一、GDPR的成績單

（一）歐盟數(shù)據(jù)保護委員會：協(xié)調(diào)執(zhí)法

作為歐盟層面的數(shù)據(jù)保護機構，“歐盟數(shù)據(jù)保護委員會”（EDPB）的主要任務是保證歐盟整體數(shù)據(jù)保護規(guī)則的統(tǒng)一適用，以及促進各成員國監(jiān)管機構之間的合作，其主要政策工具包括出臺指南（Guidelines）、建議（Recommendations）、意見（Opinions）、有約束力的決定（Binding decisions）。迄今，歐盟數(shù)據(jù)保護委員會已發(fā)布六份指南（含征求意見稿），涉及GDPR適用地域、第42和43條下的認證及其標準、行為準則及其監(jiān)督、履行合同所必需的數(shù)據(jù)處理以及數(shù)據(jù)跨境的例外情形等。此外，歐盟數(shù)據(jù)保護委員會已經(jīng)或正在就有約束力的公司準則、數(shù)據(jù)控制者與處理者間標準合同、進行數(shù)據(jù)保護影響評估的國家名單、金融監(jiān)管機構個人數(shù)據(jù)傳輸、GDPR與《隱私與電子通訊指令》的互動等發(fā)布多份“一致性意見”（Consistency opinions）。

2018年5月25日，歐盟數(shù)據(jù)保護委員會舉行第一次全體會議。會上集中完成了設立委員會工作，并經(jīng)選舉產(chǎn)生了委員會主席和副主席；同時還完成了“第29條工作組”（WP29）與委員會的交接，批準了16個第29條工作組做出的GDPR指南。2018年7月4日至5日，歐盟數(shù)據(jù)保護委員會舉行第二次全體會議，討論了一站式（One-Stop-Shop）合作機制、互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構（ICANN）、歐盟支付服務指令第二版（PSD2）、隱私盾等廣泛主題。根據(jù)委員會的常設秘書處——“歐洲數(shù)據(jù)保護專員公署”（EDPS）的工作設想，后續(xù)執(zhí)法要點包括：（1）GDPR實施工作的基本立場是遵循歐盟委員會有關數(shù)字單一市場的總體安排，保護歐盟公民和統(tǒng)一市場為直接目標；（2）將里斯本條約確認的基本人權——個人數(shù)據(jù)權作為貫徹落實GDPR的基點，設計出更具體的實施細則及合規(guī)指南；（3）GDPR主要憑借各成員國監(jiān)管機構執(zhí)法，而在“一站式”模式下，針對特定執(zhí)法對象，應由其主要營業(yè)地所在國的監(jiān)管機構履行監(jiān)管職能；（4）GDPR的總體執(zhí)法力度將類似于目前歐盟在反不正當競爭、反壟斷領域的執(zhí)法；（5）在國際沖突博弈方面，GDPR實施過程中會根據(jù)實際情況進一步考慮彈性的執(zhí)法機制，例如充分發(fā)揮“公司準則”(Rules of Corporation)和“標準條款”（Standard Clause）的軟法功能，以減少法定強制條款（例如充分性認定機制）的適用。截至2019年5月，歐盟數(shù)據(jù)保護委員會已經(jīng)舉辦了10次全體會議。

2019年2月，歐盟數(shù)據(jù)保護委員會發(fā)布2019-2020年工作計劃，列舉出17項擬出臺的指南，囊括了車聯(lián)網(wǎng)、兒童數(shù)據(jù)、視頻監(jiān)控、數(shù)據(jù)控制者合法利益、政府機構以合作管理為目的的跨境傳輸、經(jīng)由設計和默認的數(shù)據(jù)保護以及對個人數(shù)據(jù)權利的限制，等等。

（二）歐盟各成員國：具體執(zhí)法

盡管GDPR可以直接適用于歐盟所有成員國，但它同樣要求各成員國將其轉(zhuǎn)化為國內(nèi)法。目前，除了希臘、斯洛文尼亞和葡萄牙，其余25個國家均通過不同形式將GDPR納入既有法律體系之中，并同時規(guī)定了本國數(shù)據(jù)保護局（DPA）的職權，包括但不限于：發(fā)出違規(guī)警告、開展審查、限期糾正、命令刪除數(shù)據(jù)、暫停向第三國傳輸數(shù)據(jù)、罰款。

根據(jù)歐盟數(shù)據(jù)保護委員會在2019年2月和5月發(fā)布的信息，歐盟各成員國的DPA處理案件28萬件，其中數(shù)據(jù)跨境案件446件，并收到至少14.4萬次個人投訴和89271次數(shù)據(jù)泄露通知，開出罰款高達5600萬歐元。各國具體執(zhí)法情況如下：

1. 愛爾蘭

愛爾蘭是多家大型科技、社交媒體公司等跨國公司的歐洲總部所在地，即“主營業(yè)地”。在GDPR“一站式”執(zhí)法機制下，愛爾蘭“數(shù)據(jù)保護委員會”（DPC）對跨國公司的數(shù)據(jù)監(jiān)管發(fā)揮著重要作用。一年來，數(shù)據(jù)保護委員會收到6,624宗投訴，發(fā)現(xiàn)5,818個數(shù)據(jù)安全漏洞，開展了54項調(diào)查，其中35項是境內(nèi)調(diào)查，19項是對跨國科技公司及其對GDPR的遵守情況的跨境調(diào)查。

