GDPR將如何影響全球數(shù)字經(jīng)濟(jì)

◎中國人民大學(xué)金融科技與互聯(lián)網(wǎng)安全研究中心副主任 許可

被稱為史上最嚴(yán)的個(gè)人信息保護(hù)法——?dú)W盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）終于來了。

但如果只將其視為在信息科技迅速發(fā)展背景下，歐盟對(duì)歐洲公民人格尊嚴(yán)和人格自由的重申，未免小覷了它的意義。任何立法都不盡然是由理念推動(dòng)，其背后往往有著更大現(xiàn)實(shí)考量。

正如GDPR第1條“主旨與目標(biāo)”中“不得以保護(hù)自然人個(gè)人數(shù)據(jù)處理為由，限制或禁止個(gè)人數(shù)據(jù)在歐盟的自由流動(dòng)”所表明的，歐盟絕非僅僅高舉數(shù)據(jù)基本權(quán)利大旗的道德至上主義者，相反，它深知個(gè)人數(shù)據(jù)對(duì)于數(shù)字經(jīng)濟(jì)的關(guān)鍵作用。

因而，透過數(shù)字經(jīng)濟(jì)的棱鏡，我們或許可以認(rèn)識(shí)到GDPR的另一面。

數(shù)字經(jīng)濟(jì)的落后者

2016年，二十國集團(tuán)（G20）在中國杭州發(fā)布《G20數(shù)字經(jīng)濟(jì)發(fā)展與合作倡議》，首次將“數(shù)字經(jīng)濟(jì)”列為G20創(chuàng)新增長藍(lán)圖中的重要議題。作為繼農(nóng)業(yè)經(jīng)濟(jì)、工業(yè)經(jīng)濟(jì)之后的一種新的經(jīng)濟(jì)社會(huì)發(fā)展形態(tài)，數(shù)字經(jīng)濟(jì)早已超出信息產(chǎn)業(yè)的藩籬，成為推動(dòng)各領(lǐng)域數(shù)字轉(zhuǎn)型，實(shí)現(xiàn)價(jià)值增值和效率提升的推動(dòng)力。

鑒于此，無論是發(fā)達(dá)國家，還是發(fā)展中國家，均把數(shù)字經(jīng)濟(jì)轉(zhuǎn)型視為重大的優(yōu)先政策。

然而，在數(shù)字經(jīng)濟(jì)的世界版圖上，各國的發(fā)展并不均衡。中國信通院《G20國家數(shù)字經(jīng)濟(jì)發(fā)展研究報(bào)告（2017）》顯示：2016年，美國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到10.8萬億美元，在世界上遙遙領(lǐng)先；中國以3.4萬億美元的總量位居第二，日本、德國和英國分列第三至五位，其平均規(guī)模約為中國的一半。

中美兩國在這波數(shù)字經(jīng)濟(jì)浪潮中的領(lǐng)先地位在科技企業(yè)的市值上得到鮮明體現(xiàn)。

2017年，全球市值前十的公司中有七家科技企業(yè)，其中，美國五家：蘋果、微軟、谷歌、Facebook、亞馬遜，中國兩家：阿里巴巴和騰訊。這一局勢在各個(gè)細(xì)分領(lǐng)域更加顯著。

聯(lián)合國《2017世界投資報(bào)告——投資與數(shù)字經(jīng)濟(jì)》（World Investment Report 2017—Investment and the Digital Economy Report）梳理了網(wǎng)絡(luò)平臺(tái)、數(shù)字化解決方案、電子商務(wù)、數(shù)字內(nèi)容、IT、電信設(shè)施等主要數(shù)字經(jīng)濟(jì)領(lǐng)域，發(fā)現(xiàn)全球的領(lǐng)導(dǎo)者或跟隨者基本被中美兩國的企業(yè)占據(jù)。

