论数据保护权作为一项基本权利
——以《欧盟一般数据保护条例》为分析对象

陈炜权，赵 波

(荷兰蒂尔堡大学 法学院， 荷兰 蒂尔堡 55000 LE)

数据保护权是《欧盟基本权利宪章》(简称“《欧盟宪章》”)第8条规定的一项欧盟法律下的基本权利，已经为欧盟成员国宪法以及欧洲法院判例法所确认。在全球经济和社会日渐数字化、联系日益密切的背景下，该权利的行使，以及(处理欧盟居民个人数据的数据控制者和处理者(data controllers and processors))相应义务和责任的履行至关重要。作为在数据保护领域一部领先的综合性法律，《欧盟一般数据保护条例》(简称“《条例》”)不仅将促进欧盟境内的数据流通，也以通过赋予数据主体一系列具体权利的方式，第一次系统地将这项抽象的个人权利具体化，并为之建立了一套严格的法律实施体系来保护数据主体的权利。这些具体权利包括：访问数据的权利(the right to access data)，数据可移植的权利(the right to data portability)，明确同意(以及撤销同意)权(the rights to consent and withdrawal of consent)，数据修正权和数据删除权(被遗忘权)(the rights to correction and deletion, or to be forgotten)等。同时，《条例》详细规定了监管机构的调查权(power to conduct investigation)、行政处罚权(the power to sanction)等，并直接赋予数据主体就个人数据侵犯向法院提起诉讼的权利。此外，《条例》明确保护欧盟境内所有数据主体，不论数据主体的国籍，同时也规范向欧盟境外进行的数据转移。因此，《条例》适用于不在欧盟境内，但处理欧盟境内自然人个人数据的数据控制者和处理者(data controllers and data processors)。

显然，我国境内数据控制者和处理者处理《条例》保护之欧盟居民个人数据的，就在《条例》管辖范围之内。它们的此类数据处理行为将直接受到《条例》的影响：如果不能符合《条例》要求处理数据，就会违反《条例》，理论上将面临的不利后果包括高额的行政罚款或其它惩罚措施，以及在欧盟境内受危害的数据主体所提起的诉讼。在西方各国对我国电子产品的安全和隐私保护的担忧日渐增加，尤其是在可能涉及国家安全和商业机密的情形下，这会引起我国与欧盟(成员国)之间法律和管辖权冲突，引发外交问题，甚至潜在的政治担忧[注]从美国政府出于国家安全对中兴和华为的监管可见一斑，尽管此事在欧盟较少得到关注。(参见：Matthew Yglesias. Trump helps sanctioned Chinese phone maker after China delivers a big loan to a Trump project[EB/OL].(2018-05-15)[2018-06-17]. https://www.vox.com/policy-and-politics/2018/5/15/17355202/trump-zte-indonesia-lido-city.)。

这个重要的问题无疑应当得到中欧两方法律界的全面关注。首先，我国是欧盟第二大贸易伙伴，而欧盟也是我国最大的贸易伙伴。鉴于双方目前仍在持续增长的贸易、经济、教育和政治交流和联系，大量的跨境数据转移现象是不可避免的[1][注]参见：http://ec.europa.eu/trade/policy/countries-and-regions/countries/china.。其次，当众多数字经济市场巨头为了提供更好的商业服务或者降低成本等，相互之间进行跨多平台、行业和国境分享和处理个人数据时，面向我国的跨境数据转移，很可能以人们预期之外的、不为人知的方式进行，从而引发数据和隐私保护之外的顾虑。例如，最近据美国媒体报道，Facebook自2010年起就至少与4家我国电子数码公司有着数据共享合作关系，其未经用户同意，为华为、联想、Oppo和TCL获取用户数据提供了非公开访问渠道。该数据共享允许这些中国合作伙伴从电子设备用户和所有其它合作伙伴处获取详尽的个人数据，涉及到宗教和政治倾向、工作与教育背景，以及社会关系状况。该数据共享也涉及到其它服务商，如亚马逊、苹果、黑莓以及三星[注]让很多用户担忧的是：是否这些共享的数据被传输到了中国的服务器，或者传输给了第三方，尽管Facebook坚称所有应用程序的数据均储存于华为设备中，而非华为服务器上。(参见：Liao Shannon. Why Facebook’s secret data-sharing deal with Huawei has the US concerned[EB/OL].(2018-06-05)[2018-06-12]. https://www.theverge.com/2018/6/8/17435764/facebook-data-sharing-huawei-cybersecurity; Michael LaForgia & Gabriel J. X. Dance. Facebook Gave Data Access to Chinese Firm Flagged by U.S. Intelligence[N/OL].(2018-06-05)[2018-06-12]. https://www.nytimes.com/2018/06/05/technology/facebook-device-partnerships-china.html.)。可以设想，当欧盟数据主体在使用华为或其它我国电子产品时，相似情况可能会发生，他们的数据将被访问、共享并被分析。最后，当司法管辖权不再仅仅是一个法律问题，而更趋向于政治化和外交化时，一个重要的顾虑就是欧盟在多大程度上能在欧盟境外保护其公民的(作为基本权利的)数据保护权。此外，在一个联系日益密切的世界中，《条例》的实施会对我国境内公共和私营部门产生其它间接影响。这意味着我国为了顺利实现全球经济扩张、扩大国际影响力并增强软实力，就需要认真考虑提升国内数据和隐私法律保护水平，以消除国外市场的疑虑，并增进欧盟消费者的信任。其中一个重要的指标就是国内数字化产业，尤其是我国数字巨头，以及我国管理部门对《条例》规定的数据保护权的态度。无疑，尊重数据保护权，以《条例》为基准和参考，提高我国数据保护立法和实践，将为我国企业赢得更多的信任和更广阔的海外市场。

