歐盟《一般數據保護條例》的主要內容及對我國的啟示

王 達，伍旭川

一、歐盟出臺《條例》的背景

一是互聯網基礎設施升級和技術進步使歐盟個人數據保護面臨新情況。近年來，智能手機和移動互聯網迅速普及，個人在使用移動互聯網便捷服務時，也在互聯網上留下了大量個人隱私數據。互聯網企業在全面掌控和利用個人數據進行深加工的過程中，往往會觸碰侵犯個人隱私權的法律底線。此外，個人數據信息不僅具有重要的商業價值，其跨國流動還可能對國家安全構成重大威脅。因此，此次歐盟出臺《條例》既有加強個人隱私權保護的考慮，也是維護自身國家安全的需要。

二是全球互聯網產業競爭格局的變化對歐盟提出了新挑戰。目前，美國和中國是全球互聯網產業發展“第一梯隊”成員，歐盟國家以及日本等傳統制造業強國則相對落后。在全球排名前20的互聯網公司中，基本上都是美國和中國企業。社交媒體和搜索服務等基礎應用方面，歐盟市場幾乎被以谷歌公司為代表的美國企業壟斷。網絡基礎設施方面，歐盟也處于相對弱勢的地位。在此背景下，歐盟選擇通過加強個人數據權利保護的方式提高互聯網產業的競爭力和話語權。

三是歐盟建立統一數據規則參與全球數據市場競爭的新舉措。近年來，歐盟試圖統一其成員國個人數據保護標準，從而建立統一的歐洲數據市場。長期以來，歐盟各成員國的個人數據立法標準存在巨大差異，不利于歐盟統一數據市場的形成。《條例》的出臺有利于歐盟形成一致的個人數據保護標準，不僅有利于推動歐盟成員國自身大數據產業的健康發展，還能提高歐盟在與美國和中國等數據大國博弈中的話語權。

值得注意的是，《條例》并非是歐盟加強個人數據信息保護的首部法律，而是對其1995年頒布的《個人數據保護指令》（簡稱“95指令”）的修改和拓展。“95指令”為歐盟成員國立法保護個人數據設立了最低標準，也由此成為20世紀90年代發達國家個人數據隱私保護法律的標桿。然而，隨著互聯網技術的普及，個人數據的種類和數量呈指數級增長，“95指令”在保護個人數據信息安全方面的有效性日益下降。歐盟《條例》從諸多方面對“95指令”進行了重大更新。例如，其法律適用范圍突破了國家（地域）的限制，根據數據分布來認定，即《條例》對那些向歐盟用戶提供互聯網服務的境外企業同樣具有法律效力；《條例》對企業數據安全的內控和監管提出了更為嚴格的標準和操作原則；《條例》也對個人數據權利進行了拓展，首次明確了被遺忘權、刪除權以及可攜帶權等個人數據權利。

二、《條例》的主要內容

（一）全面加強個人數據權利

一是重新定義個人數據授權。《條例》規定，數據主體授權必須是在其被告知的情況下自愿做出的確定性表示。數據授權須包含四個要素：（1）數據控制者保證數據主體的授權僅被用于已明確說明的特定目的；（2）其他事項的授權必須與書面授權相區分；（3）數據主體的授權在法律上不具備永久效力，可隨時撤回；（4）數據主體的緘默不構成完整的數據使用授權。由此可見，《條例》極大加強了數據主體對自身數據的控制力。

二是明確定義了被遺忘權、刪除權以及可攜帶權。刪除權是指數據主體有權要求數據控制者刪除其個人數據以及避免其個人數據被傳播。可攜帶權指數據主體有權向數據控制者索取本人數據并自主決定使用用途。同時，只要數據主體已向數據控制者進行了授權，數據主體有權將其自身數據轉移到其他系統，數據控制者不得以任何借口或理由阻礙數據主體行使數據轉移權。這意味著個人能夠像管理金融資產一樣對自身數據進行有效管理，從而更好地維護個人隱私。