作為蘋果、臉書、微軟、推特、愛彼迎、領英等科技巨頭的牽頭監(jiān)管機構，數(shù)據(jù)保護委員會已發(fā)起多起涉及上述公司的法定調(diào)查，所涉問題包括臉書涉嫌利用外部鏈接從第三方軟件中轉(zhuǎn)移個人數(shù)據(jù)至臉書及其合作方、微軟利用Office產(chǎn)品收集并處理遙測數(shù)據(jù)、WhatsApp與臉書公司共享個人數(shù)據(jù)，等等。針對上述跨國科技公司，數(shù)據(jù)保護委員會還收到了16起來自其他歐盟監(jiān)管機構的互助請求。

2. 法國

法國“國家信息與自由委員會”（CNIL）于2019年4月發(fā)布的活動報告顯示，2018年其共收到11,077起投訴（相較于2017年上漲了32.5%），其中20%為一站式機制下來自其他監(jiān)管機構的投訴。這些投訴主要涉及數(shù)據(jù)的互聯(lián)網(wǎng)傳播，尤其在線上聲譽、市場/商業(yè)、人力資源等領域中主張刪除個人數(shù)據(jù)。在調(diào)查方面，委員會在2018年共發(fā)起310起調(diào)查，并在2019年發(fā)布命令49項，主要集中在保險領域和廣告定向推送領域，實施處罰11項，其中10項為罰款，以谷歌案最令人矚目。2019年1月21日，委員會對谷歌作出了GDPR下至今最高額的罰款處罰——5000萬歐元。其處罰決定理由主要基于兩方面，一是谷歌違反了GDPR第12和13條規(guī)定的透明性義務，二是谷歌以廣告定向投放為目的處理個人數(shù)據(jù)缺乏法律基礎，即未獲得數(shù)據(jù)主體的有效同意。

在規(guī)則制定層面，2018年12月28日，委員會基于GDPR同意和透明度原則，發(fā)布了“以直接營銷目的向商業(yè)合作伙伴提供數(shù)據(jù)指南”。根據(jù)該指南，數(shù)據(jù)控制者向合作方提供個人數(shù)據(jù)時，應告知數(shù)據(jù)接受者的名稱，并獲得用戶同意，該等同意是不可轉(zhuǎn)移的，這意味著合作方不得將數(shù)據(jù)披露給第三方。最后，數(shù)據(jù)接收者將數(shù)據(jù)處理的情形在一個月內(nèi)告知數(shù)據(jù)主體，并說明其如何行使權利，特別是反對權。

3. 英國

根據(jù)英國“信息專員辦公室”（ICO）的官方信息，該辦公室自GDPR生效以來共有59項執(zhí)法行動，其中34項為罰款，15項為執(zhí)行通知。

2018年10月，信息專員辦公室向加拿大的Aggregate IQ數(shù)據(jù)服務有限公司（“AIQ”）發(fā)出執(zhí)行通知，要求其刪除所有與英國公民相關的個人數(shù)據(jù)，并稱若其不履行義務，將面臨最高2000萬歐元或上一年全球總營業(yè)額4%的罰款。AIQ是一家利用個人數(shù)據(jù)在社交軟件上定向投放政治廣告的公司，其很多數(shù)據(jù)源于包括脫歐組織的政治團體提供的個人數(shù)據(jù)。信息專員辦公室在執(zhí)行通知中指出AIQ違反了GDPR第5(1)條中的(a)至(c)款，與此同時，加拿大隱私監(jiān)管機構也以濫用個人數(shù)據(jù)為由對AIQ進行調(diào)查。在后續(xù)執(zhí)法行動中，辦公室還對脫歐集團有限公司（Leave.EU Group Limited）、投票脫歐有限公司（Vote Leave Limited）的非法利用數(shù)據(jù)和發(fā)送信息行為處以罰款。除了企業(yè)外，政府機構同樣面臨著執(zhí)法威懾。2019年，英國稅務與海關總署被依法調(diào)查，信息專員辦公室認為：前者在采集生物特征數(shù)據(jù)（具有識別性的聲紋）時，未征得個體同意，且沒有對數(shù)據(jù)保護做預案。

4. 比利時

無獨有偶，2019年5月28日，比利時數(shù)據(jù)保護局（DPA）發(fā)出首份GDPR罰單。在該案中，一位投訴人提出了對比利時市市長的投訴，認為市長濫用投訴人的個人郵箱向其發(fā)送競選信息。對此，數(shù)據(jù)保護局指出：GDPR適用于任何數(shù)據(jù)控制人，當然也適用于市長等公共權力擁有人。根據(jù)GDRP第5條第1款第（b）項和第6條第4款中“目的限定”原則，市長獲得的電子郵件地址必須用于特定目的，不得以與該目的不相容的方式進一步處理。基于此，比利時市市長使用數(shù)據(jù)主體個人電子郵件地址并發(fā)送競選信息的行為，已經(jīng)超出個人當時提交其郵件地址的目的，最終遭至2000歐元的處罰。