由此，本文旨在探索数据保护权作为一项基本权利的情形下，《条例》作为一项具有全球影响力的欧盟立法，对我国企业产生的影响和应对策略。第二节将简要介绍在欧盟法律框架下，作为一项基本权利的数据保护权的发展、特征和内容。第三节将概述《条例》所确立的数据保护机制，尤其是数据主体拥有的不同具体权利，以及数据控制者和处理者的相应义务。第四节将具体分析《条例》对我国境内的数据控制者和处理者的域外适用，以及在主要的数据处理具体情形中，它们的相关数据保护角色和义务，尤其是《条例》对它们出于合规而进行的数据处理操作要求，以及潜在成本的影响。最后，本文尝试为我国境内的数据控制者和处理者提供一些合规建议，以更好地应对《条例》对其数据处理操作实践产生的影响。

一、数据保护权作为一项基本权利

《欧盟宪章》[注]《欧盟宪章》不同于传统的人权法律文件，例如《欧洲人权公约》，它不是一部普遍适用且独立存在的人权法案；它仅仅在欧盟机构和成员国实施欧盟法律时适用。欧盟和欧盟成员国法律应当依据《欧盟宪章》并将《欧盟宪章》作为最低要求，欧盟法和欧盟成员国法律中的规定与《欧盟宪章》相冲突的，不得适用。(参见：Menno Mostert, Annelien L. Bredenoord, Bart van der Sloot, Johannes J.M. van Delden. From Privacy to Data Protection in the EU: Implications for Big Data Health Research[J]. European Journal of Health Law, 2017, 25(1): 4-5.)第8条规定：“任何人都享有对关乎自身的个人数据的保护权利”以及“该数据应当基于特定目的和相关个人的同意，或者其它法律规定的合法依据，适当地予以处理[注]参见：Charter of Fundamental Rights of the European Union, Article 8.。”《欧盟运行条约》第16条第1款规定，任何人都享有对关乎自身的个人数据的保护权利[注]参见：Treaty on the Functioning of the European Union, Article 16.1.。这项独立于隐私权的权利的创设，是欧盟法律制度的一个突出特点：它将数据保护提升至欧盟法律体系中受到最高保护的基本权利层面。尽管这项权利在其它法律体系甚至是欧盟中是否作为基本人权，可能还或多或少存在争议[注]总体而言，Bart van de Sloot反对赋予数据保护权作为基本人权的法律地位，包括: a)大多数数据保护的内容都没有人权或基本权利的潜在含义；b)数据保护规则的目的之一在于方便数据处理活动，并确保这些活动以合理、适当地方式进行；c)《指令》和《条例》更类似于市场法规而非传统人权法律文件。(参见：Bart van de Sloot. Legal Fundamentalism: Is Data Protection Really a Fundamental Right?[M]// Leenes R., van Brakel R., Gutwirth S., De Hert P. (eds). Data Protection and Privacy: (In)visibilities and Infrastructures. Springer, Cham, 2017: 19-28.)。因为在欧盟法中，基本权利一词一贯有所指代，而并非明确是人权和宪法权利的同义词[2]14。

但是，数据保护权在欧盟并不完全是“新权利”。数据保护权可以部分地从北欧国家的数据保护规则, 欧洲委员会对数据处理的决议, 以及从美国对公平信息实践原则的实现中找到根源[2]7。在早期阶段，欧盟数据保护立法以规范市场和促进信息自由流通为导向，而且在欧洲委员会处理人权保护问题时，数据保护规则主要是为了保障数据处理活动的公平和细致性[注]欧盟规范其统一市场的方式仍然与隐私保护密切联系，这可以在《指令》中略见一斑。(参见：Bart van de Sloot. Legal Fundamentalism: Is Data Protection Really a Fundamental Right?[M]// Leenes R., van Brakel R., Gutwirth S., De Hert P. (eds). Data Protection and Privacy: (In)visibilities and Infrastructures. Springer, Cham, 2017: 7.)。当欧盟开始进行数据保护时，最初的数据保护规则就来源于市场规则。数据保护权一开始是与隐私权密切相关的，这在《欧盟数据保护指令》(以下简称《指令》)中得到了充分体现[2]7。

在《条例》起草的最后版本中，隐私权未被提起，数据保护权从而最终同隐私权保护脱离。《条例》第1条第2款规定：“本条例保护基本权利和自然人自由，尤其是自然人的个人数据保护权利。” 不同于《指令》，《条例》中数据保护权的法律基础是《欧盟运行条约》第16条，该条款规定：任何人都享有同自身相关的个人数据的保护权利。第16条还规定欧洲议会和欧洲委员会在以下情况，应当制定规则保护个人数据：当欧盟机构、组织、代理机构，以及欧盟成员国依据欧盟法律和有关数据自由流通的法律，开展涉及个人数据处理的活动时[注]参见：Treaty on the Functioning of the European Union, Article 16.。数据保护权和隐私权保护的分离，还可以从2000年颁布，并于2009年生效的《欧盟宪章》第8条中找到依据。至少从术语层面而言可以清楚地看到，数据保护已经完全和隐私权脱离[2]7。

数据保护权作为一项基本权利在欧盟享有最高级别的法律保护，欧盟有明确的法律义务来规范数据保护领域[2]8。数据保护权不是“新权利”，还体现在欧盟法院的判例中。欧洲法院在Schrems, Google Spain和Coty案中，将《指令》溯及既往地解释为适用《欧盟宪章》第8条的一种通常方式[注]在Coty一案中，法院认为《指令》应当作为《欧盟宪章》的具体应用。(参见：Gloria González Fuster, Rapha⊇l Gellert. The fundamental right of data protection in the European Union: in search of an uncharted right[J]. International Review of law, Computers & Technology, 2012, 26(1): 73-82.)。与早期不愿提及数据保护权的做法相反，欧洲法院在2008年的Promusicae一案中，直接引用了数据保护权这一概念[注]参见Promusicae v. Telefo nica de Espan a, C-275/06.。自2010年的Eifert判决起[3]132，欧洲法院开始在多种场合讨论涉及到数据保护的问题[4]。在2010年判决的Voker and Markus Schecke GBR and Hartmut Eifert v. Land Hessen这一合并审理案件中，欧洲法院明确提出个人数据保护是基于《欧盟宪章》第8条第1款设立的一项基本权利，并把它同《欧盟宪章》第7条尊重私人生活的权利相联系[注]对欧盟法院如何通过司法解释来确立数据保护权，参见：Gloria González Fuster, Rapha⊇l Gellert. The fundamental right of data protection in the European Union: in search of an uncharted right[J]. International Review of law, Computers & Technology, 2012, 26(1): 76-79.。在Eugen Schmidberger一案中，欧洲法院判定数据保护权不是一项绝对权利，应当结合其在社会中的作用予以具体考虑[注]参见：Eugen Schmidberger, Internationale Transporte und Planzu¨ge v. Republik O¨ sterreich, Case C-112/00, Judgment, at para. 80.。在2011年Deutsche Telekom一案中，欧洲法院明确宣布《指令》的立法目的，是确保个人数据保护权的遵守，这与其以往倾向于主张隐私权不同[注]参见：Deutsche Telekom AG v Bundesrepublik Deutschland, Case C-543/09, Judgment, at para. 50.。从这个判决开始，欧洲法院“依据《欧盟宪章》第8条第1款对数据保护权的表述，不间断地创设个人数据保护权，而第2款第1句则将限定哪些条件下允许进行个人数据处理[4]28”。

