《華爾街日報》6月1號報導, GDPR(General Data Protection Regulation, 一般資料保護條例) 正推動廣告資金流向穀歌的網路廣告服務。 這個結果不知道是否出乎歐盟監管機構的意料。
GDPR被稱為全球史上最嚴格的資料保護法案, 難道不是開啟了大資料時代個人隱私和資料保護的新篇章?
如何從經濟學角度來權衡GDPR的成本與收益呢?
GDPR會加速諸如區塊鏈之類的技術推廣嗎?
資料資產到底歸誰所有?個人、企業還是國家?
GDPR是否會阻礙互聯網創新?
本期“企鵝經濟學會客廳”邀請到四位知名經濟學家, 從效率、競爭與創新的內在機理等角度, 深入分析這部資料保護法案的經濟學影響。
主持人
吳緒亮
騰訊競爭政策辦公室首席經濟學顧問
會客嘉賓
寇宗來
復旦大學經濟學院教授、副院長, 復旦大學產業發展研究中心主任
陳永偉
北京大學市場與網路經濟研究中心研究員
鐘鴻鈞
上海財經大學商學院教授
李曉華
中國社科院工業經濟研究所室主任、研究員
觀點搶先看
“
GDPR一定會改變創新的路徑。 GDPR會催生“有毒資料垃圾”的專業化處理公司。 這種公司的作用就是為那些缺乏資料銷毀能力的公司提供GDPR合規服務的。 如果說這種“創新”被許多人理解為是無意義的, 那麼, GDPR一定會催生GDPR的“掘墓人”, 因為正如馬克思所強調的, 人類社會發展永遠是一個否定之否定的過程。 按照我的猜想,
——寇宗來
GDPR是對資料所有權劃分的一種嘗試。 但就我個人來看, 這種嘗試並不能算是太成功的。 對用戶隱私的嚴格保護, 表面上似乎是保障了用戶的權益, 但這也客觀上也限制了人們的權益。
——陳永偉
表面上看, 資料的轉移意味著各平臺可以更加公平地競爭, 但是企業收集獨特資料的激勵弱化了, 更多的企業會期望在資料市場搭便車, 資料的品質將下降, 從而降低資料相關的商業價值, 影響經濟增長。
——鐘鴻鈞
因此, GDPR帶來的成本增加必然會對既有互聯網公司的業務發展和互聯網創業造成一些不利的影響。 針對這一點, GDPR考慮到對中小企業的扶持, 規定規模在250人以下的中小企業可以豁免資料活動文檔化記錄的義務。
——李曉華
Q
&
A
吳
緒亮:法律和經濟學界關於資料產權如何在使用者、平臺企業和協力廠商等利益主體之間進行配置一直存在很多爭論。 此次GDPR也涉及到用戶同意權、被遺忘權、資料可攜權等等內容, 你們判斷這些規定在資料產權界定方面有何意義?
寇宗來:在互聯網和大資料時代, 資料產權界定成為一個日益尖銳的社會問題。 在傳統社會中, 人際交往以及決策行為是“稍縱即逝”和“健忘”的, 任何人要大規模收集、存貯、處理和傳播他人資訊, 成本極其高昂, 因而只有借助國家權力, 比如人口普查, 才能獲得大規模資料樣本。
出於對國家公正性的信仰, 人們對國家獲得以及使用這些個人資料頗以為然,
但到了互聯網時代, 情況發生了本質變化。 由於資訊技術高度發展, 人際交往和決策行為很容易被“編碼”和記錄下來。 由此, 除了政府, 許多平臺型私人營利企業, 也具備了大規模資料收集、存儲、處理和傳播的超群能力。
實際上, 與政府相比, 這些私人公司的大資料能力甚至更為強大。 即便人們對政府的公正性保持高度信仰, 但對於這些私人企業卻難免放心不下。
人們擔心, 也時常觀察到, 私人企業有時會濫用它們收集到的大資料。 濫用不但體現在會損害個體利益, 也有可能損害公共利益, 比如臉書的大資料據稱被用於操縱美國總統大選。
由此, 反對私人企業完全掌握資料權就有了兩股強大的力量,
國家之所以反對, 乃是在傳統社會中, 國家是大資料的獨家所有者, 而現在, 私人公司要與國家稀釋這種所有權。 私人之所以反對, 首先是因為這可能會侵犯個人隱私, 其次是因為這種反對與國家的立場不謀而合。
所以, 當我們在討論資料權利的界定時, 一定不要只盯著用戶和平臺, 而忽略了“國家”這個極其重要的, 甚至是居於核心地位的協力廠商。
現代社會中, 並不真正存在什麼“自然權利”;任何權利, 本質上都是法定權利。 實際上, GPDR, 也不就正是“國家”力量作用的結果嗎?
陳永偉:GDPR是對資料所有權劃分的一種嘗試。 但就我個人來看, 這種嘗試並不能算是太成功的。 對用戶隱私的嚴格保護,表面上似乎是保障了用戶的權益,但這也客觀上也限制了人們的權益。
究竟什麼是隱私,每個人,每個時代的理解都是不一樣的。有些人認定的隱私範圍很寬,有些人認為的隱私範圍很窄。
對於前一種人,我們應該保護他們的隱私不受侵犯,但對於後一種人,我們也應該允許他們讓渡一些資訊,以換取便利服務。
如果一刀切,劃定了一個很寬的隱私範圍,規定企業不能用,事實上是剝奪了後一類人的權利。
當然,在GDPR中有很多“但書(proviso)”,即很多例外,規定在某些情況下,企業可以應用個人的隱私資料。
不過,在考慮如此做的法律成本,以及合規成本的情況下,多少企業還願意冒這個險,恐怕是值得懷疑的。在現實中,更多企業應該會更傾向於規避風險,寧願把部分使用者的資訊刪除,也不會願意承擔風險。
鐘鴻鈞:GDPR的七個原則中的有限留存原則要求,除非符合公共利益,科學研究等正當目的,企業對個人資料的留存期限不能超過其處理目的。如果我們認同資料是資產,那麼GDPR的這一要求實質上就是認為資料資產應該歸個人所有。
不過我理解,資料資產的所有權是非常複雜的事情,很難簡單區分。更好的處理方法可能不是簡單的規定,而必須尋求更靈活的處理方法,確保在不妨礙創新的情況下有效保護個人隱私。
李曉華:我同意上述觀點,GDPR被普遍認為是歷史上最嚴格的個人資料保護法案,它在平衡其他相關各方的新聞自由、表達自由、商業自由等權力的基礎上,明顯加強了對個人資料所有者的權利保護。
吳
緒亮: GDPR對企業經營成本的影響是怎麼樣的?
