王 銳

(國家法官學(xué)院民商事審判教研部，北京 101100)

阿爾文·托夫勒在《第三次浪潮》中預(yù)言，21 世紀(jì)人類社會將迎來信息時(shí)代，信息將與物質(zhì)和能量一起成為構(gòu)成世界的三大要素。在信息技術(shù)與信息產(chǎn)業(yè)極大發(fā)展的今天，個(gè)人信息與數(shù)據(jù)保護(hù)問題逐漸引發(fā)全球關(guān)注。企業(yè)在經(jīng)營過程中收集并存儲了大量的用戶個(gè)人數(shù)據(jù)，對于這些數(shù)據(jù)負(fù)有安全保障義務(wù)。數(shù)據(jù)問題，在任何國家均是社會普遍關(guān)注的問題，但不同國家的數(shù)據(jù)保護(hù)基礎(chǔ)法律及標(biāo)準(zhǔn)不同，跨國投資經(jīng)營的企業(yè)極易因缺乏經(jīng)驗(yàn)而面臨風(fēng)險(xiǎn)。

2019年2月28日，我國企業(yè)“字節(jié)跳動”海外收購的全球短視頻應(yīng)用Musical.ly(后與“字節(jié)跳動”下TikTok合并)，與美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission，以下簡稱FTC)在一起針對其數(shù)據(jù)保護(hù)義務(wù)的調(diào)查中達(dá)成和解，為此支付了高達(dá)570萬美元的罰金，系FTC迄今為止因兒童數(shù)據(jù)保護(hù)問題而開出的最大罰單；不但如此，此前為期三年的FTC執(zhí)法調(diào)查已經(jīng)導(dǎo)致了“字節(jié)跳動”北美商業(yè)化進(jìn)程大為受阻，學(xué)費(fèi)不可謂不昂貴。①無獨(dú)有偶，2017年我國PC頭部企業(yè)聯(lián)想也曾因預(yù)裝軟件涉嫌訪問收集用戶敏感信息，遭遇FTC處罰。②

近年來，我國對外投資發(fā)展迅速，2017年中國對外投資存量居全球第二，僅次于美國。③對外投資方式創(chuàng)新顯現(xiàn)，主要包括綠地投資、收購并購、聯(lián)合投資、實(shí)物投資、股權(quán)置換、返程投資等形式，其中跨境并購依然是中國對外投資的主要手段。④歐洲與北美洲是2017年中國跨境并購的前兩大目標(biāo)地。⑤然而，與體量巨大的對外投資不相匹配的是，對外投資企業(yè)對可能承擔(dān)的數(shù)據(jù)保護(hù)義務(wù)與數(shù)據(jù)法律責(zé)任認(rèn)知不足，風(fēng)險(xiǎn)管控能力缺失，在全球已經(jīng)有105個(gè)國家⑥確立自己的數(shù)據(jù)保護(hù)立法體系的背景下，數(shù)據(jù)保護(hù)意識淡薄的對外投資企業(yè)很可能如同“字節(jié)跳動”一般遭遇重大損失。由此，本文以下將結(jié)合我國主要投資目的地美國、歐盟、英國的立法、執(zhí)法與司法情況，討論我國企業(yè)在對外投資中所面對的數(shù)據(jù)法律義務(wù)內(nèi)容及標(biāo)準(zhǔn)、數(shù)據(jù)法律責(zé)任形式及范圍，并就我國對外投資企業(yè)如何防范數(shù)據(jù)法律風(fēng)險(xiǎn)提供建議。

一、主要投資目的地的企業(yè)數(shù)據(jù)法律義務(wù)

企業(yè)在運(yùn)營過程中，不可避免地會涉及對用戶個(gè)人數(shù)據(jù)的收集與處理，為此，我國主要投資目的地均通過立法、司法或執(zhí)法明確企業(yè)在處理個(gè)人數(shù)據(jù)、為個(gè)人數(shù)據(jù)提供安全保障等方面的法律義務(wù)與責(zé)任。

(一)美國的企業(yè)數(shù)據(jù)法律義務(wù)

美國境內(nèi)的個(gè)人數(shù)據(jù)保護(hù)主要通過成文法規(guī)定信息或數(shù)據(jù)法律義務(wù)與普通法保護(hù)隱私權(quán)雙重路徑共同實(shí)現(xiàn)。在具體職能方面，聯(lián)邦與州立法、司法、執(zhí)法機(jī)關(guān)均發(fā)揮了不可或缺的作用。

1.聯(lián)邦層面的企業(yè)數(shù)據(jù)法律義務(wù)

