GDPR一年半:成就、争议与启示
时间:2019-11-14 16:45:55 热度:37.1℃ 作者:网络
互联网经济正在颠覆传统的经营模式与商业思维,数据成为数字经济时代最重要的资产。然而,有数据利用就有数据滥用,让手握数据掌控权的互联网企业合理保护用户隐私,限制其用数据谋取利益的范围,已经成为当下刻不容缓的全球性挑战。
在此方面,欧盟走在前列。2018年5月25日,欧盟正式实施《一般数据保护条例》(GDPR)。GDPR被视为隐私保护领域最为权威和细致的立法,大体思想是通过约束企业信息处理行为,赋予公民对其个人数据更大的控制权。GDPR定义了隐私保护的七项基本原则,并提出一系列更具操作性的要求与规范。同时,GDPR的法律效果辐射到欧盟之外,其规定适用于任何向欧盟消费者推销或销售产品的企业。执行保障机制方面,严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款,这有着极大的威慑力。
到现在为止,GDPR实施已近一年半。一年半以来的实践表明,GDPR不只是一套理念性原则,更不是空洞的承诺,而是具有实用性的确保公民数据保护权利的工具,并且得到了公民的积极应用。据统计,截至今年上半年,欧盟各国数据保护机关已收到逾14万件侵犯数据权利的案件举报;截止今年9月底,共有82个机构或个人受到GDPR的处罚。
一系列罚款正在让GDPR露出牙齿。今年1月,法国国家信息与自由委员会(CNIL)以谷歌未能履行两项GDPR规定的义务为理由,宣布对其处以5000万欧元的罚款。7月,英国信息专员办公室(ICO)宣布对万豪国际酒店集团处以逾9900万英镑罚款,原因是其将5亿名客人的个人信息暴露于黑客攻击之下。同月,英国航空公司也被罚款逾1.8亿英镑,原因是50万名客户数据因英航网站遭攻击而被窃取。当然,上述企业都可以就罚款决定提出申诉。
GDPR的经济学和法律逻辑
GDPR之所以有必要存在,其背后有着深刻的理由,以及经济学和法律逻辑。
回溯历史,我们今天所习以为常的“隐私”这个概念,在古代并不存在。隐私的出现,是公共领域与私人领域产生明确界分后的结果,而这种界分是现代社会的重要特征。在法律意义上承认私人领域内部的隐私权,进而在互联网时代承认数据隐私,是尊重人的个性、价值与尊严的思想与价值观高度发展的结果,具有固有的进步意义。
承认数据隐私权的经济学理由是:个人数据具有真正的价值,因此企业有法律责任像对待其他资产一样,确保其安全性。数据所包含的经济价值使之成为可用于交易的商品。在今天,数据交易更是形成了完整的产业链,蕴含巨大的商业价值。我们在生活中经常遇到的定向广告表明,网络企业很清楚消费者是谁、其兴趣何在。企业收集这些信息时通常并没有得到消费者的明示同意。尽管这代表着一定的经济效率,既能降低信息不对称程度和交易成本,也便于为消费者提供量体裁衣的精确服务,但这也隐藏着危害消费者的可能性。而且原本属于消费者个人的信息成为了企业盈利的途径,这也构成了某种利益分配的不公平。
隐私泄露造成的危害显而易见。例如在中国,近年来由此导致欺诈、网络霸凌的事件屡屡见诸报端。另一方面,公民的隐私权观念和自我保护意识也在逐渐觉醒和增强。这些都要求从法律层面对数据和隐私加以规范。
对每个个体而言,隐私数据泄露带来的危害大多是微小的、潜在的,个体也不会为了保护如此微弱的利益而采取行动,更何况个体也缺乏维权的相关知识与技巧。普通公众无法影响搜索引擎的显示结果,对于个人数据被盗窃和贩卖也无能为力。但另一方,强大的网络企业及利益相关者可以利用从大众那里网罗的数据和信息经营谋利。鉴于这样的集体行动困境及双方力量的严重不对称性,由政府出台法律保护个体对其隐私数据的主导权,就具有法律上充分的合理性。
GDPR面对的争议
