欧盟GDPR对我国涉欧企业的合规挑战及对策

摘 要：2018年5月25日欧盟GDPR正式在欧盟各成员国间实施。由于GDPR对个人信息的保护处于领先地位，适用范围广，并且惩罚措施严厉，该条例的实施必然会影响我国涉欧企业的发展。在阐述GDPR设立背景和主要内容的基础上，进一步分析GDPR对我国涉欧企业的影响：我国涉欧企业将面临严格的管辖、加重隐私安全、成本提高、获取个人数据难度大等一系列问题。在此基础上，通过提出相应措施以促进我国企业合规及个人信息保护制度的建立。

关键词：GDPR;被遗忘权;企业合规

2012年11月，欧盟委员会制定了《通用数据保护条例》（General Data Protection Regulation， 以下简称GDPR）。2016年4月14日，欧盟通过GDPR。2018年5月25日，GDPR法规在欧盟28个成员国间强制实施。GDPR确保欧盟公民、居民在对其个人数据享有充分自决权的基础上，建立了一个统一的、高水平的个人数据保护体系。

由于GDPR具有直接适用的效力，无需进行国内法的转化，消除了不同成员国间因不同解释而造成的分歧，企业不再需要与多国数据主管机构进行交涉，只需与其主营业地所在国的数据保护主管机构沟通即可，避免了因数据保护执法上的混乱而造成的成本提高。在挑战与机遇并存的基础上，必将对未合规经营的企业带来不利影响。因此，中国涉欧企业需要在熟悉GDPR的基础上，主动采取有效措施以做到企业合规，减少风险。

一、欧盟GDPR的设立背景

1993年11月1日，随着《马斯特里赫特条约》正式生效，欧盟正式成立。在1995年10月24日，欧盟通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令》（以下簡称《95指令》）。《95指令》是欧盟成员国保护个人数据的最低标准，规定了对个人数据保护的一般原则、各方主体的权利与义务，规定了法律责任，规定了跨境数据传输制度。但根据欧盟法律规定，该指令无法直接适用于欧盟成员国，需要转化为国内法才可以适用。各成员国将该指令转化为国内法时，所做出的解释不同，由此造成对个人数据保护的复杂性、不确定性以及成本的增加。

由于《95指令》的条文需要成员国转化为国内法，成员国在立法、执法过程中存在较大的解释空间，以及随着信息技术发展迅速，《95指令》对个人信息保护出现了挑战，不同成员国对个人数据保护存在分歧。此时，欧盟为了建立统一数据市场，加强对个人数据的保护以及数据的自由流通。2012年1月25日，欧洲议会公布了《通用数据保护条例》草案，旨在欧盟成员国内建立统一的个人信息保护立法，2018年5月25日GDPR正式实施。

通过法律层级的转变，由“指令”转变为“条例”， GDPR的法律效力不需要在成员国进行转化，具有直接适用的法律约束力，统一了成员国之间的数据保护规定。

二、欧盟GDPR的内容概述

GDPR统一了欧盟范围内个人数据保护立法的统一，以维护数据流动的安全与高效为目的，与《95指令》相比，GDPR的内容主要体现在以下几个方面：

（一）GDPR扩大了个人数据的范围和原则

根据GDPR定义，个人数据是指已识别的或可识别的自然人（数据主体）的信息。数据主体是指：可以通过信息直接或间接确认的自然人，可以通过姓名、身份证号码、定位数据、在线身份等识别数据，或是通过参照该自然人的一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素予以识别。

GDPR明确提出对个人敏感数据的高度保护，专门提出了“特殊类型个人数据”。该条例对个人数据进行了更宽泛的解释，如：网络数据包括IP地址和Cookie，生物识别数据包括指纹等。同时，在判定某一数据能否识别自然人，要将合理范围内的技术、非技术手段，以及其他信息之间的关系等因素都考虑进去。

（二）扩大了适用范围

GDPR为加强对欧盟公民数据的保护，将适用范围扩大。一方面，数据控制者和处理者在欧盟设立机构，无论数据处理的行为是否发生在欧盟;另一方面，数据控制者和处理者没有在欧盟设立机构，但涉及以下处理行为：向欧盟的数据主体提供商品或服务，或对欧盟数据主体在欧盟发生的行为进行监控都要受到GDPR的管制。其中“向欧盟内的数据主体提供商品或服务”包括使用欧盟语言、货币、产品的定制;“对数据主体发生在欧盟的行为进行监控”包括分析个人偏好、行为模式、监控数据主体在线创建的资料。

