GDPR两周年，它是区块链数据领域保护的底线还是立法的天花板？

作为 Omidyar Network “全球数据保护的路径和缺陷”[1] 系列专题中的一篇，本文探讨了《欧洲通用数据保护条例》（General Data Protection Regulation，后文简称GDPR）[2]自2018年5月生效以来对全球数据保护格局产生的影响。诚然，GDPR 为全球法域内的法律变革开辟了新的道路，促进了公众对数据治理和隐私的关注，从而极大地影响了全球数据保护的格局；但其在通过治外法权或作为立法典范直接或间接扩大自身影响力的同时，也放大了缺陷和局限性，导致其他国家一脉相承的法典同样继承了这些不足。

近两年显现出来的桎梏有：有些条款杠杆率过低/过高、无法否认的执行力不足[3]、以及法律和创新之间持续的对抗（比如将法律应用到新兴技术的挑战）。接下来，本文将探讨GDPR影响的性质、范围及其核心局限性，并思考该法律究竟是全球数据保护的示范者，还是一条失败的底线。

纵览全球，各地都能感受到 GDPR 在其域外适用范围产生的直接影响。欧盟拥有超过五亿的消费者，是世界上最大的单一市场[4]，因此 GDPR 几乎能影响到世界上每一个与欧盟做生意的地区。即便强如美国科技巨头，也很难不碰这样块美味的蛋糕。凭借这种方式，GDPR 为众多大型企业和跨国公司设立了一个实际的标准。究其原因，其一，GDPR 是一个方便公司履行的单一标准或框架，而不是一个地方的或国家的数据保护法律；其二，全球数据治理缺少一个灵活的范式。目前，很难找到一个能够与欧盟数据保护框架比肩的框架。

我们还观察到了“布鲁塞尔效应”（译注：指欧盟凭借市场力量单方面监管全球市场的能力）的间接影响：通过在世界各地的司法区扩散新颁布和调整的法律，让一些国家直接照搬 GDPR。由此可以看出 GDPR 的司马昭之心：它的原则之核心、利益之根本以及执行之机制。自生效以来，GDPR 已经推动了肯尼亚和乌干达等国颁布其第一部国家数据保护法，同时也在促进其他国家完善或修订其现有法律。例如，2018 年阿根廷推出了一部数据保护法律，某种程度上只是为了维系其于 2003 年在《欧洲数据保护指导条例》（GDPR的前身）中的既得利益。GDPR 还促使印度、尼日利亚和巴西等国将“部分适用”的数据保护条例扩大为更为通用的法律。

“布鲁塞尔效应”也是欧盟委员会想要通过各种多边/双边论坛、贸易政策收敛隐私和数据保护法的体现，《欧盟对非洲的全面战略》[5]就是一个例子。该战略列出的几个高优条款中包括了纵贯非洲大陆的数字转型战略，这将深度受用于 GDPR 且影响国家级跨境贸易和国际投资。但实际上，全球层面的协调可能会导致某些国家的标准和原则在执行时不够严格。中小企业难以遵守，却让 Facebook 和谷歌之类全球大型科技公司因其全球应对能力在竞争中获利。事实上，该战略内容也确实引起了非洲联盟的注意[6]，非盟重申该条款应由非盟和欧盟共同制定。

欧盟委员会在其评估近两年 GDPR 应用及运作的报告[7] 中强调：要聚焦如何帮助中小企业遵守这项法规。不过，总体来看，欧盟委员会自我评价较高，认为“GDPR已经成功实现了它的目标：增强个人数据保护权和保证个人数据在欧盟内的自由流通”。这份报告同时赞扬了 GDPR 框架的灵活性，认为其在兼容新冠抗疫措施方面做得很好。

但委员会也承认有提高的空间，特别是在国际数据传输、合作和一致性方面，如“一站式机制”[8]；数据保护部门（Data Protection Authorities, DPAs）资源不足，数据移植权尚未完全落实；GDPR 在区块链和人工智能等新兴科技上的应用也还不明晰。最后，委员会指出，成员国在处理数据保护基本权利和言论自由之间的矛盾上的决议是不一致的。

