谷歌收穫天價罰單對我們的啟示
原標題:谷歌收穫天價罰單對我們的啟示
谷歌最近又在歐洲被處罰了。據報道,法國資料保護監管機構對谷歌公司處以5000萬歐元的罰款,理由是其在使用者個人資訊保護和資料處理上違反了歐盟《通用資料保護條例》(簡稱GDPR)中的相關規定。儘管這只是歐洲針對美國公司的一次個案處罰,但其指向的卻是包括我國在內當下各國在網路空間普遍遭遇的問題。
大資料時代,個人的表達和行為都會轉化為資料,成為驅動數字經濟和社會發展的戰略性資源。但技術是一把“雙刃劍”,個人資料的過度收集、濫用及隱私洩露問題愈加突出。正基於此,歐盟於2016年通過了《通用資料保護條例》,代替1995年頒佈的《個人資料保護指令》,從“指令”上升為“條例”,效力層級更高,保護力度更大。這次谷歌收到的罰單,是GDPR生效以來單個公司遭遇的最大一張。
從現實來看,作為處罰依據的GDPR,為全球資料治理提供了一套具有前瞻性且相對嚴謹的個人資訊保護制度,對於我們國家的網路治理很有啟發。
一是高標準中的嚴要求。GDPR被譽為史上最嚴個人資訊保護法,該法通過制度設計賦予資料處理機構較高的法律義務。比如資料處理前的事先諮詢和影響評估制度,處理中的預設不可訪問制度,資料洩露後的72小時報告制度等。這次谷歌被處罰的原因之一,就是將使用者“同意”選項設定為“全域性預設設定”。同時,責任追究力度也達到了空前的高度,歐盟對違法者可以處以最高達到其全球年收入的4%或2000萬歐元的罰款,並以數額最高者為準。
二是私權利外的公救濟。在“個人資訊自決”的立法理念下,GDPR賦予個人針對其資料的訪問、查詢、糾正、刪除等一系列權利。為確保上述權利得到執行,法律還賦予了監管機構在責任認定等方面較大的自由裁量權,並構建了從投訴、受理到處罰的一整套行政監管與救濟制度,通過強化公法救濟來彌補普通司法救濟的不足。
三是老目標下的新舉措。個人資訊保護並非對個人權益的絕對化保護,本質上是尋求個人權益與公共利益、保護個人資訊與促進資訊流動之間的平衡。GDPR為適應大資料時代“收集先於目的”的資料探勘模式以及公民主動披露資訊的社交習慣,首創了“被遺忘權”制度,允許權利人能夠基於一定理由在事後刪除其資訊,同時又設定了行使被遺忘權的限制條件,以確保權益保護與資訊流通平衡目標的實現。
四是重形式上的強執行。GDPR特別強調資料處理機構在形式要件上的合規。比如要建立資料記錄制度,對個人資訊處理要實現文件化管理,在技術系統和人員培訓上要制定明確制度以備檢查,僱員達到一定規模的還要設定專門的資料保護官。從實踐來看,正是得益於這些細緻又可量化的形式要件,資料處理機構對法律制度的重視與執行力度在不斷加強。
當前我國網際網路行業已經走在了世界發展前列,但是在個人資訊保護方面一直沒有專門立法。短期來看,國內企業可以基於國內外政策環境的不同而制定不同方案。但從長遠出發,儘快推動《個人資訊保護法》的出臺,才是應對未來資訊保安挑戰的長久之計。在充分考慮國情的基礎上,GDPR為代表的一些有益做法值得借鑑,但也要看到我國的特殊性。網路治理模式幾經轉變,成為共識的全球方案沒有出現,我國網際網路處於潮頭,遭遇的許多問題都是新的,確實無域外經驗可借鑑。這個意義上,保護資訊保安,還是要靠我們自己在制度構建上有所創新。
(作者系中央人民廣播電臺主任編輯,法律顧問)
(責編:畢磊、楊波)