尽管在欧盟数据保护权不是绝对的，具有一定的限制[注]根据Bonnici的观点，总体而言数据保护权受到以下因素限制：其社会功能，《欧盟宪章》中阐述的积极权利界限(positive delimitations of the rights)，《欧盟宪章》第52条规定的限制(同意，对基本权利本质、自由和适当性的尊重)，第7条隐私权和第8条的联系，以及当前数据保护二级法律和未来数据保护规范框架的具体规定。(参见：Jeanne Pia Mifsud Bonnici. Exploring the Non-absolute Nature of the Right to Data Protection[J]. International Review of Law, Computers & Technology. 2014, 28(2): 131-143.)，但作为一项基本权利，它正通过欧洲法院近期的判决和立法措施(主要是欧盟二级立法)得到快速扩张[5]。就数据保护权本身而言，不仅权利适用对象的范围在扩张[注]例如，《条例》对个人数据和数据处理的定义，几乎可以包括在当今数据驱动的经济和社会中绝大多数与个人数据相关的处理。(参见：《条例》第4条第1-2款。)，其地域适用范围也延伸至欧盟境外。同很多其它基本权利或利益比较，例如公共安全、信息自由和数据控制者的经济利益，数据保护正变得更为重要[4]814。作为一项基本权利，数据保护权适用于欧盟境内的所有自然人(无论国籍)，所有数据处理操作(除非在欧盟法律适用范围之外)，以及所有个人数据(包括已识别或可识别的个人数据)。该项新权利的现实意义在于一个强有力的法律框架的建立，能应对诸多新技术发展所带来的巨大挑战。这项新权利的创设，还为数据主体的权利主张增加了规范性力量，即： “数据保护作为一项权利的确立，相较于绝大多数其它人权而言，为私营部门设立了更重要的义务[6]。

尽管数据保护权已经被广泛接受为一项基本权利，或者被当作人权的一部分，甚至等同于人权[2]18-19，一个根本问题仍然悬而未决：什么是数据保护权，或者更具体而言，“个人数据保护权由什么构成[3]133？” 对此，学界虽然有深入的讨论，但是没有统一意见。比如，Hondius对数据保护权进行了广泛的定义：在处理个人相关信息时，对个人权利、自由和基本利益的保护，尤其是当由计算机辅助进行数据处理时[7]。而Rodata将这项权利作为隐私概念长期发展历程的终结点，从最初定义的 “别来打搅我” 之权利，提升到控制个人信息并决定如何建构私人领域的权利[8]。然而，尽管大多数学者从隐私保护的角度，或者从《欧洲委员会公约第108号》或《指令》的原则进行定义[3]133，但是对究竟什么是数据保护权的具体内容仍没有统一意见。正如Paul de Hert和Serge Gutwirth所评论的那样：“数据保护是包罗万象的术语，涵盖了同处理个人数据相关的一系列概念。”[9]

二、《条例》：如何在欧盟境外实现个人数据保护？

为解决定义问题，一个可行办法是把数据保护权当作一项综合性权利，从而涵盖一系列的具体权利，以实现和具体化数据保护权。首先，数据保护权由一系列不同欧盟成员国认可的基本价值和利益作为基础，包括隐私、自治、透明、非歧视[6]26和尊严等价值[注]“数据保护权最初孕育于20世纪70年代和80年代，作为对因大规模个人数据处理可能引发的侵犯隐私和尊严的补偿途径。” (参见：European Data Protection Supervisor. Towards a new digital ethics: Data, Dignity and Technology[EB/OL]. (2015-09-11)[2018-06-13]. https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_en.pdf)。这和隐私权相似，都不是单一、具体的权利，而是作为多项利益、自由和法律权利的集合[注]“除了不被观看、听取或直接报导，以及未经请求不受公众关注外，综合的隐私保护权还延伸至其它权利请求。”(参见：Stanley I. Benn. Privacy. Freedom, and Respect for Persons[M]//J. Roland Pennock, John W. Chapman. Privacy and Personality. Taylor and Francis. New York. 2017: 3-4.)。其次，作为一项综合权利，数据保护权由多个具体的权利构成，这些权利在不同数据处理操作的过程中，能保护个人数据的不同方面。正如Bonnici所指出的，这些《条例》设立的具体数据保护规则, 不仅仅赋予数据主体权利，也授予那些独立机构职权，以保障数据主体权利的实现[3]134。

在此背景下，作为欧盟的二级法律，《条例》在数据保护权的建构中扮演着重要角色。它规定了一系列相关具体权利，以具体化并实现数据保护权。许多具体权利已经在其它欧盟法规和不同形式法律文件中得到承认和解释，这包括《欧盟宪章》在第8条(同意)，以及《指令》对通知权、访问权、拒绝权、删除权、修正权和救济权的阐述和确立。但是，《条例》第一次以能直接实施于全欧盟域内的法律形式(条例)和强制力，把所有这些具体权利正式归纳在数据保护权利之下，并建立了强大的权利保护机制作为保障。在欧盟层面，这被认为是欧洲宪法的具体化，从纵向角度看该权利能被用来对抗公共数据控制者和处理者，从横向角度看该权利能对抗私人数据控制者和处理者[10]。