李曉華:GDPR對個人資料保護的加強意味著作為資料控制者和資料處理者的互聯網公司需要承擔更多的責任,這必然會增加它們額外的成本。
例如,為了實現個人資料所有者的“被遺忘權”,資料控制者如果對個人資料進行了公開傳播,那麼它不僅需要刪除自己控制的資料,而且需要其他協力廠商刪除資料主體主張的個人資料鏈接和複製;為了實現個人資料所有者的“資料可攜權”,資料控制者需要開發相應的工具用於使用者資料的匯出以及剔除涉及其他協力廠商的個人資料。
陳永偉:我同意這一點,GDPR毫無疑問會給企業帶來巨大的合規成本。
前幾天,我在一個會上遇到了一位某航空公司的高管。他向我抱怨,由於民航的屬性,他們要向監管部門、售票網站等很多單位分享資訊。一旦資料分享出去後,他們就很難再對其進行控制。
根據GDPR的“被遺忘權”,企業在一段時間後不僅要刪除自己手中的所有資料,還要刪除流傳出去的所有資料。但這怎麼做到?即使在技術上可行,成本也是巨大的。
現在,這位高管很擔心,如果他們分享出去的資料被擴散,他們將會面臨無窮無盡的訴訟,並且有可能有理說不清。我想,對於所有資料驅動的企業來講,都會有這種煩惱。
寇宗來:我完全同意前面幾位的分析。GDPR無疑會增加企業的經營成本。
吳
緒亮:GDPR一方面會增加企業經營的成本和影響企業投資的積極性,但也會帶來很多收益,比如用戶隱私權受到保護,那麼,如何從經濟學角度來權衡GDPR的成本與收益呢?
寇宗來:從經濟學角度來看,“成本”和“收益”實際上沒有太大區別,因為經營成本增加也可以理解為經營收益減少。
不過,有一點值得特別強調,即面對GDPR的“威懾”效應,許多私人公司可能會放棄一些本來有利可圖的業務。如果“有利可圖”是公司侵害個人隱私的“損人利己”,這種業務縮減正是GPDR要想實現的理想結果。
但是,如果“有利可圖”原本是公司與個人之間的“互利雙贏”,這種業務縮減將是GDPR對社會福利造成的實質性傷害。
知易行難。從理論上刻畫“成本”和“收益”貌似容易,但在現實中要真正準確評估成本收益卻極其困難。
如前所述,GDPR若要有效,意味著它有強大的威懾效應;但一旦它有強大的威懾效應,我們就永遠無法知道到底何種業務本來會有但現在卻消失得無影無蹤了。
評估困難的本質,說得稍微哲學一點就是,只有當隱私權被侵犯的時候,我們才知道隱私權到底價值幾何。
所以,在我看來,與其籠統地強制實行“被遺忘權”,不如老老實實地制定規則來評估隱私權的價值有多大,並制定相應的賠償規則。
但是,這種隱私權的賠償規則要能真正制定和實施,就必須存在隱私權被侵權的案件,即存在一個“隱私權市場”。
對應於我前面的分析,GDPR還有一個額外的成本和收益。一方面,它會強化政府在大資料方面的獨佔權;但另一方面,它也會提高政府收集和佔有大資料的成本,因為本來政府可以憑藉公權力要求私人公司與之分享長時段的大資料。
陳永偉:GDPR的收益和成本從定性上很容易看。收益主要是用戶的隱私權得到的維護,但這種收益到底有多大?
事實上,相關研究表明,人們願意為隱私的出價往往比自己想像的低,因此這種收益很可能會被高估。相比之下,GDPR帶來的成本可能是巨大的,包括合規成本、交易成本……這些會是一個巨額的數字。
鐘鴻鈞:GDPR的一個負面效應不容忽視,即其中的資料攜帶轉移條款,會損害企業的投資積極性。企業投資於個人資料的收集、存儲和整理,是因為這些資料可以帶來更多的商業價值。
企業可以在數位競爭時代,將其收集擁有的強大資料庫作為其獨特競爭優勢。如果企業收集存儲和整理的個人相關資料不是為企業所有,而是用戶可以自由轉移,那麼企業就不會有投資於資料收集和分析的積極性,因為他們難以獲得投資的回報。
表面上看,資料的轉移意味著各平臺可以更加公平地競爭,但是企業收集獨特資料的激勵弱化了,更多的企業會期望在資料市場搭便車,資料的品質將下降,從而降低資料相關的商業價值,影響經濟增長。
李曉華:我還想強調一點,即雖然GDPR會增加互聯網企業的運營成本,但個人資料產權的劃分不是純粹的經濟問題。
個人使用者除了需要各種豐富的互聯網服務外,還會關注資料安全、資料濫用及其帶來的個人隱私問題。此外,由個人資料產生的政治、倫理、道德、文化等問題也是個人用戶所關注的。
Facebook將使用者資料開放給劍橋分析公司,而後者將Facebook使用者資料用於發送政治廣告影響美國大選,這一事件在全球範圍引起軒然大波,Facebook創始人兼CEO多次接受美國國會和歐洲議會的質詢,說明非經濟利益的訴求仍然具有非常重要的“價值”。
紮克伯格對資料洩露事件道歉和表態整改以及大多數主要互聯網公司宣佈接受GDPR的精神,都說明個人用戶的非直接經濟利益獲得普遍認可。
互聯網發展初期,或者由於缺乏使用的法律法規,或者是政府出於“放水養魚”的目的,互聯網企業成長的環境較為寬鬆,而GDPR的實施使得個人用戶的非直接經濟利益得到關注。
吳
緒亮:GDPR對市場競爭中不同類型的企業,其影響有何差異?特別地,這種差異對市場競爭機制會產生何種影響?
