GDPR生效，數據可攜權和被遺忘權，你怎麼看？

5月25日，歐盟的一般數據保護條例（簡稱GDPR）正式實施。南都記者採訪多個歐盟成員國數據保護主管機構的官員，他們普遍表示，制定GDPR是歐盟順應時代變化採取的必要措施，希望能以此改善歐盟的個人數據保護制度，更好地應對現代科技帶來的挑戰。

那麼，GDPR的趨勢是否符合大數據時代的發展？ 近日在上海，一場以此為主題的分論壇吸引了多方關注。有專家認為，GDPR的主旨既體現了保護數據主體權利，還包括推動歐盟數據經濟的發展，不過其中的數據可攜權和被遺忘權存在爭議。

不管爭議如何，可以確定的是，隨著GDPR的正式實施，跨國企業的數據保護規則正發生改變。論壇主辦方華東政法大學呼籲，中國企業應將個人信息保護貫穿到產品設計和業務流程管理的每個環節，將企業的數據治理和合規能力作為核心競爭力。

數據可攜權會損壞企業競爭關係？

5月19日，由上海華東政法大學舉辦的「中國數據法律高峰論壇」在該校舉行。論壇邀請了康奈爾大學教授Helen Nissenbaum、中國社科院法學所研究員周漢華等數十位中美專家學者和企業代表參與。

在當天下午，共舉辦了兩場分論壇討論。圍繞「」的議題，多名法學專家展開了詳細的討論。

華東政法大學教授、數據法律中心主任高富平認為，歐美始終把對個人數據保護作為個人的基本權利，而非一項私權利。基於個人權益和信息自由流通等方面的考量，GDPR對於個人數據保護的定位非常正確，且賦予了個人很多的權利，包括訪問權、更正權等，但其中的數據便攜權和刪除權，引發諸多討論。

據南都記者了解，GDPR規定的數據可攜權，是指允許數據主體從數據控制者處獲取個人信息副本，並可以無障礙地轉移至另一個數據控制者。在高富平看來，其中的爭議在於沒有考慮市場競爭的需求。

華東政法大學教授高富平演講。

「如果我從這個企業拿了數據給到另個競爭對手，那這個競爭秩序怎麼調整？原來的競爭秩序是經營者和競爭者之間的，當用戶被允許挪用數據時，會不會損壞既有的競爭關係？」高富平說。

另一項刪除權又稱「被遺忘權」，指的是數據主體有權要求數據控制者刪除與其有關的個人數據。在高富平看來，「數據的價值是潛在的。用戶行使刪除權可能造成整個數據的斷裂或不完整。」

而在實際操作中，用戶註銷賬號或刪除數據似乎也存在一定難度。今年4月，南都個人信息保護研究中心實測20款常用APP發現，註冊容易註銷難是普遍存在的問題。測評結果顯示，12款APP註銷難，還有APP並不提供自主註銷功能。

有企業反饋，GDPR的數據合規要求過於嚴苛，比如如何實現用戶遺忘權，在技術上是一件非常頭疼的事情，因為註銷並非簡單的操作，用戶數據來源多樣，又涉及很多關聯數據方的處理和協作。

在當天的論壇上，大成律師事務所合伙人戴健民提到，在為企業提供服務時，他常被客戶問到一個問題就是，「我獲取的用戶數據可以持有多久？」因為對企業來說，數據持有時限長的話，更有利於商業開發，但不同行業的數據保留期限並不一樣，這就需要企業對數據進行分類。另一方面，消費者刪除數據的需求也愈加強烈。從這點來看，今後數據遺留並非好事。

點贊就能推測性傾向演算法透明度如何實現？

伴隨技術的發展，演算法透明度是常被人們提及的一個話題。金杜律師事務所合伙人吳涵認為，在享受大數據便利時，現有的一些演算法理論已經超出了人們的理解。在這種情況下，如何通過技術的合規手段，滿足用戶的透明要求，這是企業需要重視的問題，

上海社會科學院信息研究所、助理研究員張衠舉例道，在Facebook實踐中，人們發現利用和挖掘碎片化的數據也具有揭露一個人隱私的能力。比如在社交媒體上的點贊行為，人們傳統認為這是不具隱私期待的一些信息。但技術帶來的新發展，在大數據的演算法下，甚至可能根據你的68次點贊而推測出你的性傾向。

