方兴东:数据保护无法实现“群体免疫”
2020-06-29 10:03:17
  • 0
  • 0
  • 2
  • 0

首发2020年6月29日《环球时报》

欧盟委员会近日向欧洲议会和欧盟理事会提交了《通用数据保护条例》(GDPR)实施两年来的评估报告。英国《金融时报》透露,报告认为生效已两年的GDPR被证明难以实施,而且给中小企业和那些开发新技术的企业带来特别沉重的负担。

实施两年来,GDPR触动利益最大的就是互联网企业,尤其是掌握最多个人数据的超级互联网平台,它们当然希望以最低制度门槛、最低成本、最大限度地收集与垄断个人信息和数据,并且可以不受限制进行开发和运用。其对GDPR有所指摘也不奇怪。

作为互联网诞生半个世纪以来最重要、最具有里程碑意义的制度建设,GDPR涉及问题之复杂、触动利益之大、影响之深远前所未有。期望它两年时间内就立竿见影、完美无缺肯定不现实。站在局外人的角度看,GDPR两年来的进展和影响其实足以给人留下深刻印象。尽管触动了互联网企业的重大利益,但全球主要互联网公司和跨国企业都及时加入GDPR合规的政策调整,并作为全球范围统一、公平不歧视的数据报告标准。美国、中国、印度等世界主要国家的数据保护立法都以GDPR为基本框架。无论是框架还是细则,包括新冠疫情期间的实施细则,GDPR亮点要点突出,很大程度上弥补了欧洲过去在互联网领域发展不力的局面,形成了各有所长、优势互补的中美欧三足鼎立之势。

虽然名义上只着眼欧洲本土,针对欧洲公民,GDPR却直接影响所有互联网平台,间接影响全球网民。GDPR堪称一部网民的“独立宣言”,第一次通过数据保护制度确立了网民在网络空间的基本权益,确立了网民对自己所属数据的主导权。它在互联网迅猛发展的今天,对互联网企业、政府与社会民众之间越来越失衡的权力作了再平衡,为遏制全球网络空间数据滥用的趋势,结束个人信息和隐私保护的失控状态,及时提供了关键的法律制度。同时,GDPR缓解了信息技术对社会不断加剧的威胁和冲击,对于即将到来的人工智能驱动整个社会的智能化转型是很好的制度保障。

两年以来,围绕GDPR,国内有一些观点认为加强数据保护将会妨碍创新,其潜台词是欧洲互联网之所以落后于美国和中国,注重保护是最主要原因之一。实际上欧洲长期重视制度建设,在包括网络治理领域的多利益相关方模式、信息遗忘权、反垄断以及最近欧美正在交火的数字税等方面,其位置都是全球公认。欧洲互联网发展的滞后,根本上还是由欧洲市场的碎片化特性决定的。但是,产业还在快速演变之中,欧洲过去的发展劣势,并不一定决定未来。随着互联网发展进入以数据驱动的智能化新阶段,数据的基本保障将成为越来越关键的因素。

疫情迄今,在数据保护方面,我们正在面临信息肆意传播的风险。信息能在放任自流和失控下实现“群体免疫”吗?答案是否定的,个人信息失控对于不法犯罪分子是天赐良机;对于每一个公民来说,是对个人隐私、人身财产甚至生命安危的威胁;对于国家来说,是提升人民获得感、打造社会信用体系、提升社会执政能力和治理现代化的挑战。

中国个人信息和数据保护目前仍缺乏完整的制度体系,事实上这么多年放任和纵容了。几乎每一个中国人都不同程度地遭遇过数据滥用和失控导致的相关骚扰和损害。GDPR对于中国的数据保护提供了好的启示:要加大制度建设投入,努力学习国际经验;在人才建设方面加大力度,加强国际合作。

