【专访】欧盟祭出最严数据保护法 对中国有什么启示?

  人工智能产业发展依靠数据,而数据作为一种新型“产权”也给法律提出了挑战。

  5月25日,欧盟《数据保护通用条例》(General?Data Protection Regulation,GDPR)将正式生效。这项被部分学者誉为数据保护领域“哥白尼革命”的立法,不仅详细规定了数据控制者(data controller)收集和处理个人信息时的法律义务,更在智能化时代给数据所有者(data subject)创造了新的法律权利,如数据访问权、被遗忘权、数据可携带权、不接受自动化决策权等,这些都会在学界和业内产生重大影响。

  一方面,欧盟希望通过GDPR加强对个人数据权的保护,捍卫以人为本的价值观;另一方面,欧盟并不甘心将机会拱手让人。例如,在GDPR有关跨境数据转移的内容上可以看到,欧盟提供了各种创新机制来提高数据流动的灵活性,以促进欧盟人工智能等行业发展。

  近日,界面新闻记者分别采访了上海交通大学法学院副教授何渊、腾讯研究院高级研究员曹建峰和美国保尔森基金会智库研究员Matt Sheehan,他们就GDPR对中国的影响、GDPR扼制还是促进创新,以及中国在数据保护立法方面的现状等问题表达了自己的看法。

  界面:GDPR有什么重大意义?它对中国的数据保护有哪些启示?

  曹建峰:GDPR作为欧盟各方长达四年谈判和妥协和结果,彻底革新了1995年出台的《数据保护指令》,是欧盟数字单一市场一系列举措的核心组成部分。GDPR一方面加强个人对其个人数据的控制,另一方面在欧盟内部市场营造一个自由、公平的竞争环境,推动欧盟互联网企业发展壮大。随着机器学习成为一项通用技术,数据成为一项核心资产,大企业与中小企业的数据壁垒日益突出,促进数据流动和共享于是成为包括欧盟GDPR(通过数据可携带权)及促进非个人数据自由流动条例等在内的相关法案的核心目的。

  对于中国企业而言,由于GDPR的域外管辖效力,中国互联网企业向欧盟民众提供商品或服务,或者追踪欧盟民众的网络行为的,需要受其约束,不论是否在欧盟设立分公司。

  何渊:GDPR是全球第一部以正式法典形式出现的个人数据保护条例。其强化了数据主体的权利,明确了数据控制者和处理者的义务,简化了跨国公司的合规程序。多年来欧盟一直致力于建立“行业行为准则+法律强制性规范”的双重规范体系,及“数据控制者自律+政府数据监管机构的监督管理”的双重管理体系。同时,欧盟注重“个人数据权利保护”与“个人数据自由流通”之间的平衡,特别强调个人数据的自由流通不得因为在个人数据处理过程中保护自然人权利而被限制或禁止。最新公布的《欧盟企业间数据共享报告》显示,严格的数据权利保护并没有实质性影响规模化和商业化的数据共享,我认为欧盟在用柔性策略平衡数据共享中的价值冲突。

  我认为GDPR对中国有以下几点启示:

  首先,单一的数据保护立法有利于统一市场的建设。差异化和不协调的数据保护方案和执法机制不仅影响到公民基本数据权利的保护效果,也会阻碍数据的自由流通,而且使得企业在开拓市场时面临着很大的法律不确定性,增加企业的守法成本和合规风险。

  其次,从基本权利和自由的角度来规范数据控制者的数据处理行为并保护个人权益,这是世界上普遍性接受的规则。而在人工智能时代,有必要实现从个人隐私保护到个人数据保护的转变。隐私保护主要在于防范他人或公权力干预个人的私生活,保障生活的安宁;但由于大数据的爆炸性增长和云计算能力的指数级进步,每个人都变成了“透明人”,并深陷于一个巨大的“黑箱社会”之中。隐私的概念在人工智能时代面临着迭代更新,强调数据主体有效控制权的“个人数据”概念应运而生。

  最后,强调公法救济机制的重要性。该条例强制要求欧盟各国建立独立的数据监管机构以及数据主体向监管机构投诉、受理及处理的一整套完备行政救济制度框架。对于人工智能时代的数据保护,并非依赖私法权利体系及个人的司法救济来实现。

  界面:今年3月,欧盟委员会内部智库——欧盟政治战略中心(European Political Strategy Centre)发布了一份关于欧盟人工智能发展战略的报告。 报告称,与很多业内公司所认为的不同,GDPR可以促进人工智能领域的创新,而不是扼制创新。您怎么看?

