圍繞司法系統(tǒng)的另一問(wèn)題是，在GDPR規(guī)定的“行政-司法”雙軌規(guī)制-救濟(jì)模式中，法院和數(shù)據(jù)保護(hù)機(jī)構(gòu)的職能應(yīng)如何協(xié)調(diào)？奧地利在其報(bào)告中指出，由于數(shù)據(jù)保護(hù)機(jī)構(gòu)和法院都是完全獨(dú)立的，且遵循不同的程序守則，因此GDPR規(guī)定的這種雙重救濟(jì)模式導(dǎo)致GDPR的適用不成體系，在某些情況下數(shù)據(jù)保護(hù)機(jī)構(gòu)的決定還會(huì)與法院相沖突。

    相比于GDPR中完整的行政規(guī)制體系，歐盟對(duì)于司法救濟(jì)的態(tài)度僅僅停留在認(rèn)可階段。實(shí)踐中投訴到行政監(jiān)管的案件，也只有1%左右會(huì)上訴到法院，考慮到維權(quán)的時(shí)間和經(jīng)濟(jì)成本、維權(quán)的靈活性等問(wèn)題，絕大多數(shù)的數(shù)據(jù)主體會(huì)主動(dòng)選擇行政規(guī)制模式。[9]

    數(shù)據(jù)跨境流通問(wèn)題是歐盟此次GDPR評(píng)估的重點(diǎn)，歐盟理事會(huì)提出數(shù)據(jù)自由流通是GDPR的一大目標(biāo)，各成員國(guó)也就實(shí)踐中遇到具體問(wèn)題進(jìn)行了反饋。

    首先，各國(guó)都肯定了GDPR設(shè)置多類(lèi)型、多層次數(shù)據(jù)跨境流動(dòng)方式的必要性：充分性決定（第45條），適當(dāng)保障措施和行為準(zhǔn)則（第46、40條），有約束力的公司規(guī)則（第47條）都有其不同的適用場(chǎng)景，需予以保持。比利時(shí)提出：充分性決定對(duì)于私營(yíng)公司數(shù)據(jù)跨境交換、簡(jiǎn)化手續(xù)和法律合規(guī)有重要意義，有助于實(shí)現(xiàn)單一（數(shù)字）市場(chǎng)的目標(biāo)，但問(wèn)題是這項(xiàng)制度屬于“正面白名單”，適用標(biāo)準(zhǔn)較高，因此沒(méi)有得到充分利用，建議進(jìn)一步擴(kuò)充“白名單”，以納入更多可以合法流動(dòng)的區(qū)域。

    德國(guó)也支持上述觀點(diǎn)：目前，通過(guò)歐盟充分性決定的國(guó)家與地區(qū)數(shù)量偏少（僅有13個(gè)）。其中，關(guān)于日本的充分性決定中，只認(rèn)可了商業(yè)部門(mén)，而沒(méi)有為政府機(jī)構(gòu)之間的信息共享提供合法基礎(chǔ)。歐盟理事會(huì)在其總結(jié)報(bào)告中吸收了成員國(guó)的上述觀點(diǎn)，指出要繼續(xù)擴(kuò)充“白名單”，以進(jìn)一步擴(kuò)展可以合法自由流動(dòng)的區(qū)域與部門(mén)。

    此外，對(duì)于“白名單”之外的其他合法流動(dòng)機(jī)制，歐盟在報(bào)告中也指出，將發(fā)布更多的標(biāo)準(zhǔn)合同模板，以滿(mǎn)足不同類(lèi)型的數(shù)據(jù)控制者和處理者的數(shù)據(jù)跨境流動(dòng)需求。

    自2012年啟動(dòng)GDPR立法時(shí)，歐盟就負(fù)有著建立數(shù)字時(shí)代新秩序的雄心，對(duì)當(dāng)時(shí)的新技術(shù)應(yīng)用予以了制度回應(yīng)。例如：針對(duì)云計(jì)算業(yè)態(tài)中數(shù)據(jù)收集和處理相分離的情況，在法律主體上區(qū)分了控制者和處理者；針對(duì)數(shù)據(jù)分析，規(guī)定“畫(huà)像”條款；針對(duì)人工智能技術(shù)，規(guī)定了自動(dòng)化決策條款。然而技術(shù)的迭代發(fā)展，仍然持續(xù)帶來(lái)新問(wèn)題。最為典型的即區(qū)塊鏈技術(shù)。直到今天，圍繞該技術(shù)的GDPR適用，仍然存在極大爭(zhēng)議（詳見(jiàn)：GDPR的真實(shí)面貌,十個(gè)誤解與爭(zhēng)議）。

