欧盟GDPR五年执法反思:成效、挑战与经验

欧盟《通用数据保护条例》(GDPR)的率先实施对世界各国个人数据隐私保护立法与执法有着重要而深远的影响。本文基于数据隐私事务网站Privacy Affairs 2018—2023年发布的1 701起GDPR违规处罚案件,构建GDPR执法成效评价框架,量化其规制目标与规制结果。研究发现,GDPR过去五年执法实践中存在三大双面效应:数据侵权严监管与合规操作弱指引并存,保护个人数据隐私与促进数据产品创新两难,技术影响复杂与立法前瞻不足交织。鉴于此,中国的数据立法亟待加强新兴技术基于风险的前瞻规制,数据执法宜完善司法诠释与合规指引。

数据可携带权的适用逻辑与规则展开

数据可携带权首创于欧盟,以数据主体拥有数据控制权为基点,实现数据控制者之间无障碍传输数据。对数据可携带权进行解构后,从保障个人信息自决权以及促进良善社会发展两个层面对权利证成,以及分析域外国家模式的有益参考,数据可携带权在当前数字经济时代下,具有普遍适用的必要性。但是这一新兴权利在适用过程中面临权利属性不明、义务内容边界不清、侵犯第三方权益的窘境。对此,确定权利属性、明晰义务内容边界以及在场景化下对侵犯不同第三方权益作出相应的规制,实现数据主体、数据控制者之间利益的平衡,以期数据可携带权在我国更好地落地。

论欧盟GDPR中个人数据保护与“同意”细分

欧盟新颁的《一般数据保护条例》(GDPR)将区分“无争议同意”与“明示同意”作为保护个人数据的重要条款提出,但“同意”细分是否必要则是一个值得商榷的话题。GDPR通过将同意进行细分增加了对个人数据保护的门槛,这种繁琐的程序究竟在多大程度上有助于提升个人数据的保护程度引发了理论界和实务界的讨论。同意规则的制定与实施是保护数据主体的个人数据安全的重要环节,表明了对数据主体信息自决权的尊重,但严格说来,“同意”程序的繁琐性在可能会让数据主体无所适从的同时,还会给在线服务商增加额外的困难与成本,最终可能导致同意条款非但不能起到保护数据主体的作用,反而成为在线服务商收集与处理数据的责任转移工具。欧盟GDPR在个人数据保护问题上,除了具有强化了“知情同意”规则的积极意义的同时,也具有需要人们关注其在权利与责任问题上没有厘清的局限性,因此需要对其在个人数据保护中的意义与局限性做具体的分析与理解。

大数据时代个人信息保护行业自律的困境与出路

随着信息产业的迅猛发展,行业自律作为个人信息保护的方式之一愈来愈受到关注。早在20世纪90年代,美国政府就鼓励以自律规范保护个人隐私。然而,实践表明自律管理机制本身存在参与度低、执行力差、缺乏有效的监督与处罚机制等问题。面对大数据、云计算等新兴技术带来的冲击,自律机制仅仅是个人信息保护的必要条件而非充分条件,政府适度介入与行业自律的有机结合才是破解当前困局的有效路径。欧盟《一般数据保护条例》即采用了行业主导、政府适度干预的理念,政府在宏观层面调控和制定个人信息保护的基本框架及原则,而市场则从微观层面发挥自我管理之基础性功能。我国目前个人信息保护领域的行业自律管理尚处于初创阶段,理应在立法先行基础上进一步扩展行业协会发挥自律作用的空间。

区块链环境下个人数据权利保护的困境与突破——以欧盟《一般数据保护条例》为例

随着人工智能技术的发展,全球进入“数据驱动”时代,数据流动在创造价值的同时也带来了日趋严重的“数据污染”问题。欧盟《一般数据保护条例》建构了基于数据生命周期的个人数据自决权体系和数据风险管理体系,规定了严格的问责制,引入了被遗忘权概念,目的在于建立以欧盟规则为蓝本的全球数据治理规则体系。区块链作为下一代全球信用认证和价值互联网基础协议之一,有助于实现数据共享和保证数据安全。然而,区块链的去中心化特征、共识算法机制与时序回溯结构,在责任主体的核定、数据权利的行使以及权利保护模式的甄选上,与各国现行个人数据保护立法存在法律适用上的困难。构建区块链与个人数据权利保护耦合的路径,应在识别区块链多元主体身份的基础上引入多元化的利益平衡机制和隐私保护方案,建立以数据安全管理为核心的数据保护管理体制,并通过制度构建和有效监管兼顾各方利益的平衡,为推进区块链技术与个人数据保护相融合提供良好的法律保障体系。

