作为OmidyarNetwork“全球数据保护的路径和缺陷”系列专题中的一篇,本文探讨了《欧洲通用数据保护条例》自2018年5月生效以来对全球数据保护格局产生的影响。诚然,GDPR为全球法域内的法律变革开辟了新的道路,促进了公众对数据治理和隐私的关注,从而极大地影响了全球数据保护的格局;但其在通过治外法权或作为立法典范直接或间接扩大自身影响力的同时,也放大了缺陷和局限性,导致其他国家一脉相承的法典同样继承了这些不足。
近两年显现出来的桎梏有:有些条款杠杆率过低/过高、无法否认的执行力不足、以及法律和创新之间持续的对抗。接下来,本文将探讨GDPR影响的性质、范围及其核心局限性,并思考该法律究竟是全球数据保护的示范者,还是一条失败的底线。
纵览全球,各地都能感受到GDPR在其域外适用范围产生的直接影响。欧盟拥有超过五亿的消费者,是世界上最大的单一市场,因此GDPR几乎能影响到世界上每一个与欧盟做生意的地区。即便强如美国科技巨头,也很难不碰这样块美味的蛋糕。凭借这种方式,GDPR为众多大型企业和跨国公司设立了一个实际的标准。究其原因,其一,GDPR是一个方便公司履行的单一标准或框架,而不是一个地方的或国家的数据保护法律;其二,全球数据治理缺少一个灵活的范式。目前,很难找到一个能够与欧盟数据保护框架比肩的框架。
我们还观察到了“布鲁塞尔效应”的间接影响:通过在世界各地的司法区扩散新颁布和调整的法律,让一些国家直接照搬GDPR。由此可以看出GDPR的司马昭之心:它的原则之核心、利益之根本以及执行之机制。自生效以来,GDPR已经推动了肯尼亚和乌干达等国颁布其第一部国家数据保护法,同时也在促进其他国家完善或修订其现有法律。例如,2018年阿根廷推出了一部数据保护法律,某种程度上只是为了维系其于2003年在《欧洲数据保护指导条例》中的既得利益。GDPR还促使印度、尼日利亚和巴西等国将“部分适用”的数据保护条例扩大为更为通用的法律。
美国第一季度实际GDP年化季率初值录得1.1%,大幅不及预期:金色财经报道,美国第一季度实际GDP年化季率初值录得1.1%,预期2.00%,前值2.60%,大幅不及预期。美国第一季度核心PCE物价指数年化季率初值 4.9%,预期4.70%,前值4.40%。数据公布后,美股股指期货短线走低,纳指期货涨幅收窄至0.9%,标普500指数期货涨幅收窄至0.55%,道指期货现涨0.4%。[2023/4/27 14:31:09]
“布鲁塞尔效应”也是欧盟委员会想要通过各种多边/双边论坛、贸易政策收敛隐私和数据保护法的体现,《欧盟对非洲的全面战略》就是一个例子。该战略列出的几个高优条款中包括了纵贯非洲大陆的数字转型战略,这将深度受用于GDPR且影响国家级跨境贸易和国际投资。但实际上,全球层面的协调可能会导致某些国家的标准和原则在执行时不够严格。中小企业难以遵守,却让Facebook和谷歌之类全球大型科技公司因其全球应对能力在竞争中获利。事实上,该战略内容也确实引起了非洲联盟的注意,非盟重申该条款应由非盟和欧盟共同制定。
欧盟委员会在其评估近两年GDPR应用及运作的报告中强调:要聚焦如何帮助中小企业遵守这项法规。不过,总体来看,欧盟委员会自我评价较高,认为“GDPR已经成功实现了它的目标:增强个人数据保护权和保证个人数据在欧盟内的自由流通”。这份报告同时赞扬了GDPR框架的灵活性,认为其在兼容新冠抗疫措施方面做得很好。
美联储埃文斯:预计今年美国GDP增长0.5%:9月9日消息,美联储埃文斯表示,美国就业市场比较紧张,通胀高企。目前的首要任务就是让通胀回到2%。预计今年美国GDP增长0.5%左右。美联储正在迅速提高利率。经验表明,打击通胀代价高昂,但一开始放任通胀飙升的代价更高。美国经济将会挺过今年,实现经济正增长,失业率很可能会上升。[2022/9/9 13:17:59]
但委员会也承认有提高的空间,特别是在国际数据传输、合作和一致性方面,如“一站式机制”;数据保护部门资源不足,数据移植权尚未完全落实;GDPR在区块链和人工智能等新兴科技上的应用也还不明晰。最后,委员会指出,成员国在处理数据保护基本权利和言论自由之间的矛盾上的决议是不一致的。
尽管欧盟委员会的报告未对此进行探讨,但指出其框架的其他缺点是很重要的,特别是在GDPR通过其对全球格局的重大影响广泛输出的情况下。其中一些限制的原因是,GDPR与它的前身,1995年的数据保护条令,很大程度上是相同的。但当时数字环境与今天的情况相差甚远。其他原因就是,缺乏一个有意义的可替代范式。
