浅谈欧盟《一般数据保护条例》

(华东政法大学 上海 200042)

2016年4月欧盟议会通过了《一般数据保护条例》(又称《通用数据保护条例》，以下简称 GDPR)。然而2018年5月25日GDPR才正式生效。相较于欧盟1995年的《数据保护指令》，GDPR的规定显然更为严格，比如GDPR的管辖范围不局限于地域范围①，个人数据范围更加详尽，数据主体权利扩大，对企业数据处理行为划分更具体，惩罚措施更严厉等等。同时，与1995《数据保护指令》(Directive)需要在欧盟各国国内转化适用不同，GDPR属于条例(Regulation)在欧盟各国有直接适用效力。这使得GDPR在提高个人数据保护标准的同时，也拥有更强的法律效力和适用统一性。故欧盟留出两年时间给各国作为缓冲期。

一、GDPR 研究重点问题

(一)数据主体的权利

生活在一个信息可以实时共享的时代，我们享受了许多信息共享带来的福利与便利。但也伴随着一种不安感和恐慌感。我们的个人数据被手机应用、网页、社交平台和物流公司轻易掌握，这些数据在被人交易利用后，随之而来的是删不完的垃圾信息、挂不断的推销电话和跳动不停的页面广告。这种烦恼几乎成为了现代人生活的一部分，似乎成了我们换取技术进步所必须的牺牲。然而这些问题会不会发展到难以控制的地步？信息泄漏后不仅仅会面对无休止的骚扰，还可能遭遇各种猝不及防、花样百出的诈骗。更令人忧心的是，待技术发展到了能够获取个人所有数据的时候，是不是数据控制者能左右我们的行为选择甚至刻意引导我们的思维方式？法律之所以保护个人隐私，是为了维护人们日常生活的安宁，不受打扰。同时，也是在维护人的独立与尊严。而强调对个人数据的保护在信息化社会亦有此意。

GDPR最大的特点和优势的便是它强调了数据主体对个人数据的控制权，并为实现这种控制权，创设了许多权利概念，如擦除权(被遗忘权)②、限制处理权、可携带权③和自动化个人决策权等。另外，GDPR还根据年龄和数据种类，增加了一些特别要求以提供更周全的保护。针对未成年人，GDPR设立了监护人同意制。当企业向16岁周岁以下的未成年人提供产品或服务并处理其个人数据时，需获得该未成年人的监护人同意及授权才属于合法行为④。GDPR还规定了对特殊类型个人数据，即种族、政治观点、宗教信仰、工会，以及个人的基因数据、生物特征值、健康信息、性生活及取向等数据一般禁止处理⑤。满足特定条件，可以对以上敏感数据进行处理，但处理者需将其与其他个人数据进行独立管理，提供更加严密的安全保护措施。

(二)GDPR对跨国企业的影响

作为GDPR规制的主要对象，企业将GDPR冠名为“史上最严数据保护条例”。根据Ovum公司提供的调查报告显示，52%的受访者预计GDPR将会导致他们公司受到罚款；超过70%的受访者预计会增加开支来满足数据保护要求；高达85%的受访者还认为GDPR将使其在与欧盟公司的竞争中处于劣势。根据GDPR的要求，首先，在控制者要求提供个人资料时，他们应当采取简洁、透明、易懂、容易获取的形式和使用清晰、平白的语言⑥。其次，控制者还需主动亮明身份、联系方式，说明数据使用目的和处理方式，告知数据主体享有的权利。再次，控制者还需设立数据保护专员(Data Protection Office，简称DPO)专门负责企业隐私保护工作。最后，还有“72小时报告制”。该规定要求企业必须在发现违规事件的72小时内，向监管当局和受到违规事件影响的个人通报数据违规行为。小米公司相关负责人就曾表示，72小时在实践中是非常高的标准，为了实现这一点，企业要建立相当完善的数据监控机制，实时发现内部违规操作和外部入侵行为。也就是说这个规定时间报告制度不仅要企业提升内部的安全意识并且还要建立高效的数据泄露发现、核查和报告的程序。虽说GDPR的规定十分细致严格，但考虑到严重的违规后果⑦，许多企业还是打消侥幸心理，采取了实际行动。

以一些大型跨国科技公司的合规措施为例，我们可以直观感受到GDPR的影响力。微软副首席法律顾问Julie Brill透露，微软已经为GDPR项目投入了1600多名工程师，他们将为全球客户提供符合GDPR的工具，微软的客户可以查看、删除和移动他们的个人数据。去年4月因用户信息泄露而备受指责的Facebook也迅速反应，更新了它的隐私设置。如果Facebook在GDPR生效后再发生严重的违规行为，它将面临公司全球营收的4%的处罚。Facebook2017财年营收为 406.53亿美元⑧，可能的罚金将高达16.26亿美元。除了更新隐私设置，Facebook还将美国、加拿大和欧盟国之外的约15亿用户的注册地从都柏林移至美国。这一举动主要是避免非洲、亚洲、澳大利亚和拉丁美洲的用户同样受到GDPR的影响。苹果公司也更新了隐私条款并推出了新的用户页面，欧洲的用户现在可以下载苹果公司由照片、Apple Pay、联系人等服务收集的所有数据。苹果公司还将停止其机器学习和AI系统使用客户数据。与Facebook不同，苹果公司计划在未来几个月内将这些功能推广到全球所有帐户。

面对互联网巨头“热火朝天”的态势，大多欧盟用户却深感困扰，GDPR生效的短短几天内，他们便收到纷至而来的用户协议更新通知和重新授权通知。邮箱再次被“轰炸”，这正是他们之前一直反感的。在GDPR生效当天，奥地利成立的隐私权利组织Noyb.e就分别代表4位欧盟公民向奥地利、比利时、法国、德国的当地监管机构提起申诉，控诉Google,Facebook,WhatsApp,Instagram四家公司违反GDPR规定，请求对其发起进一步调查、确定其用户权利是否被侵犯、禁止其相关数据处理行为，并处以惩戒性罚金。该组织创立人Max Schrems在申诉中指出，四家公司更新隐私政策之后，虽然重新请求用户同意，但用户若不同意就无法正常使用原来的服务。这等于是一种变相的“强制同意”，事实上剥夺了用户选择权。

(三)GDPR与中国企业

由于GDPR管辖范围突破了地域限制，向欧盟居民提供产品或服务,甚至只是收集或监控相关数据的非欧盟企业和组织,无论企业或组织所在位置,都必须遵守该法案。中国包括互联网、金融和电商企业在内的许多企业实际上都符合欧盟GDPR的管辖规定，因此必需做出相应的合规安排。许多安全团队也开始针对性地提供GDPR合规服务。暂时与欧盟内数据主体没有关联的中国企业又该如何反应？是利用国内相较宽松的法律环境争取技术上实现超越发展？还是提前建立高标准的合规制度以顺应未来数据保护法的趋势？每个企业可能会根据自身情况做出不同的选择。笔者更认同后者，认为中国企业应该重视GDPR所传达的信息，在能力范围内尽早调整企业的相关安排，逐渐实现合规要求，并将数据安全作为企业未来发展规划的重要一环。短期来看，这方面投放的财力物力对企业来说是一种额外经济负担，但因为GDPR是目前全球覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规，它有可能发展成为国际数据保护领域示范法⑨，最终直接或间接影响到每一家企业。所以从长远来看，树立数据安全意识并建立一套与之相适应的合规制度对中国企业的发展和国际化是有利的。针对这个问题，有律师从竞争法上分析认为中国企业若轻视GDPR合规安排，可能会受到来自欧盟市场其他企业的不正当竞争指控。两方发生纠纷时，欧盟监管机构出于保护本地企业和维护GDPR适用的目的，会倾向认定中国企业构成不正当竞争行为，进而可能使中国企业面临严厉的处罚措施。同时，该律师还提到欧盟的企业也会倾向选择与已完成GDPR合规的欧盟境外企业展开合作，不进行GDPR合规可能意味着失去在欧盟市场份额和合作方信任⑩。

