原创|欧盟《数字服务法》将出台，比GDPR还严？！

《数字服务法》is coming

根据POLITICO报道，欧盟《数字服务法》（Digital Services Act）草案将于下周二公布。虽然此项立法草案尚未最终确定，并且根据欧盟委员会的立法程序，最终的规则最早可能需要在2024年出台，但是相关的立法动向以及与之相对应的监管者态度也是值得所有在欧盟有业务的经营者注意的。

因为美国联邦贸易委员会（FTC）也于昨天宣布了一些新规定，很难不让人认为是对欧盟草案的一些回应。

具体内容

1.传播监管义务

欧盟委员会要求网络平台巨头们(他们在27个成员国中覆盖超过4500万人）必须限制非法信息在他们的平台上的传播，并且向监管机构和外部组织提供更加多的访问其内部数据的机会，同时任命独立审计师来对其在新规则下的合规情况进行判断。

如果违反这些新的法律义务，诸如谷歌、脸书等公司可能会被处以最高达到其全年经营收入的6%的罚款。

2.广告责任与推送任务

在广告责任方面，欧盟的官员们表达了对有害行为者利用网络广告锁定消费者的担心。因此新的规则将会强制大型平台公开谁购买了平台的网络广告并且及时处理利用广告传播违法信息的行为。

此外，利用算法对用户数据进行分析并且进行精准内容推送的行为也必须得到公开，以便机构进行监管。因为欧盟方面发现，在线用户存在被自动机器学习工具推向非法内容的风险。

针对对象——美国科技巨头

此次立法措施的首要针对对象毫无疑问是像脸书和亚马逊这样的科技巨头，因为相比起他们在欧洲的规模相对更小的竞争对手来说，这些主要来自美国的科技巨头显然被苛以更重的义务：所谓的具有“系统重要性的”公司无一例外地需要公开关于如何阻止非法活动信息在平台上传播的年度风险评估报告。遗憾的是目前还没有明确的什么是“非法活动信息”的官方定义。欧盟委员会将会宣布，企业应当概述他们将会如何为言论自由这样的基本权利设置边界，将仇恨言论从中筛出去。故意散播的旨在破坏公共卫生、选举和保护儿童的虚假信息也需要平台给出监管的计划。独立审计员对上述的环节和程序都有监督的权力。如果企业提供了不准确的信息或者有其他不配合的表现，也会被处以年收入1%的罚款。

美国的监管要求

巧合的是，根据报道，美国联邦贸易委员会（Federal Trade Commission）于2020年12月14日宣布，将要求一些科技公司提供它们如何收集和使用用户数据的情况，体现了和欧盟类似的监管方向和态度。

这些公司还包括亚马逊、Discord、Facebook及其子公司WhatsApp、Reddit、Snap、Twitter和谷歌旗下YouTube等。从收到命令之日起，这些公司有45天的时间来做出回应。

除此之外，FTC还希望知道，这些公司如何决定向用户展示哪些广告，是否对用户个人信息使用了算法或数据分析技术，如何衡量用户参与度，以及关于数据的做法对少年儿童造成了什么样的影响。

科技巨头们如何应对

美国联邦贸易委员会此项要求既可以理解为是对欧盟监管措施的一种事先自查自纠，也可以认为是目前网络信息监管的一种普遍趋势，在技术黑箱下，消费者、用户的保护必须放在更强的立法价值下才能对抗企业因科技产生的优势地位。

在欧盟的立法针对对象中，主要是来自于硅谷的科技巨头，他们为了避免税率等在爱尔兰都注册了公司，提前要求公司对用户数据的处理透明化无疑可以帮助他们减少在欧盟遭受巨额罚单的可能。

总之，此次立法草案的动向应当警示了所有在欧盟成员国、美国有业务的经营者，在经手用户的数据和推送信息时，必须牢记必要限度原则、自愿原则、选择原则等基础的要求，同时要把握监管态度，适当时主动进行公开和透明化，在越来越严格的监管下，走在执法者的要求前端，做好信息数据合规建设，不仅要保护好，还要处理好。

国内环境

对于国内经营者来说，类似的立法动向并非毫无借鉴意义。2020年是全面构建多维度、多层次网络数据立法制标的关键年，无论是《民法典》的出台从民事基本法角度，用专门篇幅确立了个人信息民事权益，还是《数据安全法（草案）》、《个人信息保护法（草案）》的发布都在寻求进一步明确个人信息收集使用的边界和法律责任。

《数据安全管理办法》也在某些方面被认为甚至比GDPR还要更加严格。因此可以推断的是，国内对于个人信息保护的态度也在变得更加严厉，针对此次国外的立法动向，国内信息保护立法可能会持续跟进国际水平，可能是出于符合国际组织或是条约要求的目的，也可能是出于营造良好的市场环境目的。

写在最后

在我国对个人信息的保护逐渐规范化、严格化的背景下，国内企业需要做的是，提前布局自身合理可行的信息保护结构，完善内部权力监督，将信息的收集处理真正落实到合规轨道上。毕竟信息合规建设并非一朝一夕之事，只有提前养成信息合规意识，走在执行力度前沿，才能让企业将合规红利最大化。