欧盟的GDPR尽管颇受关注,但并不意味着它是突兀的、全新的、刻意标新立异的。GDPR是对欧盟各国此前已经存在的数据保护法律的升级,是已有经验的浓缩和完善。目前全球至少有107个国家制定了隐私保护的立法,总体的监管环境趋向于严格,这是不可避免的大趋势。美国加利福尼亚州的消费者隐私法案(CCPA)也将在明年1月生效,它将把所有和加州居民有关的商业数据业务行为纳入监管范围,这是全球仿效GDPR的最新例子。
诸多民意调查显示:在欧美,多数民众对数据隐私高度关心。GDPR既不是无事生非,也不代表某种捣毁机器的“路德派”冲动,而是有较为精致的设计思路和制度安排,而且会在实践中不断完善。
有人指责欧洲因为采取了严苛的数据保护,才在与中美的网络经济竞争中落后。但这难以在逻辑上证明,欧盟缺乏强大的网络企业是多种因素造成的结果。还有说法认为,GDPR是欧盟因为互联网产业发展不如美国才采取的无奈措施,是一种新形式的国家间商业竞争手段,是发达国家树立起的壁垒。这种说法也很偏颇,忽视了GDPR背后的民意基础,且因没有充足证据而更像是肤浅的阴谋论。更符合事实的理解是:GDPR是欧盟在为新时代的数字经济勾勒轮廓,意在把握未来的规则制定权,并对外辐射欧盟的制度能量。与欧盟做生意的他国企业必须服从欧盟的规则,这就扩大了欧盟规范的全球约束效果。GDPR所引起的关注和仿效企图也是明证,例如,Facebook创始人扎克伯格、苹果CEO库克等科技业名流都纷纷呼吁美国学习GDPR。
但另一方面,对GDPR的各种批评,如实施机制过于繁琐复杂、影响创新热情、增加企业运营成本、降低商业活力等,也不一定全是别有用心、吹毛求疵。有统计表明,GDPR开始推行时,欧盟科技企业筹集到的风险投资大幅减少,每笔交易的平均融资规模比GDPR推行前的12个月减少了33%。也有民意调查显示,GDPR实施后,消费者表示对互联网企业的信任程度降低。这说明GDPR对企业信心和客户与企业的互动关系都产生了一定的负面影响。同时,因为担忧法律风险、害怕遭到巨额处罚等原因,不少美国互联网企业选择停止部分欧洲业务,直接关闭在欧洲的网站,或者禁止欧洲用户访问其网站。对这些负面影响不能视而不见,尤其是不能因隐私保护而使全球互联网变得各自为政、四分五裂,这需要理性权衡的智慧。
还必须注意的是,假如隐私保护制度的执行成本过高,隐私权可能有名无实。GDPR推行后,所有企业在最初都会选择想方设法规避数据保护义务,而不是采取合规行为。GDPR会迫使企业行为出现多大程度的改变,不仅取决于立法,也取决于公民维权行为展开的频率与效果,以及法院对各种实践中的具体问题的解释。
探索数据保护的边界
理论上,GDPR所意味的巨大合规成本的确可能令初创企业望而却步,导致抑制创新的不良后果。但另一方面,不满负担加重的企业制造舆论或发动游说的情况也可能出现。因此不能只听任何一方的一面之词,而必须客观考虑双方的诉求。无论如何,掌握并利用庞大数据的大企业的出现,颠覆了传统的商业格局,以及企业与消费者之间的力量对比关系。既然现实出现了革命性变化,也就需要像GDPR这样的新规则、新制度。尽管新的规则未必完美,但消费者利益保护的底线不断提高,乃是必然趋势。而且,这未必是一个零和游戏。就像最初也充满争议的劳工权利保护最终带来劳资两方的双赢一样,GDPR也可能最终服务于企业和客户双方的利益。
如何确定数据保护的边界,这不仅是客观的经济学问题,也涉及利益冲突和权力斗争。GDPR必须在与质疑者的持续辩论之中完善自身体系,并争取到更多的支持。有时相关争议也未必是非黑即白,而可能是程度的把握问题,例如,是否要合理区分重要级别不同的隐私数据,针对性地设置消费者同意规则,界定消费者权利和企业经营自由之间的边界,也都是GDPR未来需要考虑的。
对GDPR而言,实施一年半只是大远征走出了一小步。现在既不是庆贺成功的时候,也不是彻底否定它的时候。数据隐私保护机制需要在个人自由与尊严、创新和商业利益、国家安全等诸多关切之间达成平衡。这既需要政府发挥平衡作用,也要防止步入歧途,走向臃肿繁琐的官僚化,扼杀经济活力。显然,这不仅仅是GDPR面临的挑战,而是具有普遍意义的公共政策大课题。■