当然,GDPR两年来整体执法还是保持了谨慎和克制,即便对发生了“剑桥门”这样重大数据泄露事件的脸书,迄今也没有出手“动刀”。同时,用户数据保护的真实处境也还没有出现根本性变化。下一次评估报告是4年之后,我们期待GDPR精益求精,也期待已经纳入我国人大立法的个人信息保护法和数据安全法能够拿出出色表现,后来者居上。(作者是浙江传媒学院互联网与社会研究院院长,全球互联网口述历史发起人)

另附原文

2020年6月25日,欧盟委员会向欧洲议会和欧盟理事会提交了GDPR自2018年实施两年来的评估报告,引起全球关注。其实报告的题目本身就已经做了很好的定调:《数据保护是增强公民赋权和欧盟实现数字化转型的基础》。报告既肯定了各方面的积极进展,也指出了遇到的一些挑战和问题。可以说,GDPR是互联网诞生半个世纪以后的一次最重要、最具有里程碑意义的制度建设。其涉及问题之复杂,触动利益之大,影响之深远,都是前所未有的。但是,期望立竿见影,完美无缺,两年时间肯定是远远不够的。蹊跷的是,国内舆论出现了明显的选择性报道,重点突出报告中提及的问题和困难。如来自腾讯研究院的文章就聚焦其中的问题,最后的结论是:“面临挑战的不仅是GDPR的适用对象,也包括GDPR本身。”

为什么会如此?其实,深层次透视就明白了。GDPR触动利益最大的就是互联网企业,尤其是掌握最多个人数据的超级互联网平台,它们的商业模式无一例外地建立在对用户个人数据的收集和开发的基础之上。从它们商业利益最大化的角度看,当然最希望能够最低制度门槛、最低成本地最大程度收集和垄断个人信息和数据,并且可以不受限制进行开发和运用。当下,无论是搜索、电商还是社交媒体,中国超级平台的数据滥用问题由来已久。所以,全球主要的网络超级平台中,基本上就是中国互联网平台迄今没有全面实施GDPR的合规政策。

GDPR虽然名义上只着眼欧洲本土,只针对欧洲公民,但是事实上直接影响所有全球互联网平台,间接影响全球网民。GDPR堪称一部网民的《独立宣言》,第一次通过数据保护制度确立了网民在网络空间的基本权益,确立了网民对自己所属数据的主导权。GDPR的意义就是在互联网发展迅猛发展的今天,对互联网企业、政府与社会民众之间越来越失衡的权力的再平衡,为遏制全球网络空间数据滥用的趋势,结束个人信息和隐私保护的失控状态,及时提供了关键的法律制度。同时,GDPR缓解了信息技术对社会不断加剧的威胁和冲击,对于即将到来的人工智能驱动的整个社会的智能化转型是很好的制度保障。

站在局外,人们对GDPR两年来的进展和影响,印象深刻。尽管GDPR触动了互联网企业的重大利益,但是,全球主要的互联网公司和跨国企业,都及时加入GDPR合规的政策调整,并作为全球范围统一、公平不歧视的数据报告标准。美国、印度包括中国等世界主要国家的数据保护立法都以GDPR为基本框架。GDPR成功的关键在于以下几点:首先,在于抓住了当今世界发展中最大的痛点之一——数据保护,体现了前瞻性。其次,体现了欧洲高水平的制度建设能力,无论是框架还是细则,包括新冠疫情期间的实施细则,亮点要点突出,真正确立世界级标杆。第三,一举确立了欧洲在全球的制度高地地位,很大程度上弥补了欧洲过去在互联网领域发展不力的局面。GDPR对于欧洲的价值之一就是与美国互联网原创性能力和全球超级平台的垄断性力量,以及中国全球最大的单一互联网市场和最活跃的互联网应用场景,形成了各有所长、优势互补的中美欧三足鼎立之势,将是未来塑造全球数字社会和网络空间的决定性力量。

