GDPR对我国跨境数字贸易企业个人数据保护研究*
——基于数据生命周期理论

郭海玲 刘仲山

(河北大学管理学院 保定 071002)

0 引 言

随着以互联网产业化、人工智能、虚拟现实等为代表的第四次工业革命的发展,“数字化赋能”成为当今社会发展变革的主要方向。与此同时,在云计算、人工智能及物联网等数据处理、存储、分析技术日趋成熟的大背景下,贸易作为一种生产要素的社会性交换活动,也在朝着数字化方向发展。由此衍生出的数字贸易成为贸易提振升级的重要发展方向[1]。我国高度重视数字贸易发展,2022年政府工作报告中首次提到数字贸易,并将其列入到扩大国家高水平对外开放的重要内容中,为我国跨境数字贸易发展带来较好的契机。与此同时,我国依托先进的信息技术与国内数字贸易的成功经验,在跨境数字贸易中展现出较强的竞争优势。据《数字贸易发展与合作报告(2022)》显示,2021年我国数字服务进出口总值达3596.9亿美元,同比增长22.3%,占服务进出口比重达43.2%。

跨境数字贸易发展之所以能够在传统跨境贸易中脱颖而出,主要在于其可以通过一系列知识化、数字化服务实现全球范围内的精准化贸易流通,而这种高效贸易方式的运行需要依托海量用户数据尤其是个人用户数据来实现。然而数字贸易在贸易对象与贸易方式等方面与传统贸易存在较大差距[2]。因此原有的传统贸易规则并不能完全适用于数字贸易,再加之跨境数字贸易中各参与方在行为观念、行政监管、执法尺度上存在固有差异等诸多因素,使得大量个人用户数据被滥用甚至泄露[3]。这一状况很大程度上阻碍了跨境数字贸易市场的规范与发展。

为了有效解决跨境数字贸易发展中面临的新型个人数据安全问题,各个国家与国际组织通过相关法律法规对此进行规制。例如:美国于2020年正式实施的《加州消费者隐私法案》;韩国在2020年1月通过了《个人信息保护法》《信用信息法》《信息通信网法》的修订案;我国在2021年11月开始实施《中华人民共和国个人信息保护法》等。上述法案的设立均是以强制形式来构建新型数字贸易准则,从而切实维护公民合法权益、保障企业良性发展、促进国家网络安全。这其中最具影响力与借鉴意义的是欧盟于2018年正式实施的《通用数据保护条例》(GDPR)。GDPR作为一部以正式法典形式出现的条例,因其对个人数据保护具有宽泛的保护范围、极高的实施标准以及严苛的监管惩罚力度,所以被称为全球最严数据保护法规与世界数据保护立法标杆,其为其他各国的个人数据保护提供了法律范本。因此,通过系统分析研究GDPR的内容,明晰跨境数字贸易中现存的个人数据安全问题,并有针对性的探讨应对策略,不仅有助于我国跨境数字贸易企业提高对服务用户数据的保护意识,还可以为我国跨境数字贸易企业合规经营提供方法论的指导。

1 国内外相关研究

GDPR作为个人数据保护中具有里程碑意义的条例,近年来受到大量中外学者关注并产生了诸多研究成果,涉及如下三个主题:①GDPR发展与影响研究,该主题主要介绍并论述了GDPR产生的背景条件、演进内容及影响意义。其中,刘云[4]从数据保护起源于对传统个人隐私保护这一角度出发,介绍了GDPR的产生背景、演进过程与主要内容;何治乐等[5]从法律规则、执法负担、全球化发展三方面分析了GDPR出台的必要性,同时通过与《1995 年个人数据保护指令》进行比较,总结出GDPR在国内外的影响意义;Hoofnagle等[6]描述了GDPR的规范基础,并对日后GDPR实施可能产生的一系列影响进行了预测;Teixeira等[7]在介绍GDPR内容基础上,确定GDPR实施的关键因素,并分析了GDPR带来的机遇与风险。②针对特定数据场景的GDPR应用性研究,许鑫等[8]在数据出版作为数据共享独特形式的大背景下,以GDPR内容为框架,对科研数据出版中的数据保护问题进行分析研究并提出相应解决对策;Guaman等[9]结合GDPR提出一种基于移动应用程序的跨境个人数据传输合规性评估方法,并进行了实证研究;Butler等[10]基于英国雇佣关系,重点关注GDPR实施背景下雇主以及调查公司对个体雇员背景调查数据的处理流程与程序合规性操作问题。③GDPR内容专项研究。冉从敬等[11]选取GDPR中的“数据可携带权”进行研究,就其演进过程、具体内容以及所产生的影响进行介绍,明确论述了数据主体拥有获得个人数据并传输给另外数据控制者的权利;Presthus等[12]通过调查GDPR实施后所发生的违规行为与制裁案例,对条例中违反和制裁的现有内容进行研究,分析违反条例的潜在后果并提供一系列适用性的见解;Muscatella[13]在欧洲相关法律的基本框架与指导方针基础上,对GDPR所提出的“数据保护官”的角色定位、技能要求以及职责义务进行深入研究。

