GDPR已开出上亿美元罚款，但推进仍然缓慢

欧洲《通用数据保护条例》（GDPR）自2018年5月份实施以来，已经开出上亿美元的罚单。不过法律界人士表示，GDPR实施进展依然缓慢。

据不完全统计，在近两年的时间内，因违法GDPR而被开出的罚单规模达到了1.26亿美元，其中最大的一张罚单是由法国政府对谷歌开出的5000万欧元的罚单。

欧华律师事务所(DLA Piper)合伙人罗斯·麦基恩（Ross McKean）表示：“在执法方面，我们仍处于非常早期的阶段。GDPR在开出更大的罚款之前，可能进展缓慢。”

根据该所公布的一份最新数据，欧盟实施GDPR以来，欧洲共收到16万份数据泄露通知。欧华方面表示，从GDPR的头八个月到今年，数据泄露通告的比例增加了近13%。

去年，法国国家数据保护委员以涉嫌违反GDPR为由，对谷歌处以5000万欧元的罚款。不过这些侵权行为更多的是与透明度和缺乏有效许可有关，而不是数据泄露。

根据GDPR，一家公司可能被罚款2000万欧元或高达其年收入的4%，以金额较大的为准。对谷歌和Facebook这样的公司来说，风险相当高，这些企业每年通过处理大量的用户数据赚取数十亿美元的利润。

对于欧洲的数据保护机构和企业来说，GDPR一直是一个让他们进退两年难的问题。尽管监管机构有权征收巨额罚款，但一些地方的监管机构还是倾向于推迟这样做，一方面是企业往往罚不起那么多钱，另一方面也是因为监管机构担心面临上诉。

“GDPR是一部‘含糊不清’的法律。” 麦基恩表示，“要获得监管机构所需的法律确定性，以更高的罚金打击企业，将是一个缓慢的过程。”

网络安全领域投资人金湘宇对第一财经记者表示：“从某种程度上来讲，GDPR是对既得利益者的一种保护，因为提高了企业的技术成本和门槛，这对于那些大公司是更有利的。”

不过他仍然认为，GDPR的推出是有必要的，造成落地难的主要因素有几个：首先是GDPR自身的完备性存在挑战，比如云服务、物联网、人工智能等新技术的发展使得数据产生的关系更为复杂，需要与之适应；其次是对于企业造成的负担过重。

据研究机构Gartner的统计，GDPR对于欧盟相关公司带来的成本提升平均在140万美元，对美国相关公司的成本提升在100万至1000万美元。这对于一些中小型的企业几乎是不可负担的。

法国诺贝尔经济学家让-梯若尔（Jean Tirole）曾对第一财经记者表示，通过按一定收入或者利润比例对企业罚款或者是征税的方法可能不是最有效的。但他提出，可以作为一个契机来促进国际之间的协作，从而就相应的财税体系达成一致。“这一切都需要各国的通力合作，而不是各自为阵。”梯若尔告诉第一财经记者。

在用户数据保护日渐成为主旋律的背景下，今年美国和中国也将在立法方面加强对个人信息的保护。对此，中国经济学家沈建光给出建议。他认为，关键是能否在鼓励创新和防范风险方面做好平衡。

沈建光表示：“中国的精益化数据市场规则应当在吸取GDPR经验与教训基础上推陈出新，‘以促带管’，一方面，通过政策和监管指导，明确行业发展所需的方向和范围，同时，也为相关各方发展留出足够的空间，允许和鼓励风险可控范围内的创新，通过监管的数字化、科技化应对新技术挑战。”