尽管欧盟委员会的报告未对此进行探讨，但指出其框架的其他缺点是很重要的，特别是在 GDPR 通过其对全球格局的重大影响广泛输出的情况下。其中一些限制的原因是，GDPR 与它的前身，1995 年的数据保护条令，很大程度上是相同的。但当时数字环境与今天的情况相差甚远。其他原因就是，缺乏一个有意义的可替代范式。

首先，GDPR 和受其启发的法律过分依赖于将“同意”作为数据处理的合法基础。特别是在今天的数字领域，有意义的知情和同意常常是难以捉摸的。如今的数字世界存在着巨大的不对称，少数的大型企业往往占据着大多数的知识和权力，而个人不仅缺乏对数据决策管理和理解的意识与能力，真正有意义的选择也少之又少。

这也暴露了像 GDPR 这样的数据保护框架的缺陷，它不能解决市场中的动态问题，而需要其他领域的补充，如竞争法或反垄断法。例如，在最近德国的一桩反垄断案[9]中，高等法院裁定，Facebook 滥用其在社交媒体上的主导地位，通过混合 Instagram 、WhatsApp 和 Messenger 等 Facebook 平台上的数据，非法获取用户数据。尽管可能会以 GDPR 为依据对这种数据混合提出质疑，但该裁决表明，涉足数据保护权利的市场环境也限制了我们在市场上的选择，从而限制了我们的自由和自主权。这也说明了数据保护与反垄断法的互补性。

在一些 GDPR 系法规中，一些糟粕被过多保留（如基于用户协议“我同意”的数据处理），一些精华却没有受到足够重视，如GDPR 第二十五条[10]——基于应用设计和默认设置的隐私保护选项、自动数据采集和决策、以及个人数据移植的有效措施。

此外，GDPR 系法规对强化国家安全、维护政府利益和法律权威的情况也相对宽容，如新冠肺炎期间暴露的如何平衡大众利益和公共卫生危机。尽管欧盟委员会采取了基本措施，但在抵制广泛应用面部识别系统[11]等侵入性技术上，委员会的反应则疲软许多。如果没有强大且完善的传统法典作为 GDPR 式立法的基础，像现在这样的危机就会大大削弱法律的文本效力和精神内核。并且，在缺乏相应法律、政治、制度等基础设施的地方，将 GDPR 式的法律复制粘贴或直接转换成国家法律，或将弊大于利、用“保护”粉饰了“缺失”。

好在我们已经可以看到全球数据保护领域有了一些后 GDPR 时代的趋势。继 GDPR 提高个人数据保护门槛后，其中一个就是鼓励和推动更多公共和研究领域的数据共享。这样的迭代可能将由欧盟自身推动，详见《塑造欧洲数字未来》[12]《人工智能白皮书》[13]和《欧洲数据策略》[14]。作为这种策略的一部分，委员会可能后续会推出数据法案2021版，以促进数据共享和流动、帮助个人拓展数据移植权的边界。显然欧盟对诸如人工智能和其他新兴领域的数据保护也十分关注，且担心其数据保护和隐私标准会置欧盟于时代下风口。

尽管迄今为止美国还没有一部全面的联邦隐私法，但可能会出现一个灵活的范式。前车之鉴面前，美国有后发优势。基于“同意”按钮的数据收集范式、通知推送和选项将面临更大的挑战。例如美国参议员 Sherrod Brown 最近发起了一项提案[15]，该提案将禁止默认情况下的数据收集、使用或共享，除非是出于少数提前商议且用户知情的目的。美国各州和市政当局已经逐渐暂停使用面部识别技术，甚至在某些情况下会完全禁用。提案还提到了创建信息受托人或中介机构以协商数据主体权利，以及引入数据信托或数据集体等集体谈判实体等。

GDPR 已实施两年，它究竟是数据保护的底线，还是立法的天花板，恐怕还无法盖棺定论。如此看来，全球数据治理事业仍然任重道远。