世界其他地区按其规则行事。该法规的适用范围不是基于处理个人数据的实体所在地,而是基于数据主体所在地。任何处理位于欧盟境内数据主体个人数据的实体都受GDPR的约束。例如,一位身在柏林的德国公民在Instagram上浏览内容时,其数据受GDPR保护;一位到巴黎度假的加拿大公民在谷歌上搜索附近餐厅,其数据也受GDPR保护。但一位到美国旅游的西班牙公民,在访问一家博物馆网站购买门票时,其数据则不受GDPR保护 。
任何想要处理受保护数据的实体,都必须保障GDPR规定的权利,这就导致政府和商业实体之间需要签订复杂的跨境数据传输协议。GDPR列出了一些符合其权利保护制度的数据传输可接受方法,包括标准合同条款、有约束力的公司规则,或者一种政府间机制,GDPR称之为 “充分性决定”。如果欧盟认定某个国家的隐私法能为其数据主体提供相当的保护,那么它可以做出正式的充分性决定,基于这个决定,该国的任何实体都可以传输受保护数据。然而,就美国而言,这些决定并不稳定,导致商业活动存在不确定性。
这种适用范围,再加上世界各地类似的法律,使得隐私和数据保护要求有了更加统一的基准,企业可以据此简化其合规体系。GDPR为企业设定了标准,要求它们了解自己收集的数据,以及这些数据的使用、维护和删除方式。企业无需为每个司法管辖区调整程序,GDPR提供了一个被广泛接受的标准,可用于各类数据流。即使某个国家没有要求与GDPR相同的高标准,为遵守GDPR而进行的数据处理映射和编目工作,也有助于在其他地方遵守法律和进行报告。
重要的是,GDPR标准以可执行的数字权利为核心。数据主体对其个人数据享有多项权利,包括访问实体可能持有的与其相关的个人数据的权利、更正此类数据的权利,以及在某些情况下删除这些数据的权利。除了数据主体在《欧盟宪章》下已有的基本权利(包括不受歧视权、思想自由权、言论自由权和集会自由权)之外,这些权利同样存在。反过来,处理个人数据的实体有义务和责任确保数据主体的权利得以实现。这些权利受到私人诉讼权的保护,这使得个人能够比监管机构更快地提出保护其权利的主张。不过,由于政府机构最终必须追踪、调查和执行这些诉求,私人诉讼权在一定程度上仍依赖于政府机构的能力、资源和决策。
对GDPR的主要批评之一,是其执行缓慢且力度不足。对GDPR违规行为的调查和执法行动的组织方式是,违规行为的默认执法机构通常与违规实体的代理机构或分支机构位于同一辖区。在欧盟,这通常意味着爱尔兰,因为爱尔兰特意制定了税收政策,吸引外国实体在当地设立机构。这种集中化既导致了工作瓶颈,也引发了政治方面的担忧。在GDPR生效后的前6个月,仅爱尔兰就收到了1928起投诉,但在此期间没有开出任何罚单。在过去七年里,爱尔兰在案件处理上积压严重,2021年该国近86%的跨境投诉都以 “友好解决” 告终,并未产生实际处罚结果。民间社会甚至欧盟政府本身都注意到了GDPR执行的不均衡和缓慢问题。经济处罚是促使企业遵守数据保护法律的最佳激励措施,但数据显示,只有1.3%的GDPR案件通过罚款解决。
对美国公司的执法行动引发了这些公司和美国政界人士的不满。例如,苹果公司在因违规未支付巨额罚款和税款时,试图让美国政府为其出面干预。马克・扎克伯格也多次公开指责欧盟 “将审查制度化”,并批评欧盟执行自身法律的行为,这与他最初对GDPR的赞扬形成鲜明对比。就在过去几个月里,美国政府指责欧盟监管机构对美国大型科技公司不公平,还抱怨社交媒体审查、反垄断监管和人工智能监管等问题。这些毫无根据的指责是一种可耻的施压手段,目的是逃避基本的数据责任,无视个人和集体的隐私权。
如果这些科技公司想要接触数亿欧盟公民,获取他们的个人数据并开拓其消费市场,就必须遵守当地法律。欧洲的监管机构并不是因为国籍或政治偏见而针对美国公司,只是这些美国公司处理的个人数据量巨大,并且一再未能达到基本的数据隐私和安全标准,从而导致高额罚款和屡教不改的违规行为。不幸的是,大型科技公司和美国政府的威胁似乎正在产生效果,因为现在许多欧洲领导人都试图削弱包括GDPR在内的重要科技法案。
未来走向?
那么,GDPR目前处于什么状态呢?自该法规通过以来,人们提出了多项建议,以使其更好地应对出现的各种难题。例如,为协调各成员国当局在GDPR部分程序上的差异(如处理投诉、合作行动、明确投诉中的个人权利等),相关工作持续了数年。到目前为止,这些行动主要集中在对原GDPR文本的阐释上,而非实质性修改。不过,这种情况可能会发生变化。
GDPR和其他几项欧盟法规,在欧盟一场名为 “综合简化方案” 的广泛放松监管运动中受到冲击。这些提案被政界人士包装成 “减轻行政负担” 的手段,涵盖范围广泛,包括对报告、审计的修改,以及对中小企业的相关要求等。这一方案与欧盟传统立法程序有明显不同,看起来可能会修改欧盟一些最具影响力的隐私和数字法律。据报道,GDPR、《人工智能法案》、《电子隐私指令》、《数字市场法》和《数字服务法》都可能在 “综合简化方案第四版” 中进行调整,该方案旨在减少中小企业的记录保存要求等。目前尚不清楚这些拟议的修改幅度会有多大。
这种向 “减轻合规负担” 转变的监管趋势,原因是多方面的。首先,大型科技公司(有时还包括美国政府官员)不断(且毫无根据地)声称,监管保护措施会扼杀创新或具有反竞争性。与此同时,欧盟越来越担心对美国技术和公司的依赖,尤其是在政治环境不稳定的情况下,美国随时可能切断其技术供应。部分修改措施旨在营造一个有利于新企业和技术发展的环境。令人遗憾的是,欧洲政界人士似乎认同了这样一种观点,即竞争和创新只能以牺牲基本的数据安全程序为代价。如果最基本的消费者和人权保护措施真的会让企业无法创新,那只能说明这些企业缺乏创造力。欧盟和美国的民间社会团体,包括电子隐私信息中心(EPIC),都积极参与这一过程,以确保个人权利和隐私保护不受影响。
结论
GDPR即使不是全球最具影响力的隐私法规,也绝对是其中之一。它所包含的问责原则、数据管理、个人权利、数据处理依据、责任划分等内容,启发了欧盟以外许多地方、州和国家制定类似的要求。在很多方面,GDPR为全球的数据处理设定了更为一致和统一的标准。虽然没有哪项法规是完美的,GDPR在执行方面也确实有待改进,但它是隐私立法的基石。我们希望它能一直如此。
本文转自:数据何规,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