5. 其他國家

其他國家的監(jiān)管機構也積極開展了執(zhí)法活動，例如：德國“聯(lián)邦數(shù)據(jù)保護與信息自由委員會”（BfDI）基于數(shù)據(jù)泄露對一家社交媒體公司處以2萬歐元罰款；意大利“反壟斷監(jiān)管機構競爭和市場管理局”（Garante）就兩家公司車輛的定位監(jiān)控系統(tǒng)問題發(fā)出執(zhí)行通知要求其糾正違法行為；葡萄牙“國家信息保護委員會”（CNPD）認定Barreiro醫(yī)院未區(qū)分臨床數(shù)據(jù)的訪問權限，并且個人資料管理系統(tǒng)存在缺陷，違反了GDPR第51(f)條的“完整性和保密性”原則與51(c)條的“數(shù)據(jù)最小化”原則，對其處罰40萬歐元；立陶宛“國家數(shù)據(jù)督查局”（SDPI）對一家互聯(lián)網(wǎng)支付公司處以61,500歐元罰款，理由包括不恰當處理數(shù)據(jù)、泄露個人信息以及未向監(jiān)管機構報告數(shù)據(jù)泄露事件。奧地利“數(shù)據(jù)保護局”（DSB）因企業(yè)在其建筑物周邊安裝閉路監(jiān)控設備監(jiān)控、記錄人行道人像數(shù)據(jù)等，而被認為未履行GDPR有關數(shù)據(jù)處理透明度的要求，對其處罰4800歐元。

二、GDPR執(zhí)法的評估

一年來，從歐盟數(shù)據(jù)保護委員會到各成員國的數(shù)據(jù)保護局，GDPR已經(jīng)顯示出巨大的威力。但法律好不好，“關鍵看療效”。我們有必要從法律、社會、經(jīng)濟各層面全面審視其實施效果。

（一）GDPR對民眾的影響

保護個人的基本權利是GDPR的初心。GDPR的實施讓歐盟民眾比之前更加關注他們的數(shù)據(jù)權利。調(diào)查顯示，2015年，大約只有20%的人知道政府保護個人數(shù)據(jù)，而現(xiàn)在有57%的人了解到國家專設了數(shù)據(jù)保護局，提供個人數(shù)據(jù)權的縝密保障，有67%的人聽說過GDPR這部法律。同時，向各成員國數(shù)據(jù)保護局咨詢GDPR和提出申訴的人日益增多，非營利組織代表個人發(fā)起的申訴也開始出現(xiàn)。

（二）GDPR對企業(yè)的影響

合規(guī)成本的上升是GDPR對企業(yè)最為直接的影響?！皣H隱私專業(yè)人協(xié)會”（IAPP）的研究報告曾經(jīng)預言，GDPR生效后，僅歐洲和美國就需要至少2.8萬個數(shù)據(jù)保護官（DPO），而全球其他地方為滿足GDPR的要求，將創(chuàng)建多達7.5萬個職位。事實上，這一預計大大低估了GDPR的影響，截至目前，已有37.5萬家企業(yè)和其他組織設置了數(shù)據(jù)保護官，并且，還有50萬名尚待任命。顯然，企業(yè)不得不為此花費不菲的資金。而有些雇主可能會將數(shù)據(jù)保護官的職責分配給在職員工，這極大增加了員工的工作量，可其福利卻未必會同步提升。

除上述人力成本外，在普華永道的調(diào)查中，受訪者表示，超過77%的美國公司計劃在GDPR準備和合規(guī)工作上分配100萬美元或更多，其中68%的公司表示將投資100萬至1000萬美元，9%的公司預計花費超過1000萬美元。在當前的市場格局下，飆升的合規(guī)成本將必然削弱中美企業(yè)的競爭優(yōu)勢。在極端的情況下，憑借GDPR，歐盟可以中美兩國公司數(shù)據(jù)保護欠缺為由，阻止其投資和收購的步伐。而對于中小企業(yè)而言，GDPR的合規(guī)成本更加難以承受。德勤的調(diào)查顯示，在1000個受訪的中小企業(yè)中，絕大多數(shù)保持觀望態(tài)度。同時，作為面向未來的原則性法律監(jiān)管框架，GDPR存在大量模糊規(guī)定，有54%的中小企業(yè)對于GDPR規(guī)則極度困惑，甚至有人戲稱GDPR為“律師充分就業(yè)法”（Lawyer full employment law）。

（三）GDPR對歐盟境外的影響

GDPR的長臂管轄權使其在歐盟境外也保持著強大威懾。德勤在GDPR實施半年后的調(diào)查證實了這一點。在歐盟地域內(nèi)，70%的被調(diào)查者增設了GDPR合規(guī)崗位，而歐盟境外的被調(diào)查者同樣不敢掉以輕心，其比例僅僅落后1到2個百分點。

受到影響的絕不限于企業(yè)。隨著GDPR的實施，歐盟以此為抓手向全球擴張其制度理念，并為世界個人信息保護法豎立新的標準。歐盟數(shù)據(jù)保護委員會在5月份的報告中自豪宣稱：“GDPR的原則正在向歐盟之外輻射。從智利到日本，從巴西到韓國，從阿根廷到肯尼亞，我們看到新的隱私法正在浮現(xiàn)，它立基于更強保障、可執(zhí)行的個人權利和獨立監(jiān)管機構之上?！闭鐐€人數(shù)據(jù)保護領域著名學者Graham Greenleaf所指出的，憑借GDPR第45條設定的“充分性認定”條款和2018年5月18日歐洲委員會提出的“108號公約+”動議（“Convention 108+”），歐盟將GDPR的標準向全世界推廣，意圖確立個人數(shù)據(jù)保護的“國際標準”。在GDPR的影響下，美國《2018加州消費者隱私法》（The California ConsumerPrivacy Act of 2018）、印度《個人數(shù)據(jù)保護草案》（the 2018 PersonalData Protection Bill）相繼出臺，回應了人們對數(shù)據(jù)透明度的期待，并賦予個人就其數(shù)據(jù)更多的控制權。其中，《2018加州消費者隱私法》仿效GDPR，廣泛界定個人數(shù)據(jù)的范圍，為個人創(chuàng)造“刪除權”“可攜帶權”等新的權利類型，并強調(diào)提供明確的同意通知。

