中国刚刚通过了一项重要的数据隐私法律。

受欧盟《通用数据保护条例》的启发，中国《个人信息保护法》（PIPL） 包含一套影响深远的规则，用于约束科技公司如何处理用户数据。

而且，从表面上看，这似乎很严格：事实上，《华尔街日报》赞赏PIPL是“世界上最严格的数据隐私法之一”。但它在保护中国用户方面的作用可能比许多人认为的要少，它甚至可能进一步巩固中国现有科技巨头的主导地位。

诚然，PIPL代表着保护中国公民隐私的重要的第一步。它为监管机构提供了一套新武器，以对抗中国强大的科技公司；限制公司从事算法价格歧视的能力；收紧跨境数据传输规则；并对被视为“守门人”的大型科技公司施加了额外的合规负担。

但是仔细观察PIPL就会发现它的主要弱点。首先，虽然它要求企业和政府机构在处理个人信息之前必须获得个人同意，但在有“法定依据”的情况下可以豁免--同时又没有具体说明哪些法规符合条件。

包括中央部委和地方政府在内的诸多中国政府部门拥有一定程度的立法权，因此它们可能会使用大量下位法规来规避PIPL。

新指南侵犯隐私

特别是，一类可能的豁免依据法规是促进有便利的中国征信系统的法规。中国人民银行一直在起草信用信息指南，将大量的在线消费者数据--包括交通、通信、财产和支付--纳入其征信系统的范围。

这远远超出了现有的征信系统，后者主要收集负面信用信息，例如个人债务违约和违法行为。

毫不奇怪，它在中国引发了激烈的争论，许多人认为新指南严重侵犯了个人隐私。

然而，对于中国人民银行而言，它们是创建全国征信数据库的宏达计划的核心--而这一步骤将显着提高国家向蚂蚁金服等金融科技巨头施加压力，要求其将大量个人数据转移到国家控制的存储中基础设施的能力。

此类公司此前曾以消费者隐私为由抵制此类官方压力。但中国对科技巨头的监管战争--尤其是叫停蚂蚁金服的首次公开募股--大大加强了中国人民银行的力量。

现在，中国人民银行正在积极推动其信贷数据库计划，据称是以金融稳定的名义。

PIPL在另一个方面也是失败的：它并没有建立一个新的独立数据保护机构。 中国网信办将负责协调，将执法工作则由各家国家和地方各级监管机构拼凑，它们往往人手不够。

这可能解释了为什么法律制裁不是 PIPL 设想的唯一执法形式。相反，PIPL允许软性法律措施，例如约谈企业要求他们纠正行为。

虽然这些软措施可以提供一种灵活有效的替代法律制裁的方法，但也可能会给官僚们留下太多的自由裁量权，削弱威慑力。

科技巨头或因祸得福

此外，新法律不太可能限制中国科技巨头的市场力量。毕竟，这些公司拥有雄厚的财力和强大的法务--这些资源使他们有能力承担PIPL合规成本。对于较小的竞争对手来说，情况并非如此。

PIPL的数据可移植性要求--允许消费者更容易地在平台之间转移他们的个人数据--就是一个很好的例子。

鼓励多平台注册

该规则旨在鼓励多平台注册（消费者光顾多个平台），降低消费者的平台转换成本。但研究表明这能会阻止新进入者，因为小型企业通常无法承担强制数据传输的成本。

同样，严格的隐私保护可能会使小企业和新进入者处于竞争劣势。

以字节跳动为例，它之所以能实现指数级增长，要归功于它用算法来衡量消费者偏好，并推荐相关内容和广告。

更严格的隐私保护将使字节跳动无法获得足够的数据，从而无法成为老牌企业的真正挑战者。

如果新进入者无法收集竞争所需的数据，最终可能会伤害用户--而他们正是群体隐私法本应保护的。

中国的新数据隐私法无疑会增加中国大型科技企业的合规负担，它们在过去十个月中遇到了监管冲击。

但是，最终，PIPL对它们来说可能是因祸得福。

Project Syndicate版权所有

www.project-syndicate.org