歐盟委員會近日向歐洲議會和歐盟理事會提交了《通用資料保護條例》(GDPR)實施兩年來的評估報告。英國《金融時報》透露,報告認為生效已兩年的GDPR被證明難以實施,而且給中小企業和那些開發新技術的企業帶來特別沉重的負擔。
實施兩年來,GDPR觸動利益最大的就是網際網路企業,尤其是掌握最多個人資料的超級網際網路平臺,它們當然希望以最低制度門檻、最低成本、最大限度地收集與壟斷個人資訊和資料,並且可以不受限制進行開發和運用。其對GDPR有所指摘也不奇怪。
作為網際網路誕生半個世紀以來最重要、最具有里程碑意義的制度建設,GDPR涉及問題之複雜、觸動利益之大、影響之深遠前所未有。期望它兩年時間內就立竿見影、完美無缺肯定不現實。站在局外人的角度看,GDPR兩年來的進展和影響其實足以給人留下深刻印象。儘管觸動了網際網路企業的重大利益,但全球主要網際網路公司和跨國企業都及時加入GDPR合規的政策調整,並作為全球範圍統一、公平不歧視的資料報告標準。美國、中國、印度等世界主要國家的資料保護立法都以GDPR為基本框架。無論是框架還是細則,包括新冠疫情期間的實施細則,GDPR亮點要點突出,很大程度上彌補了歐洲過去在網際網路領域發展不力的局面,形成了各有所長、優勢互補的中美歐三足鼎立之勢。
雖然名義上只著眼歐洲本土,針對歐洲公民,GDPR卻直接影響所有網際網路平臺,間接影響全球網民。GDPR堪稱一部網民的“獨立宣言”,第一次透過資料保護制度確立了網民在網路空間的基本權益,確立了網民對自己所屬資料的主導權。它在網際網路迅猛發展的今天,對網際網路企業、政府與社會民眾之間越來越失衡的權力作了再平衡,為遏制全球網路空間資料濫用的趨勢,結束個人資訊和隱私保護的失控狀態,及時提供了關鍵的法律制度。同時,GDPR緩解了資訊科技對社會不斷加劇的威脅和衝擊,對於即將到來的人工智慧驅動整個社會的智慧化轉型是很好的制度保障。
兩年以來,圍繞GDPR,國內有一些觀點認為加強資料保護將會妨礙創新,其潛臺詞是歐洲網際網路之所以落後於美國和中國,注重保護是最主要原因之一。實際上歐洲長期重視制度建設,在包括網路治理領域的多利益相關方模式、資訊遺忘權、反壟斷以及最近歐美正在交火的數字稅等方面,其位置都是全球公認。歐洲網際網路發展的滯後,根本上還是由歐洲市場的碎片化特性決定的。但是,產業還在快速演變之中,歐洲過去的發展劣勢,並不一定決定未來。隨著網際網路發展進入以資料驅動的智慧化新階段,資料的基本保障將成為越來越關鍵的因素。
疫情迄今,在資料保護方面,我們正在面臨資訊肆意傳播的風險。資訊能在放任自流和失控下實現“群體免疫”嗎?答案是否定的,個人資訊失控對於不法犯罪分子是天賜良機;對於每一個公民來說,是對個人隱私、人身財產甚至生命安危的威脅;對於國家來說,是提升人民獲得感、打造社會信用體系、提升社會執政能力和治理現代化的挑戰。
中國個人資訊和資料保護目前仍缺乏完整的制度體系,事實上這麼多年放任和縱容了。幾乎每一箇中國人都不同程度地遭遇過資料濫用和失控導致的相關騷擾和損害。GDPR對於中國的資料保護提供了好的啟示:要加大制度建設投入,努力學習國際經驗;在人才建設方面加大力度,加強國際合作。
當然,GDPR兩年來整體執法還是保持了謹慎和剋制,即便對發生了“劍橋門”這樣重大資料洩露事件的臉書,迄今也沒有出手“動刀”。同時,使用者資料保護的真實處境也還沒有出現根本性變化。下一次評估報告是4年之後,我們期待GDPR精益求精,也期待已經納入我國人大立法的個人資訊保護法和資料安全法能夠拿出出色表現,後來者居上。(作者是浙江傳媒學院網際網路與社會研究院院長,全球網際網路口述歷史發起人)