反对唯GDPR论

2019-03-21 18:25:42 eNet&Ciweek/姜奇平

推荐语

​2月28日,我在北京大学数据治理热点问题研讨会上,提出反对唯GDPR论(GDPR是指欧盟《通用数据保护条例》)。

2月28日,我在北京大学数据治理热点问题研讨会上,提出反对唯GDPR论(GDPR是指欧盟《通用数据保护条例》)。许多专家都有同感。如主持人江溯教授总结的那样,中国数据立法要立足自己,不能照搬照抄欧盟。

一、如何评价GDPR

针对当前我国数据立法规范在模仿欧盟的现象,我首先提出了对GDPR的评价,明确认为,总的看,这不是一部好法,虽然它包含不少好的内容 。

去年5月25日在欧盟全体成员国正式生效的欧盟《通用数据保护条例》(GDPR)。被公认为是“史上最严格的个人数据保护条例”。在这个法生效的第一时间,我就在6月6日的人民日报上评论认为,个人数据保护,度是个难题。认为:与中美相关政策取向比较,欧盟在个人信息开发与保护政策上,强化保护,弱化开发。在有利于保护个人隐私的同时,与其他限制互联网发展的政策一样,将进一步使欧盟拉大与中美发展的差距。

当前,中美互联网公司对欧盟GDPR出现一片反对之声,据我分析,主要在于三个关键问题上,立场相左。

第一,在总的原则是鼓励还是限制信息与数据发展上,态度不同。中美将坚持让数据作用最大化。中国一直倡导信息资源开发利用,甚至在文件中将信息资源称为财富。邓小平提开发信息资源,没提保护。保护的说法,还是从美国进口的。而GDPR在其第5条个人数据处理原则中,明确提出“数据最小化”原则,将沿着“数据最小化”方向特立独行。

第二,在消费者政策取向上对比鲜明。中国、美国作为世界上互联网数据平台绝对领先国家,均不同程度采取在个人信息开发与保护之间保持平衡的政策取向。例如,提出个人信息保护,而非隐私保护,就在于突出个人信息、个人数据的中性色彩。而欧盟作为单纯的数据消费方,相对中美,则更加强调个人隐私保护。

第三,对企业政策取向上对比鲜明。GDPR强调“欧洲境内适用欧洲法律”,即使在欧盟以外的企业要在欧盟范围内提供服务,也需要遵守欧盟法律。这将对中美数据巨头在欧盟开展业务,产生广泛影响。

二、应警惕唯GDPR的倾向

我在人民日报上说,“度”是个难题,也有针对国内预警的意思。果然,当前我国数据治理领域出现了趋向过严的趋势,以及唯GDPR论的不良现象。

唯GDPR论表现之一,是逆开发信息资源而为。比如,欧盟尚且将促进内部数据自由流动为导向。而我国有关法规却写“个人信息原则上不能共享、转让”。有违邓小平倡导的“开发信息资源”,不仅不利于企业发展,而且有损于消费者利益,因为可能抑制消费者个性化服务水平提高。

唯GDPR论表现之二,是照搬照抄过头,庸政盛行。如,欧盟都没要求的用户授权,却在中国出现。比最还要最,变成了最最。历史教训证明,什么事情到了最最最,就会走向反面。如企业反映的那样,我国数据立法质量不高,如何保障企业合法使用数据,没有规则。这造成企业合规成本过高。直接打击和削弱了国家竞争力。

照搬照抄欧盟打击中美的立法,甚至抄过头,害处是造成数据领域“高标准立法,普遍性违法,选择性违法”。滴滴女受害事件中,女孩子没有得到及时援救,就与数据确认要求过高有关。有关部门不能为了自己遇事免责,就把企业做事的门槛立得高高的。让社会发展为自己仕途让路。

唯GDPR论表现之三,个人数据与生产数据不分,妨碍生产。企业反映,大数据时代,个人数据与生产数据往往难以区分,如红领集团的个性化定制,个人身高三围数据本质上是生产所需数据,如果立法盲区模仿GDPR,导致这样的数据采集成本高,企业生产成本一定上去,在经济低迷时期进一步打击企业。

