2月28日，我在北京大学数据治理热点问题研讨会上，提出反对唯GDPR论（GDPR是指欧盟《通用数据保护条例》）。许多专家都有同感。如主持人江溯教授总结的那样，中国数据立法要立足自己，不能照搬照抄欧盟。

一、如何评价GDPR

针对当前我国数据立法规范在模仿欧盟的现象，我首先提出了对GDPR的评价，明确认为，总的看，这不是一部好法，虽然它包含不少好的内容 。

去年5月25日在欧盟全体成员国正式生效的欧盟《通用数据保护条例》（GDPR）。被公认为是“史上最严格的个人数据保护条例”。在这个法生效的第一时间，我就在6月6日的人民日报上评论认为，个人数据保护，度是个难题。认为：与中美相关政策取向比较，欧盟在个人信息开发与保护政策上，强化保护，弱化开发。在有利于保护个人隐私的同时，与其他限制互联网发展的政策一样，将进一步使欧盟拉大与中美发展的差距。

当前，中美互联网公司对欧盟GDPR出现一片反对之声，据我分析，主要在于三个关键问题上，立场相左。

第一，在总的原则是鼓励还是限制信息与数据发展上，态度不同。中美将坚持让数据作用最大化。中国一直倡导信息资源开发利用，甚至在文件中将信息资源称为财富。邓小平提开发信息资源，没提保护。保护的说法，还是从美国进口的。而GDPR在其第5条个人数据处理原则中，明确提出“数据最小化”原则，将沿着“数据最小化”方向特立独行。

第二，在消费者政策取向上对比鲜明。中国、美国作为世界上互联网数据平台绝对领先国家，均不同程度采取在个人信息开发与保护之间保持平衡的政策取向。例如，提出个人信息保护，而非隐私保护，就在于突出个人信息、个人数据的中性色彩。而欧盟作为单纯的数据消费方，相对中美，则更加强调个人隐私保护。

第三，对企业政策取向上对比鲜明。GDPR强调“欧洲境内适用欧洲法律”，即使在欧盟以外的企业要在欧盟范围内提供服务，也需要遵守欧盟法律。这将对中美数据巨头在欧盟开展业务，产生广泛影响。

二、应警惕唯GDPR的倾向

我在人民日报上说，“度”是个难题，也有针对国内预警的意思。果然，当前我国数据治理领域出现了趋向过严的趋势，以及唯GDPR论的不良现象。

唯GDPR论表现之一，是逆开发信息资源而为。比如，欧盟尚且将促进内部数据自由流动为导向。而我国有关法规却写“个人信息原则上不能共享、转让”。有违邓小平倡导的“开发信息资源”，不仅不利于企业发展，而且有损于消费者利益，因为可能抑制消费者个性化服务水平提高。

唯GDPR论表现之二，是照搬照抄过头，庸政盛行。如，欧盟都没要求的用户授权，却在中国出现。比最还要最，变成了最最。历史教训证明，什么事情到了最最最，就会走向反面。如企业反映的那样，我国数据立法质量不高，如何保障企业合法使用数据，没有规则。这造成企业合规成本过高。直接打击和削弱了国家竞争力。

照搬照抄欧盟打击中美的立法，甚至抄过头，害处是造成数据领域“高标准立法，普遍性违法，选择性违法”。滴滴女受害事件中，女孩子没有得到及时援救，就与数据确认要求过高有关。有关部门不能为了自己遇事免责，就把企业做事的门槛立得高高的。让社会发展为自己仕途让路。

唯GDPR论表现之三，个人数据与生产数据不分，妨碍生产。企业反映，大数据时代，个人数据与生产数据往往难以区分，如红领集团的个性化定制，个人身高三围数据本质上是生产所需数据，如果立法盲区模仿GDPR，导致这样的数据采集成本高，企业生产成本一定上去，在经济低迷时期进一步打击企业。