陳永偉:我認為,GDPR在讓大企業頭疼的同時,更會增加小企業的成本。原因很簡單,對企業而言,法律服務是有規模效應的--一個大企業或許還能承擔這樣的合規成本,但小企業卻很難應用。這樣的結果是,很多小企業可能會被這一障礙擋在市場之外。
鐘鴻鈞:誠如永偉所說,GDPR可能會產生出乎意料的不利競爭結果,特別是它可能會增強大企業的優勢,不利於中小企業參與資料市場的競爭。
雖然GDPR對中小企業有一些豁免政策,但是,資料市場存在非常強的網路效應和範圍經濟。網路效應和範圍經濟的存在,使得資料需求方會更為傾向於哪些擁有更完整資料和監管適應能力更強的企業。
《華爾街日報》6月1號報導了一個有意思的資訊,GDPR正推動廣告資金流向穀歌的網路廣告服務。這個結果一定會出乎歐盟監管機構的意料。
為什麼會這樣呢?這是因為大的互聯網平臺企業不僅擁有更完整的資料,更重要的是大公司的監管適應能力遠超其它中小企業。穀歌這樣的大公司在合規方面要比其它的中小公司強很多,他們在徵求用戶同意投放定向廣告的行動要遠早于其它競爭對手,他們為了適應監管可以動用的資源也更多。
在強監管下,更不適應的一定是中小企業而非大的平臺型企業。這樣一來,廣告主在選擇廣告平臺時會傾向於合規和監管適應能力更強的大型網路廣告企業。這種變化,實際上會增強大的廣告平臺的優勢,不利於小的廣告公司。
李曉華:由於在互聯網產業生態中的角色和地位不同,GDPR對企業的影響存在差異。在電商、搜索、及時通信、共用經濟等領域的互聯網平臺企業,與個人用戶存在直接的聯繫。個人使用者讓渡個人資料的權利是他獲得互聯網服務的前提。
互聯網企業往往需要獲得個人資料才能夠提供更加個性化的服務,如基於位置的服務、新聞個性化推送等。平臺企業所提供的服務幾乎成為現代社會的“必需品”,因此個人用戶在使用他們所提供的服務時,有時就不得不同意這些互聯網公司利用他們的資料。
GDPR雖然造成平臺企業成本增加,但並不會對使用使用者的資料造成明顯的障礙。
然而還有一些互聯網公司不與用戶產生直接聯繫,而是通過平臺企業獲得資料或者通過爬蟲工具抓取資料(簡稱“協力廠商企業”)。
由於GDPR規定除了五種例外,使用者同意是資料處理的合法基礎。因此,GDPR將使協力廠商企業在個人使用者資料的收集、使用上受到很大制約,平臺企業在與資料相關技術領域(如大資料、人工智慧)與商業模式方面的優勢將更為明顯。
當然,GDPR對個人資料的保護表明個人資料的價值屬性,協力廠商企業可以通過支付合適的價格獲得個人使用者的資料。在此過程中,可能會衍生出專門的個人資料仲介出現。
寇宗來:依賴於不同的分類方法,就會有不同類型的企業。
首先,可以將企業分為“資料密集型”和“資料稀疏性”兩種。很顯然,GDPR會提高第一類公司的營業成本,或者說會相對提高第二類公司的相對優勢;所以,可以預見的一個結果是,GDPR會延緩人類社會的“大資料化”趨勢。
其次,可以將企業分為“親政府型”和“疏政府型”兩種。我們相信,即便GDPR得到嚴格實施,也不會排斥政府對大資料的收集、存儲和使用。這樣,企業與政府的“距離”就開始發揮關鍵作用。不難想像,那些帶有半政府性質的公司(比如國有企業),會因為GDPR而獲得更大的相對競爭優勢。
第三,可以將企業分為“資料產生型”和“資料清除型”兩種。由於GDPR,資料產生不再只給企業帶來好處,也有可能會給企業帶來巨大成本。套用經濟學裡面的術語,此時資料作為一種特殊的生產要素,不再是免費處置的(Free Disposal)。
就好比傳統社會中一定要有垃圾處理企業,GDPR將會催生清除和銷毀“有毒資料垃圾”的專業化公司。這一點大概是人類社會中制度安排影響社會分工的一個有趣案例吧。
吳
緒亮:GDPR對互聯網市場的創新機制有何影響?
鐘鴻鈞:GDPR可能產生的一個結果是,它會阻礙創新。就像剛才說的那樣,GDPR實質上將資料資產劃歸個人所有。
不可否認,一些資料的所有權毫無疑問是屬於用戶所有的,比如個人的身份相關的資訊。但是,在很多商業交易中誕生的資料,其所有權的區分則需要動態地看。
比如成人在服裝消費中的個人尺寸資訊,留存在商戶中對於各方都是非常有利的事情,商戶在匯總分析這些個人資訊後的商業決策,包括精益生產,對整個社會都是有益的。
在這種情況下,如果簡單的要求資料留存期限不能超過處理目的,或者保護使用者的被遺忘權,可能會產生一些不利的影響,妨礙中小企業的創新。
陳永偉:GDPR對創新的影響是多方面的。最重要的是,“被遺忘權”會讓企業很難利用過去的資料,這對於現在資料驅動的機器學習可能是災難性的。
李曉華:主流的互聯網服務通常以免費的形式存在,即使收費的互聯網服務在發展初期出於建立使用者基礎、發揮網路效應的目的,也常常免費或進行大量的補貼。
因此,GDPR帶來的成本增加必然會對既有互聯網公司的業務發展和互聯網創業造成一些不利的影響。針對這一點,GDPR考慮到對中小企業的扶持,規定規模在250人以下的中小企業可以豁免資料活動文檔化記錄的義務。
寇宗來:我並不贊同GDPR一定會阻礙創新的看法。我認為,更加準確的說法是,GDPR一定會改變創新的路徑。
前面,我已經談到,GDPR會催生“有毒資料垃圾”的專業化處理公司。這種公司的作用就是為那些缺乏資料銷毀能力的公司提供GDPR合規服務的。如果說這種“創新”被許多人理解為是無意義的,那麼,GDPR一定會催生GDPR的“掘墓人”,因為正如馬克思所強調的,人類社會發展永遠是一個否定之否定的過程。
在傳統社會中,大資料是國家獨佔的,個人隱私基本上是不受威脅的。但到了互聯網社會,私人企業開始與國家分享大資料,而個人隱私也面臨來自私人企業的威脅;GDPR的出現,既反映了國家恢復資料獨佔權的願望,也迎合了人們保護個人隱私的願望。
但是,GDPR實施之後,必然會催生“反GDPR”的技術趨勢,即催生GDPR的“掘墓人”。按照我的猜想,GDPR將會加速諸如區塊鏈之類的技術推廣。
為什麼?區塊鏈技術在本質上是一種“去中心化”力量。本來,面對互聯網的“中心化”力量,區塊鏈技術就已經蠢蠢欲動,而GDPR的實施,則有可能使之從“星星之火”變為“燎原之勢”。
吳
緒亮:GDPR對不同國家和地區的企業產生的影響有何不同?
