歐盟實施“最嚴數據隱私法”蘊含風險（討論）

魯傳穎

號稱史上最嚴、影響范圍最廣的歐盟《一般數據保護條例》（GDPR）于5月25日開始實施。GDPR以個人隱私保護為出發點，對互聯網用戶數據的收集、存儲、使用、傳輸、轉讓、披露和廢棄等全生命周期所涉及的安全問題作出了嚴格規定。在數字時代，不僅互聯網企業，連傳統企業都不可避免要受到其管轄。因此，GDPR雖然看似主要針對個人隱私保護，但同時對網絡安全、數字經濟亦有巨大影響，背后反映了歐盟在網絡空間的戰略意圖。

GDPR可被視為歐盟綜合應對大規模網絡監聽及其他網絡問題的重要抓手。在正式實施的當天，歐盟委員會官方推特發文宣告歐盟重新控制了自己的數字主權。歐盟在網絡安全和數字經濟上高度依賴美國，在網絡空間中一直缺乏與其現實世界地位相稱的話語權和影響力。GDPR的實施不僅會對歐盟本身，而且會對全球網絡空間產生重要影響。從這種意義上來說，歐盟通過GDPR的實施建立了自己的話語權，提升了自身在網絡空間中的影響力。

但長期來看，GDPR對于歐盟的網絡空間戰略而言并非沒有風險。首先，從企業成本來看，GDPR大幅增加了數據收集和使用的成本，大型互聯網企業也許能夠將成本轉移給用戶，但中小企業則面臨重要的成本壓力，從而影響初創企業和創新。很多歐盟之外的中小企業出于成本原因干脆停止了在歐盟市場的商業活動。

其次，歐盟本身缺乏在全球有影響力的互聯網企業，GDPR對創新的壓制會進一步降低歐盟產生全球性互聯網企業的可能，同時還會阻礙現有國際互聯網企業未來在歐洲的業務發展。作為數據保護的“高地”，歐盟過于前瞻性的政策，有可能引發的后果會讓歐盟成為全球數據流通的孤島。

再次，雖然在正式實施前歐盟給了兩年緩沖期，但實際上企業對于如何能夠滿足條例的要求還是一頭霧水。從現行數字經濟一直依賴的經營模式來看，GDPR的相關規定極為嚴苛，從根本上改變了產業的運營模式，需要對產品流程做出重大改變。條例實施當天，就有新聞報道谷歌和臉書因觸犯條例被告，可能的罰款金額高達幾十億美元。相信有很多企業在觀望，未來是否會將歐盟作為業務的重心。

最后，歐盟按照自己的標準對全球各國進行認定，只有被歐盟認可的國家，企業才能進行無障礙的數據傳輸，否則就需要通過繁瑣和充滿法律風險的程序。由此帶來的后果就是，其他國家也會同樣采取措施來限制本國數據向歐盟流通。由此帶來的互聯網“分裂”，最終影響的還是普通網民。未來，歐盟將會在政治上承受其他國家指責其以保護隱私為名，增加貿易壁壘的壓力。

網絡空間一直面臨著自由與秩序、安全與發展的辯證邏輯，任何政策都要進行權衡。GDPR最終是將歐盟塑造成網絡空間中的強者，還是數據孤島，需要時間來證明。▲

（作者是上海國際問題研究院副研究員）