5月30日有媒体报道说,《欧盟通用数据保护条例》已于5月25日开始生效实施。这个“条例”,被认为是历史上最严格的通用数据保护条例。对于个人而言,这个条例对隐私保护可谓层层设防,严防死守。而对公司企业而言,尤其是那些有意或无意集纳私人(服务对象)隐私数据的公司企业,则限制多多,对这些数据的集纳、分析和使用设置了重重障碍。
早在20多年前(1995年),还在互联网普及阶段,欧盟就制定了《数据保护指令》。这个“指令”,是欧盟为其成员国家树立的个人数据立法的基本原则和参考标准。20年后(2015年),在互联网已然成为经济增长的动力来源之一的情况下,欧盟在法律统一问题上达成了共识,决定在成员国之间统一执行“指令”,同时确定非欧盟成员国企业只要在欧盟境内提供服务,就必须遵守“指令”及其相关法律。《欧盟通用数据保护条例》是在“指令”的基础上,强化了监管,更加严格了欧盟国家对网络用户隐私权利的保护,明确了相关企业对数据保护责任及其所对应的罚则。
这个“条例”,实际上是对互联网在最近20年发展当中所产生的问题、尤其是对个人隐私保护存在纰漏等问题的立法反应。因此,这个“条例”扩大了网络用户隐私数据的定义范围,不仅将网络用户惯常意义上的隐私信息,如姓名、证件识别标识、地址、职业、网络IP等纳入保护范围,也将族裔、宗教、性取向等信息纳入保护范围。“条例”还根据电子媒介的特点,赋予网络用户对个人信息有“被遗忘权”以及这些数据的“可携带权”。相应地,“条例”对公司企业提出了更加严格的运营要求,针对高技术的特点,要求公司企业必须用普通人可理解的通俗语言向其用户解释收集数据的方式及其必要性,要求公司企业必须合法、公平和透明地收集、处理和使用信息,公司企业有义务采取一切合理措施删除或纠正不正确的个人数据。
最近,一些跨国网络公司的用户都陆续收到了这些公司发出的隐私策略调整的通知。这些通知,就是跨国网络公司为应对欧盟“条例”而采取的合规措施之一。这个“条例”,当然也影响到一些中国的网络公司。有媒体报道称,已有中国公司发布公告将停止其在欧盟成员国的网络服务,以退出市场的方式来规避“条例”的限制。
对个人隐私信息如此严格的保护,以及对网络公司和企业如此严格的限制,其实代表了互联网时代公司企业与个人间的互动关系及其法律调整。这个“条例”的从严一面,也反映了欧盟力图消弭其成员国内部法律在此问题上标准不一的差别。当然,在欧盟内部,不论是大陆法系国家还是普通法系国家,其原有的对个人隐私保护的相关法律也堪称严密,新颁行的“条例”无疑为这些既存法律按上了跟进互联网时代前进的车轮。
也正是因此,也不乏有质疑上述“条例”对相关公司企业过分严厉限制的声音。欧盟以往对公司企业的过度限制,被认为是欧盟国家在过去20多年中没能产生跨国互联网公司企业的原因之一。新颁行“条例”的施行,将不利于美国等大型跨国互联网公司企业在欧盟成员国的运营,为其市场拓展带来障碍,但也更加不利于欧盟内部诞生跨国互联网公司企业,实际上将更加强化美国互联网公司企业一统欧盟成员国及其市场的格局。
对上述“条例”颁行的全部影响,尚有待观察。