第一，《条例》中各项具体权利，例如访问权、修正权、删除权、拒绝权和同意(以及撤回同意)权，都有数据控制者和处理者明确对应的义务，以帮助数据主体具体行使权利。第二，《条例》为数据控制者和处理者合法、适当地处理数据规定了具体义务，包括通知数据泄露，与有管辖权的监管机构及其它数据保护机构合作，记录数据处理，向数据主体提供必要信息，以及确保数据安全等义务。对向欧盟境外转移数据，《条例》规定了合法转移的具体条件，将数据保护延伸至欧盟司法管辖范围之外，包括适当性保障决定、合理保障，以及特定情形下的克减条款。第三，《条例》建立了一套强大的法律执行机制，要求欧盟成员国建立独立的监管机构行使监管权。同时《条例》还设立了一致性机制(the consistency mechanism)，设立了欧洲数据保护委员会 (the European Data Protection Board， EDPB)作为欧盟层面的最高监管机构[注]“欧洲数据保护委员会”是依《指令》成立的第29条工作组的继任者。，以确保《条例》在欧盟全境的统一实施。第四，《条例》还采用了其它法律、非法律手段促进法律遵守，它们具有柔性法、自我管理或共同管理的特点，以适应成员国内部复杂的商业实践，例如认证机制(certification mechanism)、行为准则 (codes of conduct) 和有约束力的公司规章(binding corporate rules)。此外还专门使用强而有力的规则，来确立数据主体申诉机制，以及对行政处罚和违反《条例》的各种救济途径。

最后，《条例》一个突出特征，就是数据保护监管机构拥有强大的执法权力，包括能对违法者处以高额行政罚款，以确保《条例》在欧盟全境内能得到贯彻执行。欧盟独立的数据保护监管机构可以依据第58条，直接运用调查权对违法行为进行调查(不论是否基于数据主体的请求)，并训诫或纠正数据控制者或处理者的不当行为，要求其依法处理数据[注]有关具体的调查权和纠正权，参见《条例》第58条。。它们可以要求数据控制者和处理者暂停或停止数据处理，基于数据主体请求向其提供信息，以及提供调查所需的必要信息，等等。此外，监管机构还有权处以违法者最高为2000万欧元，或违法者上一年度全球年营业额的4%(取较高额)的行政罚款。数据主体可以依据第79条，向数据控制者或处理者提起诉讼主张损害赔偿。不受《条例》(第84条)约束的数据控制者或处理者，也可能会面临欧盟成员国国内立法所规定的其它处罚[注]参见：《条例》第84条。。

此外，为给数据主体提供更好的救济途径，任何相关数据控制者、共同数据控制者[注]共同数据控制者是指两个或两个以上共同决定数据处理目的和方式的数据控制者。(参见：《条例》第26条)、以及数据处理者，应当首先向遭受损害的数据主体全额支付赔偿，然后可以要求其它责任主体补偿其应当支付的份额，除非责任主体能够证明其无论如何都对造成损害的事件没有责任[注]参见：《条例》第82条。。《条例》另外一个明显的特征，是其广阔的域外适用范围，它要求将欧盟的高保护标准适用至欧盟境外，同时对欧盟境内所有自然人的个人数据予以保护，不论其国籍为何。在法律实践中法律和管辖权的冲突已然成为事实时，尽管对立法要求的个人数据保护如何有效地转化为现实这一问题仍然存在诸多疑问，但毫无疑问，欧盟正在采取各种措施，努力地保护这项基本权利。

在一个全球化、各国联系日益密切的世界中，由于跨境数据传输和处理无处不在，因而作为基本权利的数据保护权将遭遇更大的挑战。因为不那么严格地从技术上讲，虽然实现数据本地化是可能的，但数据本地化也只能涵盖一部分数据，而开放和跨境的互联网数据传输和处理仍会占主导地位，尤其是在各种云服务和物联网兴起的背景下。除非实现互联网的完全分割[11]，跨境数据转移是并且将会是日常生活的现实。在外国法律体系下如何保护本国数据主体的权利，将会是一个越来越重要的法律问题，这在美国和欧盟之间多次关于国家机构或私企跨境数据保护的系列诉讼中可见一斑[注]美国和欧盟之间关于如何在美国境内保护欧盟公民个人数据存在诸多争议，包括对避风港框架(EU-US Safe Harbor Framework)升级版的隐私屏盾协议(EU-US Privacy Shield)，以及向欧盟法院提起的一系列相关诉讼。除了可以向欧盟委员会在适当性保障决定中承认的国家进行直接数据传输，绝大多数国家都需要满足不同的条件，包括俄罗斯和我国。。现代社会已经在很大程度上进入了所谓的在线生活社会(Onlife society)[12], 信息基础设施已经成为社会运作的重要基础设施之一，成为为社会提供诸如能源、交通、医疗、金融和教育等基本服务的基础条件，并为公民其它基本社会活动，比如社交和娱乐，提供不可或缺的载体和平台。其涉及的数据交流和处理越来越国际化，比如社交媒体的应用，互联网媒体内容服务的提供，手机各种应用程序的普及，以及物联网各种软硬件服务的提供和升级[注]该数据服务包括网络市场、在线搜索引擎和云计算等，以及信息基础设施包括IXPs、DNS服务提供者和TLD域名注册。(参见：EU Commission. DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, Article 4.)。当跨境数据转移和处理成为不可避免的社会现实，跨境数据保护将继续挑战目前欧盟数据保护法律架构和其确立的数据保护权，特别是作为一项欧盟认可的基本权利，其在欧盟境外如何得到实现的问题。

