一、2018，數據治理的灰色之年？

　　數據泄露、濫用、歧視這些負面事件如同天空中的陰霾，不斷加深著人們對數據治理的悲觀情緒。

　　的確，這一年被數據泄露貫穿始終，規模日益擴大。從上一年末，美國最大的三家個人征信機構之一Equifax數據泄露，到年中中國最大的多品牌酒店集團——華住數據泄露，再到上周萬豪酒店集團的數據泄露，每次數據泄露的規模均在億級以上；數據泄露之后的濫用問題也在持續升級。Facebook丑聞中，“劍橋分析”公司涉嫌利用來自Facebook的用戶數據影響多國大選，美國國會到目前為止已連續召開十三場聽證會，深度拷問平臺的數據處理規則；國內媒體爆出的 “大數據殺熟”現象，讓經濟學上的價格歧視問題被拋向更廣泛的公眾視野。現實中，平臺利用大數據來攫取消費者剩余是廣泛存在的么？如果是，監管者和消費者又該如何應對？

　　除了牽動普通消費者的數據焦慮，國家層面的數據安全也在面臨全新挑戰。3月美國Cloud法案出臺，美國單邊提出了新的跨境數據執法框架，盡管這是對傳統低效的跨國執法合作機制的一種探索改變，但仍然增加了一國數據安全的不確定性。

　　問題本身讓人沮喪，但更令人沮喪的是，我們似乎還未找到開啟答案的鑰匙。

?

　　二、歐盟GDPR，灰暗中的希望？

　　5月25日，歐盟GDPR正式生效，為數據治理帶來新的曙光。歐盟版解決方案堅守保護公民基本權利理念，全面提升個人數據保護力度，對幾乎所有數據處理環節建立了嚴格規則，以實現對個人的極致保護。

　　事實上，在2016年4月GDPR正式頒布后的兩年過渡期內，GDPR帶給數據治理的積極影響已在不斷顯現。它促使企業、政府、醫院、學校等任何開展個人數據處理的機構，在數據保護方面給予更多的投入。以2017年的調查為例：富時350指數公司平均為GDPR增加43萬英鎊的支出，世界500強企業平均增加100萬美元[1]。更重要的是，GDPR推動了全社會更加關注個人數據保護問題，在過去的兩年，我國政府部門、消費者協會針對隱私政策開展了多次評測活動，引導企業、機構不斷提升數據處理活動的透明性[2]。

　　（一）但作為制度新生兒，GDPR本身也帶來許多爭議和尚待細化的領域，其中典型包括：

　　1. 寬泛的域外適用范圍，不僅對歐盟各成員國的數據保護監管機構帶來執法挑戰，同時在學界也引起了公法、國際法學者的質疑。GDPR生效后，有許多中小企業因為擔心過高的法律風險，宣布停止向歐洲地區服務，而部分企業則實時調整了商業模式，以華盛頓郵報為例，索性在歐盟推出收費版本。正如其宣傳詞所說：“請支持偉大的新聞業”。如果郵報不能通過用戶cookie來實現廣告收入，則用戶應當為新聞內容直接付費。

　　對此，英國讀者向英國個人信息保護主管機構ICO(Information Commissioner's Office）提出投訴。按照GDPR所規定的寬泛的適用范圍，只要向歐盟境內個人提供服務，并處理個人數據，則大概率會落入GDPR管轄，由此ICO對該投訴予以立案調查，但頗為尷尬的是，ICO僅以公告的方式提出華盛頓郵報的收費版模式違反了GDPR關于用戶同意有效性的規定（因為用戶沒有其他選擇），但ICO對于該事件的調查也只能止步于此，ICO現有的執法資源還難以處理類似域外案件[3]。

　　除了現實中這些域外管轄帶來的難題，在學者的眼中，GDPR中寬泛的適用范圍在國際法領域帶來了不好的先例。特別是其對于屬人管轄的特別延展，缺乏正當化和合理化的依據，并加劇數字經濟背景下國際公法領域的糾紛沖突。

　　2. GDPR引入的個人權利也陷入與其他基本權利的緊張沖突之中。包括被遺忘權與知情權、言論自由權的沖突，數據可攜權與競爭法的沖突。

　　3. GDPR數據處理可解釋性的要求對人工智能產業，特別是對深度學習、神經網絡學習提出嚴峻挑戰，也使得歐盟包括自動駕駛在內的AI產業的發展陷入了更多困境；4. 與區塊鏈技術的范式完全相反。區塊鏈本質核心是分布式、去中心化的，而GDPR的制度范式卻承襲了之前歐盟1995指令中心化的規范范式（即制度規范都指向核心的數據控制者和數據處理者）。根據歐盟委員會和法國數據保護機構的觀點，新興的區塊鏈技術也必須要適用GDPR。因此，在未來GDPR和區塊鏈的技術之間，仍將繼續存在極大的合規差距。盡管從技術眼光看，區塊鏈完全可以為數據保護提供一種新的技術解決方案。

　　（二）而隨著GDPR的執行推進，有越來越多的現象和實證數據顯示，GDPR實施對于歐盟數字經濟競爭力帶來了顯著的負面效應，這甚至是歐盟立法者當初在打造GDPR時未曾預料到的。

