BTCV繁华资讯 > 货币新闻 > GDPR成立两周年:数据保护的底线还是立法的上限?

GDPR成立两周年:数据保护的底线还是立法的上限?

作者:_btcv-繁华资讯来源:_btcv-繁华资讯 货币新闻 2020年08月31日

作为OmidyarNetwork“全球数据保护的路径和缺陷”[1]的系列主题之一,本文讨论了《欧洲通用数据保护条例》 (GDPR)[2]自2018年5月生效以来对全球数据的影响

GDPR两周年:数据保护的底线还是立法的天花板?

作为Omidyar网络的“全球数据保护的路径和缺陷”[1]系列主题之一,本文讨论了《通用数据保护条例》(GDPR)[2]自2018年5月生效以来对全球数据保护模式的影响。诚然,GDPR为全球司法体系的法律改革开辟了一条新的道路,促进了公众对数据治理和隐私的关注,从而极大地影响了全球数据保护的模式;然而,它不仅通过治外法权或作为立法模式直接或间接扩大了其影响,而且扩大了其缺陷和局限性,导致其他国家的法典也继承了这些缺陷。

在过去的两年里,这些桎梏是:一些条款的杠杆率过低/过高,不可否认的执行不足[3],以及法律和创新之间的持续对抗(例如将法律应用于新兴技术的挑战)。接下来,本文将讨论GDPR的性质、范围和核心限制,并考虑该法律是全球数据保护的模式还是失败的底线。

在世界各地,GDPR对其域外适用的直接影响随处可见。欧盟拥有5亿多消费者,是世界上最大的单一市场,因此GDPR可以影响到世界上几乎所有与欧盟做生意的地区。甚至比美国科技巨头还要好,很难不碰这样美味的蛋糕。这样,GDPR为许多大企业和跨国公司树立了一个实用的标准。原因如下:首先,GDPR是一个便于公司实施的单一标准或框架,而不是地方或国家数据保护法;其次,全球数据治理缺乏灵活的范式。目前,很难找到与欧盟数据保护框架相匹配的框架。

我们还观察到了布鲁塞尔效应的间接影响,它指的是欧盟通过市场力量单方面监管全球市场的能力:通过在世界各地的司法辖区传播新颁布和调整的法律,一些国家可以直接效仿GDPR。由此我们可以看到GDPR的司马昭之心:其原则的核心、其利益的根源及其实施机制。自生效以来,GDPR推动肯尼亚和乌干达颁布了第一部国家数据保护法,并推动其他国家改进或修订其现有法律。例如,阿根廷在2018年引入了数据保护法,在某种程度上,只是为了维护其在2003年《欧洲通用数据保护条例》 (GDPR的GDPR前身)的既得利益。GDPR还促使印度、尼日利亚和巴西等国将“部分适用”的数据保护法规扩展为更一般化的法律。

“布鲁塞尔效应”也体现了欧盟委员会希望通过各种多边/双边论坛和贸易政策来整合隐私和数据保护法律。《欧洲数据保护指导条例》 [5]就是一个例子。战略中列出的几个高质量条款包括贯穿非洲大陆的数字转型战略,该战略将深入应用于GDPR,并影响国家跨境贸易和国际投资。然而,事实上,全球一级的协调可能导致一些国家执行标准和原则不够严格。中小型企业很难遵守,但大型全球科技公司,如脸谱网和谷歌,正从竞争中获利,因为它们的全球应对能力。事实上,这一战略的内容确实引起了非洲联盟的注意[6],非洲联盟重申这一条款应由非洲联盟和欧洲联盟共同制定。

欧盟委员会在评估GDPR近两年的应用和运行情况的报告中强调,有必要重点关注如何帮助中小企业遵守这一规定。然而,总体而言,欧盟委员会的自我评价很高,称“GDPR已成功实现其目标:加强保护个人数据的权利,并确保个人数据在欧盟内部自由流通。”该报告还赞扬了GDPR框架的灵活性,称其与新冠肺炎的防疫措施完全兼容。

然而,委员会也认识到仍有改进的余地,特别是在国际数据传输、合作和一致性方面,如"一站式机制"[8];数据保护机构资源不足,数据移植权未得到充分落实;GDPR在区块链和人工智能等新兴技术中的应用仍不明朗。最后,委员会指出,成员国在处理数据保护的基本权利和言论自由之间的矛盾方面的决议是不一致的。

尽管欧洲委员会的报告没有讨论这一点,但必须指出其框架的其他缺点,特别是当GDPR因其对全球格局的巨大影响而被广泛出口时。其中一些限制的原因是,GDPR与其前身1995年的《数据保护法令》基本相同。但是,当时的数字环境与今天相去甚远。另一个原因是缺乏有意义的替代范式。

首先,GDPR及其受其启发的法律过于依赖“同意”作为数据处理的法律基础。尤其是在今天的数字世界,有意义的知识和同意往往难以捉摸。当今的数字世界存在巨大的不对称性。少数大型企业往往占据了大部分知识和权力,而个人不仅缺乏管理和理解数据决策的意识和能力,而且几乎没有有意义的选择。