根据现有国内外研究成果,可以发现大多数研究均从GDPR本身发展历程或条款内容出发并结合研究领域进行应用性分析,缺少系统性的对跨境数字贸易中所存在的个人数据安全问题进行分析与认知,且缺乏对跨境数字贸易这一重要个人数据跨境流动领域进行针对性的安全保护对策研究。所以本文通过引入数据生命周期理论对GDPR中有关跨境数字贸易企业的主要变革内容进行归纳分析,并且融合构建跨境数字贸易个人数据生命周期模型来探究跨境数字贸易中个人数据安全问题,最终以GDPR为依托,为我国跨境数字贸易企业所面临的个人数据保护问题提出启示建议。

2 数据生命周期视角下GDPR主要变革内容

2.1 数据生命周期概述

生命周期最初在生物学中是指生物生老病死的客观生命演化发展规律。而如今这一概念被广泛应用于社会科学研究中,特指某事物或社会现象在一定时间跨度内经历一系列不同发展阶段的历程[14]。随着大数据的发展,数据生命周期作为一种揭示数据自身发展规律的理论逐渐成为研究数据管理保存的重要手段[15]。但不同于传统生物学中生命周期从出生到消亡的概念,数据生命周期是一个动态演进并可再回收利用的循环过程[16]。

通过文献检索与资料查阅发现,在诸多学科领域中不同机构、学者通过构建数据生命周期模型开展相应的数据研究,既可以完善对数据使用的认识又有利于系统分析数据流动中存在的问题。典型的数据生命周期模型有:DDI (Date Documentation Initiative)数据生命周期模型、DCC (Digital Curation Center)数据生命周期模型、DataONE (DataONE Date Lifecycle) 数据生命周期模型等。本文对国内外代表性数据生命周期模型的来源、涉及领域、模式及阶段划分进行了汇总,见表1。

表1 国内外数据生命周期模型总结

数据生命周期模型可以识别数据管理的复杂过程,为数据管理提供理论框架指导。通过整理国内外各研究领域数据生命周期模型后可以发现,尽管不同数据类型的阶段划分具有一定差异性,但依然可以结合数据实际流动情况从中提取出数据从创建到销毁的所有关键阶段,即数据创建—数据采集—数据传输—数据储存—数据处理—数据使用—数据维护—数据销毁。其中,数据创建作为数据生命周期的起点环节,其也是数据发挥其自身效能的先决条件;数据采集是数据获取的重要手段,其目的在于收集丰富的数据资源以支持后续生命周期环节的运行;数据传输是重要的资源分配环节,其效果很大程度上决定了数据资源效用的实现;数据储存是数据生命周期的必要环节,对数据资源安全与数据资源调用具有重要意义;数据处理是数据生命周期的关键环节,其目的是在数据使用前通过技术手段对数据进行增、删、改、查等操作,进而最大程度地挖掘和提升数据自身价值;数据使用是数据生命周期的目的性环节,同时又能为新数据的创造奠定基础;数据维护是数据生命周期的重要环节,也有助于确保数据的有效可用、持续可靠、安全稳定;数据销毁是数据生命周期的最终环节,是防止数据泄露的最后防线。

2.2 GDPR主要变革内容简介

GDPR作为一部体量庞大、结构复杂的个人数据保护法,其结构上包括法释和正文两部分,其中法释173条,正文共11个章节,其下包含99条具体条款[25]。与此同时,GDPR作为一部诞生于数字新时代的法律,在整合了旧有个人隐私保护指令的基础上又充分结合了当下社会发展的现实情况,规范并重塑了欧洲的数据隐私法律。而跨境数字贸易作为一项新兴业态,其相关企业不仅是贸易活动的主要参与者,也是跨境个人数据最重要的控制者与处理者。故GDPR中包含大量内容对以跨境数字贸易企业为代表的数据主客体进行概念界定、原则定义以及权责划分(见图1)。