　　1. GDPR嚴格的合規要求鞏固了大企業的優勢地位。大企業更有實力和資源投入合規工作，而中小企業被迫退出市場，無形中為大企業收割市場提供了便利。以在線廣告市場為例，GDPR生效以后，谷歌由于具有更強的合規力量和產業引導力，其市場份額進一步增加[4]；在云計算行業，亞馬遜AWS、微軟Azure等領導者在第一時間內表示可以充分滿足GDPR的合規要求，對比之下，云計算市場的中小玩家卻在合規競爭力上難以同步。

　　2. 半年來的經濟數據證實GDPR對歐洲科技創新帶來不利影響。上月，美國知名經濟學研究機構NBER發布了一份權威研究報告，其采用嚴謹的計量經濟學方法和真實的歐洲市場活躍度數據表明，在GDPR生效的半年以來，其對于歐洲的創新企業的發展負面作用非常明顯，尤其是在中小企業融資的筆數、融資量方面，歐洲的中小企業陷入了融資的困境。

　　以上充分顯示了GDPR的二維兩面性。它在為個人權利保護帶來積極力量的同時，也對技術創新和持續發展產生了令人無法忽視的負面效應。這表明，對于數據治理，我們仍需要探索究竟如何設計制度規范，以承載我們更多的期望目標。

　　三、美歐隱私政策在走向融合趨同么？

　　盡管美國43個州和特區均制定了數據泄露通知法案，但從Equifax到萬豪集團，美國一年來從未走出數據泄露的夢魘。而今年4月，Facebook數據泄露事件也將數據治理問題推向了最高潮，美國海內外已經舉辦數十場聽證會，全方位深度拷問平臺數據處理規則。

　　這過去一年來的聽證會，深度卷入了各大科技公司、消費者代表、隱私保護監管機構、立法者（包括歐盟GDPR和加州隱私法立法重要參與者）。通過各方的質詢、回應、討論、激辯，將數據治理議題推向縱深，美國的數據治理框架也逐步浮現：

　　一方面，以加州為代表的各州對隱私保護制度進行完善。今年6月，加州率先推出了消費者隱私權利保護法案（California Consumer Privacy Act，CCPA）,這是美國目前最為嚴格的隱私法。

　　另一方面，在國會兩院關于制定一部統一的聯邦隱私法的呼聲日益高漲，并得到了美國兩黨、科技行業的一致支持。現在的問題不再是是否需要制定聯邦層面的隱私保護法，而是應該制定一部什么樣的聯邦隱私保護法。

　　面對美國隱私立法最新變化趨勢，我們不禁要問：以加州隱私法為代表的州立法是否是美歐隱私立法走向融合趨同的前兆，預示著崇尚市場自由的美國也如歐洲一樣開始側重對個人權利的保護？

　　回答這個問題，我們需要首先厘清美歐這兩大主導全球數據保護政策的體系之間的關系。

　　長久以來，美歐數據保護政策體現著明顯的差異：歐盟主張統一和嚴格立法，而美國傾向分散和寬松立法；歐盟強調政府部門對于個人信息保護的監管權力，而美國則主張政府的有限干預。這些差別反映了二者對于個人信息保護政策基礎理念的分歧。

　　當然，在根本分歧之外，美歐之間也有政策的相互借鑒部分。例如：數據泄露通知制度最早發端于美國，之后被歐盟數據保護法迅速吸收；而在被遺忘權方面，美國也在一定程度上借鑒了其合理部分，比如在加州兒童隱私保護法中，對兒童這一敏感群體，賦予了更為強大的刪除權利。而這次加州率先在全美推出了更為嚴格的數據保護制度，仍然是美歐政策的互動學習的結果，但這并不代表著美歐數據保護政策走向趨同。

　　因為即使是最為激進的加州消費者隱私保護法案（CCPA），也比GDPR要寬松很多，也更加注重消費者保護的實際效果和促進企業發展，技術創新之間的平衡。這最顯著地體現在以下三方面：

　　第一，CCPA更大程度上豁免了中小企業。CCPA僅涵蓋收入超過2500萬美元的企業，以及銷售大量個人信息的數據經紀人。而GDPR下，幾乎所有任何規模的實體都受約束，市場里的所有玩家都必須遵守幾乎相同的高標準的合規要求，這也解釋了為什么GDPR生效后為什么會帶來對中小企業帶來了市場的負面扭曲效應。

　　第二，加州隱私法仍然保持了美歐個人數據保護法的最大差異，延續了opt-out原則。具體而言，依據GDPR，在絕大多數商業化場景下公司收集、處理消費者個人數據之前必須要獲得消費者的同意，即“opt-in”模式；而在加州消費者隱私法中，對于16歲以上的消費者的大部分的個人信息處理，采取美國一以貫之的“opt-out”模式，即除非用戶拒絕或退出，則公司可以繼續處理用戶的個人信息。這體現了美國一直以來在數據保護方面的務實思路。“opt-out”模式對消費者而言更為真實有用，同時對新進入市場的企業的發展阻礙也更小。

