對外投資中的數據法律責任及風險防范*
——基于我國主要投資目的地的法律分析

王 銳

(國家法官學院民商事審判教研部，北京 101100)

阿爾文·托夫勒在《第三次浪潮》中預言，21 世紀人類社會將迎來信息時代，信息將與物質和能量一起成為構成世界的三大要素。在信息技術與信息產業極大發展的今天，個人信息與數據保護問題逐漸引發全球關注。企業在經營過程中收集并存儲了大量的用戶個人數據，對于這些數據負有安全保障義務。數據問題，在任何國家均是社會普遍關注的問題，但不同國家的數據保護基礎法律及標準不同，跨國投資經營的企業極易因缺乏經驗而面臨風險。

2019年2月28日，我國企業“字節跳動”海外收購的全球短視頻應用Musical.ly(后與“字節跳動”下TikTok合并)，與美國聯邦貿易委員會(Federal Trade Commission，以下簡稱FTC)在一起針對其數據保護義務的調查中達成和解，為此支付了高達570萬美元的罰金，系FTC迄今為止因兒童數據保護問題而開出的最大罰單；不但如此，此前為期三年的FTC執法調查已經導致了“字節跳動”北美商業化進程大為受阻，學費不可謂不昂貴。①無獨有偶，2017年我國PC頭部企業聯想也曾因預裝軟件涉嫌訪問收集用戶敏感信息，遭遇FTC處罰。②

近年來，我國對外投資發展迅速，2017年中國對外投資存量居全球第二，僅次于美國。③對外投資方式創新顯現，主要包括綠地投資、收購并購、聯合投資、實物投資、股權置換、返程投資等形式，其中跨境并購依然是中國對外投資的主要手段。④歐洲與北美洲是2017年中國跨境并購的前兩大目標地。⑤然而，與體量巨大的對外投資不相匹配的是，對外投資企業對可能承擔的數據保護義務與數據法律責任認知不足，風險管控能力缺失，在全球已經有105個國家⑥確立自己的數據保護立法體系的背景下，數據保護意識淡薄的對外投資企業很可能如同“字節跳動”一般遭遇重大損失。由此，本文以下將結合我國主要投資目的地美國、歐盟、英國的立法、執法與司法情況，討論我國企業在對外投資中所面對的數據法律義務內容及標準、數據法律責任形式及范圍，并就我國對外投資企業如何防范數據法律風險提供建議。

一、主要投資目的地的企業數據法律義務

企業在運營過程中，不可避免地會涉及對用戶個人數據的收集與處理，為此，我國主要投資目的地均通過立法、司法或執法明確企業在處理個人數據、為個人數據提供安全保障等方面的法律義務與責任。

(一)美國的企業數據法律義務

美國境內的個人數據保護主要通過成文法規定信息或數據法律義務與普通法保護隱私權雙重路徑共同實現。在具體職能方面，聯邦與州立法、司法、執法機關均發揮了不可或缺的作用。

1.聯邦層面的企業數據法律義務

在美國聯邦層面，由于缺乏關于個人數據或隱私保護的一般性立法，傳統的關于個人數據保護的規范分散在不同行業的法律法規之中；但總體而言，成立于1914年的FTC致力于保護消費者個人隱私信息與數據，在一定程度上彌合了分業立法、分業執法的缺陷，并在隱私保護領域發揮了普通法的替代作用。[1] P583-676FTC的主要授權來自《聯邦貿易委員會法》⑦第5條，即“禁止市場中不正當或欺詐性的行為” (unfair or deceptive acts or practices)；同時FTC還從《兒童在線隱私保護法》(Children On-line Privacy Act)《金融服務現代化法》(Financial Services Modernization Act of 1999)《公平信用報告法》(Fair Credit Reporting Act)《電話營銷銷售規則》(Telemarketing Sales Rule)《公平債務催收法》(Fair Debt Collection Practices Act)等多部部門法中獲得執法授權。事實上，近年來，FTC在個人數據保護執法方面極為活躍，其執法調查與處罰行動覆蓋了包括臉書、谷歌、亞馬遜等美國本土企業與聯想等境外企業。

FTC開始采取數據保護執法行動與1995年克林頓政府提出的建設國家信息基礎設施方案遙相呼應，其理由在于，如果個人數據與信息無法得到合理保護，則會導致人們不愿使用國家信息基礎設施，進而延宕產業與經濟發展。[2]P87FTC的執法行動可以分為三個階段，第一個階段從上個世紀90年代起，FTC主要對企業做出的不符合其自行宣稱的數據保護政策或隱私政策的行為進行監管執法，并認定這種行為系“欺騙性的”行為或經營方式。例如，當企業在隱私政策中宣稱其在數據傳輸中采取某種加密技術，但事實上并未采??；或者在隱私政策中宣稱其不會對外出售客戶信息，但在破產中仍將客戶信息作為破產財產變賣等。以上均構成引發FTC調查處罰的“欺騙性”行為。彼時執法案件幾乎都以受調查對象與FTC和解的方式而告終。[1]P583-676第二個階段，FTC的執法重點開始從“欺騙性”向“不公平”行為轉變，從而將企業數據保護義務推向更高標準。依據《聯邦貿易委員會法》第5條，那些“有可能給消費者帶來嚴重損害；消費者自身無法合理避免；并且即便考慮到對消費者或競爭的利益，也不會出現利大于弊的情況”的行為或經營方式可認定為“不公平”。依據FTC執法實踐，當企業試圖改變其隱私政策且不通知用戶或者對用戶提出不合理要求的行為，就構成“不公平”的商業行為。例如，美國PC知名品牌Gateway公司原有隱私政策許諾不會對第三方出售客戶數據信息，此后該公司修改其隱私政策，并要求不同意新隱私政策的用戶需要明示選擇反對，對此FTC認定構成“不公平”商業行為，因為這將對用戶施加一種要求其時刻監督企業數據隱私政策并必須采取積極行動阻止其個人數據被出售的不合理的義務。這也是FTC對企業實質性改變其隱私政策的欺騙和不公平做法的首次執法。⑧再如FTC歷史上對臉書的執法調查中，曾認定臉書未經警告用戶就變更其原有數據隱私政策的行為，由于涉嫌曝光臉書幾億用戶的個人信息而構成“不公平”。時任FTC主席Jon Leibowitz 就此案件明確表態：臉書的創新并非必然以犧牲消費者隱私為代價，FTC將以行動確保這一點。⑨近年來，亦即第三個階段，FTC更是將執法行動深入到企業數據保護政策的實質內容，將企業設計了不合理數據保護政策的行為也認定為“不公平”。例如，某企業設計的應用程序默認設置為用戶允許將其多種類型的全部文件上傳至網絡進行共享；如客戶不同意共享某類文件則需要明確選定；如客戶希望共享某類文件中的某一個文件，則需要選定該類文件后將不共享的文件一一選擇不共享。FTC認定這一設置對用戶隱私與數據保護構成“不公平”且具有“欺騙性”，違反了企業數據保護義務。⑩目前，FTC的五名委員均為特朗普總統于2018年提名任命(任期為七年)，這就意味著未來一段時間內保守派將控制FTC這一強力聯邦執法機構，并釋放出向硅谷科技巨頭等就數據保護問題施壓的強烈信號。

