APP下载

GDPR将如何影响全球数字经济

2018-10-11中国人民大学金融科技与互联网安全研究中心副主任许可

网信军民融合 2018年6期
关键词:数据保护数字经济

◎中国人民大学金融科技与互联网安全研究中心副主任 许可

被称为史上最严的个人信息保护法——欧盟《通用数据保护条例》(GDPR)终于来了。

但如果只将其视为在信息科技迅速发展背景下,欧盟对欧洲公民人格尊严和人格自由的重申,未免小觑了它的意义。任何立法都不尽然是由理念推动,其背后往往有着更大现实考量。

正如GDPR第1条“主旨与目标”中“不得以保护自然人个人数据处理为由,限制或禁止个人数据在欧盟的自由流动”所表明的,欧盟绝非仅仅高举数据基本权利大旗的道德至上主义者,相反,它深知个人数据对于数字经济的关键作用。

因而,透过数字经济的棱镜,我们或许可以认识到GDPR的另一面。

数字经济的落后者

2016年,二十国集团(G20)在中国杭州发布《G20数字经济发展与合作倡议》,首次将“数字经济”列为G20创新增长蓝图中的重要议题。作为继农业经济、工业经济之后的一种新的经济社会发展形态,数字经济早已超出信息产业的藩篱,成为推动各领域数字转型,实现价值增值和效率提升的推动力。

鉴于此,无论是发达国家,还是发展中国家,均把数字经济转型视为重大的优先政策。

然而,在数字经济的世界版图上,各国的发展并不均衡。中国信通院《G20国家数字经济发展研究报告(2017)》显示:2016年,美国数字经济规模达到10.8万亿美元,在世界上遥遥领先;中国以3.4万亿美元的总量位居第二,日本、德国和英国分列第三至五位,其平均规模约为中国的一半。

中美两国在这波数字经济浪潮中的领先地位在科技企业的市值上得到鲜明体现。

2017年,全球市值前十的公司中有七家科技企业,其中,美国五家:苹果、微软、谷歌、Facebook、亚马逊,中国两家:阿里巴巴和腾讯。这一局势在各个细分领域更加显著。

联合国《2017世界投资报告——投资与数字经济》(World Investment Report 2017—Investment and the Digital Economy Report)梳理了网络平台、数字化解决方案、电子商务、数字内容、IT、电信设施等主要数字经济领域,发现全球的领导者或跟随者基本被中美两国的企业占据。

显然,较诸中美,欧洲在数字经济中暂时落后了。

欧盟影响数字经济格局的努力

事实上,欧盟很早就意识到数字经济的来临。早在1996年,为了激励数据产业的发展,欧盟理事会就签署了《关于数据库的法律保护的指令》,在全球首次赋予那些不受著作权法保护但又有实质性投资的数据库以特殊权利(sui generis right protection)。

但由于法律本身的模糊,该指令并未让欧盟数据产业蓬勃兴起,甚至到了2004年,欧盟数据产业的发展已经回落到1996年的水平。

在这一形势下,2015年,欧盟发布“欧洲单一数字市场战略”,以期在确保货物、人员、服务、资本、数据自由流动的前提下,个人和企业均能在公平竞争的条件下无缝访问和在线活动,从而促进欧盟数字经济发展并确保欧洲在全球数字经济中的地位。

欧盟认识到,作为这一战略的三大支柱,数字生产要素流动、基础设施建构和公共服务保障均不可或缺。

因此,欧盟在GDPR之外,另外打出一套组合拳,从2017年《关于非个人数据自由流动框架的提案》到2018年4月的《关于修订公共部门信息再利用指令的提案》《修订2012年访问和保存科学信息的建议》《基于公共利益由私营部门向公共部门分享数据的指导意见》,欧盟展示了建立数字单一市场的雄心。

正如因此,个人数据保护问题并非一个独立事件,它被统摄于欧盟数字经济的宏观架构中,共同服务于欧盟谋求数字经济领袖地位的总体布局。

GDPR的三种武器

GDPR有着双重效果:它一方面通过统一的个人数据保护立法和“一站式”执法,推动欧盟内部市场的一体化;另一方面通过域外效力搅动欧盟外的全球市场。

就后者来说,欧盟实际上是利用GDPR,向中美两国企业和政府开出了一道难以回答的选择题:要么让企业操作规程或国内法与GDPR保持一致,要么被5亿富有消费者的市场排除在外。

GDPR域外效力的落实有赖于三大杀器。

首先是“保护性管辖”,即GDPR以保护欧盟内自然人利益为宗旨,不论数据控制者或处理者在欧盟之内还是欧盟之外,也不论处理行为是在欧盟之内还是之外发生,均适用欧盟法律。保护管辖是GDPR对1995年欧盟《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(“95指令”)的主要调整之一,它突破了传统的“属地管辖”和“属人管辖”原则,大大拓展了欧盟的管辖范围。

事实上,在GDPR实施之前,欧盟已经在2014年Google Spain 诉AEPD及Mario Costeja案中表明了这一立场。在该案中,欧洲法院判定:即使个人数据的处理操作是谷歌公司在欧盟以外进行的,但由于谷歌母公司的经营活动与西班牙子公司的推广销售密不可分,谷歌仍然落入“95指令”的效力范围。

