◎中國人民大學金融科技與互聯(lián)網(wǎng)安全研究中心副主任 許可

被稱為史上最嚴的個人信息保護法——歐盟《通用數(shù)據(jù)保護條例》（GDPR）終于來了。

但如果只將其視為在信息科技迅速發(fā)展背景下，歐盟對歐洲公民人格尊嚴和人格自由的重申，未免小覷了它的意義。任何立法都不盡然是由理念推動，其背后往往有著更大現(xiàn)實考量。

正如GDPR第1條“主旨與目標”中“不得以保護自然人個人數(shù)據(jù)處理為由，限制或禁止個人數(shù)據(jù)在歐盟的自由流動”所表明的，歐盟絕非僅僅高舉數(shù)據(jù)基本權利大旗的道德至上主義者，相反，它深知個人數(shù)據(jù)對于數(shù)字經(jīng)濟的關鍵作用。

因而，透過數(shù)字經(jīng)濟的棱鏡，我們或許可以認識到GDPR的另一面。

數(shù)字經(jīng)濟的落后者

2016年，二十國集團（G20）在中國杭州發(fā)布《G20數(shù)字經(jīng)濟發(fā)展與合作倡議》，首次將“數(shù)字經(jīng)濟”列為G20創(chuàng)新增長藍圖中的重要議題。作為繼農(nóng)業(yè)經(jīng)濟、工業(yè)經(jīng)濟之后的一種新的經(jīng)濟社會發(fā)展形態(tài)，數(shù)字經(jīng)濟早已超出信息產(chǎn)業(yè)的藩籬，成為推動各領域數(shù)字轉(zhuǎn)型，實現(xiàn)價值增值和效率提升的推動力。

鑒于此，無論是發(fā)達國家，還是發(fā)展中國家，均把數(shù)字經(jīng)濟轉(zhuǎn)型視為重大的優(yōu)先政策。

然而，在數(shù)字經(jīng)濟的世界版圖上，各國的發(fā)展并不均衡。中國信通院《G20國家數(shù)字經(jīng)濟發(fā)展研究報告（2017）》顯示：2016年，美國數(shù)字經(jīng)濟規(guī)模達到10.8萬億美元，在世界上遙遙領先；中國以3.4萬億美元的總量位居第二，日本、德國和英國分列第三至五位，其平均規(guī)模約為中國的一半。

中美兩國在這波數(shù)字經(jīng)濟浪潮中的領先地位在科技企業(yè)的市值上得到鮮明體現(xiàn)。

2017年，全球市值前十的公司中有七家科技企業(yè)，其中，美國五家：蘋果、微軟、谷歌、Facebook、亞馬遜，中國兩家：阿里巴巴和騰訊。這一局勢在各個細分領域更加顯著。

聯(lián)合國《2017世界投資報告——投資與數(shù)字經(jīng)濟》（World Investment Report 2017—Investment and the Digital Economy Report）梳理了網(wǎng)絡平臺、數(shù)字化解決方案、電子商務、數(shù)字內(nèi)容、IT、電信設施等主要數(shù)字經(jīng)濟領域，發(fā)現(xiàn)全球的領導者或跟隨者基本被中美兩國的企業(yè)占據(jù)。

顯然，較諸中美，歐洲在數(shù)字經(jīng)濟中暫時落后了。

歐盟影響數(shù)字經(jīng)濟格局的努力

事實上，歐盟很早就意識到數(shù)字經(jīng)濟的來臨。早在1996年，為了激勵數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，歐盟理事會就簽署了《關于數(shù)據(jù)庫的法律保護的指令》，在全球首次賦予那些不受著作權法保護但又有實質(zhì)性投資的數(shù)據(jù)庫以特殊權利(sui generis right protection)。

但由于法律本身的模糊，該指令并未讓歐盟數(shù)據(jù)產(chǎn)業(yè)蓬勃興起，甚至到了2004年，歐盟數(shù)據(jù)產(chǎn)業(yè)的發(fā)展已經(jīng)回落到1996年的水平。

在這一形勢下，2015年，歐盟發(fā)布“歐洲單一數(shù)字市場戰(zhàn)略”，以期在確保貨物、人員、服務、資本、數(shù)據(jù)自由流動的前提下，個人和企業(yè)均能在公平競爭的條件下無縫訪問和在線活動，從而促進歐盟數(shù)字經(jīng)濟發(fā)展并確保歐洲在全球數(shù)字經(jīng)濟中的地位。