首先,GDPR和受其启发的法律过分依赖于将“同意”作为数据处理的合法基础。特别是在今天的数字领域,有意义的知情和同意常常是难以捉摸的。如今的数字世界存在着巨大的不对称,少数的大型企业往往占据着大多数的知识和权力,而个人不仅缺乏对数据决策管理和理解的意识与能力,真正有意义的选择也少之又少。
瑞士数字资产交易所SDX:2027年全球10%的GDP将实现代币化:11月12日消息,瑞士数字资产交易所SIX Digital Exchange(SDX)首席商务官Peter Golder在新加坡金融科技节上表示,到2027年,全球10%的GDP将实现代币化。他概述了SDX路线图上的4种资产类别:代币化债券、加密货币、私人公司股权及ESG融资。9月,SDX获得瑞士监管机构FINMA颁发的交易所和中央证券存管许可证。Golder预测加密行业将在2022年保持增长,他认为许多思路将变得更加制度化。机构尚未大举进军加密行业,2022年有望发生改变。(Ledger Insights)[2021/11/12 6:48:05]
这也暴露了像GDPR这样的数据保护框架的缺陷,它不能解决市场中的动态问题,而需要其他领域的补充,如竞争法或反垄断法。例如,在最近德国的一桩反垄断案中,高等法院裁定,Facebook滥用其在社交媒体上的主导地位,通过混合Instagram、WhatsApp和Messenger等Facebook平台上的数据,非法获取用户数据。尽管可能会以GDPR为依据对这种数据混合提出质疑,但该裁决表明,涉足数据保护权利的市场环境也限制了我们在市场上的选择,从而限制了我们的自由和自主权。这也说明了数据保护与反垄断法的互补性。
在一些GDPR系法规中,一些糟粕被过多保留,一些精华却没有受到足够重视,如GDPR?第二十五条——基于应用设计和默认设置的隐私保护选项、自动数据采集和决策、以及个人数据移植的有效措施。
动态 | ONO满足欧盟GDPR合规性 下周将进入欧洲市场:10月24日诺舟集团发布公告,ONO社交网络将于下周起正式将进入欧洲市场。据了解,ONO已找准通过合法有效的处理方式遵守并满足欧盟2016年通过的GDPR合规性,全面面向欧洲44个国家和2个地区的公民。GDPR(General Data Protection Regulation)指《通用数据保护条例》,由欧盟推出,目的在于遏制欧盟公民个人信息被滥用,保护个人隐私。同时重塑欧盟的组织机构处理用户隐私和数据保护的方式。[2018/10/24]
此外,GDPR系法规对强化国家安全、维护政府利益和法律权威的情况也相对宽容,如新冠肺炎期间暴露的如何平衡大众利益和公共卫生危机。尽管欧盟委员会采取了基本措施,但在抵制广泛应用面部识别系统等侵入性技术上,委员会的反应则疲软许多。如果没有强大且完善的传统法典作为GDPR式立法的基础,像现在这样的危机就会大大削弱法律的文本效力和精神内核。并且,在缺乏相应法律、、制度等基础设施的地方,将GDPR式的法律复制粘贴或直接转换成国家法律,或将弊大于利、用“保护”粉饰了“缺失”。
好在我们已经可以看到全球数据保护领域有了一些后GDPR时代的趋势。继GDPR提高个人数据保护门槛后,其中一个就是鼓励和推动更多公共和研究领域的数据共享。这样的迭代可能将由欧盟自身推动,详见《塑造欧洲数字未来》《人工智能白皮书》和《欧洲数据策略》。作为这种策略的一部分,委员会可能后续会推出数据法案2021版,以促进数据共享和流动、帮助个人拓展数据移植权的边界。显然欧盟对诸如人工智能和其他新兴领域的数据保护也十分关注,且担心其数据保护和隐私标准会置欧盟于时代下风口。
高盛首席投资官:数字货币泡沫破裂会对全球GDP的1%造成影响:高盛(Goldman Sachs)投资战略部的首席投资官Sharmin Mossavar-Rahmani在接受采访时表示数字货币是泡沫,这个泡沫崩盘的时候会对全球GDP的1%造成影响。1月底,高盛CEO Lloyd Blankfein否认了他们即将推出一个加密货币交易平台,不过这家纽约的投行从2015年开始就持有了加密货币交易平台Circle的股份。[2018/3/1]