三是對涉及特殊風險的數據做出了處理規定。《條例》對個人具有重大影響的數據設置了數據保護影響評估條款。《條例》明確規定，數據控制者必須進行數據保護影響評估并采取數據保護措施，從而最大程度上降低數據處理可能給數據主體帶來的風險，保護數據主體的權利。

四是規定數據主體擁有申請司法救濟和賠償的權利。為更好地保護相關數據主體的權利，《條例》規定，數據主體擁有以下基本權利：向監管機構提出異議的權利、對監管決定申請司法救濟的權利以及對數據控制者的違規行為申請司法救濟的權利。《條例》明確規定，相關數據主體有權要求監管機構在規定時限內對違規侵害數據的行為進行調查；如數據監管機構調查不力，數據主體有權向法院提起訴訟。

（二）明確相關主體的安全保護責任

一是明確了數據處理者（data processor）的法律責任。與數據控制者不同的是，數據處理者僅負責使用特定的方法對數據進行分析而不參與數據搜集和具體使用環節。因此，原則上數據處理者與數據主體并不產生直接關聯。盡管如此，《條例》仍將其納入了監管范疇并明確規定，數據處理者必須在《條例》的框架下切實履行保護數據主體個人隱私權利不受侵犯的責任。

二是創設了企業數據保護專員制度。為提高企業數據處理效率，強化數據保護責任與意識，《條例》首次創設了數據保護專員（DPO）制度。數據保護專員是企業內部專職負責數據保護的人員。其職責主要體現在兩個方面，一是與數據主體進行溝通，查找企業數據管理可能存在的問題并及時進行整改；二是對企業是否違反《條例》的相關規定進行自我監督，并與數據監管機構開展合作。

三是規定了企業采集數據時必須履行告知義務。《條例》規定，企業作為數據控制者，必須在事前數據采集和事后數據泄漏兩個環節履行明確的告知義務。尤其是在發生數據泄漏事件時，數據控制者須根據事態的嚴重程度，立即或在72小時之內上報數據監管機構并告知相關數據主體。與此同時，數據控制者還負有協助相關個體采取必要措施降低潛在負面影響的責任。

四是提出了個人數據保護的缺省原則。《條例》規定，數據控制者除了采取必要的技術手段和制度條款以保證其業務經營符合《條例》對數據隱私保護的要求外，其數據保護還應當滿足兩個默認的基本原則，即數據采集與數據使用目的一一對應原則以及數據采集（范圍、數量、時間、接觸主體等）最小化原則。

（三）完善數據資源的監管機制

一是優化監管機制。從立法層級上看，《條例》的法律效力優于歐盟成員國的國內法，從而為統一歐盟數據監管規則奠定了法律基礎。《條例》提出了“一站式（one-stop-shop）”監管原則，即數據控制者與處理者的主營機構所在國的數據監管機構依據《條例》承擔主要監管責任；不同成員國的數據監管機構與主營機構所在國的監管機構開展監管合作，共同實施有效數據監管。這一監管模式不僅明確了各成員國數據監管機構的管轄權，而且消除了監管真空并有效降低了企業的合規成本。

二是強化集中監管。歐盟《條例》最為突出的特點之一便是全面強化了對數據的集中統一監管。因此，在監管制度設計方面，歐盟增設了數據保護理事會（European Data Protection Board），并從法律上將該理事會確認為歐盟最高數據監管機構。《條例》規定，歐盟數據保護理事會直接對歐盟委員會負責，具有完全的獨立性。

三是加大對數據違法違規行為的處罰力度。《條例》對各國數據監管機構的檢查權、執法權、處罰權以及司法訴訟權進行了明確界定。與1995年出臺的《個人數據保護指令》所不同的是，《條例》明顯加大了處罰力度——無論數據違規行為是否主觀故意，都將面臨嚴厲的處罰和巨額的罰金。根據《條例》的相關規定，在歐盟境內違規的公司最高將面臨其全年經營額4%的罰款。這對于谷歌公司和蘋果公司這樣級別的跨國集團而言，一旦其在歐盟范圍內數據違規，無疑將面臨“天價”處罰。

四是完善數據跨境轉移監管規則。《條例》規定，歐盟數據傳輸的目的國（接受國）必須具備完善的個人數據保護法律，其數據監管機構必須能夠切實履行保護歐盟數據主體數據權利的職責，并且具備完備的司法救濟體系。當然《條例》也留下了一條“特殊通道”，即只要是經歐盟評估認定的數據保護充分的國家也可以成為歐盟數據傳輸的目的國。

三、《條例》的社會影響及其評價

（一）為全球個人隱私數據保護樹立新標桿

事實上，自2010年以來，歐盟一直致力于重構其個人數據保護法律體系，《條例》是這一努力的最終成果。歐盟《條例》的標志性特色在于將個人數據的保護納入基本的人權范疇，對以盈利為目的數據存儲和使用行為劃定了界限，并對涉嫌侵犯個人隱私的行為制定了嚴厲的制裁措施。因此，《條例》是迄今為止，主要發達經濟體通過的最嚴厲的一部保護個人數據隱私的法律，為全球個人數據保護樹立了新的標桿。其立法思路和體系化的保護措施對各國數據保護立法都產生了重要影響。一方面，《條例》對保護歐盟國家的個人隱私和數據安全起到了重要作用；另一方面，任何進入歐盟國家開展數據業務的企業都必須遵守《條例》的規定，這客觀上要求其他國家也需要采取與歐盟標準相近的數據保護措施，從而獲得對等地位。這在客觀上對全球個人隱私數據保護起到了積極推動作用。

（二）開創了與美國個人隱私保護不同的新模式

歐盟《條例》在隱私保護理念、立法模式以及法律內容等方面都與美國存在顯著差異。從理念上看，在美國，公民隱私權并不在憲法保護的基本人權之列。除相關法律法規明確禁止之外，美國公民的個人信息可以被存儲和使用。反之，歐盟則將公民的隱私權劃歸為最基本的人權保護范疇。因此，在隱私權保護方面，歐盟走在了世界前列。從立法模式上看，歐盟實行集中統一立法模式，對全體公民的個人隱私數據采取統一的司法保護；而美國則采取典型的分類保護模式，從不同行業的特點、數據保護的目的和手段等因素出發，分別執行不同的數據保護。在法律內容上，美國不同的法律對“個人數據”有不同的界定，美國給予新公司相對自由的權利，使其能夠嘗試各種新型數據處理方法或者發現新的路徑以規避隱私法律；而以《條例》為代表的歐盟隱私保護法則具有廣泛的適用性和靈活性，而且明確規定企業必須得到數據主體的同意，才可以收集和處理與個人敏感信息相關的數據。可以說，歐盟的個人隱私保護法為尋求完善數據立法的各國提供了良好的參照和范本。

（三）新的數據賦權具有“雙刃劍”效應

歐盟《條例》賦予數據主體擁有對自身數據的被遺忘權和刪除權，這被視為加強個人隱私保護的亮點。然而，新的數據賦權在加強個人數據主體權利的同時，也產生了負面影響。首先，在法律意義上數據權利主客體之間的邊界并不明晰，這無疑增加了互聯網企業被訴的風險。例如，被遺忘權的權利主體是否包括具有刑事定罪前科的自然人或商人界定不明確；內部搜索引擎是否為信息控制者沒有明顯界定。此外，被遺忘權的非現實性導致循環訴訟增加。由于信息一旦上傳網絡，將難以根本消除，即使原始鏈接被刪除，網絡上仍將充斥著大量轉載和重新發布的信息。因此，相關互聯網企業不得不花費大量人力物力持續不斷地關注和刪除新出現的相同信息，并不得不面對循環訴訟。例如，2014～2017年間，谷歌公司收到了超過70萬條“刪帖”申請，并“自掏腰包”刪除了將近90萬條網絡鏈接。然而，歐盟的《條例》卻并未就互聯網公司的成本補償機制做出明確說明。