歐盟認識到，作為這一戰(zhàn)略的三大支柱，數(shù)字生產(chǎn)要素流動、基礎設施建構和公共服務保障均不可或缺。

因此，歐盟在GDPR之外，另外打出一套組合拳，從2017年《關于非個人數(shù)據(jù)自由流動框架的提案》到2018年4月的《關于修訂公共部門信息再利用指令的提案》《修訂2012年訪問和保存科學信息的建議》《基于公共利益由私營部門向公共部門分享數(shù)據(jù)的指導意見》，歐盟展示了建立數(shù)字單一市場的雄心。

正如因此，個人數(shù)據(jù)保護問題并非一個獨立事件，它被統(tǒng)攝于歐盟數(shù)字經(jīng)濟的宏觀架構中，共同服務于歐盟謀求數(shù)字經(jīng)濟領袖地位的總體布局。

GDPR的三種武器

GDPR有著雙重效果：它一方面通過統(tǒng)一的個人數(shù)據(jù)保護立法和“一站式”執(zhí)法，推動歐盟內(nèi)部市場的一體化；另一方面通過域外效力攪動歐盟外的全球市場。

就后者來說，歐盟實際上是利用GDPR，向中美兩國企業(yè)和政府開出了一道難以回答的選擇題：要么讓企業(yè)操作規(guī)程或國內(nèi)法與GDPR保持一致，要么被5億富有消費者的市場排除在外。

GDPR域外效力的落實有賴于三大殺器。

首先是“保護性管轄”，即GDPR以保護歐盟內(nèi)自然人利益為宗旨，不論數(shù)據(jù)控制者或處理者在歐盟之內(nèi)還是歐盟之外，也不論處理行為是在歐盟之內(nèi)還是之外發(fā)生，均適用歐盟法律。保護管轄是GDPR對1995年歐盟《第95/46/EC號保護個人在數(shù)據(jù)處理和自動移動中權利的指令》（“95指令”）的主要調(diào)整之一，它突破了傳統(tǒng)的“屬地管轄”和“屬人管轄”原則，大大拓展了歐盟的管轄范圍。

事實上，在GDPR實施之前，歐盟已經(jīng)在2014年Google Spain 訴AEPD及Mario Costeja案中表明了這一立場。在該案中，歐洲法院判定：即使個人數(shù)據(jù)的處理操作是谷歌公司在歐盟以外進行的，但由于谷歌母公司的經(jīng)營活動與西班牙子公司的推廣銷售密不可分，谷歌仍然落入“95指令”的效力范圍。

第二個武器是“數(shù)據(jù)跨境流動管控”。

與歐洲單一數(shù)字市場戰(zhàn)略強制要求數(shù)據(jù)在歐盟內(nèi)自由流動不同，GDPR以獨立一章的篇幅對數(shù)據(jù)向歐盟外流動嚴加限制。一般而言，歐盟境內(nèi)的個人數(shù)據(jù)只允許流入歐盟認為能夠提供“充分保護”或“適當保障措施”的第三國。

這里的“充分性”標準包括該國的個人數(shù)據(jù)保護整體水平、數(shù)據(jù)流動現(xiàn)狀，以及與歐盟的政治、貿(mào)易關系、秉持的價值觀和目標等。目前來看，日本最有希望成為獲得歐盟“充分性認定”的首個亞洲國家，而中國的可能性幾乎為零。

因此，對于中國企業(yè)而言，只有通過“有約束力公司規(guī)則”（Binding Corporate Rules）或“標準合同條款”（Standard Contractual Clauses）等“適當保障措施”的途徑，實現(xiàn)數(shù)據(jù)跨境傳輸。在此情形下，中國企業(yè)必須在數(shù)據(jù)傳輸、存儲、加工的各個環(huán)節(jié)提供充分保障，否則將隨時面臨在歐盟境內(nèi)被起訴或申訴的法律風險。

最后，無責任的法律，就如無牙齒的老虎。要想達到真正的威懾，GDPR必須備有強力的處罰措施。

對于違反GDPR的行為，GDPR設定了兩檔罰則：就違反隱私保護設計以及默認隱私保護、沒有實施充分的IT安全保障措施、違反數(shù)據(jù)泄露通知要求等行為，處以1000萬歐元或者上一年度全球營收的2%（以較高者為準）；就違反數(shù)據(jù)處理原則、數(shù)據(jù)處理沒有合法基礎、違法同意要求、侵害數(shù)據(jù)主體的合法權利等行為，處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%（以較高者為準）。