相對于一般的數據保護義務，美國社會亦高度關注兒童數據保護與隱私問題。1998年美國國會通過了《兒童在線隱私保護法》，要求網絡企業切實告知其網站的隱私權政策，并在收集13歲以下兒童個人信息前，必須在先獲得兒童家長的同意。前述TikTok一案正是因為企業違反了這一義務要求而遭到FTC的執法調查。具體而言，執法機構FTC聲稱，由于TikTok要求用戶提供電子郵件地址、電話號碼、用戶名、姓名、個人簡介和頭像等資料，并允許用戶通過評論視頻和發送直接信息與他人互動；于此同時TikTok設置中默認用戶帳號公開，這意味著13歲以下兒童的個人數據可能被其他用戶看到，從而違反了《兒童在線隱私保護法》。事實上，美國本土許多企業也曾經因違反該法而被認定為存在“欺騙性”商業行為或“不正當”競爭行為，進而遭受FTC處罰。

金融數據因與用戶財產安全、系統性金融安全等問題密切相關，格外引發關注。美國國會于1999年通過《金融服務現代化法》，要求金融機構在對消費者提供貸款、投資建議或保險產品和服務時向客戶解釋其信息共享做法，并保護敏感數據。該法確立了金融數據保護的五項基本原則：通知原則、選擇原則、安全原則、市場公開原則、執行原則。FTC則依據《金融服務現代化法》對金融機構進行隱私與數據安全執法，在FTC執法中，其對何為違反隱私安全的標準界定具有相當的自由裁量權，并導致FTC可以對調查對象的隱私政策及數據安全保障措施做出實質性評價。例如在FTC對 TaxSlayer的調查中,就構成處罰原因之一的密碼問題，FTC即認為：TaxSlayer 未能實施足夠的基于風險的身份驗證措施, 沒有向客戶提供明確和明顯的初步隱私通知, 也沒有提供確?？蛻羰盏皆撏ㄖ姆绞?；于此同時該公司并不要求消費者選擇強密碼，這就讓客戶面臨黑客可能通過猜測常用密碼訪問其納稅人賬戶的風險。這起案件也說明了密碼保護的重要性，缺乏強密碼保護和其他因素的疊加導致在2015年10月至2015年12月期間, 惡意黑客能夠完全訪問TaxSlayer稅務賬戶，利用獲取信息進行身份盜竊，通過提交虛假納稅申報單獲得退稅等。FTC通過介入對隱私及數據安全實質性的判斷，部分替代了法院在這一領域的裁判功能，也是FTC執法進入前述第三階段的典型體現。

值得關注的是，包括《兒童在線隱私保護法》《金融服務現代化法》在內的許多法律并未授予數據主體(用戶)以自己身份提起民事訴訟的權利，而只能求助于執法機構進行執法處罰，或由執法機構提起訴訟。在FTC所展開的執法調查中，由于擔心將案件拖入訴訟程序可能會導致公開判決對被調查對象的商業模式及聲譽產生不利影響，受調查對象往往選擇與FTC和解，從而大大強化了FTC執法的效力與影響，甚至導致FTC具有了事實上評價企業數據保護義務及違反該義務的法律責任的“準司法”地位。當然，隨著數據權利屬性的逐漸彰顯，要求將訴訟權利與索賠權利授予數據主體的呼聲也日益響亮。不過從美國法院的傳統觀點來看，對于數據權利主張或信息隱私權主張整體持有一種保守傾向，如在史密斯和米勒案中，法院認為電話公司和銀行記錄中的信息是與政府共享的，則數據不能受到憲法的保護。此外關于交易數據的二次使用一般也不被法律禁止，除非存在特別法規定或相反約定。[3]P210

2.州層面的企業數據法律義務

隱私法傳統上屬州法范疇，目前在美國各州大約有數以百計的隱私和數據安全規則，對數據處理、隱私政策、適當使用社會保障號碼、以及數據泄露通知等各個領域進行規制。僅加利福尼亞州就有超過25項州隱私和數據安全法律。加州由于云集了眾多科技公司和明星企業，在州這一層面，于全美數據保護立法領域最具引領地位。加州早年通過制定《網絡隱私保護法》(Online Privacy Protection Act)，對于網絡企業從該州居民處收集可識別個人數據進行管理，為企業數據保護義務提出了本州標準。2018年6月，加州為加強消費者隱私權和數據安全保護，進一步頒布2018年《加州消費者隱私法案》(California Consumer Privacy Act，CCPA)，對在該州境內開展業務的營利性企業提出了更為嚴格的數據與隱私保護要求。CCPA要求企業必須披露其收集的個人數據類別與具體要素、收集數據的來源、收集或出售數據的業務目的、與企業共享信息的第三方類別等，并要求企業必須給予用戶數據訪問權、數據刪除權、不銷售個人信息的選擇權、禁止歧視權、未成年人同意權等。與此前諸多法案不同的是，CCPA賦予遭受數據泄露損害的加州居民用戶以訴訟權。該法將于2020 年1月1日正式實施，被廣泛認為是美國國內最嚴格的數據安全立法，堪與歐盟《通用數據保護條例》相提并論。

(二)歐盟的企業數據法律義務

歐盟境內的企業數據法律義務，基本上是通過歐盟1995年《個人數據保護指令》及其升級立法《通用數據保護條例》等確立起的數據保護原則與規則實現的。

1.《個人數據保護指令》中的企業數據法律義務

《個人數據保護指令》雖然目前已被《通用數據保護條例》所替代，但該指令運行20余年，奠定了歐盟境內各國數據保護的基礎性規則體系，其規定目前已經成為歐盟境內數據保護立法的底線要求。首先，《個人數據保護指令》明確了數據保護的范圍在于“個人數據處理”活動，并對“個人數據”與“處理”下了較為寬泛的定義?！疤幚怼敝浮白詣踊蚍亲詣拥牟僮骰蛞幌盗胁僮鳎ú⒉痪窒抻谑占⒂涗洝⒔M織、儲藏、改編或變更、修補、磋商、使用、經傳輸披露、散布或以其他方式公開、調整或組合、妨礙、刪除或破壞”；“個人數據”則指：有關已辨別或可辨別的自然人的任何信息，還包括已辨別或可辨別的自然人的照片、視聽影像和錄音。其次，《個人數據保護指令》確定了數據最小化的原則，要求依據該指令制定的內國法必須保證對個人數據的處理是準確、及時、相關且不過分的；個人數據應當只能按照收集該數據時即已確定的合法目的使用，其儲存形式應當保證在達成目的后便不能再用于個人身份的識別。第三，個人數據只有在滿足下列條件時才可以被處理：數據主體明確地同意，或為了保護公眾利益。第四，數據處理的內容如果涉及種族、政治傾向、宗教信仰、哲學或倫理觀、或有關健康和性生活時，如果沒有數據主體的書面同意，必須加以嚴格限制甚至禁止。第五，對于數據處理者，該指令要求其必須向數據主體通知如下事項：處理數據信息的目的、對該通知的回復是必須的還是自愿的、未能回復的后果、數據接受者或接受者的種類、數據主體有了解和更正有關自己的數據的權利、數據控制者的姓名和地址；即使在不必須征得數據主體同意的情形下，也必須對數據主體作上述通知。第六，指令還要求必須保證個人數據的安全，使之避免遭受偶然的或非法的滅失，不會受到未被授權的更改或披露，以及其他未被授權的數據處理形式。為切實保障數據主體的權利，該指令要求成員國的法律必須對從事非法處理數據的控制者課以民事責任，并對不遵守此項法律的行為給予懲罰。第七，指令還要求成員國的法律規定，監管機關除執行數據保護法和聽取數據主體的控訴外，還必須保證：指令賦予的權利受到侵犯時，每個人都有權獲得司法救濟。[4]P35-59《個人數據保護指令》影響深遠，包括英國1998年《數據保護法》、意大利1996年《個人數據保護統一法》在內的重要歐盟成員國數據保護基本法，都是基于該指令的國內法轉換。