（三）数据主体权利扩大

GDPR在《95指令》的基础上，规定了数据主体的权利主要包括知情权、访问权、反对权、限制处理权、反自动化决策（包括画像）权、数据被遗忘权（删除权）、数据可携带权。

（1）新增“被遗忘权”（删除权）

GDPR在《95指令》的基础上增加了被遗忘权。被遗忘权是指：当个人数据不再基于合法目的被使用，个人有权要求永久删除这些数据[2]。可以在数据主体撤回同意、数据控制者非法处理数据的情形下使用被遗忘权。并且在数据控制者公开个人数据的情况下，要求控制者对公开传播的数据负责，以及数据控制者有通知其他第三方停止使用、删除数据的义务。

（2）新增“数据可携带权”

数据可携带权是一种数据转移权，GDPR规定数据主体有权要求数据控制者保障数据的系统性，并以机器可读的形式向数据主体提供个人数据，或者向其他相同或类似服务商提供数据。该权利使个人数据在不同数据控制者之间更容易转移，体现公民信息的自决权。例如，房东可以将其房屋信息导出给保险公司，从而为房屋投保。

（3）延展“知情权”及“访问权”

GDPR扩大了数据主体对于数据控制者处理其个人数据的知情权及访问权。数据主体有权在数据控制者获取其个人数据时或者数据控制者从第三方获取其个人数据时，从数据控制者获得包括个人数据来源、处理的目的、控制者身份等相关信息，以及有权纠正及限制数据的处理行为。同时，在其请求不过量的情况下，有权免费获得其个人数据的副本，以及访问个人数据的权利。

（4）扩大对个人数据的同意要件

数据主体的同意是指数据主体自愿表达出在对其个人数据处理时明确的、具体的同意。GDPR在此基础上要求同意必须以易于理解且与其他事项显著区分的形式做出，数据主体也享有随时撤回的权利。敏感数据的处理必须要有明确的同意，同意表示模糊或一次同意多次使用被视为无效。并且，企业需要以通俗易懂的语言表达，让对方选择是否同意处理其个人数据。

（四）加重数据控制者和处理者的责任

GDPR对于数据控制者及处理者的责任有所加重，明确规定了企业的数据保护义务，主要通过进行数据保护影响评估、数据泄露报告及通知、设立数据保护官（Data Protection Officer，简称DPO）来降低风险，以督促企业合规。

（五）完善跨境数据传输规则

GDPR在保护自然人权利的总体原则基础上，设置了跨境流动的条件，主要包括以下三方面：（1）在对第三国数据保护水平“充分认定”的基础上进行传输，并对各国是否满足要求进行监督，也就是说欧盟公民的个人数据不得转移至低于欧盟保护水平的国家;（2）GDPR明确指出在受到适当保障的情况下个人数据可向第三国或国际组织传输;（3）以国际条约为基础的法院判决或行政机构决定所涉及个人数据传输，以及允许传输的特殊例外情况。

三、GDPR对我国涉欧企业带来的风险与挑战

GDPR对企业收集、使用数据全过程进行了全方位规定，增加企业合规的难度，给我国涉欧企业带来了风险与挑战。

（一）我国涉欧企业面临更广泛的管辖

根据GDPR的管辖范围，任何收集、传输、存储或处理涉及欧盟成员国个人信息的机构、组织都要受GDPR的约束。我国企业即使沒有在欧盟境内设立任何机构，但只要涉及欧盟成员国的语言、货币、域名以及向欧盟境内投放广告、向欧盟境内递送货物，都必须受到其监管，GDPR的适用范围形成了长臂管辖。因此，对我国企业而言，不论银行、保险、金融、快递等传统行业，还是电子商务、云服务等新型领域，只要涉及欧盟境内个人数据，都必须要遵守GDPR的规定。我国的涉欧企业，如：阿里巴巴、腾讯、小米必定被纳入GDPR的适用范围[3]。同时，不合规的涉欧企业将面临巨大的处罚力度，我国涉欧企业只要接触欧盟成员国的个人数据，都要受到相应监管，面临巨大挑战。

（二）加重中国涉欧企业的隐私安全

GDPR为所有企业制定了更高的隐私保护标准，引入了从设计着手保护隐私和默认保护隐私两项原则，要求建立数据从收集到使用的“全程隐私” 制度，要求企业在产品和服务的设计过程中就要考虑数据与隐私的保护。对于我国涉欧企业而言，需要进一步审视我国企业现存的隐私保护政策，以做到企业合规。2018年5月25日，微信海外版、新浪微博国际版以及阿里巴巴全球速卖通纷纷向欧洲用户更新隐私政策，请求重新授权，腾讯QQ也于2018年5月23日更新隐私政策，海尔、华为在欧洲有较大市场份额的企业也早已雇佣专门团队应对GDPR[4]。

