欧盟委员会近日向欧洲议会和欧盟理事会提交了《通用数据保护条例》(GDPR)实施两年来的评估报告。英国《金融时报》透露,报告认为生效已两年的GDPR被证明难以实施,而且给中小企业和那些开发新技术的企业带来特别沉重的负担。
实施两年来,GDPR触动利益最大的就是互联网企业,尤其是掌握最多个人数据的超级互联网平台,它们当然希望以最低制度门槛、最低成本、最大限度地收集与垄断个人信息和数据,并且可以不受限制进行开发和运用。其对GDPR有所指摘也不奇怪。
作为互联网诞生半个世纪以来最重要、最具有里程碑意义的制度建设,GDPR涉及问题之复杂、触动利益之大、影响之深远前所未有。期望它两年时间内就立竿见影、完美无缺肯定不现实。站在局外人的角度看,GDPR两年来的进展和影响其实足以给人留下深刻印象。尽管触动了互联网企业的重大利益,但全球主要互联网公司和跨国企业都及时加入GDPR合规的政策调整,并作为全球范围统一、公平不歧视的数据报告标准。美国、中国、印度等世界主要国家的数据保护立法都以GDPR为基本框架。无论是框架还是细则,包括新冠疫情期间的实施细则,GDPR亮点要点突出,很大程度上弥补了欧洲过去在互联网领域发展不力的局面,形成了各有所长、优势互补的中美欧三足鼎立之势。
虽然名义上只着眼欧洲本土,针对欧洲公民,GDPR却直接影响所有互联网平台,间接影响全球网民。GDPR堪称一部网民的“独立宣言”,第一次通过数据保护制度确立了网民在网络空间的基本权益,确立了网民对自己所属数据的主导权。它在互联网迅猛发展的今天,对互联网企业、政府与社会民众之间越来越失衡的权力作了再平衡,为遏制全球网络空间数据滥用的趋势,结束个人信息和隐私保护的失控状态,及时提供了关键的法律制度。同时,GDPR缓解了信息技术对社会不断加剧的威胁和冲击,对于即将到来的人工智能驱动整个社会的智能化转型是很好的制度保障。
两年以来,围绕GDPR,国内有一些观点认为加强数据保护将会妨碍创新,其潜台词是欧洲互联网之所以落后于美国和中国,注重保护是最主要原因之一。实际上欧洲长期重视制度建设,在包括网络治理领域的多利益相关方模式、信息遗忘权、反垄断以及最近欧美正在交火的数字税等方面,其位置都是全球公认。欧洲互联网发展的滞后,根本上还是由欧洲市场的碎片化特性决定的。但是,产业还在快速演变之中,欧洲过去的发展劣势,并不一定决定未来。随着互联网发展进入以数据驱动的智能化新阶段,数据的基本保障将成为越来越关键的因素。
疫情迄今,在数据保护方面,我们正在面临信息肆意传播的风险。信息能在放任自流和失控下实现“群体免疫”吗?答案是否定的,个人信息失控对于不法犯罪分子是天赐良机;对于每一个公民来说,是对个人隐私、人身财产甚至生命安危的威胁;对于国家来说,是提升人民获得感、打造社会信用体系、提升社会执政能力和治理现代化的挑战。
中国个人信息和数据保护目前仍缺乏完整的制度体系,事实上这么多年放任和纵容了。几乎每一个中国人都不同程度地遭遇过数据滥用和失控导致的相关骚扰和损害。GDPR对于中国的数据保护提供了好的启示:要加大制度建设投入,努力学习国际经验;在人才建设方面加大力度,加强国际合作。
当然,GDPR两年来整体执法还是保持了谨慎和克制,即便对发生了“剑桥门”这样重大数据泄露事件的脸书,迄今也没有出手“动刀”。同时,用户数据保护的真实处境也还没有出现根本性变化。下一次评估报告是4年之后,我们期待GDPR精益求精,也期待已经纳入我国人大立法的个人信息保护法和数据安全法能够拿出出色表现,后来者居上。
(作者是浙江传媒学院互联网与社会研究院院长,全球互联网口述历史发起人)