關於GDPR 實效有限的4個觀點

文 | 蔣潔南京信息工程大學法政學院副教授

2018年5月25日，歐盟《通用數據保護條例》(General Data Protection Regulation,GDPR）正式開始實施。國內坊間集中關注法條通譯和簡明解釋，或者是理論設想中的用戶權益保障或企業合規方式。但是，根據筆者對近期全球企業應對GDPR的具體舉措和歐盟相關實踐狀況的觀察，GDPR的實際效用頗為有限，甚至可以推測在很長一段時間內不能發揮出預想中保障用戶數據權益、歐盟數據主權和提振本土數字經濟的作用。

首先，GDPR對跨境互聯網巨頭企業的規製作用較為有限。最初設想中，這部「史上最嚴的隱私數據保護條例」將通過用戶「明確同意」、「被遺忘權利」、「數據使用知情權」等條款強有力地規制美國谷歌、臉書公司等在歐洲地區的數據收集、存儲和使用。然而，目前不少企業更新的隱私條款採用隱性的「同意或退出」的強迫選擇方式要求用戶廣泛、明確地進行授權。（雖然數個隱私權倡導組織已經將針對Google、Facebook、WhatsApp和Instagram的投訴分別提交到法國、比利時和奧地利的監管機構。但是，姑且不論結果，整個過程必然漫漫無期。）

同時，當前國際互聯網巨頭企業的數據安全防護與數據去真處理的技術和程序普遍較為完善。此前在數據收集和使用上暴露出的問題常常是因為「忘記」寫入隱私條款，而不是用戶特別重視數據隱私。（調查顯示，美國居民中迄今尚有半數不知道數據隱私；而針對此次GDPR引發的全球企業隱私政策更新風潮的調查顯示，95%的人在沒有閱讀的情況下點擊「同意」）。GDPR不過是促使這些企業通過冗長的隱私政策將可能違反GDPR規定的內容事無巨細地逐項寫入，進而分門別類地、輕而易舉地取得用戶的「明確同意」，順理成章地履行了合規義務。

其次，GDPR對用戶數據權益保障較為有限。對用戶而言，GDPR使其可以要求企業提供（或授權下載）所有個人數據，享有要求企業告知數據「由誰處理、作何用途」的權利，以及數據泄露72小時內接獲通知的權利等等。問題在於，雖然GDPR要求企業隱私政策使用「清晰而平實」的語言，但目前所見的大量更新條文冗長複雜、包羅萬象，並非普通用戶可以直觀理解，且閱讀長文耗時耗力。這種即便從企業獲得個人數據和數據使用狀況說明、還需要專家解讀的形式意義上的高透明度，對於絕大多數用戶意義不大，導致了僅有5%的用戶閱讀了巨頭企業近期更新的隱私政策。

再次，GDPR難以發揮推動本土數字經濟增長的作用。歐盟居民的日常生活長期依賴海外互聯網產品供給，Google、Amazon、Facebook等壟斷問題嚴重，既威脅區域數據主權、數據產權和數據隱私安全，也制約了本土企業有序成長。理論設想中，GDPR配合歐盟的《數字化單一市場戰略》及其附件，能夠有力支撐歐盟數字經濟攀登全球頂峰。但是，實施前後各方動作顯示，實力雄厚的國際互聯網巨頭企業正在按部就班地推進合規工作。海外受到巨大波及、甚至暫停歐洲區服務的大多為娛樂社交類中小企業、大量知名的新聞網站和閱讀輔助工具等，如loadout、tunngle、Instapaper。相反，歐盟內的絕大多數互聯網企業規模較小，受到較大影響。事實上，超大型跨國企業的合規能力和合規成本都低於中小初創企業。目前來看，GDPR提振用戶數據參與信心的作用有限(絕大多數人不關心)，也未能妥善發揮扶持本土企業發展的間接作用。

據此，在GDPR落地實施的過程中，亟待對隱私政策條款「清晰而平實」的表達方式進行細化規定；對「同意或退出」的隱性強制進行廣泛梳理；對企業在使用用戶數據中保持公平、公正、公開的連貫性做法進行全面的技術規範（尤其是避免各種潛在歧視）。這些也是筆者目前推測的GDPR解釋條款的進一步發展方向。

DT時代 共創新知

長按下方二維碼關注阿里研究院

在這裡讀懂未來

阿里研究院微信公眾號：aliresearch

歡迎投稿：aliBR@alibaba-inc.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！