这也暴露了像GDPR这样的数据保护框架的缺陷,它不能解决市场中的动态问题,而是需要其他领域的补充,如竞争法或反垄断法。例如,在德国最近的一个反垄断案件中,高等法院裁定,Facebook滥用其在社交媒体中的主导地位,通过在Instagram、WhatsApp和Messenger等Facebook平台上混合数据,非法获取用户数据。尽管这种数据组合可能会因GDPR而受到质疑,但裁决显示,涉及数据保护权的市场环境也限制了我们在市场中的选择,从而限制了我们的自由和自主权。这也显示了数据保护和反垄断法之间的互补性。

在一些GDPR法规中,有些糟粕被过分保留(如基于用户协议“我同意”的数据处理),但有些精华却没有得到足够的重视,如基于应用程序设计和默认设置的隐私保护选项、自动数据收集和决策,以及GDPR第25 [10]——条中个人数据移植的有效措施。

此外,GDPR法规在加强国家安全、维护政府利益和法律权威方面相对宽容,比如如何平衡新肺炎期间暴露出的公共利益和公共卫生危机。尽管欧洲委员会采取了一些基本措施,但在抵制诸如面部识别系统等侵入性技术的广泛应用方面,欧洲委员会的反应要弱得多。如果没有强大而完善的传统法典作为GDPR式立法的基础,这样的危机将大大削弱法律的文本效应和精神内核。此外,在没有相应的法律、政治和制度等基础设施的地方,GDPR式的法律被复制粘贴或直接转化为国家法律,或利大于弊,用“保护”粉饰“缺陷”。

幸运的是,我们已经在全球数据保护领域看到了一些后GDPR时代的趋势。在GDPR提高了个人数据保护的门槛后,其中之一就是鼓励和促进公共和研究领域更多的数据共享。这种迭代可能由欧盟本身驱动,详情见《欧盟对非洲的全面战略》 [12] 《塑造欧洲数字未来》 [13]和《人工智能白皮书》 [14]。作为这一战略的一部分,委员会可能引入2021年版的《数据法案》,以促进数据共享和流动,并帮助个人扩大数据迁移权利的范围。显然,欧盟也非常关注人工智能等新兴领域的数据保护,并担心其数据保护和隐私标准会使欧盟处于时代的劣势。

尽管到目前为止美国还没有全面的联邦隐私法,但可能有一个灵活的范例。美国有成为后来者的优势。基于“同意”按钮的数据收集范例、通知推送和选项将面临更大的挑战。例如,美国参议员谢罗德布朗最近提出了一项提案[15],该提案将禁止默认情况下的数据收集、使用或共享,除非是为了事先进行一些咨询和用户知情的目的。美国各州和市政当局已经逐渐停止使用面部识别技术,甚至在某些情况下完全禁止使用。该提案还提到设立信息受托人或中介机构来谈判数据主体的权利,以及引入集体谈判实体,如数据信托或数据集体。

GDPR已经实施了两年。无论是数据保护的底线还是立法的上限,恐怕都无法最终确定。有鉴于此,全球数据治理在任中还有很长的路要走。

[1]“全球数据保护的路径和缺陷”:

https://www . omid yar.com/blog/data-protection-and-digital-infra structure-in-and-after-family

[2] 《欧洲数据策略》 :

https://gdpr-info.eu/

[3]执行不足:

https://www . access now . org/alarm-over-weak-implementation-of-gdpr-on-two-year/

[4]单一市场:

https://www.baidu.com/link?URL=otxm4ktutuu5yghqojej-qsYYyRsHNyFiY4oVDU-ls5 vpvs0 LC 8 o 4389 rrmrxlgcwj-gt7yiiuqye 20 i6 ow7 kmmbaxibf 1018 jigbxdwoijwqlo 47 w6 mlrcp 1lq-gM-wd=eqid=82 d6c 1570006 dfe 8000045 f48 cf 36

[5]欧盟的非洲综合战略:

https://EC . Europa . eu/commission/press corner/detail/en/IP _ 20 _ 373

[6]这一战略的内容确实引起了非洲联盟:的注意

https://www . politico . eu/article/commission-in-Africa-ursula-von-der-leyen-Frans-timmermans-Moussa-faki/

[7]报告:

https://EC . Europa . eu/info/sites/info/files/1 _ en _ act _ part 1 _ V6 _ 1 . pdf

[8]“一站式机制”:

https://www . data protection . ie/en/organizations/一站式商店-oss

[9]德国最近的反垄断案件:

https://www . ny times.com/2020/06/23/technology/Facebook-antonist-Germany . html?smtyp=cursmid=tw-nytimes

[10]gdpr :第25条

https://edpb . Europa . eu/sites/edpb/files/consultation/edpb _ guidelines _ 201904 _ data protection _ by _ design _ and _ by _ default . pdf

[11]人脸识别系统:

https://qz.com/1805847/face-recognition-ban-left-out-of-EUS-agenda-to-regulation-ai/

[12] 《欧洲通用数据保护条例》 :

https://EC . Europa . eu/info/sites/info/files/communication-shaping-europes-digital-future-feb 2020 _ en _ 4 . pdf

[13] 《塑造欧洲数字未来》 :

https://EC . Europa . eu/info/publications/white-paper-manual-intelligence-Europe-approach-Excellence-and-trust _ en

[14] 《人工智能白皮书》 :

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=Celerx 336052020 DC 0066 FrOm=EN

[15]谢罗德布朗提案:

https://www.banking.senate.gov/imo/media/doc/Brown-2020年数据讨论Draft.pdf

gdpr在两个全球下限还是全球上限?

作者:伊丽莎白雷尼尔斯

翻译:周玗函

校对:法拉团队

标签: btcv