（三）GDPR将导致我国互联网及新兴产业在欧盟发展速度减缓

由于GDPR强调个人信息自决权，强调数据主体自我决定个人数据的收集、储存、处理以及使用。虽然我国《宪法》未明确规定信息自决权，但根据《宪法》第37条对人生自由的规定和第38条人格尊严条款可以解释信息自决权作为公民的一项基本权利而存在。第39条住宅不受侵犯以及第40条保护通信自由和通信秘密可以作为宪法保护的间接性依据。作为网络时代企业核心内容的个人信息，在数据主体拥有信息自决权的基础上，必然会导致企业收集、使用、处理个人信息的难度增加，导致我国涉欧企业发展减缓。

（1）合规成本的提高减缓我国涉欧企业进入欧盟市场的步伐。GDPR法律体系庞杂，涉及范围较广，企业合规难度加大，高强度的个人数据保护规则必然会给企业造成负担。由此可见，GDPR的实施造成了我国企业进入欧盟市场的法律壁垒。Veritas指出平均每家企业在GDPR合规上所付出的成本达到130万欧元，约1000万人民币，巨大的成本会迫使企业做出放弃欧盟市场的可能。如小米生态链企业的YeeLight智能灯泡产品，因无法赶在GDPR生效前满足合规需求，暂停其服务。

（2）企业组织结构变化。GDPR要求数据控制者、数据处理者设立数据保护官（Data Protection Officer， DPO），只要企业的核心业务涉及处理大规模的欧盟公民数据、处理特殊类别的数据或犯罪记录都要设立DPO，其中核心业务可以参考企业的性质、营业范围、商业目的等因素来确定。DPO需要具备专门的数据保护知识，需要向监管机构报备，并有权监视组织的数据处理。当数据泄漏侵害自然人权益，应通知数据保护监管部门;当数据泄漏会导致数据主体权益处于高风险，应当通知数据主体，改变企业的组织形式，这无疑会增加企业的管理成本。

（四）企业获取个人数据难度增加

GDPR赋予数据主体充分的“限制处理权限”的同时，弱化了企业对个人数据的控制能力。GDPR强化个人信息自决权，增加企业获取个人信息的难度，企业控制个人数据的能力降低，处理数据所需要的成本增加。

主体“同意规则”使获取个人数据的难度增加，一般情况下处理数据需要征得用户同意，且同意必须以自由意愿作出，并作出明确的指示，同意范围包括基于同一目的或同一类目的。当数据处理活动存在不同目的时，每个目的都必须征得同意，禁止通过一项协议获取用户的所有同意，增加企业获取信息的难度。同时GDPR的同意规则在企业与第三方共享数据时，要征得数据主体的同意，除非基于合同履行之必要或为了保护高于用户隐私权的公共利益和合法利益。

（五）规范冲突导致企业合规困难

2017年6月1日，我国首部网络安全综合性立法《网络安全法》（以下简称“网安法”）实施。其中，个人数据保护作为《网安法》的重要内容，标志着个人数据保护制度不断完善，确立了我国网络安全法律制度的基本框架。同时鉴于GDPR所确定的域外效力，如果一个企业既在我国境内有着数据处理行为，同时也向欧盟境内提供商品或服务，则需同时遵守《网安法》和GDPR。

我国《网安法》以属地管辖为基本原则，相比之下，GDPR采用了属地、属人、保护的长臂管辖原则，管辖的依据不限于业务机构所在地或数据处理行为发生地，而是以数据是否来源于欧盟境内作为管辖权的重要依据。同时对于受GDPR管辖的在我国境内的企业，欧盟的数据监管机构拥有调查权，可以要求企业提供其履行职责所需要的信息，而这与我国《网安法》第37条个人数据和重要数据出境制度的实施，以及数据主权相冲突。在此背景下，相关企业将面临合规困境。涉欧企业需要同时满足GDPR与《网安法》两部法律的合规要求，避免重复投入、降低合规成本成为涉欧企业亟需应对的问题。

四、为我国企业合规提供建议

GDPR生效后可能成为未来主导世界数据保护的国际治理模式之一，因此，我国有必要针对其规定采取一系列措施。一方面我国涉欧企业应当做好合规审查，以符合GDPR的要求;另一方面，我国相关政府部门应加强管理，制定个人信息保护相关法律法规。