三、對GDPR實施的批評

（一）GDPR執(zhí)法的不足

GDPR實施后，眾多監(jiān)管機構實現(xiàn)了權力擴張和身份轉(zhuǎn)變，與以往被動的執(zhí)法模式不同，后GDPR時代的數(shù)據(jù)監(jiān)管機構傾向于積極主動的履行職能，監(jiān)督其管轄范圍內(nèi)機構的數(shù)據(jù)保護情況，即便它們尚未出現(xiàn)數(shù)據(jù)泄露等安全隱患。這種執(zhí)法模式和“警告、申誡、要求數(shù)據(jù)控制者、處理者改正、要求對個人數(shù)據(jù)予以更正或刪除”等矯正權相結合，大大增加了政府介入企業(yè)經(jīng)營的深度和廣度，從而引發(fā)人們的憂慮。

不僅如此，盡管GDPR列明了罰款的考量因素，實踐中也很難作出合理且有效的處罰。在歐盟開出的5600萬歐元罰單中，谷歌以5000萬歐元獨占90％，而絕大多數(shù)歐盟公司并未因違反GDPR而被處罰，即便處罰，其罰款也非常輕微。這種不均衡在不同國家間體現(xiàn)的更加鮮明。盡管有歐盟數(shù)據(jù)保護委員會的協(xié)調(diào)和監(jiān)督，但鑒于各國執(zhí)法路徑與社會文化的差異，各成員執(zhí)法水平參差不齊的現(xiàn)狀短期內(nèi)難以改善，最終導致GDPR“統(tǒng)一規(guī)則和執(zhí)法統(tǒng)一”淪為具文。法國國家信息與自由委員對谷歌的處罰案便是絕佳例證。

在該案中，盡管谷歌公司堅持其愛爾蘭公司（Google Ireland Limited）是其主營業(yè)地，在“一站式”管轄規(guī)則下，愛爾蘭數(shù)據(jù)保護局才是適格的監(jiān)管機關，而非法國。但是，國家信息與自由委員認為，谷歌在歐盟內(nèi)沒有主營業(yè)機構，因為美國的谷歌總部（Google LLC）擁有對安卓及谷歌賬號相關數(shù)據(jù)的處理決策權。其進一步指出：既然谷歌在歐盟境內(nèi)沒有主營業(yè)機構，那么歐盟境內(nèi)任一谷歌營業(yè)機構所在地的監(jiān)管機關，均對Google LLC擁有執(zhí)法管轄權。這種對“主營業(yè)地”的狹義解釋可能架空了“一站式”執(zhí)法要求，因為對總部不在歐盟的跨國企業(yè)來說，其決策權不太可能在歐盟境內(nèi)，因此不得不面對多個監(jiān)管機關的分散式執(zhí)法。

（二）GDPR實施未必有利于企業(yè)和用戶建立信任

信任是數(shù)字經(jīng)濟的貨幣，GDPR意圖建立一個強大且面向未來的監(jiān)管框架，以保證消費者和企業(yè)增強信心和相互信任，從而為歐洲鋪平數(shù)字時代的道路。為此，GDPR大幅提升了數(shù)據(jù)主體對個人數(shù)據(jù)的控制力和權利認知。而正如行為經(jīng)濟學的“稟賦理論”所指出的，一旦人們先入為主地認定個人數(shù)據(jù)屬于自己，他們會為此賦予更高的價值。同時，由于每個人都厭惡損失，“避害”的威脅遠大于“趨利”的考慮，因此，當企業(yè)提出數(shù)據(jù)收集和使用要求時，人們往往更不愿意達成交易。在此背景下，數(shù)據(jù)與其權利人之間更有粘性，用經(jīng)濟學的話來說，初始的權利配置直接決定了最終的資源分配，結果，數(shù)據(jù)并不會流向更能創(chuàng)造價值的地方。須知，數(shù)據(jù)如流水，靜止的數(shù)據(jù)必然是一潭死水。

更嚴重的是，鑒于技術架構下天然的信息不對稱，個人數(shù)據(jù)權利的增強可能加劇了用戶對企業(yè)的不信任。研究表明：有關個人數(shù)據(jù)泄露的丑聞以及企業(yè)不正當?shù)厥褂?、出售個人數(shù)據(jù)的案件，將對消費者普遍信任水平產(chǎn)生負面影響。由此，人們或者只信任大企業(yè)：GDPR生效后不久，谷歌成功增加了其在線廣告市場的份額，這是因為它以高于同行的速度獲得用戶對定向行為廣告的明確同意；或者人們對所有企業(yè)普遍不信任，特別是各成員國數(shù)據(jù)保護局對跨國科技公司頻頻處罰之后。不論結局如何，這對于數(shù)字經(jīng)濟絕非福音。