下文将通过分析《条例》对我国可能的潜在影响、或者在我国的适用，体现《条例》所主张的广泛的地域适用所面对的现实困难和问题；特别是当我国作为一个独立的法律体系，当前总体上还不承认和执行外国法院的判决；甚至可能出于政治、经济的原因，在短期内还不会大量承认和执行外国法院的判决。因此，就《条例》的境外效力而言，其规定的高额行政处罚和各种救济措施都可能面临在外国，尤其是在中国无法执行的问题[注]在我国境内保护欧盟公民的个人数据，如果同美国和欧盟之间的存在的法律争议相比较，则更像是充满迷雾的百慕大三角。(参见：Bo Zhao & Mifsud Bonnici. Protecting EU citizens’ personal data in China: a reality or a fantasy?[J]. International Journal of Law and Information Technology. 2016: 128.)。本文接下来将探讨我国境内的数据控制者和处理者出于法定缘由处理欧盟居民的个人数据时，在哪些情形下它们将直接受到《条例》的约束(根据第3条)。并讨论我国境内的数据控制者和处理者在进行数据处理时，它们可能遵循或无视其《条例》义务的情形、原因以及可能的策略性选择。

三、《条例》对我国境内的数据控制者和处理者的影响

当我国境内的数据控制者和处理者向欧盟境内的自然人提供商品或服务(无论有无支付要求)，或者监控发生于欧盟境内的数据主体的行为时，依据《条例》第3条将适用《条例》。数据需要传输到我国的，《条例》对数据输出者和接收者均具有约束力。以下将讨论我国境内的数据控制者或处理者受《条例》约束的不同具体情形，它们应当履行的相关义务，以及在跨境数据处理操作中需要采取的相关必要措施。

直接受到影响的我国境内数据控制者和处理者，是那些在欧盟直接设立机构 (establishment) 或设置(setups)的中国公司和机构[注]《条例》说明性条款第22条认定，设立机构作为法律适用的代理(proxy)，是指通过稳定的安排筹划进行有效而实质性的活动。而其是否通过分支机构或者有法人资格的子公司的法律形式，并非认定该安排筹划的决定性因素。这与先前欧盟法院在Weltimmo案件中的判决一致。在该判决中，法院特别关注了设立机构这一概念，阐明了《指令》的地域适用范围。关于其它稳定长期的安排筹划，法院曾指出运营一个或多个房产交易网站，如果这些有关房产位于匈牙利境内，且网站是匈牙利文的，同时在试用一个月后在网站上刊登广告需要缴纳一定费用等的事实，就足以认定存在着有效和实质性运作行为。(参见：Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C 230/14, Judgment of 1 Oct. 2015, at para 9 & 33.)如果我国数据控制者和处理者在欧盟境内没有任何实体设立机构(例如办公室、子公司或分支机构)，但在欧盟境内有稳定、长期的安排筹划(例如运作商业网站，且该网站是用欧盟成员国语言表述的)，它们将适用设立机构的定义并处在《条例》的管辖范围内。在该情形下，第3条第1款和第2款都将该类企业和组织归于《条例》管辖下。。它们将直接受《条例》和其它相关欧盟数据保护法律的约束，包括欧盟成员国的数据保护法。该类数据控制者和处理者，包括华为、阿里巴巴、小米、腾讯等，在欧盟境内有办公场所、分支机构或子公司。首先，这些公司可能在欧盟境内拥有雇员或法定代理人，并且出于商业或管理目的，需要收集或处理个人数据。这将涉及处理特殊类型个人数据比如雇员的健康数据(为其购买保险和其它社会福利)，或者出于日常管理需要收集和处理其指纹或脸部图像。其次，这类公司还会在大量的商业活动中收集和处理欧盟消费者的个人数据，且根据商业规模收集的数据量可能非常巨大(例如在线社交媒体或网络购物服务，比如微信以及阿里巴巴的海外购物平台)。他们收集的数据也可能包括《条例》规定的特殊类型个人数据，例如第4条规定的生物和基因数据(biometric and genetic data)。而所有这些数据都可能需要转移到其在我国境内的总部，以进行进一步的处理，或者转移至它们拥有设置或机构的其它第三国。它们是直接受到《条例》影响的数据控制者和处理者，必须严格遵循《条例》的所有要求，否则可能直接面临监管机构的行政处罚，以及要面对受其数据处理活动影响而遭受侵害的数据主体所提起的法律诉讼。事实上这些跨国公司拥有足够的资源来确保，在其有意深度参与欧盟市场，或者意图在欧盟市场上取得更好表现时，能够全面遵循《条例》。

直接受《条例》影响的，还包括那些在欧盟境内没有设立机构或设置，为不同目的而处理欧盟境内自然人个人数据，但是位于我国境内的数据控制者和处理者。根据第3条第2款，如果它们的经营行为涉及以下规定活动，将受到《条例》约束：

第一，只要数据控制者或处理者向欧盟境内的自然人提供商品或服务，无论有无支付要求，都受《条例》管辖。例如，网上卖家直接通过自己的网站(以某欧盟成员国语言呈现)，或者通过其它面向外国消费者(包括欧盟消费者)的中国商业在线平台比如阿里巴巴和京东，向欧盟公民出售产品以及服务，比如电子产品硬件设备或软件。由于网上卖家和平台服务提供商共同决定数据处理的目的和方式，依据《条例》它们是共同数据控制者[注]这沿袭了2018年6月欧盟法院在初步审理中对共同控制的认定逻辑，那就是要对共同控制予以宽泛地解释，以确保对数据主体有效和全面的保护。(参见：Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH, Case C-210/16, Judgment, at para. 45.)。这种情况也包括在欧盟境内使用的智能手机、平板电脑以及其它可移动电子设备中的应用程序。这些程序可以是中文的应用程序，或者以某欧盟成员国语言呈现。在我国的应用程序设计者或所有者，通过智能手机以及这些移动设备，事实上为欧盟境内的用户提供了服务，并直接从欧盟用户那里收集了为提供该服务所必需的个人数据[注]在这种情形下，包括苹果商店和谷歌商店在内的应用程序商的作用可能需要讨论，因为它们在依据其行为准则和遵守法律的过程中，在筛选和监控这些应用程序的运营时扮演着不同角色。“控制者”可以被定义为是应用程序的主要投资者和所有者，它们为应用程序投入资金、人力资源及其它资源，设计应用程序以实现目的和获得所有权。(参见：http://www.selfgrowth.com/articles/why-every-eu-mobile-app-development-company-need-to-implement-gdpr)。另外，在欧盟境内没有设置的中国公司为欧盟消费者直接提供云服务时，例如百度，也会由于注册要求和各种数据上传，而涉及到对在欧盟自然人的个人数据的收集和处理[注]尽管在这个例子中，这些公司被认定为数据处理者，这是由于它们提供了云服务，而非决定了处理目的。但也有人质疑这一观点，指出在很多情况下，至少云服务提供者也部分地决定了哪些用户可以使用云服务。(参见：David Flint. Sharing the Risk: Processors and the GDPR[J]. Business Law Review. 2017, 38: 171-172; David Flint. Storms Ahead for Cloud Service Providers[J]. Business Law Review. 2017, 38: 125-126.)而根据英国信息委员会办公室发布的使用云计算的指导，在社区云中，数据控制者在运作云基础设施时，也可以作为数据处理者进行数据处理；在公共云中，云服务提供者也可以作为数据控制者。(参见：Information Commissioner’s Office. Guidance on the use of cloud computing[EB/OL]. [2018-09-16]. https://ico.org.uk/media/for-organisations/documents/1540/cloud_computing_guidance_for_organisations.pdf. at p.7-8.)。

