1月5日,大湾区首届“数据互联互通与安全发展”高峰论坛在珠海举行。会上,数据跨境流动成为多位专家热议的焦点。
有专家引用欧盟《通用数据保护条例》(GDPR)中的相关规定指出,个人数据和隐私的范围不能无限扩大,而应该适当运用消费者保护法、竞争法等其他法律条例作为辅助,否则反而有损隐私权这项基本权利。
三天前,新加坡亚洲商业法研究所研究员、法国数据保护机构前国际合作主管Clarisse Girot坐飞机从巴黎到澳门。在新加坡中转的时候,她用法国的银行卡预订了澳门的酒店,又给法国的朋友发了几条WhatsApp。
新加坡亚洲商业法研究所研究员、法国数据保护机构前国际合作主管Clarisse Girot。主办方供图
“我人还没到澳门,但是数据已经到了”,她在会上谈到的这个小故事就涉及到数据跨境——“怎么才能确保一路上我留下的指纹、银行账户得到保护呢?”
Girot的经历对很多人来说早就稀松平常。但近年来,数据跨境因其敏感性受到广泛关注。由于各国个人数据保护标准存在差异,缺乏安全可信的环境,数据无法在全球范围内不受限制地流动。
在荷兰情报与安全服务审查委员会主席Nico van Eijk看来,数据跨境至少要解决两个非常初步的问题:数据到底指的是个人数据还是非个人数据?有些问题是否可以用消费者保护机制等个人数据保护之外的机制来解决?
他指出,不管是在国内还是国际,个人数据只是信息和数据流中不断增长的一小部分。“现在视频占到整体互联网流量的60%,8%是游戏,还剩30%左右的网络流量里有多少是个人数据呢?”数据的交换和复制又进一步为区分个人数据增添了难度。
一位律师曾试图说服Eijk,合同法属于隐私法律的组成内容,因为合同签名是个人数据,Eijk感到啼笑皆非。
他说,如果仔细研究隐私和数据保护,就会知道很多问题跟隐私是没有关系的。如果把个人数据和隐私无限扩大,形成“黑洞”,反而有损隐私权这项基本权利。
“每一个基本权利的倡导者都知道,基本权利只能够作为最后的手段,不能对它赋予任何价值。”Eijk表示,隐私和数据保护的关键不仅仅在于保障自身权利,也应该适用竞争法、消费者保护法等其他更加通用的监管框架。GDPR就是这么做的。
他提到,GDPR并没有排除除了自身之外的其他法律补救措施,这提升了执法的合法性。但是很多专家往往在讲到隐私和数据保护时,忘记了其他法律条例的辅助作用。
会上,Eijk还介绍了GDPR建立的数据跨境流动监管框架。
由于所有欧盟成员国都要遵循GDPR这一数据保护准则,成员国之间的数据转移没有太多限制,也不需要额外制定数据流动规则。
与非欧盟成员国之间的数据跨境流动则可以分为三种情况。
第一种是充分性决定。Eijk解释说,欧盟委员会如果认为该非欧盟成员国提供了充分的数据保护体系,个人数据就可以在双方之间自由流动。
但他同时强调,充分性不意味着非欧盟成员国必须照搬GDPR,只需在自己的体系中体现出目的限制、独立监督、补救措施等 GDPR要求的关键要素即可。
第二种是标准合同条款,即把GDPR级别的数据保护标准纳入到合同中——他透露,这是企业使用最普遍的方式。第三种是有约束力的公司规则,是指在欧盟境内成立的企业及其子公司满足GDPR第63条所规定的“一致性机制”的要求。
不过,目前上述几种方式都面临一些质疑,最终哪种方式能够稳定执行还有待观察。
比如欧洲法院曾裁决此前与美国签订的“安全港协议”(允许在美国与欧洲间进行数据传输的一项协定)无效。欧洲最高法院认为,美国政府机构可获取个人数据,因此个人数据在美国并未得到充分保护。
“隐私保护不光只是保护隐私,它其实也是在保护用户的体验和获得感”,Eijk表示,不论采取上述哪种数据跨境方式,最关键都是提供类似等级的保护水平。他说,找到数据跨境流动的最佳解决方案“是一个小步慢走的过程,需要比较长的时间”。
Girot十分同意Eijk的观点。她提出,从国家层面来说,数据保护发展相关的信息应该及时发布给公众。在很多国家和地区,公众都没有意识到个人数据会有如此高的复杂性。因此,建立和找到更多彼此之间的共同点是非常必要的。
采写:南都记者蒋琳 发自珠海