李曉華:儘管GDPR是由歐盟出臺的,但是它的影響卻是全球性的。一方面,歐盟本身缺乏本土的大型互聯網公司,2018年市值最高的20家互聯網公司都是美國(11家)和中國企業(9家);另一方面,按照GDPR適用的三種情形,無論是否在歐盟有營業場所,幾乎所有的互聯網公司都難以逃脫GDPR的規制。
特別是GDPR第三條規定的第二種情形--“資料控制者、資料處理者未在歐盟設立營業場所,但向歐盟的資料主體提供商品或者服務,或者被追蹤的網路行為發生在歐盟的”。
這就意味著,歐盟公民使用了某公司的互聯網服務,該公司就要遵循GDPR的規定。即使有些互聯網公司是本土化的,不承擔個人資料保護責任可能會使它們的運營成本更低,但是一旦他們國際化並面對GDPR,前期沒有按照GDPR要求運營很可能面臨巨大的合規風險,造成巨大的經濟損失。
GDPR規定的最高罰金可以達到2000萬歐元或者企業上一年度全球營業收入的4%,兩者取其高,這就是高懸在互聯網企業頭頂的達摩克裡斯之劍,會使它們在做出不遵循GDPR時慎之又慎。
從這個意義上說,由於GDPR的影響幾乎覆蓋全球,因此基本上不會使某個國家或地區的互聯網企業處於更高成本的不利競爭地位。
寇宗來:首先有必要弄清楚為什麼GDPR會發端于歐盟。從經濟學角度,這有供需兩個方面的因素。
第一,歐洲人對個人隱私似乎有更高評價,因而願意為保護個人隱私而放棄與大資料相關的諸多便利。
第二,與美國、中國相比,歐洲各國在互聯網時代相對落伍,缺乏響噹噹的互聯網旗艦企業;所以,推出GDPR似乎會增加歐盟企業的相對競爭優勢。但在我看來,這種“計算”有大概率是會失敗的,即反而會進一步降低歐洲企業的競爭優勢。
為什麼這麼說?互聯網時代,大資料是一種關鍵競爭要素。孫子雲:知己知彼,百戰不殆。試想一個掌握大資料的公司與一個不掌握大資料的公司相互競爭,孰強孰弱,不言而喻。
保護個人的隱私權非常重要,但如前所述,只有存在一個隱私權交易市場,個人隱私才能真正被定價,進而受到保護。所以,面對歐盟通過GDPR自廢武功,中國的監管層,切不可盲目跟風。
陳永偉:我說一段最近的個人經歷。不久前,我收到一 封來自某線上工作論文網站的來信,告知由於我的帳戶在過去一段時期內沒有登陸,所以根據GDPR,將刪除我的帳戶以保護我的“被遺忘權”。
我一直會關注該網站上我在整個經濟學界的“世界排名”。雖然即使我的帳戶被刪除,我仍可以訪問網站、下載論文,但我的“世界排名”就不會存在了。
細想此事,這個論文網站是美國的,而我是中國的用戶,為什麼一個歐盟的法律會讓美國的企業來刪除我這個中國用戶的帳戶呢?即使考慮到“長臂管轄”,似乎這樣的舉措也很難找到法理上的依據。
當然,如果我們從企業的角度來思考這個問題,答案就比較清楚了。GDPR依據的是屬人原則,因此即使美國網站,如果它的用戶是來自歐洲的,那麼它在網站上的一切資訊也要受到GDPR的約束。
但是對於企業來講,它又怎麼來判斷用戶是不是歐洲的呢?是用戶名?註冊地?儘管從理論上,網站可以將這些調查清楚,但這對企業而言,是巨大的成本。
一般來說,不會有企業願意付出這麼大的成本,那他們該怎麼辦呢?最簡單的辦法當然是將所有使用者的資料都按照GDPR原則來管。或許因為這樣,我這個中國公民才有機會體驗了一把歐洲公民才能享受的保護。
吳
緒亮:最後,從經濟學角度來看,歐盟此次GDPR的實施及其可能影響,對於我國相關的監管機構有何啟示?
鐘鴻鈞:一個重要的啟示就是,監管思路需要更好地適應技術和市場的變化。歐盟GDPR正確看到了隱私保護的必要性和資料濫用的潛在危害。但監管是非常複雜有挑戰性的工作,尤其是對於資料和隱私這樣的問題。
在這個問題上,加強隱私保護和資料監管的初衷是對的,但強制性的規定和法定原則(Rule of Per Se)難以適應技術和市場的快速發展和競爭的激烈演進。更好的監管方式,是參考推定原則(Rule of Reason),也就是對於具體的問題採用經濟分析來評估。
舉例來說,GDPR的七個基本原則中的資料最小化原則,也就是企業所收集、處理的個人資料對其處理目的,應該準確、相關和必要,這就是一個非常好的推定原則。
在目前的互聯網金融尤其是P2P信貸中,一些企業在個人使用者資訊中收集了貸款人父母甚至單位和朋友的資訊。這類做法,非常明顯的超出了最小化原則中的必要性和相關性要求。
此外,為了更好的促進資料市場的競爭,降低企業創新和進入的壁壘,政府可以更多的鼓勵經過處理和清洗的資料交易市場提供資料獲取服務。政府也可以考慮對中小企業提供監管方面的支援,幫助企業提升監管適應能力。
幫助中小企業提升競爭能力,而非約束大企業,這才是促進競爭和規範市場的有效方法。
陳永偉:從經濟學角度看,歐盟此次的GDPR可能是一次難得的“自然實驗”。通過這次實驗,我們可以比較不同監管制度所帶來的經濟和社會後果,從而給我們提供寶貴的經驗和教訓。至於結果如何,我們拭目以待。
寇宗來:從合約理論的角度看,GDPR實際上是改變了個人資料產權歸屬的“缺省值”,即給個人賦予了私人資料的“被遺忘權”。
“被遺忘權”是一種“否定性權利”,即沒有規定的,或者消費者無法預知其潛在損失的,都是不允許公司使用的。按照這樣的劃分,作為結尾,我希望討論互聯網和大資料時代消費者的 “肯定性權利”,即消費者應該擁有他們能夠明確識別的、與自己特徵相關的資料權利。
一個最典型的例子,消費者是否擁有與他們的“手機號”相關的各種權利?何時消費者才能真正實現無障礙“帶號轉網”?
