欧洲最严数据法高悬,出海企业如何“避雷”?

报道 1个月前 (01-25)
2f43499d7b2240e49622359bcdcc58c0tplv-tt-shrink6400

GDPR被称为史上最严的数据保护规则。甚至有种论调是,在互联网时代,美国向全世界输出技术,中国向全世界输出商业模式,欧洲则要主导未来世界对互联网的监管,包括隐私数据这方面的秩序。

一种趋势是,未来未来不管是发达经济体还是新兴市场,数据监管可能都会向GDPR靠拢。GDPR是当下互联时代无法绕开的话题。

而对于企业而言,出海路上如何做好合规不踩雷,则成为了当下最热门的议题之一。1月22日,志象网联合出海同学会、声动活泼、Onepiece、领英、活动行举办题为“GDPR‘镣铐’当前,出海合规如何不‘踩雷’?”的线上分享会。

中国电子信息产业发展研究院政法所研究室主任张浩从宏观的角度对GDPR进行了解读。张浩认为,史上最严的数据保护规则未来的的执行会更加严格,同时他还提出了对出海企业在对欧开展业务的三点建议,理清楚业务的场景以及每一个流程,做好流程和技术的创新,以及积极参与到欧盟的立法和修法的过程当中。

以下内容来自中国电子信息产业发展研究院政法所研究室主任张浩的分享:

今天主要是从比较宏观的视角来聊一下GDPR及其影响以及发展趋势,希望能够帮助大家更加立体地认识和理解GDPR,如果有不正确或者是希望讨论的地方,欢迎大家拍砖。

今天分享的内容主要从三个角度:一从宏观的视角下来看欧盟划定的斗兽场式的数据治理框架;从安全港协议到隐私盾协议,来看目前 GDPR以及欧盟的执法及相关的趋势;简单分析欧盟GDPR人权框架背后的经济考量和趋势。

GDPR严格在哪里?

想必大家都听说过,GDPR被称为史上最严的数据保护规则,它到底严格在哪里?很多人会提到域外效力、全球罚则等条款,这些内容确实从不同的角度体现了GDPR对于数据保护的严格要求。

但我们认为,GDPR,更严谨地说是欧盟的数据治理体系,最严格的地方在于建立了一套独立的框架,以一种规则体系的形式宣扬和维系本土的价值观念,然后培育经济,开展国际竞争。

为什么要强调是欧盟数据治理体系而非GDPR?实际上GDPR一直都是欧盟数据治理体系的一个环节,是最主要和基本的环节,但GDPR并非是欧盟数据治理体系的全部,目前来看,它还包括里斯本条约、执行法令、关于电子商务的相关要求等。

d6221752bbf04ed583ea02cf872231dftplv-tt-shrink6400

欧盟数据治理体系

而GDPR的重要价值在于,它为整个欧洲数据治理体系奠定了基调,其实欧洲抵制完全的数据商品化,试图将数字化当中涉及人的部分,既可能是人的数字化,也可能是人的行为的数字化,给剥离出来,形成个人数据,赋予价值,这就构成了GDPR个人数据权的由来。

所以,GDPR选择的法律依据是里斯本条约,也就是通过人权的框架,通过公民权利的框架来为欧盟数据治理体系奠基。按照这个思路,欧盟赋予了个人拒绝数据收集的权利,包括是可以拒绝是否收集、拒绝收集的形式、拒绝收集的目的等,还为个体提供了一些救济的手段。

所以,从这套机制能够明显地看出,在欧盟的数据治理体系当中,数据实际上是非资产化的,或者并非一味的资产化,与经常在国内看到的在强调数据确权或者是数据财产权的基本逻辑是不同的。

而欧盟GDPR的两个核心分别是加强数据保护和促进自由流动。这两个核心在GDPR第一条里就规定得非常清楚,GDPR的主要制度也是围绕这两个核心展开的。

GDPR乃至欧盟的数据治理体系的深层逻辑到底是什么?这个答案跳出法律本身可能会更清晰一些,其实欧盟一直在反复强调规范发展,也就是基于本土的价值观念,树立一个底线,然后提高制度的可预见性,在此基础之上鼓励市场主体进行大胆的创新和经济发展,最后再通过进一步的监管来保障市场竞争。

