首先,GDPR对跨境互联网巨头企业的规制作用较为有限。最初设想中,这部“史上最严的隐私数据保护条例”将通过用户“明确同意”、“被遗忘权利”、“数据使用知情权”等条款强有力地规制美国谷歌、脸书公司等在欧洲地区的数据收集、存储和使用。然而,目前不少企业更新的隐私条款采用隐性的“同意或退出”的强迫选择方式要求用户广泛、明确地进行授权。(虽然数个隐私权倡导组织已经将针对Google、Facebook、WhatsApp和Instagram的投诉分别提交到法国、比利时和奥地利的监管机构。但是,姑且不论结果,整个过程必然漫漫无期。)
同时,当前国际互联网巨头企业的数据安全防护与数据去真处理的技术和程序普遍较为完善。此前在数据收集和使用上暴露出的问题常常是因为“忘记”写入隐私条款,而不是用户特别重视数据隐私。(调查显示,美国居民中迄今尚有半数不知道数据隐私;而针对此次GDPR引发的全球企业隐私政策更新风潮的调查显示,95%的人在没有阅读的情况下点击“同意”)。GDPR不过是促使这些企业通过冗长的隐私政策将可能违反GDPR规定的内容事无巨细地逐项写入,进而分门别类地、轻而易举地取得用户的“明确同意”,顺理成章地履行了合规义务。
再次,GDPR难以发挥推动本土数字经济增长的作用。欧盟居民的日常生活长期依赖海外互联网产品供给,Google、Amazon、Facebook等垄断问题严重,既威胁区域数据主权、数据产权和数据隐私安全,也制约了本土企业有序成长。理论设想中,GDPR配合欧盟的《数字化单一市场战略》及其附件,能够有力支撑欧盟数字经济攀登全球顶峰。但是,实施前后各方动作显示,实力雄厚的国际互联网巨头企业正在按部就班地推进合规工作。海外受到巨大波及、甚至暂停欧洲区服务的大多为娱乐社交类中小企业、大量知名的新闻网站和阅读辅助工具等,如loadout、tunngle、Instapaper。相反,欧盟内的绝大多数互联网企业规模较小,受到较大影响。事实上,超大型跨国企业的合规能力和合规成本都低于中小初创企业。目前来看,GDPR提振用户数据参与信心的作用有限(绝大多数人不关心),也未能妥善发挥扶持本土企业发展的间接作用。
据此,在GDPR落地实施的过程中,亟待对隐私政策条款“清晰而平实”的表达方式进行细化规定;对“同意或退出”的隐性强制进行广泛梳理;对企业在使用用户数据中保持公平、公正、公开的连贯性做法进行全面的技术规范(尤其是避免各种潜在歧视)。这些也是笔者目前推测的GDPR解释条款的进一步发展方向。
更多阅读:
