歐盟《通用數據保護條例》之中國效應及應對

胡文華 孔華鋒

(公安部第三研究所 上海 201204)

0 引 言

2016年4月14日，歐洲議會通過了《通用數據保護條例》(General Data Protection Regulation)，以下簡稱“GDPR”，2018年5月25日該條例開始正式實施。作為歐盟1995年頒布《歐洲議會和歐盟理事會關于保護涉及個人數據處理與數據自由流動的95/46/EC號指令》(以下簡稱“95指令”)后，隱私與數據保護領域20年來最引入矚目的立法變革，GDPR旨在賦予數據主體以個人數據控制力，在歐盟境內建立一個高水平的、統一的、適應數字時代的個人數據保護框架。

值得注意的是，GDPR采用屬地加長臂管轄原則，不再以“營業機構所在地”作為地域管轄的依據，而是以“數據”是否為歐盟境內產生作為管轄權重要依據，將適用范圍擴展至了“未在歐盟境內設立營業地，但向歐盟提供商品或服務”涉及到個人數據處理的機構。鑒于GDPR所確立的域外效力，GDPR的落地實施將對我國帶來諸多影響。我國應如何應對上述影響亟需研究。

1 GDPR的頒布背景

任何立法的背后都有經濟價值和社會效應的考量，歐盟GDPR的出臺也不例外。在數字經濟高速發展的背景下，數據尤其是個人數據成為經濟增長和社會進步的重要資源。歐盟統計，2015年歐盟數據經濟的價值超過2 850億歐元，占歐盟 GDP的 1.94%以上。2016年這一數字增加到3 000億歐元，占2016年歐盟GDP的 1.99%。歐盟認為如果及時制定有利的政策和立法，到2020年歐洲數據經濟的價值可能會增加到7 390億歐元，占歐盟 整體國內生產總值的 4%[1]。但與此同時，隱私保護、數據泄露、數據歧視等問題不斷涌現，給數據產業的發展以及個人數據保護帶來了諸多新挑戰。

1.1 建立數字單一市場，刺激數字經濟發展

為迎接數字革命為歐洲帶來的機遇，2015年5月6日，歐盟提出了“數字單一市場”的詳細規劃，以保障歐洲民眾和企業能夠無障礙地、公平地訪問在線商品和服務。同時打破監管壁壘，將28個成員國市場轉化為單一的歐盟市場，以促進歐洲數字經濟增長潛力的最大化[2]。

在建立歐洲數字單一市場的目標下，歐盟亟需一個統一的、適用于全部成員國的數據保護框架。但95指令并不能實現該目標。首先，從法律效力來看，95指令并不屬于“條例”，不具有強制性，不能直接適用于成員國，而需要成員國將其轉化為國內法方可落實。其次，從95指令的實施情況來看，歐盟各國對于數據保護保護水平參差不齊，甚至存在沖突的情況。這一方面，加大了企業的合規成本，也不利于歐洲民眾的個人數據保護。在此背景下，GDPR作為歐盟推進數字單一市場、刺激歐洲數字經濟發展的重大舉措應運而生。

1.2 重建歐洲民眾對數字經濟的信任

與早期的互聯網時代相比，大數據背景下，個人數據化現象更加普遍，數據收集和共享的規模也不斷擴大。經自然人之手， 越來越多的個人信息被公諸于眾。個人對其數據的控制力進一步弱化，數據處理者的數據處理能力進一步加強[3]。與此相應地，間諜、數據泄露等傳統風險不斷加大，數據歧視、人格物化等新型問題不斷凸顯。

在此背景下，產生于互聯網早期的95指令已不能為個人數據提供充分保護，歐洲民眾對于數字經濟的信任逐漸降低。歐盟表示92%的歐洲人擔心手機應用程序在未經他們同意的情況下收集他們的數據。89%的人表示他們想知道智能手機上的數據何時與第三方共享[4]。歐盟亟需通過數據保護改革，加強個人數據保護水平，重建歐洲民眾對數字經濟的信任。