2.《通用數據保護條例》中的企業數據法律義務

為推動歐洲數字經濟發展，呼應歐盟單一數字市場戰略，提升歐洲境內的個人數據保護水平，歐盟于2016年制定《通用數據保護條例》(以下簡稱GDPR)，并于2018年正式實施。首先，GDPR與《個人數據保護指令》不同，可以不經轉化為國內法而直接針對成員國生效。其次，在適用地域范圍上，GDPR適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理，不論其實際數據處理行為是否在歐盟內進行；亦適用于某些特定相關活動中的個人數據處理，不論其數據控制者或處理者是否在歐盟設立。這就大大拓展了GDPR的適用范圍，不僅以歐盟及其成員國為目的地的跨國投資主體需要受GDPR規制，跨境提供服務、涉及控制或處理歐盟及其成員國內部用戶數據的企業也受到GDPR規制，導致GDPR適用的長臂管轄后果。第三，GDPR從數據主權角度出發，基于市場地原則和實質管轄，建構了“歸屬”不排斥“利用”的數據跨境傳輸規則。第四，GDPR規定處理使用個人數據的目的原則上應該與收集數據的原來目的一致(第5條第1款第b項)；而除非數據主體同意，或成員國法律為追求該條例所限定的某些特定目的而在必要的、合比例的范圍內另有規定(第6條第4款、第23條第1款)，才容許例外。第五，在數據主體是16歲以下未成年人的情況，GDPR對其同意提出更嚴格的要求，例如須其父母或監護人同意；盡管成員國可以通過法律降低此年齡要求，但不得低于13歲(第8條第l款)。第六，GDPR重申了“數據最少化”原則，即數據處理必須限制在對處理的目的而言必要的范圍內(第5條第1款第c款)。第七，關于廣為國內所知悉的“被遺忘權”(Right to-be-Forgotten)，亦系經由GDPR規定的數據刪除權，即如果個人數據對其收集或處理的目的而言不再必要，或被非法處理使用，或數據主體撤銷對數據處理的同意，或對數據處理表示異議，則數據主體有權要求刪除(第17條第1款)。第八，GDPR還規定了數據可攜帶權，即數據主體原則上可向數據控制者索要其個人數據，也可將其個人數據轉交給另一個數據控制者(第20條第1款)。第九，GDPR高度強調監管配合，要求在個人資料被泄露的情況下,數據控制人應在可行的情況下于獲悉后72小時內將個人數據泄露通知數據主管機關，除非侵犯個人數據的行為不太可能對自然人權利和自由造成風險。如果在72小時內沒有通知監督機構, 應附有延誤的理由(第33條)。第十，GDPR要求所有處理個人數據的公共機構以及以監控數據主體或以處理某些特定敏感數據為核心業務的私人機構、企業設立數據保護官(第37條第1款)。成員國可以制定更嚴格的規定，擴大應該設立數據保護官的私人機構、企業的范圍(第37條第4款)。以德國為例，其于2018年5月25日與GDPR同步實施的修訂版《聯邦數據保護法》中就要求經常性處理個人數據的人員在十人以上的私人機構或企業必須設置數據保護官。由此可見，歐盟新近的數據保護立法內容覆蓋廣泛，對企業提出了更高的數據保護義務要求；不但如此，對于坊間許多質疑歐盟是否會實際實施GDPR的聲音，歐盟各國政府也以實際行動堅決回應，據Statista數據統計， 2018年5月至2019年2月期間歐盟內不遵守 GDPR 的案件共206，326起,其中約一半已調查結案,結案案件中僅有1% 左右提起上訴。歐盟立法者與執法者的決心值得我國對外投資企業高度關注。

(三)英國的企業數據法律義務

在個人數據保護領域，英國最重要的法律為1998年《數據保護法》(以下簡稱1998年法)及2018 年《數據保護法》(以下簡稱2018年法)。英國數據立法與歐盟立法息息相關，其中1998年法在很大程度上是貫徹歐盟1995年《個人數據保護指令》的產物，同樣2018年法也是為了配合并取代同年正式實施的GDPR，在2018年法的前言中，立法者特別強調“個人數據處理受制于GDPR”。不過2018年法對GDPR部分條款進行了保留，存在一系列偏離GDPR的規定，值得我國對外投資企業關注。另外，仍有必要持續觀察英國脫歐是否會對英國數據責任領域的立法產生影響。

相對于1998年法而言，2018年法擴大了數據義務范圍，提升了數據義務標準。2018年法不僅承繼了1998年法，以法案第四章專門規定數據控制者的義務，還仿效《通用數據保護條例》將數據處理者也納入數據義務主體范疇，規定了數據控制者與數據處理者的一般性義務與特殊義務，這意味著納入該法管轄的企業范圍加大。2018年法的特殊要求包括：數據控制者應當采用適當的技術和組織措施，以更好履行義務，必須考慮技術新發展，實施成本，數據處理的性質、范圍、情境和目的，以及數據處理過程中可能產生的危及個人權利和自由的風險。由此，新法對負有數據保護義務的企業提出了更高的義務標準，包括對“技術新發展”的考慮與應對。此外，2018年法還將更大的監管與執法權限授予信息專員(Information Commissioner)。該法明確信息專員辦公室(Information Commissioner’s Office，ICO)是英國的數據保護監管機構，負責實施數據保護規則，以確保英國數據保護水平與其他歐盟成員國相一致。為此，該法要求信息專員可以發布信息通函(information notice)及評估通函(assessment notice)，要求企業向其提供相關信息，并評估企業是否遵循數據保護法。如專員認為2018年法被違反，則可以發出執行通函(enforcement notice)，要求企業采取通函中列明的措施或禁止從事某些措施。專員具有檢查權、處罰權，其最大處罰限額較之1998年法亦大為提升。

二、違反義務的數據法律責任

(一) 民事法律責任

1.違約責任

當企業設置了自己的數據保護與隱私政策，但未能如允諾行事時，除了可能引發執法機構如美國FTC或英國信息專員調查外，還可能因用戶起訴企業違反合同而承擔違約責任。一般而言，數據保護或隱私政策均被視為用戶與企業之間簽署的合同的一部分，一旦企業違反前述政策，即意味著違反了其在合同項下允諾承擔的義務，則用戶可以依據雙方之間合同，以合同當事人身份向法院提起訴訟，請求賠償。在臉書與Cambridge Analytica公司涉嫌濫用約8000萬臉書用戶數據的事件中，已有臉書用戶代表向法院提起訴訟，指控臉書違反其服務條款及隱私政策、違反善意及公平交易默示承諾、違反州(加州)級消費者保護法律以及因疏忽未能保護用戶數據。其中至少前兩項訴求與違約責任相關。

2.侵權責任

當企業并未違反自己的數據保護或者隱私政策，但該政策存在違法之處，具有“欺騙性”，或者構成“不公平”，則用戶可以在法無相反規定的情況下提起侵權訴訟。部分立法者出于對授予數據主體訴權可能引發“濫訴”的擔憂，在立法中拒絕授予數據主體以訴權，美國《兒童在線隱私保護法》、《金融服務現代化法》、加州《網絡隱私保護法》等皆是如此，在這種規定下，僅能由相應的執法機構，如FTC或加州司法部，才可針對數據控制或處理企業提起侵權訴訟。

