爱尔兰数据保护委员会(DPC)当地时间11月28日表示,Facebook的母公司Meta违反了欧盟《通用数据保护条例》的两项条款,被处以罚款2.65亿欧元。该机构称,2018-2019年,世界各地有超过5亿Facebook用户的资料因漏洞而被泄露。这些数据去年出现在一个黑客网站上,促使爱尔兰数据保护委员会的调查。除罚款外,该机构还要求Meta公司在特定时间内“采取一系列特定的补救措施,使其处理过程符合爱尔兰的规定”。
Meta公司在声明中表示,“我们在这段时间内对系统做了修改,包括取消了用电话号码搜刮用户数据的功能。”
自去年9月以来,爱尔兰数据保护委员会对Meta的罚款总额已累计近10亿欧元。今年9月,Meta因旗下Instagram涉嫌不当处理儿童信息,被罚款4.05亿欧元。今年3月,Meta同样因牵涉5000万用户的数据泄露被罚款1700万欧元。而去年9月,Meta旗下的通讯软件WhatsApp因违反欧盟数据隐私法规被罚2.25亿欧元,爱尔兰数据保护委员会当时表示WhatsApp没有告知欧洲用户搜集他们数据的方式以及如何与母公司脸书共享数据。
欧洲通用数据保护条例GDPR
爱尔兰监管机构之所以对Meta公司处以重罚,是因为它违反了欧洲《通用数据保护条例》(General Data Protection Regulation, “GDPR”)。自2018年5月15日以来,《通用数据保护条例》GDGP生效实施已满三年半。回顾这三年半,在欧洲数据保护委员会(European Data Protection Board, “EDPB”)以及各成员国数据保护机构的共同努力下,欧盟司法辖区内的个人数据保护法律框架已渐趋成熟,并以一个统一体的姿态更加自信地向“数字主权”和“数字单一市场”的重要立法目标迈进。这三年半多个国家参考借鉴GDPR的立法技术,但更值得重视的是GDPR背后蕴含的个人信息保护理念和价值倾向可能将更为深刻地影响全球数字时代的发展与监管方向。
通用数据保护的效果与回应
欧盟GDPR立法者一样十分关心这部通用数据保护统一立法在实际运行中的效果与问题,注重来自行业上下和欧盟内外如何看待这部法律的声音与意见。
(一) 高度认同个人数据保护法律的基本价值
GDPR生效两周年时即经历了首次内部评估。2020年6月欧盟委员会正式发布了官方报告(中文译名大致为《保护数据作为增强公民权利以及实现欧盟数字化转型的基础——GDPR生效实施两年》)。而就在9个月前,欧洲议会又高票通过了《欧盟委员会关于GDPR实施两年后执行情况的评价报告》。
在该份报告“一般性意见(General Observations)”章节中,欧洲议会认为GDPR总体上是成功的,并且同意欧盟委员会的观点,认为现阶段尚无更新或再度审查GDPR的必要。由此可见,GDPR在个人数据保护领域内所发挥的作用和价值,获得了以考察人权状况为主的欧盟唯一直选议会机构的认可。在GDPR生效实施三周年之际,官方的立场已经鲜明地高度赞同了GDPR在个人数据权利保护的法律价值与实际影响力。
可以预见的是,个人数据得到更高层级保护时,其几乎必然会影响当前数据经济产业的发展。GDPR自诞生以来一直备受产业争议,尤其是批评GDPR的强监管态势和严格的惩罚性举措可能极大地阻碍世界互联网的进步与发展等。相关意见尤见于原先采取另一种个人数据保护模式的美国产业研究机构或者专家观点。
在GDPR实施一周年之际,美国智库——信息技术和创新基金会(Information Technology and Innovation Foundation, ITIF)发布了《GDPR实施一年以来的影响》报告,并在报告中通过调研数据指出GDPR立法“损害了欧洲科技创业公司,降低了数字广告行业的竞争力”。
然而,考虑到美国相关产业秉持数据自由流通价值至上倾向,我们需要更为客观和历史的眼光来看待GDPR的实施效果。不可否认个人数据保护立法对于依赖于数据生产要素的数据经济发展造成阻碍。
