GDPR一年半:成就、争议与启示

刘淄川2019-11-14 16:24

互联网经济正在颠覆传统的经营模式与商业思维,数据成为数字经济时代最重要的资产。然而,有数据利用就有数据滥用,让手握数据掌控权的互联网彩票游戏app合理保护用户隐私,限制其用数据谋取利益的范围,已经成为当下刻不容缓的全球性挑战。

在此方面,欧盟走在前列。2018年5月25日,欧盟正式实施《一般数据保护条例》(GDPR)。GDPR被视为隐私保护领域最为权威和细致的立法,大体思想是通过约束彩票游戏app信息处理行为,赋予公民对其个人数据更大的控制权。GDPR定义了隐私保护的七项基本原则,并提出一系列更具操作性的要求与规范。同时,GDPR的法律效果辐射到欧盟之外,其规定适用于任何向欧盟消费者推销或销售产品的彩票游戏app。执行保障机制方面,严重违反GDPR可能被处以2000万欧元或上年度全球年营业额4%的罚款,这有着极大的威慑力。

到现在为止,GDPR实施已近一年半。一年半以来的实践表明,GDPR不只是一套理念性原则,更不是空洞的承诺,而是具有实用性的确保公民数据保护权利的工具,并且得到了公民的积极应用。据统计,截至今年上半年,欧盟各国数据保护机关已收到逾14万件侵犯数据权利的案件举报;截止今年9月底,共有82个机构或个人受到GDPR的处罚。

一系列罚款正在让GDPR露出牙齿。今年1月,法国国家信息与自由委员会(CNIL)以谷歌未能履行两项GDPR规定的义务为理由,宣布对其处以5000万欧元的罚款。7月,英国信息专员办公室(ICO)宣布对万豪国际酒店集团处以逾9900万英镑罚款,原因是其将5亿名客人的个人信息暴露于黑客攻击之下。同月,英国航空公司也被罚款逾1.8亿英镑,原因是50万名客户数据因英航网站遭攻击而被窃取。当然,上述彩票游戏app都可以就罚款决定提出申诉。

GDPR的经济学和法律逻辑

GDPR之所以有必要存在,其背后有着深刻的理由,以及经济学和法律逻辑。

回溯历史,我们今天所习以为常的“隐私”这个概念,在古代并不存在。隐私的出现,是公共领域与私人领域产生明确界分后的结果,而这种界分是现代社会的重要特征。在法律意义上承认私人领域内部的隐私权,进而在互联网时代承认数据隐私,是尊重人的个性、价值与尊严的思想与价值观高度发展的结果,具有固有的进步意义。

承认数据隐私权的经济学理由是:个人数据具有真正的价值,因此彩票游戏app有法律责任像对待其他资产一样,确保其安全性。数据所包含的经济价值使之成为可用于交易的商品。在今天,数据交易更是形成了完整的产业链,蕴含巨大的商业价值。我们在生活中经常遇到的定向广告表明,网络彩票游戏app很清楚消费者是谁、其兴趣何在。彩票游戏app收集这些信息时通常并没有得到消费者的明示同意。尽管这代表着一定的经济效率,既能降低信息不对称程度和交易成本,也便于为消费者提供量体裁衣的精确服务,但这也隐藏着危害消费者的可能性。而且原本属于消费者个人的信息成为了彩票游戏app盈利的途径,这也构成了某种利益分配的不公平。

隐私泄露造成的危害显而易见。例如在中国,近年来由此导致欺诈、网络霸凌的事件屡屡见诸报端。另一方面,公民的隐私权观念和自我保护意识也在逐渐觉醒和增强。这些都要求从法律层面对数据和隐私加以规范。

对每个个体而言,隐私数据泄露带来的危害大多是微小的、潜在的,个体也不会为了保护如此微弱的利益而采取行动,更何况个体也缺乏维权的相关知识与技巧。普通公众无法影响搜索引擎的显示结果,对于个人数据被盗窃和贩卖也无能为力。但另一方,强大的网络彩票游戏app及利益相关者可以利用从大众那里网罗的数据和信息经营谋利。鉴于这样的集体行动困境及双方力量的严重不对称性,由政府出台法律保护个体对其隐私数据的主导权,就具有法律上充分的合理性。

GDPR面对的争议

欧盟的GDPR尽管颇受关注,但并不意味着它是突兀的、全新的、刻意标新立异的。GDPR是对欧盟各国此前已经存在的数据保护法律的升级,是已有经验的浓缩和完善。目前全球至少有107个国家制定了隐私保护的立法,总体的监管环境趋向于严格,这是不可避免的大趋势。美国加利福尼亚州的消费者隐私法案(CCPA)也将在明年1月生效,它将把所有和加州居民有关的商业数据业务行为纳入监管范围,这是全球仿效GDPR的最新例子。