国内互联网企业为了延缓国内相关的数据立法,降低网民个人用户的数据保护水平,出现了一些关键的论调。其中最突出的观点,就是认为加强数据保护将会妨碍创新,影响发展。在他们的潜台词中就认为欧洲互联网之所以落后于美国和中国,注重保护是最主要的根源之一。或者更狭隘的说法就是,因为欧洲自己没有强大的互联网企业和超级平台,所以就通过加强立法,以方便压制和惩处中美的互联网企业以获益。这些观点也赢得部分专家学者的呼应以及一些民众的认同。但是,真正了解GDPR和立法过程的人们,都不会如此狭隘。欧洲在制度建设方面,长期以来就具有引领世界的卓越能力。即便在网络方面,除了数据保护,包括网络治理领域的多利益相关方模式、信息遗忘权、反垄断以及最近欧美正在交火的数字税等方面,都是全球公认的引领者。大约5年前,我去欧洲参加国际会议,也被动员参加一场GDPR的研讨会。让我惊讶是,这个围绕GDPR的研究项目,居然有一千万欧元的资金。这个数字与我国即便是社科重大项目的投入,都是两个数量级的差距。GDPR从2012年启动立法,2016年正式公布,2018年正式实施,到2020年评估,整个立法过程有章有法,这种态度和方法都令人耳目一新。

事实上,欧洲互联网发展的滞后,根本上还是由欧洲市场的碎片化特性决定的。美国互联网发展起来是因为具有独一无二的全球化市场能力,中国互联网也是基于最大的14亿单一市场。印度最近也开始出现近千亿美元的互联网企业,同样是得益于市场规模。但是,产业变革还在快速继续演变之中。欧洲过去的发展劣势,并不一定决定未来。随着互联网发展进入以数据驱动的智能化新阶段,数据的基本保障将成为越来越关键的因素。尤其是欧洲一体化的数据战略能够成功实施,欧洲在数据驱动发展、数字社会治理和数据跨境流动等方面,都会日益呈现出重要的战略性意义。

疫情迄今,大家都嘲笑英国和瑞典等实施的“群体免疫”。但是,在数据保护方面,中国却正在经历类似的无序的信息“群体免疫”。信息也能在放任自流滥用和失控下实现全民“群体免疫”吗?答案很显然,个人信息失控对于不法犯罪分子是天赐良机,而对于每一个公民来说,都是个人隐私、人身财产甚至生命安危的巨大威胁。于国家而言,数据威胁对带领人民群众奔小康,提升人民幸福获得感,打造社会信用体系,提升社会执政能力和治理现代化等,都构成了深远的挑战。

GDPR对当下中国尤其具有独特的重大意义。中国个人信息和数据保护长期缺乏完整的制度体系,事实上这么多年放任和纵容了数据的滥用和失控。几乎每一个中国人都不同程度地遭遇过相关的骚扰和损害,有着深刻的切肤之痛。GDPR对于中国的数据保护提供了好的启示:1、要加大制度建设的投入,我们要发展科技,加大制度建设的投入力度;2、要像我们一贯学习美国科技创新那样,努力学习欧洲的制度建设;3、优秀的制度建设,除了资金,更要在人才建设方面加大力度,加强国际合作。

GDPR实施的两年,经历了全球互联网和科技行业的剧变,还正在经历新冠疫情的考验,其表现都可圈可点。就此基本奠定了全球标杆性的地位。当然,两年来整体的执法还是保持了谨慎和克制,从2018年5月至2019年11月期间,开出了785项行政罚款,其中包括法国对谷歌开出的5000万欧元罚单。但是,对互联网巨头最具震慑力的“年收入4%”的处罚大招,即便对发生了剑桥门这样重大的数据泄露事件的Facebook,迄今没有出手“动刀”。同时,两年来,用户数据保护的真实处境还没有出现根本性的变化。下一次评估报告是4年之后的2024年,我们期待GDPR精益求精,也期待已经纳入我国人大立法的个人信息保护法和数据安全法能够拿出真正出色的表现,让中国做到后来者居上。

(方兴东,浙江传统学院互联网与社会研究院院长,全球互联网口述历史(OHI)发起人)

最新文章
相关阅读