《欧盟通用数据保护条例》的实施,或许会促进“欧盟标准”在世界范围内推广,增强欧盟参与全球网络监管事务的话语权。不过,考虑到网络安全有其特殊性,并非传统意义上的安全问题,欧盟借GDPR抢占全球网络治理话语权的考量或将面临挑战。
“欧洲人就此掌控了数据隐私保护主动权”。这是欧盟司法专员维拉·朱洛娃近日宣布《欧盟通用数据保护条例》(GDPR)生效后,一家欧洲媒体的头条评论内容。在外界看来,欧盟此次实行的所谓“史上最严”数据保护条例,或将给未来高科技产业发展带来深远影响。不过,科技进步的速度往往会超出人们的预期,旨在保护个人数据、提升欧盟企业竞争力的GDPR能在多大程度上发挥预期效用,仍有待观察。
GDPR早在酝酿实施阶段便以“罚得狠、管得宽、分得细”等严苛性而著称。早在1995年,欧盟便提出了《数据保护指令》,为欧洲国家在个人数据的立法问题上设立了最低标准参考。2015年,欧盟司法及内政事务部长级会议达成共识,指明了GDPR的设定方向与适用范围:一是在欧盟层面的法律统一问题,即“同一个欧洲,同一部法规”;二是确定域外管辖权,即非欧盟企业只要在欧盟境内提供服务,就必须遵守相关法律;三是在原则上,由成员国具体执法,即任何一个成员国的监管机构均有权对“违规者”开罚单、征罚金。欧盟的上述考量虽然引发了广泛争议,但GDPR仍于近日落地。
此间有业界人士认为,欧盟设定GDPR的初衷颇具理想主义色彩,即在个人层面上,将保护个人数据与促进数据流动并重;在企业层面上,将构建商业竞争力与规范市场监管并重。不过,虽然上述“两个并重”的理想很“丰满”,但GDPR实施前景同样面临挑战。
欧盟委员会此前指出,有超过90%的欧洲公民渴望获得数据隐私保护权,因此GDPR应促进保障欧洲公民的这项诉求,将个人数据保护权落实为欧洲的公民基本权利。不过,有多家研究机构指出,过于严苛的个人数据保护法律可能会对企业商业发展创新产生“副作用”。同时,GDPR虽然统一了监管口径,未来有助于欧盟企业减少监管对接的成本开支,但这并不能绝对保证欧盟企业未来会获得相对市场优势。相反,由于GDPR允许个人请求删除数据,未来的欧盟数据碎片数量将显著上升,由于缺乏连贯性,企业处理数据的难度亦将随之提升。考虑到大数据时代已然降临,GDPR过于注重个体保护的规则会否变成“双刃剑”,仍有待观察。
分析人士认为,GDPR的实施,或许会促进“欧盟标准”在世界范围内推广,增强欧盟参与全球网络监管事务的话语权。不过,考虑到网络安全有其特殊性,并非传统意义上的安全问题,欧盟借GDPR抢占全球网络治理话语权的考量或将面临挑战。
由于欧盟与全球经济的依存度非常高,几乎所有大型跨国企业均会受到GDPR的影响。连日来,GDPR的严苛性已经对许多企业产生了明显的震慑效应,欧盟内外企业为确保合规,纷纷修改网络上的用户隐私政策。从最直观的个人感受看,记者的邮箱亦收到了多家企业的数据使用征询信,在欧盟境内登录任何网站,也都会看到关于数据使用的弹窗跳出。同时,欧洲当地多家知名律师事务所与咨询机构亦纷纷瞄准了“商机”,大量投放提供GDPR合规业务咨询的广告信息。
但是,并非所有企业都对GDPR持合作态度。在GDPR生效之际,美国凭借相对宽松的个人隐私法规,成为了包括脸书、领英等多家跨国网络公司的“避风港”。这些公司近期采取了一系列规避措施,通过将非欧盟用户数据移至美国,间接削弱了GDPR的作用。同时,多家美国新闻网站亦暂时停止向欧洲用户提供服务,未来这些网站有可能停止存储欧洲用户信息,以规避GDPR。