毫无疑问,《欧盟通用数据保护条例》(GDPR)堪称有史以来最严苛的针对数字经济环境下个人数据保护的专门立法,没有之一。自GDPR通过以来,对于它可能给互联网企业和数字经济带来的影响,西方社会也一直都在评估。从25日开始,这一条例将正式开始实施。从目前来看,对GDPR至少有以下四个问题值得我们关注。
欧盟的“私心”
加强隐私权和个人数据保护,显然是人类的共同价值观。因此,GDPR无疑站在了道德的制高点上。但是,国与国之间的投资与贸易利益冲突,显然不会因某项共同的价值观而消弭。西方世界早就有人指出,GDPR的通过主要是针对谷歌、脸书等几个美国互联网大企业的。数字经济市场是21世纪国际竞争的主战场,在数字经济领域,欧盟显然已经落后几个身位。尤其是在语言和文化方面同源的美国企业,对欧盟市场的挤压更为明显。目前来看,虽然欧盟对谷歌、亚马逊、脸书等美国互联网企业开展了积极的竞争执法,但是,显然并不伤其筋骨。数据是互联网企业的“石油”,如果在数据方面能卡住这些大企业的脖子,就能起到釜底抽薪之效。近两年,随着我国互联网产业蓬勃发展和“一带一路”倡议、“走出去”战略的实施,中国互联网企业在欧洲的商业存在越来越多。欧盟负责个人数据保护的官员也曾明确说,中国的互联网大企业都是他们执法的潜在目标。
是否会遏制创新
法经济学研究表明,法律责任过轻会导致违法成本低于违法收益,从而起不到威慑和预防违法的作用;但是,法律责任也绝对不是越重越好,畸重的法律责任将导致威慑过度。相对于潜在的个人数据滥用风险而言,GDPR加给企业的责任负担明显畸重。面对重罚和严苛的归责,企业为了自身安全可能会理性地选择放弃相关的业务创新。西方的一项调查显示,计算机信息系统安全领域中,大部分业者和专家都担心GDPR会阻碍创新,导致企业对云计算等数字经济基础设施和技术感到紧张。尤其是在归责方面,GDPR非常严苛,采用近似于客观归责的原则,即使相关企业对于数据泄露没有过错,也可能受到重罚。这使得提供数字服务可能成为一种高危行业,因此会极大抑制本领域的技术和商业模式创新。
破坏市场生态
GDPR无疑将极大增加所有相关企业的合规成本,但是对中小企业尤甚。由于中小企业在技术、法律能力等方面的局限,它们在GDPR面前更为脆弱。无论是违法成本(高额罚款)还是为了避免违法付出的合规成本,相对于有限的盈利而言,都是不成比例的。因此,面对GDPR的威胁,一些中小企业注定要面临退出市场的厄运。一些西方人士指出,欧盟制定GDPR的初衷是限制谷歌、脸书、优步这些他们所憎恨的大企业,但是,结果可能是大量中小企业“躺枪”。因为大企业凭借其雄厚的资金和技术实力可以最终克服一时的困难,而对于广大中小企业来说,它们面临的则是生存危机。
寻求多种价值目标的平衡
个人数据保护、创新、效率乃至安全等,都是数字经济健康发展的价值目标,任何制度设计都必须寻求几种价值目标之间的平衡,不可只顾一点、不计其余。过于激进的规则和措施,要么会窒息整个产业,要么会沦为一纸具文。近几年,中国数字产业的蓬勃发展在创造就业、方便居民生活等方面做出了巨大贡献。同时,在个人数据保护方面,整个产业也在发展中不断规范。但是,从GDPR合规的角度来看,它对中国涉欧企业无疑提出了巨大的挑战,进而可能影响中国数字企业的全球竞争力和中欧经贸关系。在法律应对方面,我们一方面在国内法上,要结合我国实际情况,稳住节奏,推进数字产业规范发展和个人数据保护立法工作。珍惜我们数字产业多年来快速发展创造的成果,兼顾个人数据保护、创新、效率和安全几个价值目标,绝不能以牺牲创新、发展和消费者福利为代价设计畸形僵硬的个人数据保护制度。在国际法层面上,要积极寻求与欧盟执法机构之间的沟通与合作,正视不同国家和地区间的法律冲突,并通过公认的国际法规则予以解决。
原文发布时间为:2018-06-6
本文作者:吴韬