生活在欧洲，这一年以来，我时不时会陷入隐私迷茫。不是因为2018年以剑桥分析公司为代表的那几起数据泄漏事件，而是每天都要至少面对几次隐私设置的选择。

去年5月25日欧盟《一般数据保护条例》（GDPR）正式生效后，每点击一个未访问过的网站，都会自动跳出隐私提示选择。大多时候，直接按“同意”键。有时候也会点开“了解更多”，查看隐私条款。直接按同意键，偶尔会怀疑，到底是谁、收集我哪些数据？要是点开“了解更多”，费时费力看完条条款款，勾勾选选，过后就忘记给了谁哪些授权，没给谁哪些授权。跟自己较了几次劲后，放弃了，对浏览的大多数网页都直接授权了。

欧盟《一般数据保护条例》给予个人对自己数据的绝对掌控权，给予个人同意或者否定企业/机构收集个人数据的权利。行使这个权利，对个体来说时间和智力成本虽然高，但可以体会“我的数据我做主”的满足感（或者是幻觉？）。

隐私权是深植于欧洲理念的基本权利

1999年，太阳计算机系统公司的CEO史考特•麦克里尼对着一群记者和分析师说了一句当时多数人不理解、后来却广被引用的话“你的隐私是零了，想开点吧。”2010年，扎克伯格表达得更具体：隐私的社会规范已经演化了，因为人们已经习惯不仅仅是分享更多不同的信息，也愿意对更多的人更开放。在硅谷，沃伦和布兰迪斯1890年提出的隐私权早已经是个过时的概念了。

欧洲人的传统和理念不一样，阿姆斯特丹大学媒体与电讯法学教授尼克•范•艾克说，“跟美国不同，隐私权在欧盟是一项基本权利。”在《欧盟基本权利宪章》里，对隐私权的尊崇等同于美国宪法对言论自由的保护。《欧盟基本权利宪章》第7条是“尊重隐私和家庭生活”，第8条是“保护个人数据”。调查显示，欧洲人特别是德国人，对企业使用个人数据比美国人要谨慎。

范•艾克教授今年3月到中国杭州参加了阿里巴巴发起的罗汉堂主办的隐私与数据治理大会，上周又去华盛顿参加美国议会的隐私权听证会。他说，关于隐私权立法，中国有中国的立法理念，美国有美国的理念，这都没关系，关键是全世界要有基本共识，隐私权作为人的基本权利，必须要被尊重被保护。

2011年初，世界经济论坛发布了一份报告“个人数据：一种新资产类别的出现”。报告引用时任欧委会消费者政策委员库尼娃2009年说过的一段话：“个人数据是互联网业新的石油，是数字世界新的货币。”那个时候，欧盟已经在着手准备GDPR的草案了。2012年初，欧委会整合了1995年版的隐私保护指令、电子通讯隐私保护指令以及欧盟公民权利指令，正式提出GDPR草案。

在欧盟就GDPR进入旷日持久的讨论同时，个人数据市场这座金矿在迅速被挖掘。维也纳经济大学教授沙拉•斯皮尔克曼说，在这个数字信息价值链条上的企业，从任何在线活动收集数据，只要用户上线，他们就可以在大约36秒内向用户发送针对性内容。据美国一家顾问公司eMarketer的数据，2018年全球在线广告市场的规模达到2833亿美金，2019年有望增长17.6%，达到3332亿美金。谷歌、Facebook和阿里巴巴是世界前三大在线广告平台。

美国人把欧盟在保护个人保护隐私权的激进姿态，归结为欧洲的保护主义，因为欧洲自己没有互联网巨无霸。全球前200家互联网公司，欧洲公司只有8家。有美国企业家说:“如果法国、德国有互联网巨头的话，欧盟还下得了狠手吗？”

合规企业的意外收获——用户的信任

不管欧盟的动机、理念根源如何，GDPR正式生效了。在对GDPR的诸多“吐槽”中，最集中的一项便是企业在合规方面的支出多了，会加重企业的负担。有估算显示，欧盟企业的合规总支出达到2000亿美元，美国企业要花近42亿美元。大公司抗得住，中小企业日子会不好过，因为律师、顾问公司可都不便宜。美国有些初创企业就放弃了开发欧洲市场的打算。

范•艾克说，因为GDPR的条款基本都在各国的法律框架内存在很久了，欧盟内的企业如果觉得达到GDPR合规非常困难的话，那说明之前的运作就很不合规。范•艾克认为中小企业“聪明点”的话，合规不是个太难的任务。

比利时的一家中型金融服务公司Copper&co.没额外花咨询费就达到合规了。CEO德•舒尔沃说，从2016年GDPR立法通过后，就有很多律师、顾问公司、IT公司上门卖GDPR合规服务，价格都挺贵。听过几家做的介绍，感觉可操作性不强，正犹豫时收到了保险业中介协会的操作指南。这份指南是协会的一个四人专家组做的，跟金融服务的业务特别契合，免费提供给会员企业。德•舒尔瓦说培训员工、升级数据系统等，前前后后大约用了三个月的时间，整个公司在GDPR落地前就做到了合规。“协会的指南做得好，除了当时多花了点精力，GDPR合规并不难。”德•舒尔瓦说，“GDPR还有个没想到的好处。有时候客户会要求查阅些数据，以前虽然不愿意，但是也得给。现在就能直接拒绝客户——涉及到GDPR规定的敏感数据，不能给。”GDPR落地一年后，各路专家的合规服务费也都降价了，德•舒尔瓦说他最近居然看到过“GDPR合规服务，100欧元”的报价。

