欧盟数据监管法律制度
欧盟法关于数据与隐私的规定,最早来源于1995年《欧盟数据保护指令》(Data Protection Directive),该规定提出处理个人数据的程序必须设置数据保护机制,对个人可识别信息作出明确规定。是一部比较全面的数据保护法律的草案,提出了基本的保护框架,但是技术和监管方式已经过时[13],2016年欧盟通过《通用数据保护条例》以取代《欧盟数据保护指令》。从性质上来看,GDPR是欧盟规则(EU Regulation),欧盟各成员国可以直接适用,并不需要各成员国通过修改国内法与欧盟指令相协调一致或撤销不相适应的国内法。
(一)《通用数据保护条例》主要内容
GDPR的规定围绕四大权利展开,分别是进入权(Right to Access)、数据可移植权(Right to data portability)、隐私设计权(Privacy by design)、被遗忘权(Right to be forgotten),这四大权利保护欧盟公民免于数据泄露而造成的个人隐私受到侵害。
1.进入权
数据主体有权从数据控制者那里获得是否正在处理与他们有关的个人数据,以及处理他们个人数据的目的。数据控制者应该提供数据主体的副本。
2.数据可移植权
GDPR规定了数据的可移植性,数据主体有权获得他们的个人数据,并有权将该数据传输给另一个控制者。
3.隐私设计权
要求在最初设计系统的时候就必须包括数据保护,强调数据控制者的数据保护责任是伴随着程序设计而产生的,数据控制者必须采取有效的技术措施保护数据主体的隐私权。
4.被遗忘权
也被称为“抹除数据”,数据主体有权让数据控制者抹除其个人数据,并停止数据分发活动,停止第三方使用该数据。GDPR第17条对数据主体行使被遗忘权的情形作出了规定:“数据主体撤回同意、已经存在非法的个人数据处理的情形、欧盟或成员国法律要求的个人数据抹除情形、已经收集第8(1)条所规定个人数据。” [14]这项权利要求控制者在考虑此类请求时,必须将主体的权利与“数据可用性中的公共利益”进行权衡。
(二)《通用数据保护条例》立法特点
1.高额处罚
根据国际金融协会(IIF)的数据显示,全球重要机构的合规成本大概占其经营成本的3%至5%,而且日益增长的监管复杂性也加剧了合规风险,全球范围内金融行业需要耗费800亿美元满足合规要求。[15]因为合规成本高的原因在于,若不合规则将面临高额处罚。违反GDPR规定的企业面临年度营业额的4%或2000万欧元的处罚。处罚分两类,第一类企业直接违反“隐私设计权”,在系统设计时就没有数据保护机制,将面临顶额处罚,如2019年1月,法国国家数据保护委员会(French National Data Protection Commission)以数据处理流程和信息披露不合规为由,对谷歌公司(Google)处以5000万欧元的罚款;第二类企业是普通违规,如未通知监管机构或未定期做数据评估,其最高处罚为年度营业额的2%。GDPR的处罚覆盖数据控制者和处理器,意味着网盘类的云存储运营者也可能成为处罚的对象。
2.域外适用
GDPR的适用对象为欧盟公民的数据的控制者,无论数据的处理行为是否在欧盟境内。既包括欧盟境内可以处理欧盟公民数据的机构,也包括欧盟境外可以处理欧盟公民数据的机构。这些活动涉及向欧盟公民提供商品或服务以及监控欧盟数据的行为。由于互联网的无界限,意味着全球的科技公司都具有获得欧盟公民数据的可能性。例如,欧盟公民境外旅游,旅游途中注册使用旅游国的民宿APP,此公司即可以获得该欧盟公民的身份信息的数据;再如,欧盟公民在欧盟境内使用欧盟境外生产的运动手表,此手表公司可以获得该欧盟公民的运动数据,以此可以分析该公民的运动习惯甚至身体状态。因此,GDPR的适用对象使得其域外适用范围获得扩张。
(三)《通用数据保护条例》对欧盟金融科技的影响
GDPR与金融科技的关系是欧盟关注的一个问题,特别是GDPR对人工智能(AI)和大数据产生的影响。例如,消费者向机器人咨询投资的问题,而机器人是基于海量欧盟用户数据并通过算法得出的结论。换言之,机器人处理欧盟用户的金融数据也适用GDPR。目前存在的问题在于,人工智能处理用户数据的行为是否需要用户许可,用户是否有权利要求人工智能提供者解释算法。基于GDPR的框架下,人工智能和大数据在金融业的应用也存在合规性问题。欧盟委员会在人工智能的政策文件中指出密切关注GDPR的框架下人工智能的应用,呼吁欧盟各国监管部门也关注此问题,在人工智能自动处理的情况下,需要向数据主体提供涉及其有价值的信息。[16]GDPR还应赋予数据主体有权利拒绝人工智能的自动决策。目前的GDPR框架还不能完全应对和解释人工智能所产生的问题。