数据领域的《多德—弗兰克法案》

路德维希·西格尔

洗耳恭听欧盟保护数据的严苛新规吧

还记得新世纪伊始险些给全世界电脑酿成灾难的Y2K（也称“千年虫”）问题吗？人们预测，由于很多老式电脑的软件用两位数表示年份，2000年和1900年没有分别，很多电脑可能于1999年12月31日午夜陷入崩溃。整个计算机行业都投入进来应对这一问题（当时《经济学人》甚至推出了一整期专题报道）。在那场事件中中招的电脑并不多，Y2K由此成为了一个代名词，用来形容险些酿成的灾难。

现在又来了一个让全世界公司忧心忡忡、挠头不已的缩略词：GDPR（“一般数据保护管理规范”的缩写），这是欧盟新推出的隐私保护法。人们担心这一规范会使手机和处理个人信息复杂到让人无法承受的地步。软件开发商、咨询公司和其他相关方再一次纷纷求饶恳请欧盟高抬贵手。不过这次，狼可能真的要来了。无论喜欢与否，GDPR都要来了，这将是2018年（确切时间是5月25日）生效的最为重要的立法之一。

欧盟用了五年多的时间才走完错综复杂的决策流程，让28个成员国就GDPR达成共识，这一规范协调了欧盟各国的隐私保护法，修订了1995年通过的数据保护法令。最终面世的成果和《多德-弗兰克法案》不尽相同，后者是2010年美国国会通过的一个长达2300页的法律文件，目的在于监管华尔街，避免再次发生金融危机。不过，按照布鲁塞尔自由大学克里斯托弗·库勒的说法，长达87页、包含99个条款的GDPR仍然是“欧盟史上制定的最复杂的规范”。目前库勒正在协调一个20人的数据保护专家组为该规范拟定解释条例，内容预计超过2000页。

管理规范如此复杂是有原因的。个人数据比货币及金融产品的界定要难得多。有很多问题需要解决。数据应该如何收集？谁有权访问？数据可以用于何种用途？最为重要的是，谁对数据拥有最终的掌控权？

从理论上讲，在欧洲这一问题的答案一直很明确。隐私权被视为基本人权，一个人对于个人数据的所有权当然也应如此（在美国，情况还有待进一步商榷）。然而从实践上看，人们早就失去了对数据的控制权，尤其是对网络数据的控制权。举例来说，要想使用大多数应用，用户必须同意繁冗的法律条款，这其中往往要求用户让渡大部分的隐私权。GDPR的核心理念就是帮个人用户夺回对隐私的掌控权。

如今同意条款中收集使用个人数据的用途必须不存疑义、明确具体，也就是说，“您的数据将被用于提升我們的服务”之类的万金油条款行不通了。用户可以要求拷贝与自己相关的数据，或者（根据“可遗忘权”）要求删除信息，抑或（根据“可转移权”）把数据转移到其他服务机构。违反任何一条规定都将面临重罚：最高2000万欧元（2400万美元），或全球年销售额的4%，两者取其金额更高的。

影响将波及全球

从跨国公司到慈善机构的经理们都将不得不殚精竭虑确保自己不触碰GDPR红线。尤其是小型公司对监管带来的压力颇多微词，有的甚至警告GDPR会导致其破产。大公司也称这一立法会增加数据相关新技术的研发难度，使欧洲处于劣势。两者说的都没错。在倡导隐私保护的德国政要的大力推动下， GDPR步子迈得确实太大，想要规范的东西太多。库勒预测“规范实施的前几年会一地鸡毛”，出现一大波诉讼。更雪上加霜的是，欧盟还在酝酿推出新的针对在线服务的《e隐私管理规范》。

GDPR饱受争议还有其他原因。原因之一是它的跨地域性。GDPR不仅会适用于欧盟，还将适用于处理欧盟公民个人信息的所有地域来源。有些人担心这种数据保护的做法是逆时代而动。在需要海量数据信息的人工智能时代，采集信息时通告用户、使用信息前征得同意已经不再具有可行性。非但如此，牛津大学的维克托·迈尔-舍恩伯格认为，这会成为创新的障碍。他的观点是，政府应该做的不是管控数据采集，而是将有损用户使用信息的行为定为非法，比如针对特定数据类型的用户提供歧视性服务。如果Y2K事件时人们侥幸逃过一劫，GDPR恐怕会酿成大祸。

（翻译：付文慧，审译：康娟）endprint