德•舒尔瓦说他的公司并没明显感觉到GDPR合规在客户信任度方面的影响。但有的企业在GDPR合规过程中发现客户的信任度高了。思科做的一份调查报告发现，隐私保护创造的业务价值超过了合规性的初衷，“不仅可以赢得客户信任，还可以使用受到高度保护和精心整理的数据来增强客户体验，并为所有利益相关者创造更大的价值”。

罚款的大棒高高举起，轻轻落下

预计GDPR会产生的另一个负面效应是罚款可能会罚倒很多企业。因为根据GDPR规定，欧盟层面和各国的执法机构，可以对违规企业施以罚款，上限达2000万欧元或是企业全球营收的4%。但从一年来的具体案例看，欧盟各国数据保护机构在对企业的罚款方面还是手下留情了。

我向欧盟数据保护委员会（EDPB，由欧盟各国的数据保护机构和欧盟数据保护监管局组成的委员会，旨在确保欧盟各国在数据保护执行中的一致性，并协调各国间的合作）询问一年来对GDPR违规企业的处罚情况。EDPB尚没有官方发布截止到2019年5月的完整数据，但提供了最新的数据泄漏案例的数据——89271起。根据其2月底公布的数据，11个国家的案例罚款总额约5600万欧元。其中，谷歌一起案例就占了所有罚款总额的近90%，5000万欧元。

法国国家自由与信息委员会（CNIL）今年1月开出了对谷歌5000万欧元的罚单。理由是，谷歌长期持续违反了GDPR对透明度、信息披露和明确告知等三大要素的要求。谷歌提出上诉。因为其欧洲总部注册地在爱尔兰，根据GDPR第56条“一站式监管”规定，法国应该把跨境监管的调查主导权交给爱尔兰。5月22日，GDPR落地满一周年的前三天，爱尔兰数据保护委员会宣布，对谷歌的实时广告竞价对用户隐私的保护是否合规展开调查。谷歌随即回应，将全力配合调查。

爱尔兰是包括谷歌、Facebook、推特、苹果、微软等众多互联网巨头欧洲总部的所在地；欧洲媒体诟病，该国的一些政要跟互联网巨头关系过于密切。爱尔兰数据保护委员会1月和4月分别对推特和Facebook发起了GDPR合规调查。过往从爱尔兰数据保护委员会发起调查到做出初步判决，通常耗时7到8个月，对谷歌等巨头的调查可能需要更久。

无论谷歌案后续发展如何，法国提出的5000万美元罚款相当于谷歌2018年营收1368亿美元的0.04%，远低于GDPR设定的4％的营收上限。其他的罚款案例的数额也不大。例如，葡萄牙对一家没有妥善保护患者资料医院的罚款为40万欧元；波兰对一家泄漏公众邮箱地址的数据服务商处以22万欧元的罚款；德国一聊天平台因未将用户账号密码妥善保管被罚款2万欧元。最新一起罚款案例发生在立陶宛。5月16日，立陶宛数据保护监管机构对一家互联网支付公司泄漏数据并未及时报告，处以罚款61500欧元。

GDPR的全球影响力

去年3月爆发的剑桥分析一案引发的公众对数据隐私的瞩目，令GDPR受关注度明显提高。曾经对GDPR强烈质疑的美国的各界，态度也变了。

美国国会两院目前正在考虑参照GDPR，制定联邦层面的隐私保护法。执行保护消费者权利法的美国联邦贸易委员会（FTC）主席西蒙斯说，美国应该把欧盟GDPR看作是一次制度试验，观察它带来了什么，是否破坏了竞争，以便在设计制度时找到办法来规避其缺点。

科技巨头们更是纷纷加持GDPR。苹果公司CEO库克去年10月在布鲁塞尔的欧盟隐私保护大会上赞扬GDPR是一个“具有凝聚力的良好的政策和政治范例，将保护所有人的权利”。他还呼吁美国政府效仿欧盟制定全面的联邦隐私保护法。欧盟数据保护监管局（EDPS）当时也邀请了扎克伯格和皮查伊参会，但是两人都没到场。

今年3月底扎克伯格在《华盛顿邮报》、《爱尔兰独立报》同时发表的公开信上，特别提到GDPR：“有效的隐私和数据保护需要一个全球协调的框架。世界各地许多人都呼吁参照欧盟《一般数据保护条例》对隐私进行全面监管，我对此表示赞同。”几天后，推特CEO多西在接受彭博电视采访时也表示：“总的来说，我认为监管是好事，像GDPR就很正面，不光对我们平台，也对整个行业有益。特别是其明确了很多关于隐私的问题。”

扎克伯格的示好，欧盟的监管官员没接。欧盟数据保护监管局局长乔瓦尼•布塔瑞利认为扎克伯格“口惠而实不至”。英国信息委员会（ICO）委员伊丽莎白•丹哈姆说，如果扎克伯格是认真的，那么Facebook就不该就罚款裁决上诉——英国信息委员会因剑桥分析数据泄漏事件对Facebook施以50万英镑的罚款，因为事件发生在GDPR生效前，在旧法规下，50万英镑（约66万美元）就是上限。如果按照GDPR 4%全球营收的上限，罚款金额会达16亿美元。Facebook就英国信息委员会的这一裁决提出了上诉。

范•艾克教授倒是对科技巨头有一种对学生般的宽容：“他们还年轻，脑子里都是赢者通吃那一套，他们还有一段学习曲线要走。”GDPR能有多大的影响力，现在还看不出来。范•艾克教授说，GDPR的意义就在于它唤醒人们对于隐私权、数据保护的关注。

（注：作者系居住在比利时布鲁塞尔的专栏作家）