“惩罚性”监管有碍创新与增长——从欧洲GDPR谈起

本篇文章3156字，读完约8分钟

“在数字经济时代，监管的必要性不言而喻，但监管应始终在鼓励创新和平衡风险之间寻求适当的平衡。过于偏颇往往不理想。”

文本|沈建光

资料来源:博士的宏观研究，原文首先发表在英国《金融时报》中文网“申时”专栏

随着数字经济时代的到来，数据资源的使用越来越广泛，数据监管和数据保护也成为各国关注的焦点。在今年6月的20国集团大阪会议上，各国元首聚集一堂，就开放数据治理和国际协调达成了一定的共识。但是，结合日本方面会后发表的声明，不难发现所谓的成就实际上是“一般的”和“广泛的”。虽然有24个国家和地区签署了该宣言，但印度、印度尼西亚和南非都拒绝了，签署国还加强了它们在数据通信和数据安全方面的立场。不同国家数据保护的差异源于不同的经济约束和个性化监管理念。据梳理，不难发现欧盟一直是数据保护的先锋和世界上最严格的监管者。欧盟于2018年5月出台的《通用数据保护条例》(以下简称“gdpr”)是目前最广泛的个人数据隐私保护条例，但违反数据保护的最高处罚是2000万欧元或当年全球营业额的4%这两个较高者，这令人望而生畏且颇具争议，甚至被称为“惩罚性监管”。

欧盟严格的数据保护法规导致近年来数据违规处罚案件激增。从gdpr正式实施到2019年上半年，欧洲国家的数据保护机构收到了140，000多份侵犯数据权利的报告；截至2019年9月底，总共有82个机构或个人受到了公共维权员的处罚。在大量处罚的背后，监管当局高度重视数据隐私保护，并采取严格的监管态度，这也为全球数据保护监管提供了一个参考模板。

然而，有必要反映出这个模板似乎并不完美。自其运行以来，许多主体纷纷抱怨，甚至有批评者认为其实施效果与立法目标背道而驰，这不仅不利于创新主体的出现，也不利于市场结构，未能达到理想的消费者保护效果。在我看来，欧盟的“惩罚性”监督弊大于利，而且有一些明显的负面影响，具体体现在:

首先，gdpr限制了商业业务的发展，破坏了市场竞争格局。gdpr的立法目的之一是为“欧盟单一数字经济市场”提供“基本法”，并有效促进业务发展。然而，就效果而言，它并没有起到推动欧盟数字经济市场的作用。例如，2019年，美国数据创新研究中心调查了欧洲的在线广告业务，显示gdpr将欧洲的在线广告需求减少了20%至40%。数百个网站已经完全停止为欧洲服务；截至2018年12月，超过1000家美国新闻网站无法在欧洲展出。大约三分之一的美国前100大媒体选择直接关闭他们在欧洲的网站，而不是遵循gdpr的要求，包括《芝加哥论坛报》、《纽约日报》、《达拉斯晨报》和许多其他知名媒体。

其次，高合规成本使欧洲错过了全球创新浪潮，其发展落后于美国和中国。因为gdpr极大地增加了机构的合规成本和业务成本，所以大多数商业组织都深受其害。根据普华永道对500家美国公司的调查，至少68%的美国公司预计将花费100万到1000万美元来满足gdpr合规要求，另外9%的企业预算超过1000万美元。根据凯捷的报告，截至2019年6月，只有28%受gdpr监管的商业机构完成了内部合规工作。过度的合规成本仍然是大型企业的巨大负担，对于初创企业来说更是难以承受。创新是经济增长的不竭动力。新千年以来，全球科技浪潮汹涌澎湃，金融技术、数字技术和人工智能创新方兴未艾。在短短的20年里，许多改变了世界的公司在世界各地诞生了。然而，这一轮全球科技革命基本上是由中美科技巨头主导的，欧洲企业在科技创新的新浪潮中落在了后面。截至2019年初，全球最大的15家数字公司都来自美国和中国，没有一家与数字技术相关的大型企业诞生在欧洲。欧洲作为诺贝尔奖的故乡和两次工业革命的发源地，有着辉煌的创新史和科技研发的土壤。然而，由于过度严格的监管，欧洲科技创新明显滞后，这一点值得深思。

