• 许可 对外经济贸易大学数字经济与法律创新研究中心执行主任

流光容易把人抛。距离2018年5月25日欧盟《一般数据保护条例》(GDPR)生效,悄然走过了一年。可这一年绝不平静。不论是数据治理的微观场域,还是世界政经的宏大格局,均可谓波澜壮阔、风云诡谲。在一切坚固的事物都烟消云散、一切又远未定型的时刻,我们不妨回顾过往,再探前路。

一、GDPR实施的影响

GDPR在根本上改变了欧盟,乃至欧盟以外个人信息保护和数字经济的面貌。在这场剧烈变革中,个人、企业、国家均发生着深刻的变化。

(一)GDPR对成员国的影响

尽管GDPR可以直接适用于欧盟所有成员国,但它同样要求各成员国以将其转化为国内法。目前,除了希腊、斯洛文尼亚和葡萄牙,其余25个国家均通过不同形式将GDPR纳入既有法律体系之中,同时规定了本国数据保护局(DPA)的职权,包括但不限于发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款。

为保证欧盟整体数据保护规则的统一适用,促进各成员国数据保护监管机构之间的合作,欧盟数据保护委员会(EDPB)已发布六份指南(含征求意见稿),涉及GDPR适用地域、第42和43条下的认证及其标准、行为准则及其监督、履行合同所必需的数据处理以及数据跨境的例外情形等。此外,EDPB已经或正在就有约束力的公司准则、数据控制者与处理者间标准合同、进行数据保护影响评估的国家名单、金融监管机构个人数据传输、GDPR与《隐私与电子通讯指令》的互动等发布多份“一致性意见”(Consistency opinions)。

(二)GDPR对民众的影响

保护个人的基本权利是GDPR的初心。根据EDPB在2019年2月和5月发布的信息,欧盟各成员国的DPA处理案件20余万件,数据跨境案件446件,并收到至少14.4万次个人投诉和89271次数据泄露通知,开出罚款高达5600万欧元。

GDPR的实施让民众比之前更加关注他们的数据权利。数据显示,2015年,大约只有20%的人知道政府保护个人数据,而现在有57%的人了解到国家专设数据保护机构,提供个人数据权的缜密保障,有67%的人听说过GDPR这部法律。同时,向DPA咨询GDPR和提出申诉的人日益增多,非营利组织代表个人发起的申诉也开始出现。

(三)GDPR对企业的影响

合规成本是GDPR对企业最为直接的影响。国际隐私专业人协会(IAPP)的研究报告曾经预言,GDPR生效后,仅欧洲和美国就需要至少28,000个数据保护官(DPO),而全球其他地方为满足GDPR的要求,将创建多达75,000个DPO职位。截止目前,已有37.5家企业和其他组织设置了DPO。最近调查进一步显示,有50万家企业正在准备聘请DPO。为此,企业不得不为为此花费不菲的资金。而有些雇主可能会将DPO的职责分配给在职员工,这极大增加了员工工作量,可其福利却未必会同步提升。

除聘用DPO而付出的人力成本之外,在普华永道的调查中,受访者表示,超过77%的美国公司计划在GDPR准备和合规工作上分配100万美元或更多,其中68%的公司表示将投资100万至1000万美元,9%的公司预计花费超过1000万美元。而对于中小企业而言,GDPR的合规成本更加难以承受。德勤调查显示,在1000个受访的中小企业中,绝大多数保持观望态度,其中,54%对于GDPR规则极度困惑,以至于有人戏称GDPR为“律师充分就业法”(Lawyer full employment law)。

(四)GDPR对欧盟境外的影响

GDPR的长臂管辖权使其得以在欧盟境外保持着强大威慑。德勤在GDPR实施半年后的调查证实了这一点。在欧盟地域内,70%的被调查者增设了从事GDPR合规岗位,而欧盟境外的被调查者同样不敢掉以轻心,其比例仅仅落后1到2个百分点。

受到影响的绝不限于欧盟外的企业。随着GDPR的实施,欧盟以此为抓手向全球扩张其制度理念,并为世界个人信息保护法竖立新的标准。EDPB在5月份的报告中自豪宣称:“GDPR的原则正在向欧盟之外辐射。从智利到日本,从巴西到韩国,从阿根廷到肯尼亚,我们看到新的隐私法正在浮现,它立基于更强保障、可执行的个人权利和独立监管机构之上。”

二、对GDPR实施的批评与反思

GDPR的广泛影响充分显示其威力,但法律好不好,“关键看疗效”。我们有必要从法律、社会、经济各层面对之做出更全面的审视。

(一)GDPR执法的不足

GDPR实施后,众多监管机构实现了权力的扩张和身份的转变,与以往被动的执法模式不同,后GDPR时代的DPA倾向于积极主动的履行职能,监督其管辖范围内机构的数据保护情况,即使尚未出现数据泄露等安全隐患。这种执法模式和“警告、申诫、要求数据控制者、处理者改正、要求对个人数据予以更正或删除”等矫正权相结合,大大增加了政府介入企业经营的深度和广度,从而引发人们的忧虑。

不仅如此,尽管GDPR列明了罚款的考量因素,实践中也很难作出合理且有效的处罚。在欧盟开出的5600万欧元罚单中,谷歌以5000万欧元独占90%,而绝大多数欧盟公司并未因违反GDPR数据而处罚,即便处罚,其罚款也非常轻微。这种不均衡在不同国家间体现的更加鲜明。尽管有EDPB的协调和监督,鉴于各国执法路径与社会文化的不同,各成员的数据保护执法水平参差不齐的现状短期内很难得到改善,最终导致GDPR“统一规则和执法统一”沦为具文。法国CNIL对谷歌的处罚案便是绝佳例证。