图1 GDPR主要变革内容鱼骨图

根据GDPR主要变革内容鱼骨图,其内容可以归纳为基本概念界定、数据处理基本原则、数据主体权利、数据处理者&数据控制者义务、跨境数据转移以及处罚等六个方面。其中,基本概念是条例的要素之一,也是利用条例进行实际问题解决的重要工具,GDPR对个人数据、数据不同主体以及条例适用范围等基本概念进行了详细界定;GDPR在数据处理方面提出了相应的规范原则,其中重点强化了“目的限制” “收集最小化”与“数据准确性”等原则;数据保护实质上就是确保数据主体权利不受侵犯,GDPR重点阐述了知情权、访问权、更正权、被遗忘权、限制处理权等多项数据主体权利;GDPR详细指明了数据控制者与数据处理者针对个人数据安全保护方面的多项义务,包括设立数据保护官、事先咨询、数据泄露报告等义务,旨在有效地对个人数据主体权益进行全周期的保护;虽然GDPR在诸多章节都突出了其鲜明的域外适用属性,为了保证在跨境数据转移中对自然人的保护程度不被削弱,GDPR重点列举了特定情况转移、约束性规则、提供保障措施等几种跨境数据转移适用机制;GDPR被称为史上最严格的数据监管条例,因此在处罚方面GDPR加重了对违反条例的数据控制者与数据处理者的赔偿和处罚力度。

2.3 基于数据生命周期的GDPR主要变革内容分析

本文基于数据生命周期的各关键环节作为理论框架来归纳分析GDPR的主要变革内容。在满足跨境数据流动总体规则的基础上,重点对与跨境数字贸易企业相关度较大的数据处理基本原则、数据主体权利、数据处理者与数据控制者义务三方面内容进行体系化解构分析,见表2。

表2 基于数据生命周期的GDPR主要内容分析

从表2中不难看出在数据处理基本原则与数据处理者与数据控制者义务中部分内容作为基础性内容贯穿全生命周期,例如“合法性、公平性和透明性原则”“可问责原则”“设立数据保护官”等,而数据主体权利呈现出了更多的阶段性特征。总体来看,GDPR具有一定的丰富性与全面性,个人数据保护已经完全覆盖了整个数据生命周期;同时,GDPR也具备一定的连贯性与衔接性,在不同的数据生命周期环节中,相关原则与权责可以进行有机联通,从而确保条例的力度与效度。

3 数据生命周期视角下跨境数字贸易个人数据问题分析

3.1 跨境数字贸易个人数据生命周期模型构建

跨境数字贸易主要包括跨境数字货物贸易、跨境数字服务贸易、跨境数据贸易三个主要贸易类型,并逐渐形成了跨境数字对接、跨境数字订购、跨境数字交付、跨境数字结算等多样的贸易环节。而个人数据作为一种贯穿于多环节的商业要素,在跨境数字贸易中多场景都得到广泛应用,故其在一定程度上具有资产性、繁杂性等特征。本文将数据生命周期中数据创建、数据采集、数据传输、数据储存、数据处理、数据使用、数据维护以及数据销毁的八个阶段嵌入到跨境数字贸易之中,并通过对各阶段基本内容和跨境贸易运行关系进行梳理来展示其整体协调运作过程,见图2。

图2 跨境数字贸易个人数据生命周期模型

该模型力求最大程度上还原自跨境数字贸易启动到跨境数字贸易结束中各数据周期的衔接关系,并为下文跨境数字贸易个人数据问题分析提供方向指导。

3.2 跨境数字贸易个人数据问题分析

3.2.1数据创建

数据创建既包括对原始数据的创建又包括对数据使用过程中过程性数据的创建。在跨境数字贸易中,每个跨境数字贸易的参与者都可以成为数据创建者,而且数据创建不仅局限于对传统信息资源进行数字化呈现,还常常衍生于跨境交易、跨境支付、跨境物流等实际贸易操作环节。由此可见,跨境数字贸易中数据创建通常是一种无意识的客观贸易数据反映,所以在数据所有权与数据使用权分离的跨境数字贸易中,如何进行数据确权、合理判断企业是否需要遵守GDPR成为数据创建这一初始环节的突出问题。