（三）GDPR實施對數(shù)字經(jīng)濟的不利后果

之前的研究已揭示出GDPR可能損及互聯(lián)網(wǎng)成熟業(yè)態(tài)、新興產(chǎn)業(yè)和經(jīng)濟創(chuàng)新，GDPR實施后，這一預測逐漸得以證實。2018年5月以來，許多廣告交易平臺及其他廣告發(fā)布商的歐洲廣告需求量下降了25%到40%，一些美國廣告發(fā)布商已暫停其歐洲網(wǎng)站上的所有程序化廣告。另據(jù)路透社新聞研究所2018年8月發(fā)布的報告，GDPR實施后，一系列歐洲新聞網(wǎng)站上第三方提供內(nèi)容和cookie的普及程度下降。Strand Consult的報告也認為，GDPR會對歐洲5G網(wǎng)絡開發(fā)和服務公司的價值鏈產(chǎn)生負面影響，使歐盟在移動通信方面繼續(xù)落后于美國和中國。并且，GDPR嚴格的數(shù)據(jù)收集和使用限制，也可能會阻礙云計算、區(qū)塊鏈、人工智能（AI）等新興產(chǎn)業(yè)的發(fā)展。

以云計算為例，GDPR不當介入到云計算客戶與云服務提供商（CSP）的合同關系中，限制了雙方的經(jīng)營自由，云服務集成、轉(zhuǎn)售業(yè)態(tài)面臨著業(yè)務風險。2019年4月，歐盟數(shù)據(jù)保護委員會開始對歐盟機構與微軟公司之間云服務合同的合規(guī)性進行調(diào)查，以確保后者向境外傳輸數(shù)據(jù)符合GDPR的要求。以AI為例，美國數(shù)據(jù)創(chuàng)新中心（Center for Data Innovation）2018年發(fā)布《歐盟新數(shù)據(jù)保護條例對人工智能的影響》報告，從十個方面論述了GDPR 對AI產(chǎn)業(yè)的負面影響。例如，GDPR第22條規(guī)定數(shù)據(jù)控制者應對特定自動化決策加以人工干預和解釋的義務，在深度學習的算法架構下，這幾乎是不可能完成的任務。再如，“被遺忘權”將損害破壞AI系統(tǒng)的完整性。最后，雖然GDPR規(guī)定了去標識化數(shù)據(jù)的例外，但并未明確去標識化的標準，在嚴峻的監(jiān)管規(guī)則面前，這削弱了企業(yè)采取技術措施對數(shù)據(jù)去標識化的積極性，限制了數(shù)據(jù)合法使用范圍。2019年5月，美國數(shù)據(jù)創(chuàng)新中心再次發(fā)布研究報告，指出GDPR阻礙了AI在歐洲的開發(fā)和使用，使其處于競爭劣勢。為此，數(shù)據(jù)創(chuàng)新中心主任Daniel Castro建議：“歐盟可以對GDPR進行改革，以實現(xiàn)更多的數(shù)據(jù)共享和AI的使用，但不會削弱對人類尊嚴、合法利益和其他基本權利的保護。對GDPR有針對性的改變將使歐盟能夠?qū)崿F(xiàn)其成為算法經(jīng)濟領導者的愿景?！?/p>

其次，GDPR還將削弱網(wǎng)絡安全的防護能力。GDPR極致保護個人數(shù)據(jù)的鮮明立場，迫使大量域名注冊機構清除用來查詢域名的IP及其所有者信息的Whois數(shù)據(jù)，致使無法及時發(fā)現(xiàn)惡意域名關聯(lián)的賬戶名、電話號碼、郵箱地址，亦無法即時封堵同一黑客注冊的多個惡意域名，加大了制止網(wǎng)絡釣魚、軟件勒索、版權保護及其他攻擊的難度。美國商務部負責通信和信息的助理部長大衛(wèi)·雷德爾（David Redl）直言：這將極大危害互聯(lián)網(wǎng)的持續(xù)穩(wěn)定性和安全性。另一方面，實時在線的安全軟件以企業(yè)與用戶不間斷數(shù)據(jù)交換為基礎：對用戶而言，他們可以隨時連接到企業(yè)服務器上，以便下載具有網(wǎng)絡欺詐內(nèi)容和惡意軟件網(wǎng)站的最新黑名單列表，幫助其快速識別并清除新型木馬病毒以及釣魚、掛馬的惡意網(wǎng)頁；對企業(yè)而言，用戶終端里的大量數(shù)據(jù)也會上傳到云端，企業(yè)據(jù)此建立全面的軟件信息數(shù)據(jù)庫，發(fā)現(xiàn)可疑樣本，并改善數(shù)據(jù)安全服務。但在GDPR之下，這種數(shù)據(jù)共享變得困難。

最后，創(chuàng)新依賴于好的點子與資金的結合。2018年11月，美國國家經(jīng)濟研究局發(fā)布GDPR對科技創(chuàng)業(yè)投資短期影響的報告，指出GDPR將對風險投資交易數(shù)量、交易規(guī)模以及投資總額產(chǎn)生顯著負面影響，尤其是從天使投資轉(zhuǎn)向風險資本的新興企業(yè)可能受影響最大。根據(jù)該報告，從2017年7月至2018年9月，GDPR導致很多擔心法律風險的企業(yè)宣布停止歐洲服務，造成中小企業(yè)陷入融資困境，降低歐洲市場活躍度，交易數(shù)量和私募資金數(shù)量明顯下降（分別減少了17%和40%），在短期內(nèi)削弱了歐盟數(shù)字經(jīng)濟的競爭力。

四、GDPR對中國的啟示

在我國制定《個人信息保護法》的關口，GDPR不啻于一枚寶貴的他山之石。相較于歐盟，我們有著鮮明的后發(fā)優(yōu)勢，完全可以也應當汲取GDPR實施的經(jīng)驗與教訓，擇其善者而從之，其不善者而改之。