另外一个典型的跨境数据转移的情形，就是中国公司向在欧盟境内的数据控制者或处理者获取数据，在我国进行处理[注]这是欧洲法学院学者采纳的主流观点。但这一观点存在争议，因为《条例》从未定义什么是跨境数据传输，并且《条例》没有任何文本否认在中国境内的数据控制者直接向欧盟境内自然人获取个人数据就不是跨境数据传输。对这一问题，本文作者将另行撰文论述。。例如那些没有在欧洲设立办公室或分支机构，但却在欧盟境内有帮助服务推广的经销商或合作者的中国服务提供者(旅行社)或产品生产商。它们为了提供相关的产品和服务，可能收集欧盟消费者的数据，从而作为(共同)数据控制者。另外，也有位于我国的数据处理企业或软件外包服务公司作为数据处理者，从欧盟数据控制者手里得到数据(从而存在跨境数据处理)并代其处理的情形，比如进行市场调查分析，或者为提高软件性能而使用这些来源于欧盟的个人数据。另外一种情况是在我国的产品制造者或服务商，通过欧盟(成员国)的在线销售平台来提供服务和产品，从而出现其作为共同数据控制者而得到欧盟用户数据的情况。此外，位于我国的数据处理者(通常为第三方)可能间接地从另外一个我国的控制者(位于我国但在欧盟没有设立机构)获取数据，并代表其进行处理的情况，例如百度(云服务)或有道(基于验证注册而提供云服务的在线词典)。这些中国数据控制者或处理者，不论涉及到支付费用与否，都应当履行《条例》所有规定的义务。在以上或其它情景中，会有相当数量的这些企业可能是中小企业，当它们处于《条例》的管辖范围时，可能只有较少资源来全面履行《条例》的义务和要求，以进行合法、适当的数据处理。

第二，只要中国企业或组织监控发生于欧盟境内的个人行为的，就将受到《条例》的规制。一个典型的例子是欧盟居民可能经常访问我国的网站(服务器架设于中国的中文网站，或以欧盟某成员国语言呈现的网站)，其个人数据将会通过各种方式被收集和处理，包括使用各种不同类型、不同功能、并为不同所有者持有的cookies或帆布指纹识别技术(canvas fingerprinting)[13]。或者更进一步，如果欧盟数据主体在中国的网络论坛进行注册，发布评论，并且在论坛上与其他访问者交流，而不论是否以中文形式，该数据主体就因此被识别或者可被识别，其个人数据甚至可能通过自动化方式被描述和评估，从而被该数据平台监控。监控可以出于不同的目的进行，包括为了提供更好的服务和客户体验，为了商业广告或推销产品，或者只是为了网站的运作或安全。很明显，在数据处理实践中提供服务和监控有很多重合之处，这是因为在很多场合中提供服务需要不同程度地监控用户，即便没有计费或支付行为；并且在很多场合中，用户允许服务提供者对其进行监控，收集并处理其数据，以此获得免费服务[14]。

如上所述，大量我国企业将会受到《条例》直接影响。如果它们作为数据控制者或处理者不履行《条例》义务，或者没有达到与其数据处理操作相关的要求时，可能面临违反法律的风险、以及随之而来的行政处罚(理论上)和欧盟数据主体提起的诉讼。欧盟数据保护监管机构在实践中可能并不会处以行政罚款，因为在我国司法机关基本不会承认他国行政处罚的效力时，做出这种决定只能降低其自身权威。但是这些独立监管机构仍然可以依照《条例》的权利，命令该企业停止或暂停数据处理操作，要求其配合进行进一步调查，抑或可能直接命令屏蔽该企业在欧盟的互联网服务访问，或者移除其在欧盟的广告，以禁止其进入欧盟市场[注]比如2000年有名的法国Yahoo案例中，法国法院就做出决定禁止同纳粹有关的纪念物在Yahoo的网站上拍卖，并禁止法国互联网浏览者访问Yahoo的美国网站。参见：Juan Carlos. Yahoo Loses Appeal in Nazi Memorabilia Case [EB/OL].(2016-01-12)[2018-10-10].https://www.pcworld.com/article/124367/article.html.。这对违法企业而言，仍然是一项重要的顾虑和威胁，需要考虑。从这个角度讲，中国企业应当如何面对《条例》数据保护要求，将会是它们在欧盟继续进行商业活动的重要考量。

