谷歌最近又在歐洲被處罰了。據(jù)報道，法國數(shù)據(jù)保護監(jiān)管機構(gòu)對谷歌公司處以5000萬歐元的罰款，理由是其在用戶個人信息保護和數(shù)據(jù)處理上違反了歐盟《通用數(shù)據(jù)保護條例》(簡稱GDPR)中的相關(guān)規(guī)定。盡管這只是歐洲針對美國公司的一次個案處罰，但其指向的卻是包括我國在內(nèi)當下各國在網(wǎng)絡(luò)空間普遍遭遇的問題。

大數(shù)據(jù)時代，個人的表達和行為都會轉(zhuǎn)化為數(shù)據(jù)，成為驅(qū)動數(shù)字經(jīng)濟和社會發(fā)展的戰(zhàn)略性資源。但技術(shù)是一把“雙刃劍”，個人數(shù)據(jù)的過度收集、濫用及隱私泄露問題愈加突出。正基于此，歐盟于2016年通過了《通用數(shù)據(jù)保護條例》，代替1995年頒布的《個人數(shù)據(jù)保護指令》，從“指令”上升為“條例”，效力層級更高，保護力度更大。這次谷歌收到的罰單，是GDPR生效以來單個公司遭遇的最大一張。

從現(xiàn)實來看，作為處罰依據(jù)的GDPR，為全球數(shù)據(jù)治理提供了一套具有前瞻性且相對嚴謹?shù)膫€人信息保護制度，對于我們國家的網(wǎng)絡(luò)治理很有啟發(fā)。

一是高標準中的嚴要求。GDPR被譽為史上最嚴個人信息保護法，該法通過制度設(shè)計賦予數(shù)據(jù)處理機構(gòu)較高的法律義務(wù)。比如數(shù)據(jù)處理前的事先咨詢和影響評估制度，處理中的默認不可訪問制度，數(shù)據(jù)泄露后的72小時報告制度等。這次谷歌被處罰的原因之一，就是將用戶“同意”選項設(shè)定為“全局默認設(shè)置”。同時，責任追究力度也達到了空前的高度，歐盟對違法者可以處以最高達到其全球年收入的4%或2000萬歐元的罰款，并以數(shù)額最高者為準。

二是私權(quán)利外的公救濟。在“個人信息自決”的立法理念下，GDPR賦予個人針對其數(shù)據(jù)的訪問、查詢、糾正、刪除等一系列權(quán)利。為確保上述權(quán)利得到執(zhí)行，法律還賦予了監(jiān)管機構(gòu)在責任認定等方面較大的自由裁量權(quán)，并構(gòu)建了從投訴、受理到處罰的一整套行政監(jiān)管與救濟制度，通過強化公法救濟來彌補普通司法救濟的不足。

三是老目標下的新舉措。個人信息保護并非對個人權(quán)益的絕對化保護，本質(zhì)上是尋求個人權(quán)益與公共利益、保護個人信息與促進信息流動之間的平衡。GDPR為適應(yīng)大數(shù)據(jù)時代“收集先于目的”的數(shù)據(jù)挖掘模式以及公民主動披露信息的社交習(xí)慣，首創(chuàng)了“被遺忘權(quán)”制度，允許權(quán)利人能夠基于一定理由在事后刪除其信息，同時又設(shè)置了行使被遺忘權(quán)的限制條件，以確保權(quán)益保護與信息流通平衡目標的實現(xiàn)。

四是重形式上的強執(zhí)行。GDPR特別強調(diào)數(shù)據(jù)處理機構(gòu)在形式要件上的合規(guī)。比如要建立數(shù)據(jù)記錄制度，對個人信息處理要實現(xiàn)文檔化管理，在技術(shù)系統(tǒng)和人員培訓(xùn)上要制定明確制度以備檢查，雇員達到一定規(guī)模的還要設(shè)置專門的數(shù)據(jù)保護官。從實踐來看，正是得益于這些細致又可量化的形式要件，數(shù)據(jù)處理機構(gòu)對法律制度的重視與執(zhí)行力度在不斷加強。

當前我國互聯(lián)網(wǎng)行業(yè)已經(jīng)走在了世界發(fā)展前列，但是在個人信息保護方面一直沒有專門立法。短期來看，國內(nèi)企業(yè)可以基于國內(nèi)外政策環(huán)境的不同而制定不同方案。但從長遠出發(fā)，盡快推動《個人信息保護法》的出臺，才是應(yīng)對未來信息安全挑戰(zhàn)的長久之計。在充分考慮國情的基礎(chǔ)上，GDPR為代表的一些有益做法值得借鑒，但也要看到我國的特殊性。網(wǎng)絡(luò)治理模式幾經(jīng)轉(zhuǎn)變，成為共識的全球方案沒有出現(xiàn)，我國互聯(lián)網(wǎng)處于潮頭，遭遇的許多問題都是新的，確實無域外經(jīng)驗可借鑒。這個意義上，保護信息安全，還是要靠我們自己在制度構(gòu)建上有所創(chuàng)新。(周沖)

(作者系中央人民廣播電臺主任編輯，法律顧問)