（一）界定企业在GDPR中的法律地位

中国涉欧企业在充分了解自身所储存数据的基础上，做到认真管理，并对相关数据进行安全保护。企业首先要认清自己的法律地位，认清自己是数据处理方还是数据控制方。GDPR的最重要的变化之一，便是对数据处理方赋予了新的合规要求，数据处理方在超出被允许的范围内处理数据，会被认定为数据控制方，履行与数据控制方相同的责任。因此，企业弄清自己是数据处理方或者数据控制方也有一定的必要性。

（二）通过第三方机构评估公司的隐私保护合规现状

在企业不具备开展GDPR合規测评能力的时候，可以通过第三方专业安全机构进行合规分析，分析企业在GDPR要求方面处于什么位置，了解企业拥有的数据资产，找出企业的漏洞加以改进，以及提出保护数据安全的措施。以及风险评估系统在我国对外交易中非常重要，可以通过风险评估，对企业进行有效控制，减少资金的损失。因此，我国企业可加大建立健全的风险评估系统的支持力度，保障中国企业利益。

（三）推动涉欧企业建立合规制度

中国企业涉及欧盟业务，应提升企业总体对合规的重视程度。

（1）企业调整自身业务状况

一方面，对于员工而言，加大对内部员工的培训，确保相关人员严格执行隐私保护制度中的规定。另一方面，企业需要对已经收集到的数据进一步处理，删除不合规的数据，避免数据的泄露。了解企业所拥有的个人数据，保护当事人隐私，完善对已储存个人资料的保护，降低因个人资料不当处理所引发的巨额罚款。

（2）完善数据主体的权利

GDPR赋予数据主体一系列权利，如果存在对这些权利保护不足或侵犯会造成违法，可能会面临欧盟监管机构巨额的罚款，在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利的同时，还需符合GDPR的要求。

（3）完善数据处理机制

确保数据处理符合GDPR的基本原则，提高数据处理过程中的安全性，并对个人数据处理过程进行记录。必要时任命数据保护官，同时在数据泄露后，及时报告处理，不断完善现有的数据保护机制，减少企业的不合规风险。

（四）建立个人信息保护体系

（1）建立个人信息保护法

我国目前还未有专门的个人信息保护法，但在《网安法》下规定了个人信息保护。个人信息泄漏事件频繁发生，制定统一的个人信息保护法，明确规范企业收集和使用个人数据的流程，通过建立明确的个人信息保护政策为我国互联网等新兴产业指引方向。

（2）在我国国情的基础上，建立国内数据分级管理制度

对特定行业制定不同的规范，对敏感数据设立相应的制度，加强保护力度。在依赖立法的同时，还需结合网络用户、行业协会、网络运营商来构建完整的个人信息保护体系。

五、结语

GDPR对个人隐私保护及监管达到了前所未有的高度，对企业而言既是挑战也是机遇，企业应当采取合适的防范措施，从制度、流程和技术要求等方面完善，加强与欧盟执法部门的协调与交流，做到企业合规。同时，为顺应国际发展趋势，也应制定具有中国特色的个人信息保护制度，完善我国对个人信息的保护立法。

参考文献

[1] 王融.大数据时代：数据保护与流动规则[M].北京：人民邮电出版社，2017：158.

[2] 连志英.大数据时代的被遗忘权[J].图书馆建设，2015（02）：49-53.

[3] 田贵生.解析GDPR及对中国涉欧企业的影响[J].对外经贸实务，2018（07）：46-47.

[4] 王孔祥.GDPR对互联网企业的影响[J].中国信息安全，2018（07）：46.

[5] 郭戎晋.GDPR下互联网企业的机遇与挑战[J].信息安全与通信保密，2018（08）：19.

[6] 鲁泽霖.欧盟GDPR实施对我国的影响[J].信息通信技术与政策，2018（08）：86.

[7] 段利艳，王志辉，周静丽.欧盟GDPR法规对企业的影响及其对策分析[J].中国质量与标准导报，2018（04）：60.

[8] 胡文华.冲击与应对：GDPR与《网络安全法》比较视野下的企业合规[J].中国信息安全，2018（07）：78.

[9] 刘权.最严数据法律将如何影响数字经济企业[J].中国工程咨询，2018（07）：110-111.

作者简介：王苏丹（1994- ），女，汉族，江苏人，南京财经大学在读研究生，研究方向：国际法。