「懲罰性」監管有礙創新與增長─從歐洲GDPR談起

2019-10-25

沈建光京東數字科技首席經濟學家

各國在數據保護方面的分歧源於不同的經濟約束條件與個性化的監管理念。根據梳理不難發現，歐盟在數據保護方面一直是全球的先行者，在落地層面也是全球最為嚴格的監管者。2018年5月歐盟推出的《通用數據保護條例》（以下簡稱「GDPR」），是目前覆蓋面最廣的個人數據隱私保護法規，但其規定的違反數據保護行為將遭受的最高罰款額度為2,000萬歐元或當年全球營業額的4%二者的較高值，監管之嚴厲令人望而生畏，也受到不少爭議，甚至被稱為「懲罰性監管」。

負面效果已浮現

歐盟嚴格數據保護條例使得近一年來受到數據侵犯處罰的案例激增。自GDPR正式實施至2019 年上半年，歐洲各國的數據保護機關已經收到超過14 萬件侵犯數據權利的案件舉報；截止2019年9月底，總共有82個機構或者個人受到GDPR 的處罰。大量處罰的背後是監管層對於數據隱私保護的高度重視與從嚴監管的態度，其也為全球數據保護監管提供了一個可以參考的模板。然而，需要反思的是，這個模板似乎並不完美，運行至今多方主體的抱怨此起彼伏，甚至有批評聲音認為，其實施效果與立法目標背道而馳，不僅不利於創新主體的出現，有損於市場格局，也未能夠達到消費者保護的理想效果。

在筆者看來，歐盟「懲罰性」監管弊大於利，當下已有一些明顯的負面效果呈現，具體體現在：一是GDPR限制了商業業務開展，破壞了市場競爭格局。GDPR的立法目的之一是想為「歐盟單一數字經濟市場」提供「基本法」，有效促進商業發展。但是從效果上來看，其卻並沒有起到提振歐盟數字經濟市場的作用。

例如，2019年美國「數據創新研究中心」對歐洲在線廣告業務調研的結果顯示，GDPR使得歐洲對在線廣告的需求下降了20%至40%。數百個網站完全停止對歐洲服務；截至2018年12月，超過1,000家美國新聞網站無法在歐洲展業。美國前100家媒體中，約有三分之一選擇直接關閉他們在歐洲的網站，而非遵循GDPR的要求，其中包括《芝加哥論壇報》、《紐約日報》、《達拉斯晨報》等多家知名媒體。

企業合規成本過高

二是高昂的合規成本已使得歐洲錯失全球創新大潮，發展明顯落後於美國與中國。由於GDPR大幅提高了機構的合規成本和業務成本，多數商業機構備受其害。普華永道針對500家美國公司的調研結果顯示，至少有68%的美國公司預計將花費100萬到1,000萬美元的投入來滿足GDPR的合規要求，另有9%企業的預算超過1,000萬美元。凱捷諮詢（Capgemini）的報告顯示，截止2019年6月，受到GDPR監管的商業機構只有28%完成了其內部的合規工作。

過高的合規成本對於大企業而言尚且是巨大負擔，對於初創型企業而言更是難以承受。創新是經濟增長的不竭動力。新千年以來，全球科技浪潮風起雲湧，金融科技、數字科技、人工智能創新方興未艾，短短20年的時間裡，全球誕生了很多改變世界的公司。但這一輪全球科技革命基本由中美科技巨頭引領，歐洲企業在新一輪科技創新大潮中已然落伍。截止2019年初，全球15家最大的數字公司全部都來自美國和中國，歐洲沒有誕生一家與數字科技相關的巨頭企業。歐洲作為諾貝爾獎的故鄉和兩次工業革命的發源地，有着輝煌的創新歷史和科技研發土壤，但受制於過度嚴格的監管，歐洲科技創新已明顯掉隊，不得不讓人深思。

三是GDPR並沒有起到預期的加強消費者隱私保護的效果。對於個人消費者來說，GDPR 加劇了用戶對數據收集、使用、存儲過程的不信任，消費者保護也並沒有達到理想效果。雖然GDPR 的立法初衷是通過可攜帶權、被遺忘權等新型數據權利的創設強化消費者對個人數據的權利和權益，但是GDPR 並沒有設計有效的補償機制用以賠償個人在企業侵權行為中收到的損失，也沒有明確的激勵機制用以預防個人數據權益在未來不被侵犯。

對於中國而言，伴隨着數字經濟時代的到來，中國數據保護與監管規則也逐漸從無到有，在摸索中尋求標準。基於歐洲GDPR的監管實踐，筆者認為，中國的精益化數據市場規則應當在吸取GDPR經驗與教訓基礎上推陳出新，「以促帶管」，尊重合同約束，堅持底線監管、科技監管。

一方面，通過政策和監管指導，明確行業發展所需的方向和範圍，同時，也為相關各方發展留出足夠的空間，允許和鼓勵風險可控範圍內的創新，通過監管的數字化、科技化應對新技術挑戰。從這個角度來講，能否在鼓勵創新和防範風險方面做好平衡，至關重要，關乎行業發展，考驗政策智慧。(節錄)■題為編者所擬。本版文章，為作者之個人意見，不代表本報立場。

讀文匯報PDF版面