歐洲打響個人數據隱私保衛戰

2023-03-31 16:20:37

2018年5月25日，歐盟出臺了號稱史上最嚴厲的網際網路保護法令《通用數據保護法令》（GDPR），旨在加強個人隱私保護。這一法令能否力挽狂瀾，逆轉隱私被侵犯的現狀，促進網際網路健康發展？美國《外交事務》雜誌2018年9/10月刊發表了愛爾蘭數據保護專員海倫·迪克森（HelenDixon）的評論文章「RegulatetoLiberate：CanEuropeSavetheInternet?」。  

被技術不對稱性改變的世界  

保護個人數據的規定並沒有激起人們的多少好感。公司常常將其視若敝屣，認為這些規定增加了不必要的開支，成為創新的障礙。政府則認為，這些規則應該適用於所有人，當然他們自己是個例外。而普通人常常表現得好像他們根本不在乎自己的數據是否得到了保護。  

但是，與以往任何時候相比，這種監管都顯得更為重要。技術不對稱性正在日益改變這個世界。一個巨大的鴻溝已經打開：一邊是大公司和強大的政府，另一邊是普通個人。即便是在富裕的民主國家，個人的自主權也已處於危險之中。即使是簡單的選擇，比如看什麼新聞或聽什麼音樂，都是由深藏於軟體和設備中的算法來決定的。它們隱藏得如此之深，用戶往往難以察覺數據處理技術在何種程度上左右了他們的選擇。如今，科技「正被用於控制我們能看到什麼和能做什麼，最終將決定我們會說什麼」。密碼學家兼隱私專家布魯斯·施奈爾（BruceSchneier）寫道，「這將使我們更不安全，更不自由。」  

大多數人還沒有意識到這一事實。在網際網路和移動通信的時代，人們傾向於更多地關注技術提供的商品、服務和體驗，而較少關注軟體、代碼和設備對隱私的危害，這些軟體、代碼和設備已成為日常生活中無形但不可分割的一部分。儘管許多人想要了解數據處理如何影響了他們的生活，但大多數人對這些細節並不感興趣。  

問題在於，用列夫·託洛茨基（LeonTrotsky）的話來說，儘管你可能對大數據不感興趣，但大數據對你感興趣。公司和政府一直在尋找新的方法來收集和利用更多人的更多信息。他們有時用心良苦，有時卻心懷叵測。  

防止個人信息的濫用——無論是有意的，還是無意的——是歐盟最近出臺《通用數據保護法令》（GDPR）的原因。這個平淡無奇的名字具有誤導性：《通用數據保護法令》是一項雄心勃勃的嘗試，旨在塑造當代生活的一個關鍵部分。在一個日益被數位技術定義的世界裡，保護私人數據不僅僅是一種奢侈品；正如《通用數據保護法令》所指出的那樣，它是「一項基本權利」。《通用數據保護法令》開創了網際網路歷史的新篇章，為其他國家和組織制定了一份可供借鑑的藍圖，同時尋求平衡個人數據保護的權利與個人的其他權利，以及平衡個人數據保護的權利與企業和政府的合法利益。世界各國政府必須開始就數據保護方面的法律達成共識，最好是從《通用數據保護法令》中汲取靈感。  

具有「直接效力」的法令  

在網際網路時代，普通人變得格外脆弱。這是因為人們要參與到數字經濟和更廣泛的社會生活中，經常涉及到向大型組織披露個人信息，這些組織可以輕鬆地存儲、處理和共享個人信息。市場的力量和負面輿論的風險並沒有阻止公司和政府濫用這種巨大的權力；只有法律才能防止最嚴重的濫用。個人數據保護法令能防止不誠實的官員輕易地在政府資料庫中搜索有關批評者和競爭對手的有害信息，並將其銷毀。法令還能阻止腐敗的執法部門不受限制地獲取任何人的電話和網際網路記錄。而且，有了數據保護法令，公司就難以使用未經證實或不準確的數據錯誤地拒絕給人們提供保險、貸款或工作機會。  