唯GDPR论表现之四，对创新的监管不包容、不审慎，过度监管。如，一个小小的APP，有的地方三次重复审查同一问题。要鼓励创新，包容审慎。欧盟尚且区分数据的交易场景与非交易场景。对非交易场景的数据放行。我们不能比“最严格”的欧盟还严格，那样就做过头了。

三、对数据治理，我国应坚持自主创新

欧盟《通用数据保护条例》是在落后状态下低水平认识数据发展规律的产物，我国数据技术和产业发展均领先于欧盟，应自主创新认识其中监管规律，走出一条新路。

1、要坚持个人信息中性，发挥市场经济作用，比欧盟更好地维护消费者权益。

第一，要坚持个人信息中性，让市场平衡开放与保护的度。

个人信息必须找到利益平衡点，才能真正找到监管的发力杠杆。凯文·凯利曾在北京当面跟我讲，个人信息中的隐私保护与个性化服务需求，是一对矛盾，消费者在这正反两极间权衡后做出的选择，才代表消费者的真正利益所在。

好的做法是，制订规则坚持让市场发挥决定作用。让市场平衡这两个方面。当消费者认为要个性化服务时，这个规则能鼓励个人信息开发；当认为要安全时，这个规则能鼓励个人信息保护。

第二，赋权用户，要从前端，向中端后端延伸，才能真正赋权到位。

GDPR强调赋权用户，给人予消费者得益的假象。但我个人认为，恰恰是这方面，欧盟做的不到位。欧盟给消费者赋的权，主要是开关权，直接让厂商关掉信息采集的开关。这恰恰有可能损害消费者利益，因为可能断了消费者享受个性化服务的后路。

真正到位的，不是这种前端式监管做法，而应是放宽采集，在数据使用的中端与后端，多为消费者赋权。要让消费者根据服务水平评价厂家，要建立由消费者决定厂家优胜劣汰的机制。GDPR保护了半天消费者，在关键和要害上，却没有给消费者这样的权力。所以GDPR根本不是对消费者保护过度，而是对企业限制过度，对消费者保护又不足。

2、数据业应区分裁判与运动员，着眼更先进的业态进行行业治理。

在数据产业中，对生产者如何规制，GDPR的做法不成熟。主要表现在，他没想到踢足球可以设个裁判。没听说欧冠决赛，越过裁判，让法官包办代替的。

成熟的数据业态，应区分元数据与应用数据业，前者为数据基础平台，相当于裁判；后者为应用数据行业，相当于运动员行业。

培育元数据业的核心思想，是设立裁判，让专业裁判来管，具体可以有三类治理方法。

第一类是市场化的方法。

GDPR中的第20条，我非常欣赏，这是GDPR不多的亮点之一。它赋权消费者在接受服务时，可调取各企业有关自己的数据（而各企业不可以）给当下的服务者，把画全像的权力交到消费者手上，由此形成的个人数据中心，具有元数据行业的潜力。这是市场化的做法。

第二类是行业化的方法。

对数据裁判业（以企业联盟、协会或平台为主体），通过行规来治理。元数据行业有权依公开规则管理应用数据行业对于数据的调用。行规，意味着必须对每一位运动员公平，不能与运动员订立私约。通过行规管理数据使用，意味着决定数据可以怎样使用，不可以怎样使用。例如，依法律等决定数据可不可以用于影响用户投票，又如，原数据要不要加以马赛克处理后使用等。再如，规定数据关系链属于企业核心资产，未经协议不得调用。等等。

第三类是政府监管。

如果行规仍不足以保证公共利益，或可能使公共利益受损，则涉及数据的政府管制，如，规定准入，行政干预等。不过，政府监管应有一个前提，就是市场失灵与行业失灵，之后再介入。

总之，我国数据治理应该借鉴数字经济发展中的成功经验，审慎包容，而不应盲目借鉴国外经验。学习落后者，会从领先变成落后。