2 GDPR的主要內容

GDPR建立了完善的數據權利體系、義務履行機制、數據跨境傳輸機制、監管機制以及法律責任機制。

2.1 權利機制

本次歐盟個人信息保護法改革，力圖通過完善和細化個人信息權利，從而實現全面保障個人對其信息的控制權[5]。GDPR框架下，數據主體享有訪問權、更正權、反對權、限制處理權、被遺忘權、數據可攜權，以及限制自動化決策等諸多權利。其中，被遺忘權賦予了數據主體在撤回同意、數據不再必要、數據處理行為違法或違規，或涉及兒童的個人數據等情形下刪除個人數據的權利。數據可攜權賦予了數據主體從數據控制者處獲取、轉移其個人數據的權利。在技術可行的情況下，依據數據可攜權，數據主體還有權直接將個人數據轉移至另一控制者處，數據控制者應當提供技術支持。此外，限制自動化決策權賦予了數據主體在特定情形下，不受自動化決策制約，要求數據控制者提供相關人為干預機制的權利。

2.2 義務機制

基于風險管理理論，GDPR建立了以“數據控制者”為核心的問責制。數據控制者對GDPR的遵從負責，數據處理者的責任則原則上交由合同調整(除安全保障、設置數據保護官義務外)。GDPR框架下，數據控制者應當履行的義務可分為一般義務和特殊義務。前者是所有數據控制者均須遵守的義務，后者則是滿足相關條件的數據控制者才須遵守的義務。一般義務包括隱私設計、數據處理記錄、數據泄露通知和安全保障。特殊義務則包括設置數據保護官、數據保護影響評估。GDPR首次引入了“隱私設計理念”。通過設計保護隱私旨意于從產品的設計之初融入隱私保護的理念，在數據的全生命周期中均提供保護[6]。數據泄露通知義務對數據控制者的內部監測和反應機制提出了較高的要求，明確數據控制者原則上應當在發現數據泄漏事件72小時內，通知監管機構。數據泄露會對個人的權利和自由帶來較高風險的還須通知個人。

2.3 數據跨境傳輸機制

針對數據向歐盟境外的傳輸，GDPR建立了三種機制。第一種也是最主要的一種，目標國的個人數據保護水平被歐盟認定為達到“充分保護水平”。此外，采用歐盟制定的標準合同條款或滿足歐洲數據保護機構批準的有約束力的公司規則的要求，也是有效的數據傳輸機制。截至目前，歐盟委員會認定的滿足為個人數據提供充分保護的國家或地區為安道爾、阿根廷、加拿大、法羅群島、格恩西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國。我國尚不屬歐盟認定的滿足“充分保護水平”的國家。

2.4 監管機制

為促進個人數據保護規則的落實，GDPR建立了完善的個人數據保護監管機制。其中在公權力監管機構方面，GDPR規定，成員國應當設立一個或一個以上獨立的監管機構來處理個人數據保護問題，監管機構的主要職責在于監督和促進GDPR的實施[7]。目前，歐盟成員國基本都設立了本國的個人數據保護機構，例如：法國的國家數據保護委員會、芬蘭的數據保護辦公室、德國的聯邦數據保護與信息自由保護專員等。在監管機構的權力設置方面，GDPR授予了監管機構調查權、矯正權、 授權與建議權、司法參與權等諸多權力。

2.5 法律責任機制

在GDPR框架下，數據控制者或處理者違反個人數據保護規定的責任包括民事責任和行政責任。其中：民事責任部分，以損失存在為前提，GDPR賦予了數據主體以損害賠償請求權。行政責任部分，GDPR設置了高昂的罰款數額。根據數據控制者或處理者違反的規則不同，GDPR設定了兩檔罰則：(1) 對于違反默認隱私保護設計、數據安全保障、數據泄露通知、數據影響評估等義務的行為，處1 000萬歐元或上一年度全球營業額2%的罰款(取高者罰)。(2) 對于違反數據處理原則、違反同意規則的要求、損害數據主體的合法權利等行為，處2 000萬歐元或者上一年度全球營業額4%的罰款(取高者罰)。