然而，為保護個人信息而建立一個全面監管體系的努力——包括歐盟早些時候的努力——未能完全實現。歐盟1995年頒發的《個人數據保護指令》有些含糊不清，未能明確指出其試圖預防或減輕的危害，並且在就如何將數據隱私納入本國法律向歐盟成員國提供建議時缺乏一致性。《通用數據保護法令》基本上避免了這兩個問題。它明確表示將打擊歧視、身份盜竊或欺詐、金融犯罪和名譽損害。它還將通過保持人們對數字商務安全的信任來促進歐洲經濟發展。  

更為重要的是，《通用數據保護法令》是一部具有「直接效力」的法律，這意味著當事人可以要求其國內法院依據歐盟法的有關規定保護其權利，這樣歐盟成員國就沒有必要通過新的類似法律。此外，該法律具有域外效力，適用於在歐盟境內運營的任何組織，即使該組織的實際所在地不在歐盟。所有這些機構，包括政府、網際網路服務提供商、媒體、銀行、醫療機構、大學——任何收集個人數字信息的實體，無論行業如何或規模大小，處理個人數據都必須遵守《通用數據保護法令》。  

這部法律的主要創新之處在於確立了問責的基本原則。它將正確收集和處理個人數據的責任完全交給了組織，並將防止個人數據被收集或處理的權利擴大到個人。例如，如果一家公司為了向我推銷商品或服務而收集關於我的數據，我有權在任何時候提出異議，這將迫使公司停止收集數據和進行推銷。該法令還賦予個人刪除數據的權利。例如，如果我在與一家公司做生意的過程中提供了電子郵件地址，以後可以要求這家公司將其從文件中刪除。  

執法挑戰將長期存在  

《通用數據保護法令》並不完美。首先，它無法解決一個長期存在的挑戰，即明確定義哪些數據屬於個人數據。這反映了一個事實，即進入數字時代30年之後，政府、監管機構、理論研究人員、企業和普通民眾仍在努力弄清楚應該保護什麼樣的信息。新法律還要求監管部門和法院明確區分嚴重侵權和單純技術侵權。因此，正如歐洲法院的總辯護律師麥可·博貝克（MichalBobek）所建議的那樣，對該法令的解釋不僅應以法律原則為指導，而且應以常識為指導。  

該法令還存在更廣泛的技術性不足問題。首先，在實踐中，在世界其他地區主張歐盟隱私標準往往需要政治和外交手段，而這是《通用數據保護法令》本身無法提供的。此外，迅猛發展的技術變革將帶來新問題：隨著人工智慧和機器學習技術的進展，「隱私」的意義將發生改變，法律和監管機構也很難跟上技術進步和社會規範的演變。  

不過，由於存在這些障礙就認為《通用數據保護法令》註定要失敗也是毫無根據的。法令賦予了監管者在對付最棘手的案件時所需要的東西，還使監管機構能夠幫助各行業制定行為準則，貫徹了問責精神，並教育公眾個人如何行使權利。  

歐盟的數據保護當局不僅應當注重執法，還必須承擔教育企業如何更好地解讀新法律的任務。監管機構應尋求各界對法令條文的嚴格遵守，但同時也應追求其行為的根本改變，以便更好地反映法律精神。只有在執法和教育之間取得平衡才能實現這一目標。  

為了兌現《通用數據保護法令》的承諾，監管機構需要明確標準，制定行為準則，幫助企業和官員適應新的現實。監管機構應公布案例研究，說明它們在調查投訴時如何將法令的原則付諸實踐。隨著時間的推移，個人起訴機構以挑戰其數據實踐和機構起訴數據保護當局以挑戰其執法行為的案例會日益增加，新的判例法體系將會出現。這樣的法律程序可能不會出現類似謀殺審判或名人離婚的戲劇性場面。但毫無疑問，人類重獲自主和尊嚴的未來將取決於這些判例。