第二个武器是“数据跨境流动管控”。

与欧洲单一数字市场战略强制要求数据在欧盟内自由流动不同,GDPR以独立一章的篇幅对数据向欧盟外流动严加限制。一般而言,欧盟境内的个人数据只允许流入欧盟认为能够提供“充分保护”或“适当保障措施”的第三国。

这里的“充分性”标准包括该国的个人数据保护整体水平、数据流动现状,以及与欧盟的政治、贸易关系、秉持的价值观和目标等。目前来看,日本最有希望成为获得欧盟“充分性认定”的首个亚洲国家,而中国的可能性几乎为零。

因此,对于中国企业而言,只有通过“有约束力公司规则”(Binding Corporate Rules)或“标准合同条款”(Standard Contractual Clauses)等“适当保障措施”的途径,实现数据跨境传输。在此情形下,中国企业必须在数据传输、存储、加工的各个环节提供充分保障,否则将随时面临在欧盟境内被起诉或申诉的法律风险。

最后,无责任的法律,就如无牙齿的老虎。要想达到真正的威慑,GDPR必须备有强力的处罚措施。

对于违反GDPR的行为,GDPR设定了两档罚则:就违反隐私保护设计以及默认隐私保护、没有实施充分的IT安全保障措施、违反数据泄露通知要求等行为,处以1000万欧元或者上一年度全球营收的2%(以较高者为准);就违反数据处理原则、数据处理没有合法基础、违法同意要求、侵害数据主体的合法权利等行为,处以2000万欧元或者企业上一年度全球营业收入的4%(以较高者为准)。

显而易见,对于中美大型跨国公司,与全球营收挂钩的处罚称得上一刀见血。

GDPR的经济后果

随GDPR而来的,首先当然是企业合规成本的飙升。

Paul Hastings律师事务所调查了100家富时350指数公司和100家世界500强企业的总法律顾问和首席安全官,发现富时350指数公司平均将为GDPR增加43万英镑的支出,而世界500强企业更高达100万美元。

受影响的不只是大企业。虽然GDPR第30条第5款对雇员人数少于250人的企业或组织,给予了特别义务豁免,但其豁免的范围有限,同时规定了诸如“可能给数据主体的权利或自由带来风险”等模糊的豁免条件,小企业仍将面临非常不确定的执法,由此它们可能不得不费时费力,像大企业一样承担义务,这削弱了小企业豁免的立法功能并有损于初创公司的发展。

GDPR带来的不仅仅是合规成本,事实上,通过复杂的连锁反应,它将最终影响到整个数字经济。

对于人工智能产业,《终极算法》作者华盛顿大学教授Pedro Domingos在今年年初称:自5月25日起,欧盟将会要求所有算法解释其输出原理,这意味着深度学习即将非法。

虽然有学者认为这一说法系对GDPR的误读,但GDPR所要求的算法透明和负责及其导致的数据类型和数量下降,必将是人工智能必须面对的挑战。

对于区块链产业,其不可篡改性与GDPR赋予个人的更正权、删除权、被遗忘权直接冲突,多点记账和多方共识的设定使得每个节点都将承担苛刻的数据控制者义务,而这完全是不可能完成的任务。

对于科技金融产业,正如经济学家Jentzsch之前的研究所发现的,以金融隐私指数(Financial Privacy Index)为指标,美国的个人数据保护弱于欧盟,但美国的信贷获取比例高于欧盟各国。

GDRP的实施将进一步加剧个人获得信贷的难度。德勤会计师事务所估计:GDPR将令消费信贷下降19%,给GDP造成每年830亿欧元的损失并引发140万人失业。

对于“行为定向广告”(online behavioral advertising)行业,由于在GDPR下,用户的IP地址、Cookies和设备ID等个人数据的处理变得更加困难,利用个人数据进行营销的成本上升,整个产业将丧失32亿欧元的收入。根据德勤会计事务所的整体评估,仅就直销、广告、网页分析、信贷等四大产业来说,GDPR将直接或间接地导致1730亿欧元的GDP损失以及280亿元的就业损失。

容易想见,凭借GDPR的三种武器,这些不利经济后果中很大一部分将由欧盟外的数字经济大国负担。

事实上,其后果已显露端倪。在GDPR生效的第一天,谷歌和Facebook便因在分享用户数据方面涉嫌违规而面临诉讼,可能遭受总额分别为37亿欧元和39亿欧元的罚款。互联网女皇Mary Meeker在最新的互联网趋势报告中也警告说,GDPR对个人数据的管理权和控制权必将给创新带来阻碍。

在此背景下,中国更应清醒、全面地认识GDPR的意图和影响,一方面要保持数字经济优位的制度定力,不因GDPR是世界个人信息保护的最新潮流而率尔追随,另一方面要严肃慎重地对待欧盟执法,通过国际磋商和政治谈判,化解中国法律和GDPR的冲突,进而帮助中国企业在合理范围内遵守GDPR,实现企业发展和个人信息保护的平衡。

猜你喜欢

数据保护数字经济
“林下经济”助农增收
增加就业, 这些“经济”要关注
答数字
民营经济大有可为
TPP生物药品数据保护条款研究
数字看G20
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
药品试验数据保护对完善中药品种保护制度的启示
成双成对