3 GDPR的中國效應

作為數字經濟治理的集大成者，同時也是個人數據保護的重要依據，GDPR既是我國企業走出去的合規參照，也是我國數據治理的借鑒對象[8]。與此同時也應注意，GDPR的落地實施將對我國帶來諸多影響。

3.1 國家層面：沖擊我國執法機構的執法效力

GDPR通過適用長臂管轄原則將諸多中國企業納入其管轄范疇，又通過設置高水平的保護規則導致中國企業面臨巨大合規風險。最終通過完善的監管機制，保障落實其監管權限。三大舉措相輔相成，極有力地促進了歐盟監管機構對中國企業的監管實質影響的擴大。這直接導致的后果為：歐盟的監管機構將有權依據GDPR對中國企業，即使未在歐盟境內設立機構的企業行使其監管權。其中，依據調查權，歐盟的數據監管機構有權要求該企業提供其履行職責所需的所有信息，甚至包括依據歐盟方面的程序法，進入在華企業的經營場所、相關設備或工具進行個人數據保護事件調查的權力。

歐盟調查權的落實將直接沖擊我國網安法第37條個人數據和重要數據出境制度的實施，同時也對我國數據主權帶來潛在的威脅。可以預見的場景是：一方面，歐盟基于調查權要求獲取在華企業的數據或進入其設備系統的訪問權限;另一方面，我國依據網安法確立的數據出境評估制度而要求數據不予出境，或基于捍衛數據主權的考量要求企業對于歐盟調查權的行使要求不予執行。該法律沖突的產生，將導致企業需在GDPR的遵從和網安法的遵從之間做出選擇，鑒于GDPR高額的罰款機制，企業極可能選擇遵守GDPR的規定，進而降低我國執法機構的執法效力。

3.2 企業層面： 增加我國企業的合規成本

作為歐盟乃至全球范圍內個人數據水平最高的立法，GDPR通過強化知情同意規則的要求、新增被遺忘權、數據可攜權等新權利，增設數據泄露通知、數據影響風險評估、數據保護專員等義務，加大違規處罰力度，全面提升了個人數據保護水平。對于企業而言，小至隱私政策、業務流程，大到信息技術系統、戰略布局，無一不需要重新審視規劃[9]。

鑒于GDPR所確立的域外效力，GDPR的落地實施將對我國境內航空、金融等傳統領域，以及通信、互聯網等新興領域的企業對歐業務的開展帶來沖擊。部分在華企業將須同時滿足GDPR與網安法兩部法律的合規要求。為遵守GDPR的規定，企業的合規成本將大幅度增加。

(1) 作為歐盟層面通用型的規定，GDPR從95指令的34個條款發展為如今的99個條款，且創設了大量的新概念、新權利、新義務，內容本身復雜且相對抽象。雖然目前歐盟已經出臺了一些適用指南以對具體規范加以細化，但對于GDPR的釋明仍然任重道遠。

(2) 在大數據背景下，GDPR設置的諸多機制實難達到。例如，嚴苛的知情同意如何落實、被遺忘權、數據可攜權如何實現等。同時，GDPR目前的諸多規則的不明確性導致合規工作的不確定性，也給予了歐盟監管當局大量的可解釋和可裁量空間。

(3) 鑒于我國長久以來在個人數據保護方面比較薄弱，受GDPR沖擊的中國企業基本都面臨違規的現實風險。

因此，無論是從GDPR規范本身的不明確性，還是從技術的不可行性，抑或中國企業的合規能力角度出發，GDPR給中國企業帶來的違規風險是現實的，且遠超歐盟以往頒布的任何一部個人數據保護規范。