    隨著2016年的正式公布，GDPR的制度已經(jīng)固化。相比之下，技術(shù)發(fā)展卻仍在以驚人的速度高歌猛進(jìn)。在區(qū)塊鏈之外，無(wú)人駕駛、面部識(shí)別、可穿戴設(shè)備、智能家居、醫(yī)療監(jiān)測(cè)器械、行為生物數(shù)據(jù)、無(wú)人機(jī)等一個(gè)又一個(gè)技術(shù)應(yīng)用，不斷點(diǎn)燃數(shù)據(jù)驅(qū)動(dòng)的新領(lǐng)域。對(duì)于這些新技術(shù)，是嚴(yán)格套用GDPR予以規(guī)范，還是適度平衡隱私保護(hù)與創(chuàng)新發(fā)展，是擺在歐盟面前的問(wèn)題。

    正如歐盟理事會(huì)在此次評(píng)估報(bào)告中所強(qiáng)調(diào)：我們也應(yīng)該看到這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個(gè)巨大的優(yōu)勢(shì)，并有可能加強(qiáng)歐洲公民的隱私保護(hù)。例如：基于區(qū)塊鏈的“零知識(shí)證明技術(shù)”能夠?qū)崿F(xiàn)使用盡可能少的個(gè)人信息，同時(shí)驗(yàn)證某一特定主體的身份；[10]差異隱私技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)集中而帶來(lái)的價(jià)值，但同時(shí)保持特定自然人身份不被識(shí)別。[11]法律的適用應(yīng)當(dāng)為技術(shù)發(fā)展留有“一定空間”，而不是完全抵制。歐盟在今年3月發(fā)布的《人工智能白皮書(shū)》，最終刪除了原本寫(xiě)入的人臉識(shí)別禁用條款，也再次體現(xiàn)了這種權(quán)衡。[12]

    正如兩年前GDPR生效時(shí)，我們所預(yù)言的那樣：立法文本的正式通過(guò)，并不意味著制度規(guī)范都已成熟，相反，秩序建設(shè)才剛剛拉開(kāi)序幕。面臨挑戰(zhàn)的不僅是GDPR的適用對(duì)象，也包括GDPR本身。而讓一項(xiàng)制度日臻完善的路徑，是不斷結(jié)合實(shí)踐，持續(xù)對(duì)制度本身予以客觀評(píng)估，識(shí)別問(wèn)題并總結(jié)經(jīng)驗(yàn)。

注釋?zhuān)?/span>

[1]歐盟理事會(huì)已將這19個(gè)報(bào)告匯總在一起，下文提到的各國(guó)報(bào)告都可通過(guò)查閱匯總報(bào)告獲得。Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) - Comments from Member States,https://data.consilium.europa.eu/doc/document/ST-12756-2019-REV-1/en/pdf.

[2] Council position and findings on the application of the General Data Protection Regulation (GDPR) – Adoption,https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf.

[3] https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

[4] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

[5] Harris M, Patten K, Regan E, Fjermestad J, Harris M (2012) Mobile and connected device security considerations : a dilemma for small and medium enterprise business mobility? In: AMCIS 2012

[6] See Lothar Determann , Representatives under Art. 27 of the GDPR: All your questions answered,https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/2018/10/representatives-under-art-27-of-the-gdpr-iapp-2018.pdf?la=en

[7] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en

[8] Se https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_ene Bulgaria, fines in millions for personal data breaches, https://www.lexology.com/library/detail.aspx?g=6356ed78-03c2-48d0-add2-c8848bfc60c9.

[9] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

[10]零知識(shí)證明技術(shù)指的是證明者能夠在盡可能少向驗(yàn)證者提供甚至不提供任何有用的信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。AHN Gail-Joon, “Zero-knowledge proofs of retrievability”, Science China (Information Sciences), Vol.10(8), 2011, pp.1608-1617.

[11]差異隱私技術(shù)指的是從統(tǒng)計(jì)數(shù)據(jù)庫(kù)查詢(xún)時(shí)，最大化數(shù)據(jù)查詢(xún)的準(zhǔn)確性，同時(shí)最大限度減少識(shí)別其記錄的機(jī)會(huì)，這種機(jī)制的核心是給查詢(xún)的結(jié)果增加一定的噪點(diǎn)。Mannhardt, Felix, “Privacy-Preserving Process Mining”, Business & information systems engineering, Vol.61(5), 2019, pp.595-614.

[12] See European Commission, White Paper on Artificial Intelligence: a European approach to excellence and trust,https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en

作者 | 王   融  騰訊研究院資深專(zhuān)家

作者 | 朱軍彪 騰訊研究院助理研究員