（一）明確《個人信息保護法》的“通用性”和“一般性”

GDPR以“General”一詞作為其首要限定，彰顯了它的通用性與廣泛適用性。質(zhì)言之，無論是處理個人數(shù)據(jù)的私人組織，還是公權力機構，皆應一體遵循。這主要考慮到兩者在處理個人數(shù)據(jù)之時，均要具備正當性依據(jù)，以判斷處理行為合法與否。就此而言，兩者對于個人所負義務并無實質(zhì)差異。尤其是，伴隨著政府的數(shù)字化轉(zhuǎn)型，國家不再單純以超然于企業(yè)與個人之間利益關系的治理者角色出現(xiàn)，而同時也是最大的個人數(shù)據(jù)處理者，理應遵循個人信息保護的通用原則。近一年來，英國稅務與海關總署、比利時市長紛紛因違反GDPR而遭受處罰，顯示出它的普遍強制力。

反觀我國，《網(wǎng)絡安全法》的主要規(guī)制對象和數(shù)據(jù)保護的主要義務承擔者是“網(wǎng)絡運營者”，即網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。從該法第9條“網(wǎng)絡運營者開展經(jīng)營和服務活動，必須遵守法律、行政法規(guī)，尊重社會公德，遵守商業(yè)道德，誠實信用，履行網(wǎng)絡安全保護義務，接受政府和社會的監(jiān)督，承擔社會責任”的語義判斷，“網(wǎng)絡運營者”或不包括政府機關，由此可能引發(fā)的疑問是：收集大量個人信息的政府機關是否以及如何執(zhí)行《網(wǎng)絡安全法》第四章“網(wǎng)絡信息安全”的規(guī)定？特別是第41條確定的“個人信息收集和使用的合法、正當、必要原則”。同時，能否基于第44條“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”，將“網(wǎng)絡服務提供者”的義務一體適用至政府機關？目前尚未明確。顯然，這是一個法律漏洞，亟待通過《個人信息保護法》填補。

另一方面，“General”還表明GDPR作為一般法的定位。在萬物皆數(shù)的大數(shù)據(jù)時代，數(shù)據(jù)已經(jīng)成為企業(yè)運營的要素、市場競爭的關鍵、用戶關切的核心、政府監(jiān)管的依托、國際博弈的抓手。正是由于個人數(shù)據(jù)在經(jīng)濟、政治和生活中的基礎地位，我國的《個人信息保護法》應借鑒GDPR，定位于個人信息保護的一般法。在此基礎上，允許針對不同主體、不同事項制定因地制宜的特別法，以滿足多元多層次的社會需求。以主體特別法為例，GDPR就從事預防、調(diào)查、偵查、起訴刑事犯罪或執(zhí)行刑罰為目的的司法機關，明確適用刑事訴訟法等特別法。以事項特別法為例，美國在實用主義思路的指導下，樹立了基于細分領域的立法模式。通過《公平信用報告法》《財務隱私法》《有線通信信息法》《健康保險攜帶和責任法》等法律，美國在金融、醫(yī)療、通信等不同領域制定行業(yè)個人數(shù)據(jù)保護法，輔以包括網(wǎng)絡隱私認證、建議性行業(yè)指引等行業(yè)自律機制，形成了“部門立法+行業(yè)自律”的松散體制。

如前所述，GDPR與新興行業(yè)的抵牾恰恰說明，我們務必摒棄“一刀切”的個人信息保護思維，而應在認真評估個人數(shù)據(jù)風險以及規(guī)制成本收益的基礎上，制定AI、區(qū)塊鏈、云計算、網(wǎng)絡信貸等不同產(chǎn)業(yè)的特別規(guī)范，從而在數(shù)據(jù)保護與數(shù)據(jù)利用之間達至動態(tài)平衡。

（二）靈活解釋個人信息保護中的“知情同意”

作為GDPR的基石，由信息自決權衍生出的“知情同意”原則，優(yōu)先于其他所有合法數(shù)據(jù)處理事由。根據(jù)GDPR第4.11條，“同意”必須是“通過明確的主動式行為而給出的個人意愿的指示，指示應當具體、明確、在知情情況下作出”，這意味著GDPR下的“同意”限于“明示同意”。第29條工作組進一步指出：如果數(shù)據(jù)處理存在多項目的，那么每一個收集行為均應單獨取得同意，反過來說，多項同意不得在接受服務之初捆綁在一起。正是基于上述規(guī)則，谷歌被重罰。

法國國家信息與自由委員會認為，谷歌沒有完全讓用戶“知情”，它向用戶提供的信息是“碎片化”的，過于分散在不同的文件中：在創(chuàng)建賬戶時會打開《隱私權政策與服務條款》，隨后是通過點擊文件中的鏈接打開《隱私權政策》和《服務條款》，而在這兩份文件中又有為獲得補充信息必須點擊激活的按鍵和鏈接。這種“擠牙膏”式的信息設置，使得用戶必須多次點擊后才能獲得必要信息。國家信息與自由委員會進一步指出：面對要么接受所有收集行為，要么全部拒絕的困境，用戶往往缺乏真正的選擇，從而欠缺了GDPR所必需的“自由意志”。然而，谷歌恰恰違背了這一點。此前默認情況下預先勾選了同意框，類似于“選擇退出”而不是“選擇加入”，這帶來了“勾選疲勞”的危險。事實上，國家信息與自由委員會上述觀點早已與之。2018年10月，其在針對法國線上廣告商Vectaury作出限期整改決定時，就警告說：企業(yè)不能通過將多個用途捆綁在單個“我同意”按鈕上，來獲得對處理個人數(shù)據(jù)的同意。