對於這樣的演算法，用戶並沒有能力去審查其背後的邏輯，並且在大數據流通下，很多大型互聯網企業平台會與生態夥伴進行數據共享或再利用。而在整個流通中，企業如何確保它們合作夥伴對於數據保護的標準，也符合用戶期待？

張衠說，從這個角度考慮，GDPR賦予用戶數據可攜權和限制平台自動化處理信息的權利，其實是在數據流通過程中，為用戶提供一個議價能力，以便更好而又透明地掌控自己的信息。

對比GDPR提及的用戶權利，南都記者注意到，在今年5月1日生效的《信息安全技術 個人信息安全規範》也有類似的說明。規範提及，個人信息主體的權利包括訪問、更正、刪除、撤回同註銷賬戶、約束信息系統自動決策，申訴管理等。

其中第7.9條明確，根據個人信息主體的請求，個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法，或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方。

值得一提的是，規範的創新之處在於，對可傳輸至第三方的信息作了明確，包括個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息。

張衠同時也指出，GDPR體現的主旨不僅包括對數據主體權利的保護，也涉及推動歐盟數據經濟發展。而要實現這兩個目標的前提是構建用戶信任。為此她建議，可從演算法透明度、數據流通安全、數據主體的隱私期待等多方面考慮，賦予用戶更多掌控權。「如果數據遭到濫用，最後損害的不僅是個人的權益，還包括整個社會的數據創新能力。」

上海交通大學教授何淵也認為，嚴格和適當的個人隱私保護，實際上可以給個人、企業和社會帶來更大的一個信任感和安全感。在信任和安全基礎上，企業間的數據共享和流動，則會帶來更多的民意支持，為整個數據經濟創造更好的價值和環境。

具體對企業而言，數據合規其實不再是一種純粹的規避風險的管理或成本支出，在歐洲的很多跨國企業中，自動保護用戶隱私已變成企業的一種核心競爭力。

區分場景保護隱私成趨勢 上海共識發布

隨著GDPR的正式實施，這樣的數據保護趨勢是否符合大數據時代的發展，或許還有待實踐觀察。可以確定的是，GDPR正在改變跨國企業的數據保護的規則。

並且，隨著大數據和人工智慧的發展，在計算機、智能設備、感測器等應用無時無刻記錄人們運行軌跡的情況下，數據的利用秩序日益成為這個時代的基礎制度，其中的個人信息保護既與個人尊嚴和自由相關，又關涉社會和公共利益，因此及時探討和調整數據保護機制，無疑是一項有益的嘗試。

在當天的論壇上，華東政法大學數據法律研究中心根據會議研討成果整理形成了「大數據時代的個人信息保護——上海共識」，向社會公開發布。

據南都記者了解，這份共識提出，個人信息保護應以個人權益保護和信息自由流通為宗旨，並實現二者的平衡。此外在數據時代，區分場景保護隱私成為個人信息保護的一大趨勢。對個人信息收集和獲取環節進行的法律規制已無法真正有效保護個人信息，所以應加強對個人信息使用環節的法律規制，加大對危害個人信息行為的懲罰才能更有效地保護個人權益。

華東政法大學數據法律研究中心呼籲，中國企業將個人信息保護貫穿到企業產品設計、業務流程管理的每個環節，建立尊重和保護個人信息的數據治理和合規體系，將企業的數據治理和合規能力作為核心競爭力加以建設，同時鼓勵行業自治，發展具有行業特點的個人信息保護規則和標準。

具體包括：

建構以風險為導向、以場景為基礎的個人信息保護制度；

以個人信息控制者的義務規則、行為準則為核心，明確個人信息控制者的義務、行為規範和法律責任；

分門別類地實施知情同意規則，強化必要情形下同意的有效性。

將個人信息使用環節作為個人信息保護法律規制的重點對象，建立個人信息控制者的行為規範，加大個人信息控制者的違法成本。

合理賦予信息主體權利，切實維護個人的尊嚴和自由。

針對違反法律侵害個人權益的行為，建立切實有效司法救濟體系。

采寫：南都記者 李玲 發自上海

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！