第三，gdpr没有达到加强消费者隐私保护的预期效果。对于个人消费者而言，gdpr加剧了用户对数据收集、使用和存储的不信任，消费者保护也没有取得理想的效果。虽然gdpr最初的立法意图是通过创造新的数据权利如可移植权和遗忘权来加强消费者在个人数据中的权益，但gdpr并没有设计一个有效的补偿机制来补偿个人在公司侵权中所遭受的损失，也没有明确的激励机制来防止个人数据权利在未来受到侵犯。

例如，尽管欧洲国家的数据保护机构发出了80多项罚款，但数据侵权者并未因自身权益获得赔偿。如果滥用数据的利润远远大于惩罚，就会导致“效率违约”的逆向激励。从欧盟委员会的调查问卷中也可以看出，消费者对gdpr是否能够保护他们的合法权益持怀疑态度:81%的用户认为他们不能控制或只能部分控制他们在互联网上披露的信息，不管他们是否有gdpr保护；gdpr生效六个月后，欧洲用户对互联网的信任达到了十年来的最低点。当然，除了严格的数据隐私保护，欧盟在其他领域也有过度监管。以电信业为例。在2g和3g时代，欧洲电信设备公司没有什么不同。诺基亚、爱立信和阿尔卡特朗讯曾经占据了大部分市场份额，而诺基亚十多年来一直是世界上最大的移动通信设备制造商。然而，在4g和5g时代，欧洲企业已经筋疲力尽，诺基亚首席执行官警告称，由于频谱问题和监管要求，下一代5g网络在欧洲的部署将被推迟。在5g技术的研发和应用方面，欧洲远远落后于美国和中国。此外，在5g时代，需要庞大的基础设施R&D和投资支出，欧洲市场过于严格的监管要求和并购审查也极大地阻碍了欧洲企业之间的整合和协调发展。

此外，在金融监管领域，欧洲的严格监管因其对欧洲金融业的巨大影响而备受争议。2018年，欧盟发布了《欧洲金融工具市场指令二》，旨在规范金融公司的行为，加强投资者保护，预防金融危机。然而，由于它涵盖了金融市场的所有交易，如股票、债券、商品、外汇、期货和金融衍生品，信息透明度的要求将耗费大量资金，并侵蚀欧洲金融机构的利润。

我在国际投资银行担任首席经济学家多年，对此我深有感触。以投资银行的研究业务为例，根据mifid ii的要求，投资银行的研究费用和经济费用需要分开计算，禁止向客户提供免费的研究服务。受此影响，投资者将为研究报告付费，并自行检查研究报告的质量。这将直接导致投资银行研究业务收入的下降，造成人员损失，甚至反过来可能影响投资银行研究报告的质量，形成恶性循环或影响投资银行研究业务，这与金融监管的初衷不符。综上所述，笔者认为在数字经济时代，监管的必要性不言而喻，但监管应始终寻求鼓励创新与平衡风险之间的适当平衡。过于偏向一边往往不理想。如果监管不足不利于防范风险，过度监管将限制行业发展，阻碍创新，甚至制约整个经济。欧洲gdpr就是一个例子。就连德国总理默克尔也在2019年的“数字欧洲峰会”上发出警告。在数字时代，数据安全监管是不可或缺的，但欧洲的未来不能因为过度监管而被牺牲。欧洲在各个领域制定的各种法律“规则和条例”限制了经济发展

就中国而言，随着数字经济时代的到来，中国的数据保护和监管规则逐渐从零开始，通过探索寻求标准。基于gdpr在欧洲的监管实践，笔者认为中国的精益数据市场规则应在学习gdpr经验教训的基础上创新，“促进管理”，尊重合同约束，坚持底线监管和科技监管。一方面，通过政策和监管引导，明确了行业发展所需的方向和范围，同时为相关方的发展预留了足够的空空间，允许和鼓励在可控风险范围内的创新，通过数字化和监管技术应对新的技术挑战。从这个角度来看，在鼓励创新和防范风险之间取得良好的平衡是非常重要的，这关系到行业的发展，也是对政策智慧的考验。

(转载原文，请注明出处。如需长时间转载，请在后台留言，注明申请加入白名单，并留下微信公众号等相关信息。(

来自金融部门金融渠道的作品都是有版权的作品，未经书面授权禁止任何媒体转载，否则将被视为侵权！