即使數據主體被授予針對企業的訴權，但能否獲得法院支持仍需結合不同地域司法實踐及法院傾向綜合判斷。在美國，盡管近年來頻頻發生大規模數據泄露侵權事件，但從司法實踐角度觀察，受害人基于數據泄露而提起索賠訴訟，面臨的主要法律障礙在于難以證明實際損害的存在。尤其在企業因黑客入侵或存在系統漏洞等情況下發生的數據泄露，導致用戶個人信息被未經授權的第三人獲取或存在被第三人獲取的風險，但并不能直接證明已經或必然會給用戶帶來人身或財產損害。由此，美國部分法院在處理此類案件時，通常都會要求提出索賠的用戶證明實際損害的發生而非證明損害風險的存在，導致許多企業基于用戶的舉證不能而最終免責。這一裁判思路的差異體現為如何理解美國聯邦最高法院在Clapper一案中確立的先例，即構成侵權的“未來損害”(future harm)必須是“確定即將到來的”(certainly impending)。在數據泄露侵權案件中，部分案件審理法官即認為，由于原告不能證明第三人實際使用了其信用信息開設信用卡或從事其他欺詐行為，也不能證明其因信用信息泄露而遭受到實際損害或存在緊迫的確定將要發生的損害，因此，原告所主張的損害只是一種假設，不能夠得到賠償。

如果實際發生的物質損害無法證明，那么用戶是否能夠通過主張精神損害從違法企業得到賠償呢？在美國，多數法院仍然認為此類費用或損失并不是可以得到賠償的已發生的損失，而只是對未來可能發生的損失或損失風險的一種補救，是無法獲得損害賠償的。不過大洋彼岸的英國法院在這個問題上持有不同傾向，在谷歌訴Vidal-Hall等一案中，原告是三名蘋果電腦的用戶，使用Safari瀏覽器上網，該瀏覽器的默認設置為未經用戶同意不允許第三人使用Cookie。原告指控被告谷歌在其不知情且未征得其同意的情況下，使用Cookies收集上網瀏覽信息，并將其與廣告商分享，從而便于后者投放精確廣告。原告聲稱被告的行為構成對個人私密信息的濫用(Misuse of Private Information)，違反了保密義務，損害了其人格尊嚴，給其帶來了精神上的痛苦，故此原告主張依據英國1998年《數據保護法》第13條，要求被告企業對其承擔精神損害賠償責任。該案法官經審理后認為，在當前背景下，應當認為對私密信息的濫用構成民事侵權，受害人可以此作為訴因而提起民事訴訟；并且審理法官通過將歐盟1995年《個人數據保護指令》第23條及《歐盟基本權利憲章》第47條引入裁判，認定數據保護意義下的“損害”可以擴張為包含“精神損害”，呈現出不同于美國法院傳統裁判傾向的態度。

GDPR第79條第1款規定：任何數據主體若認為其根據本條例享有的權利因不遵守本條例的數據處理行為而受到侵犯，均有權獲得有效的司法救濟，且該救濟權不排除任何其他行政或非司法救濟，包括提出申訴的權利。這就意味著在歐盟成員國內，數據主體可以對違反GDPR的企業提起民事訴訟。歐盟法院通過案例將企業的數據保護責任拓展為包含“刪除屏蔽責任”，該責任源于歐盟立法中的被遺忘權。2014年歐盟法院在“岡薩雷斯案訴谷歌西班牙公司案”中確立了數據主體的“被遺忘權”，并對谷歌之類的企業規定了刪除或屏蔽義務。這一判決對包括英國法院在內的成員國法院發揮了一定的示范作用，此后在莫斯利訴谷歌案中，英國法院不但認為谷歌公司負有“刪除屏蔽責任”，甚至認為谷歌公司已經開發出屏蔽技術，因此要求其對于原告的照片等信息采取屏蔽不會給谷歌公司帶來不合比例的負擔或成本，這對網絡類企業而言意味著需要承擔更高的內容過濾義務。

(二)行政法律責任

美國的FTC、英國的信息專員辦公室以及其他歐盟國家為落實GDPR要求而指定的數據監管機關等，都是依據法律授權對數據保護進行調查執法的職能部門。

FTC保護消費者隱私與個人數據，包括但不限于采取執法行動，制止違法行為，要求企業采取措施糾正非法行為，包括要求企業接受強制性合規審計、酌情實施全面的隱私和安全方案、向用戶提供貨幣補償、沒收非法所得、刪除非法獲得的用戶數據、提供更具透明度和供消費者選擇的機制等。FTC可以對違反《聯邦貿易委員會法》的調查對象課以罰金，且該罰金數額可依據2015年《美國聯邦民事罰金通脹調整法案》予以年度調升，自2019年2月起，FTC可以開出的最高罰金為1,210,340美元。

歐盟對侵犯個人數據的行為處罰措施亦十分嚴格，包括禁令救濟，對公司工作場所和數據處理設施的稽查和調查，行政罰款等。歐盟GDPR第83條為歐盟成員國設定了統一的違反數據保護罰款標準，該罰款制度系雙層結構，將GDPR違法行為區分為嚴重(severe)與次嚴重(less severe)。次嚴重違法行為可能會被處以最高1000萬歐元的罰款, 或受罰企業上一財政年度全球年收入的 2%, 以較高者為準，次嚴重違法行為主要涉及違反GDPR第8、11、25～39、41、42和 43條的行為。嚴重違法行為則系違反了作為《通用數據保護條例》核心的隱私權與被遺忘權根本原則的行為,可能導致最高達 2000萬歐元的罰款,或受罰企業上一財政年度全球年收入的 4%, 以金額較高者為準。嚴重違法行為包括違反處理數據基本原則的行為(GDPR第5、6和第9條)，不能提供數據主體同意證明的行為(第7條)，侵犯數據主體知情權、獲得權、更正權、刪除權、攜帶權等權利的行為(第12～22條)權利，以及違反GDPR規定轉移數據的行為(第44～49條)。由此可見，涉及GDPR主要核心義務的違反幾乎都可因被認定為嚴重違法行為引致更嚴重的行政罰款。事實上，歐盟及成員國數據監管者在執行GDPR的過程中也毫不手軟，法國數據保護監管機構為法國國家互聯網信息中心CNIL(Commission Nationale de l'Informatique et des Libertés),該中心因谷歌違反了GDPR，包括向用戶提供了不充分的信息、在多個頁面上分散提供信息、且未在廣告個性化的問題上獲得有效許可等，于今年年初對谷歌處以高達5000萬歐元的罰款。不過在輕微違法的情況下, 或者如果可能處以的罰款對責任人構成不成比例的負擔，則數據監管機關也可以選擇訓斥(reprimand)而非罰款。

英國的數據監管者即信息專員可以行使調查、評估、檢查、處罰等權力，可以對企業執法。此外，依據2018年英國《數據保護法》，信息專員可以施加的處罰限額遵循歐盟GDPR規定，也構建了針對不同程度違法行為的雙層處罰機制。

(三)刑事法律責任

由于美國聯邦層面沒有專門的數據保護法, 對不遵守數據保護義務的行為其處罰往往需要根據其他聯邦部門法和各州個人數據保護法或隱私保護法實現。盡管實施網絡攻擊、入侵私人或公共部門網絡、竊取商業秘密或敏感企業數據、竊取身份進行詐騙等正在成為新型的網絡犯罪類型，引發刑事調查與處罰；但企業因過失未能保護用戶或消費者數據，或因他人攻擊而導致數據泄露，并不會導致刑事責任。