在美國聯(lián)邦層面，由于缺乏關(guān)于個(gè)人數(shù)據(jù)或隱私保護(hù)的一般性立法，傳統(tǒng)的關(guān)于個(gè)人數(shù)據(jù)保護(hù)的規(guī)范分散在不同行業(yè)的法律法規(guī)之中；但總體而言，成立于1914年的FTC致力于保護(hù)消費(fèi)者個(gè)人隱私信息與數(shù)據(jù)，在一定程度上彌合了分業(yè)立法、分業(yè)執(zhí)法的缺陷，并在隱私保護(hù)領(lǐng)域發(fā)揮了普通法的替代作用。[1] P583-676FTC的主要授權(quán)來自《聯(lián)邦貿(mào)易委員會法》⑦第5條，即“禁止市場中不正當(dāng)或欺詐性的行為” (unfair or deceptive acts or practices)；同時(shí)FTC還從《兒童在線隱私保護(hù)法》(Children On-line Privacy Act)《金融服務(wù)現(xiàn)代化法》(Financial Services Modernization Act of 1999)《公平信用報(bào)告法》(Fair Credit Reporting Act)《電話營銷銷售規(guī)則》(Telemarketing Sales Rule)《公平債務(wù)催收法》(Fair Debt Collection Practices Act)等多部部門法中獲得執(zhí)法授權(quán)。事實(shí)上，近年來，F(xiàn)TC在個(gè)人數(shù)據(jù)保護(hù)執(zhí)法方面極為活躍，其執(zhí)法調(diào)查與處罰行動覆蓋了包括臉書、谷歌、亞馬遜等美國本土企業(yè)與聯(lián)想等境外企業(yè)。

FTC開始采取數(shù)據(jù)保護(hù)執(zhí)法行動與1995年克林頓政府提出的建設(shè)國家信息基礎(chǔ)設(shè)施方案遙相呼應(yīng)，其理由在于，如果個(gè)人數(shù)據(jù)與信息無法得到合理保護(hù)，則會導(dǎo)致人們不愿使用國家信息基礎(chǔ)設(shè)施，進(jìn)而延宕產(chǎn)業(yè)與經(jīng)濟(jì)發(fā)展。[2]P87FTC的執(zhí)法行動可以分為三個(gè)階段，第一個(gè)階段從上個(gè)世紀(jì)90年代起，F(xiàn)TC主要對企業(yè)做出的不符合其自行宣稱的數(shù)據(jù)保護(hù)政策或隱私政策的行為進(jìn)行監(jiān)管執(zhí)法，并認(rèn)定這種行為系“欺騙性的”行為或經(jīng)營方式。例如，當(dāng)企業(yè)在隱私政策中宣稱其在數(shù)據(jù)傳輸中采取某種加密技術(shù)，但事實(shí)上并未采??；或者在隱私政策中宣稱其不會對外出售客戶信息，但在破產(chǎn)中仍將客戶信息作為破產(chǎn)財(cái)產(chǎn)變賣等。以上均構(gòu)成引發(fā)FTC調(diào)查處罰的“欺騙性”行為。彼時(shí)執(zhí)法案件幾乎都以受調(diào)查對象與FTC和解的方式而告終。[1]P583-676第二個(gè)階段，F(xiàn)TC的執(zhí)法重點(diǎn)開始從“欺騙性”向“不公平”行為轉(zhuǎn)變，從而將企業(yè)數(shù)據(jù)保護(hù)義務(wù)推向更高標(biāo)準(zhǔn)。依據(jù)《聯(lián)邦貿(mào)易委員會法》第5條，那些“有可能給消費(fèi)者帶來嚴(yán)重?fù)p害；消費(fèi)者自身無法合理避免；并且即便考慮到對消費(fèi)者或競爭的利益，也不會出現(xiàn)利大于弊的情況”的行為或經(jīng)營方式可認(rèn)定為“不公平”。依據(jù)FTC執(zhí)法實(shí)踐，當(dāng)企業(yè)試圖改變其隱私政策且不通知用戶或者對用戶提出不合理要求的行為，就構(gòu)成“不公平”的商業(yè)行為。例如，美國PC知名品牌Gateway公司原有隱私政策許諾不會對第三方出售客戶數(shù)據(jù)信息，此后該公司修改其隱私政策，并要求不同意新隱私政策的用戶需要明示選擇反對，對此FTC認(rèn)定構(gòu)成“不公平”商業(yè)行為，因?yàn)檫@將對用戶施加一種要求其時(shí)刻監(jiān)督企業(yè)數(shù)據(jù)隱私政策并必須采取積極行動阻止其個(gè)人數(shù)據(jù)被出售的不合理的義務(wù)。這也是FTC對企業(yè)實(shí)質(zhì)性改變其隱私政策的欺騙和不公平做法的首次執(zhí)法。⑧再如FTC歷史上對臉書的執(zhí)法調(diào)查中，曾認(rèn)定臉書未經(jīng)警告用戶就變更其原有數(shù)據(jù)隱私政策的行為，由于涉嫌曝光臉書幾億用戶的個(gè)人信息而構(gòu)成“不公平”。時(shí)任FTC主席Jon Leibowitz 就此案件明確表態(tài)：臉書的創(chuàng)新并非必然以犧牲消費(fèi)者隱私為代價(jià)，F(xiàn)TC將以行動確保這一點(diǎn)。⑨近年來，亦即第三個(gè)階段，F(xiàn)TC更是將執(zhí)法行動深入到企業(yè)數(shù)據(jù)保護(hù)政策的實(shí)質(zhì)內(nèi)容，將企業(yè)設(shè)計(jì)了不合理數(shù)據(jù)保護(hù)政策的行為也認(rèn)定為“不公平”。例如，某企業(yè)設(shè)計(jì)的應(yīng)用程序默認(rèn)設(shè)置為用戶允許將其多種類型的全部文件上傳至網(wǎng)絡(luò)進(jìn)行共享；如客戶不同意共享某類文件則需要明確選定；如客戶希望共享某類文件中的某一個(gè)文件，則需要選定該類文件后將不共享的文件一一選擇不共享。FTC認(rèn)定這一設(shè)置對用戶隱私與數(shù)據(jù)保護(hù)構(gòu)成“不公平”且具有“欺騙性”，違反了企業(yè)數(shù)據(jù)保護(hù)義務(wù)。⑩目前，F(xiàn)TC的五名委員均為特朗普總統(tǒng)于2018年提名任命(任期為七年)，這就意味著未來一段時(shí)間內(nèi)保守派將控制FTC這一強(qiáng)力聯(lián)邦執(zhí)法機(jī)構(gòu)，并釋放出向硅谷科技巨頭等就數(shù)據(jù)保護(hù)問題施壓的強(qiáng)烈信號。

