伴随着数字经济时代的到来,数据资源得到越来越广泛的使用,数据监管与数据保护同样成为各国关注的焦点。在今年6月的G20大阪会议上,各国首脑汇聚一堂,致力于在开启数据治理与国际协调方面达成一定共识。然而,结合会后日方发布的宣言,不难发现,所谓成果其实较为“笼统”、“宽泛”,虽然有24个国家与地区在“宣言”中签字,但印度、印尼和南非均表示拒绝,签署国亦在对待数据流通和数据安全方面加强了自身的立场。
各国在数据保护方面的分歧源于不同的经济约束条件与个性化的监管理念。根据梳理不难发现,欧盟在数据保护方面一直是全球的先行者,在落地层面也是全球最为严格的监管者。2018年5月欧盟推出的《通用数据保护条例》(以下简称“GDPR”),是目前覆盖面最广的个人数据隐私保护法规,但其规定的违反数据保护行为将遭受的最高罚款额度为2000万欧元或当年全球营业额的4%二者的较高值,严管之严厉令人望而生畏,也受到不少争议,甚至被称为“惩罚性监管”。
欧盟严格数据保护条例使得近一年来受到数据侵犯处罚的案例激增。自GDPR正式实施至2019 年上半年,欧洲各国的数据保护机关已经收到超过14 万件侵犯数据权利的案件举报;截止2019年9月底,总共有82个机构或者个人受到GDPR 的处罚。大量处罚的背后是监管层对于数据隐私保护的高度重视与从严监管态度,其也为全球数据保护监管提供了一个可以参考的模板。
然而,需要反思的是,这个模板似乎并不完美,运行至今多方主体的抱怨此起彼伏,甚至有批评声音认为,其实施效果与立法目标背道而驰,不仅不利于创新主体的出现,损于市场格局,也未能够达到消费者保护的理想效果。在笔者看来,欧盟“惩罚性”监管弊大于利,当下已有一些明显的负面效果呈现,具体体现在:
一是GDPR限制了商业业务开展,破坏了市场竞争格局。GDPR的立法目的之一是想为“欧盟单一数字经济市场”提供“基本法”,有效促进商业发展。但是从效果上来看,其却并没有起到提振欧盟数字经济市场的作用。
例如,2019年美国“数据创新研究中心”对欧洲在线广告业务调研的结果显示,GDPR使得欧洲对在线广告的需求下降了20%至40%。数百个网站完全停止对欧洲服务;截止2018年12月,超过1000家美国新闻网站无法在欧洲展业。美国前100家媒体中,约有三分之一选择直接关闭他们在欧洲的网站,而非遵循GDPR的要求,其中包括《芝加哥论坛报》、《纽约日报》、《达拉斯晨报》等多家知名媒体。
二是高昂的合规成本已使得欧洲错失全球创新大潮,发展明显落后于美国与中国。由于GDPR大幅提高了机构的合规成本和业务成本,多数商业机构备受其害。普华永道针对500家美国公司的调研结果显示,至少有68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规要求,另有9%企业的预算超过1000万美元。凯捷咨询(Capgemini)的报告显示,截止2019年6月,受到GDPR监管的商业机构只有28%完成了其内部的合规工作。
过高的合规成本对于大企业而言尚且是巨大负担,对于初创型企业而言更是难以承受。创新是经济增长的不竭动力。新千年以来,全球科技浪潮风起云涌,金融科技、数字科技、人工智能创新方兴未艾,短短二十年的时间里,全球诞生了很多改变世界的公司。但这一轮全球科技革命基本由中美科技巨头引领,欧洲企业在新一轮科技创新大潮中已然落伍。截止2019年初,全球15家最大的数字公司全部都来自美国和中国,欧洲没有诞生一家与数字科技相关的巨头企业。欧洲作为诺贝尔奖的故乡和两次工业革命的发源地,有着辉煌的创新历史和科技研发土壤,但受制于过度严格的监管,欧洲科技创新已明显掉队,不得不让人深思。
