谷歌最近又在欧洲被处罚了。据报道，法国数据保护监管机构对谷歌公司处以5000万欧元的罚款，理由是其在用户个人信息保护和数据处理上违反了欧盟《通用数据保护条例》(简称GDPR)中的相关规定。尽管这只是欧洲针对美国公司的一次个案处罚，但其指向的却是包括我国在内当下各国在网络空间普遍遭遇的问题。

大数据时代，个人的表达和行为都会转化为数据，成为驱动数字经济和社会发展的战略性资源。但技术是一把“双刃剑”，个人数据的过度收集、滥用及隐私泄露问题愈加突出。正基于此，欧盟于2016年通过了《通用数据保护条例》，代替1995年颁布的《个人数据保护指令》，从“指令”上升为“条例”，效力层级更高，保护力度更大。这次谷歌收到的罚单，是GDPR生效以来单个公司遭遇的最大一张。

从现实来看，作为处罚依据的GDPR，为全球数据治理提供了一套具有前瞻性且相对严谨的个人信息保护制度，对于我们国家的网络治理很有启发。

一是高标准中的严要求。GDPR被誉为史上最严个人信息保护法，该法通过制度设计赋予数据处理机构较高的法律义务。比如数据处理前的事先咨询和影响评估制度，处理中的默认不可访问制度，数据泄露后的72小时报告制度等。这次谷歌被处罚的原因之一，就是将用户“同意”选项设定为“全局默认设置”。同时，责任追究力度也达到了空前的高度，欧盟对违法者可以处以最高达到其全球年收入的4%或2000万欧元的罚款，并以数额最高者为准。

二是私权利外的公救济。在“个人信息自决”的立法理念下，GDPR赋予个人针对其数据的访问、查询、纠正、删除等一系列权利。为确保上述权利得到执行，法律还赋予了监管机构在责任认定等方面较大的自由裁量权，并构建了从投诉、受理到处罚的一整套行政监管与救济制度，通过强化公法救济来弥补普通司法救济的不足。

三是老目标下的新举措。个人信息保护并非对个人权益的绝对化保护，本质上是寻求个人权益与公共利益、保护个人信息与促进信息流动之间的平衡。GDPR为适应大数据时代“收集先于目的”的数据挖掘模式以及公民主动披露信息的社交习惯，首创了“被遗忘权”制度，允许权利人能够基于一定理由在事后删除其信息，同时又设置了行使被遗忘权的限制条件，以确保权益保护与信息流通平衡目标的实现。

四是重形式上的强执行。GDPR特别强调数据处理机构在形式要件上的合规。比如要建立数据记录制度，对个人信息处理要实现文档化管理，在技术系统和人员培训上要制定明确制度以备检查，雇员达到一定规模的还要设置专门的数据保护官。从实践来看，正是得益于这些细致又可量化的形式要件，数据处理机构对法律制度的重视与执行力度在不断加强。

当前我国互联网行业已经走在了世界发展前列，但是在个人信息保护方面一直没有专门立法。短期来看，国内企业可以基于国内外政策环境的不同而制定不同方案。但从长远出发，尽快推动《个人信息保护法》的出台，才是应对未来信息安全挑战的长久之计。在充分考虑国情的基础上，GDPR为代表的一些有益做法值得借鉴，但也要看到我国的特殊性。网络治理模式几经转变，成为共识的全球方案没有出现，我国互联网处于潮头，遭遇的许多问题都是新的，确实无域外经验可借鉴。这个意义上，保护信息安全，还是要靠我们自己在制度构建上有所创新。(周冲)

(作者系中央人民广播电台主任编辑，法律顾问)