二、GDPR引发的质疑

(一)个人数据与隐私的界定问题

在新条例下，“用户数据”的保护范围包括：基本的身份信息(姓名、身份证信息等)、网络数据(IP地址、浏览器Cookie等)、医疗保健或遗传数据、生物识别数据(指纹、虹膜等)、种族或民族数据、政治观点和性取向。GDPR对个人数据的判断标准是Personal Identifier Information(PII)，即可识别该自然人的任何数据。这个定义将大量的特征描述性信息，比如特殊的外貌特征、行为习惯和社会身份等也囊括进GDPR数据保护范围。因此对这类信息的搜集处理也必须事先获得数据主体的同意方可进行。这类数据同时属于个人隐私吗？又或者说新时代背景下我们对隐私的理解是否需要作出新解释？个人数据保护与隐私保护是否基于同样的法律目的？在网络普及之后，个人的社交账号、网页浏览记录、购物清单、甚至游戏装备都成为具有商业价值的数据，大部分企业会追踪记录个人的这些数据，以便更好分析用户喜好或精确投放广告。这种背景下，可纳入GDPR保护的数据范围不断扩大。有学者甚至设想未来个人数据将涵盖隐私的概念，成为一个更受重视的概念。但过度扩大个人数据范围，要求严格保护，这不但会增加企业的负担，也与隐私保护的目的不符。在保护个人数据和隐私的关系上，对于两者的联系与区别，GDPR似乎未作出解释。

(二)数据保护与科技发展问题

工信部网络安全研究所助理研究员魏书音表示，未来C2C(Consumer to Consumer)，个人间电子商务)模式下的电子支付、电子商务、以及云服务、区块链、大数据征信等场景，将更加紧密地涉及用户个人数据的收集、控制、处理及利用。在GDPR的对数据处理严格监管下，企业面临维护用户隐私与充分发挥数据价值间的平衡难题。这个难题的另一面便是数据保护与科技发展的矛盾。目前最热门的人工智能研究领域中的数据智能，便是通过收集海量数据进行智能分析，得出结论。而GDPR规定的自动决策的可解释权(The Right to Explanation of Automated Decision)赋予了数据主体在对算法决策不满意时选择退出的权利。这一定程度上限制了人工智能的数据获取能力，进而限制物联网、云计算、人工智能等其它方面的研究。对此，有人质疑GDPR是否符合当下大数据时代的发展趋势。对这个质疑，中国信息安全研究院副院长左晓栋给出了一个很好的比喻，“任何汽车都有油门和刹车，我们买汽车是为了开车，刹车却是为了减速，然而不会有人说一辆汽车只要油门就够了。没有规范的互联网发展与失控的汽车没有两样，而GDPR就像是一辆汽车的刹车装置。”GDPR对数据的保护不等同于对数据利用的绝对限制，只要做好合规准备，在保证用户数据安全的前提下，GDPR是鼓励数据自由流通的，对数据带动的技术发展更是持积极态度。实际上，一套符合GDPR要求的数据安全体系也要求应用设计理念的更新和技术的完善。

(三)GDPR的执行规范问题

虽然GDPR第4条对条例中重要概念进行了解释，但GDPR仍然存在较多表达不清的地方，这给了监管机构较大自由裁量权。比如在罚金数额的确定上，GDPR简单规定了两档罚金：一般性的违法行为，罚款上限是1000万欧元或企业上一年度全球营业收入的2%(取数额大者)；严重的违法行为，罚款上限是2000万欧元或企业上一年度全球营业收入的4%(取数额大者)。然而究竟什么程度的违法才是严重违法？确定了罚金档次后，具体罚金数额在限度内又该如何确定？对此，各个监管机构没有统一标准。如果相似的违规行为受到不同的惩罚，缴纳了数额相差较大的罚金，这会引发对整个GDPR公正性和权威性的质疑。另外，欧盟各国的监管机构对执行GDPR还没有经验，也不完全具备执行条件。路透社2018年5月上旬调查结果显示，24家欧洲监管机构中有17家表示，他们还没有准备好实施新法，因为他们还没有资金或权力来履行职责。

三、GDPR对中国数据保护法的启示

(一)制定统一的数据保护法

我国关于个人数据保护的立法并非空白。《中华人民共和国网络安全法》(简称《网络安全法》)便旨在保障网络安全和数据主体的合法权利，其中设有专章对“网络信息安全”做了规定，并对个人信息的数据保护做了原则性规定，是目前我国关于个人数据安全较为重要的法律。但相较GDPR，《网络安全法》规定的数据主体的权利过于简单，仅赋予了数据主体删除与更正的权利，适用情形也更为狭窄，仅限于网络运营者违反规定或约定收集、使用个人信息，或者其收集、存储的个人信息有错误的情形。2017年全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象。然而这份文件属于国家标准，不具有法律约束力。在基本法律方面，《刑法修正案》增设了“侵犯公民个人信息罪”以打击非法获取公民个人信息的行为，《民法总则》中也规定了自然人的个人信息受法律保护。虽然上述法律或文件对个人信息给予了一定保护，但面对国内近年来发展迅猛的大数据、新媒体、云服务和人工智能等产业，这些或分散或原则性的规定则缺乏抵抗力。上海交通大学副教授何渊说过，由于大数据的爆炸性增长和云计算能力的指数级进步，人人都变成了“透明人”，并深陷于一个巨大的“黑箱社会”之中。个人对自身数据信息的无力状况需要法律来改变。我国制定一部统一的数据保护法来保护个人数据、规范数据处理具备现实性、必要性和紧迫性。