3.2.2数据采集

数据采集在狭义上专指对数据的获取与收集,但近年来随着数据创建渠道的不断丰富,数据量也迎来了爆炸式增长,数据采集逐渐演变为一个包含数据获取、数据挖掘、数据汇集及数据筛选等多流程的广义范畴。在跨境数字贸易中,由于数据创建的时空跨度大、体量庞杂、形式多样,这导致数据呈现出繁杂化的特点,不仅影响数据采集的效率与效果,还极大提高了数据采集阶段的数据保护难度。与此同时,随着公众隐私意识的提高,数据主体对个人数据较低的共享意愿与贸易正常开展所必要的个人数据需求之间的矛盾也成为一种必然常态。所以如何规范与界定数据主体与数据获取权限、建立数据信任、平衡数据安全与行业发展成为是关乎数据采集能否正常开展的关键问题。

3.2.3数据传输

数据传输是指数据在一定作用域中从一个数据源实体(个人、机构)通过特定传输渠道传递到另一个或多个数据接收实体(个人、机构)的过程。在跨境数字贸易中,数据控制者所持有的海量个人数据是用户为了达成跨境数字贸易目的而让渡出的个人数据,包含用户姓名、地址、定位、联系方式甚至职业状态等一系列隐私数据,这种个人数据流动大多属于定向传输。然而随着贸易范围的扩大,来自不同国家的数字贸易企业与个人都不可避免地参与到数据传输之中。这种远距离、高频次的跨境个人数据流动无形中增加了个人数据丢失与泄露风险,严重影响着海内外个人用户甚至国家的数据安全。

3.2.4数据储存

数据储存是指数据资源在其生命周期中需要以某种格式并按照一定顺序记录在计算机内部或者外部存储介质中,数据储存的侧重点在不同业务场景中会有较大差异。在跨境数字贸易中,数据储存与数据传输类似,其数据保护重点表现为保持个人用户数据安全性与完整性上。另外与数据传输所涉及的实时数据不同,跨境贸易个人数据的存储不仅需要解决传统的数据泄露问题,还可能会面临着匿名访问用户审核、数据的密级访问权限失控、杜绝个人数据冒名修改等在数据储存环节亟待规范的问题。

3.2.5数据处理

数据处理是指特定的数据处理组织或机构为了满足实际数据需求,利用自身专业知识与数据处理工具对数据所进行的一系列加工的活动[26]。在跨境数字贸易中,由于各国语言文字、行为习惯、标准格式以及用户信息素养均有较大差异,所以原始数据必须经过翻译、标准化处理才能进行后续的存储与利用,多工序的数据处理也会无形中诱发个人数据泄露。并且跨境数据在实际操作中经常会出现数据冗余、数据异常、数据缺失等情况,所以需要对数据进行加工或分析处理,以提高相关数据的有效性、及时性和准确性。与此同时,在录入、转录、翻译、检查以及描述数据中数据处理者与数据主体的权责认知上仍有较大出入,由此造成的纠纷严重影响着跨境数字贸易行业进步与发展。

3.2.6数据使用

在跨境数字贸易中,数据主体、数据处理者、数据控制者甚至数据监管者都在使用数据。然而受到利益驱使,有大量个人用户数据遭到非法滥用,特别在跨境数字贸易中,由于各国对数据主体权责界定与适用效力具有较大差异,造成跨境数字贸易领域数据使用问题频发。并且用户画像、关联推送、精准投放等高强度数据使用行为成为跨境数字贸易主要依赖的赋能营销模式。故成本较小的非法数据行为使用往往会挤压正规合法数据使用行为的生存及发展空间,最终造成劣币驱逐良币的不良行业环境。

3.2.7数据维护

数据维护是指在数据使用基础上,针对错漏与滞后的数据进行更新、矫正以确保数据的准确性与逻辑上的一致性。跨境数字贸易是一种依赖于用户个人数据的商业活动,准确的个人数据是跨境数字贸易开展的重要前提。在当前快速发展的大数据时代,除去由于系统及设备等硬软件问题导致的数据泄露外,数据主体的部分个人数据会随着贸易推进发生一定的变化,并且同步个人数据实时更新、提供个人数据修改与调整服务也是当前用户追求个性化服务的重点,这加大了数据维护中个人数据安全保护的难度。

