美团法律研究中心李小武：为什么我们应该反对GDPR

如今，欧盟《通用数据保护条例》（GDPR）域外效力如此之广，闹得但凡国内涉及物流与人流的企业都人人自危，恰恰说明这部法律的域外效力有违常识。GDPR的反常，在于一开始就不是以追求域内效力为主，它追求的就是一种全球标准。它以人权保护的高度，对源于欧洲的个人数据流动的全过程施加保护，哪里达不到这种保护标准，原则上数据就不能流动到哪里。哪里低于这种标准保护，处罚就跟踪到哪里——哪怕这种处罚实质已经追溯到域外。对这样的法律，作为欧盟域外的我们到底是怕遭遇无端处罚而违心地顺从它？还是因为其保护力度之高而真心推崇它？这种不言自明的答案，难道还需要我们仔细论证？

欧盟成员国赞同它，是因为制定过程中已经有过多轮的协商，而且诸多对于成员国的数据流转的例外，也明明白白地写在GDPR的前言中。欧盟专家推崇它，是因为从1995年欧盟的《个人数据保护指令》开始，一直到2016年的GDPR，法律文本的出台已经倾注了他们多年的心血。即便是欧盟的企业，也发现GDPR就处理个人信息的行为课以巨大的责任与法律风险，由于其条文复杂，企业不得不雇佣专家来应对，以保证自己的行为合规。

至于中国，我们就更有理由表达不满。中国的一些企业，在欧盟甚至中国本土已经遭遇了这一法律的狙击，因为GDPR第27条规定，非在欧洲设立但向欧洲公民提供商品服务或者监控欧盟境内数据行为的控制者或者处理者，应当以书面形式指定其在欧盟的代理人。这意味着向欧盟提供信息服务的众多中国企业，将面临退出相关服务或者在欧盟成员国设立机构代表的抉择。另外一些企业，为了合规所谓的数据保护官（DPO）制度（第37条到39条），将不得不付出比欧盟企业更为巨大的代价，因为数据保护官的设立以及职能发挥是欧盟多年来个人数据保护的渐进累积的结果。在中国，还缺乏这种制度根基。这中间的曲折艰难，必须通过一定的渠道正式向欧盟反映，并提出我们的诉求。唯有如此，GDPR才有可能朝着稍微良性的方向被诠释。

我们反对GDPR，是因为其立法过于理想化，仍然沉醉于工业时代的思路来解决数据流动的最前沿问题。个人数据不可能完全采用私权，甚至类似财产权的思路进行规制，尽管GDPR在前言中也赞同这样一种态度，但这恰恰是GDPR法律文本中的主要精神。所谓的信息主体的权利，包括可携带权和个人删除权（或者被遗忘权），采取的完全是个人财产化的思路，这与信息的流动性与共享性存在天然冲突，也与信息的保护要考虑公共利益以及公共安全的思路完全不符。因而，反对GDPR，是维护我国数字经济建设的一种自然表露。

我们反对GDPR，还因为该法律把“个人同意”作为个人信息的搜集和使用的合法性根基，但是只有复杂而有限的例外。这完全不符合数字时代“信息共享才能彰显信息价值”的逻辑。在将信息作为私权或者财产保护的历史进程中，著作权法已经提供了一个可供参考的范例。尽管著作权将权利授予作者，但作者的同意在很多情况下并非作品被使用的前提，法定许可、合理使用等情况，无需经过作者的事前同意。如此，才能满足兼具个人属性与公共物品属性的信息产品的传播效率需求。而且，由于“个人信息”的法律定性本身具有模糊性，个人敏感信息可能经处理被脱敏而变成非敏感个人信息，甚至成为难以明辨主体的信息，反之亦然。那么，这种法律属性可能转换的“个人信息”在被处理和传播的漫长链条中，何时需要征得数据主体同意？如果出于担心处罚而在每一个环节都要经过数据主体的同意，那还谈什么传播的效率以及数据的商业使用？

