中央财经大学吴韬教授
一、认清GDPR的国际经贸背景
GDPR的出台,有比较深刻的国际经贸背景。欧盟的数字经济发展情况显然与它在世界经济格局中的地位不相称。尤其是与美、中相比,差距较大。在这种态势下,欧盟出台GDPR,一方面与其欧洲大陆十分重视基本权利这一传统有关,另外,也有通过法律手段遏制国际竞争对手的考虑。个人数据保护有可能会像环境保护、劳工保护等手段一样,被用作一种新型的国际投资和贸易壁垒。
最近几年,随着美国几大互联网企业在欧盟市场的高歌猛进,欧盟不断通过个人数据保护和反垄断等公法手段对它们实施“围剿”,尽管收到一些效果,但是也不伤筋骨。数据是数字经济的“石油”,在竞争法理论上看,数据的占有会在很大程度上影响市场进入。通过GDPR抑制互联网企业的数据收集和占有,在此基础上,如果再通过竞争法要求在位企业向市场新晋企业开放数据,就有可能从根本上改变数字经济的竞争格局。
受GDPR冲击的,首当其冲的是谷歌、脸书、亚马逊等几个美国大企业,因为欧洲是它们的主要海外市场。同时,随着中国数字产业的繁荣发展,中国的互联网企业也在通过服务贸易和直接投资等形式积极地扩展包括欧盟在内的海外市场。显然,对中国企业而言,GDPR的生效实施将提高合规成本、增大法律风险、增加进入欧盟市场的难度。这对中国企业“走出去”,乃至国家“一带一路”倡议的实施都会产生不利影响。总之,对GDPR的应对,要置于中欧乃至全球经贸关系的语境下统筹考虑,着力维护我国互联网企业的全球竞争力和领先地位。
二、关注GDPR的负面效应
即使不从国际经贸关系的角度,而是从一个客观中立的角度审视,GDPR的负面效应也十分明显。首先,它遏制创新。GDPR在公法层面认可了一些长期以来素有争议的个人数据权利内容,并对违法行为规定了严苛的责任。总体而言,这些保护措施畸重,不符合比例原则,会产生过度威慑效应。GDPR使提供云计算等数字经济基础设施的企业感到十分紧张。提供数字服务可能因此成为一种高危行业,企业为了自身安全会理性地选择放弃本领域的技术和商业模式创新。此外,创新的源泉一方面是在大企业,但是更重要的是中小企业,而成长中的中小企业恰恰是十分脆弱的。相对于它们微弱的盈利能力和水平,较低的技术、法律能力,GDPR的合规成本有可能成为压倒骆驼的最后一根稻草。如果中小企业不敢创新,创新必死。
第二,GDPR伤害中小企业,破坏市场生态。数量众多的中小企业是良性市场生态当中重要的组成部分,是涵养大企业的土壤,是创新最主要的源泉。中小企业的发展有赖于一个相对宽松的法律环境。如前所述,在GDPR面前,中小企业十分脆弱。面对GDPR的威胁,一些中小企业注定要面临退出市场的厄运。如果说GDPR带给大企业的是发展危机,那么它带给中小企业的则是生存危机。从这个意义上讲,GDPR针对的是大企业,但是“躺枪”的是中小企业。如果大量中小企业因不堪合规重负而倒闭,受损的将是整个市场和产业。
三、GDPR与我国个人数据保护立法
作为数字经济大国,我国正在积极建立和完善个人数据保护立法。比如网安法配套规定、民法典人格权编以及个人数据保护单行法的制定等。面对欧盟推出的GDPR,我国的相关立法应当如何设计?核心是价值选择或价值平衡问题。个人数据保护立法所涉及的价值目标主要包括三项:首先是个人数据所承载的以隐私权为核心的人的基本权利的保护;其次是数字产业的创新与发展,以及由此给用户带来的福利增长;三是以社会管理和国家安全等为核心的公共利益。
近几年,我国数字产业不断创新、快速发展,使用户(消费者)福利大幅提升,获得感极强。目前,我国通过相关刑事立法和网络安全立法,建立起了个人数据收集和利用的基本规则,有效打击了严重危害个人数据安全的违法犯罪行为。个人数据的私权保护方面,数字产业实践主要通过用户协议较好解决了个人数据收集、利用和人格权财产权益的平衡问题。企业数据也为政府公共决策、违法犯罪行为治理等提供了很好的支持,但是,目前对于政府对企业所持数据的报送要求,尚缺乏基本制度和规则。
近期将是我国个人信息保护相关法律制定出台的高峰期,我们应及早对价值目标和行动选择形成一个合理共识。首先,制度设计要兼顾人格权保护、创新与效率、消费者福利和公共利益等几种价值目标,不能只击一点,不顾其余。不能以创新发展和消费者福利为代价,设计畸形僵硬的个人数据保护制度。第二,要充分认识到GDPR的国际经贸背景以及我国与欧盟在文化传统、制度环境、产业发展状况等方面的差异。我国的个人数据保护标准和制度设计不应完全向欧盟标准看齐,更不能照搬照抄GDPR的规定。要结合我国实际情况,珍惜我们数字产业多年来快速发展所创造的成果,稳住节奏推进数字产业规范发展和个人数据保护立法工作。第三,尽快建立和完善有关制度,规范政府的数据收集、处理行为,尤其是对企业持有数据的报送要求。要合理规定数据报送的目的和范围,严格规范报送要求的批准权限和程序,明确政府对报送数据安全的保护义务。
四、个人数据保护的法律冲突与国际协调
互联网跨越国界,不同国家和地区的网络治理国内法之间的冲突在所难免。当前,主要国家和地区关于个人数据方面的法律冲突非常明显。首先,是实体规定的冲突,比如我国网安法要求数据留存期限,而GDPR则规定个人享有被遗忘权;我国和欧盟都对数据跨境自由流动有所限制,而美国的态度则趋向宽松等。其次,是管辖权方面的冲突,突出表现在各国和地区都倾向于本地法的域外适用。
处理法律冲突的基本立场是:积极寻求与相关国家和地区执法机构之间的沟通与合作,正视不同国家和地区间的法律冲突,并通过公认的国际法规则予以解决。在实体法方面,可以通过双边或多边机制寻求关于个人数据保护的共同准则;在程序法方面,则主要是在国际礼让、执法协助等方面达成共识。
(责任编辑:胡爱善)