歐盟GDPR也沒有在數據保護領域制定新的刑事犯罪類型，而是在第84條與引言第149段中表明：成員國應自行決定在該國刑法下如何執行條例的相關規定。由此，與企業數據保護義務相關的刑事責任需要個別考察歐盟成員國法律。以德國為例，德國的數據保護刑事責任目前受該國《聯邦數據保護法》(BDSG)第42條管轄。依據第42條規定，行為人為了商業目的，故意和未經授權地對大量無法公開查閱的用戶個人數據采取轉讓或公開行為的，應處以三年以下監禁或刑事罰金；以獲取報酬、使自己或他人受益、或損害他人為目的，對非公開信息的未經授權處理行為或欺詐性獲取行為，應處以兩年以下監禁或刑事罰金。數據主體、控制人、聯邦專員和監管機關等均有權提起刑事控訴。盡管法條規定十分嚴格，似乎數據保護違法行為會廣泛觸發刑事責任，但在此前的德國執法與司法實踐中，運用刑事手段追究行為人責任的案件十分罕見。[2]P246

也有部分歐盟成員國借GDPR施行之際修改國內法，新增關于數據保護違法的刑事犯罪，波蘭就是一例。波蘭《個人數據保護法》(PDPA)有兩個條款涉及刑事責任，其一為第107條：任何人在不允許或未經授權處理個人數據的情況下處理個人數據, 將被處以罰款、限制自由或2年以下監禁；不得為識別自然人的目的非法處理顯示種族或族裔出身、政治見解、宗教或哲學信仰、工會會員資格、遺傳數據、生物鑒別信息的數據, 不得非法處理有關健康的數據或有關自然人性生活或性取向的數據，否則將被處以罰款、限制自由或3年以下監禁。其二為第108條：任何人阻止或妨礙監察員開展關于是否遵循PDPA的檢查，將被處以罰款、限制自由或2年以下監禁。

與歐盟不同，英國2018年《數據保護法》具有特殊之處。該法第170條至173條新設了四項關于違反數據保護義務的犯罪條款：1.非法獲取個人數據，即未經資料控制人同意, 明知或放任獲取、披露或促使披露個人資料；出售或提議出售非法獲得的個人數據也屬犯罪。根據該法案, 這項罪行擴大到包括保留個人資料。就非法獲取的個人數據，數據接收者也會因為未能刪除或銷毀該數據而構成犯罪。2.重新識別已取消識別的個人數據，即如果對個人數據的處理方式不能再歸入特定的數據主體 (例如通過加密、匿名或假名方式), 在未經有關控制人同意的情況下,“重新識別”這些數據(以便能再次識別數據主體)，或處理被他人非法重新識別的個人數據,均屬犯罪行為。3.阻止披露個人數據，即如果數據主體提出請求 (如訪問請求或數據移植請求)并有權收到所要求的數據,則數據控制人(或其雇員、官員或受其控制的人員) 污損、阻止、抹掉、銷毀或隱瞞該數據以阻止披露的行為構成犯罪。4.禁止要求提供有關紀錄，即任何人不得為雇傭或續聘他人或與他人簽署某種服務提供合同目的，要求對方提供其健康記錄或刑事記錄；任何人不得以向公眾或部分公眾提供貨物、服務或設施為條件,而要求獲得任何第三方的健康或犯罪記錄。當然，前述四項罪名中嫌疑人均可以提出抗辯，而充分的抗辯事由包括：嫌疑人行為與預防或偵查犯罪相關，得到法律或法院的授權,或行為符合公眾利益；以及嫌疑人能夠證明其有理由相信自己是數據的主體或控制人,或得到當事人或控制人的同意,或如果當事人或控制人了解情況也會表示同意。此外，2018年《數據保護法》還取消了不合時宜的罪名，如根據1998年《數據保護法》,數據控制人應首先在信息專員辦公室取得登記，而后才可以處理個人數據,否則構成犯罪。但伴隨著技術發展與個人數據的廣泛使用，再度嚴苛要求先行登記已經不符合時代需求，故此2018年法廢除了這一罪名,取代以要求數據控制人有義務保存自己的記錄,并應要求向信息專員辦公室提供這些記錄。

值得高度關注的是，雖然GDPR沒有規定企業違反數據保護法律會產生董事個人責任,但英國2018年《數據保護法》中繼承了1998年《數據保護法》條款，第198條規定：當企業存在犯罪行為時，如該罪行系“經董事、管理人員、秘書、官員或其他人(director, manager, secretary, officer or person)同意或縱容或可歸因于其疏忽”而實施的,則該主體與企業同時構成犯罪，將受到起訴及懲罰。

三、數據法律風險的誘因與呈現特征

當前，國內外因素的變化導致我國對外投資企業承受雙重壓力，一方面，我國企業成長蛻變的本土環境中隱私倫理傳統與數據責任認知缺乏，相對于已經確立較高保護水平與義務標準的主要投資目的地，“出?！逼髽I自身數據法律風險管理水平較低，極易誘發風險；另一方面，國際貿易投資領域暗流涌動，數據法律責任原本被視為消費者保護與公平競爭政策的工具，當下卻呈現出與技術標準、貿易政策相互滲透疊加的現象。

(一) 引發數據法律風險的誘因

1.立法差異：本土數據義務標準與權利保護意識較低

在我國，信息在法律體系中的地位是逐漸確立的，到現在仍然只得到比較有限的承認。[5]P37在綜合性立法層面，2017年《民法總則》制定的亮點之一就在于“民事權利”一章通過了兩條對個人信息與數據保護的特別規定，第111條將自然人個人信息納入法律保護范疇，并提出了依法取得、確保信息安全、不得非法利用的通行理念；第127條則將數據視為財產，為其他法律接駁入民法總則預留空間，進而為違反其他法律規定的數據財產利益的行為保留了民事追責通道。然而，《民法總則》并沒有明確確認數據權利的屬性、主體及權利位階，一方面當發生數據權屬爭議時，無法為糾紛解決提供基本可參考的原則；另一方面在全球主要資本市場都基本認可了數據權利及其體系的背景下，我們在基礎性法律中使用這樣語焉不詳的數據權利表述并不利于我國自然人或法人以基本的數據保護共識融入國際投資與貿易體系。

2017 年《網絡安全法》的實施標志著我國關于互聯網的基礎性法律首次進入到公眾生活領域，并吸納了個人數據收集的同意原則、數據最小化原則、刪除權規定等，并且第74條做出了“違反本法規定，給他人造成損害的”，須承擔民事責任的概括性規定。第74條規定與《侵權責任法》關于過錯責任的一般規定相配合，為違反《網絡安全法》所規定義務而導致的他人損害提供了賠償與救濟渠道，雖然具體民事責任存在與否的判斷仍需以《網絡安全法》相關義務是否具有“保護他人之目的”[6]為前提，但這一規定仍意味著巨大的進步。然而，《網絡安全法》亦存在諸多不足。首先，其中數據保護規范都過于原則而不具操作性。僅以數據收集的同意原則為例，該法僅原則性地宣示網絡運營者收集使用個人信息須經同意，但對于誰來舉證證明同意的存在、同意事項的區分、同意可否撤回、如何撤回，以及針對特殊人群如未成年人的同意規則應如何特殊設置等，均無規定。其次，該法對于規制對象語焉不詳，其使用的“網絡經營者”并非法律概念，也未能借鑒較為清晰的數據處理者與數據控制者之概念，針對規制對象的義務標準也不明確。第三，該法對數據權利的外延列舉有限，僅限于知情權、刪除權，對于數據主體的同意撤回權、數據攜帶權、數據訪問權、限制處理權、糾正權、拒絕權等均未涉及。最后，該法以信息安全而非權利保護為根本宗旨，意在建構一部管理法而非賦權法；然而，在數據問題涉及億萬民眾利益的背景下，不依靠數據主體的權利意識，不提升數據主體的參與意愿，僅憑網絡安全管理機關或執法機關，其執法行為終究影響有限，難以破解有限的行政管理資源無法應對大量違法行為這一難題。同理，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《消費者保護法》等法律以及其它低位階的法規、規章中也同樣存在類似問題。

