首先,GDPR對跨境互聯(lián)網(wǎng)巨頭企業(yè)的規(guī)制作用較為有限。最初設(shè)想中,這部“史上最嚴(yán)的隱私數(shù)據(jù)保護條例”將通過用戶“明確同意”、“被遺忘權(quán)利”、“數(shù)據(jù)使用知情權(quán)”等條款強有力地規(guī)制美國谷歌、臉書公司等在歐洲地區(qū)的數(shù)據(jù)收集、存儲和使用。然而,目前不少企業(yè)更新的隱私條款采用隱性的“同意或退出”的強迫選擇方式要求用戶廣泛、明確地進行授權(quán)。(雖然數(shù)個隱私權(quán)倡導(dǎo)組織已經(jīng)將針對Google、Facebook、WhatsApp和Instagram的投訴分別提交到法國、比利時和奧地利的監(jiān)管機構(gòu)。但是,姑且不論結(jié)果,整個過程必然漫漫無期。)
同時,當(dāng)前國際互聯(lián)網(wǎng)巨頭企業(yè)的數(shù)據(jù)安全防護與數(shù)據(jù)去真處理的技術(shù)和程序普遍較為完善。此前在數(shù)據(jù)收集和使用上暴露出的問題常常是因為“忘記”寫入隱私條款,而不是用戶特別重視數(shù)據(jù)隱私。(調(diào)查顯示,美國居民中迄今尚有半數(shù)不知道數(shù)據(jù)隱私;而針對此次GDPR引發(fā)的全球企業(yè)隱私政策更新風(fēng)潮的調(diào)查顯示,95%的人在沒有閱讀的情況下點擊“同意”)。GDPR不過是促使這些企業(yè)通過冗長的隱私政策將可能違反GDPR規(guī)定的內(nèi)容事無巨細(xì)地逐項寫入,進而分門別類地、輕而易舉地取得用戶的“明確同意”,順理成章地履行了合規(guī)義務(wù)。
其次,GDPR對用戶數(shù)據(jù)權(quán)益保障較為有限。對用戶而言,GDPR使其可以要求企業(yè)提供(或授權(quán)下載)所有個人數(shù)據(jù),享有要求企業(yè)告知數(shù)據(jù)“由誰處理、作何用途”的權(quán)利,以及數(shù)據(jù)泄露72小時內(nèi)接獲通知的權(quán)利等等。問題在于,雖然GDPR要求企業(yè)隱私政策使用“清晰而平實”的語言,但目前所見的大量更新條文冗長復(fù)雜、包羅萬象,并非普通用戶可以直觀理解,且閱讀長文耗時耗力。這種即便從企業(yè)獲得個人數(shù)據(jù)和數(shù)據(jù)使用狀況說明、還需要專家解讀的形式意義上的高透明度,對于絕大多數(shù)用戶意義不大,導(dǎo)致了僅有5%的用戶閱讀了巨頭企業(yè)近期更新的隱私政策。
再次,GDPR難以發(fā)揮推動本土數(shù)字經(jīng)濟增長的作用。歐盟居民的日常生活長期依賴海外互聯(lián)網(wǎng)產(chǎn)品供給,Google、Amazon、Facebook等壟斷問題嚴(yán)重,既威脅區(qū)域數(shù)據(jù)主權(quán)、數(shù)據(jù)產(chǎn)權(quán)和數(shù)據(jù)隱私安全,也制約了本土企業(yè)有序成長。理論設(shè)想中,GDPR配合歐盟的《數(shù)字化單一市場戰(zhàn)略》及其附件,能夠有力支撐歐盟數(shù)字經(jīng)濟攀登全球頂峰。但是,實施前后各方動作顯示,實力雄厚的國際互聯(lián)網(wǎng)巨頭企業(yè)正在按部就班地推進合規(guī)工作。海外受到巨大波及、甚至?xí)和W洲區(qū)服務(wù)的大多為娛樂社交類中小企業(yè)、大量知名的新聞網(wǎng)站和閱讀輔助工具等,如loadout、tunngle、Instapaper。相反,歐盟內(nèi)的絕大多數(shù)互聯(lián)網(wǎng)企業(yè)規(guī)模較小,受到較大影響。事實上,超大型跨國企業(yè)的合規(guī)能力和合規(guī)成本都低于中小初創(chuàng)企業(yè)。目前來看,GDPR提振用戶數(shù)據(jù)參與信心的作用有限(絕大多數(shù)人不關(guān)心),也未能妥善發(fā)揮扶持本土企業(yè)發(fā)展的間接作用。
據(jù)此,在GDPR落地實施的過程中,亟待對隱私政策條款“清晰而平實”的表達(dá)方式進行細(xì)化規(guī)定;對“同意或退出”的隱性強制進行廣泛梳理;對企業(yè)在使用用戶數(shù)據(jù)中保持公平、公正、公開的連貫性做法進行全面的技術(shù)規(guī)范(尤其是避免各種潛在歧視)。這些也是筆者目前推測的GDPR解釋條款的進一步發(fā)展方向。