但同时我们需要思考基于个人数据“滥用”发展的数据经济是不是“空中楼阁”。一旦个人数据滥用造成的社会影响超过数据经济发展的价值,理论上将不得不对已经发展到一定阶段的商业模式“拨乱反正”,纠正成本将大大增加。
此外,GDPR的立法思路已经被多国借鉴,必将影响全球企业的数据保护以及数据利用的方式,其意义之一在于输出相对通用的标准。在全球数据保护基本规则和监管工具趋同的前提下,欧洲企业关于个人数据保护的“先行先试”至少将使得欧洲企业在未来“绿色”数字经济发展中占据“道德高地”以及“先发优势”。
因此我们不排除当前欧洲数据经济发展的滞塞仅仅是数字化与智能化产业合规发展成熟必经的“阵痛期”,我们仍然相信只有在法律框架约束下有序、自由的数字服务市场,才能够在尊重数据主体基本权益的前提下,更好地创造社会财富,形成真实、稳定与可持续的产业竞争力。
(二) 有效执行对大型数字平台、公司和数字服务的数据合规监管
欧盟在对GDPR进行内部评估的过程中,充分关注到了综合性大型数字服务平台的个人数据监管问题,尤其是针对在线广告、精准定位、算法自动化决策与用户画像、内容推荐等互联网技术与商业营销手段的使用方式问题上。
就GDPR条文本身而言,其分别在第21条和第22条以赋予数据主体拒绝权的方式,应对可能因直接营销(direct marketing)以及自动化识别分析(profiling)等带来的潜在不利影响与危害。但在评估中欧盟认为仍需要通过更为有效地执行相关制度和规则,以进一步落实对大型数字平台、综合性公司以及采纳相关技术提供数字服务的市场主体的监管。
此外,2020年底,欧盟委员会发布《数字服务法》(Digital Services Act)和《数字市场法》(Digital Markets Act),两部法律分别从互联网服务和市场竞争两个维度,对欧盟境内或者向欧盟提供的互联网服务进行了重点规制。
“社会和经济的加速数字化创造了这样的现实,即一些大型平台控制着数字经济中的重要生态系统。他们成为了数字市场中的守门员,并具备了担任私主体规则制定者的能力。”
因此,《数字服务法》中定义了月活用户超过4500万的“超大型平台”的更高法律义务,如内容审查、报告审计和透明度等;《数字市场法》中还要求满足“守门人”(Gatekeeper)条件的大型平台企业向用户开放数据的权限等额外责任。
个人数据保护法律的价值
欧盟向来将个人数据受法律保护作为一项基本人权加以规定,由此才有了GDPR作为全球最高个人数据合规最高要求和标准的法理基础。
根据《欧盟基本权利宪章》(EU Chapter of Fundamental Rights)第8条、以及作为《里斯本条约》(Lisbon Treaty)一部分的《欧盟运行条约》(Treaty on the Functioning of the European Union)第16条,个人信息保护权是欧盟公民的一项宪法性权利。基于此,我们才不难以理解GDPR项下为个人数据控制者和处理者所附加的严格义务。
GDPR生效实施的三年半以来,欧盟进一步加强个人数据权利作为一项基本人权的保护。在欧盟境内我不必担心自己的个人隐私以低廉的价格出售给任何个人和机构,因为这是我的基本权利,受法律保护。
由于人类正在依赖高速发展的互联网和人工智能技术,加速向下一个智能化的人类纪元迈进,这种根源于立法价值取向的不同,形成了如今国内外基于个人数据而生长、丰富和成熟的产业模式的巨变与割裂。而如何继续维持互联网设计之初的“全球互联互通”愿景,成为各国在个人数据保护立法和隐私监管政策的出台制定时所必须严肃正视的问题。
我们期待即将迎来全面的个人信息法律保护时代,我们的立法立规、合法合规活动,都将更好地在我们迈向智能化时代的过程中,在值得追求的社会价值保护上展现法律衡平的最佳艺术。
----- End -----
编辑:Eva
网络图片,版权归原作者所有

欢迎添加老班长微信
带您加入爱尔兰华人生活万能群
了解爱尔兰
爱尔兰老班长
常驻爱尔兰,欧洲老江湖

欢迎点击下方卡片,关注“欧洲新青年”
继续阅读
阅读原文