被称为GDPR第一案的德国EPAG案，同样说明GDPR的荒谬。这是因为：首先 ，EPAG可能与互联网名称与数字地址分配机构（ICANN）构成个人信息的共同控制者；其次，在域名注册过程中还搜集的不相关的管理联络信息和技术联络信息可能与GDPR第5条第1款C所规定的搜集个人信息应该是“适当的、显著的以及受限于为处理数据目的的必要范围内的”相违背。也就是说，EPAG认为现有的搜集方式可能违背数据最小化原则，因而拒绝在原来的合同框架下继续搜集。ICANN先是安慰EPAG不需要这么担心，在EPAG拒绝合作以后，以禁令的方式要求德国法院禁止EPAG的不作为。但是，德国法院很快就给予裁判，认为ICANN的理由不足以支持禁令，在GDPR生效之后，ICANN与EPAG之前的合同内容确有可能因为违反GDPR的规定而被视无效。ICANN随后提出申诉，寻求欧盟法院对于GDPR相关条款的正确理解。尽管该案的最终结果尚未可知，但是，欧盟企业对于GDPR罚则的担心和全球企业一样：2000万欧元或者全球4%的营收，且以两者中的高者为准，这简直是飞刀。

欧盟的这一案例表明，GDPR之后，之前的商业合同的相关个人信息搜集条款可能面临无效。这是赤裸裸的对私权领域的干预，而且冠之以人权高度和法律之名。其他国家可能之后不得不效仿欧盟，比如提高个人数据的保护力度和严苛的罚款。这种效仿，实质是防御性报复，而非对于GDPR本身的赞同。

我们反对GDPR，还因为该规定对于欧盟的某些产业只会带来灾难性的后果，而非相反。常驻布鲁塞尔的数据政策分析专家尼克·沃伦斯（Nick Wallace）指出，如果欧盟坚持将人工智能（AI）产业也置于GDPR的管制之下，将发现AI产业几乎没有开始就已经出局。GDPR的高昂合规成本将导致欧洲企业无心进入AI领域，也导致外国企业无心进入欧盟，因为AI产业的发展有赖于个人信息的搜集与分析反馈。除了阻止一些企业进入AI领域外，GDPR也将损害欧洲公司提供AI服务的质量。简单地说，为了合规GDPR，大量AI公司将不得不在欧洲使用更为低劣的定向技术。

欧盟的立法导致产业的滞后，GDPR并非首例。1996年，为了保护欧洲的数据库（database）产业，欧盟在版权保护之外，率先出台对数据库的特殊保护（sui generis protection），将对数据库的保护上升到前所未有的高度。但是其结果，并没有拉升欧盟的数据库产业的竞争力。相反，10年之后的统计表明，欧盟的数据库产业与美国相比，经济鸿沟越来越大。GDPR同样是雄心勃勃，但它可能无非是当年欧盟数据库保护指令的翻版。

我们反对GDPR，并非不尊重他国的立法经验与智识。欧盟对于个人信息的强保护是建立在曾经的犹太人被集体伤害的历史上，是他们的历史经验的反刍。GDPR中的一些规定也值得我国借鉴，比如其对数据控制者与处理者的责任并没有区分政府与企业；比如数据泄露时数据控制者与数据处理者的双向通知义务（既告知监管机构，也告知可能的数据主体）。凡此种种，不影响宏观上对GDPR的评判。因为GDPR提供的强保护必然导致贸易保护加剧，因而应该坚决予以批判。欧盟的强保护标准要输出至全球，至少要有一个与他国的文化价值理念碰撞和磋商的过程，而不是单方面的灌输。

我们首要的态度是：反对GDPR，尤其反对如此宽泛的对于如此模糊的“个人信息”的强保护，以及如此高额的后续惩罚。我们表明目前的担忧和恐惧，是出于对本国利益的深切关注，并希望以此作为起步，撼动乃至改变GDPR中的不合理条款。

（本文刊登于《中国信息安全》杂志2018年第7期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。