相對于一般的數(shù)據(jù)保護(hù)義務(wù)，美國社會亦高度關(guān)注兒童數(shù)據(jù)保護(hù)與隱私問題。1998年美國國會通過了《兒童在線隱私保護(hù)法》，要求網(wǎng)絡(luò)企業(yè)切實(shí)告知其網(wǎng)站的隱私權(quán)政策，并在收集13歲以下兒童個(gè)人信息前，必須在先獲得兒童家長的同意。前述TikTok一案正是因?yàn)槠髽I(yè)違反了這一義務(wù)要求而遭到FTC的執(zhí)法調(diào)查。具體而言，執(zhí)法機(jī)構(gòu)FTC聲稱，由于TikTok要求用戶提供電子郵件地址、電話號碼、用戶名、姓名、個(gè)人簡介和頭像等資料，并允許用戶通過評論視頻和發(fā)送直接信息與他人互動；于此同時(shí)TikTok設(shè)置中默認(rèn)用戶帳號公開，這意味著13歲以下兒童的個(gè)人數(shù)據(jù)可能被其他用戶看到，從而違反了《兒童在線隱私保護(hù)法》。事實(shí)上，美國本土許多企業(yè)也曾經(jīng)因違反該法而被認(rèn)定為存在“欺騙性”商業(yè)行為或“不正當(dāng)”競爭行為，進(jìn)而遭受FTC處罰。