四、對我國的啟示及政策建議

（一）全面提高數據收集與處理活動透明度

從全球范圍看，加強大數據時代的個人隱私保護是不可逆轉的潮流。盡管在個人數據隱私保護的理念、立法模式以及法律內容等方面，歐盟與美國存在顯著差別。但二者的共同之處在于，都強調公民個人數據收集與處理活動的透明性。這應當成為我國完善個人數據隱私保護立法的首要原則。具體而言，企業收集、處理個人信息須經數據主體明確授權；企業或組織采集個人數據時，必須以適當方式說明數據使用目的、應用情境以及潛在的風險情況；在應用情境發生變化時，數據采集方必須進行突出說明。在此基礎上，全面提高個人數據收集與處理活動的透明度、保障數據主體的知情權和隱私權。我國于2017年12月頒布的《信息安全技術個人信息安全規范》（簡稱《安全規范》）首次從國家技術標準的層面提出了個人數據采集的規范，其中對數據采集的透明度進行了明確規定。應當在此基礎上進一步加快相關立法工作，盡快出臺適合我國國情的個人數據保護法律法規。

（二）明確界定相關數據主體的權利與責任

數據確權是保障個人隱私和促進數字經濟健康發展的法律基礎。對于數據主體而言，應當借鑒歐盟立法經驗，明確賦予數據主體知情權、數據獲取權、修改權以及攜帶權等基本權利，對于《條例》開創的個人數據被遺忘權和刪除權，則應當根據我國互聯網產業發展以及個人隱私保護的需要認真研究制定執行細則。對于數據使用主體，應當明確其保護個人隱私和數據安全的法律責任，要求其采取必要的技術和管理措施全面加強數據保護。應當借鑒歐盟的經驗，一是引入數據泄露通知制度。當發生個人數據泄露等重大風險時，數據保管方必須及時向監管機構上報，通知并配合數據主體采取妥善措施降低潛在的負面影響，并為此承擔法律責任。二是確立隱私保護的缺省原則——數據采集最小化原則。即企業僅采集、保存和使用與其開展特定業務直接相關的個人數據，并確保數據在最小范圍內流轉使用。三是數據保管方在委托第三方進行數據處理或分享數據的，數據使用主體應當履行監督義務并承擔相應法律責任。

（三）做好個人隱私權與企業發展權的平衡

從歐盟《條例》頒布實施后所產生的社會影響上來看，大數據時代加強個人數據隱私保護的法律設定應當考慮權利平衡原則。從微觀層面看，應當維持個人數據的被遺忘權和刪除權、企業發展權和社會責任之間的平衡。從宏觀層面看，維護國家數據安全、鼓勵互聯網技術創新和培育互聯網產業的全球競爭力也需要平衡。公民隱私數據保護應當“有理、有利、有度”，不應以犧牲互聯網企業的利益和整體產業發展為代價。為個人隱私數據提供司法保護時，也應建立和完善對互聯網企業的司法和行政救濟體系，從而平衡好雙方利益，促進我國互聯網行業健康持續發展。這一點在2017年12月頒布的《安全規范》中并未進行明確的界定，學術界和司法界還應當在借鑒國際經驗的基礎上，從培育我國數字產業長期可持續發展和提升人民生活幸福感的高度，做好平衡個人隱私權與企業發展權的法律制度設計。

（四）從嚴監管數據分析活動和跨境數據轉移

大數據分析是挖掘數據價值、發展數字經濟的必要手段。然而，不受法律約束的大數據分析，既有可能侵犯公民個人隱私權，也有可能為國家數據安全帶來隱患。因此，我國應參考歐盟《條例》的相關規定，對相關企業使用個人隱私數據進行大數據分析的行為進行規范和監管。尤其是當企業將大數據分析用于評估個人特定方面（如信用評估）時，其評估結果可能對個人產生法律效果或重大影響。故而應當賦予個人數據主體不受其評估結果約束的權利。我國從“數據大國”向“數字強國”邁進的過程中，維護數據主權至關重要，應借鑒歐盟經驗，構建符合我國特殊國情的跨境數據傳輸審查和安全評估機制，對個人數據跨境轉移實施嚴格監管，切實維護公民個人隱私和國家數據安全。