2019年1月21日,CNIL对谷歌作出了GDPR下至今最高额的罚款处罚——5千万欧元。CNIL的处罚决定理由主要基于两方面,一是谷歌违反了GDPR第12和13条规定的透明性义务,二是谷歌以广告定向投放为目的处理个人数据缺乏法律基础,即未获得数据主体的有效同意。在该案中,尽管谷歌公司坚持其爱尔兰公司(Google Ireland Limited)是其主营业地,在“一站式”管辖规则下,爱尔兰数据保护监管机关才是适格的监管机关,而非法国的CNIL。但是,CNIL认为,谷歌在欧盟内没有主营业机构,因为美国的谷歌总部(Google LLC)拥有对安卓及谷歌账号相关数据的处理决策权。CNIL进一步指出:既然谷歌在欧盟境内没有主营业机构,那么欧盟境内任一谷歌营业机构所在地的监管机关,均对Google LLC拥有执法管辖权。这种对“主营业地”的狭义解释可能架空了“一站式”执法要求,因为对总部不在欧盟的跨国企业来说,其决策权不太可能在欧盟境内,因此不得不面对多个监管机关的分散式执法。

(二)GDPR实施未必有利于企业和用户建立信任

信任是数字经济的货币,GDPR意图建立一个强大且面向未来的监管框架,以保证消费者和企业增强信心和相互信任,从而为欧洲铺平数字时代的道路。为此,GDPR大幅提升了数据主体对个人数据的控制力和权利认知。而正如行为经济学的“禀赋理论”所指出的,一旦人们先入为主地认定个人数据属于自己,他们会为此赋予更高的价值。同时,由于每个人都厌恶损失,“避害”的威胁远大于“趋利”的考虑,因此,当企业提出数据收集和使用要求时,人们往往更不愿意达成交易。在此背景下,数据与其权利人之间更有粘性,用经济学的话来说,初始的权利配置直接决定了最终的资源分配,结果,数据并不会流向更能创造价值的地方。须知,数据如流水,静止的数据必然是一潭死水。

更严重的是,鉴于技术架构下天然的信息不对称,个人数据权利的增强可能加剧了用户对企业的不信任。由此,人们或者只信任大企业:GDPR生效后不久,谷歌成功增加了其在线广告市场的份额,这是因为它以高于同行的速度获得用户对定向行为广告的明确同意;或者人们对所有企业普遍不信任,特别是各成员国DPA对跨国科技公司频频处罚之后。不论结局如何,对于数字经济绝非福音。

(三)GDPR实施对数字经济的不利后果

之前的研究已揭示出GDPR可能损及互联网成熟业态、新兴产业和经济创新,GPDR实施后,这一预测逐渐得以证实。2018年5月以来,许多广告交易平台及其他广告发布商的欧洲广告需求量下降了25%到40%,一些美国广告发布商已暂停其欧洲网站上的所有程序化广告。另据路透社新闻研究所2018年8月发布的报告,GDPR实施后,一系列欧洲新闻网站上第三方提供内容和cookie的普及程度下降。StrandConsult的报告也认为,GDPR会对欧洲5G网络开发和服务公司的价值链产生负面影响,使欧盟在移动通信方面继续落后于美国和中国。并且,GDPR严格的数据收集和使用限制,也可能会阻碍云计算、区块链、人工智能等新兴产业的发展。

2018年11月,美国国家经济研究局发布GDPR对科技创业投资短期影响的报告,认为GDPR将对风险投资交易数量、交易规模以及投资总额产生显著负面影响,尤其是从天使转向风险资本的新兴企业可能受影响最大。根据该报告,从2017年7月至2018年9月,GDPR导致很多担心法律风险的企业宣布停止欧洲服务,造成中小企业陷入融资困境,降低欧洲市场活跃度,交易数量和私募资金数量明显下降(分别减少了17%和40%),在短期内削弱了欧盟数字经济的竞争力。

三、中国能从GDPR实施中学到什么?

在我国制定《个人信息保护法》的关口,GDPR不啻于一枚宝贵的他山之石。从GDPR实施的经验和教训中,我们可以得到这么一些启示:

第一,在个人信息上不宜设定一项由个人支配和控制的权利。个人信息弥散在人类所有社会交往和日常交易空间,法律须根据不同的生活场景和商业领域,因地制宜地予以调整。GDPR对个人信息绝对化的权利定位,丧失了应有的灵活性,使得后续的权利限制和克减困难重重。

第二,信任的建立有赖于“零和博弈”向“正和博弈”的思维转换。信任至关重要,但信任始终是双方的事业。GDPR试图通过“用户赋权—企业担责”的单向路径实现信任,忽略了在激烈市场竞争下用户和企业共赢的可能性。正如管理学大师德鲁克所言:“关于企业的目的,唯一正确而有效的定义就是创造客户。”获得客户的信任同样是企业念兹在兹的目标。因此,法律如何从正面激励企业尊重用户对个人信息的权益,还需要更深入的研究和更多的制度想象力。事实上,无论是商业模式还是科技进步,既是个人信息的加害者,也是个人信息的保护者。为此,我们不妨通过鼓励企业创新,积极开拓区块链、多方安全计算等新的技术架构,达成个人信息保护与数据利用的动态平衡。

第三,行政规制对于个人信息保护必不可少,但“空有善意,只会铺向地狱之路”。如何为相对人提供程序保障,限制行政行为的恣意,保证规制措施的一致性和公允性,从而为社会大众奠定一个可预期的操作架构,无疑是比《个人信息保护法》立法更艰巨的任务。

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。