3.2.8数据销毁

数据销毁是指通过一定手段将存储中的指定数据进行有效删除,使其被恢复的可能性足够小甚至不能被恢复[27]。跨境数字贸易中,为了提升交易效率并减少线上交易中的信息不对称,卖家在交易中会上传涉及个人隐私的敏感数据。如果其中个人敏感数据发生泄露,那么对个人安全乃至社会稳定都会造成严重的后果,所以数据销毁作为数据安全生命周期的最后一公里具有特殊意义。而在当前数字贸易与云计算高度融合的背景下,如何从制度上规范和确保个人数据销毁成为跨境数据贸易发展中急需解决的重要问题。

4 GDPR对我国跨境数字贸易企业发展的启示

GDPR已经实施5年左右,还未有证据能充分证明其对社会发展的正向作用,但其确立的个人信息保护标准正在成为全球标准。GDPR在扩大对个人数据监管范围的同时又对个人数据利用提出了更为严苛的标准与要求。跨境数字贸易中企业作为实际的数据控制者与数据处理者,如何通过数据合规来保障个人数据安全成为跨境数字贸易企业必须直面的问题。然而GDPR也并非完美,其也存在执法性不足、适用边界难以界定、存在大量模糊规定以及数据安全和发展没有很好兼顾等诸多内在缺陷。所以本文以GDPR为依托,基于数字生命周期理论对GDPR变革性内容与跨境数字贸易个人数据保护问题的分析,从全局统制与阶段举措两个维度为我国跨境数字贸易企业提出具有辩证性的启示。

4.1 全局统制

4.1.1强化GDPR认识

由于跨境数字贸易的行业特殊性,广大企业在实际贸易运行中,通常会作为数据控制者和处理者来接触来自世界各地的个人数据。然而GDPR的属人原则在很大程度上拓宽了条例的适用范围,并极大的提高了对违规企业的处罚力度,会导致企业为避免受到严苛惩罚而急于学习借鉴GDPR的内容。然而法律的好坏关键在于是否合体,因此我国跨境数字贸易企业不应全盘照搬GDPR的内容,必须正确看待我国与欧盟在文化和制度上存在天然差异的基础上,并通过企业学习法律知识,强化企业法制建设来深入细致地对比GDPR与我国跨境数字贸易发展的目标、起点及可行性条件,在结合自身发展和我国国情的基础上对GDPR进行借鉴与反思。

4.1.2组织GDPR合规工作部门

合规运营是跨境数字贸易企业避免受到GDPR处罚的关键,但企业往往受困于已有业务化、技术化导向的公司架构与部门设置,对GDPR难以进行系统化、专业化认识理解。所以我国有实力的跨境数字贸易企业应该充分结合研发、运营、财务、审计等涉及个人数据处理的已有部门岗位,引进专业合规人员进行合规工作部门的建构与组织。这样做可以更好地为业务相关人员工作提供合规方面的指导,有利于培养全员数字思维,进而有效地实现业务全流程的合规化,避免触碰规则红线,并在确保充分兼顾安全和发展的前提下推进企业合规。

4.1.3设立数据保护官

设立数据保护官是由GDPR提出的一项具有强制要求的条款。数据保护官在跨境数字贸易企业中具有一定现实意义。对外可以合理解答数据主体就个人数据被搜集的相关问题与明晰不同域外国家的数据保护法律,对内既可以对企业数据处理人员提出合规化意见又可以跟进和监督企业对个人数据全生命流程保护措施的实施。然而,我国有大量的中小型企业从事跨境数字贸易,设立数据保护官使得企业不得不为此花费不菲的资金,并且我国数据保护官相关法律、认证体系以及人才培养等方面尚未完善。基于此现实情况,我国大量中小型跨境数字贸易企业不能盲目设立数据保护官,要结合自身与相关配套制度建设情况,现阶段可以寻求聘请兼职数据保护官来帮助企业规范个人数据保护,以实现个人数据保护与企业成本管控相平衡。

4.2 阶段举措

4.2.1数据采集:建立集约化数据采集模式

依据GDPR中目的限制性原则与数据最小化原则,企业必须正视其对个人数据高频次的收集与使用会增加数据安全隐患的现实。充分集合数据要素优势,通过审视业务发展需求与挖掘已有数据的潜能等技术管理手段,以提高单位数据的实际效益。从而在满足业务开展的前提下,最大程度上减少对个人数据采集的数量与频次,杜绝个人数据的泛采烂采,从数据采集层面降低数据泄露与违反条例所带来的赔偿与处罚风险。但GDPR仅对数据采集进行原则性规范,未能考虑到跨境数字贸易中个人数据格式、类型所存在的差异,所以我国跨境数字贸易企业还需要考虑集约化数据采集的具体标准,并在收集用户数据前以清晰、简洁的方式向数据主体说明数据采集的必要性,以征得个人用户的同意。

