欧洲打响个人数据隐私保卫战

2018年5月25日，欧盟出台了号称史上最严厉的互联网保护法令《通用数据保护法令》（GDPR），旨在加强个人隐私保护。这一法令能否力挽狂澜，逆转隐私被侵犯的现状，促进互联网健康发展？美国《外交事务》杂志2018年9/10月刊发表了爱尔兰数据保护专员海伦·迪克森（HelenDixon）的评论文章“RegulatetoLiberate：CanEuropeSavetheInternet?”。  

被技术不对称性改变的世界  

保护个人数据的规定并没有激起人们的多少好感。公司常常将其视若敝屣，认为这些规定增加了不必要的开支，成为创新的障碍。政府则认为，这些规则应该适用于所有人，当然他们自己是个例外。而普通人常常表现得好像他们根本不在乎自己的数据是否得到了保护。  

但是，与以往任何时候相比，这种监管都显得更为重要。技术不对称性正在日益改变这个世界。一个巨大的鸿沟已经打开：一边是大公司和强大的政府，另一边是普通个人。即便是在富裕的民主国家，个人的自主权也已处于危险之中。即使是简单的选择，比如看什么新闻或听什么音乐，都是由深藏于软件和设备中的算法来决定的。它们隐藏得如此之深，用户往往难以察觉数据处理技术在何种程度上左右了他们的选择。如今，科技“正被用于控制我们能看到什么和能做什么，最终将决定我们会说什么”。密码学家兼隐私专家布鲁斯·施奈尔（BruceSchneier）写道，“这将使我们更不安全，更不自由。”  

大多数人还没有意识到这一事实。在互联网和移动通信的时代，人们倾向于更多地关注技术提供的商品、服务和体验，而较少关注软件、代码和设备对隐私的危害，这些软件、代码和设备已成为日常生活中无形但不可分割的一部分。尽管许多人想要了解数据处理如何影响了他们的生活，但大多数人对这些细节并不感兴趣。  

问题在于，用列夫·托洛茨基（LeonTrotsky）的话来说，尽管你可能对大数据不感兴趣，但大数据对你感兴趣。公司和政府一直在寻找新的方法来收集和利用更多人的更多信息。他们有时用心良苦，有时却心怀叵测。  

防止个人信息的滥用——无论是有意的，还是无意的——是欧盟最近出台《通用数据保护法令》（GDPR）的原因。这个平淡无奇的名字具有误导性：《通用数据保护法令》是一项雄心勃勃的尝试，旨在塑造当代生活的一个关键部分。在一个日益被数字技术定义的世界里，保护私人数据不仅仅是一种奢侈品；正如《通用数据保护法令》所指出的那样，它是“一项基本权利”。《通用数据保护法令》开创了互联网历史的新篇章，为其他国家和组织制定了一份可供借鉴的蓝图，同时寻求平衡个人数据保护的权利与个人的其他权利，以及平衡个人数据保护的权利与企业和政府的合法利益。世界各国政府必须开始就数据保护方面的法律达成共识，最好是从《通用数据保护法令》中汲取灵感。  

具有“直接效力”的法令  

在互联网时代，普通人变得格外脆弱。这是因为人们要参与到数字经济和更广泛的社会生活中，经常涉及到向大型组织披露个人信息，这些组织可以轻松地存储、处理和共享个人信息。市场的力量和负面舆论的风险并没有阻止公司和政府滥用这种巨大的权力；只有法律才能防止最严重的滥用。个人数据保护法令能防止不诚实的官员轻易地在政府数据库中搜索有关批评者和竞争对手的有害信息，并将其销毁。法令还能阻止腐败的执法部门不受限制地获取任何人的电话和互联网记录。而且，有了数据保护法令，公司就难以使用未经证实或不准确的数据错误地拒绝给人们提供保险、贷款或工作机会。  

然而，为保护个人信息而建立一个全面监管体系的努力——包括欧盟早些时候的努力——未能完全实现。欧盟1995年颁发的《个人数据保护指令》有些含糊不清，未能明确指出其试图预防或减轻的危害，并且在就如何将数据隐私纳入本国法律向欧盟成员国提供建议时缺乏一致性。《通用数据保护法令》基本上避免了这两个问题。它明确表示将打击歧视、身份盗窃或欺诈、金融犯罪和名誉损害。它还将通过保持人们对数字商务安全的信任来促进欧洲经济发展。  

更为重要的是，《通用数据保护法令》是一部具有“直接效力”的法律，这意味着当事人可以要求其国内法院依据欧盟法的有关规定保护其权利，这样欧盟成员国就没有必要通过新的类似法律。此外，该法律具有域外效力，适用于在欧盟境内运营的任何组织，即使该组织的实际所在地不在欧盟。所有这些机构，包括政府、互联网服务提供商、媒体、银行、医疗机构、大学——任何收集个人数字信息的实体，无论行业如何或规模大小，处理个人数据都必须遵守《通用数据保护法令》。  

这部法律的主要创新之处在于确立了问责的基本原则。它将正确收集和处理个人数据的责任完全交给了组织，并将防止个人数据被收集或处理的权利扩大到个人。例如，如果一家公司为了向我推销商品或服务而收集关于我的数据，我有权在任何时候提出异议，这将迫使公司停止收集数据和进行推销。该法令还赋予个人删除数据的权利。例如，如果我在与一家公司做生意的过程中提供了电子邮件地址，以后可以要求这家公司将其从文件中删除。  

执法挑战将长期存在  

《通用数据保护法令》并不完美。首先，它无法解决一个长期存在的挑战，即明确定义哪些数据属于个人数据。这反映了一个事实，即进入数字时代30年之后，政府、监管机构、理论研究人员、企业和普通民众仍在努力弄清楚应该保护什么样的信息。新法律还要求监管部门和法院明确区分严重侵权和单纯技术侵权。因此，正如欧洲法院的总辩护律师迈克尔·博贝克（MichalBobek）所建议的那样，对该法令的解释不仅应以法律原则为指导，而且应以常识为指导。  

该法令还存在更广泛的技术性不足问题。首先，在实践中，在世界其他地区主张欧盟隐私标准往往需要政治和外交手段，而这是《通用数据保护法令》本身无法提供的。此外，迅猛发展的技术变革将带来新问题：随着人工智能和机器学习技术的进展，“隐私”的意义将发生改变，法律和监管机构也很难跟上技术进步和社会规范的演变。  

不过，由于存在这些障碍就认为《通用数据保护法令》注定要失败也是毫无根据的。法令赋予了监管者在对付最棘手的案件时所需要的东西，还使监管机构能够帮助各行业制定行为准则，贯彻了问责精神，并教育公众个人如何行使权利。  

欧盟的数据保护当局不仅应当注重执法，还必须承担教育企业如何更好地解读新法律的任务。监管机构应寻求各界对法令条文的严格遵守，但同时也应追求其行为的根本改变，以便更好地反映法律精神。只有在执法和教育之间取得平衡才能实现这一目标。  

为了兑现《通用数据保护法令》的承诺，监管机构需要明确标准，制定行为准则，帮助企业和官员适应新的现实。监管机构应公布案例研究，说明它们在调查投诉时如何将法令的原则付诸实践。随着时间的推移，个人起诉机构以挑战其数据实践和机构起诉数据保护当局以挑战其执法行为的案例会日益增加，新的判例法体系将会出现。这样的法律程序可能不会出现类似谋杀审判或名人离婚的戏剧性场面。但毫无疑问，人类重获自主和尊严的未来将取决于这些判例。