欧盟实施“最严数据隐私法”蕴含风险（讨论）

鲁传颖

号称史上最严、影响范围最广的欧盟《一般数据保护条例》（GDPR）于5月25日开始实施。GDPR以个人隐私保护为出发点，对互联网用户数据的收集、存储、使用、传输、转让、披露和废弃等全生命周期所涉及的安全问题作出了严格规定。在数字时代，不仅互联网企业，连传统企业都不可避免要受到其管辖。因此，GDPR虽然看似主要针对个人隐私保护，但同时对网络安全、数字经济亦有巨大影响，背后反映了欧盟在网络空间的战略意图。

GDPR可被视为欧盟综合应对大规模网络监听及其他网络问题的重要抓手。在正式实施的当天，欧盟委员会官方推特发文宣告欧盟重新控制了自己的数字主权。欧盟在网络安全和数字经济上高度依赖美国，在网络空间中一直缺乏与其现实世界地位相称的话语权和影响力。GDPR的实施不仅会对欧盟本身，而且会对全球网络空间产生重要影响。从这种意义上来说，欧盟通过GDPR的实施建立了自己的话语权，提升了自身在网络空间中的影响力。

但长期来看，GDPR对于欧盟的网络空间战略而言并非没有风险。首先，从企业成本来看，GDPR大幅增加了数据收集和使用的成本，大型互联网企业也许能够将成本转移给用户，但中小企业则面临重要的成本压力，从而影响初创企业和创新。很多欧盟之外的中小企业出于成本原因干脆停止了在欧盟市场的商业活动。

其次，欧盟本身缺乏在全球有影响力的互联网企业，GDPR对创新的压制会进一步降低欧盟产生全球性互联网企业的可能，同时还会阻碍现有国际互联网企业未来在欧洲的业务发展。作为数据保护的“高地”，欧盟过于前瞻性的政策，有可能引发的后果会让欧盟成为全球数据流通的孤岛。

再次，虽然在正式实施前欧盟给了两年缓冲期，但实际上企业对于如何能够满足条例的要求还是一头雾水。从现行数字经济一直依赖的经营模式来看，GDPR的相关规定极为严苛，从根本上改变了产业的运营模式，需要对产品流程做出重大改变。条例实施当天，就有新闻报道谷歌和脸书因触犯条例被告，可能的罚款金额高达几十亿美元。相信有很多企业在观望，未来是否会将欧盟作为业务的重心。

最后，欧盟按照自己的标准对全球各国进行认定，只有被欧盟认可的国家，企业才能进行无障碍的数据传输，否则就需要通过繁琐和充满法律风险的程序。由此带来的后果就是，其他国家也会同样采取措施来限制本国数据向欧盟流通。由此带来的互联网“分裂”，最终影响的还是普通网民。未来，欧盟将会在政治上承受其他国家指责其以保护隐私为名，增加贸易壁垒的压力。

网络空间一直面临着自由与秩序、安全与发展的辩证逻辑，任何政策都要进行权衡。GDPR最终是将欧盟塑造成网络空间中的强者，还是数据孤岛，需要时间来证明。▲

（作者是上海国际问题研究院副研究员）