數據保衞戰：GDPR的三年之癢

編按：作為虛擬世界裏的「大宗商品」之一，來源於你我身上的個人數據，在集結、倒賣、演變之後，已然變成一股持續的力量，重塑現實世界。2018年5月，被認為「史上最嚴」的歐盟《一般資料保護規範》（GDPR）正式實施，誓要保證個體自主掌控個人隱私和數據——你也許還記得那時郵箱裏忽然出現了一眾群發郵件，那是商戶企業們紛紛更新隱私政策；你也許還記得，不久後，谷歌就被罰5000萬歐元。實施至今，已近3年，GDPR到底做得如何？大棒子打向了哪裏，起到了什麼樣的作用？又有哪些尷尬的缺陷和不足？

這是端傳媒將持續推出的「我的隱私，你的生意」個人數據保護系列專題的第一篇。與隱私綑綁的個人數據，可以輕鬆跨越物理邊界或國界，許多固有的管治框架不再適用，而政府或大型跨國企業的決策或應對，卻將實際影響到每一個普通人。我們試圖看到，這一切是怎樣發生的。

鉅額罰單背後的「監管江湖」

提到職業生涯的高光時刻，法國互聯網維權機構 LQDN（La Quadrature du Net）的法務麥賽（Arthur Messaud）竟有些怨念。「偏偏那天，總統馬克龍給谷歌背書，簡直打臉監管部門。」在電話另一端，他幽幽地說道。

2019年1月21日——麥賽口中的「那天」，法國數據隱私監管機構 CNIL 對谷歌開出5000萬歐元罰單。早在歐盟《一般資料保護規範》（以下簡稱 GDPR）2018年5月25日生效當天，麥賽所在協會便聯合逾萬公民，對美國科技巨頭發起集體行政訴訟。美國巨頭首次被罰，引發不小轟動，公民運動初獲勝利，麥賽欣喜不已。可他沒想到，就在「那天」，正逢法國舉辦第二屆「選擇法國」投資峰會：總統府愛麗舍宮官方推特助興，大肆宣傳的正是谷歌在法的投資。

「像我們這樣發起集體訴訟，史無前例，」麥賽重提舊事，有些激動，「但政府卻一點兒都不在乎。」麥賽的驕傲有底氣在。法國監管方 CNIL 在麥賽所在 LQDN 協會推動下，開出首張罰單，極具象徵意義，並為後續案件提供借鑑和啟示。可這「驕傲」背後，少不了國家之間的比對和協作，亦或監管方同科技巨頭的明爭暗鬥，曾歷經幾番曲折和反轉，遠非表面看上去這般輕鬆。

歐盟 GDPR 罰款限額高，最高可達2000萬歐元或企業全球總營收的4%，被打上「史上最嚴」標籤。只是，在實際執行中，或落入人力不足，且效率低下的臼窠，不免給人留下「雷聲大雨點小」的印象。

閱讀餘下全文，需要您的小額支持，讓優質內容可以自食其力。

暢讀全站所有好內容？每月只需一餐飯的錢，好新聞，並不貴。

支持我們，請成為付費會員。馬上 點擊 ，與端傳媒站得更近。

原文鏈接：https://theinitium.com/article/20210303-international-gdpr-3-years-in/

端傳媒：https://theinitium.com/misc/about/