4.2.2数据采集、处理及使用:细化并公布个人数据清单

访问权和拒绝权是GDPR中基础的数据主体权利,贯穿于数据采集、处理、使用等阶段。跨境数字贸易企业作为个人数据的实际控制者与处理者有责任也有义务细化并公布包括个人数据采集清单、个人数据处理清单、个人数据使用清单在内的个人数据清单,以此来让数据主体及时清晰的获知个人数据的被操作情况、减少用户对个人数据不知情的恐慌、提升数据主体的数据服务感知、方便后续数据主体有效行使被遗忘权、限制处理权、数据更正权等数据主体权利。然而GDPR在给予数据控制者在特定目的范围内采集、处理、使用数据权利的同时,也明确指出个人数据仍然受制于数据主体的个人意志,个人有权随时行使拒绝权。这需要企业提高反应速率并及早做好应急预案,配备必要的技术、管理人员以便及时响应数据主体的多样化数据需求。

4.2.3数据传输:构建完整的数据传输体系

数据传输是联通数据产生地和接收地的桥梁环节,而数据跨境传输承担着跨境数字贸易信息沟通与资源调配的任务。GDPR中完整与保密原则、数据可携带权、数据泄露报告与数据活动过程记录等变革性内容对数据传输过程进行了规制与指导,但由于条例从不同角度出发具有一定的分散性,难以为个人数据跨境传输进行宏观指导。所以我国跨境数字贸易企业需要构建一套完整的包含与欧盟签订的标准合同条款、利用数据保护技术实现跨境数据加密传输、采用数据基因对数据传输过程进行记录的数据传输体系,实现数据的可溯源、可追踪,并提升跨境数据的安全传输效率。

4.2.4数据储存与数据维护:进行数据文档化分级管理

个人数据作为一种资源,企业不能仅将其当做增值获利的工具,还必须认识到个人数据也是企业发展的重要资产。依据GDPR的限期储存原则、文档化管理的义务以及数据主体的数据更正权,应充分激发跨境数字贸易企业在数据存储与数据维护阶段的主观能动性,积极投入资源对所收集且持有的个人数据进行定期清点与评估,但这同时也会带来企业合规过于繁琐复杂、企业运营成本增加、企业创新热情削弱、跨境数字贸易活力降低等问题。所以我国跨境数字贸易企业可以借助区块链技术对海量个人数据进行文档化分级管理,进而对不同类型的个人数据群制定特定的储存与维护措施,在保证数据主体权利的同时对个人数据进行精准化管护。

4.2.5数据销毁:完善数据处置制度

按照GDPR被遗忘权规定,企业在客户要求删除其个人数据之后必须能够适时地对个人数据进行删除与销毁。可以看出在GDPR中没有对数据销毁的标准进行详细的规范,这也给一些企业长期持有用户个人数据提供了相应的法律漏洞。在这样的背景下,跨境数字贸易企业需要通过制定个人数据销毁规范、并建立个人数据销毁管理体系、设置个人数据销毁审批与监督环节来优化数据销毁制度,从制度层面确保待销毁数据得到妥善处置,避免出现应销未销或数据销毁不合规等情况。

5 结 语

综上,在全球跨境数字贸易蓬勃发展的今天,数据安全尤其是个人数据安全愈发成为国际间数字贸易摩擦博弈的焦点。GDPR作为一部具有全球视野的个人数据保护法,尽管其所制定的规则并非完美,但其反映出高强度的个人数据保护是未来跨境数字贸易发展的必然趋势。所以在GDPR的影响下,我国跨境数字贸易企业应该抓住机遇迎接挑战,顺应数据保护的发展大趋势,发挥我国数字经济优势,努力实现跨境数字贸易的高质量发展。

考虑到本文目前仍停留在理论层面,还缺乏对GDPR实际应用过程以及宏观制度可行性的深度剖析,并且本研究主要基于跨境数字贸易企业未对其他跨境数字贸易的参与主体进行思考。接下来的研究可以基于我国现实发展背景、GDPR合规情况以及跨境数字贸易个人数据保护情况,对以GDPR为代表的国际性法律进行观念、效力、制度、技术等进行多层次的比较探究,在充分尊重法律制度适用的主体性和时期性的前提下,从多主体视角出发分析GDPR对我国产生的影响并为跨境贸易中个人信息保护提供更加科学客观的结论参考。