GDPR出台之后,对互联网企业的全球化进程有比较大的影响,同时对从事数字经济领域创新的中小企业影响更大,大幅地增加他们的合规成本。比如说法律适用域外的权力,明显对中国的互联网服务和跨境电子商务有影响。虽然在互联网领域,美国在欧洲的利益更大,但是中国从事跨境电商的平台和中小企业都面临GDPR合规的挑战。值得关注的是,除了合规成本加大之外,更关键的未来还存在潜在的不可控的风险,也就是执法的不确定性可能会成为大问题。
在数字经济领域,数据是商业价值创造的主要来源,互联网产业的快速发展主要是依靠数据,只有这样才能够给客户提供更好的服务。数据给商业模式创新带来了机会,包括在提升市场效率和服务水平等方面,未来商业创新都离不开个人数据。
欧盟GDPR的规定中对于数据主体的各种权利以及惩罚措施过于严格。不只是其他国家的企业,即使是欧盟企业对之并不乐观。特别是欧盟的中小企业在这方面抱怨很大,合规成本的上升导致生存和创新都成问题。
个人数据保护法规已经成为核心商业规则。因为毕竟每个人都有自己的权利,特别是存在数据泄露和数据被滥用的情况。我们需要去平衡发展、利用数据和有效的保护个人的权利不被遭受到侵害。工业时代的价值创造来源于技术创新,其中知识产权的保护起到重要作用。但是知识产权的保护不是抑制技术创新,保护的根本目的是为了能够产生更多的新技术,使得技术被广泛地采纳和应用。所以我认为个人数据保护的法规,是在数字经济发展的背景下,跟工业时代有关知识产权保护的立法原则相辅相成,或者一脉相承。因此,建议数字经济立法的宗旨并不是说让大家都不要给出数据,让大家都在数据方面、应用方面受到很多的阻碍,目标实际上是把数据用好,与此同时来保护好个人的权利。
美国偏行业自律 欧盟推崇严苛的法律
在美国和欧盟之间,这几年在数据保护方面存在一些分歧。美国推出APEC的跨境数据隐私保护规则(CBPR),跟欧洲一直在谈判,从当时的安全港协议到现在的隐私盾协议,美国政府在帮助企业做到行业的自律规则,利用这个规则能够跟欧盟法律进行对接,以便为互联网企业找到应对欧盟法律合规的途径。美国的法律在数据隐私方面有很多的判例,这些判例可以维护美国个人在隐私方面的权利。但是与此同时,在跨境领域,特别在跨境电商和互联网服务领域,美国强调的就是行业自律的规则。相对来讲,欧盟通过出台相应的比较严苛的法律,特别是增强域外管辖权来实现对个人数据的保护。
在互联网产业领域,中国和美国在全世界走得比较靠前,这是大家有目共睹的。美国自从有了网络,就在商业创新和信息应用方面走在前面,包括个人信息应用,比如20年前我在美国曾经参加过一次美国十年人口统计数据的应用的研讨会,当时就很惊讶,美国的数据应用在创新方面走得很超前。而这些数据应用给社会创造了独特价值,对经济和政治方面都有积极影响。
进入到互联网时代之后,我们消费者有机会轻松享用各种服务的背后其实是数据的流动。很多研究证明,互联网数据没有得到很好的保护,或者说数据泄露、黑客攻击的问题,大多数都出于企业管理不善或技术薄弱。当然其中还有很多组织和制度的问题,造成漏洞被黑客利用。因此,数字经济立法的宗旨实际是基于对数据泄露或滥用问题的解决和震慑,而不是为了使得数据应用、转移、处理和共享设置过高门槛。欧盟最近也在强调数据共享的问题,可能担心GDPR让企业不敢进行数据共享。我们所处的快速发展的互联网时代,互联网企业通过收集、处理个人数据来帮助我们改进个人福利和我们的社会管理能力,为个人提供更好的服务。因此,法律上保护数据隐私的底线是数据主体是否遭受到侵害。
建议数字经济法律制度设计要服务于中国企业的全球化
关于数字经济法律制度,建议政府部门有三个层次的考虑,首先,建议我们国家有需要一个权威的机构或部门进行数据相关问题的监管与协调,包括参与国际上的问题沟通;第二,参考美国推广行业自律的规则,完善问责机构与认证制度,采用生态治理的方式,比如美国推出的APEC跨境数据隐私保护,就是在行业自律层面做文章,通过行业认可的标准,来减少数据管理当中的漏洞,让企业自觉地提升它的数据管理水平。
第三点,更为重要的是制定国家政策法规的未来原则应该为互联网行业提供更好的服务,能够为跨境电商企业为代表的中国企业全球化发展创造良好的条件。明确跨境数据流动的基本原则,让信息能够更充分的流动为前提,毕竟互联网产业的国际化发展需要这样的环境,需要合理合法合规的原则。
另外,我们需要建立企业管理、行业自律、政府监管的分层治理制度,这样就可以跟国外政府或对等机构开展商谈。美国和欧盟之间在个人数据保护、跨境数据的流动方面,采取了不同的态度。我们看到,美国互联网产业的发展全球领先,美国行业自律的标准在数据保护中起到了重要作用,而欧盟迄今为止缺少互联网领域的领军企业。中国可以考虑跟互联网发展比较靠前的美国联手,借鉴美国的经验和制度,需要制定行业所认同的数据保护的标准和规则。
总起来看,我们国家数字经济立法方向需要从发展互联网产业和促进创新的角度,不必要去照搬欧盟的做法,而是应该探讨真正促进中国互联网企业全球化进程的数据保护新制度,同时用数据治理的规则或标准规范帮助企业提升数据隐私的技术和管理水平,同时积极参与制定跨境数据的共享传输的标准、规则,比如与一带一路国家共同设计可行的跨境数据流动的双边或多边规则。(对外经济贸易大学教授 王健)
