GDPR实施之后我国应该如何应对

林 麟 中国信息通信研究院数据研究中心工程师

1 宗旨和适用范围

在历经两年的过渡期后，被称为欧盟有史以来最严厉的网络数据管理法规《通用数据保护条例》（General Data Protection Regulation，GDPR）于2018年5月25日直接在欧盟全体成员国正式生效。GDPR是欧盟立法机构于2016年4月通过的，对1995年制定的《数据保护指令》（以下简称《指令》）进行了全面升级，标志着欧盟对个人数据的保护掀开了新篇章。

1.1 立法宗旨

GDPR强化了自然人的个人数据保护权，协调了现有的各类数据保护规则，简化了跨国公司的合规程序，是一部适应信息和通信技术发展和应用外部环境的个人数据保护法。该法不仅是立法形式上有所变化，而且还在强化数据时代的公民基本权利的同时为欧盟企业提供单一数据规则，提升企业在数据经济中的创新能力和竞争力。GDPR确立了保护欧洲公民的基本权利与促进数据流通并重的立法宗旨。

在欧洲，个人数据保护权是一项公民的基本权利，GDPR毫无疑问旨在强化对公民这一权利的保护。欧盟委员会（European Commission）发布的改革公告中也指出，无论数据是在哪里被处理的，有超过90%的欧洲公民渴望在整个欧盟范围内具有相同的数据保护权利。个人数据保护权已经被欧洲广泛接受为一项公民的基本权利，GDPR则旨在强化对公民这一权利的保护，如GDPR在进一步确认和完善个人既有的权利外，还增加了被遗忘权、数据可携权等权利，给予个人对数据更有效的控制。同时，GDPR对个人数据权利的保护并非绝对的，同时也注重促进个人数据在欧盟境内的自由流通，如GDPR建立了单一法律规范，使欧盟企业开展商务活动变得更加简单和成本低廉；要求各国设立数据监管机构，是为了使企业节省不必要的行政和企业开支；鼓励企业在产品和服务开发较早阶段嵌入保护机制（Privacy by design），除了保护个人数据，也能够提高企业的竞争力。

1.2 适用范围

GDPR在第2条中对其适用范围做出了相应的规定，明确GDPR适用于全部或部分通过自动化手段进行的个人数据处理行为，以及通过自动化手段以外的其他方式进行的、构成或旨在构成存档系统一部分的数据处理行为，这里的数据处理包括了数据收集、记录、组织、建构、存储、改编或修改，恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作。

另外，根据第3条的规定，GDPR适用范围极广，除了适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理（不论其实际数据处理行为是否在欧盟内进行外），如果存在以下几种情况，即使控制者和处理者没有设立在欧盟内，GDPR同样适用于其对欧盟内的数据主体的个人数据处理：向欧盟境内数据主体提供商品和服务的（不论该商品或服务是否需要支付对价）；监控数据主体在欧盟境内行为的；对个人数据的处理由欧盟外控制者进行，但根据欧盟成员国法律可以通过国际公法适用于该控制者所在地的。同时，GDPR还适用于非设立于欧盟境内但根据国际公法的规定适用成员国法律的数据控制者所进行的个人数据处理行为。

GDPR较广的适用范围将对中国企业的移动应用安全、数据收集、处理和交易产生重大影响。例如，一家中国的电子商务公司在中国境内为欧盟数据主体提供电子商务服务，收集有关个人数据，也应当遵循GDPR的相关要求。

2 具体规则

GDPR完善了数据主体的权利，除规定了95指令中已有的知情权、访问权、纠正权等，还增设了一系列新的权利给数据主体，例如删除权（被遗忘权）、限制处理权、持续控制权（数据可携权）和拒绝权等。我国《网络安全法》（以下简称《网安法》）及2017年发布的《信息安全技术个人信息安全规范》（以下简称《规范》）中也规定了数据主体的多项权利，但与GDPR规定的内容及保护程度存在差异。