其实可以比较清晰的发现,经济因素实际上在国内不被很多人所熟知,但经济因素却是欧盟数据治理体系的非常重要的一个考量,促进个人数据的自由流动,一直都是个人数据保护立法的重要目的。

但是由于国际社会在强调保障个人权利以及自由的声浪过高,在一定程度上淹没了自由流动。但这并不意味着自由流动的目的是次要的,或者甚至于在一定程度上为更多的国家所认可。

那么为什么我在标题当中,将GDPR划定的这套机制称为斗兽场式的?怎么样理解斗兽场?实际上我指的主要是源于罗马斗兽场的外形,然后包括底、面和外面的围墙三个方面。总体来看的话,这只是一个便于理解的框架,可能比喻不够严谨,但是确实有一些相似之处。

7e038bba9f7a4622947ee61970353703tplv-tt-shrink6400

斗兽场

其实GDPR是以个人数据保护制度作为了最基础的“底”,也就是GDPR里面非常微观的一些要求,包括透明义务、DPO等相关制度,实际上它是要求所有的只要涉及欧盟的一些相关的业务,都需要满足这些需求,这也构成了整个欧盟数据治理体系的一个底盘。

在此底盘之上,在内部能够在地基之上形成两个部分,一个是内部的平坦的部分,还有一个就是外侧的围墙,而GDPR内部平台的部分,实际上就是指欧盟成员国之间以及欧盟成员国,以及被欧盟认可的国家间的自由的数据流动。

其实欧盟比世界上大部分国家或者是地区更能够理解打破壁垒,构建单一市场的价值。近年来欧盟一直在努力的协调成员国,希望在欧洲能够建立数字单一市场,减少成员国之间的贸易和技术壁垒,提高欧洲整体竞争力。GDPR其实也是欧盟建立数字单一市场的一个重要环节。

能认识破除壁垒的价值,反向来看的话,欧盟也就更能够理解设置壁垒的价值。这也是为什么欧盟在反复地在政策文件中提到,要充分发挥欧盟最核心的优势,也就是制度的价值,或者是叫规则的价值。这也实际上是GDPR外筑高墙的一个由来。这是笼统的来说,GDPR主要是通过数据跨境流动制度来建立起它与其他国家的一些围墙。

目前来看, GDPR以与欧盟同等程度的保护为指导原则,设定了三类的涉欧数据跨境流动的法定途径。一类是以国家白名单制度为手段的充分性保护认定,具体而言就是其他国家在与欧盟及其成员国进行数据跨境流动的时候,实际上要先经过欧盟委员会的严格审查,判定该国家的数据保护水平达到了与欧盟相当的水平之后,欧盟委员会会将这个国家列入一个白名单,相当于它被认为与欧盟成员国有同等的保护能力,该国境内的市场主体与欧盟境内的市场主体开展业务的时候,可以实现自由的跨境,可以享受欧盟成员国的便利条件。

另一类则是一些个例的行为规范,典型的有两种,一个就是适当的保护措施和特例的列举两种,前面其实提到了欧盟抵制完全的数据商品化,强调保护人在数字时代的权利,这也是欧盟当前的经济社会发展的阶段决定的。但是欧盟希望与它开展业务的国家或者主体也能满足他们的价值观。因此GDPR才在数据跨境流动当中设定了充分保护要求,但实践中很少有国家能达到欧盟这样的水平。

而对于那些不能够达到白名单的国家,其境内各类的数据控制者或者处理者也需要开展业务,GDPR设定了例外的渠道,提供适当的保障措施。而实际上涉及欧盟数据跨境的主要方式,目前主要典型的就是两种,一种是有约束力的公司规则,实际上是一个内控规则。

第二个就是标准合同条款,也就是欧盟委员会官方认可的标准合同。实际上GDPR还设定了一系列的特殊适用情形,进行列举式的表述,作为无法满足上述两种要求,以及无法满足白名单要求的一个补充。主要是有这7个方面。

b21b4e5f103d436dbd84c66744038d2etplv-tt-shrink6400

涉欧数据跨境流动的法定途径

这种外筑高墙、内部进行自由流通的逻辑,就与斗兽场的外形有一些相似之处。

执行层面会走向何方?