無獨有偶，在2019年初《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》中，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局重申對App強制授權、過度索權、超范圍收集個人信息的治理，要求收集個人信息時應以通俗易懂、簡單明了的方式展示個人信息收集使用規(guī)則，并經(jīng)個人信息主體自主選擇同意；不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權。顯然，與法國相似，個人信息收集的透明度和一攬子捆綁同意亦是我國監(jiān)管者關注的重點。

發(fā)現(xiàn)問題不難，難的是如何解決問題。在“知情同意”的架構下，最徹底的根治手段莫過于在用戶首次登錄之時，巨細靡遺地列出所提供的不同服務、不同產(chǎn)品、不同業(yè)務功能及其相關的個人信息類型，并就各服務、產(chǎn)品、業(yè)務的信息處理規(guī)則（包括但不限于處理目的、方式、頻率、存放地域、存儲期限、對外共享、轉(zhuǎn)讓、披露的情形）一一告知用戶，同時，針對每一項服務、產(chǎn)品、業(yè)務，向用戶提供填寫、點擊或勾選的途徑，以便于用戶主動進入或退出。然而，這樣的解決方案一方面必然增加企業(yè)重新設計軟件和用戶界面的成本；另一方面，也必然大幅降低用戶的使用體驗。在以打造生態(tài)為目標的互聯(lián)網(wǎng)上，紛繁復雜的產(chǎn)品、服務、功能往往關聯(lián)到同一個賬戶。面對數(shù)以百計的勾選窗口，估計任何一個正常的用戶，都會選擇直接關閉頁面。正是考慮到這一點，谷歌才通過一攬子的方式取得授權，而只有用戶點擊“更多選項”后，才能單獨地選擇同意接受數(shù)據(jù)處理的子項。除了給企業(yè)和用戶帶來不便，這樣的全面披露甚至是“反人性的”。芝加哥大學教授歐姆瑞·本·沙哈爾在《過猶不及：強制披露的失敗》中充分揭示了信息披露的悖論。在監(jiān)管者看來，用戶會感激涕零地利用披露信息進行審慎的決定，事實上，絕大多數(shù)人都是“決策厭惡”（decision averse）的：沒有人愿意去做陌生而復雜的決策，他們總是希望利用更少的信息、花更少心思去做選擇。所以，全面披露往往過猶不及。那么，有沒有更好的方案？

一方面，可以放松“知情”的要求，經(jīng)由合理設計的“明智披露”（smart disclosure），將數(shù)據(jù)控制者的“全面披露”義務，轉(zhuǎn)換為“概括披露”義務。簡言之，允許它們將用戶首要使用目的和最主要需求的基本業(yè)務信息（包括所處理的個人信息類型及其規(guī)則），打包提供給用戶。同時，這些信息應當是標準化和簡明的。而針對上述“基本業(yè)務”以外的“擴展業(yè)務”，則應通過交互界面或設計向用戶逐一告知并由其逐一選擇同意與否。顯然，基本功能的概括披露和擴展功能的詳細披露，減少了信息數(shù)量，大幅降低了企業(yè)和用戶的負擔。

另一方面，可以放寬“同意”的解釋，將“默示同意”納入其中。盡管GDPR對“同意”做出嚴格限定，但GDPR第6條另外規(guī)定了“為履行合同所必要”“為履行數(shù)據(jù)控制者法定義務所必要”“為保護數(shù)據(jù)主體或其他自然人重大利益所必要”“為實施數(shù)據(jù)控制者職權之必要”“為履行涉及公共利益的職責所必要”“為追求合法利益目的所必要”等數(shù)據(jù)處理的正當性基礎，以緩解“明示同意”的僵化。反觀我國，在《網(wǎng)絡安全法》下，用戶同意幾乎成為個人數(shù)據(jù)處理的唯一前提。若仿效GDPR對“同意”的界定，必然導致其承受不能承受之重。為此，不妨合我國《合同法》第22條，對“同意”作出更靈活、更豐富的解釋，使之涵蓋用戶通過特定行為作出的“默示同意”。當然，這里的“行為”首先是有目的和有意義的積極行為，比如發(fā)送、點擊、登錄等，純粹的不作為不構成同意。其次，蘊含于特定行為內(nèi)的“內(nèi)在意思”應結合交易習慣、服務類型、合同目的綜合判斷。為避免“默示同意”超出用戶真實意思，其應限于前述“基本業(yè)務”，以反映社會一般公眾的認知。

最后需要指出，“基本業(yè)務”和“擴展業(yè)務”是不斷發(fā)展和相互轉(zhuǎn)化的，本質(zhì)上是市場競爭和當事人共同決定的結果。我們既要防范數(shù)據(jù)控制者利用自身優(yōu)勢，隨意劃定基本業(yè)務的范圍，重蹈一攬子授權捆綁同意的覆轍，也要防范監(jiān)管機構事前以自身標準，取代市場選擇。因此，無論是國家執(zhí)法機關，還是司法機關，均應采取事后的、個案式、權衡性的規(guī)制手段，從企業(yè)的市場推廣、商務定位、產(chǎn)品名稱以及一般用戶的理解與期待出發(fā)，加以綜合判斷。

