赵盈盈
摘 要:欧盟《通用数据保护条例》(简称GDPR)作为一项更透明、更全面的数据隐私保护法案,被称为史上最严格的跨境数据隐私保护法,在数据遗忘权、数据保护职能、行政罚款与法律域外效力方面进行较大变革。受此影响,中欧数字经济合作面临企业跨境合作利润显著降低、企业数据应用风险加大、数据主权归属矛盾日益突出等问题。为应对欧盟数据隐私新规带来的负面影响,中国应推进《全球数据安全倡议》应用、设立行业自律机制、积极申请加入区域性隐私规则体系、搭建多方安全计算与区块链新技术架构、完善企业应对规则流程。
关键词:欧盟;GDPR;数字企业;数据保护
2019年,《中国数字经济发展白皮书(2020年)》信息显示,数字经济已成为国内第二大出口行业。其增加值规模高达35.8万亿元,占GDP比重高达36.2%,在中国经济发展与对外贸易中的地位愈发凸显。2020年8月25日至9月1日,中国国务委员兼外交部长王毅应邀正式访问了法国、意大利、挪威、德国与荷兰五国,各方以“加强中欧绿色和数字经济领域合作”为主题,展开详细对接。且在2020年11月11日成功举办的第十五届中国-欧盟投资贸易科技合作洽谈会上,中欧双边指出将继续致力于5G技术与智慧城市发展、投资便利化与项目对接匹配等方面深度合作。但自2018年5月25日,欧盟GDPR的颁布与实施,为双边数字经济合作设置诸多门槛,加大了“涉欧”企业业务开展的难度。目前GDPR在欧盟28个成员国内部广泛运用,已成为当下数据隐私保护的基本法律,效力仅次于宪法,这对于中欧数字经济合作无疑是一大阻碍因素。
一、 中欧数字经济合作概况
(一)合作领域
在中欧双边深化数字经济合作关系过程中,合作领域逐渐增多,主要包括云计算、5G技术、在线教育与人工智能等方面。就云计算领域,中欧一直致力于“欧洲云”项目,双边计划在德国和法国建立数字经济重点项目合作示范区,并形成业务覆盖全欧盟的合作经济区。就5G领域,2016年,中国与欧盟联合启动了“中欧物联网与5G”合作项目,开启5G领域合作。且中国在2020年6-10月,向欧盟成员国收集有关5G安全监管措施,完成欧盟委员会5G安全统一措施建议,继续深化该领域合作。就在线教育领域,中欧商业在线一直是中国与欧盟合作举办的在线教育平台,除了为个人提供高质量管理学习经验,还帮助企业提供在线与移动学习方案。如京东集团、中国银联与通用汽车等知名企业都在该平台开展在线培训,为企业高维进阶提供新平台,也为双边数字经济合作提供基本渠道。就人工智能领域,2020年9月28日,无锡市正式成立嘉兴科技城中欧科技创新园,建立集孵化、引进与落户产业化发展项目,为双边入驻企业提供技术平台、产业资源与孵化加速等全方位服务,打造形成引领性创业孵化中心。
(二)合作方式
中欧双边以数字经济合作为切入点,采用展览会、线上洽谈会与建立合作中心方式,持续深化合作关系。就展览会方面,2020年10月28日,中國国际贸易促进委员会、国际商会与服务贸易协会联合承办2020年中欧国际贸易数字展览会,吸引共1200余家参展企业和欧洲13000多名高品质专业观众在线参加。就线上洽谈会方面,如在2020年10-11月,中欧双边成功举办了中欧数字贸易周线上系列洽谈会纺织服装专场、医疗物资专场、汽摩配专场等6场线上洽谈会,指出通过互联网与云技术等创新模式,支持中欧双边深化数字经济合作。就合作中心方面,已经投入3年的中国—欧洲中心正逐步以“对欧商贸中心、交往中心、服务中心”为核心功能,采用“线上、线下、自助”三种方式,为双边涉外企业与跨国机构提供“一站式”服务。截至到2020年11月,德国巴伐利亚州成都代表处、挪威Opera中国区总部、法国Sigfox物联网公司、亚马逊国际创新中心、英国纬图全球亚太总部、德国签证中心等170余家国际知名企业与机构已纷纷入驻,促使中欧双边在数字经济合作实现深度对接。