但是说了GDPR的数据治理框架之后,其实可以了解一个情况,众所周知,法律的价值在于执行,而法律的生命力在于实施,但法律和执行之间必然存在鸿沟,而这种情况同样适用于GDPR 。GDPR被称为史上最严的数据保护规则,然后执行一直备受关注。

从初步的观察来看,GDPR通过后的一段时间内,欧盟内部实际上对此仍有分歧,而这一立场在欧盟数据跨境中表现得极为明显。其中最直接的矛盾就是面对经济贸易合作,是否要严格执行已经建立起来的数据保护规则。

美国是欧盟主要的数据跨境流动的国家,两者之间的谈判和规则变动,在一定程度上能够体现出欧盟相关规则的一个方向。在2000年12月的时候,欧美达成了安全港协议,使得欧美之间的数据跨境流动的经贸合作变得非常的紧密。但是随着斯诺登事件之后,欧盟开始重新审视欧美之间的数据传输的规则,而在这种背景之下,恰恰又出现了也就是说爱尔兰数据保护专员案,也就是施雷姆斯 I。

欧盟法院最终,以美国未充分保护个人数据为由,认定欧美的安全港协议无效。

隐私盾协议被废后,美国只能够依据当时欧盟95条例规定的标准合同条款和有约束力的公司规则进行数据跨境流动。这两项规则在使用的时候,要受到各成员国的数据保护机构持续的审查,然后这给美国的企业数据跨境带流动带来了巨大的难度,而且提高了成本。为了保障数字经济的发展,美国一直在积极跟欧盟委员会磋商,最终2016年的时候,欧美之间又再次达成了隐私盾协议。在隐私盾协议之中,虽然美国对数据处理者责任、对惩罚措施等这些方面做出了一些实质性的让步,但是实际上这些让步并没有满足,欧盟法院判决中的一些要求。

总结相关评论可能主要包括以下几个方面,一,隐私盾协议与安全港协议是一样的,缺乏有效性保护。二,隐私盾协议实际上仍然没有满足数据主体的权利,实际上不符合欧盟法院在施雷姆斯 I 这个案件最终判决中做出的要求。三,在救济机制上,隐私盾协议表面上赋予了欧盟公民强大的司法救济权。但实际上欧盟的公民非常难以实现这个权利,甚至都无法知道其个人数据在美国是否已经被滥用。因此斯诺登将隐私盾协议评价为说明性盾牌,施雷姆斯 I 的主人公施雷姆斯则认为隐私盾协议也只是换汤不换药。

从上述的评价和反应,当时欧盟的行政机关、立法机关和司法机关之间针对是否执行GDPR以及相关要求,存在一定的分歧。但这个情况在近期也发生了比较重大的变化,去年7月份的时候,欧盟法院在施雷姆斯 II 的案件当中,以美国国家安全默认优先于个人数据权利以及检察员没有取得独立性等理由,再次认定美国无法满足欧盟的数据保护的充分性要求,然后最终判决隐私盾协议无效。在该判决结束之后,欧盟的行政机关和立法机关的反应与之前截然不同。

欧盟数据监管机构明确表示会遵守判决,对欧美的数据跨境进行严格监管,而在对于立法机构来言,欧盟议会也在9月份明确表示出对欧盟法院裁判理由的支持和认可。

因此从目前的整体趋势来看,随着欧盟内部的达成一致,GDPR的执行可能会更加严格,条文之中规定的内容与现实之间的距离可能会进一步缩小。而且随着欧盟陆续出台相关领域的数据法规,他们在以人权为框架建立之后,将会通过加强监管来保障市场竞争,为数据的自由流动建立新规则。

这就是2020年底,然后欧盟发布的数据治理法案、数字市场法案等法案的初衷,本质上其实也是欧盟数据治理规则的延续和补充。特别值得一提的是,欧盟发布的数据治理法当中,提到了之后会建立起覆盖健康、交通、制造业、金融服务、能源、农业的数据单一市场,与GDPR形成了一般和特殊的关系,也就是以GDPR为底,在底的基础之上建立起一个自由流通的机制,促进数据的共享。

人权框架背后的经济考量

第三个方面, GDPR人权框架背后的经济考量。其实经济因素会是欧盟数据治理体系的重要考量。简单地列举4个点:

第一,个人权利,实际上GDPR并没有赋予个人绝对的排他权,也没有将数据主体的同意作为个人数据处理合法性的唯一依据。那么什么是GDPR更加关注的?它更加关注的是个人数据处理的透明性,强调控制者应当履行的各种义务,然后确保个人可以知晓其数据能够被处理,以及在必要的时候可以拒绝。而这一切实际上都是在为数据的自由流动来奠定基础,而这也都是数字经济的一个基础。

第二,GDPR中的中小企业条款,例如在数据处理义务、认证制度等方面多次提到了中小微企业,考虑到中小企业的特殊性。虽然GDPR强调对于个人数据的保护,但如果对数据保护义务或责任的尺度拉得过高,会对中小企业造成巨大的影响,甚至会危及生存。而中小企业被公认是作为创新和市场的主要主体。如果中小企业的生存受到了影响,那么将会破坏整个市场的创新和经济发展的环境。因此GDPR对中小微企业的义务和责任进行了特殊规定,来部分或全部豁免了一些义务和责任。

第三,关于这些技术保护措施,也就是Privacy by Design,我一般喜欢称它叫嵌入式保护。目前来看,国际上对于数据治理模式和规则其实还是存在一些分歧的,其实各国反而对技术在隐私保护中的价值没有异议。GDPR在第32条等条款中也在反复地强调技术,对确保安全和降低风险的作用。嵌入式保护所保护的除了事前管理与事中、事后管理,默认与主动行为之间的作用之外,还有一个重大的潜在影响,它会打破原有的壁垒,加强保护,同时在打破壁垒的同时还会形成新的壁垒。这一壁垒就是前面所说到的外部围墙,而这一技术性的壁垒将对未来对欧业务的开展形成一些实质性的影响。

所以,建议大家除了关注欧盟数据治理的规则之外,也应该关注一下欧盟嵌入式保护技术以及整体方案的发展,以及他们的态度和具体的优秀的案例,也可以主动的总结经验,然后形成我们中国企业自己的最佳实践,然后跟行业内的相关的主体进行合作,通过行业合作,通过以行业的形式向国内的监管机构或者是主动参与国外的一些标准规则制定,以避免或者减少贸易壁垒。

还需要值得一提的就是欧盟数据战略,这项战略最能体现现在和未来一个阶段,欧盟对于数字经济的一个计划。这个战略是2020年初出台的,它包括了设计、数据共享、基础设施建设,甚至还有刚刚提到的技术壁垒,实际上在这里面也有所体现。

我还是需要给大家提出一个几点建议:

第一,在开展对欧业务时候,除了要关注基本企业或者是业务发展的方向之外,一定要理清楚业务的场景以及每一个流程。我国目前没有被列入欧盟的数据跨境的名单,即使中欧之间的投资协定等方面达成一致,并承诺会提供一些便利。但在实际业务往来中,仍然需要满足数据治理体系的要求。因此企业的业务是否涉及个人以及某一个流程,是否涉及是保障涉欧业务开展,降低违规成本的重要一步。而且对于业务和流程可能变化或者是频繁变化的一些企业,一些动态的梳理机制反而更为重要。

第二个,开展对欧业务的时候,除了要重视主动的合规之外,还应该将一些精力放在创新上,包括流程、技术方面的一些创新,这些创新的导向和目的实际上是为了满足GDPR的监管的法律要求。欧盟在这个方面有一个相对灵活的做法,从小来说,这种创新可以满足GDPR第83条的监管要求,也就是根据数据控制者或者是处理者在业务当中实施的措施来判定最终责任的轻重。而往大了来说的话,甚至具备一种可能就是甚至可以替代或者是补充标准合同条款等作为适当保障措施的一项基础。如果能实现这个条件的话,未来的一个时间段之内,可能会带来一些额外的经济利益,减轻自己的成本负担。

另外,也同样建议有能力的企业积极参与到欧盟的立法和修法的过程当中。欧盟在立法修法过程当中,会召开大量会议,要求利益相关方来参加会议,或者说为他们提供发言的平台,通过多种方式征求意见。在这个过程当中,出海企业是与欧盟数据治理体系的利益共同体,实际上企业可以通过提意见的方式,发出不同利益相关者的声音,最终影响他们的决定。特别是以行业整体或者是大型企业或者联合体的形式来提出一些意见,就具备了让一些不合理的条款被修订的机会。

详情请点击 详情请点击