（三）重新錨定個人信息保護的制度基點

GDPR正確認識到“信任”對于數(shù)字經(jīng)濟的重要意義，但它卻試圖通過賦予個人數(shù)據(jù)的高度控制權來促進它，但結果卻事倍功半，甚至是南轅北轍。其原因一言以蔽之，在個人信息上根本無法成立由個人支配和控制的絕對權利。正如德國學者多反思的，信息是人類行動的產(chǎn)物和前提，是現(xiàn)實世界的精神模式，在法律上制造個人信息的稀缺性，無疑于禁錮思想，阻嚇交流，如果在個人信息上承認一種近似于所有權的支配權，其結果只能是對他人行為的支配，而不僅僅是對自己個人信息的支配。其次，在信息爆炸的數(shù)字時代，個人在事實上也不可能完全控制自己的信息。在生活中，由于缺乏資源、學習時間有限和專業(yè)知識的缺乏等因素，個人常常會以無知的狀態(tài)作出決定。所以，與其說我們主張對個人信息處理擁有最終決定權，不如說追求發(fā)言權。最后，個人信息彌散在人類所有社會交往和日常交易空間，法律要根據(jù)不同的生活場景和商業(yè)領域，隨物附形地予以調(diào)整。個人信息絕對化的權利定位，喪失了應有的靈活性，使得后續(xù)的權利限制和克減困難重重。

信任至關重要，但信任始終是雙方的事業(yè)。GDPR試圖通過“用戶賦權—企業(yè)擔責”的單向路徑實現(xiàn)信任，忽略了在激烈市場競爭下用戶和企業(yè)共贏的可能性。正如管理學大師德魯克所言：“關于企業(yè)的目的，唯一正確而有效的定義就是創(chuàng)造客戶。”獲得客戶的信任同樣是企業(yè)念茲在茲的目標。因此，如何從正面激勵企業(yè)尊重用戶對個人信息的權益，將“零和博弈”轉(zhuǎn)向“正和博弈”，才是《個人信息保護法》的出發(fā)點。

這一思路轉(zhuǎn)換的重點在于同時承認用戶和企業(yè)的利益，但企業(yè)必須將其利益的實現(xiàn)建立在用戶利益實現(xiàn)的基礎之上，這意味著企業(yè)應當成為用戶的“受托人”（fiduciary），一個為用戶利益行事，對用戶負有信賴、忠實、善意以及誠實義務的人。作為一個高度靈活性的概念，信義規(guī)則（fiduciary rule）不但內(nèi)在于羅馬法以降的大陸法之中，而且被陸續(xù)運用到18世紀的英美代理法、合伙法和19世紀末的公司法中。20世紀以來，從“醫(yī)生與病人”、“藥劑師與顧客”到“銀行與存款人”，再到“特許人與被特許人”、“許可（license）的授予者與受領者”，其范圍不斷拓展。在信息時代，包括書店、搜索引擎、電子郵件提供商、云存儲服務、物理和流媒體提供商，以及在處理我們數(shù)據(jù)時的網(wǎng)站和社交網(wǎng)絡，都可以成為“信息受托人”（information fiduciary）。這一觀念絕非理論想象。從英國政府“數(shù)據(jù)信托”（data trust）的提出，到美國統(tǒng)一州法委員會《受托人訪問數(shù)字資產(chǎn)統(tǒng)一法案（2015年修正）》（Revised Uniform Fiduciary Access to Digital Assets Act），相關制度實踐已經(jīng)浮現(xiàn)。

個人信息的信義規(guī)則不但能塑造個人與企業(yè)的信任，更深刻改變了他們的權利、義務和期待。作為受托人，企業(yè)對個人信息擁有開放性權力，由此從GDPR嚴格規(guī)范、“動輒得咎”的境地中解脫出來，得以在不侵害用戶利益的前提下，最大化個人信息的價值。當然，這絕不意味著企業(yè)可以恣意妄為，通過事后責任追究而非事前行為禁止的機制，監(jiān)督其勤勉、忠實地對待用戶。作為委托人，用戶固然失去了部分的信息控制權，但仍保留了查詢、審查和撤銷授權的權利。借用英國哲學家密爾的名言，“用戶的確是信息的主人，但他需要一個好的仆人?！倍芡腥司褪沁@樣的仆人。只有在企業(yè)付出人力、物力、財力，努力記錄、存儲、分析、匯聚個人信息之后，個人信息才真正變?yōu)橛脩艨筛锌捎玫馁Y產(chǎn)。就此而言，用戶經(jīng)歷了從權利到福利的提升與轉(zhuǎn)變。

結語

從經(jīng)合組織1980年《關于隱私保護與個人數(shù)據(jù)跨境流通指引》（the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data）到GDPR，個人信息保護制度已經(jīng)走過三代。毋庸諱言，GDPR凝聚了歐盟智識、彰顯出歐洲價值，其在歐盟以外的影響力亦與日俱增。但任何一部法律都是“地方性”的，總有其自身的背景、歷史和關切。GDPR近一年的實踐進一步證明：它在個人數(shù)據(jù)權利和數(shù)字經(jīng)濟發(fā)展的平衡方面并不成功。作為擁有網(wǎng)民最多、數(shù)字經(jīng)濟位居世界前列的國家，中國理應成為全球個人信息保護制度的關鍵塑造者。為此，我國《個人信息保護法》當以GDPR為鏡鑒，以超邁他國的勇氣，為數(shù)字時代貢獻偉大的中國智慧。（為便于讀者閱讀，已略去注釋。原文載于《電子知識產(chǎn)權》2019年第6期。本文源自微信公眾號“數(shù)字經(jīng)濟與社會”，