欧盟《一般数据保护条例》（GDPR）与中国应对

（北京师范大学，北京 100875）

2018年5月25日，关于个人数据（个人信息）保护的欧盟新一代制度规范《一般数据保护条例》（以下简称：GDPR）将全面施行。这是欧盟数据治理的里程碑事件，在信息系统和数字经济改造人类生活的时代大潮下，其超越成员国个别立法、统一个人数据保护路径、改变个人数据流转走向，进而深度修正欧盟数据治理的规范趋势，也将对全球数据治理生态产生广泛、深刻的影响。

对于我国各类主体（尤其包括网络企业）而言，首先需要正视的是，GDPR对于欧盟境外的数据治理格局所带来的重大发展。尤其是其明确规定即使是欧盟境外的主体在特定条件下也必须遵循GDPR的相关规范，这在数字化业务乃至交易形式日趋多样化的技术背景下，迫使我们必须考虑、评估GDPR的适用可能性及其实际影响力。

1 GDPR的出台背景以及价值诉求

自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通过以来，欧盟委员会乃至欧盟内部经历了前所未见的游说博弈过程，反映了GDPR本身并非纯粹的个人数据规范，而是深层次融合了国际政治博弈、产业经济竞争以及社会文化扩张等诸多元素的复杂综合体。

究其直接目标和价值诉求而言，一方面，欧盟委员会公开宣称GDPR首先旨在建设现代化的个人数据治理规范机制、确保欧盟公民和居民对于自身个人数据享有充分的控制权，同时通过协调、简化现行的“数字单一市场”体系在欧盟体制内建设统一的规范框架进一步改善监管环境，以期降低个人数据处理主体的合规风控成本，进而助益包括跨国企业在内的商业主体的业务运营。

另一方面，在欧盟现行政策法律框架下，个人数据保护问题一贯被统摄于欧盟“数字单一市场”建设进程中，与其他元素共同服务于欧盟在数字经济中谋求世界级领袖地位的总体布局。

此外，不容忽视的是，就目前而言GDPR并非孤立的制度安排，而是与欧盟《2016年网络与信息系统安全指令》形成欧盟网络法制框架的“双剑合璧”，借以在网络系统安全和基本权利保障两个层面通过灵活的变化组合实现欧盟网络治理的多维战略意图。

2 GDPR的规范革新以及主要内容

关于GDPR制度规定的革新意义，需要指出的是，当下欧盟地区整体信息化水平广泛提升，随着智慧移动终端、云计算、大数据以及数字单一市场的深入发展，互联网金融以及跨境电商等新经济样态层出不穷，造就空前机遇的同时也带来了空前的风险。而原先以《1995年个人数据保护指令》（个人数据保护“母指令”）以及后续一系列欧盟指令（尤其是2002年电子隐私指令，又称个人数据保护“子指令”）为主干规范所建构的个人数据保护体系在实际适用过程中日益暴露其局限性，相对欧盟内外各利益相关方的价值诉求呈现渐趋背离的态势。可以认为，GDPR是对现行欧盟《1995年个人数据保护指令》的全面革新，是历史上第一次在欧盟全境实现了个人数据保护规范的协调统一。

就宏观制度建构而言，GDPR对于日益多样化的利益诉求（公民权利、经济自由、数据主权、公共安全等等）在不同产业、不同情境中有着弹性、动态的取舍平衡，由此决定了GDPR的规范特色：（1）强化个人的权利内容；（2）突出欧盟内部市场的价值位阶；（3）提升规范落实的保障能力；（4）改进个人数据跨境传输的流程管控并建构全球数据保护标准。

就微观规范设计而言，需要注意的是，根据GDPR的条文设计，欧盟个人数据治理的制度规范将扩展适用于处理欧盟公民和居民个人数据的所有外国主体。同时，为应对数字经济发展、数据价值日增的新技术趋势，GDPR为欧盟公民和居民提供了一系列新型“数字权利”，包括被遗忘权、数据可携权等等。此外，GDPR还引入了极为严格的数据保护合规要求，并通过最高处罚为涉事主体全球营收总额4%的惩罚机制予以强化。

具体而言，值得给予特别关注的GDPR制度规范包括以下各条文规定：（1）强化对数据持有第三方的监督（第7条）；（2）设定儿童保护特别规则（第8条）；（3）更高标准的权利人被告知权（第12-14条）；（4）正式确认被遗忘权（第17条）；（5）规定携数据更换服务提供者权利（第20条）；（6）更清晰的数据挖掘限制规则（第21条）；（7）引入严重数据侵权事件的知情权（第33、34条）。

3 GDPR的实施态势以及国际影响

需要强调的是，对于GDRP各项制度规范落地执行的研判，绝不能仅依靠对GDRP各项条文的纸面解读。根据欧洲数据保护署（EDPS，2018年5月25日后成为欧洲数据保护局EDPB的常设秘书处）的工作设想，后续的实施执法将呈现以下态势：