二、 欧盟GDPR内容变化
(一)提出并确定数据遗忘权
GDPR是欧盟1995年出台《个人数据保护指令》的延伸。《个人数据保护指令》并未提及数据遗忘权相关规定。GDPR首次提出数据遗忘权,并将该权利定义为:若用户不同意数据控制商的数据处理方式,有权将自身数据携带至其他控制商的权利。这一权利体现了欧盟对于个人数据自主权的维护。同时,数据遗忘权对于用户数据的维护并不是偏袒于单个用户,实质上是平衡数据主体与使用者。针对数据使用范围,数据遗忘权设定范围限定于用户本人提供内容,将控制商自主收集的数据排除在外;针对数据适用范围,用户可携带的数据规定只限于合同履约部分,以及用户本人同意部分。且这一权利应用主要是为了将用户个人数据合理使用,最大化发挥数据用能效能,为更多主体提供信息服务。
(二)强化数据应用保护
在《个人数据保护指令》要求下,一旦各国有关法律指令出现制度差异问题,将弱化数据保护职能。也就是说,《个人数据保护指令》并未强调不同国别法律差异的跨境数据保护方法。而GDPR为保障数据应用安全,直接统一了各国法律制度,重新进行规定。一方面,要求超250人的企业必须设立数据保护官(DPO),并指出DPO作为独立职位可专门负责制订企业隐私政策,并可直接向最高领导汇报工作。另一方面,GDPR将数据保护影响评估(DPIA)纳入法律,要求企业遇到以下情况时必须进行数据保护影响评估。第一,在自动化处理基础上,开展与用户有关的系统性与全面性评估。第二,大规模处理特定类型数据,或者是与用户定罪、违法相关的个人数据。第三,大规模、系统性地监控公众可以访问的个别空间。
(三)行政罚款显著增加
《个人数据保护指令》只是针对双边跨境数据合作过程进行监管,并未保障全过程数据安全。而GDPR除了合作过程中的数据监管,还采取事后问责机制,主要针对数据泄露问题进行追责。其对于违法行为进行如下规定:第一,违法行为对于数据主体并没有造成较大影响,可以训诫方式代替罚款;第二,对于默认数据保护行为,但是却没有执行数据保护措施的行为,采取最高1000万欧元,或者企业上一财年营业总额2%的罚款,二者以较高金额为主;第三,对于数据隐私权造成严重损害,且情节严重的侵权行为,处以最高2000万欧元,或者企业上一财年营业额4%的罚款,以高金额为主。这种事后处罚条例较之前法案更为严格,促使企业数据使用更为规范。
(四)法律域外效力进一步扩张
最初,欧盟严格按照《个人数据保护指令》,在数据保护时遵循属地原则,后来扩展至属地、属人原则。而GDPR要求所有欧盟境内数据处理与数据控制机构的应用数据行为不论是否发生在欧盟境内,都需要遵守GDPR。部分在欧盟境外设立的公司如果向欧盟个人进行监控,或者给欧盟境内个人提供服务和商品的行为,必须遵守GDPR。这一要求隐含意义在于,GDPR法律效力与监管范围已经覆盖全世界范围,这也是其具备域外效力的原因。
三、欧盟GDPR对中欧数字经济合作的影响
(一)降低企业跨境合作利润
GDPR对数据收集企业执行最严格的监督审核,导致中国数字企业跨境合作利润大幅度降低。一方面,GDPR要求企业在处理和控制个人信息时,必须征得用户同意,让用户能够随时了解到个人信息。在这一过程中,数字企业若想使用用户数据,就必须与用户建立联系,增加人力应用成本的同时,削减企业合作利润,且GDPR要求数字经济合作企业人数一旦超过250人,就需要设立数据保护官,这就增加了用人成本。另一方面,中国数据贸易企业的IT系统普遍是围绕服务设计,其用户数据会不断向供应商发送。由于较难确定已经被分享的数据源头,企业想要实现用户隐私保护,并授权用户随时删掉个人数据,需要成功追溯至少70%-80%的数据来源,直接加大企业跨境运营成本,导致跨境合作利润显著降低。
