中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何

自上世纪六七十年代起，随着计算机技术的发展和普及，数据被大规模处理，在释放数字化红利的同时，也产生了一些风险和隐患。经济合作与发展组织、亚太经济合作组织等先后出台了数据保护相关准则和指导原则。进入21世纪以来，数字技术快速发展，在不断增进社会福祉和便利人们日常生活的同时，数据保护问题也变得越来越突出，推动全球数据保护立法进程不断加速。

目前，已有100多个国家和地区制定了数据保护法律。其中，以欧盟《通用数据保护条例》（以下简称GDPR）最为典型，今年GDPR也迎来了出台的六周年。同时，到今年11月1日，我国《个人信息保护法》实施已有一年。此前，美国信息技术与创新基金会（以下简称ITIF）曾发布《在美国实施轻监管的数据保护方法》报告，从经济成本角度，对数据保护规则的实施情况提供了新的分析视角，指出其会带来两大成本：直接施加于企业的合规成本和影响社会经济运行的“隐性成本”，在规则制定及实施过程中应充分考虑成本因素。本文将通过论述ITIF报告内容，并结合《个人信息保护法》实施情况，对数据保护带来的成本问题进行剖析。

一、数据保护会产生哪些成本？

数据保护立法带给企业成本的多少，取决于法律涵盖哪些规则，以及法律规定的执行机制。总体而言，数据保护立法会带来两方面成本：一是合规成本，即因企业改变运营方式以遵守数据保护规定而产生的成本，包括设立数据保护官、开展合规审计、支持用户行权、响应监管机构和民事诉讼等方面的成本。据ITIF统计，企业合规成本每年总计约为167亿美元；二是“隐性成本”，即立法者在制定数据保护法律时未予以考虑，虽未直接施加给企业，但与生产力和创新活力降低有关的整体经济成本。据ITIF统计，数据保护带来的“隐性成本”每年总计约为1058亿美元。[1]

具体而言，数据保护带来的合规成本包括以下方面：

一是数据保护官成本。数据保护立法一般会要求企业指定负责数据合规工作的数据保护官。企业需要雇佣相应人员处理用户的数据保护请求，构建企业内部合规方案。ITIF估计，若美国所有数据处理企业均需设立数据保护官，年度成本将达到64亿美元。[2]

二是合规审计成本。数据保护立法一般会要求企业内部对数据处理活动开展合规审计，或者委托第三方进行合规审计。ITIF估计，若美国所有的数据处理企业均需开展合规审计，年度成本将达到4.4亿美元。

三是支持用户行权成本。数据保护立法一般会赋予用户对其数据的访问、更正、删除、可携带等权利。为有效响应用户的权利行使请求，企业需构建和维护相关数据基础设施，以确保用户可以及时查阅、复制、更正、转移其数据。ITIF估计，美国企业每年支持用户行使权利请求的约为72亿美元，其中54亿美元用于数据基础设施的构建和维护，3.4亿美元用于数据访问请求，5.1亿美元用于可携权请求，7.8亿美元用于删除权请求，以及1.9亿美元用于更正权请求。

四是机构执法成本。如果数据保护立法允许监管机构重复、草率执法，特别是规定用户拥有不受限的私人诉权，成本将会激增。因为，此举会为用户提起不必要、无依据的诉讼打开阀门，降低企业提供创新产品及服务的积极性。例如，自美国伊利诺伊州出台《生物识别信息隐私法》（以下简称BIPA）以来，2008年至2018年期间，依据BIPA的集体诉讼有163起，而到2019年就有300多起，[3]最近案件的和解金额更是高达6.5亿美元，直接导致部分企业选择退出该州，或限制该州用户使用相关技术。[4]ITIF估计，若联邦层面的数据保护法规定广泛的私人诉权，每年产生的成本将为27亿美元。

ITIF表示，企业会将合规成本转嫁给用户，通过提高服务费用、对免费服务收取费用或者减少折扣率的方式，以减少对其业务的影响。据统计，GDPR为企业带来了巨大的合规成本，企业的平均利润率降低了9.1%，其中小型企业的利润率降低了12.5%,而大型企业的利润率降幅相对较小，为4.6%，表明GDPR对小型企业影响更大。[5] 