顯然，較諸中美，歐洲在數(shù)字經(jīng)濟(jì)中暫時(shí)落后了。

歐盟影響數(shù)字經(jīng)濟(jì)格局的努力

事實(shí)上，歐盟很早就意識(shí)到數(shù)字經(jīng)濟(jì)的來臨。早在1996年，為了激勵(lì)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，歐盟理事會(huì)就簽署了《關(guān)于數(shù)據(jù)庫的法律保護(hù)的指令》，在全球首次賦予那些不受著作權(quán)法保護(hù)但又有實(shí)質(zhì)性投資的數(shù)據(jù)庫以特殊權(quán)利(sui generis right protection)。

但由于法律本身的模糊，該指令并未讓歐盟數(shù)據(jù)產(chǎn)業(yè)蓬勃興起，甚至到了2004年，歐盟數(shù)據(jù)產(chǎn)業(yè)的發(fā)展已經(jīng)回落到1996年的水平。

在這一形勢下，2015年，歐盟發(fā)布“歐洲單一數(shù)字市場戰(zhàn)略”，以期在確保貨物、人員、服務(wù)、資本、數(shù)據(jù)自由流動(dòng)的前提下，個(gè)人和企業(yè)均能在公平競爭的條件下無縫訪問和在線活動(dòng)，從而促進(jìn)歐盟數(shù)字經(jīng)濟(jì)發(fā)展并確保歐洲在全球數(shù)字經(jīng)濟(jì)中的地位。

歐盟認(rèn)識(shí)到，作為這一戰(zhàn)略的三大支柱，數(shù)字生產(chǎn)要素流動(dòng)、基礎(chǔ)設(shè)施建構(gòu)和公共服務(wù)保障均不可或缺。

因此，歐盟在GDPR之外，另外打出一套組合拳，從2017年《關(guān)于非個(gè)人數(shù)據(jù)自由流動(dòng)框架的提案》到2018年4月的《關(guān)于修訂公共部門信息再利用指令的提案》《修訂2012年訪問和保存科學(xué)信息的建議》《基于公共利益由私營部門向公共部門分享數(shù)據(jù)的指導(dǎo)意見》，歐盟展示了建立數(shù)字單一市場的雄心。

正如因此，個(gè)人數(shù)據(jù)保護(hù)問題并非一個(gè)獨(dú)立事件，它被統(tǒng)攝于歐盟數(shù)字經(jīng)濟(jì)的宏觀架構(gòu)中，共同服務(wù)于歐盟謀求數(shù)字經(jīng)濟(jì)領(lǐng)袖地位的總體布局。

GDPR的三種武器

GDPR有著雙重效果：它一方面通過統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)立法和“一站式”執(zhí)法，推動(dòng)歐盟內(nèi)部市場的一體化；另一方面通過域外效力攪動(dòng)歐盟外的全球市場。

就后者來說，歐盟實(shí)際上是利用GDPR，向中美兩國企業(yè)和政府開出了一道難以回答的選擇題：要么讓企業(yè)操作規(guī)程或國內(nèi)法與GDPR保持一致，要么被5億富有消費(fèi)者的市場排除在外。

GDPR域外效力的落實(shí)有賴于三大殺器。

首先是“保護(hù)性管轄”，即GDPR以保護(hù)歐盟內(nèi)自然人利益為宗旨，不論數(shù)據(jù)控制者或處理者在歐盟之內(nèi)還是歐盟之外，也不論處理行為是在歐盟之內(nèi)還是之外發(fā)生，均適用歐盟法律。保護(hù)管轄是GDPR對(duì)1995年歐盟《第95/46/EC號(hào)保護(hù)個(gè)人在數(shù)據(jù)處理和自動(dòng)移動(dòng)中權(quán)利的指令》（“95指令”）的主要調(diào)整之一，它突破了傳統(tǒng)的“屬地管轄”和“屬人管轄”原則，大大拓展了歐盟的管轄范圍。

事實(shí)上，在GDPR實(shí)施之前，歐盟已經(jīng)在2014年Google Spain 訴AEPD及Mario Costeja案中表明了這一立場。在該案中，歐洲法院判定：即使個(gè)人數(shù)據(jù)的處理操作是谷歌公司在歐盟以外進(jìn)行的，但由于谷歌母公司的經(jīng)營活動(dòng)與西班牙子公司的推廣銷售密不可分，谷歌仍然落入“95指令”的效力范圍。