(二)加大企业数据应用风险
一方面,数据隐私罚款显著增加。在GDPR实施之前,跨境数字经济合作企业的数据应用受限较小,有关数据隐私罚金较低。而GDPR规定跨境违法合作企业将被处罚巨额罚款,这直接加大了中国数字经济合作企业的数据应用风险。据新浪财经报道,2018年7月至2020年3月,欧盟开出的数据隐私罚款显著增加(如图1所示)。在巨额处罚金政策下,数字企业所面临的合规成本、运营压力与合作难度显著增加,其数据应用风险大幅增加。据数据分析企业SAS调研报告称,在GDPR发布当天,全球按时完成合规要求的企业占比不到50%,大多数中国企业由于缺乏资金以及改进资源,害怕担负巨额罚款,不得已先退出欧盟市场。另一方面,数据应用合规难度显著增加。据人民邮电报信息,在GDPR实施之前,有78%的企业认为可以满足数据保护要求,但实施后,仅有28%的企业能够遵守GDPR。可见,GDPR要求较为严格,仍有大量企业尚未满足GDPR合规标准,其数据应用风险一直存在。
(三)阻碍信息技术发展
GDPR对数据处理者以及数据主体的隐私权提出相同要求,普通云用户和服务商同样需要承担更多要求和责任。这一要求明显与国内数字企业隐私规则相悖,导致国内信息技术发展受限。据21财经等媒体报告梳理,为获取欧盟市场,微信、阿里巴巴全球速卖通、新浪微博等中国互联网企业,在GDPR实施之前进行数据隐私政策更新,并请求重新授權。但绝大部分企业在短期内难以适应这一严苛规则,出现信息技术发展受限问题。如小米公司为展开数据隐私保护业务,早在2014年就已经成立隐私委员会,到2016年小米网和MIUI操作系统得到TRUSTe隐私认证,大举拓展欧盟市场。但2018年5月26日,在GDPR执行后,小米生态链公司智能灯具品牌Yeelight因信息技术问题不符合GDPR数据隐私要求,被迫退出欧盟市场。可见,GDPR实施以来,受限于数据隐私要求,相关企业信息技术发展遭遇较大瓶颈。
(四)凸显数据主权归属矛盾
在GDPR实施下,中国数字企业若在国外设置合作机构,该机构所涉及到的经营场所和经营系统,都受欧盟监管机构监控。但中国《网络安全法》第三十七条规定,关键基础设施在中国境内的企业所收集的个人信息和重点数据,须在境内存储。这两则法规冲突导致企业收集到的数据归属权存在较大矛盾,严重影响中欧数字企业合作。据央广网报道,在GDPR“长臂”管辖原则下,2018年4月,QQ国际版发布在欧洲暂停运作公告,腾讯方面称需要等待升级版本。但到5月20日,腾讯则宣布暂时停止对欧盟市场用户服务,主要原因是QQ数据应用与存储不符合GDPR域外法权主权归属规则。可见,在GDPR强要求之下,随着数据主权矛盾的凸显,数字企业与欧盟合作难度进一步加大。
四、应对之策
(一)推进《全球数据安全倡议》应用
2020年9月8日,中国正式提出《全球数据安全倡议》。该倡议主要内容包括防范制止采用信息技术侵害个人信息以及滥用信息技术行为;要求企业尊重当地法律,不得强制要求本国企业将境外数据转移至境内;未经他国许可不能直接调用企业或个人境外数据。中国驻欧盟使团团长张明大使强调在发展数字经济合作过程中,《全球数据安全倡议》显著加强全球治理八项具体主张,呼吁欧盟各国积极参与《全球数据安全倡议》,以塑造一个公平、开放与安全的数字经济发展环境。中国在与欧盟各国展开数字经济合作过程中,应通过对话、协议签订等方式,呼吁并要求双边推进《全球数据安全倡议》应用。另外,行业协会应针对中欧双边数字经济合作,围绕《全球数据安全倡议》与GDPR新规展开探讨,提出符合双边发展的跨境数据流动标准,以实现多边主义的数据安全主张。
(二)设立行业自律机制