  Matt Sheehan: 如果全球互联网用户对自己的隐私更加关注,或者使用技术的程度和相关数据法规的严格程度成正比的话,那么GDPR对创新是有促进作用的。但是目前证据显示用户不会因为对隐私的担忧而改变他们的行为。即使是在Facebook被剑桥分析丑闻重创的时候,它的收入和用户也还在攀升。也许在将来GDPR会对这些(在隐私保护方面有重大缺陷的)公司造成更大的影响——或对遵守法规的公司发挥积极作用——但是到目前为止我们还没有看到有证据证明这一点。当然不是说GDPR是件坏事——从伦理角度看它可能是一件极好的事情。但是如果用户信息和活动是创新根源的话,那现在可能还不能得出GDPR促进创新的结论。

  曹建峰:对于GDPR究竟是促进创新和竞争还是抑制创新,人们分歧很大。有人认为,GDPR有助于在美国硅谷科技企业和欧盟本土企业之间营造公平竞争的环境,尤其是数据可携带权有助于弥合大企业(主要是硅谷巨头)和中小企业(主要是欧盟本土企业)之间的数据鸿沟,所以能够促进创新。也有人认为,GDPR创设的较高合规门槛无形中制造了市场障碍,反倒给美国企业带来了竞争优势。

  当然,如果我们考察硅谷互联网创新的成功,可以发现法律制度在其中起了重大作用,适度的网络版权保护、平台责任以及隐私保护等法律制度选择给硅谷创新和崛起提供了绝好的土壤。GDPR的目的是从人权角度保护个人数据权利,但其对竞争和创新所可能产生的效果值得深入研究。毕竟技术创新才是推动人类社会进步的核心力量。

  界面:关于中国数据保护的现状,国际上有很多不同声音。欧盟政治战略中心在今年3月的报告中称:“收集和处理数据越容易,公司发展AI的成本就越低,但是中国模式既不理想,也不可取。因为长远来看成功的科技进步根本上都是以个人权利增长为中心的。长期来看,不关心科技给公民福祉带来影响的国家就不可能获得数字繁荣。”您怎么看?

  Matt Sheehan:在美国和欧洲关于中国数据和人工智能的讨论经常聚焦于数据使用的法律框架,但是这样的关注遗漏了一个重点:即比起相对宽松的法律环境来说,中国主要的数据优势是数据本身的丰富性。和美国人比起来,中国人更倾向于在日常生活中使用手机应用做各种事情:在商店付款,骑共享单车,直播,叫外卖,预约医生等。当然对于怎样使用收集来的这些数据,法律限制确实很重要。但是即使中国的腾讯和美国的Facebook处在一样的限制条件下,腾讯还是有比较明显的优势的,因为用户使用腾讯应用所进行活动的多样性明显高于Facebook。

  何渊: 欧盟报告对中国模式的总结是错误的。事实上,中国的数据保护模式跟欧美并没有本质区别,只是发展阶段和实现机制有所不同。中国的数据相关立法也是建构在个人基本权利和自由的基础上,而强调科技给公民的福祉以及突出公共利益的实现,本身就是新时代社会主义立法的特色和优势之所在。

  全国人大早在2003年就提出了制定“个人数据保护法”;2009年刑法修正案增设了“侵犯公民个人信息罪”;2013年的《消费者权益保护法》增加了对消费者个人信息保护的内容;而2016年的《网络安全法》则明确了数据控制者和处理者的法定义务,以保障网络安全以及保护数据主体的合法权益;最高检和最高法出台的司法解释《关于侵犯公民个人信息刑事案件解释》更是明确了“个人信息”、“违反国家有关规定”、“提供公民个人信息”及“情节严重”等不确定概念;而2017年的推荐性国家标准《个人信息安全规范》更是从信息权利保护的角度全面规定了个人信息的收集、保存、使用以及委托处理、共享、转让及公开披露等内容。

  由此看来,中国模式注重个人数据权益的保护。与欧盟相比,中国的路径有两个特色:

  其一,提倡试验性治理模式,“摸着石头过河”。由于人工智能时代的不确定性和变动性,中国希望构建一种试验主义的治理模式,建立的是临时性的数据保护框架,并且根据不同环境下执行效果的递归评估而不断对这些框架加以深化并修正。这也是中国为何迟迟不出台强制性硬法《个人信息保护法》,而仅仅制定软法性质的指导性国家标准《个人信息安全规范》的主要原因。

  其二,强调数据权利等个人利益与数据流通、共享及利用等公共利益的平衡,具体体现为平台企业的自律性规制与国家的强制性规制相结合的合作治理。未来的中国模式必然是一个以多元、开放、分享为基本特征的整体性体系,市场、社会及国家这三种治理机制循环往复,时而正向运动,时而反向运动,同时还包括国家内部的立法与行政、中央与地方之间的双向自循环系统,共同形成一个整体的四重双向治理生态。

收藏
推荐阅读
陆奇现身否认“宫斗”传闻 陆奇来去对百度...
1997年,韩国如何处理债务违约?
微信请息怒
美图秀秀十年轮回,中国版Instagra...
他山之石,可以攻玉——日美医药流通业发展...
40年:中国城市化的两部曲

融资报道


如果您的公司有最新的融资新闻希望得到报道,请与我们联系

申请融资报道

热文