顯而易見，對于中美大型跨國公司，與全球營收掛鉤的處罰稱得上一刀見血。

GDPR的經(jīng)濟后果

隨GDPR而來的，首先當然是企業(yè)合規(guī)成本的飆升。

Paul Hastings律師事務所調(diào)查了100家富時350指數(shù)公司和100家世界500強企業(yè)的總法律顧問和首席安全官，發(fā)現(xiàn)富時350指數(shù)公司平均將為GDPR增加43萬英鎊的支出，而世界500強企業(yè)更高達100萬美元。

受影響的不只是大企業(yè)。雖然GDPR第30條第5款對雇員人數(shù)少于250人的企業(yè)或組織，給予了特別義務豁免，但其豁免的范圍有限，同時規(guī)定了諸如“可能給數(shù)據(jù)主體的權利或自由帶來風險”等模糊的豁免條件，小企業(yè)仍將面臨非常不確定的執(zhí)法，由此它們可能不得不費時費力，像大企業(yè)一樣承擔義務，這削弱了小企業(yè)豁免的立法功能并有損于初創(chuàng)公司的發(fā)展。

GDPR帶來的不僅僅是合規(guī)成本，事實上，通過復雜的連鎖反應，它將最終影響到整個數(shù)字經(jīng)濟。

對于人工智能產(chǎn)業(yè)，《終極算法》作者華盛頓大學教授Pedro Domingos在今年年初稱：自5月25日起，歐盟將會要求所有算法解釋其輸出原理，這意味著深度學習即將非法。

雖然有學者認為這一說法系對GDPR的誤讀，但GDPR所要求的算法透明和負責及其導致的數(shù)據(jù)類型和數(shù)量下降，必將是人工智能必須面對的挑戰(zhàn)。

對于區(qū)塊鏈產(chǎn)業(yè)，其不可篡改性與GDPR賦予個人的更正權、刪除權、被遺忘權直接沖突，多點記賬和多方共識的設定使得每個節(jié)點都將承擔苛刻的數(shù)據(jù)控制者義務，而這完全是不可能完成的任務。

對于科技金融產(chǎn)業(yè)，正如經(jīng)濟學家Jentzsch之前的研究所發(fā)現(xiàn)的，以金融隱私指數(shù)（Financial Privacy Index）為指標，美國的個人數(shù)據(jù)保護弱于歐盟，但美國的信貸獲取比例高于歐盟各國。

GDRP的實施將進一步加劇個人獲得信貸的難度。德勤會計師事務所估計：GDPR將令消費信貸下降19%，給GDP造成每年830億歐元的損失并引發(fā)140萬人失業(yè)。

對于“行為定向廣告”（online behavioral advertising）行業(yè)，由于在GDPR下，用戶的IP地址、Cookies和設備ID等個人數(shù)據(jù)的處理變得更加困難，利用個人數(shù)據(jù)進行營銷的成本上升，整個產(chǎn)業(yè)將喪失32億歐元的收入。根據(jù)德勤會計事務所的整體評估，僅就直銷、廣告、網(wǎng)頁分析、信貸等四大產(chǎn)業(yè)來說，GDPR將直接或間接地導致1730億歐元的GDP損失以及280億元的就業(yè)損失。

容易想見，憑借GDPR的三種武器，這些不利經(jīng)濟后果中很大一部分將由歐盟外的數(shù)字經(jīng)濟大國負擔。

事實上，其后果已顯露端倪。在GDPR生效的第一天，谷歌和Facebook便因在分享用戶數(shù)據(jù)方面涉嫌違規(guī)而面臨訴訟，可能遭受總額分別為37億歐元和39億歐元的罰款。互聯(lián)網(wǎng)女皇Mary Meeker在最新的互聯(lián)網(wǎng)趨勢報告中也警告說，GDPR對個人數(shù)據(jù)的管理權和控制權必將給創(chuàng)新帶來阻礙。

在此背景下，中國更應清醒、全面地認識GDPR的意圖和影響，一方面要保持數(shù)字經(jīng)濟優(yōu)位的制度定力，不因GDPR是世界個人信息保護的最新潮流而率爾追隨，另一方面要嚴肅慎重地對待歐盟執(zhí)法，通過國際磋商和政治談判，化解中國法律和GDPR的沖突，進而幫助中國企業(yè)在合理范圍內(nèi)遵守GDPR，實現(xiàn)企業(yè)發(fā)展和個人信息保護的平衡。