由於微信、支付寶以及各種互聯網企業的註冊使用,都與消費者的手機號綁定,消費者改變手機號的轉換成本極其高昂。一旦消費者基本上都被鎖定,他們遭受電信運營商的“大資料殺熟”就不可避免。
由此衍生的一個理論和實踐問題是,手機號的產權,以及由此而派生出來的各種市場價值,到底是屬於消費者本人還是屬於電信運營商?在我看來,對當下的廣大的中國消費者而言,這個問題或許更加重要、更加迫切,也更應該成為監管層重視的民生和反壟斷議題。
企鵝經濟學會客廳
當憂鬱的經濟學遇見歡快的互聯網,會發生什麼樣的化學反應?這是企鵝經濟學會客廳想要告訴你的秘密。
作為資深經濟學者和騰訊研究院企鵝經濟學負責人,在吳緒亮眼裡風起雲湧的互聯網裡並沒有新鮮事。無論是用戶思維、平臺思維、長尾經濟、粉絲經濟等等所謂的互聯網思維還是共用經濟、平臺經濟等新模式,都可以用經濟學的招式一一拆解。
在吳緒亮看來,現有的基本經濟學原理依然適用於互聯網行業的新現象。但與此同時,數字經濟將要或正在改寫和重構經濟學的幾乎所有領域,甚至可以說,現代經濟學即將掀起一場數位化革命。
數字經濟領域的迅猛發展和顛覆式創新正在深刻影響著現代經濟學的研究走向。站在互聯網與經濟學的風口,吳緒亮將邀請經濟學家朋友們坐客企鵝經濟學會客廳,一起為你拆解一個互聯網背後的經濟學邏輯。
對用戶隱私的嚴格保護,表面上似乎是保障了用戶的權益,但這也客觀上也限制了人們的權益。究竟什麼是隱私,每個人,每個時代的理解都是不一樣的。有些人認定的隱私範圍很寬,有些人認為的隱私範圍很窄。
對於前一種人,我們應該保護他們的隱私不受侵犯,但對於後一種人,我們也應該允許他們讓渡一些資訊,以換取便利服務。
如果一刀切,劃定了一個很寬的隱私範圍,規定企業不能用,事實上是剝奪了後一類人的權利。
當然,在GDPR中有很多“但書(proviso)”,即很多例外,規定在某些情況下,企業可以應用個人的隱私資料。
不過,在考慮如此做的法律成本,以及合規成本的情況下,多少企業還願意冒這個險,恐怕是值得懷疑的。在現實中,更多企業應該會更傾向於規避風險,寧願把部分使用者的資訊刪除,也不會願意承擔風險。
鐘鴻鈞:GDPR的七個原則中的有限留存原則要求,除非符合公共利益,科學研究等正當目的,企業對個人資料的留存期限不能超過其處理目的。如果我們認同資料是資產,那麼GDPR的這一要求實質上就是認為資料資產應該歸個人所有。
不過我理解,資料資產的所有權是非常複雜的事情,很難簡單區分。更好的處理方法可能不是簡單的規定,而必須尋求更靈活的處理方法,確保在不妨礙創新的情況下有效保護個人隱私。
李曉華:我同意上述觀點,GDPR被普遍認為是歷史上最嚴格的個人資料保護法案,它在平衡其他相關各方的新聞自由、表達自由、商業自由等權力的基礎上,明顯加強了對個人資料所有者的權利保護。
吳
緒亮: GDPR對企業經營成本的影響是怎麼樣的?
李曉華:GDPR對個人資料保護的加強意味著作為資料控制者和資料處理者的互聯網公司需要承擔更多的責任,這必然會增加它們額外的成本。
例如,為了實現個人資料所有者的“被遺忘權”,資料控制者如果對個人資料進行了公開傳播,那麼它不僅需要刪除自己控制的資料,而且需要其他協力廠商刪除資料主體主張的個人資料鏈接和複製;為了實現個人資料所有者的“資料可攜權”,資料控制者需要開發相應的工具用於使用者資料的匯出以及剔除涉及其他協力廠商的個人資料。
陳永偉:我同意這一點,GDPR毫無疑問會給企業帶來巨大的合規成本。
前幾天,我在一個會上遇到了一位某航空公司的高管。他向我抱怨,由於民航的屬性,他們要向監管部門、售票網站等很多單位分享資訊。一旦資料分享出去後,他們就很難再對其進行控制。
根據GDPR的“被遺忘權”,企業在一段時間後不僅要刪除自己手中的所有資料,還要刪除流傳出去的所有資料。但這怎麼做到?即使在技術上可行,成本也是巨大的。
現在,這位高管很擔心,如果他們分享出去的資料被擴散,他們將會面臨無窮無盡的訴訟,並且有可能有理說不清。我想,對於所有資料驅動的企業來講,都會有這種煩惱。
寇宗來:我完全同意前面幾位的分析。GDPR無疑會增加企業的經營成本。
吳
緒亮:GDPR一方面會增加企業經營的成本和影響企業投資的積極性,但也會帶來很多收益,比如用戶隱私權受到保護,那麼,如何從經濟學角度來權衡GDPR的成本與收益呢?