金融數(shù)據(jù)因與用戶財(cái)產(chǎn)安全、系統(tǒng)性金融安全等問題密切相關(guān)，格外引發(fā)關(guān)注。美國國會于1999年通過《金融服務(wù)現(xiàn)代化法》，要求金融機(jī)構(gòu)在對消費(fèi)者提供貸款、投資建議或保險(xiǎn)產(chǎn)品和服務(wù)時(shí)向客戶解釋其信息共享做法，并保護(hù)敏感數(shù)據(jù)。該法確立了金融數(shù)據(jù)保護(hù)的五項(xiàng)基本原則：通知原則、選擇原則、安全原則、市場公開原則、執(zhí)行原則。FTC則依據(jù)《金融服務(wù)現(xiàn)代化法》對金融機(jī)構(gòu)進(jìn)行隱私與數(shù)據(jù)安全執(zhí)法，在FTC執(zhí)法中，其對何為違反隱私安全的標(biāo)準(zhǔn)界定具有相當(dāng)?shù)淖杂刹昧繖?quán)，并導(dǎo)致FTC可以對調(diào)查對象的隱私政策及數(shù)據(jù)安全保障措施做出實(shí)質(zhì)性評價(jià)。例如在FTC對 TaxSlayer的調(diào)查中,就構(gòu)成處罰原因之一的密碼問題，F(xiàn)TC即認(rèn)為：TaxSlayer 未能實(shí)施足夠的基于風(fēng)險(xiǎn)的身份驗(yàn)證措施, 沒有向客戶提供明確和明顯的初步隱私通知, 也沒有提供確?？蛻羰盏皆撏ㄖ姆绞?；于此同時(shí)該公司并不要求消費(fèi)者選擇強(qiáng)密碼，這就讓客戶面臨黑客可能通過猜測常用密碼訪問其納稅人賬戶的風(fēng)險(xiǎn)。這起案件也說明了密碼保護(hù)的重要性，缺乏強(qiáng)密碼保護(hù)和其他因素的疊加導(dǎo)致在2015年10月至2015年12月期間, 惡意黑客能夠完全訪問TaxSlayer稅務(wù)賬戶，利用獲取信息進(jìn)行身份盜竊，通過提交虛假納稅申報(bào)單獲得退稅等。FTC通過介入對隱私及數(shù)據(jù)安全實(shí)質(zhì)性的判斷，部分替代了法院在這一領(lǐng)域的裁判功能，也是FTC執(zhí)法進(jìn)入前述第三階段的典型體現(xiàn)。

值得關(guān)注的是，包括《兒童在線隱私保護(hù)法》《金融服務(wù)現(xiàn)代化法》在內(nèi)的許多法律并未授予數(shù)據(jù)主體(用戶)以自己身份提起民事訴訟的權(quán)利，而只能求助于執(zhí)法機(jī)構(gòu)進(jìn)行執(zhí)法處罰，或由執(zhí)法機(jī)構(gòu)提起訴訟。在FTC所展開的執(zhí)法調(diào)查中，由于擔(dān)心將案件拖入訴訟程序可能會導(dǎo)致公開判決對被調(diào)查對象的商業(yè)模式及聲譽(yù)產(chǎn)生不利影響，受調(diào)查對象往往選擇與FTC和解，從而大大強(qiáng)化了FTC執(zhí)法的效力與影響，甚至導(dǎo)致FTC具有了事實(shí)上評價(jià)企業(yè)數(shù)據(jù)保護(hù)義務(wù)及違反該義務(wù)的法律責(zé)任的“準(zhǔn)司法”地位。當(dāng)然，隨著數(shù)據(jù)權(quán)利屬性的逐漸彰顯，要求將訴訟權(quán)利與索賠權(quán)利授予數(shù)據(jù)主體的呼聲也日益響亮。不過從美國法院的傳統(tǒng)觀點(diǎn)來看，對于數(shù)據(jù)權(quán)利主張或信息隱私權(quán)主張整體持有一種保守傾向，如在史密斯和米勒案中，法院認(rèn)為電話公司和銀行記錄中的信息是與政府共享的，則數(shù)據(jù)不能受到憲法的保護(hù)。此外關(guān)于交易數(shù)據(jù)的二次使用一般也不被法律禁止，除非存在特別法規(guī)定或相反約定。[3]P210

2.州層面的企業(yè)數(shù)據(jù)法律義務(wù)