3.3 行業層面：沖擊現行商業模式

GDPR新增的數據權利將對現行互聯網商業模式帶來巨大沖擊。尤其從國內互聯網企業的實際情況來看，在掌握大量用戶的個人信息之后，通過對用戶行為的分析提供的收益，這是目前互聯網企業主流的盈利模式。但根據GDPR的規定，對于個人數據收集的知情同意要求更為嚴格，使得大量的用戶數據難以被收集。另一方面，GDPR對自動化決策行為也做出了限制，明確用戶可以拒絕該自動化決策。在此規定下，以往簡單的，通過獲取用戶個人信息并進行數據分析進而提供精準服務的模式將面臨極大的合規成本。而該合規成本最終可能轉嫁至用戶，進而也將導致現行互聯網服務以免費模式為主走向付費模式。現行商業模式的改變可能會對現行的整個互聯網市場帶來巨大的沖擊。

4 GDPR的中國應對

面對GDPR的落地實施，我們既要學習其個人數據保護方面的先進理念，為我國個人數據保護立法提供借鑒。也要注意立足本國國情理性謹慎對待從而達到有效應對GDPR帶來的全方位的沖擊和挑戰。

4.1 國家層面：批判借鑒

1) 完善數據出境評估制度。GDPR帶來的國家安全風險主要來源于歐盟監管機構對中國企業的監管權限。在GDPR監管機制下，尤其需要注意的是歐盟監管機構的調查權。一旦歐盟方面行使調查權，作為被調查對象的中國企業將需要提交諸多信息，包括所有涉事的個人數據，以及歐盟監管機構認為需要提交的其他數據。這極有可能產生的風險在于：中國企業迫于歐盟的監管壓力，向歐盟監管機構傳輸相關個人數據和其他數據，進而給中國帶來國家安全隱患。鑒于此，我國亟需完善數據出境評估制度。

2) 盡快出臺專門的個人信息保護法。近年來，我國通過《網絡安全法》《民法總則》等一系列的法律提升個人信息保護水平。但整體來看，目前我國尚未出臺專門的個人信息保護法，相關規定較為分散、缺乏體系化和系統性。隨著我國數據產業的發展，我國也亟需一部統一的、專門的個人信息保護法。但同時也需注意，GDPR諸多規定尚不明確，需要進一步的細化，其具體的落地實施情況仍待觀察。另一方面，鑒于我國個人數據保護水平的現狀以及數據產業發展情況，采用GDPR如此高的個人數據保護標準是否適宜，也需要審慎考量。

3) 在數據立法部分考慮使用長臂管轄原則，擴大本國立法的域外效力。無論是歐盟的GDPR還是美國2018年通過的《合法使用境外數據明確法》(Clarify Lawful Overseas Use of Data Act)均將屬地管轄擴展至長臂管轄原則，擴大其法律的域外效力。隨著數據在全球范圍內的自由流動，對于數據的監管突破原有的屬地管轄已成國際立法趨勢。國際空間圍繞數據主權的爭奪態勢日益嚴峻，我國也亟需對此作出立法上的應對，以爭取我國在國際博弈中的主動性。

4.2 企業層面：提升合規能力

從現狀來看，我國境內有諸多企業與歐洲有業務往來，包括銀行、電子商務、互聯網等諸多涉及個人數據處理的業務，這意味著我國諸多企業也將成為GDPR規制的對象。此類企業需高度重視開展GDPR的合規工作，提升自身的合規能力，以免承擔高額的違規成本。具體而言，企業應當：

1) 梳理業務情況，確定合規對象。在華企業準確定位自己是否屬于GDPR框架下的合規義務主體是開展合規工作的首要環節。企業應當首先全面梳理其業務開展情況，了解各業務處理的個人數據的來源、類型、存儲位置、用途、訪問權限、共享和披露情況、安全保障措施等信息，確定合規對象。