基于通用数据保护条例的数据隐私安全综述

随着全球数字化进程逐渐加快,数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值,但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台,个人数据安全成为了大数据时代下的敏感话题,也越来越受到研究人员的重视.首先,对数据隐私安全发展历程进行了回顾,介绍了欧盟数据保护条例GDPR及其应用领域和影响;其次归纳分析了近几年国内外相关研究文献,将GDPR合规问题划分为3个方面:GDPR违规行为分析、隐私政策分析、GDPR模型框架,并分析了这3个方面的研究现状.总结分析了基于GDPR的数据技术,并分别探讨了GDPR在区块链、物联网等具体领域的应用;最后,根据现有研究工作存在的不足与问题,指出了基于GDPR的数据隐私安全研究面临的主要挑战和机遇,并针对中国数据隐私保护提出了一些启示.

《欧盟数据保护通用条例》详解

《欧盟数据保护通用条例》于2018年5月25日正式生效。为踏上数字时代新秩序的起跑线,全球企业都在积极准备合规工作。全面梳理其带来的重大变化,既为企业提供参考,也为我国政府考虑大数据背景下的数据保护规则提供新视角。

个人数据保护全球融合的趋势与挑战

围绕个人数据的收集和处理,当今世界形成欧盟与美国两大数据保护体系。为缓解数据跨境转移的摩擦与冲突,两大体系展开一系列谈判与协调,达成了众多可互为借鉴的协议。同时,欧盟制定的《数据保护通例》开始向全球扩张,两大体系外的国家和地区逐渐向欧洲模式看齐。然而,发展中经济体自身存在诸多问题和缺陷,且缺乏统一的行为规范指南,数据保护全球融合的进程严重受阻,建立国际性的数据保护公约因而成为重要选项。我国个人信息立法借鉴、效仿欧洲制度甚多,同时存在鲜明的本国特征,但实际运作效果并不明显,局限性较为突出,因此需要在数据全球流通背景下考虑战略性优化和完善。

U.S.and International Legal Perspectives Affecting Cybersecurity Corporate Governance

International and U.S.corporations must be well advised regarding specific regulations and laws that affect cybersecurity decisions because the Board of Directors must perform due diligence to avoid regulatory negligence and lawsuit liability.Depending on the standards and the regulations that do define reasonable care,the corporate director is faced with the challenge of determining how and what cybersecurity laws apply.Then,directors can institute best cybersecurity management practices.This paper provides guidance regarding the application of the law in the areas of cyber security for the international corporations interacting with the European General Data Protection Regulations(GDPR),the California Consumer Privacy Act(CCPA),and recent Federal Trade Commission(FTC)administrative agency rulings.Reading this paper is worth your time because it will inform you of the legal challenges that international and domestic corporations face in making decisions about spending capital to manage cybersecurity and at the same time perform due diligence.In other words,if there is a cybersecurity breach,this paper will provide insights into what law must be followed by the corporation enabling the best management decisions assuring adequate response,compliance,thereby avoiding unnecessary liability risk.The paper also provides reflections about whether the GDPR serves as a better legal comprehensive regulatory model rather than the recently enacted laws in the U.S.

International Cybersecurity Breach Detection Risk, Prosecution and Resolution

The U.S.and the international business community is in a crisis regarding ransomware attacks and cybersecurity policing/regulation.Based on recent events,state sponsored cyber hackers have made it their mission to hold the information security world hostage extorting money for a returning of data systems to normal functioning.This paper examines the challenges for the global business community regarding the scope of the attacks,the current state of the law in the U.S.intended to provide current information to the international business community,illustrate the challenges for regulators and the courts,illustrate the recent progress of the criminal investigatory aspects of apprehending cybercriminals,report on the non-delegable duties of decision makers in the international community doing business in the U.S.,and demonstrate the potential solutions to this evolving international crisis.It is worth your time to read this paper for the following reasons:1.Understanding the risks and the scope of the problem moving forward with doing business in the U.S.;2.communicating recent developments fostering cooperation and contributing to mediating cybersecurity events for international corporations;and 3.providing information on the current state of the law by the U.S.Supreme Court pointing out the relevant and the consequential outcomes of the legal system leading to potential smart solutions for planning business decisions.

RCEP个人数据跨境流动保护与中国的应对路径

《区域全面经济伙伴关系协定》(RECP)于2020年11月15日正式签署,于2022年1月1日生效,RECP对个人数据跨境流动做出了新的规定,对RCEP的数据跨境流动保护条款以及欧盟个人数据跨境流动规制体系进行探析,并在此基础上提出我国个人数据跨境流动保护的应对路径,即完善国内关于个人数据跨境流动监管的立法、设立数据跨境流动的专门监管机构以及推进行业自律制度建设。

《个人信息保护法》下网络平台的地位和责任构造

平台在内容收集和传播环节上的自主性决定了它属于《个人信息保护法》下的信息处理者,而相应的合规义务不仅会侵害内容发布者的合法权益,减损信息自由传播效率和公众言论自由,还有可能颠覆平台的商业模式。应当正确认识平台信息处理者和网络服务提供者的双重身份,避免采取任何一种全无或全有的责任适用方式。在由典型的网络服务提供者和典型的信息处理者作为两端的类型光谱上,根据平台对内容收集和传播的自主性,将其分为信息处理受托者、类信息处理者和非典型信息处理者,分别配置责任范围,并以过错推定责任作为激发其履行个人信息保护义务的动力,兑现我国高水平保护个人信息的承诺。

欧盟个人数据匿名化的立法经验与启示

大数据时代来临,个人隐私与数据效用之间的张力也随之出现。数据匿名化在保护个人隐私的同时,也致力于发挥数据的最大效用。本文主要运用文献研究法对已有文献及公开资料进行分析,对欧盟个人数据匿名化的立法背景与立法内容进行考查,对欧盟个人数据匿名化引发的争议进行评析,得出对我国个人信息匿名化的启示。研究发现,欧盟个人数据匿名化是以"情境化"的个人数据概念为前提,并确立了个人数据匿名化的有效性标准,即数据控制者与任何第三方均不能通过"一切"、"可能"和"合理"的手段来识别数据主体,同时强调对匿名数据的风险评估。中国有必要借鉴欧盟的经验,完善"个人信息"的法律概念,建立个人信息匿名化之有效性标准,强化匿名信息之风险性评估。

数据携带权:基本概念,问题与中国应对

数据携带权是欧盟在《一般数据保护条例》中创设的个人数据权利。《条例》对数据携带权有着明确的限定和适用条件,其中诸多规定具有创新性。数据携带权是在欧盟的多次删改中最终确立的,其确立有着明确的目标指向,即增强个人对个人数据的控制,促进公平竞争和数据的自由流通与社会创新。然而,数据携带权规定本身所存在的问题和矛盾,数据携带权确立后所引发的诸多问题和冲突,使得数据携带权成为一个错误的承诺。数据携带权的这些问题决定了我国目前不宜确立数据携带权,但为了更好地保护个人数据和促进数字经济发展,我们应当加强对数据携带权的研究。

算法伤害和解释权

算法对个人和社会的影响日益明显,同时引起了一系列围绕算法决策不公、歧视与不透明的隐忧。旨在使算法透明化的解释权被认为是应对算法伤害的有效措施。然而,解释权在现有的法律资源中难以证成,在实践中也无法有效解决算法对个体造成的损害。本文认为,无需另创解释权,GDPR的数据擦除权、数据携带权、数据保护影响评估等权利机制与范式要求便可以使算法更合理和更负责。

算法责任:规制误区与架构重建

算法日益深入人类生活并在社会话语体系中塑造了强大的算法权力。面对算法决策产生的伤害,现有的应对机制逐渐力不从心,为弥补不足,理论界提出一系列举措建议,包括要求算法的透明化或可解释性、成立算法监管机构等。然而这些建议均存在不同程度的局限性,并不能成为一般标准。对算法之规制,我们不应简单地从GDPR中移植相关的权利类型,而应着重从算法使用之行为及结果进行评价考量,以规范算法行为,实现算法可责性。