编按:作为虚拟世界里的“大宗商品”之一,来源于你我身上的个人数据,在集结、倒卖、演变之后,已然变成一股持续的力量,重塑现实世界。2018年5月,被认为“史上最严”的欧盟《通用资料保护规范》(GDPR)正式实施,誓要保证个体自主掌控个人隐私和数据——你也许还记得那时邮箱里忽然出现了一众群发邮件,那是商户企业们纷纷更新隐私政策;你也许还记得,不久后,谷歌就被罚5000万欧元。实施至今,已近3年,GDPR到底做得如何?大棒子打向了哪里,起到了什么样的作用?又有哪些尴尬的缺陷和不足?
这是端传媒将持续推出的“我的隐私,你的生意”个人数据保护系列专题的第一篇。与隐私捆绑的个人数据,可以轻松跨越物理边界或国界,许多固有的管治框架不再适用,而政府或大型跨国企业的决策或应对,却将实际影响到每一个普通人。我们试图看到,这一切是怎样发生的。
巨额罚单背后的“监管江湖”
提到职业生涯的高光时刻,法国互联网维权机构 LQDN(La Quadrature du Net)的法务麦赛(Arthur Messaud)竟有些怨念。“偏偏那天,总统马克龙给谷歌背书,简直打脸监管部门。”在电话另一端,他幽幽地说道。
2019年1月21日——麦赛口中的“那天”,法国数据隐私监管机构 CNIL 对谷歌开出5000万欧元罚单。早在欧盟《通用资料保护规范》(以下简称 GDPR)2018年5月25日生效当天,麦赛所在协会便联合逾万公民,对美国科技巨头发起集体行政诉讼。美国巨头首次被罚,引发不小轰动,公民运动初获胜利,麦赛欣喜不已。可他没想到,就在“那天”,正逢法国举办第二届“选择法国”投资峰会:总统府爱丽舍宫官方推特助兴,大肆宣传的正是谷歌在法的投资。
“像我们这样发起集体诉讼,史无前例,”麦赛重提旧事,有些激动,“但政府却一点儿都不在乎。”麦赛的骄傲有底气在。法国监管方 CNIL 在麦赛所在 LQDN 协会推动下,开出首张罚单,极具象征意义,并为后续案件提供借鉴和启示。可这“骄傲”背后,少不了国家之间的比对和协作,亦或监管方同科技巨头的明争暗斗,曾历经几番曲折和反转,远非表面看上去这般轻松。
欧盟 GDPR 罚款限额高,最高可达2000万欧元或企业全球总营收的4%,被打上“史上最严”标签。只是,在实际执行中,或落入人力不足,且效率低下的臼窠,不免给人留下“雷声大雨点小”的印象。