首先,GDPR對跨境互聯(lián)網(wǎng)巨頭企業(yè)的規制作用較為有限。最初設想中,這部“史上最嚴的隱私數據保護條例”將通過(guò)用戶(hù)“明確同意”、“被遺忘權利”、“數據使用知情權”等條款強有力地規制美國谷歌、臉書(shū)公司等在歐洲地區的數據收集、存儲和使用。然而,目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強迫選擇方式要求用戶(hù)廣泛、明確地進(jìn)行授權。(雖然數個(gè)隱私權倡導組織已經(jīng)將針對Google、Facebook、WhatsApp和Instagram的投訴分別提交到法國、比利時(shí)和奧地利的監管機構。但是,姑且不論結果,整個(gè)過(guò)程必然漫漫無(wú)期。)
同時(shí),當前國際互聯(lián)網(wǎng)巨頭企業(yè)的數據安全防護與數據去真處理的技術(shù)和程序普遍較為完善。此前在數據收集和使用上暴露出的問(wèn)題常常是因為“忘記”寫(xiě)入隱私條款,而不是用戶(hù)特別重視數據隱私。(調查顯示,美國居民中迄今尚有半數不知道數據隱私;而針對此次GDPR引發(fā)的全球企業(yè)隱私政策更新風(fēng)潮的調查顯示,95%的人在沒(méi)有閱讀的情況下點(diǎn)擊“同意”)。GDPR不過(guò)是促使這些企業(yè)通過(guò)冗長(cháng)的隱私政策將可能違反GDPR規定的內容事無(wú)巨細地逐項寫(xiě)入,進(jìn)而分門(mén)別類(lèi)地、輕而易舉地取得用戶(hù)的“明確同意”,順理成章地履行了合規義務(wù)。
其次,GDPR對用戶(hù)數據權益保障較為有限。對用戶(hù)而言,GDPR使其可以要求企業(yè)提供(或授權下載)所有個(gè)人數據,享有要求企業(yè)告知數據“由誰(shuí)處理、作何用途”的權利,以及數據泄露72小時(shí)內接獲通知的權利等等。問(wèn)題在于,雖然GDPR要求企業(yè)隱私政策使用“清晰而平實(shí)”的語(yǔ)言,但目前所見(jiàn)的大量更新條文冗長(cháng)復雜、包羅萬(wàn)象,并非普通用戶(hù)可以直觀(guān)理解,且閱讀長(cháng)文耗時(shí)耗力。這種即便從企業(yè)獲得個(gè)人數據和數據使用狀況說(shuō)明、還需要專(zhuān)家解讀的形式意義上的高透明度,對于絕大多數用戶(hù)意義不大,導致了僅有5%的用戶(hù)閱讀了巨頭企業(yè)近期更新的隱私政策。
再次,GDPR難以發(fā)揮推動(dòng)本土數字經(jīng)濟增長(cháng)的作用。歐盟居民的日常生活長(cháng)期依賴(lài)海外互聯(lián)網(wǎng)產(chǎn)品供給,Google、Amazon、Facebook等壟斷問(wèn)題嚴重,既威脅區域數據主權、數據產(chǎn)權和數據隱私安全,也制約了本土企業(yè)有序成長(cháng)。理論設想中,GDPR配合歐盟的《數字化單一市場(chǎng)戰略》及其附件,能夠有力支撐歐盟數字經(jīng)濟攀登全球頂峰。但是,實(shí)施前后各方動(dòng)作顯示,實(shí)力雄厚的國際互聯(lián)網(wǎng)巨頭企業(yè)正在按部就班地推進(jìn)合規工作。海外受到巨大波及、甚至暫停歐洲區服務(wù)的大多為娛樂(lè )社交類(lèi)中小企業(yè)、大量知名的新聞網(wǎng)站和閱讀輔助工具等,如loadout、tunngle、Instapaper。相反,歐盟內的絕大多數互聯(lián)網(wǎng)企業(yè)規模較小,受到較大影響。事實(shí)上,超大型跨國企業(yè)的合規能力和合規成本都低于中小初創(chuàng )企業(yè)。目前來(lái)看,GDPR提振用戶(hù)數據參與信心的作用有限(絕大多數人不關(guān)心),也未能妥善發(fā)揮扶持本土企業(yè)發(fā)展的間接作用。
據此,在GDPR落地實(shí)施的過(guò)程中,亟待對隱私政策條款“清晰而平實(shí)”的表達方式進(jìn)行細化規定;對“同意或退出”的隱性強制進(jìn)行廣泛梳理;對企業(yè)在使用用戶(hù)數據中保持公平、公正、公開(kāi)的連貫性做法進(jìn)行全面的技術(shù)規范(尤其是避免各種潛在歧視)。這些也是筆者目前推測的GDPR解釋條款的進(jìn)一步發(fā)展方向。