2.1 知情权

知情权是数据主体行使权利的前提和基础，没有知情权这一基础，数据主体就无法有效地参与到其个人数据的收集利用活动当中，控制者也就缺乏了相应的监督。根据GDPR相关条文的规定，在收集阶段，不论控制者是否从数据主体处直接收集其个人数据，都要向数据主体告知收集处理的目的、处理的合法性基础等内容；在利用阶段，控制者要将GDPR规定的数据主体享有的权利告知数据主体；在发生了个人数据泄露的情形时，控制者要及时告知数据主体相应的泄露情形、可能产生的后果等信息。我国《网安法》仅原则性规定应公开收集、使用规则，明示收集、使用信息的目的、方式和范围，而《规范》中列举了更详细的要求，如规定“隐私政策”涵盖的具体范围与GDPR要求的直接收集时的告知范围大致相同。但在间接获取个人信息时，《规范》没有像GDPR一样规定获得个人数据的一方要告知数据主体并征得同意的义务，而是规定了发起共享、转让的一方的义务——其应当先进行个人信息安全影响评估，向数据主体告知并征得明示同意，同时承担造成损害的责任。另外，《网安法》和《规范》均没有规定免于告知的情形。

2.2 访问权

访问权是知情权的延伸，指的是数据主体有权从控制者那里获取其个人数据是否被处理的相关信息。为了防止数据主体不合理的过多请求增加控制者的负担，GDPR规定了对于数据主体重复要求获取副本的，控制者可以要求其支付合理的费用。同时，数据主体的这一请求不能对他人的权利和自由产生不利影响。我国《规范》框架下应数据主体的要求允许访问的范围远小于GDPR的范围，仅限于个人信息或类型、来源、目的、已经获得上述信息的第三方身份或类型。而且，就信息主体的访问请求，《规范》规定控制者可以综合考虑后决定是否响应。

2.3 更正权

更正权是指数据主体在其个人数据被收集、处理后，有权要求控制者更正与其相关的错误的个人数据或者完善与其相关的不完整数据。《网安法》原则性规定“发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正”，《规范》中亦没有对这一权利进行更多拓展。

2.4 删除权

删除权，也被称为被遗忘权，是指在特定的情形下，数据主体有权要求控制者删除与其相关的个人数据，但是为了保障一些社会公共利益，在特定的情形下又会反过来禁止被遗忘权的行使，GDPR中规定了6种可以行使被遗忘权的情形，包括：数据对于收集或者处理时的目的已不再必要；数据主体撤销同意，且没有其他支持个人数据处理的法律依据时；数据主体反对处理，并且数据处理没有合法性依据的；个人数据被非法处理；基于遵守欧盟或成员国法定义务需要清除个人数据；收集儿童个人信息的。我国《网安法》和《规范》中只规定了两种情形下可以行使删除权，即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息。

2.5 限制处理权

限制处理权可以看做是对删除权的一种补充，是在被遗忘权不适用或者不能直接适用时，去保护数据主体权益的一个手段，指的是在一些情形下（如数据主体质疑数据准确性，数据控制者核实准确性的期间），数据主体可要求数据控制者停止处理数据，除非征得数据主体同意或为了重要公共利益等原因。我国《网安法》和《规范》中没有规定此项权利。

2.6 持续控制权

持续控制权就是我们通常所称的“数据可携权”，主要包括两个方面的内容：一是当个人数据以电子化方式处理时，数据主体有权获得副本并进一步使用，也即数据主体有权下载其个人数据；二是数据主体有权以通用的电子格式的形式将个人数据和由数据主体提供并被自动处理的其他信息传输给第三人，并且不得被阻碍。这是GDPR新创设的结果之一，体现了欧盟希望积极进行数据流通，从而创造更多的价值，促进大数据时代的发展。《规范》规定了该权利，但可携范围仅限于个人基本资料、身份信息、健康生理信息和个人教育工作信息。