隱私法傳統(tǒng)上屬州法范疇，目前在美國各州大約有數(shù)以百計(jì)的隱私和數(shù)據(jù)安全規(guī)則，對數(shù)據(jù)處理、隱私政策、適當(dāng)使用社會保障號碼、以及數(shù)據(jù)泄露通知等各個(gè)領(lǐng)域進(jìn)行規(guī)制。僅加利福尼亞州就有超過25項(xiàng)州隱私和數(shù)據(jù)安全法律。加州由于云集了眾多科技公司和明星企業(yè)，在州這一層面，于全美數(shù)據(jù)保護(hù)立法領(lǐng)域最具引領(lǐng)地位。加州早年通過制定《網(wǎng)絡(luò)隱私保護(hù)法》(Online Privacy Protection Act)，對于網(wǎng)絡(luò)企業(yè)從該州居民處收集可識別個(gè)人數(shù)據(jù)進(jìn)行管理，為企業(yè)數(shù)據(jù)保護(hù)義務(wù)提出了本州標(biāo)準(zhǔn)。2018年6月，加州為加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，進(jìn)一步頒布2018年《加州消費(fèi)者隱私法案》(California Consumer Privacy Act，CCPA)，對在該州境內(nèi)開展業(yè)務(wù)的營利性企業(yè)提出了更為嚴(yán)格的數(shù)據(jù)與隱私保護(hù)要求。CCPA要求企業(yè)必須披露其收集的個(gè)人數(shù)據(jù)類別與具體要素、收集數(shù)據(jù)的來源、收集或出售數(shù)據(jù)的業(yè)務(wù)目的、與企業(yè)共享信息的第三方類別等，并要求企業(yè)必須給予用戶數(shù)據(jù)訪問權(quán)、數(shù)據(jù)刪除權(quán)、不銷售個(gè)人信息的選擇權(quán)、禁止歧視權(quán)、未成年人同意權(quán)等。與此前諸多法案不同的是，CCPA賦予遭受數(shù)據(jù)泄露損害的加州居民用戶以訴訟權(quán)。該法將于2020 年1月1日正式實(shí)施，被廣泛認(rèn)為是美國國內(nèi)最嚴(yán)格的數(shù)據(jù)安全立法，堪與歐盟《通用數(shù)據(jù)保護(hù)條例》相提并論。

(二)歐盟的企業(yè)數(shù)據(jù)法律義務(wù)

歐盟境內(nèi)的企業(yè)數(shù)據(jù)法律義務(wù)，基本上是通過歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》及其升級立法《通用數(shù)據(jù)保護(hù)條例》等確立起的數(shù)據(jù)保護(hù)原則與規(guī)則實(shí)現(xiàn)的。

1.《個(gè)人數(shù)據(jù)保護(hù)指令》中的企業(yè)數(shù)據(jù)法律義務(wù)