唯GDPR论表现之四,对创新的监管不包容、不审慎,过度监管。如,一个小小的APP,有的地方三次重复审查同一问题。要鼓励创新,包容审慎。欧盟尚且区分数据的交易场景与非交易场景。对非交易场景的数据放行。我们不能比“最严格”的欧盟还严格,那样就做过头了。

三、对数据治理,我国应坚持自主创新

欧盟《通用数据保护条例》是在落后状态下低水平认识数据发展规律的产物,我国数据技术和产业发展均领先于欧盟,应自主创新认识其中监管规律,走出一条新路。

1、要坚持个人信息中性,发挥市场经济作用,比欧盟更好地维护消费者权益。

第一,要坚持个人信息中性,让市场平衡开放与保护的度。

个人信息必须找到利益平衡点,才能真正找到监管的发力杠杆。凯文·凯利曾在北京当面跟我讲,个人信息中的隐私保护与个性化服务需求,是一对矛盾,消费者在这正反两极间权衡后做出的选择,才代表消费者的真正利益所在。

好的做法是,制订规则坚持让市场发挥决定作用。让市场平衡这两个方面。当消费者认为要个性化服务时,这个规则能鼓励个人信息开发;当认为要安全时,这个规则能鼓励个人信息保护。

第二,赋权用户,要从前端,向中端后端延伸,才能真正赋权到位。

GDPR强调赋权用户,给人予消费者得益的假象。但我个人认为,恰恰是这方面,欧盟做的不到位。欧盟给消费者赋的权,主要是开关权,直接让厂商关掉信息采集的开关。这恰恰有可能损害消费者利益,因为可能断了消费者享受个性化服务的后路。

真正到位的,不是这种前端式监管做法,而应是放宽采集,在数据使用的中端与后端,多为消费者赋权。要让消费者根据服务水平评价厂家,要建立由消费者决定厂家优胜劣汰的机制。GDPR保护了半天消费者,在关键和要害上,却没有给消费者这样的权力。所以GDPR根本不是对消费者保护过度,而是对企业限制过度,对消费者保护又不足。

2、数据业应区分裁判与运动员,着眼更先进的业态进行行业治理。

在数据产业中,对生产者如何规制,GDPR的做法不成熟。主要表现在,他没想到踢足球可以设个裁判。没听说欧冠决赛,越过裁判,让法官包办代替的。

成熟的数据业态,应区分元数据与应用数据业,前者为数据基础平台,相当于裁判;后者为应用数据行业,相当于运动员行业。

培育元数据业的核心思想,是设立裁判,让专业裁判来管,具体可以有三类治理方法。

第一类是市场化的方法。

GDPR中的第20条,我非常欣赏,这是GDPR不多的亮点之一。它赋权消费者在接受服务时,可调取各企业有关自己的数据(而各企业不可以)给当下的服务者,把画全像的权力交到消费者手上,由此形成的个人数据中心,具有元数据行业的潜力。这是市场化的做法。

第二类是行业化的方法。

对数据裁判业(以企业联盟、协会或平台为主体),通过行规来治理。元数据行业有权依公开规则管理应用数据行业对于数据的调用。行规,意味着必须对每一位运动员公平,不能与运动员订立私约。通过行规管理数据使用,意味着决定数据可以怎样使用,不可以怎样使用。例如,依法律等决定数据可不可以用于影响用户投票,又如,原数据要不要加以马赛克处理后使用等。再如,规定数据关系链属于企业核心资产,未经协议不得调用。等等。

第三类是政府监管。

如果行规仍不足以保证公共利益,或可能使公共利益受损,则涉及数据的政府管制,如,规定准入,行政干预等。不过,政府监管应有一个前提,就是市场失灵与行业失灵,之后再介入。

总之,我国数据治理应该借鉴数字经济发展中的成功经验,审慎包容,而不应盲目借鉴国外经验。学习落后者,会从领先变成落后。 

您对本文或本站有任何意见,请在下方提交,谢谢!

投稿信箱:tougao@ciweek.com

友情链接