二、如何理解数据保护产生的“隐形成本”？

“隐性成本”虽不如企业合规成本明显，但其所产生的经济影响却明显高于后者。

一是降低用户效率。由于数据保护立法均会规定透明度要求，以确保用户更好地行使权利，知悉其数据处理情况。为此，知情同意一直是数据保护的核心规则，用户需要阅读冗长的隐私政策后才可以点击同意。ITIF估计，隐私政策的生产力成本每年将达到19亿美元。

二是降低生产力。数据保护立法规定的选择同意、数据最小化、减少数据访问以及限制数据处理目的等规则，会降低生产力。首先，选择同意会使用户不愿意提供数据，而且用户可随时撤回同意，企业在定向广告方面的收入会降低。[6]其次，数据最小化要求企业不得超出特定目的收集数据，但是会对在收集数据时无法判断数据价值的企业产生负面影响，并限制企业通过分析数据以开发新产品和服务的能力。最后，目的限制要求企业不得将收集的数据用于其他处理目的，同样会抑制企业的创新。上述规则设计是基于“收集大量数据属于有害行为”的判断作出，但却忽略了数据的正外部性，忽视了数据广泛流动同样可以增加公共福利。例如，医疗人员可以利用数据来追踪疾病、研发治疗方案；智慧城市技术可以利用数据减少交通拥堵、节约能源和完善基础设施建设。ITIF指出，限制使用数据会导致美国经济每年损失约710亿美元，尤其是在教育、交通、电力、石油、天然气、医疗保健以及消费金融等对数据高度依赖的领域。

三是降低广告精确性。个性化广告是互联网经济的关键支柱之一，数据保护规则使得广告难以实现精准投放，降低其效果，将会损害相关主体利益，包括依靠个人性化广告推广产品和服务的企业、利用个性化广告收入提升产品和服务质量的企业以及使用免费或低成本服务的用户。

三、有哪些降低数据保护成本的方法？

ITIF认为，GDPR式立法不仅为数据保护建立了极高的合规标准，同时也暗含巨大的“隐性成本”，主要表现在减少企业并购、风险投资、定向广告市场覆盖范围以及障碍新技术开发等方面。如果模仿GDPR式的过于宽泛的立法，可能会为美国经济发展带来不可估量的负担。因此，有必要制定一部有针对性的、优先于各州立法的联邦法律。经估计，“针对性”立法将会减少GDPR式立法所带来的约95%的成本，此种“针对性”体现在以下方面：

一是区分敏感个人数据和非敏感个人数据，构建不同级别的数据保护机制，允许企业处理非敏感个人数据实现创新。

二是排除对于已公开个人数据以及去识别化个人数据的规制，允许企业以不侵犯个人权益的方式处理上述数据。

三是获得敏感个人数据的同意采用选择加入方式，对于非敏感个人数据的同意采用选择退出即可。

四是在制定隐私政策通知要求时，应避免要求用户必须单击弹出的通知以表示同意。

五是在赋予用户访问、携带、删除和更正其数据等权利的同时，规定用户行使权利的条件。例如，只有在特定行业处理敏感个人数据时才能适用。

六是谨慎规定限制数据留存、数据最小化、目的限制等可能影响企业创新的规则。

七是不应强制要求企业设立数据保护官，应要求企业向用户提供与其就数据保护问题的沟通机制，允许企业灵活地进行人员配备和制定合规策略。

八是避免规定广泛的私人诉权，防止出现用户烂诉情形，且在进行处罚评估时，以用户所产生的实际损失为标准。

四、如何看待我国企业的合规成本？

我国《个人信息保护法》规定了个人信息处理的规范要求以及个人信息处理者的义务。法律的实施，确实也给企业经营带来一定的成本，但这种成本对于保障企业健康规范发展合理且必要。但与此同时，如果实践中不能为企业合规提供确定性标准，可能会导致部分企业为了合规进行无限投入，产生成本负担过大的不利影响。

一是企业因法律实施带来的成本是合理成本，将有效规范市场秩序，对企业而言是长期利好的。数字经济时代，通过专门立法强化企业个人信息保护制度是维护产业健康、规范发展的现实需求。而且，《个人信息保护法》是我国法律体系自我完善、自我发展的结果，部分制度是基于我国此前个人信息保护相关法律、标准的实施经验所形成的，从整体上来看，对于企业的合规要求是从有到优，而非从无到有，并不会大幅提高企业成本，而且从保护个人合法权益、促进个人信息合理利用的角度看，这种成本也是合理的。