诸多民意调查显示:在欧美,多数民众对数据隐私高度关心。GDPR既不是无事生非,也不代表某种捣毁机器的“路德派”冲动,而是有较为精致的设计思路和制度安排,而且会在实践中不断完善。

有人指责欧洲因为采取了严苛的数据保护,才在与中美的网络经济竞争中落后。但这难以在逻辑上证明,欧盟缺乏强大的网络彩票游戏app是多种因素造成的结果。还有说法认为,GDPR是欧盟因为互联网产业发展不如美国才采取的无奈措施,是一种新形式的国家间商业竞争手段,是发达国家树立起的壁垒。这种说法也很偏颇,忽视了GDPR背后的民意基础,且因没有充足证据而更像是肤浅的阴谋论。更符合事实的理解是:GDPR是欧盟在为新时代的数字经济勾勒轮廓,意在把握未来的规则制定权,并对外辐射欧盟的制度能量。与欧盟做生意的他国彩票游戏app必须服从欧盟的规则,这就扩大了欧盟规范的全球约束效果。GDPR所引起的关注和仿效企图也是明证,例如,Facebook创始人扎克伯格、苹果CEO库克等彩票游戏app业名流都纷纷呼吁美国学习GDPR。

但另一方面,对GDPR的各种批评,如实施机制过于繁琐复杂、影响创新热情、增加彩票游戏app运营成本、降低商业活力等,也不一定全是别有用心、吹毛求疵。有统计表明,GDPR开始推行时,欧盟彩票游戏app彩票游戏app筹集到的风险投资大幅减少,每笔交易的平均融资规模比GDPR推行前的12个月减少了33%。也有民意调查显示,GDPR实施后,消费者表示对互联网彩票游戏app的信任程度降低。这说明GDPR对彩票游戏app信心和客户与彩票游戏app的互动关系都产生了一定的负面影响。同时,因为担忧法律风险、害怕遭到巨额处罚等原因,不少美国互联网彩票游戏app选择停止部分欧洲业务,直接关闭在欧洲的网站,或者禁止欧洲用户访问其网站。对这些负面影响不能视而不见,尤其是不能因隐私保护而使全球互联网变得各自为政、四分五裂,这需要理性权衡的智慧。

还必须注意的是,假如隐私保护制度的执行成本过高,隐私权可能有名无实。GDPR推行后,所有彩票游戏app在最初都会选择想方设法规避数据保护义务,而不是采取合规行为。GDPR会迫使彩票游戏app行为出现多大程度的改变,不仅取决于立法,也取决于公民维权行为展开的频率与效果,以及法院对各种实践中的具体问题的解释。

探索数据保护的边界

理论上,GDPR所意味的巨大合规成本的确可能令初创彩票游戏app望而却步,导致抑制创新的不良后果。但另一方面,不满负担加重的彩票游戏app制造舆论或发动游说的情况也可能出现。因此不能只听任何一方的一面之词,而必须客观考虑双方的诉求。无论如何,掌握并利用庞大数据的大彩票游戏app的出现,颠覆了传统的商业格局,以及彩票游戏app与消费者之间的力量对比关系。既然现实出现了革命性变化,也就需要像GDPR这样的新规则、新制度。尽管新的规则未必完美,但消费者利益保护的底线不断提高,乃是必然趋势。而且,这未必是一个零和游戏。就像最初也充满争议的劳工权利保护最终带来劳资两方的双赢一样,GDPR也可能最终服务于彩票游戏app和客户双方的利益。

如何确定数据保护的边界,这不仅是客观的经济学问题,也涉及利益冲突和权力斗争。GDPR必须在与质疑者的持续辩论之中完善自身体系,并争取到更多的支持。有时相关争议也未必是非黑即白,而可能是程度的把握问题,例如,是否要合理区分重要级别不同的隐私数据,针对性地设置消费者同意规则,界定消费者权利和彩票游戏app经营自由之间的边界,也都是GDPR未来需要考虑的。

对GDPR而言,实施一年半只是大远征走出了一小步。现在既不是庆贺成功的时候,也不是彻底否定它的时候。数据隐私保护机制需要在个人自由与尊严、创新和商业利益、国家安全等诸多关切之间达成平衡。这既需要政府发挥平衡作用,也要防止步入歧途,走向臃肿繁琐的官僚化,扼杀经济活力。显然,这不仅仅是GDPR面临的挑战,而是具有普遍意义的公共政策大课题。■