本文作者為:香港大學法學教授張湖月,她是該校中國法研究中心總監,著有《中國反壟斷例外論》
中國近來通過一項保障數據隱私權的重要法案,《個人信息保護法》(PIPL)。
受到歐盟《通用資料保護規則》(General Data Protection Regulation)啟發,中國PIPL旨在約束科技企業如何處理用戶資料,影響十分重大。PIPL的規定表面看來似乎相當嚴格,《華爾街日報》甚至稱讚PIPL是「世界上最嚴格的數據隱私權法(data-privacy law)」。然而,該法對中國用戶的保護程度,恐怕不如許多人所預期,甚至可能進一步鞏固中國當前幾大科技巨頭的主導地位。
中國「社會信用體系」再升級?
誠然,PIPL是保護中國公民隱私重要的第一步。監管機構從此有了一套新武器,用以對抗中國強大的科技企業:限制企業用演算法進行價格歧視(price discrimination);強化跨境數據傳輸規則;對大型科技公司這些「守門人」索取額外的監管費用(compliance burdens)。
然而,仔細觀察PIPL就會發現其主要弱點。首先,雖然PIPL要求企業和政府機構在處理個人資訊前,必須獲得個人同意,但在有「法定依據」(statutory basis)的情況下得以豁免——但PIPL並未具體說明,哪些法規符合豁免條件。諸多中國政府部門,包括中央部委和地方政府,都擁有一定程度的立法權,因此當局恐訴諸大量位階較低的法規來規避PIPL。
值得注意的是,當局可能訴諸推動中國備受爭議的「社會信用體系」的同一套法規,來獲得PIPL的豁免權。中國人民銀行(PBOC)一直在草擬該體系的資訊運用指南,以將大量線上消費者的數據納入該系統,包括交通、通訊、財產和支付資訊。
北京更容易向科技巨頭索取用戶資料
這將遠超現行的社會信用系統,其主要收集負面信用資訊,例如個人債務違約和違法行為。毫無疑問,新指南在中國引發激烈討論,許多人認為它嚴重侵犯個人隱私。然而,對中國人民銀行而言,那卻是創建全國社會信用資料庫這個宏遠計畫的核心——國家將能對螞蟻金服等金融科技巨擘加強施壓,要求它們把大量個人資料轉移至國家控制的存儲中心。
中國科技企業之前是以消費者隱私為由,抵制此類官方壓力。然而中國對科技巨頭發起的監管戰爭——尤其是喊停螞蟻金服首次公開募股——大幅強化了中國人民銀行的力量。現在,中國人民銀行以金融穩定的名義,正在積極推動其信貸資料庫計畫。
從另一角度而言,PIPL也是失敗的:它並未建立一個新的獨立數據保護機構,而是由中國「國家互聯網信息辦公室」協調,執法工作則由國家和地方各級監管機構負責,這些單位往往人手不足。
這可能解釋了為何法律制裁(legal sanctions)不是PIPL唯一的執法形式。相反地,PIPL允許軟性執法,例如約談企業要求他們改正行為。雖然這些軟性措施能在法律制裁之外,提供另一種靈活有效的執法方式,但也可能會給官員留下太多自由裁量空間,削弱PIPL的嚇阻能力。
此外,新法律不太可能限制中國科技企業的市場力量。畢竟,這些公司擁有雄厚財力和強大法務──這些資源使他們有能力承擔PIPL的行政監管成本,但對規模較小的競爭對手而言,情況就不是這樣了。
小蝦米難挑戰大鯨魚
PIPL對「資料可攜性」(data-portability)的要求,即允許消費者能在不同平台間順利轉移個人資料,就是一個很好的例子。該規則旨在鼓勵多平台註冊(讓消費者光顧多個平臺),降低消費者的平台轉換成本。然研究表明,這樣反而會阻止新的競爭者進入市場,因為小型企業通常無法負擔強制資料傳輸的成本。
同樣地,嚴格的隱私保護政策,可能使小型企業和新競爭者處於競爭劣勢。 以北京字節跳動(ByteDance)為例,它之所以能呈現指數成長,歸功於以演算法衡量消費者偏好,並推薦相關內容和廣告。 若隱私保護的要求變嚴格,字節跳動當初恐怕無法獲得足夠資訊,從而無法真正挑戰老牌企業。 如果新競爭者無法蒐集競爭所需的資料,最終可能會傷害PIPL本欲保護的用戶。
中國的新數據隱私法,無疑會增加中國巨型科技企業的行政監管成本,而它們在過去10個月來已經飽受監管衝擊。 不過,最終PIPL對它們而言或許是因禍得福。
註:本文之中文翻譯由Project Syndicate提供,再經《信傳媒》洪培英校稿潤飾。