首先，我国电子巨头早在2018年5月25日《条例》实施前，就已经做了充分的准备。阿里巴巴已经在法兰克福成立了数据中心，并宣称为实现数据本地化，将在欧盟成立第二个数据中心[15]。小米近期也颁布了新的数据隐私政策，表明对《条例》跨境数据转移和处理操作要求的遵守[注]参见：Privacy Policy. https://www.mi.com/us/about/new-privacy.。微信国际版在今年5月初也更新了其隐私保护政策，以遵循新的法律要求[注]参见：WeChat Privacy Protection Summary. https://www.wechat.com/en/privacy_policy.html.。华为也宣称其云服务运营遵循了云安全认证CSA-STAR[16]。上述在欧盟境内有设立机构或设置的中国数据控制者或处理者必须遵循《条例》，因为它们在欧盟的数据处理活动直接处于欧盟成员国数据保护监管机构和欧盟法院的管辖之下。违反《条例》及其它数据保护法律，不能严格地同其它欧盟数据控制者和处理者保持步调一致，将意味着高额的违法成本[注]根据国际隐私专家协会和安永的研究发现，《财富》500强的公司一共将花费78亿美元来确保遵循《条例》，这意味着每个公司需要花费1600万美元，但是高额的行政罚款使得遵循法律成为唯一选择。(参见：International Association of Privacy Professional. Global 500 companies to spend $7.8B on GDPR compliance [EB/OL].(2017-11-20)[2018-09-16]. https://iapp.org/news/a/survey-fortune-500-companies-to-spend-7-8b-on-gdpr-compliance/)。但是对我国跨国企业而言，最重要的问题是：当需要把收集的欧盟居民的个人数据转移到我国或第三国进一步处理时，如何能遵循《条例》要求，如何能结合第三国法治状况和数据保护实践，达到《条例》确立的数据保护安全水准？由于我国没能被欧盟委员会列在能提供适当性保障国家的名单上，这些涉及跨境数据传输的企业需要采取合乎《条例》规定的具体措施，以进行合法跨境数据转移，比如遵循合理保障中经批准的行为准则，或者施行标准数据保护条款等。

其它在欧盟没有设立实体机构或设置的中国境内数据控制者和处理者，面临一个复杂的情形、并且需要做出决定：是否应当遵循《条例》(一项外国法律)？如果是，那么需要在多大程度上进行？如果它们愿意遵循《条例》，考虑到《条例》所规定的各种各样的义务，切实履行所有义务的成本是相当高的。例如，实施合适的技术和组织措施以确保和实现各个数据处理原则(第5至11条)、控制者和处理者各种不同的义务(包括任命数据保护员和在欧盟的代理人)、进行合法跨境数据转移的要求、协助数据主体行使权利等等。它们可能还需要革新其数据处理操作，甚至是整个商业模式以全面遵循《条例》提出的数据保护要求。当然，相对而言，中小企业的《条例》义务比较少，例如它们不需要对数据处理进行记录(该规定适用于雇员数超过250人的公司和机构)，或者任命数据保护员(只在满足第37条第1款的任一情形下有要求)，但是总体而言也并不轻松，因为遵循条例会带来额外的工作和负担，这意味着更高的企业成本。

当然，涉及处理欧盟数据主体数据的中国控制者和处理者，也可以考虑完全无视《条例》规定。我国目前总体上仍较少认可外国法院判决，而依据主权原则更不会接受任何外国行政机构命令之效力及于我国领土。虽然现阶段我国和欧盟成员国已签订了部分双边民事司法互助协定(关于承认和执行民事判决)[注]目前这些国家包括法国，波兰，罗马尼亚，西班牙，意大利，保加利亚，塞浦路斯，希腊，匈牙利和立陶宛。(参见：https://www.fmprc.gov.cn/web/ziliao_674904/tytj_674911/wgdwdjdsfhzty_674917/t1215630.shtml)，但我国司法系统对承认和执行外国法院判决的消极态度，由于政治体制和司法制度差别的原因，可能还将长期存在[注]除了外国法院所做出的离婚判决，我国承认和执行外国法院民商事判决的案例有限，虽然近期有所突破。(参见：李庆明. 论域外民事判决作为我国民事诉讼中的证据[J]. 国际法研究. 2017: 120.)。另外在发生数据泄露或违反《条例》规定情形下，一般数据主体也很难发现并求证在我国境内到底发生了哪些违反《条例》的情形，并及时向欧盟数据监管机构提起申诉[17]。就此而言，实际上欧盟法律，包括《条例》所规定的各种处罚措施，在我国境内对我国企业的法律实际效力有限，其唯一的有力处罚，可能是禁止或限制违法企业进入欧盟市场。

然而，鉴于近期我国政治经济发展所释放的一些积极信号，尤其是“一带一路”的发起[注]欧盟整体而言对这一倡议没有统一回应。虽然在东欧和中欧较受欢迎和成功，这个提议仍然受到其它欧盟成员国的批评。(参见：Corre, Philippe. Europe’s Mixed Views on China’s One Belt, One Road Initiative.[EB/OL].(2017-05-23)[2018-09-17]. https://www.brookings.edu/blog/order-from-chaos/2017/05/23/europes-mixed-views-on-chinas-one-belt-one-road-initiative/)，这一情况可能得到迅速改变。非常明显，我国如果想更多地参与世界经济秩序，尤其是欧盟市场，就必须更多遵循国际法标准和欧盟法律。为此，最高人民法院在2015年发布了《关于人民法院为“一带一路”建设提供司法服务和保障的若干意见》，表示即便在我国和相关当事国之间没有国际协定的情形下，我国法院仍可以根据互惠原则，扩大司法协助范围[注]参见：《最高人民法院关于人民法院为“一带一路”建设提供司法服务和保障的若干意见》。。随着我国更深入参与到欧盟市场，我们必须考虑基于互惠原则承认和执行欧盟法院判决，因为我国也需要以此换取我国企业在欧盟境内的经济利益的保护。而近期武汉和南京的两个地方法院则基于互惠原则，主动承认和执行外国法院的判决[注]参见：南京中院裁定和武汉中院裁定http://www.njfy.gov.cn/www/njfy/res_mb_a39180105108997.htm(南京案)http://wx.hbfy.gov.cn/weiyixin/fywsxq/2?ids=21abca9b-b40e-4c2f-ac45-a7b600f08be2(武汉案)。，更显示了这种积极的司法趋势。不可否认，在未来我国经济更深入参与国际经济分工，企业更多进入欧盟市场，需要保护它们利益时，基于互惠基础，我国对司法协助将一定会持更开放的态度。

