2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式开始实施。国内坊间集中关注法条通译和简明解释,或者是理论设想中的用户权益保障或企业合规方式。但是,根据笔者对近期全球企业应对GDPR的具体举措和欧盟相关实践状况的观察,GDPR的实际效用颇为有限,甚至可以推测在很长一段时间内不能发挥出预想中保障用户数据权益、欧盟数据主权和提振本土数字经济的作用。
首先,GDPR对跨境互联网巨头企业的规制作用较为有限。最初设想中,这部“史上最严的隐私数据保护条例”将通过用户“明确同意”、“被遗忘权利”、“数据使用知情权”等条款强有力地规制美国谷歌、脸书公司等在欧洲地区的数据收集、存储和使用。然而,目前不少企业更新的隐私条款采用隐性的“同意或退出”的强迫选择方式要求用户广泛、明确地进行授权。(虽然数个隐私权倡导组织已经将针对Google、Facebook、WhatsApp和Instagram的投诉分别提交到法国、比利时和奥地利的监管机构。但是,姑且不论结果,整个过程必然漫漫无期。)
同时,当前国际互联网巨头企业的数据安全防护与数据去真处理的技术和程序普遍较为完善。此前在数据收集和使用上暴露出的问题常常是因为“忘记”写入隐私条款,而不是用户特别重视数据隐私。(调查显示,美国居民中迄今尚有半数不知道数据隐私;而针对此次GDPR引发的全球企业隐私政策更新风潮的调查显示,95%的人在没有阅读的情况下点击“同意”)。GDPR不过是促使这些企业通过冗长的隐私政策将可能违反GDPR规定的内容事无巨细地逐项写入,进而分门别类地、轻而易举地取得用户的“明确同意”,顺理成章地履行了合规义务。
其次,GDPR对用户数据权益保障较为有限。对用户而言,GDPR使其可以要求企业提供(或授权下载)所有个人数据,享有要求企业告知数据“由谁处理、作何用途”的权利,以及数据泄露72小时内接获通知的权利等等。问题在于,虽然GDPR要求企业隐私政策使用“清晰而平实”的语言,但目前所见的大量更新条文冗长复杂、包罗万象,并非普通用户可以直观理解,且阅读长文耗时耗力。这种即便从企业获得个人数据和数据使用状况说明、还需要专家解读的形式意义上的高透明度,对于绝大多数用户意义不大,导致了仅有5%的用户阅读了巨头企业近期更新的隐私政策。
再次,GDPR难以发挥推动本土数字经济增长的作用。欧盟居民的日常生活长期依赖海外互联网产品供给,Google、Amazon、Facebook等垄断问题严重,既威胁区域数据主权、数据产权和数据隐私安全,也制约了本土企业有序成长。理论设想中,GDPR配合欧盟的《数字化单一市场战略》及其附件,能够有力支撑欧盟数字经济攀登全球顶峰。但是,实施前后各方动作显示,实力雄厚的国际互联网巨头企业正在按部就班地推进合规工作。海外受到巨大波及、甚至暂停欧洲区服务的大多为娱乐社交类中小企业、大量知名的新闻网站和阅读辅助工具等,如loadout、tunngle、Instapaper。相反,欧盟内的绝大多数互联网企业规模较小,受到较大影响。事实上,超大型跨国企业的合规能力和合规成本都低于中小初创企业。目前来看,GDPR提振用户数据参与信心的作用有限(绝大多数人不关心),也未能妥善发挥扶持本土企业发展的间接作用。
据此,在GDPR落地实施的过程中,亟待对隐私政策条款“清晰而平实”的表达方式进行细化规定;对“同意或退出”的隐性强制进行广泛梳理;对企业在使用用户数据中保持公平、公正、公开的连贯性做法进行全面的技术规范(尤其是避免各种潜在歧视)。这些也是笔者目前推测的GDPR解释条款的进一步发展方向。
原文发布时间为:2018-05-28
本文作者:蒋洁