由此，由國內法所形塑的本土企業行為一旦遭遇域外高標準數據保護執法，則不可避免地顯示出與域外競爭者行為及域外監管機關期待的巨大落差，進而遭遇行政處罰、索賠訴訟、商譽降低、競爭力削弱等困境。

2.執法差異：統一執法機構的缺位與執法重心的偏離

部分國家如美國雖然缺乏統一的聯邦層面的數據保護立法，但通過強力執法機關FTC的執法實踐也發揮了統一執法標準，推動數據保護水平提升的作用。而獨立的個人數據保護機關，亦是歐盟模式的法律執行的核心。[5]P227在我國，目前尚缺乏類似的統一執法機關。《網絡安全法》雖然將國家網信部門確立為統籌協調網絡安全工作和相關監督管理工作之職能機關，但統籌一說即為其他行政部門參與預留空間，更何況網絡安全并不能完全覆蓋數據保護相關問題。

從執法活動角度觀察，2017年8月至10月，我國全國人大常委會曾集中對全國各地落實《全國人民代表大會常務委員會關于加強網絡信息保護的決定》與《網絡安全法》的情況進行檢查，檢查的重點內容之一就是“加強個人信息保護，打擊侵犯用戶信息安全違法犯罪”，是迄今為止規格最高、覆蓋最廣的檢查行動。公安部亦開展個人信息與數據保護執法活動，如2018年公安部網絡安全保衛局集中約談境內WiFi分享類網絡應用服務企業，向境內提供服務的119家企業提出加強公民個人信息保護的5項要求；近年來國務院建立的打擊治理電信網絡新型違法犯罪工作部際聯席會議機制，更是系由公安部牽頭23個成員單位，共同推進打擊治理針對利用公民個人信息的電信詐騙行動。國家互聯網信息辦公室作為互聯網安全和信息主管部門，也大量開展針對個人信息保護與安全的執法行動，今年年初即聯合工業和信息化部、公安部、國家市場監督管理總局等聯合啟動App違法違規收集使用個人信息專項治理行動。工業和信息化部為信息通信行業網絡安全監管職能部門，負責落實企業網絡安全責任的執法，國家市場監督管理總局負責涉及《電子商務法》與《消費者保護法》的個人信息保護執法，銀保監會于2019年5月發布《銀行業金融機構數據治理指引》，為銀行保險等金融機構的數據保護提供執法標準。

由此可見，在我國基礎性立法中數據保護內容不足、數據保護專門立法付之闕如的當下，數據保護執法行動政出多門，執法領域或交叉或留白，難以實現有效覆蓋與標準整合，當前缺乏通過統一強力執法機關或執法行為提升數據保護水平的可能性。尤為遺憾的是，相當一部分執法機關與執法行動重在維護網絡安全，對數據主體的權利問題重視不足，如前述人大常委會啟動的專項檢查中，作為“個人信息保護”檢查目標的有效成果，包含落實網絡接入實名制、加強企業內控管理防止信息泄露、提升防止黑客攻擊能力與建立反詐騙中心打擊電信網絡詐騙犯罪，其中僅有防止信息泄露或與個人數據權利保護直接相關。當前，這種重安全而輕權利的立法、執法導向導致本土企業較少關心由自然人用戶提出的數據權利問題。而事實上，個人數據與信息的合理保護才是國家信息基礎設施得以應用和發展的基礎。[2]P87換言之，數據權利保護正是實現數據安全的基石。

3.責任主體差異：數據保護理念欠缺及數據倫理異化

我國法律文化土壤中成長起來的企業其數據安全與數據保護意識較為淡薄。不但體現為企業對用戶信息及數據應予保護的理念欠缺，還表現為企業自身數據管理缺位，對自身具有財產屬性與重大價值的企業數據同樣保護不足，如不久前深圳市法院對科技企業大疆創新因前員工泄露公司源代碼案件作出一審判決，經法院判定該事件造成大疆公司的損失高達114.6萬。此外，我國部分企業缺乏對商業倫理與數據應用倫理的應有尊重。如某頭部科技企業董事長曾公然做出“以隱私換便利”的荒謬表態，亦引發了深刻的社會反思。[7]P2

當前，我國正處于從信息經濟與網絡經濟向數字經濟發展的重要節點，知識與信息的生產、傳播與應用、信息科技的強化，共同推動人類向數字時代過度，并表現為整個經濟領域的數字化。[8]P19歷史上從來沒有任何一個時代，信息以及信息化生成的數據的經濟價值如此凸顯。此時，確保其在人民之間的平等分配與利用，是確保整個社會公平進步的關鍵。[5]P84在數據收集領域，由于信息不對稱的存在，很多消費者在進行交易時根本不知道商家正從這筆交易中獲取一項非常有價值的財富，即消費者的私人資料與交易記錄，并且這種信息獲取完全是免費的。[9]P496在數據使用領域，消費者同樣處于信息不對稱的泥沼之中，例如當消費者注冊了某一款APP后，由于APP運營者不會強調注冊可能帶來的數據泄露后果，因此消費者完全想象不到其信息可能被二次使用、轉讓使用等，甚至用于其本不希望用于的領域，如個人健康信息被用于保險公司的核保評估之中。在數據估值領域，由于消費者總是低估自己的私人信息的估價困難現象，從而導致“隱私近視”(privacy myopia)現象的出現，即企業從消費者處獲得的信息一旦形成綜合檔案，其價值遠高于單個私人價值之和，而被收購數據的消費者并沒有意識到這一點，從而樂于接受企業提供的看似慷慨的出價。[10]P1502-1504除信息不對稱因素外，數據主體議價能力的不均衡也會阻礙他人對數據權利的保護。因此，在數據信息交易中，企業并沒有盡到公平對待消費者、并給予消費者合理交易價格的機會，甚至在有意無意的利用消費者的無知。不但如此，企業還可以通過掌握技術標準的制定，維持已經取得的信息披露最大化的現狀，甚至會進一步剝奪消費者選擇其他標準與行為的機會。[9]P502-503或許更為嚴重的是，由于消費者根本無法拒絕企業制定的協議(否則將無法使用某種產品或服務)，則企業的數據使用協議已經成為全球用戶的法律，“這會暗中破壞法律正常的制定與實施，因為法律應該有規定的程序，考慮并尊重民主原則?！盵11]P157

由此，數據保護中的責任主體通過有意或無意忽視其數據法律義務與商業倫理，維持對其最為有利的信息財富分配格局。正是為克服這一數據倫理的異化現象，有學者提出了保護個人數據的四個道德與倫理理由：“基于信息的傷害”“信息不平等”“信息不公平”與“道德自治與道德認同”。[12]P221,224-225

(二) 數據法律風險的“混合型”呈現

1.以違反消費者保護法及政策為通常形式

盡管在數據保護方面存在許多根本差異, 但“信息范式”仍是美國隱私法和歐洲數據保護法的共同要素。當代數據保護法系基于丹尼爾·索洛夫教授所說的“隱私自我管理”(privacy self-management)模式。[13]P1880-1903根據這一模式, 消費者應對其個人數據行使控制, 并就其數據使用在知情后做出決定。因此,“通知與選擇”(notice and choice)已成為美國公平信息實踐自律的關鍵要素。[14]P43-44歐洲數據保護法雖然比美國隱私法更具限制性, 但也在大體建立在“通知與選擇”的模式之上。[14]P44-46“通知”一般是從信息實踐的透明度角度描述, 而 “選擇”通常是從同意的角度來界定的，[14]P43-44都與企業的信息披露密切相關。盡管大多數消費者既不閱讀也不理解冗長和復雜的隱私聲明，但信息披露仍是立法者的普遍選擇，其優勢在于：一方面，規定信息披露義務、進而征收“信息稅”具有輕微監管和市場干擾最小化的優勢，能夠通過價格、質量或合同條款的明確化來克服信息不對稱而導致的市場效率低下的問題，改善市場運作；另一方面，強制披露能夠保護消費者自決權和增強消費者權能。而信息披露多蘊含在消費者保護法或政策中，故此無論數據義務人未經充分披露或獲取消費者同意而獲得、使用、處理數據時，其法律風險通常體現為，也至少包含了對消費者保護法及政策的違反。