那么如果具体条件允许，对在我国境内但在欧盟没有设立机构或设置的数据控制者和处理者而言，尽力遵循《条例》数据保护规定也是更明智的选择。通过遵循欧盟法律和欧盟认可的行业标准，尤其是以数据保护基本权利著称的《条例》，对提升我国数据保护水准，对我国公司获取欧盟消费者信任和认可，提高产品吸引力至关重要。毋需赘言，向用户和消费者表明其达到了《条例》所要求的数据保护水准，比如通过欧盟权威的数据保护认证，或使用经欧盟委员会批准的行为准则，将显著提升企业在欧盟的形象。同样，企业通过采取《条例》规定的各种措施和步骤——包括有约束力的公司规章(BCR)、行为准则(COC)、标准合同条款、对数据保护员的任命、通知数据泄露等——来努力达到《条例》所要求的高数据保护标准，一定能在数据处理实践中提高数据安全和数据保护水准，进而在国内市场上获取更多客户的信任。实施《条例》的数据保护标准，能够在一定程度上把该企业同其它市场竞争者区分开来，有利于企业长远发展。

基于上述分析，对于我国境内的中小企业而言，可以通过考虑自身具体情况在不同程度上遵循《条例》。我国境内的控制者或处理者应作出适当的努力，例如，在识别出到企业网站访问者是来自欧盟境内时，控制者至少应当通过弹出cookies方式，阐明其隐私政策，介绍控制者将收集什么数据、以及如何使用这些数据，并为访问者提供是否同意该数据处理行为的选择。这样控制者至少能从表面上证明它在努力遵循《条例》规定[注]很明显，许多中国网站，包括纯中文网站，在2018年5月《条例》生效后遇到来自于欧盟的访问时，已经为其使用Cookie设立了新的隐私保护政策。。另外，至少应当尽量实现《条例》列举的成本较低，容易实现的程序性和组织性措施，以证明遵循《条例》的良好意愿。例如，采用成本较低的组织性合规措施，包括在企业内部任命一名数据保护员，可以由本企业内部职员兼任，或者聘请一名专业的法律合规专家或隐私保护专家[注]但是建议我国企业在遵循《条例》第27条、设立欧盟代理人上(representative)持谨慎态度，因为这将毫无疑问成为它们在欧盟的企业设立，从而将其置于欧盟法的直接管辖之下。。如果可能，还可以进行企业内部数据处理活动记录，在内部会议中设立数据保护议题进行讨论，或设置数据保护的具体操作程序。最重要的是，在把欧盟境内收集的个人数据转移到国内处理时，需要尽力遵循《条例》关于数据跨境转移至第三国的具体规定，以合法和公平的方式进行[注]参见:《条例》第44条以及第46-49条。读者也可以参考笔者制作的《欧盟一般数据保护条例与中国：我们需要了解什么？》的手册来了解具体内容。参见：https://www.tilburguniversity.edu/research/institutes-and-research-groups/tilt/news-pgdr-china-tilt/。

除了组织上的措施，也可以考虑使用某些技术性措施，来提升数据安全和隐私保护。比如《条例》第25条规定的嵌入设计之数据保护和默认的数据保护(Privacy by Design and Privacy by Default)，包括数据匿名化、数据最小化和数据加密[注]在《条例》第4条第5款下，匿名化是指以以下方式对个人数据进行处理：使个人数据不使用额外信息时，不能再被用来识别该数据主体，且这些额外信息将被另外保存，并有技术和组织手段来保证个人数据不会被用来识别能够被识别，或已被识别的个体。。如有可能，还可以考虑向欧盟有权机构或部门申请数据保护认证或数据保护印章(标记)(data protection certification or seal)，或者采纳经欧盟机构批准的行为准则和标准合同条款，以证明企业良好守法意愿和行动。这些都是可以根据具体情况来量力而行的举措[注]还应该注意到，即使在欧盟内部，数据保护认证机制如何实现其确立的目的，尤其是涉及到标准的建立和进一步实施时，都还有很多问题需要在以后实践中得到解决。。

五、结论

由于当今世界的加速数字化、互联网化、全球化以及随之而来的跨境数据交流的不断增强，欧盟法律将数据保护权作为一项基本权利进行保护，是法律发展的一次重要突破。对个人和社会整体而言，个人数据的价值还在不断提升之中，而对个人数据的更全面的分析和利用，已经成为经济、技术和社会进步的必要条件。私企和国家机关如果滥用数据，数据主体可能由于失去对个人数据的控制，从而引发个人生活完全失控的危险，个人数据必须得到保护。但是，作为一项基本权利，欧盟设立的数据保护权在现实中会面临越来越多的挑战。这些挑战不仅来自于如何规范各种新技术快速发展带来的副作用，更来自于越来越多的跨国数据传输、处理和保护。其根源是由互联网和全面数字化所带来的加速全球化、无边界的生活和数字经济形态，同基于国家主权设立的，地域性极强的司法(法律)体系的局限性之间越来越加剧的冲突。

总而言之，《条例》所规定的严格数据保护机制，在其内在立法逻辑和数据处理实践中如何适用都存在问题[注]比如蒂尔堡大学Bert-Jaap Koops 教授早在《条例》还在立法之初，就指出了《条例》的很多根本问题。(参见： Bert-Jaap Koops. The trouble with European data protection law[J]. International Data Privacy Law, 2014: 250-261.)。就我国的法律实践而言，《条例》规定的个人数据保护机制如何在我国境内实现，一定会面临巨大的挑战。《条例》从理论上适用于那些在我国的数据控制者和处理者，只要它们有符合《条例》规定的搜集和转移在欧盟的自然人的数据的行为。正如本文第4节分析的，当前对《条例》的遵守和执行，依然很大程度上取决于在我国数据控制者和处理者的自觉行为。因为它们多数在欧盟境内没有实体存在(比如《条例》规定的机构设立或设置)，从而不会直接处于欧盟数据保护机构的管辖之下，直接接受处罚和判决。而发生数据侵害和违法行为时数据监管机构的决定和处罚，以及欧盟法院的判决，在目前甚至将来一段时间可能仍不为我国法院认可和执行。由于没有类似“欧盟-美国隐私屏盾协议“那样的我国与欧盟之间的数据保护协定，《条例》的执行和数据保护基本权利的实现，可能在一段时期内仍然需要依靠欧盟各成员国同我国之间的双边司法互助协定。JS