(二)重点规范数据控制者的行为

对个人数据进行自动化处理的主体大部分情况下是企业组织。这些数据控制者的数据安全意识、内部数据安全合规建设甚至产品或服务的设计直接关系到数据主体的权益。GDPR就对企业的基本义务、隐私政策、风险评估和紧急预防机制均有十分明确的要求，这些规定能推动企业从内部制度安排开始建立成熟的数据安全体系。比起事后监管和止损，对企业的事前事中规范对切实保护个人数据更有意义。因此，我国的数据保护法规范的重点也应该放在这些有技术能力和利益驱动力的企业身上，根据他们在数据处理过程中的行为分工，规定不同的义务和设置相应的责任。

(三)设立专门的数据安全监管机构

GDPR特别设立欧洲信息保护委员会(European Data Protection Board)，负责在较高层面发布有关个人信息保护的意见、指南，并具体协调一站式管理机制的工作。28个成员国也分别设立了独立的监管机构，“数据保护局”(Data Protection Authority)，负责受理数据主体的投诉和监督GDPR在本国的执行状况。我国未来围绕个人数据的纠纷会越来越多，对这些纠纷的处理要求一定的专业性，对数据安全监管也要求监管机构对数据收集处理等行为有足够的认识。因此，设立专门的数据安全监管机构能更好地保证法律的实施和履行数据保护的职责。

(四)保持权利保护与行业发展平衡

欧盟在个人数据保护法上的改革还有一个主要目的：促进个人数据自由流通。数据的自由流通对欧盟统一市场的数字经济发展意义重大，之前的1995年指令虽一定程度上改善了欧盟的数据安全状况，但对激活欧盟互联网交易和信息产业发展的作用有限。2016年欧盟数字经济市场中，42%基于欧盟各国的网络服务，54%基于美国的网络服务，欧盟内部跨境网络服务仅占4%。GDPR为了解决这个碎片化市场现象，统一了欧盟内部数据操作和流通规则，并且通过行政监管有效维护了市场的规范性和有序性，力图构建一个数字化单一市场(Digital Single Market)。单一市场能为欧盟企业和境外企业提供一个更高效便捷和稳定安全的营商环境。何渊教授指出企业的数据合规已经逐渐不再是一种纯粹的风险型的，规避型的成本的支出，在欧洲的很多跨国的企业，数据合规已经变成企业的核心竞争力之一。欧盟在数字治理上选择的路径是由其数字经济发展阶段和所处竞争位势决定的。我国的数字经济规则制定也要符合数字经济发展情况，参考GDPR在平衡数据保护与数据流动的一些做法，强化个人信息保护的同时促进数字产业的发展，促进二者良性互动。

【注释】

①GDPR第3条。

②吴丹君，周天一：当出现收集和处理数据已不再必要、数据主体撤销同意、数据主体行使拒绝权、个人数据被非法处理、基于法定义务需要删除等情形时，数据主体有权要求数据控制者立即删除其个人数据，数据控制者应当采取合理措施并告知正在处理该个人数据的其他控制者。

③吴丹君，周天一：数据主体有权要求数据控制者提供结构化、通用化和可机读的个人数据，并有权将上述数据转移给其他数据控制者，原数据控制者不得阻碍。

④GDPR 第 8条。

⑤GDPR第9条。

⑥GDPR第12条。

⑦GDPR 第 83条。

⑧数据来源：199IT，http://www.199it.com/archives/685632.html。

⑨普华永道提供的调查结果显示，92%的美国公司认为GDPR将成为最重要的数据保护措施。

⑩冯坚坚，胡科，蒋昕妍：《GDPR第2条和第3条(适用范围)详解》，北京市竞天公诚律师事务所，2018年5月24日。