2.7 拒绝权

拒绝权需要结合GDPR第6条数据处理的合法性基础来看，是指如果数据处理的合法性是基于公共利益，或者官方职权的，或者控制者或第三方的合法利益，数据主体可依据其自身情况反对数据处理，包括用户画像。此时数据控制者必须停止处理，除非其有极具说服力的、高于数据主体的权益和自由的理由，或者是为了法律索赔或应诉。另外，如果数据处理是为了直销的目的而进行的，数据主体有权随时拒绝与此目的有关的数据处理，包括与直营有关的用户画像。《规范》没有提及这一类拒绝权。GDPR规定的第一类拒绝权针对的是基于公共利益等合法性基础处理信息的情形，而《网安法》规定了同意是收集个人信息的前提，不存在基于其他基础收集个人信息的情形，《规范》中只有撤回同意权，没有另外的反对权。

GDPR归根结底是一部欧盟层面的规范，然而欧盟各成员国都有自己的不同传统和立法，因此为了尊重各国的司法差异，GDPR规定成员国可以通过立法的途径来限制上述的数据主体享有的权利，但这些限制应当局限在国家安全、防卫、公共安全等方面。

3 应对建议

GDPR生效后，有必要针对其规定采取相应措施。一方面，在欧盟开展业务的我国企业应当做好合规审查，应对欧盟执法。另一方面，我国政府相关部门应加强管理，强化我国的数据安全监管，同时应当顺应时代趋势，制定个人信息保护相关立法，并处理好对外贸易谈判等事宜。

3.1 强化中欧政府间谈判交流

为应对GDPR对我国可能造成的不利影响，有必要加强中欧国际磋商和政治谈判，梳理化解中国法律和GDPR的冲突。首先要在中欧BIT谈判等双边谈判中，增加个人数据保护议题，在经贸合作的宏观视角下，寻求双方的共识和争议的解决。其次要针对GDPR本身，努力促成中欧数据流动“隐私盾”协定，建立专门机制打通中欧数据流通渠道，为我国企业提供更多的、符合实际需求的跨境转移合同文本选择。最后要争取针对技术创新和中小企业保留例外条款，避免GDPR限制人工智能、区块链等技术的创新发展，打造良好的数字经济市场生态。

3.2 建立国内数据分级分类管理制度

从保护和利用的平衡角度出发，建立分级分类管理标准和制度，对不同类型、不同级别的数据采取不同的监管手段。实施大数据等级保护制度，按照行业领域、数据价值、数据特征等属性进行分类管理，强化落实数据脱敏、信息定密、风险评估、数据流控、事态预警和应急处置等“事中、事后”监管措施，建立健全大数据保护的考核评估机制，将数据采集、存储、分析、挖掘、使用、传输、开放等全生命周期的关键环节纳入监管范围。通过数据分级分类制度，明确我国《网络安全法》框架下个人信息、重要数据的具体范围界限和管理要求，以进一步协调我国国内法与GDPR衔接的关系。

3.3 完善国内个人信息保护立法

GDPR的出台和实施是个人数据保护统一立法的典型代表，制定统一的个人信息保护法也是我国个人信息保护和社会经济法发展的现实需求。首先要切实回应社会关注。近年来不断发生的个人信息泄露事件引发高度关注，制定一部统一的个人信息保护法成为社会各界的一致呼声；其次要有利于从国家层面明确重大问题和基本制度。通过制定统一的个人信息保护法，明确企业收集和使用个人信息的基本规范，并对数据跨境流动规则等基本问题作出回应；最后要促进我国互联网产业做大做强，通过国家明确的个人信息保护政策为我国的互联网企业明确行为指引，为其开拓海外市场提供良好的信誉保证。

3.4 推动国内企业自主合规管理

在欧盟开展相关业务的中国企业，有必要提高认识，结合自身业务情况，由内而外积极采取多种应对措施。首先要全面进行合规评估及分析。理顺业务流程及架构，明确业务中收集、处理的数据类型以及数据存储、使用的现状，对照GDPR的要求，全面厘清业务合规漏洞；其次要加快满足合规要求。尽快从技术要求、制度建设、流程完善三个方面制定整改方案并实施，满足合规要求；最后要加强沟通与协作。加强与欧盟相应执法部门的协调与交流，存在合规困难的中小企业必要时可向我国政府寻求帮助，由政府建立相应指导机制，缓解自身合规压力。