《個(gè)人數(shù)據(jù)保護(hù)指令》雖然目前已被《通用數(shù)據(jù)保護(hù)條例》所替代，但該指令運(yùn)行20余年，奠定了歐盟境內(nèi)各國數(shù)據(jù)保護(hù)的基礎(chǔ)性規(guī)則體系，其規(guī)定目前已經(jīng)成為歐盟境內(nèi)數(shù)據(jù)保護(hù)立法的底線要求。首先，《個(gè)人數(shù)據(jù)保護(hù)指令》明確了數(shù)據(jù)保護(hù)的范圍在于“個(gè)人數(shù)據(jù)處理”活動，并對“個(gè)人數(shù)據(jù)”與“處理”下了較為寬泛的定義?！疤幚怼敝浮白詣踊蚍亲詣拥牟僮骰蛞幌盗胁僮鳎ú⒉痪窒抻谑占?、記錄、組織、儲藏、改編或變更、修補(bǔ)、磋商、使用、經(jīng)傳輸披露、散布或以其他方式公開、調(diào)整或組合、妨礙、刪除或破壞”；“個(gè)人數(shù)據(jù)”則指：有關(guān)已辨別或可辨別的自然人的任何信息，還包括已辨別或可辨別的自然人的照片、視聽影像和錄音。其次，《個(gè)人數(shù)據(jù)保護(hù)指令》確定了數(shù)據(jù)最小化的原則，要求依據(jù)該指令制定的內(nèi)國法必須保證對個(gè)人數(shù)據(jù)的處理是準(zhǔn)確、及時(shí)、相關(guān)且不過分的；個(gè)人數(shù)據(jù)應(yīng)當(dāng)只能按照收集該數(shù)據(jù)時(shí)即已確定的合法目的使用，其儲存形式應(yīng)當(dāng)保證在達(dá)成目的后便不能再用于個(gè)人身份的識別。第三，個(gè)人數(shù)據(jù)只有在滿足下列條件時(shí)才可以被處理：數(shù)據(jù)主體明確地同意，或?yàn)榱吮Ｗo(hù)公眾利益。第四，數(shù)據(jù)處理的內(nèi)容如果涉及種族、政治傾向、宗教信仰、哲學(xué)或倫理觀、或有關(guān)健康和性生活時(shí)，如果沒有數(shù)據(jù)主體的書面同意，必須加以嚴(yán)格限制甚至禁止。第五，對于數(shù)據(jù)處理者，該指令要求其必須向數(shù)據(jù)主體通知如下事項(xiàng)：處理數(shù)據(jù)信息的目的、對該通知的回復(fù)是必須的還是自愿的、未能回復(fù)的后果、數(shù)據(jù)接受者或接受者的種類、數(shù)據(jù)主體有了解和更正有關(guān)自己的數(shù)據(jù)的權(quán)利、數(shù)據(jù)控制者的姓名和地址；即使在不必須征得數(shù)據(jù)主體同意的情形下，也必須對數(shù)據(jù)主體作上述通知。第六，指令還要求必須保證個(gè)人數(shù)據(jù)的安全，使之避免遭受偶然的或非法的滅失，不會受到未被授權(quán)的更改或披露，以及其他未被授權(quán)的數(shù)據(jù)處理形式。為切實(shí)保障數(shù)據(jù)主體的權(quán)利，該指令要求成員國的法律必須對從事非法處理數(shù)據(jù)的控制者課以民事責(zé)任，并對不遵守此項(xiàng)法律的行為給予懲罰。第七，指令還要求成員國的法律規(guī)定，監(jiān)管機(jī)關(guān)除執(zhí)行數(shù)據(jù)保護(hù)法和聽取數(shù)據(jù)主體的控訴外，還必須保證：指令賦予的權(quán)利受到侵犯時(shí)，每個(gè)人都有權(quán)獲得司法救濟(jì)。[4]P35-59《個(gè)人數(shù)據(jù)保護(hù)指令》影響深遠(yuǎn)，包括英國1998年《數(shù)據(jù)保護(hù)法》、意大利1996年《個(gè)人數(shù)據(jù)保護(hù)統(tǒng)一法》在內(nèi)的重要?dú)W盟成員國數(shù)據(jù)保護(hù)基本法，都是基于該指令的國內(nèi)法轉(zhuǎn)換。

