2018年5月25日,歐盟《通用資料保護條例》(General Data Protection Regulation,GDPR)正式開始實施。國内坊間集中關注法條通譯和簡明解釋,或者是理論設想中的使用者權益保障或企業合規方式。但是,根據筆者對近期全球企業應對GDPR的具體舉措和歐盟相關實踐狀況的觀察,GDPR的實際效用頗為有限,甚至可以推測在很長一段時間内不能發揮出預想中保障使用者資料權益、歐盟資料主權和提振本土數字經濟的作用。
首先,GDPR對跨境網際網路巨頭企業的規制作用較為有限。最初設想中,這部“史上最嚴的隐私資料保護條例”将通過使用者“明确同意”、“被遺忘權利”、“資料使用知情權”等條款強有力地規制美國谷歌、臉書公司等在歐洲地區的資料收集、存儲和使用。然而,目前不少企業更新的隐私條款采用隐性的“同意或退出”的強迫選擇方式要求使用者廣泛、明确地進行授權。(雖然數個隐私權倡導組織已經将針對Google、Facebook、WhatsApp和Instagram的投訴分别送出到法國、比利時和奧地利的監管機構。但是,姑且不論結果,整個過程必然漫漫無期。)
同時,目前國際網際網路巨頭企業的資料安全防護與資料去真處理的技術和程式普遍較為完善。此前在資料收集和使用上暴露出的問題常常是因為“忘記”寫入隐私條款,而不是使用者特别重視資料隐私。(調查顯示,美國居民中迄今尚有半數不知道資料隐私;而針對此次GDPR引發的全球企業隐私政策更新風潮的調查顯示,95%的人在沒有閱讀的情況下點選“同意”)。GDPR不過是促使這些企業通過冗長的隐私政策将可能違反GDPR規定的内容事無巨細地逐項寫入,進而分門别類地、輕而易舉地取得使用者的“明确同意”,順理成章地履行了合規義務。
其次,GDPR對使用者資料權益保障較為有限。對使用者而言,GDPR使其可以要求企業提供(或授權下載下傳)所有個人資料,享有要求企業告知資料“由誰處理、作何用途”的權利,以及資料洩露72小時内接獲通知的權利等等。問題在于,雖然GDPR要求企業隐私政策使用“清晰而平實”的語言,但目前所見的大量更新條文冗長複雜、包羅萬象,并非普通使用者可以直覺了解,且閱讀長文耗時耗力。這種即便從企業獲得個人資料和資料使用狀況說明、還需要專家解讀的形式意義上的高透明度,對于絕大多數使用者意義不大,導緻了僅有5%的使用者閱讀了巨頭企業近期更新的隐私政策。
再次,GDPR難以發揮推動本土數字經濟增長的作用。歐盟居民的日常生活長期依賴海外網際網路産品供給,Google、Amazon、Facebook等壟斷問題嚴重,既威脅區域資料主權、資料産權和資料隐私安全,也制約了本土企業有序成長。理論設想中,GDPR配合歐盟的《數字化單一市場戰略》及其附件,能夠有力支撐歐盟數字經濟攀登全球頂峰。但是,實施前後各方動作顯示,實力雄厚的國際網際網路巨頭企業正在按部就班地推進合規工作。海外受到巨大波及、甚至暫停歐洲區服務的大多為娛樂社交類中小企業、大量知名的新聞網站和閱讀輔助工具等,如loadout、tunngle、Instapaper。相反,歐盟内的絕大多數網際網路企業規模較小,受到較大影響。事實上,超大型跨國企業的合規能力和合規成本都低于中小初創企業。目前來看,GDPR提振使用者資料參與信心的作用有限(絕大多數人不關心),也未能妥善發揮扶持本土企業發展的間接作用。
據此,在GDPR落地實施的過程中,亟待對隐私政策條款“清晰而平實”的表達方式進行細化規定;對“同意或退出”的隐性強制進行廣泛梳理;對企業在使用使用者資料中保持公平、公正、公開的連貫性做法進行全面的技術規範(尤其是避免各種潛在歧視)。這些也是筆者目前推測的GDPR解釋條款的進一步發展方向。
原文釋出時間為:2018-05-28
本文作者:蔣潔
本文來自雲栖社群合作夥伴“
阿裡研究院”,了解相關資訊可以關注“
”。
![利用GPU性能名額進行彈性伸縮[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)