　　第三，在同意機制上，加州法相比于嚴格剛性的GDPR，體現出靈活彈性的特征。正如我們在上面所介紹的華盛頓郵報的例子，依據GDPR，企業在無法通過行為廣告來補貼業務的情況下，選擇直接向用戶收費模式，則難以滿足GDPR關于同意是消費者自由、自主選擇的要求。而對于此問題，加州法專門留出彈性空間，其規定：消費者行使了本法規定的隱私權利，企業不得有歧視對待，但是：如果該價格或差異與消費者數據所提供的價值直接相關，則企業還可以向消費者提供不同的價格，不同費率，不同的品質的商品或服務。可見加州隱私法仍然更多地保留了市場彈性，允許企業探索其他可行的商業模式。

　　而從聯邦層面來說，盡管目前統一的聯邦隱私立法呼聲極高，但因為美國各州差異巨大，能在聯邦層面達成共識的隱私立法不會過于詳實，具體的執法細則應根據各州的具體情況進行規定，不會像GDPR那般嚴苛。因此，在數據保護領域，美國與歐盟仍保持了不同風格的法律特征，歐盟GDPR并不是當前數據治理領域的唯一范本。

　　四、數據治理，期待更為精細和科學化的政策平衡和歐美在數據治理領域的制度探索一樣，我國也正面臨同樣的制度智慧考驗。民法典分編——《人格權》草案已正式從底層制度嘗試回應隱私和數據保護問題，《個人信息保護法》、《數據安全法》也已列入本屆人大的立法日程。

　　對于歐美提供的制度樣板，我們難以作出孰優孰劣的價值判斷。因為任何特定的法律制度，都是建立在特定社會的歷史背景下，決定于特定的文化、經濟、社會背景。

　　但任何良好的政策設計必須充分考慮各種因素，數據治理政策也不例外。在過去的20年中，我們越來越深刻的感受到政策討論背景的歷史變化——“個人信息保護”話題的邊界正在不斷擴展，向內涵更加豐富的“數據治理”轉變。

　　個人信息作為傳統法律保護的客體，一直處于靜態而穩定的法律關系之中。不論是歐盟視作基本人權、還是美國作為消費者權利保護,權利保護的法律邏輯一直是清晰的。

　　然而，隨著云計算、物聯網、AI的快速發展，數據資產在經濟、社會活動中的核心和輻射作用愈發凸顯。“數據治理”正在以更宏大的議事命題浮現，形成了圍繞數據資產的隱私保護、創新競爭、安全主權等更復雜化、更多維的公共政策討論場。

　　這些復雜因素代表了從三個視角出發的利益訴求：

? ? ? ?第一、 從個人視角出發的權利保護訴求；

? ? ? ?第二、 從產業視角出發的創新、發展、競爭需求；

? ? ? ?第三、 從國家視角出發的數字經濟國際競爭力和數據主權安全需求。

　　以上三個視角并不是孤立存在的，而是彼此緊密聯系、互動影響。這決定了我們當下的數據治理政策，也應當采用多維的思維進路，從個人權利保護，產業發展創新，以及國家數據安全和競爭力進行充分考慮和推演，任何從單點角度出發考慮的政策必定會帶來不合理的結果。例如，從個人視角出發的GDPR盡管賦予了個人強大的權利，但在實踐中，反而帶來了大平臺更加鞏固市場地位、抑制產業競爭活力的后果，愈加集中的市場最終會給個人隱私保護帶來更小的選擇空間。

　　特定的數據治理政策會同時帶來正負面效應，這是大量的隱私經濟學研究文獻所證明的通識。例如：在雇傭市場上，如果雇主由于隱私保護管制的原因，無法查閱到職位申請人是否有犯罪前科信息，則雇主很可能會作出更大的歧視性選擇，將對特定人的歧視擴展到對特定群體的歧視；同理，如果所有消費者都從廣告信息中選擇退出，則實際上會降低產品和服務的競爭度，因為消費者獲得的產品信息更少了；而在依賴于數據共享的科研、醫療領域，過嚴的數據保護政策也會帶來整體社會福利的明顯減損[5]。

　　如何平衡好數據治理政策的積極和消極影響，并沒有一刀切的解決方案。正如我們對美國國會系列聽證會對數據政策深度探討的外在觀察而看，更科學的政策仍然是在充分考慮數據治理過程中的不同因素之間復雜的互動關系。關于未來的聯邦隱私法，我們可以預判它最核心的制度和功能將仍然最主要依賴于聯邦貿易委員會（FTC）——一個以經濟學專業人士為主要構成的機構，這在一定程度上決定了美國未來的聯邦隱私法，也將會更精細地平衡數據治理的不同要素。

　　我們呼吁在當前中美數字經濟競爭格局下，數據治理政策的討論應當是多維框架、多因素互動的模式，增強來自產業界、監管界和學界的互動和討論，用更開放的視角，更精細化和科學的方式設計更好的政策，更有效地放大數據保護的正向能力，更小地弱化它帶來的負面的效果，實現權利保護、產業發展、國家競爭力提升的多贏結果。