根据国际在线信息,中国昆山市于2020年底举办“中国-中东欧17+1新春晚会”,强调了中国-中东欧国家(17+1)合作机制的重要性。据悉,中国-中东欧国家(17+1)合作机制对于17个中东欧国家具有区别对待性,对于强化中东欧17个国家数字经济具有保障性。中国基于该框架的“特殊合作权益”,与隶属于该框架中的欧盟国家推进行业自律机制建设,可降低GDPR带来的数据应用风险。政府应立足于中国-中东欧国家(17+1)合作机制,与相关国家进行磋商,积极构建基于GDPR的行业自律机制,并将该机制发布于相关企业,让企业了解规则要求后规范运营,有利于推进与中国-中东欧国家(17+1)合作框架下欧盟国家的对接。政府应引进国际先进行业标准,如数据保护影响评估(DPIA)管理标准,并鼓励企业在开展中欧数字贸易时,积极加入欧盟的跨境隐私规则(GBPR)以及欧盟个人信息保护体系(BCR),以强化境内外数据使用能力,降低跨境数据应用风险。
(三)搭建多方安全计算与区块链新技术架构
中国商务部国际贸易经济合作研究院欧洲研究所所长姚铃指出,在中欧数字经济合作过程中,为提升数据应用技术水平,应借助新兴技术,搭建新应用架构。故此,中国数字企业应将数据安全作为企业发展保障,通过持续创新,积极开拓多方安全计算与区块链等新的技术架构,实现数据利用与个人数据保护的动态平衡。企业可通过借鉴发达国家的成功应用经验,借助互联网、大数据与物联网等新兴技术,将多方安全计算与区块链新技术引入到企业。在具体应用过程中,应基于GDPR要求,搭建多方安全计算与区块链新技术应用架构,并将该架构用于相关数字贸易活动之中,在提高企业创新水平的同时,深化双边数字贸易关系。
(四)积极申请加入区域性隐私规则体系
目前,在区域经济组织的推动下,区域性隐私规则体系正在形成,且在亚太经合组织21个成员中,已经有8个成员加入该体系之中,有利于保障区域内数据安全,充分解决了中欧数字经济合作过程中的数据主权归属矛盾。在亚太区域隐私规则体系经验下,中国政府应结合当前“涉欧”数字企业面临的主要问题,深入分析有关欧盟区域性隐私新规的具体内容,在保障数据隐私安全的同时,提出针对性的申请意见,尽快加入区域性隐私规则体系。在加入该体系之后,中国企业应参与全球规则的制定,立足本国企业受到GDPR影响的实情,针对跨境数据主权归属问题,提出有效反馈意见。这有利于明晰跨境数字经济合作中的数据主权归属问题,进一步提高中国数字行业的隐私保护水平。
(五)完善企业应对规则流程
针对跨境合作利润显著降低这一问题,相关企业需要不断完善自身应对新规的流程,以合规性操作提升跨境数字经济合作水平。企业应将涉及中欧数字贸易的所有数据业务进行整理、分类,将可能涉及到数据责任风险的业务进行分割、阻隔,分环节进行数据保密處理。为提高各环节数据业务处理效率,企业应在数据分类处理的同时,对所有涉欧业务的主要分布区域进行考察,通过责任风险和成本风控对比,分清主次区域。在此基础上,区分不同区域内业务,并针对性进行处理,以确保企业处理方式遵循当地合规要求,实现规范化操作,进而增加跨境数据应用利润。
参考文献:
[1]SCA联盟.英国内政部对《欧盟永居方案》管理不足,导致违反GDPR100次[EB/OL]. https://ww w.sohu.com/a/394678268_442599.html.[2020-5-12].
[2]林黎.USMCA原产地规则变化对中国的影响及其启示[J].对外经贸实务,2020(7):41-44.
[3]张大龙.美国制造业回流政策对中国出口的影响及应对策略[J].对外经贸实务,2020(6):17-20.
[4]弓永钦.欧盟数据隐私新规则对中国“涉欧”数字企业的影响及应对[J].国际经济合作,2019(2):70-79.