效果评估：GDPR究竟带来了什么？

作为全球数据领域最为重要的法律之一，GDPR实施一年多来，引发了各界的广泛关注。2019年8月23日，在对外经济贸易大学数字经济与法律创新研究中心所举办的第四期得理（DE&LI）工作坊上（工作坊由数字经济与法律创新研究中心主办，数字经济与社会研究会协办），来自高校、智库、企业界的专家学者，就欧盟GDPR一年多来的执法情况评估和我国正在制定的《个人信息保护法》、如何借鉴GDPR的规则等主题，展开了热烈研讨。

参会专家和学者有：中国信通院安全研究所数据安全研究部副主任陈湉、中国信通院互联网法律研究中心主任方禹、中国社会科学院大学互联网法治研究中心执行主任刘晓春、北京大学法治与发展研究院高级研究员洪延青、中国法学会法治研究所副研究员刘金瑞、中国政法大学副教授沈伟伟、阿里巴巴集团国际隐私合规高级专家郭戎晋、北京市网络法学研究会理事刘元兴、美团点评法律研究中心高级研究员刘笑岑、普华永道高级法律顾问宋雅菲、京东法律研究院秘书长严少敏、百度公司高级法律顾问鲁艳、对外经济贸易大学数字经济与法律创新研究中心执行主任许可，以及其他业内专家等。

评估GDPR需有多种维度

许可老师提出了看待GDPR的四个维度：文本中的GDPR（GDPR In Book）、行动中的GDPR（GDPR In Action）、价值中的GDPR（GDPR In Value）、经济中的GDPR（GDPR In Economy），其中，“文本中的GDPR”和“价值中的GDPR”是事前观点，“行动中的GDPR”和“经济中的GDPR”是事后观点，后者比前者更为重要。

多位专家学者注意到了效果评估时应注意的复杂因素。刘金瑞提出，GDPR是由很多条文组成的整体，很难笼统评价它的好坏，什么样的立场决定了人们对这个问题的观点，评价时要排除先入为主的观念，尽量客观看待。刘元兴认为：我们可以评估法律文本，但不可能站在我们的制度环境和经济发展情况或我们的认知上去评估GDPR；我们可以借鉴文本，但不可以借鉴的是制度背景和后面的价值，包括司法、行政还有整个配套的机制，我们是不能模仿的。刘笑岑也主张，在借鉴境外的同时，我们也应该基于自身的法律体系，对不同的法律概念、法益、规范目的进行更细化的理解。

GDPR：促进了什么？阻碍了什么？

与会专家学者，从多个角度分析了GDPR所带来的经济社会影响，丰富了各方对这一主题的理解。

对外经贸大学法学院硕士研究生王好好，重点梳理了关于GDPR实施一周年的支持性评价，如：从消费者角度看，GDPR一定程度上提高了消费者数据的安全性，促进了对消费者隐私和个人信息的保护；从企业角度看，GDPR的落实有利于一些企业降低数据记录泄露和由此产生的财务成本；从市场角度看，GDPR的落实有助于建立新的商业文化、促进新商业模式的产生。

在宏观层面，陈湉主任重点关注EDPB发布的评估报告，认为GDPR实施的成果在于解决了《1995年个人数据保护指令》时代成员国各自为政的问题，但EDPB报告并没有正面回应如何提振欧盟的数字经济，仅仅说明通过一站式的监管协作机制打造欧盟统一的监管环境、营造欧洲单一的数字市场。刘金瑞则对GDPR能否建构出单一数字市场持有怀疑态度，因为GDPR实施需要各国内化为国内法，各国条文并不相同，即使条文一样，各国的理解也有差异，比如对公共利益的理解。

在经济领域，许可老师认为GDPR可能戕害创新、伤及互联网成熟业态、阻碍新兴产业的发展、减少风险投资、未必有利于企业和用户建立信任。刘晓春主任也认为，GDPR对产业带来的成本是不需要论证的，促进隐私产业本身发展也是肯定的，但并非能够产生新的产业就是好的事情，人们应关注的是对资源分配的影响：GDPR展现出的高合规成本，更有利于大企业的资源分配，并且可能导致资源从创新投入转移到信息保护上去，这是不妥当的。

在执行实务层面，郭戎晋的发言则提及了用户权利行使遭到滥用的问题。他介绍GDPR带动了隐私合规产业链的发展，但也有负面状况出现：目前欧盟出现数家初创企业公开表示可代表用户主张个人数据权利，藉此取得的数据所创造的商业利益再与用户分润。他担心欧盟用户权利的行使会不会变相成为个人信息索取的合法手段，这是目前欧盟GDPR实务上存在的问题，未来我国如何预防通过相关方滥用权利去牟取利益，值得关注。

其他与会专家也纷纷发表了真知灼见。鲁艳从企业的价值和合规成本权衡、企业之间的利益平衡、企业跟用户之间的利益平衡三个方面进行了发言。沈伟伟老师认为，个人信息保护应该放在整个国家战略和国际格局上考虑。严少敏也认为，GDPR统一了欧盟各国的立法，并对全世界造成了影响，而其本质，则是以欧盟庞大的用户控制了世界规则的话语权。

真问题：发展是第一要务

综合各方的观点来看，作为复杂而不断演进的法律制度，GDPR的最终效果，仍有待时间的进一步检验。也正因此，我国在出台相关数据法律或政策时，应充分考虑到其中的复杂因素，如，数据法律或政策背后的技术演化、国际竞争、价值观主导权竞争、保护与发展的平衡、不同规模企业之间的平衡等等。

从技术来看，云计算、大数据、人工智能、物联网、移动互联网等新技术群落，仍在快速演进、快速迭代，未来的技术演进仍存在着诸多的可能性，有利于数据保护的新技术也方兴未艾，技术和法律的二元治理框架，有待在未来得到进一步的探索。从宏观发展来看，我国数字经济在一些领域，在全球初步取得了领先地位，并与美国数字经济一道形成了全球数字经济的双引擎。因此，对于大力发展数字经济的我国来说，发展依然是未来很长一段时间里的第一要务。在此大环境下，数据作为未来数字经济的核心生产要素，对数据的治理也应该包容审慎、以促进发展为导向。

在当前这一复杂环境下，面向真实世界里的真实问题，立足于技术进步、产业实践、个体和企业的理性行为选择，才能给技术创新留下空间，给未来经济发展留下空间，并逐步探索真正契合我国长远利益和根本价值的数据治理的理念、原则、规则等。