寇宗來:從經濟學角度來看,“成本”和“收益”實際上沒有太大區別,因為經營成本增加也可以理解為經營收益減少。
不過,有一點值得特別強調,即面對GDPR的“威懾”效應,許多私人公司可能會放棄一些本來有利可圖的業務。如果“有利可圖”是公司侵害個人隱私的“損人利己”,這種業務縮減正是GPDR要想實現的理想結果。
但是,如果“有利可圖”原本是公司與個人之間的“互利雙贏”,這種業務縮減將是GDPR對社會福利造成的實質性傷害。
知易行難。從理論上刻畫“成本”和“收益”貌似容易,但在現實中要真正準確評估成本收益卻極其困難。
如前所述,GDPR若要有效,意味著它有強大的威懾效應;但一旦它有強大的威懾效應,我們就永遠無法知道到底何種業務本來會有但現在卻消失得無影無蹤了。
評估困難的本質,說得稍微哲學一點就是,只有當隱私權被侵犯的時候,我們才知道隱私權到底價值幾何。
所以,在我看來,與其籠統地強制實行“被遺忘權”,不如老老實實地制定規則來評估隱私權的價值有多大,並制定相應的賠償規則。
但是,這種隱私權的賠償規則要能真正制定和實施,就必須存在隱私權被侵權的案件,即存在一個“隱私權市場”。
對應於我前面的分析,GDPR還有一個額外的成本和收益。一方面,它會強化政府在大資料方面的獨佔權;但另一方面,它也會提高政府收集和佔有大資料的成本,因為本來政府可以憑藉公權力要求私人公司與之分享長時段的大資料。
陳永偉:GDPR的收益和成本從定性上很容易看。收益主要是用戶的隱私權得到的維護,但這種收益到底有多大?
事實上,相關研究表明,人們願意為隱私的出價往往比自己想像的低,因此這種收益很可能會被高估。相比之下,GDPR帶來的成本可能是巨大的,包括合規成本、交易成本……這些會是一個巨額的數字。
鐘鴻鈞:GDPR的一個負面效應不容忽視,即其中的資料攜帶轉移條款,會損害企業的投資積極性。企業投資於個人資料的收集、存儲和整理,是因為這些資料可以帶來更多的商業價值。
企業可以在數位競爭時代,將其收集擁有的強大資料庫作為其獨特競爭優勢。如果企業收集存儲和整理的個人相關資料不是為企業所有,而是用戶可以自由轉移,那麼企業就不會有投資於資料收集和分析的積極性,因為他們難以獲得投資的回報。
表面上看,資料的轉移意味著各平臺可以更加公平地競爭,但是企業收集獨特資料的激勵弱化了,更多的企業會期望在資料市場搭便車,資料的品質將下降,從而降低資料相關的商業價值,影響經濟增長。
李曉華:我還想強調一點,即雖然GDPR會增加互聯網企業的運營成本,但個人資料產權的劃分不是純粹的經濟問題。
個人使用者除了需要各種豐富的互聯網服務外,還會關注資料安全、資料濫用及其帶來的個人隱私問題。此外,由個人資料產生的政治、倫理、道德、文化等問題也是個人用戶所關注的。
Facebook將使用者資料開放給劍橋分析公司,而後者將Facebook使用者資料用於發送政治廣告影響美國大選,這一事件在全球範圍引起軒然大波,Facebook創始人兼CEO多次接受美國國會和歐洲議會的質詢,說明非經濟利益的訴求仍然具有非常重要的“價值”。
紮克伯格對資料洩露事件道歉和表態整改以及大多數主要互聯網公司宣佈接受GDPR的精神,都說明個人用戶的非直接經濟利益獲得普遍認可。
互聯網發展初期,或者由於缺乏使用的法律法規,或者是政府出於“放水養魚”的目的,互聯網企業成長的環境較為寬鬆,而GDPR的實施使得個人用戶的非直接經濟利益得到關注。
吳
緒亮:GDPR對市場競爭中不同類型的企業,其影響有何差異?特別地,這種差異對市場競爭機制會產生何種影響?
陳永偉:我認為,GDPR在讓大企業頭疼的同時,更會增加小企業的成本。原因很簡單,對企業而言,法律服務是有規模效應的--一個大企業或許還能承擔這樣的合規成本,但小企業卻很難應用。這樣的結果是,很多小企業可能會被這一障礙擋在市場之外。
鐘鴻鈞:誠如永偉所說,GDPR可能會產生出乎意料的不利競爭結果,特別是它可能會增強大企業的優勢,不利於中小企業參與資料市場的競爭。
雖然GDPR對中小企業有一些豁免政策,但是,資料市場存在非常強的網路效應和範圍經濟。網路效應和範圍經濟的存在,使得資料需求方會更為傾向於哪些擁有更完整資料和監管適應能力更強的企業。
《華爾街日報》6月1號報導了一個有意思的資訊,GDPR正推動廣告資金流向穀歌的網路廣告服務。這個結果一定會出乎歐盟監管機構的意料。
為什麼會這樣呢?這是因為大的互聯網平臺企業不僅擁有更完整的資料,更重要的是大公司的監管適應能力遠超其它中小企業。穀歌這樣的大公司在合規方面要比其它的中小公司強很多,他們在徵求用戶同意投放定向廣告的行動要遠早于其它競爭對手,他們為了適應監管可以動用的資源也更多。
在強監管下,更不適應的一定是中小企業而非大的平臺型企業。這樣一來,廣告主在選擇廣告平臺時會傾向於合規和監管適應能力更強的大型網路廣告企業。這種變化,實際上會增強大的廣告平臺的優勢,不利於小的廣告公司。
李曉華:由於在互聯網產業生態中的角色和地位不同,GDPR對企業的影響存在差異。在電商、搜索、及時通信、共用經濟等領域的互聯網平臺企業,與個人用戶存在直接的聯繫。個人使用者讓渡個人資料的權利是他獲得互聯網服務的前提。
互聯網企業往往需要獲得個人資料才能夠提供更加個性化的服務,如基於位置的服務、新聞個性化推送等。平臺企業所提供的服務幾乎成為現代社會的“必需品”,因此個人用戶在使用他們所提供的服務時,有時就不得不同意這些互聯網公司利用他們的資料。
GDPR雖然造成平臺企業成本增加,但並不會對使用使用者的資料造成明顯的障礙。
然而還有一些互聯網公司不與用戶產生直接聯繫,而是通過平臺企業獲得資料或者通過爬蟲工具抓取資料(簡稱“協力廠商企業”)。
由於GDPR規定除了五種例外,使用者同意是資料處理的合法基礎。因此,GDPR將使協力廠商企業在個人使用者資料的收集、使用上受到很大制約,平臺企業在與資料相關技術領域(如大資料、人工智慧)與商業模式方面的優勢將更為明顯。
當然,GDPR對個人資料的保護表明個人資料的價值屬性,協力廠商企業可以通過支付合適的價格獲得個人使用者的資料。在此過程中,可能會衍生出專門的個人資料仲介出現。
寇宗來:依賴於不同的分類方法,就會有不同類型的企業。
首先,可以將企業分為“資料密集型”和“資料稀疏性”兩種。很顯然,GDPR會提高第一類公司的營業成本,或者說會相對提高第二類公司的相對優勢;所以,可以預見的一個結果是,GDPR會延緩人類社會的“大資料化”趨勢。
其次,可以將企業分為“親政府型”和“疏政府型”兩種。我們相信,即便GDPR得到嚴格實施,也不會排斥政府對大資料的收集、存儲和使用。這樣,企業與政府的“距離”就開始發揮關鍵作用。不難想像,那些帶有半政府性質的公司(比如國有企業),會因為GDPR而獲得更大的相對競爭優勢。
第三,可以將企業分為“資料產生型”和“資料清除型”兩種。由於GDPR,資料產生不再只給企業帶來好處,也有可能會給企業帶來巨大成本。套用經濟學裡面的術語,此時資料作為一種特殊的生產要素,不再是免費處置的(Free Disposal)。
就好比傳統社會中一定要有垃圾處理企業,GDPR將會催生清除和銷毀“有毒資料垃圾”的專業化公司。這一點大概是人類社會中制度安排影響社會分工的一個有趣案例吧。
吳
緒亮:GDPR對互聯網市場的創新機制有何影響?
