近日,欧盟《通用数据保护条例》(以下简称《条例》)在欧盟全体成员国正式生效。这一新条例被认为是“史上最严格的个人数据保护条例”。与美国相比,欧盟在个人信息开发与保护上明显更强化保护。欧盟有舆论担心,这有利于保护个人隐私,但也可能进一步拉大欧盟与美国在互联网发展上的差距。
《条例》突出了“赋权用户”“严管企业”的原则,在受到欧盟消费者保护组织欢迎的同时,却引起互联网公司一片反对之声。进入信息时代,对于以数据为核心的个人信息采取何种政策,事关大数据、人工智能发展和数据应用走向。美国和欧盟在“赋权用户”原则上基本一致,但在其他几个关键问题上立场相左。
第一,在鼓励还是限制信息与数据发展上态度不同。美国将大数据战略作为国策,鼓励发展,而《条例》则明确提出“数据最小化”原则。这意味着在数据时代,美国将继续让数据作用最大化;而欧盟将沿着“数据最小化”方向特立独行。过去20年来,欧盟人为限制互联网发展,使其互联网世界级平台下降为零。在《条例》指导下,未来欧盟也很难发展出世界级数据平台。目前的一个现象是,欧洲的人工智能公司几乎都在发展到10亿美元规模时被巨头收购,例如英国的阿尔法狗团队被美国谷歌收购。
第二,消费者政策取向对比鲜明。美国作为互联网数据平台领先国家,采取了在个人信息开发与保护之间保持平衡的政策取向,突出个人信息、个人数据的中性色彩。而欧盟作为数据消费方,则更强调个人隐私保护。认为个人信息是中性的,则会将“赋权用户”平衡在个性化服务信息开放透明与个人隐私保护两个相反方向的中间点,由用户决定取舍;认为个人信息是负面的(例如都属于“隐私”),则会限制个性化服务信息开放透明,只强调个人数据保护。有利的是,欧盟的消费者会享受更多的数据安全,例如《条例》强化“被遗忘权”,有利于用户在网络中“隐身”;不利的是,欧盟消费者会失去较多的个性化服务机会。
第三,对企业政策取向截然不同。《条例》强调“欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律。这将对其他国家数据巨头在欧盟开展业务产生广泛影响。
总体来看,《条例》使欧洲的隐私监管机构获得了对企业处以高额罚款的权力,可能达到企业全球年度销售额的4%。未来,新规是否能与发展保持协调,值得关注。
(作者为中国社会科学院数量经济与技术经济所信息化与网络经济室主任)