2.技術管制風險漸次呈現

數據的獲取、使用與處理往往涉及科技型企業及信息技術發展，故此企業的數據法律風險呈現特征較為復雜，往往因目的地國家對于他國科技進步的擔憂與科技反制的政策而面臨不確定性，并以有?！叭诵浴⑷藱?、隱私、個人或公眾自由”的藉口遭遇打擊。以美國為例，美國國會于2018年通過新《外國投資風險審查現代化法》(Foreign Investment Risk Review Modernization Act，FIRRMA)，將非控制性投資也納入審查，將自愿申報制度變更為對部分領域的投資實施強制申報，對美國公司與非美國公司之間的技術合作亦實施全新的管制體系。依據FIRRMA規定，涉及敏感行業、政府合同、關鍵技術、敏感數據、關鍵基礎設施和網絡安全等交易均被納入安全審查范圍。美國商務部工業安全局隨即公布了一份通函(Notice)草案，將包括人工智能、生物技術、數據分析和新材料等在內的14項列入關鍵技術領域。由此實現將技術管制問題偽裝為投資管理問題，則數據違法行為可能因違反隱私與自由而成為投資審查的借口，進而實現技術管制之目的。無疑這將大大增加他國企業并購美國企業，特別是涉及關鍵技術領域投資時的風險與難度。

3.貿易政策風險交錯其中

經驗研究表明，無論是雙邊還是多邊貿易協定，都會降低貿易政策不確定性，并主要通過企業的市場進入和中間投入品的進口來促進貿易。[15]P106-116然而，由于WTO談判在進入多哈回合后陷入停滯，新生的數字經濟及數據相關問題在多邊層面缺乏權威性規范；部分國家力圖通過雙邊協議或區域協定將其納入其中，推動對己有利的數據政策并打壓競爭對手。僅以歐美為例，目前較為成熟的跨境數據傳輸雙邊機制為歐美之間的“隱私盾”(Privacy Shield)，依據該機制，美國公司要遵守歐盟的高標準數據保護要求，則歐盟允許向美國跨境傳輸發生于歐盟的數據；歐盟試圖以GDPR為跨大西洋數據規范確立基石，而GDPR將數據傳輸限制作為確保數據享有充分法律保護的一種工具。但美國通過在美墨加協定(The United States-Mexico-Canada Agreement ，USMCA)中設定數字貿易專章，確立了禁止對跨境數據傳輸施加限制與全面禁止數據本地化要求的規則，并實施了較低的數據保護標準。這就意味著協定簽署國不必遵循歐洲的數據保護模式；考慮到美國一直致力于將USMCA模式推廣到其他區域協定談判中，而多邊談判亦可能借鑒這一模式，則美國確定的數據保護政策很可能被悄然確立為全球數據保護原則與規則的重要藍本，至少在與歐盟的數據貿易標準之爭中已經扳回一城，由此亦可見各國貿易政策背后的政治經濟考量。事實上, 當美國在USMCA協定中宣揚高標準知識產權保護的同時,又選擇了低標準的數字貿易保護，可見保護什么、以什么標準保護，完全是一個基于美國立場、強化美國優勢、削弱競爭對手的選擇。正如有學者評價，美式單邊主義通過單邊標準雙邊化，進而通過數量累積達至準多邊化乃至多邊化，最終重塑全球經貿規則體系，實現符合美國利益和需求的新一代“全球化”，亦即敵視、限制乃至排斥中國的一種“全球化”。[16]P53

我國是數字發展大國，目前數字經濟規模躍居全球第二，中國不僅孕育了若干數字化巨頭，世界上三分之一的獨角獸企業誕生在中國，而且已經形成不斷擴張的數字化生態系統。[8]P19中美在數字經濟發展中雖然有合作，但亦有競爭。而數據作為新生產要素的重要作用日益凸顯，數據的開放、共享和應用將優化資源配置和使用效率，提高資源、資本、人才全要素生產率，是發展數字經濟，成為數字強國的關鍵。在數據治理領域，需要警惕美式或歐式標準與規則的確立產生排斥中國的后果。當前在數據治理領域，由于我國數據保護立法的形式與實質均存在不足，數據保護標準與歐盟所倡導的標準存在較大差距，數據安全立法理念與美國所試圖推動的數據自由流動存在分歧，或因法律及標準差異引發貿易政策分歧，進而成為其他國家實現其政治經濟利益的藉口。事實上，最近美國政府對華為、大疆等中國科技公司的打壓，至少其披露的理由均與數據泄露、數據保護或數據安全相關。

總之，當前的數據風險本質上雖然仍是一個法律問題，但已經不僅僅顯現為法律問題，在技術促進政策、競爭政策、貿易政策正在發生劇變的歐美市場，我國企業極易因數據違法產生風險外溢，法律風險與其他風險相互交叉，混合作用，危及企業的正常并購與投資管理。

四、規避對外投資數據法律風險的建議

數據安全與數字經濟發展固然重要，但權利保護亦是發展與安全的基石。GDPR的數據保護高標準在帶動全球個人數據保護水平提升的同時，也贏得了捍衛消費者權利的廣泛贊譽，為歐盟市場吸引投資、發展自身數字經濟提供了巨大的聲譽資本，很難說因增加成本而削弱了歐盟的競爭力。故此，盡管數據法律風險也可能與其他風險存在共振與疊加，但練好內功，提升自身的經貿法制水平，推動我國企業在對外投資中遵守目的地國家法律、配合監管執法、充分利用司法、合理捍衛權益，始終是至關重要的。

(一) 高度重視投資目的地法律體系、提升數據保護意識

目前來看，主要投資目的地個人數據保護法律體系都較為復雜。在美國，既要關注數據安全、數據保護法律和傳統的隱私保護法律等不同部門法；又要關注聯邦法與州法兩個法律體系。不僅需要關注聯邦立法如《兒童在線隱私保護法》《金融服務現代化法》《公平信用報告法》《電話營銷銷售規則》《公平債務催收法》等；還要密切關注各州立法，尤其許多個人數據保護規范是嵌入消費者保護法從而為數據主體提供救濟的，而消費者保護法屬州法范疇。在州法層面，由于各州的數據保護標準也存在差異，因此如果投資企業的目標客戶為美國全境，則必須與持有較高保護標準的州法保持一致。在歐盟，既要關注歐盟層級的指令(directive)與條例(regulation)所創設的一般標準，如達到一定規模的企業設立數據保護官制度；又要熟稔成員國法律，尤其是成員國所作出的與歐盟標準不同的法律規定，或者對于歐盟立法的保留條款，或者歐盟指定由成員國自行制定的條款，例如投資英國更應關注違反數據保護義務可能帶來的董事高管刑事法律責任以及其風險規避。

鑒于不同投資目的地的數據保護法律體系本身就較為復雜，在海外并購的過程中必須強化這一領域的盡職調查，了解目標企業經營管理的合法性，確保其不因數據違法行為或潛在違法行為而承擔糾紛、債務或法律責任，最大程度消除因信息不對稱導致的投資交易風險。