尽管迄今为止美国还没有一部全面的联邦隐私法,但可能会出现一个灵活的范式。前车之鉴面前,美国有后发优势。基于“同意”按钮的数据收集范式、通知推送和选项将面临更大的挑战。例如美国参议员SherrodBrown最近发起了一项提案,该提案将禁止默认情况下的数据收集、使用或共享,除非是出于少数提前商议且用户知情的目的。美国各州和市政当局已经逐渐暂停使用面部识别技术,甚至在某些情况下会完全禁用。提案还提到了创建信息受托人或中介机构以协商数据主体权利,以及引入数据信托或数据集体等集体谈判实体等。
GDPR已实施两年,它究竟是数据保护的底线,还是立法的天花板,恐怕还无法盖棺定论。如此看来,全球数据治理事业仍然任重道远。
“全球数据保护的路径和缺陷”:?
https://www.omidyar.com/blog/data-protection-and-digital-infrastructure-during-and-after-pandemic
《欧洲通用数据保护条例》:
https://gdpr-info.eu/
执行力不足:
https://www.accessnow.org/alarm-over-weak-enforcement-of-gdpr-on-two-year-anniversary/
单一市场:?
https://www.baidu.com/link?url=otXM4KtUtU5XyGhQOEJ-qsYYyRsHNyFiY4oVDU-Ls5vpvS0Lc8O4389RrMrXLgcwJ-Gt7YiIuQyE20i6ow7kmMbaXiBf1018JiChgBXdwoIJwQlO47W6MLRcP1lq-gM-&wd=&eqid=82d6c1570006dfe8000000045f48cf36
欧盟对非洲的全面战略:?
https://ec.europa.eu/commission/presscorner/detail/en/IP_20_373
该战略内容也确实引起了非洲联盟的注意:?
https://www.politico.eu/article/commission-in-africa-ursula-von-der-leyen-frans-timmermans-moussa-faki/
报告:?
https://ec.europa.eu/info/sites/info/files/1_en_act_part1_v6_1.pdf
“一站式机制”:?
https://www.dataprotection.ie/en/organisations/one-stop-shop-oss
最近德国的一桩反垄断案:?
https://www.nytimes.com/2020/06/23/technology/facebook-antitrust-germany.html?smtyp=cur&smid=tw-nytimes
GDPR中的第二十五条:?
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf
面部识别系统:?
https://qz.com/1805847/facial-recognition-ban-left-out-of-the-eus-agenda-to-regulate-ai/
《塑造欧洲数字未来》:?
https://ec.europa.eu/info/sites/info/files/communication-shaping-europes-digital-future-feb2020_en_4.pdf
《人工智能白皮书》:?
https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en
《欧洲数据策略》:?
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020DC0066&from=EN
SherrodBrown提案:?
https://www.banking.senate.gov/imo/media/doc/Brown-DATA2020DiscussionDraft.pdf
原文:TheGDPRatTwo—GlobalFloororGlobalCeiling?作者:ElizabethM.Renieris译:周禹涵校对:PhalaTeam
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。