（一）对于未来GDPR实施工作的基本立场是遵循欧盟委员会有关数字单一市场的总体安排，以保护欧盟公民和统一市场为直接目标指向；贯彻落实GDPR规范内容的主要切入点是里斯本条约等确认的个人数据权等“基本权利”的保护，由此后续设计更为具体的实施细则以及合规指南；

（二）相对于欧盟《1995年个人数据保护指令》，欧盟全境范围内有关个人数据保护的执法力度在2018年5月25日后会绝对加强，构成欧盟各成员国必须履行的、不可克扣的政治责任；关于GDPR的具体执法力度，依据欧盟委员会目前确定的口径，总体强度将类似于欧盟目前有关反不正当竞争、反垄断领域的执法力度；

（三）在执法机制上，GDPR的执法凭借主要是各国个人数据保护署（DPAs），但强调“一站式”执法模式，也即由某执法对象（例如某跨国公司）主要营业地的成员国个人数据保护署履行主要的监管保护职能；在欧盟整体层面，2018年5月25日后，欧洲数据保护局（European Data Protection Body，EDPB）正式投入运行，其主要组成成员包括各国个人数据保护署及其代表，主要职能在于协调成员国个人数据保护署的执法工作；

（四）在国际冲突博弈方面，由于GDPR的域外管辖条款是全新的制度设计，预计在实施过程中会遇到较大的反弹，目前主要外部压力来自美国和英国方面，为此GDPR实施过程中会根据实际情况进一步考虑弹性的执法机制，例如充分发挥“约束性公司规则”和“标准条款”两个机制的弹性功能，以减少法定强制条款（例如“充分性认定”机制）的适用情形。

在此基础上，可以预见GDPR的全面施行可能产生的主要国际影响包括：①对网络新技术新应用研发造成重大影响，尤其是大数据、云计算以及人工智能等深度依赖数据处理的新业务样态将承受GDPR的规范约束；②对包括中国企业在内的全球数据处理主体的业务运营模式造成重大影响，尤其是GDPR引入“设计隐私（Privacy by Design）”数据保护机制，使得域外主体在业务合规过程中被迫接受欧盟数据治理理念；③对国际数据治理生态造成重大影响，特别是GDPR以个人数据跨境制度为有力抓手，直接制约了他国的数据治理制度建设。

4 GDPR的中国应对与策略建议

面对欧盟通过GDRP的法律制度设计强化数据资源控制的新态势，立足于维护我国数据主权的基本价值立场，为更有效地实现国家对数据的最高控制权，有必要统筹研判数据主权和数据治理的内在逻辑联系和外在规范支撑，尤其需要考虑以下述四个方面的工作作为进一步构想我国具体对策的有力抓手：

（一）实时追踪的全球规则变动研判。新技术—经济条件下，数据主权已经成为包括欧盟在内的国际各方高度关注的全球性问题，各方立足自身实际情况和政策基准制定这一领域的规制规范，会对他国产生“规范溢出”的影响，同时也无可避免地会受到他国规则的反向制约。

由此意味着我国在加速建构、完善相关制度过程中，非常有必要重视实时追踪更新的全球规则变动研判，即时发现国际博弈各方的力量对比变动，既为有效借鉴域外有益经验，更是为了及时调整内国规范、有效应对国际挑战。

（二）围绕价值的顶层设计建构。数据主权事关国家的安全与主权，有效的规则体系的建立需要指向明确、逻辑清晰的顶层制度设计。在此环节，应当在网络安全、信息安全的高度将数据的可控性、可用性、完整性与保密性四项核心诉求作为价值出发点与落脚点。

与此同时，作为顶层设计的重要组成部分，有必要专门授权成立专业、独立的数据监管机关，负责数据规范的具体落实、数据传输的国际协调以及数据安全的风险评估等职能活动，确保在该领域可以保持不间断的能力建设，也能更好的完成国际博弈任务。

（三）依据性质的差别规范设计。在具体制度的规范设计层面，需要特别注意数据领域的特殊性，尤其是数据的性质、种类等问题。申言之，在网络空间中流动的数据并不都具有相同的意义，特别地，在普通数据与敏感、战略性数据之间有着显著的价值差异。

为此，通过加速我国个人信息专门立法进程，一方面引入有关数据治理的一般性、普遍性规则，就该领域的共性问题做详尽的规定，另一方面有必要就特定种类的敏感、战略性数据差别设计相应的特别规范，从而提升、强化针对某些特殊环节、要素的规制保护力度。

（四）基于行业的利益平衡规则。毋庸置疑，数据在信息社会2.0的今天具有全行业的基础性意义，是几乎所有行业良性发展的物质基础。而各行业部门内部实际上有着不同的利益结构，在交通、电商、医疗、教育以及征信等不同的领域，国家主权、公共安全、公民权利与经济收益等要素在不同历史阶段有着不同的内涵与权重，需要配备针对性的规范。

因此，就数据主权问题付诸治理实践时需要深入考察我国具体行业领域的实际运行情况，及时在法律条文规定中体现其现实情况和态势更新。总而言之，在数据治理国际博弈过程中需要通过成文规范、技术标准以及司法判例等多重资源更多、更灵活地导入利益平衡规则，为具体时刻、具体部门提供更具个性化的规范解决支撑。