第二個(gè)武器是“數(shù)據(jù)跨境流動(dòng)管控”。

與歐洲單一數(shù)字市場戰(zhàn)略強(qiáng)制要求數(shù)據(jù)在歐盟內(nèi)自由流動(dòng)不同，GDPR以獨(dú)立一章的篇幅對(duì)數(shù)據(jù)向歐盟外流動(dòng)嚴(yán)加限制。一般而言，歐盟境內(nèi)的個(gè)人數(shù)據(jù)只允許流入歐盟認(rèn)為能夠提供“充分保護(hù)”或“適當(dāng)保障措施”的第三國。

這里的“充分性”標(biāo)準(zhǔn)包括該國的個(gè)人數(shù)據(jù)保護(hù)整體水平、數(shù)據(jù)流動(dòng)現(xiàn)狀，以及與歐盟的政治、貿(mào)易關(guān)系、秉持的價(jià)值觀和目標(biāo)等。目前來看，日本最有希望成為獲得歐盟“充分性認(rèn)定”的首個(gè)亞洲國家，而中國的可能性幾乎為零。

因此，對(duì)于中國企業(yè)而言，只有通過“有約束力公司規(guī)則”（Binding Corporate Rules）或“標(biāo)準(zhǔn)合同條款”（Standard Contractual Clauses）等“適當(dāng)保障措施”的途徑，實(shí)現(xiàn)數(shù)據(jù)跨境傳輸。在此情形下，中國企業(yè)必須在數(shù)據(jù)傳輸、存儲(chǔ)、加工的各個(gè)環(huán)節(jié)提供充分保障，否則將隨時(shí)面臨在歐盟境內(nèi)被起訴或申訴的法律風(fēng)險(xiǎn)。

最后，無責(zé)任的法律，就如無牙齒的老虎。要想達(dá)到真正的威懾，GDPR必須備有強(qiáng)力的處罰措施。

對(duì)于違反GDPR的行為，GDPR設(shè)定了兩檔罰則：就違反隱私保護(hù)設(shè)計(jì)以及默認(rèn)隱私保護(hù)、沒有實(shí)施充分的IT安全保障措施、違反數(shù)據(jù)泄露通知要求等行為，處以1000萬歐元或者上一年度全球營收的2%（以較高者為準(zhǔn)）；就違反數(shù)據(jù)處理原則、數(shù)據(jù)處理沒有合法基礎(chǔ)、違法同意要求、侵害數(shù)據(jù)主體的合法權(quán)利等行為，處以2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%（以較高者為準(zhǔn)）。

顯而易見，對(duì)于中美大型跨國公司，與全球營收掛鉤的處罰稱得上一刀見血。

GDPR的經(jīng)濟(jì)后果

隨GDPR而來的，首先當(dāng)然是企業(yè)合規(guī)成本的飆升。

Paul Hastings律師事務(wù)所調(diào)查了100家富時(shí)350指數(shù)公司和100家世界500強(qiáng)企業(yè)的總法律顧問和首席安全官，發(fā)現(xiàn)富時(shí)350指數(shù)公司平均將為GDPR增加43萬英鎊的支出，而世界500強(qiáng)企業(yè)更高達(dá)100萬美元。

受影響的不只是大企業(yè)。雖然GDPR第30條第5款對(duì)雇員人數(shù)少于250人的企業(yè)或組織，給予了特別義務(wù)豁免，但其豁免的范圍有限，同時(shí)規(guī)定了諸如“可能給數(shù)據(jù)主體的權(quán)利或自由帶來風(fēng)險(xiǎn)”等模糊的豁免條件，小企業(yè)仍將面臨非常不確定的執(zhí)法，由此它們可能不得不費(fèi)時(shí)費(fèi)力，像大企業(yè)一樣承擔(dān)義務(wù)，這削弱了小企業(yè)豁免的立法功能并有損于初創(chuàng)公司的發(fā)展。

