厘清欧盟GDPR六大认识误区

误区1 会限制经济社会发展

《条例》要求，不能以保护个人数据为由，对欧盟内部个人数据的自由流动进行限制或禁止。《条例》认为，数据主体享有的权利并不是绝对的，有关数据权利应当与其他权利及正当利益之间形成恰当的平衡关系，以更好地促进经济社会发展，比如公共利益、科学研究、社会统计、言论自由、新闻传播、个人其他权益等需要。

为此，《条例》应兼顾平衡，对个人数据保护权利作出适当限制，对义务、责任予以适当豁免。例如，数据访问权、被遗忘权、数据可携权等条款，均要在有限定条件下实行，规模在250 人以下的中小企业可以豁免其数据活动文档化记录义务，引入多种变通机制来调和不同权利，在原则性禁止条款中设置用户同意例外。

误区2 個人信息使用必须征得个人同意

《条例》未将用户同意作为数据收集和使用的唯一合法理由。考虑到数据处理的多种可能场景以及其他正当利益需求，除了数据主体同意之外，《条例》还规定了五类个人数据处理情形，可以默认为“同意”的替代机制，包括：数据控制者为了公共利益或履行法律职责的需要，为了履行数据主体所参与的合同，为了保护数据主体或其他自然人的核心利益，保护数据控制者或第三方所追求的正当利益等五种情况。

误区3 个人随时可以主张删除数据

《条例》提出的“被遗忘权”，是指当用户依法撤回同意或控制者不再享有合法理由继续处理数据等情形时，用户有权要求删除数据，该权利是传统个人数据保护法中“删除权”的升级。《条例》要求数据控制者采取所有合理方式予以删除，并通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接等。但在开放的网络空间，要控制者去确定并通知所有第三方删除，操作难度非常大，几乎难以完成。此外，《条例》规定了不适用“被遗忘权”例外情形，包括基于表达自由、信息自由、公共利益、履行法律职责、历史记录、社会统计、科学研究、合法权利等多种情形。

误区4 数据可携权无条件限制

《条例》明确了个人有权获得其提供给数据控制者的相关个

人数据、且获得的个人数据应当是结构化的、普遍可使用的和机器可读的。同时，《条例》也明确了“可携权”适用的两个限定条件：在“用户同意”基础上的数据处理活动和处理通过自动化方式完成。《条例》同时要求可携带不能对他人的权利或自由产生负面影响，对于涉及到其他第三方个人数据的数据转移，只能将此类数据用于个人和家庭事务目的。《条例》同时认为，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输给另一个控制者，考虑到技术可行性，《条例》并没有将可携权上升到推广强制性的互兼容和互操作技术标准的程度。

误区5 数据跨境传输比以前更为严格

《条例》对跨境数据流动政策进行了大幅度改革，开辟了更多的合法数据跨境方式，提升跨境流动的灵活度。针对事前许可制度却带来官僚主义问题，《条例》简化了数据跨境传输机制，取消许可管理做法，只要符合了《条例》中跨境数据流动的相关条件，成员国则不得再通过许可方式予以限制。增加了充分性认定的对象类型，除了国家之外，还可针对一国的特定地区、行业领域，以及国际组织的保护水平作出评估判断。扩展“标准合同条款”，为企业提供更多符合实际需求的跨境转移合同文本选择。将“有约束力的公司规则”正式确定为法定有效的数据跨境机制，使得个人数据可以从集团内的一个成员合法传输给另一个成员。

误区6 数据控制者权益被极大剥夺

《条例》将数据控制者的正当利益与用户同意并列作为数据处理的合法理由，表明了个人的权利并不总是优先，而是需要在用户个人权利与数据控制者的合法利益之间做出平衡。比如，在下列情况下，数据控制者的权利将得到法律保护：基于交易历史的直接推广、以预防欺诈为目的的数据处理活动、出于保障网络信息安全目的处理个人信息、在集团或者系统内部出于行政管理需要的数据披露、向主管部门报告犯罪或者公共安全重大威胁。（赛迪研究院 陆峰）