2.《通用數(shù)據(jù)保護(hù)條例》中的企業(yè)數(shù)據(jù)法律義務(wù)

為推動歐洲數(shù)字經(jīng)濟(jì)發(fā)展，呼應(yīng)歐盟單一數(shù)字市場戰(zhàn)略，提升歐洲境內(nèi)的個(gè)人數(shù)據(jù)保護(hù)水平，歐盟于2016年制定《通用數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)，并于2018年正式實(shí)施。首先，GDPR與《個(gè)人數(shù)據(jù)保護(hù)指令》不同，可以不經(jīng)轉(zhuǎn)化為國內(nèi)法而直接針對成員國生效。其次，在適用地域范圍上，GDPR適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個(gè)人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行；亦適用于某些特定相關(guān)活動中的個(gè)人數(shù)據(jù)處理，不論其數(shù)據(jù)控制者或處理者是否在歐盟設(shè)立。這就大大拓展了GDPR的適用范圍，不僅以歐盟及其成員國為目的地的跨國投資主體需要受GDPR規(guī)制，跨境提供服務(wù)、涉及控制或處理歐盟及其成員國內(nèi)部用戶數(shù)據(jù)的企業(yè)也受到GDPR規(guī)制，導(dǎo)致GDPR適用的長臂管轄后果。第三，GDPR從數(shù)據(jù)主權(quán)角度出發(fā)，基于市場地原則和實(shí)質(zhì)管轄，建構(gòu)了“歸屬”不排斥“利用”的數(shù)據(jù)跨境傳輸規(guī)則。第四，GDPR規(guī)定處理使用個(gè)人數(shù)據(jù)的目的原則上應(yīng)該與收集數(shù)據(jù)的原來目的一致(第5條第1款第b項(xiàng))；而除非數(shù)據(jù)主體同意，或成員國法律為追求該條例所限定的某些特定目的而在必要的、合比例的范圍內(nèi)另有規(guī)定(第6條第4款、第23條第1款)，才容許例外。第五，在數(shù)據(jù)主體是16歲以下未成年人的情況，GDPR對其同意提出更嚴(yán)格的要求，例如須其父母或監(jiān)護(hù)人同意；盡管成員國可以通過法律降低此年齡要求，但不得低于13歲(第8條第l款)。第六，GDPR重申了“數(shù)據(jù)最少化”原則，即數(shù)據(jù)處理必須限制在對處理的目的而言必要的范圍內(nèi)(第5條第1款第c款)。第七，關(guān)于廣為國內(nèi)所知悉的“被遺忘權(quán)”(Right to-be-Forgotten)，亦系經(jīng)由GDPR規(guī)定的數(shù)據(jù)刪除權(quán)，即如果個(gè)人數(shù)據(jù)對其收集或處理的目的而言不再必要，或被非法處理使用，或數(shù)據(jù)主體撤銷對數(shù)據(jù)處理的同意，或?qū)?shù)據(jù)處理表示異議，則數(shù)據(jù)主體有權(quán)要求刪除(第17條第1款)。第八，GDPR還規(guī)定了數(shù)據(jù)可攜帶權(quán)，即數(shù)據(jù)主體原則上可向數(shù)據(jù)控制者索要其個(gè)人數(shù)據(jù)，也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)交給另一個(gè)數(shù)據(jù)控制者(第20條第1款)。第九，GDPR高度強(qiáng)調(diào)監(jiān)管配合，要求在個(gè)人資料被泄露的情況下,數(shù)據(jù)控制人應(yīng)在可行的情況下于獲悉后72小時(shí)內(nèi)將個(gè)人數(shù)據(jù)泄露通知數(shù)據(jù)主管機(jī)關(guān)，除非侵犯個(gè)人數(shù)據(jù)的行為不太可能對自然人權(quán)利和自由造成風(fēng)險(xiǎn)。如果在72小時(shí)內(nèi)沒有通知監(jiān)督機(jī)構(gòu), 應(yīng)附有延誤的理由(第33條)。第十，GDPR要求所有處理個(gè)人數(shù)據(jù)的公共機(jī)構(gòu)以及以監(jiān)控?cái)?shù)據(jù)主體或以處理某些特定敏感數(shù)據(jù)為核心業(yè)務(wù)的私人機(jī)構(gòu)、企業(yè)設(shè)立數(shù)據(jù)保護(hù)官(第37條第1款)。成員國可以制定更嚴(yán)格的規(guī)定，擴(kuò)大應(yīng)該設(shè)立數(shù)據(jù)保護(hù)官的私人機(jī)構(gòu)、企業(yè)的范圍(第37條第4款)。以德國為例，其于2018年5月25日與GDPR同步實(shí)施的修訂版《聯(lián)邦數(shù)據(jù)保護(hù)法》中就要求經(jīng)常性處理個(gè)人數(shù)據(jù)的人員在十人以上的私人機(jī)構(gòu)或企業(yè)必須設(shè)置數(shù)據(jù)保護(hù)官。由此可見，歐盟新近的數(shù)據(jù)保護(hù)立法內(nèi)容覆蓋廣泛，對企業(yè)提出了更高的數(shù)據(jù)保護(hù)義務(wù)要求；不但如此，對于坊間許多質(zhì)疑歐盟是否會實(shí)際實(shí)施GDPR的聲音，歐盟各國政府也以實(shí)際行動堅(jiān)決回應(yīng)，據(jù)Statista數(shù)據(jù)統(tǒng)計(jì)， 2018年5月至2019年2月期間歐盟內(nèi)不遵守 GDPR 的案件共206，326起,其中約一半已調(diào)查結(jié)案,結(jié)案案件中僅有1% 左右提起上訴。歐盟立法者與執(zhí)法者的決心值得我國對外投資企業(yè)高度關(guān)注。