鐘鴻鈞:GDPR可能產生的一個結果是,它會阻礙創新。就像剛才說的那樣,GDPR實質上將資料資產劃歸個人所有。
不可否認,一些資料的所有權毫無疑問是屬於用戶所有的,比如個人的身份相關的資訊。但是,在很多商業交易中誕生的資料,其所有權的區分則需要動態地看。
比如成人在服裝消費中的個人尺寸資訊,留存在商戶中對於各方都是非常有利的事情,商戶在匯總分析這些個人資訊後的商業決策,包括精益生產,對整個社會都是有益的。
在這種情況下,如果簡單的要求資料留存期限不能超過處理目的,或者保護使用者的被遺忘權,可能會產生一些不利的影響,妨礙中小企業的創新。
陳永偉:GDPR對創新的影響是多方面的。最重要的是,“被遺忘權”會讓企業很難利用過去的資料,這對於現在資料驅動的機器學習可能是災難性的。
李曉華:主流的互聯網服務通常以免費的形式存在,即使收費的互聯網服務在發展初期出於建立使用者基礎、發揮網路效應的目的,也常常免費或進行大量的補貼。
因此,GDPR帶來的成本增加必然會對既有互聯網公司的業務發展和互聯網創業造成一些不利的影響。針對這一點,GDPR考慮到對中小企業的扶持,規定規模在250人以下的中小企業可以豁免資料活動文檔化記錄的義務。
寇宗來:我並不贊同GDPR一定會阻礙創新的看法。我認為,更加準確的說法是,GDPR一定會改變創新的路徑。
前面,我已經談到,GDPR會催生“有毒資料垃圾”的專業化處理公司。這種公司的作用就是為那些缺乏資料銷毀能力的公司提供GDPR合規服務的。如果說這種“創新”被許多人理解為是無意義的,那麼,GDPR一定會催生GDPR的“掘墓人”,因為正如馬克思所強調的,人類社會發展永遠是一個否定之否定的過程。
在傳統社會中,大資料是國家獨佔的,個人隱私基本上是不受威脅的。但到了互聯網社會,私人企業開始與國家分享大資料,而個人隱私也面臨來自私人企業的威脅;GDPR的出現,既反映了國家恢復資料獨佔權的願望,也迎合了人們保護個人隱私的願望。
但是,GDPR實施之後,必然會催生“反GDPR”的技術趨勢,即催生GDPR的“掘墓人”。按照我的猜想,GDPR將會加速諸如區塊鏈之類的技術推廣。
為什麼?區塊鏈技術在本質上是一種“去中心化”力量。本來,面對互聯網的“中心化”力量,區塊鏈技術就已經蠢蠢欲動,而GDPR的實施,則有可能使之從“星星之火”變為“燎原之勢”。
吳
緒亮:GDPR對不同國家和地區的企業產生的影響有何不同?