(二) 積極配合職能部門執法行為、規避執法風險

諸種因數據保護違法而產生的法律責任中，刑事責任較為少見；民事責任之訴訟發起人相對于企業往往較為弱勢，在不具備集團訴訟制度的國家尚不足以對企業形成重大威懾；因此對于我國對外投資企業而言，最應關注的是各國的強力數據管理職能部門或監管部門的行政執法行為，最應規避的是由執法行為帶來的行政法律責任與風險。尤其是近年來無論歐美均大幅提升了行政處罰標準，歐盟更是統一處罰標準，將其提升至“2千萬歐元或前一年度企業全球營業額的4%、以較高者為準”，需要我國投資企業慎重對待。

由于行政責任的加重與數據保護執法力度的強化，我國對外投資企業需要積極配合各投資目的地數據保護職能部門的執法行為。在美國，投資企業需要高度關注并深刻理解FTC的目標與功能。在歐盟，投資企業也需要對各國執法部門及其執法路徑、傾向等具有充分的了解，高度配合監管。配合監管不但為爭取行政和解、最小化企業損失所必須，還是規避企業或員工刑事責任的重要途徑，如歐盟成員國中波蘭就將阻止或妨礙監管檢查視為刑事犯罪行為。在歐盟配合監管，還要求符合資質的企業設立數據保護官制度，在發現個人數據泄露時盡可能及時通知監管機關，同時企業應對歐盟各成員國數據監管機關執法的嚴格性具有正確認知，避免引發巨額行政處罰。

(三)善用裁判引導功能、維護合法權益

在我國主要投資目的地國家中，司法都發揮著重要而關鍵的平衡作用。立法的規定如何轉化成為現實的法律責任，有賴于法院的認定與裁判。在重要且敏感的爭議糾紛中，司法裁判往往一錘定音；而此前的司法案例也可以為企業合法經營提供必要的指引。由此，必須高度關注投資目的地國家的法院判決及其傾向。

美國的政治文化與法律傳統下，法院傾向于維護美國憲法第一修正案與言論自由，導致部分隱私權訴訟難以成功獲賠。此外，美國法院在隱私權侵權訴訟中，較為堅持損害結果的現實性，部分數據侵權訴訟受害人往往因難以證明存在現實損害而敗訴。不過近年來，美國法院的整體觀點有發生變化的趨勢，尤其在未成年人數據保護與安全等領域。對于我國對外投資企業而言，在努力提升自身數據安全與數據保護義務水平的同時，也可以充分利用美國司法機關的傾向提出抗辯，維護己方合法利益。

歐盟法院與成員國法院也積極介入數據權利糾紛，歐盟法院通過“谷歌西班牙公司案”裁判曾發揮了積極解釋立法規定(被遺忘權)的作用。成員國法院的裁判傾向也值得高度關注，例如英國法院通過裁判，支持數據侵權受害人的精神損害賠償請求；并為了保護用戶數據權利，提升了谷歌以及其他搜索引擎企業的義務標準，要求其負有一定的內容過濾義務；德國法院采取平衡態度，并不傾向于對立法之中規定過于寬泛的侵犯數據權利犯罪行為施加司法制裁；等等。這些都需要對外投資企業結合國別差異采用不同的應對措施。

(四)完善內部風險管理體系、適度分散風險

數據保護問題最初本就體現為企業風險內控問題，如各企業的隱私政策如何設置，首先涉及到的就是企業與用戶之間的約定及其履行。此后，因企業與個人用戶之間的締約能力大不相同，加之數據保護的專業性、安全性、信息不對稱等因素，導致行政監管機關介入，以強力監管推動企業完善經營，救濟公眾，維護公共利益。因此，完備的立法、強力的執法、平衡的司法，均不能替代最為核心的企業經營管理與風險管理問題。

綜合各國經驗，首先，對外投資企業有必要建立專門的數據安全管理人員或團隊，并保證其履行職責的獨立性。這體現為歐盟、英國等的數據保護官制度、美國馬薩諸塞州的信息安全計劃(Information Security Programme)專員制度、美國紐約州金融機構的首席信息安全官制度(Chief Information Security Officer)等立法要求。數據安全管理人制度與目前部分大企業已經設立的首席信息官(Chief Information Officer，CIO)制度存在差異，前者更關注的是企業數據控制與數據處理中的安全與風險防控問題，而后者則主要負責企業信息技術的利用問題，二者職能在一定程度上存在沖突，往往體現為安全與效率之爭，這也是為何歐盟《通用數據保護條例》以專門規定凸顯前者重要性的意義所在。

其次，對外投資企業需要制訂完備的信息安全實施計劃，配備完善的信息安全技術防范措施，定期排查數據安全隱患。建立完備的數據庫分級授權管理機制，明確各級工作人員的數據管理與數據安全職責，加強數據管理權限設置，明確各級人員獲得數據的范圍及程序。加強對員工的數據安全培訓，在機構內部形成監督與制約機制，切實防范數據泄露或濫用行為等危害數據安全的行為發生。

最后，對外投資企業還可通過購入數據泄露保險(Data Breach Insurance)、網絡責任保險(Cyber Liability Insurance)等保險產品覆蓋因和解、維護公共關系、承擔法律責任、支付法律費用等而發生的成本，分散投資與經營風險。

五、結論

數據安全與數據自由，隱私保護與產業發展，是各國通過不同的數據保護模式、路徑與方法試圖實現的魚與熊掌。然而這一問題最終并不取決于立法者與社會治理者的主觀意愿，更受制于現實因素，包括各國的文化、政治、經濟、法律發展現狀，在全球化時代也包括國際環境的影響。作為全球化的受益者，一方面我國有必要通過推動數據保護規范化與標準提升使自己的企業能夠不失分、不漏項地以一種負責任企業的健康形象融入國際投資貿易體系；另一方面，在保護主義逆流泛濫、尚存“全球化向何處去”迷思的當下，也應關注法律問題與技術問題、貿易政策問題的疊加與共振，提升風險意識，防范數據法律責任產生。

注釋：

① TikTok agrees to pay record $5.7-million settlement in FTC children's online privacy case[EB/OL]. https://www.usatoday.com/story/tech/2019/02/27/ftc-childrens-privacy-case-tiktok-video-app-paying-record-settlement/3006921002, 2019-2-27.

② Lenovo Settles FTC Charges it Harmed Consumers With Preinstalled Software on its Laptops that Compromised Online Security[EB/OL]. https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled,2019-2-27.

③ 中華人民共和國商務部，國家統計局，國家外匯管理局.2017年度中國對外直接投資統計公報[M].北京：中國統計出版社，2018：4.

④ 中華人民共和國商務部.中國對外投資發展報告(2018)[EB/OL].商務部網站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.

⑤ 其中，歐洲是中企海外并購金額最多的地區，2018年達659.4億美元，同比增長37.9%，占中企全球并購總額的六成；中企在北美洲的海外并購金額達156.5億美元，與2017年持平。參見中華人民共和國商務部.中國對外投資發展報告(2018)[EB/OL].商務部網站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.。

⑥ Data Protection Full Handbook[EB/OL]. https://www.dlapiperdataprotection.com/,2019-2-3.

⑦ Federal Trade Commission Act,15 U.S.C. §§ 41-58.

⑧ Gateway Learning Settles FTC Privacy Charges Company Rented Customer Information it Pledged to Keep Private[EB/OL].https://www.ftc.gov/news-events/press-releases/2004/07/gateway-learning-settles-ftc-privacy-charges,2019-2-3.

⑨ Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises[EB/OL]. https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep, 2019-2-3.

⑩ FTC Cases and Proceedings[EB/OL]. https://www.ftc.gov/enforcement/cases-proceedings, 2019-2-3.