2) 區分數據來源，針對性合規。鑒于GDPR與網安法規范的諸多差異，對于企業合規而言，做好來源于歐盟境內的數據和其他數據來源的區分，有利于后續針對性合規業務的開展。在系統數據難以區分的情況下，為降低企業合規風險，建議從嚴落實。再者，完善內控機制，加強合規記錄。在GDPR框架下，傳統的個人數據管理機制已不能滿足要求。企業應當重新規劃、建設自身的個人數據管理內控機制。通過默認隱私保護、數據保護專員、數據影響評估、數據泄露通知等機制建立一套從產品設計到應用、從管理到流程、從規范到技術的最佳實踐， 以最大限度地降低合規風險。此外，合規文檔記錄對于企業內部的風險評估以及應對外部合規審查均非常重要。無論是GDPR還是網安法下的合規工作，均應當加強合規文檔記錄，包括隱私政策、數據傳輸協議、與第三方合作協議、人員培訓計劃等。

3) 放眼全球，整體布局。鑒于GDPR與網安法可能帶來的數據出境合規困境。企業應當以全球化視野重新考慮數據中心或服務器在全球的戰略布局，尤其是面向歐盟服務相對應的服務器或數據中心的位置設計，以應對數據跨境傳輸限制及國際法律沖突難題。此外，隨著數據經濟在全球范圍內發展，全球范圍內的數據合規審查將成為必然趨勢。無論是為GDPR還是其他未來立法帶來的合規沖擊，企業均應及時跟進全球立法動態，以全球化的視野為企業的發展戰略和合規工作做好預判。

4.3 行業層面：發揮協調指導作用

GDPR實施后，全國信息安全標準技術委員會發布了《網絡安全實踐指南—歐盟GDPR關注點》為我國企業的GDPR合規工作提供了有益的指引。但鑒于GDPR的復雜性，僅僅依靠該文件并不能滿足企業合規的需求。未來，行業層面仍需繼續推進GDPR的合規指引工作。

再者，隨著GDPR的實施，歐盟必將以此為抓手向全球擴張其影響力，并為世界個人信息保護法樹立新的標準。雖然GDPR通過歐盟自身市場的吸引性配之以嚴苛的罰則，使之具有一定的域外威懾力。但歐盟方面要進一步擴大其域外執行力仍面臨諸多挑戰。可以預見，歐盟可能會通過一系列雙邊協議或談判，鞏固其制度優勢。基于此，行業層面，應當積極加強與中歐監管機構的溝通協調，及時掌握中歐相關監管機構的最新動向，為企業GDPR合規爭取有利形勢。

此外，鑒于GDPR可能會對現行的商業模式造成沖擊，行業層面，相關機構應當及時對后GDPR時代的互聯網發展模式進行積極研判，推進整個行業的進一步發展。

5 結 語

作為數字經濟治理的集大成者，GDPR通過強化知情同意規則的要求、新增被遺忘權、數據可攜權等新權利，增設數據泄露通知、數據影響風險評估、數據保護專員等義務，加大違規處罰力度，設立“一站式”投訴服務，全面提升了個人數據保護水平。

鑒于GDPR的域外效力，其落地實施對我國將帶來了巨大沖擊，體現在：國家層面，沖擊我國執法機構的執法效力；企業層面，增加我國企業的合規成本；行業層面，沖擊現行商業模式。為應對GDPR的沖擊，我國應當積極采取措施。國家層面，完善數據出境評估制度，盡快出臺個人信息保護法，但也需注意結合本國國情，切忌原搬照抄。企業層面，企業應在全面梳理其業務開展情況的前提下，確定合規對象；區分數據來源，開展針對性合規；完善內控機制，加強合規記錄；以全球化視野制定合規策略。行業層面，應充分發揮協調指導作用，及時對后GDPR時代的互聯網發展模式進行積極研判，推進行業的進一步發展。