二是评估成本需要结合企业规模、执法力度、行业发展水平进行综合考量。首先，不同规模企业的负担各异。《个人信息保护法》对大型和小型个人信息处理者设置了差异化的合规要求，根据“守门人制度”，大型互联网平台需要投入更高的合规成本。但强化对于大型个人信息处理者的监管，配置与其控制力和影响力相适应的个人信息保护特别义务，早已成为国际共识。此外，对于小型个人信息处理者，《个人信息保护法》特别预留了立法空间，将会从责任豁免、降低要求等方面入手，减少小型企业成本，避免其承担过重压力。其次，执法力度决定企业负担多少。法律的生命力在于执行，执行力度的大小决定了企业负担的多少。观察GDPR的实施情况即可发现，其虽被称为“全球最严数据保护立法”，但欧盟各国对GDPR的执行标准、尺度不同，给企业带来的成本不同、甚至有着较大的差异。最后，行业发展水平影响企业负担程度。不同行业个人信息保护制度设计存在一定的差异化，例如，金融、医疗行业，由于处理的个人信息具有较高程度的敏感性，制度设计更为严苛，但由于此类行业一直以来高度重视个人信息保护问题，相关机制建设已较成熟，实施《个人信息保护法》并不会对此类行业造成较大影响。但对于一些个人信息保护制度建设不够规范的行业，则需要投入大量的人力、物力、财力进行合规工作。

三是发挥《个人信息保护法》配套性立法的作用，防止出现企业无限合规、无法合规的问题。首先，当前《个人信息保护法》的相关配套立法还在分批制定过程中，由于缺乏明确的合规指引以及可量化的合规符合性评价标准，部分企业对于《个人信息保护法》的认识和理解仍存在不同程度的偏差，无法做到“精准合规”。部分企业担忧潜在的监管风险，可能大量投入合规成本，存在“过度合规”的情形，导致合规陷入无边界的程度。也部分企业抱有侥幸心理，未严格落实主体责任，存在“有令不行、有禁不止”的问题。例如，在工业和信息化部连续组织开展的APP侵害用户权益专项整治工作中，发现一些APP整改后仍存在“反弹、反复”问题，整改不彻底、将整改过的问题改回原样、采取技术手段对抗以及针对不同地区进行差异化整改等问题。其次，由于个人信息保护具有强复杂性和专业性，相关部门在监管力度和执法标准上尚未完全统一，导致企业在个人信息处理活动中可能无法同时满足各部门不同的“执法尺”，可能引发无法合规的问题。为此，后续可以通过针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则，研究落实个人信息可携权以及公益诉讼制度的配套规定。同时，加快出台各行业的个人信息保护配套性制度规范，为企业合规工作给予清晰指引，明确各自的监管边界，并采用统一的执法尺度。

[1] Daniel Castro, Luke Dascoli, and Gillian Diebold, “The Looming Costs of a Patchwork of State Privacy Laws” (ITIF, January 2022), https://itif.org/sites/default/files/2022-state-privacy-laws.pdf.

[2] https ://itif.org/publications/2019/12/13/why-cant-congress-pass-federal-data-privacy-legislation-blame-california.

[3] Joseph Stafford, Michael Duffy, and Ashley Conaghan, “Illinois Supreme Court Finds Insurer Has Duty to Defend BIPA Suit,” Bloomberg Law, June 18, 2021, https://news.bloomberglaw.com/privacy-and-data-security/illinois-supreme-court-finds-insurer-has-duty-to-defend-bipa-suit

[4] Victoria Cavaliere, “Judge approves $650 million settlement of Facebook privacy lawsuit linked to facial photo tagging,” Business Insider, February 27, 2021, https://www.businessinsider.com/facebook-settlement-pay-650-million-privacy-lawsuit-biometrics-face-tagging-2021-2.

[5] Chinchih Chen, Carl Benedikt Frey, and Giorgio Presidente, “Privacy Regulation and Firm Performance: Estimating the GDPR Effect Globally” (Oxford Martin School, January 2022), https://www.oxfordmartin.ox.ac.uk/downloads/Privacy-Regulation-and-Firm-Performance-Giorgio-WP-Upload-2022-1.pdf.

[6] Alan McQuinn, “The Economics of ‘Opt-Out’ Versus ‘Opt-In’ Privacy Rules” (ITIF, October 6, 2017, https://itif.org/publications/2017/10/06/economics-opt-out-versus-opt-in-privacy-rules.

域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订