李曉華:儘管GDPR是由歐盟出臺的,但是它的影響卻是全球性的。一方面,歐盟本身缺乏本土的大型互聯網公司,2018年市值最高的20家互聯網公司都是美國(11家)和中國企業(9家);另一方面,按照GDPR適用的三種情形,無論是否在歐盟有營業場所,幾乎所有的互聯網公司都難以逃脫GDPR的規制。
特別是GDPR第三條規定的第二種情形--“資料控制者、資料處理者未在歐盟設立營業場所,但向歐盟的資料主體提供商品或者服務,或者被追蹤的網路行為發生在歐盟的”。
這就意味著,歐盟公民使用了某公司的互聯網服務,該公司就要遵循GDPR的規定。即使有些互聯網公司是本土化的,不承擔個人資料保護責任可能會使它們的運營成本更低,但是一旦他們國際化並面對GDPR,前期沒有按照GDPR要求運營很可能面臨巨大的合規風險,造成巨大的經濟損失。
GDPR規定的最高罰金可以達到2000萬歐元或者企業上一年度全球營業收入的4%,兩者取其高,這就是高懸在互聯網企業頭頂的達摩克裡斯之劍,會使它們在做出不遵循GDPR時慎之又慎。
從這個意義上說,由於GDPR的影響幾乎覆蓋全球,因此基本上不會使某個國家或地區的互聯網企業處於更高成本的不利競爭地位。
寇宗來:首先有必要弄清楚為什麼GDPR會發端于歐盟。從經濟學角度,這有供需兩個方面的因素。
第一,歐洲人對個人隱私似乎有更高評價,因而願意為保護個人隱私而放棄與大資料相關的諸多便利。
第二,與美國、中國相比,歐洲各國在互聯網時代相對落伍,缺乏響噹噹的互聯網旗艦企業;所以,推出GDPR似乎會增加歐盟企業的相對競爭優勢。但在我看來,這種“計算”有大概率是會失敗的,即反而會進一步降低歐洲企業的競爭優勢。
為什麼這麼說?互聯網時代,大資料是一種關鍵競爭要素。孫子雲:知己知彼,百戰不殆。試想一個掌握大資料的公司與一個不掌握大資料的公司相互競爭,孰強孰弱,不言而喻。
保護個人的隱私權非常重要,但如前所述,只有存在一個隱私權交易市場,個人隱私才能真正被定價,進而受到保護。所以,面對歐盟通過GDPR自廢武功,中國的監管層,切不可盲目跟風。
陳永偉:我說一段最近的個人經歷。不久前,我收到一 封來自某線上工作論文網站的來信,告知由於我的帳戶在過去一段時期內沒有登陸,所以根據GDPR,將刪除我的帳戶以保護我的“被遺忘權”。
我一直會關注該網站上我在整個經濟學界的“世界排名”。雖然即使我的帳戶被刪除,我仍可以訪問網站、下載論文,但我的“世界排名”就不會存在了。
細想此事,這個論文網站是美國的,而我是中國的用戶,為什麼一個歐盟的法律會讓美國的企業來刪除我這個中國用戶的帳戶呢?即使考慮到“長臂管轄”,似乎這樣的舉措也很難找到法理上的依據。
當然,如果我們從企業的角度來思考這個問題,答案就比較清楚了。GDPR依據的是屬人原則,因此即使美國網站,如果它的用戶是來自歐洲的,那麼它在網站上的一切資訊也要受到GDPR的約束。
但是對於企業來講,它又怎麼來判斷用戶是不是歐洲的呢?是用戶名?註冊地?儘管從理論上,網站可以將這些調查清楚,但這對企業而言,是巨大的成本。
一般來說,不會有企業願意付出這麼大的成本,那他們該怎麼辦呢?最簡單的辦法當然是將所有使用者的資料都按照GDPR原則來管。或許因為這樣,我這個中國公民才有機會體驗了一把歐洲公民才能享受的保護。
吳
緒亮:最後,從經濟學角度來看,歐盟此次GDPR的實施及其可能影響,對於我國相關的監管機構有何啟示?
鐘鴻鈞:一個重要的啟示就是,監管思路需要更好地適應技術和市場的變化。歐盟GDPR正確看到了隱私保護的必要性和資料濫用的潛在危害。但監管是非常複雜有挑戰性的工作,尤其是對於資料和隱私這樣的問題。
在這個問題上,加強隱私保護和資料監管的初衷是對的,但強制性的規定和法定原則(Rule of Per Se)難以適應技術和市場的快速發展和競爭的激烈演進。更好的監管方式,是參考推定原則(Rule of Reason),也就是對於具體的問題採用經濟分析來評估。
舉例來說,GDPR的七個基本原則中的資料最小化原則,也就是企業所收集、處理的個人資料對其處理目的,應該準確、相關和必要,這就是一個非常好的推定原則。
在目前的互聯網金融尤其是P2P信貸中,一些企業在個人使用者資訊中收集了貸款人父母甚至單位和朋友的資訊。這類做法,非常明顯的超出了最小化原則中的必要性和相關性要求。
此外,為了更好的促進資料市場的競爭,降低企業創新和進入的壁壘,政府可以更多的鼓勵經過處理和清洗的資料交易市場提供資料獲取服務。政府也可以考慮對中小企業提供監管方面的支援,幫助企業提升監管適應能力。
幫助中小企業提升競爭能力,而非約束大企業,這才是促進競爭和規範市場的有效方法。
陳永偉:從經濟學角度看,歐盟此次的GDPR可能是一次難得的“自然實驗”。通過這次實驗,我們可以比較不同監管制度所帶來的經濟和社會後果,從而給我們提供寶貴的經驗和教訓。至於結果如何,我們拭目以待。
寇宗來:從合約理論的角度看,GDPR實際上是改變了個人資料產權歸屬的“缺省值”,即給個人賦予了私人資料的“被遺忘權”。
“被遺忘權”是一種“否定性權利”,即沒有規定的,或者消費者無法預知其潛在損失的,都是不允許公司使用的。按照這樣的劃分,作為結尾,我希望討論互聯網和大資料時代消費者的 “肯定性權利”,即消費者應該擁有他們能夠明確識別的、與自己特徵相關的資料權利。
一個最典型的例子,消費者是否擁有與他們的“手機號”相關的各種權利?何時消費者才能真正實現無障礙“帶號轉網”?
由於微信、支付寶以及各種互聯網企業的註冊使用,都與消費者的手機號綁定,消費者改變手機號的轉換成本極其高昂。一旦消費者基本上都被鎖定,他們遭受電信運營商的“大資料殺熟”就不可避免。
由此衍生的一個理論和實踐問題是,手機號的產權,以及由此而派生出來的各種市場價值,到底是屬於消費者本人還是屬於電信運營商?在我看來,對當下的廣大的中國消費者而言,這個問題或許更加重要、更加迫切,也更應該成為監管層重視的民生和反壟斷議題。
企鵝經濟學會客廳
當憂鬱的經濟學遇見歡快的互聯網,會發生什麼樣的化學反應?這是企鵝經濟學會客廳想要告訴你的秘密。
作為資深經濟學者和騰訊研究院企鵝經濟學負責人,在吳緒亮眼裡風起雲湧的互聯網裡並沒有新鮮事。無論是用戶思維、平臺思維、長尾經濟、粉絲經濟等等所謂的互聯網思維還是共用經濟、平臺經濟等新模式,都可以用經濟學的招式一一拆解。
在吳緒亮看來,現有的基本經濟學原理依然適用於互聯網行業的新現象。但與此同時,數字經濟將要或正在改寫和重構經濟學的幾乎所有領域,甚至可以說,現代經濟學即將掀起一場數位化革命。
數字經濟領域的迅猛發展和顛覆式創新正在深刻影響著現代經濟學的研究走向。站在互聯網與經濟學的風口,吳緒亮將邀請經濟學家朋友們坐客企鵝經濟學會客廳,一起為你拆解一個互聯網背後的經濟學邏輯。