一直以来，世界各国对数据隐私的立法仍处于摸索阶段，而欧盟可谓是该领域的“先锋”，其颁布的《通用数据保护条例》（GDPR）被互联网巨头视作隐私立法的“革命”。

　　去年5月25日，欧盟正式出台GDPR，旨在保护欧盟公民免受隐私和数据泄露的影响，并重塑欧洲互联网企业隐私处理和数据保护的方式。

　　如今，GDPR 条例即将迎来颁布一周年，全球都在关注其执行效果。不过到目前为止，从用户、公司和监管机构的反馈来看，似乎并没有达到预期。

　　实施效果不佳

　　如果问一个欧洲人“GDPR是什么”，他不一定能回答上来。

　　但如果提到“弹出式隐私声明”，他一定知道。因为网络上到处都是“已更新隐私政策”的通知，而用户们似乎也只是盲目地点击“同意”，并没有真正了解如何正确地使用GDPR保护自己。

　　据CNBC的报道，一些法律人士已经指出，这种同意模式不仅会导致人们“同意疲劳”，还会让用户产生一种减轻保护隐私责任的错觉。

　　除了“同意疲劳”，GDPR还存在与企业产生利益冲突的问题。根据GDPR规定，有250名或以上员工在处理敏感数据或犯罪记录的企业，必须指定“数据保护官”（DPO）。

　　作为一个“外来者”，DPO的职责是保护用户数据，而不负责企业的盈利。再加上这种合规费用对企业来说也是一笔不小的支出，所以在GDPR的重压之下，互联网公司日子并不好过。

　　在监管方面，欧盟也存在“人手短缺”和“罚款不足”的现象。

　　根据GDPR规定，企业需在发现隐私违规事件后的72小时内，向监管部门和受影响的个人作出报告，这比以往规定的报告时间要严格不少。不仅企业恐慌，监管部门也是“手忙脚乱”。

　　去年，英国的监管机构就体验了这种被报告淹没的感觉。英国委员会办公室（U.K. commission office）称，“你们是在提交报告，而我们淹死在报告里”。欧盟的监管机构也发现，媒体上有关GDPR的谣言、误解和恐慌越来越多，工作人员根本处理不过来。

　　不仅如此， 在罚款上，欧盟也显得有些“心慈手软”。根据GDPR规定，对于最严重的隐私违规行为，欧盟监管机构可获取该违规企业全球年收入的4%作为罚款，或直接处以2000万欧元的罚款（约合2239万美元），以较高者为准。

　　到目前为止，罚款数额较大的仅有两个案例：一个是Facebook与剑桥分析公司涉及滥用客户个人信息研究美国总统选举，被罚款64.5万美元；另一个是今年1月，谷歌因使用用户数据进行广告定位遭到了5700万美元罚款，但该金额远低于GDPR的最高罚款限额。对谷歌来说，若罚该公司全球收入的4%，那将超过40亿美元。

　　数据保护不可绝对化

　　虽然欧盟隐私立法的精神值得肯定，但GDPR执行效果不佳的背后也存在更深层次的原因。

　　《国际金融报》记者采访了上海交通大学合规研究中心副主任、法学院副教授何渊，他专精于数据隐私法、网络安全法和国家安全法等领域的研究。

　　在何渊看来，GDPR问题的关键在于没有处理好“数据保护”与“数据流通”的关系， 欧盟现在采取被动的“同意模式”，导致很多企业的数据基本无法共享。

　　“目前欧盟采取这种绝对化的方式，基本上限制了用户所有数据的流通，不仅用户不了解如何正确使用自己的权力，对企业来说，处理这种合规的成本也是极高的。”何渊说。

　　在被问到应如何改进时，何渊表示，“首先，应当赋予数据主体，即用户更多的‘选择权’而非‘控制权’，如果享有‘自由选择权’，用户就可以将数据卖给第三方加以利用，这种商业化也有利于科技公司的发展。另外，欧盟还应区别对待‘个人信息’与‘个人隐私’。涉及个人隐私的信息只是一小部分，大部分信息还是可以被利用的，而欧盟限制了企业对所有数据的利用显然是过于绝对的。”

　　在区块链技术下，这一难题可能会得到解决。何渊指出，“正如扎克伯格所提及的，未来可能实现两个人在社交软件上谈话，只有双方和监管部门能看到个人信息，企业无法看到，但其仍然可以在不涉及隐私的情况下对这些数据进行处理和利用，实现其商业价值，而这项技术也已经处于研究之中。”

　　对于GDPR的罚款不到位和监管机构人员不足的问题，何渊表示，“其实这种隐私侵权案取证的时间是比较长的，所以也需要一个慢慢调试的过程。另外，由于欧盟不是一个统一的国家，它对区域内各国的政策推行很难进行得十分到位。虽然各国有自己的监管机构，但据我所知，欧盟监管机构在这方面的工作人员也仅有四五十人。”

　　在何渊看来，其实这一问题的根本原因也可以追根于欧盟限制“数据流通”的绝对化。他告诉记者，“目前欧盟直接限制了数据的流通与共享，这仍然是一个误区。如果采取‘事先告知、事后追责、罚以重金’的方式，对美国企业来说可能更加有效，这样也不会过分影响商业的活力。”

　　欧酝酿“最严监管范本”

　　事实上，欧盟也意识到了自己在GDPR上存在的问题，并推出了《欧盟企业间数据共享报告》、《非个人数据自由流动框架条例》等后续指令作为改进。

　　但在何渊看来，欧盟其实不会对GDPR作出实质性的改变，因为目前GDPR存在的问题在根本上还是由其最初“定位”造成的。

　　“除保护公民的隐私权外，欧盟还想将GDPR打造成一个‘最严监管范本’以增加其在对美贸易谈判中的筹码。从这一层面上讲，GDPR就不仅是一个条例了，它也是区域间经济竞争的一个‘重要抓手’。” 何渊对记者说。

　　《经济学人》杂志指出，在全球市值最高的20家科技公司中美国占15家，而欧洲仅有1家。何渊认为，“正是由于美国有Facebook、谷歌等众多互联网公司，而欧洲缺乏这类科技巨头，所以打造‘最严监管范本’对欧洲本地数字经济的威胁和影响并不大，欧盟正是利用了这一点。”

　　而事实上，隐私监管也确实成为了欧盟在与美贸易谈判中的“重要筹码”。 何渊告诉记者，“由于欧盟将美国列入了对隐私保护不充分的国家名单中，无论是早期的《避风港》协议还是后来的《隐私盾》协议，都令欧盟在谈判中占据了优势。”

　　何渊还强调，“正是由于欧盟目前的处境以及GDPR在谈判中的重要地位，其在短期内对GDPR的改进仅限于‘小修小补’，不会有大的变动。”