三是GDPR并没有起到预期的加强消费者隐私保护的效果。对于个人消费者来说,GDPR 加剧了用户对数据收集、使用、存储过程的不信任,消费者保护也并没有达到理想效果。虽然GDPR 的立法初衷是通过可携带权、被遗忘权等新型数据权利的创设强化消费者对个人数据的权利和权益,但是GDPR 并没有设计有效的补偿机制用以赔偿个人在企业侵权行为中收到的损失,也没有明确的激励机制用以预防个人数据权益在未来不被侵犯。
举例来说,虽然欧洲各国的数据保护机关开出了80余条罚单,但是数据被侵权人并没有获得自身权益受损的补偿。如果企业滥用数据带来的收益远大于处罚,反到会造成企业“效率违约”的反向激励。从欧盟委员会的调研问卷也可以看出,消费者对GDPR是否能够保护他们的合法权益始终保持着怀疑:81%的用户认为不论是否有GDPR的保护,其都无法控制或者只能部分控制自己在互联网透露的信息;在GDPR生效六个月后,欧洲用户对互联网的信任达到十年来的最低点。
当然,除了严格的数据隐私保护外,欧盟在其它领域也存在过度监管的情况。以电信业为例,在2G和3G时代,欧洲电信设备公司风光无两,诺基亚、爱立信、阿尔卡特朗讯曾占有大部分市场份额,诺基亚也曾经超过十年位列全球最大的移动通信设备制造商。然而,进入4G和5G时代,欧洲企业疲态尽显,诺基亚CEO就曾警告,由于频谱问题和监管规定,下一代5G网络在欧洲的部署将被延迟。欧洲对5G技术的研发和应用也已经大大落后于美国和中国。此外,5G时代需要巨额的基础设施研发和投资支出,欧洲市场过于严苛的监管规定以及企业并购审查,同样极大阻碍了欧洲公司之间的整合和协同发展。
除此以外,在金融监管领域,欧洲的严格监管也因对欧洲金融业带来巨大冲击而饱受争议。2018年欧盟推出欧洲金融工具市场指令II(MiFID II),本意在于规范金融公司行为、加强投资者保护、防止金融危机的发生,但鉴于其覆盖所有股票、债券、商品、外汇、期货、金融衍生品等金融市场的所有交易,信息透明化的要求要花费大量的成本,也侵蚀着欧洲金融机构的盈利。
笔者早前曾在国际投行担任首席经济学家一职多年,对此感受颇深。以投资银行的研究业务为例,根据MiFID II要求,投行的研究费用和经济费用需要分别计算,禁止为客户提供免费研究服务。受此影响,投资者此后将要为研究报告付费,并自行核对研究报告质量。这对将直接导致了投行研究业务收入的下降,造成人员流失,甚至反过来可能影响投行研究报告质量,恶性循环或对投行研究业务造成冲击,与金融监管的初衷并不相符。
综上,笔者认为,数字经济时代,监管的必要性不言而喻,但监管始终应该在鼓励创新和平衡风险中寻求适当的平衡,过于偏向一面效果往往并不理想。如监管不足不利于防范风险,但过度监管会限制行业发展、阻碍创新,甚至掣肘整个经济,欧洲GDPR就是一个案例,甚至连德国总理默克尔在2019年“数字化欧洲峰会”上也曾警告说,数字化时代,数据安全等方面的监管必不可少,但也不能因过度监管而牺牲欧洲的未来,欧洲在各领域制定的各种法律“条条框框”已经限制了经济发展。
对于中国而言,伴随着数字经济时代的到来,中国数据保护与监管规则也逐渐从无到有,在摸索中寻求标准。基于欧洲GDPR的监管实践,笔者认为,中国的精益化数据市场规则应当在吸取GDPR经验与教训基础上推陈出新,“以促带管”,尊重合同约束,坚持底线监管、科技监管。一方面,通过政策和监管指导,明确行业发展所需的方向和范围,同时,也为相关各方发展留出足够的空间,允许和鼓励风险可控范围内的创新,通过监管的数字化、科技化应对新技术挑战。从这个角度来讲,能否鼓励创新和防范风险方面做好平衡,至关重要,关乎行业发展,考验政策智慧。
作者:沈建光 京东数字科技副总裁、首席经济学家
本文仅代表作者个人观点,首发于FT中文网
声明:本文来自京东数字科技研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