GDPR帶來的不僅僅是合規(guī)成本，事實(shí)上，通過復(fù)雜的連鎖反應(yīng)，它將最終影響到整個(gè)數(shù)字經(jīng)濟(jì)。

對(duì)于人工智能產(chǎn)業(yè)，《終極算法》作者華盛頓大學(xué)教授Pedro Domingos在今年年初稱：自5月25日起，歐盟將會(huì)要求所有算法解釋其輸出原理，這意味著深度學(xué)習(xí)即將非法。

雖然有學(xué)者認(rèn)為這一說法系對(duì)GDPR的誤讀，但GDPR所要求的算法透明和負(fù)責(zé)及其導(dǎo)致的數(shù)據(jù)類型和數(shù)量下降，必將是人工智能必須面對(duì)的挑戰(zhàn)。

對(duì)于區(qū)塊鏈產(chǎn)業(yè)，其不可篡改性與GDPR賦予個(gè)人的更正權(quán)、刪除權(quán)、被遺忘權(quán)直接沖突，多點(diǎn)記賬和多方共識(shí)的設(shè)定使得每個(gè)節(jié)點(diǎn)都將承擔(dān)苛刻的數(shù)據(jù)控制者義務(wù)，而這完全是不可能完成的任務(wù)。

對(duì)于科技金融產(chǎn)業(yè)，正如經(jīng)濟(jì)學(xué)家Jentzsch之前的研究所發(fā)現(xiàn)的，以金融隱私指數(shù)（Financial Privacy Index）為指標(biāo)，美國的個(gè)人數(shù)據(jù)保護(hù)弱于歐盟，但美國的信貸獲取比例高于歐盟各國。

GDRP的實(shí)施將進(jìn)一步加劇個(gè)人獲得信貸的難度。德勤會(huì)計(jì)師事務(wù)所估計(jì)：GDPR將令消費(fèi)信貸下降19%，給GDP造成每年830億歐元的損失并引發(fā)140萬人失業(yè)。

對(duì)于“行為定向廣告”（online behavioral advertising）行業(yè)，由于在GDPR下，用戶的IP地址、Cookies和設(shè)備ID等個(gè)人數(shù)據(jù)的處理變得更加困難，利用個(gè)人數(shù)據(jù)進(jìn)行營銷的成本上升，整個(gè)產(chǎn)業(yè)將喪失32億歐元的收入。根據(jù)德勤會(huì)計(jì)事務(wù)所的整體評(píng)估，僅就直銷、廣告、網(wǎng)頁分析、信貸等四大產(chǎn)業(yè)來說，GDPR將直接或間接地導(dǎo)致1730億歐元的GDP損失以及280億元的就業(yè)損失。

容易想見，憑借GDPR的三種武器，這些不利經(jīng)濟(jì)后果中很大一部分將由歐盟外的數(shù)字經(jīng)濟(jì)大國負(fù)擔(dān)。

事實(shí)上，其后果已顯露端倪。在GDPR生效的第一天，谷歌和Facebook便因在分享用戶數(shù)據(jù)方面涉嫌違規(guī)而面臨訴訟，可能遭受總額分別為37億歐元和39億歐元的罰款。互聯(lián)網(wǎng)女皇Mary Meeker在最新的互聯(lián)網(wǎng)趨勢報(bào)告中也警告說，GDPR對(duì)個(gè)人數(shù)據(jù)的管理權(quán)和控制權(quán)必將給創(chuàng)新帶來阻礙。

在此背景下，中國更應(yīng)清醒、全面地認(rèn)識(shí)GDPR的意圖和影響，一方面要保持?jǐn)?shù)字經(jīng)濟(jì)優(yōu)位的制度定力，不因GDPR是世界個(gè)人信息保護(hù)的最新潮流而率爾追隨，另一方面要嚴(yán)肅慎重地對(duì)待歐盟執(zhí)法，通過國際磋商和政治談判，化解中國法律和GDPR的沖突，進(jìn)而幫助中國企業(yè)在合理范圍內(nèi)遵守GDPR，實(shí)現(xiàn)企業(yè)發(fā)展和個(gè)人信息保護(hù)的平衡。