(三)英國的企業(yè)數(shù)據(jù)法律義務(wù)

在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域，英國最重要的法律為1998年《數(shù)據(jù)保護(hù)法》(以下簡稱1998年法)及2018 年《數(shù)據(jù)保護(hù)法》(以下簡稱2018年法)。英國數(shù)據(jù)立法與歐盟立法息息相關(guān)，其中1998年法在很大程度上是貫徹歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》的產(chǎn)物，同樣2018年法也是為了配合并取代同年正式實(shí)施的GDPR，在2018年法的前言中，立法者特別強(qiáng)調(diào)“個(gè)人數(shù)據(jù)處理受制于GDPR”。不過2018年法對GDPR部分條款進(jìn)行了保留，存在一系列偏離GDPR的規(guī)定，值得我國對外投資企業(yè)關(guān)注。另外，仍有必要持續(xù)觀察英國脫歐是否會對英國數(shù)據(jù)責(zé)任領(lǐng)域的立法產(chǎn)生影響。

相對于1998年法而言，2018年法擴(kuò)大了數(shù)據(jù)義務(wù)范圍，提升了數(shù)據(jù)義務(wù)標(biāo)準(zhǔn)。2018年法不僅承繼了1998年法，以法案第四章專門規(guī)定數(shù)據(jù)控制者的義務(wù)，還仿效《通用數(shù)據(jù)保護(hù)條例》將數(shù)據(jù)處理者也納入數(shù)據(jù)義務(wù)主體范疇，規(guī)定了數(shù)據(jù)控制者與數(shù)據(jù)處理者的一般性義務(wù)與特殊義務(wù)，這意味著納入該法管轄的企業(yè)范圍加大。2018年法的特殊要求包括：數(shù)據(jù)控制者應(yīng)當(dāng)采用適當(dāng)?shù)募夹g(shù)和組織措施，以更好履行義務(wù)，必須考慮技術(shù)新發(fā)展，實(shí)施成本，數(shù)據(jù)處理的性質(zhì)、范圍、情境和目的，以及數(shù)據(jù)處理過程中可能產(chǎn)生的危及個(gè)人權(quán)利和自由的風(fēng)險(xiǎn)。由此，新法對負(fù)有數(shù)據(jù)保護(hù)義務(wù)的企業(yè)提出了更高的義務(wù)標(biāo)準(zhǔn)，包括對“技術(shù)新發(fā)展”的考慮與應(yīng)對。此外，2018年法還將更大的監(jiān)管與執(zhí)法權(quán)限授予信息專員(Information Commissioner)。該法明確信息專員辦公室(Information Commissioner’s Office，ICO)是英國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)實(shí)施數(shù)據(jù)保護(hù)規(guī)則，以確保英國數(shù)據(jù)保護(hù)水平與其他歐盟成員國相一致。為此，該法要求信息專員可以發(fā)布信息通函(information notice)及評估通函(assessment notice)，要求企業(yè)向其提供相關(guān)信息，并評估企業(yè)是否遵循數(shù)據(jù)保護(hù)法。如專員認(rèn)為2018年法被違反，則可以發(fā)出執(zhí)行通函(enforcement notice)，要求企業(yè)采取通函中列明的措施或禁止從事某些措施。專員具有檢查權(quán)、處罰權(quán)，其最大處罰限額較之1998年法亦大為提升。

二、違反義務(wù)的數(shù)據(jù)法律責(zé)任

(一) 民事法律責(zé)任

1.違約責(zé)任

當(dāng)企業(yè)設(shè)置了自己的數(shù)據(jù)保護(hù)與隱私政策，但未能如允諾行事時(shí)，除了可能引發(fā)執(zhí)法機(jī)構(gòu)如美國FTC或英國信息專員調(diào)查外，還可能因用戶起訴企業(yè)違反合同而承擔(dān)違約責(zé)任。一般而言，數(shù)據(jù)保護(hù)或隱私政策均被視為用戶與企業(yè)之間簽署的合同的一部分，一旦企業(yè)違反前述政策，即意味著違反了其在合同項(xiàng)下允諾承擔(dān)的義務(wù)，則用戶可以依據(jù)雙方之間合同，以合同當(dāng)事人身份向法院提起訴訟，請求賠償。在臉書與Cambridge Analytica公司涉嫌濫用約8000萬臉書用戶數(shù)據(jù)的事件中，已有臉書用戶代表向法院提起訴訟，指控臉書違反其服務(wù)條款及隱私政策、違反善意及公平交易默示承諾、違反州(加州)級消費(fèi)者保護(hù)法律以及因疏忽未能保護(hù)用戶數(shù)據(jù)。其中至少前兩項(xiàng)訴求與違約責(zé)任相關(guān)。

2.侵權(quán)責(zé)任

當(dāng)企業(yè)并未違反自己的數(shù)據(jù)保護(hù)或者隱私政策，但該政策存在違法之處，具有“欺騙性”，或者構(gòu)成“不公平”，則用戶可以在法無相反規(guī)定的情況下提起侵權(quán)訴訟。部分立法者出于對授予數(shù)據(jù)主體訴權(quán)可能引發(fā)“濫訴”的擔(dān)憂，在立法中拒絕授予數(shù)據(jù)主體以訴權(quán)，美國《兒童在線隱私保護(hù)法》、《金融服務(wù)現(xiàn)代化法》、加州《網(wǎng)絡(luò)隱私保護(hù)法》等皆是如此，在這種規(guī)定下，僅能由相應(yīng)的執(zhí)法機(jī)構(gòu)，如FTC或加州司法部，才可針對數(shù)據(jù)控制或處理企業(yè)提起侵權(quán)訴訟。

即使數(shù)據(jù)主體被授予針對企業(yè)的訴權(quán)，但能否獲得法院支持仍需結(jié)合不同地域司法實(shí)踐及法院傾向綜合判斷。在美國，盡管近年來頻頻發(fā)生大規(guī)模數(shù)據(jù)泄露侵權(quán)事件，但從司法實(shí)踐角度觀察，受害人基于數(shù)據(jù)泄露而提起索賠訴訟，面臨的主要法律障礙在于難以證明實(shí)際損害的存在。尤其在企業(yè)因黑客入侵或存在系統(tǒng)漏洞等情況下發(fā)生的數(shù)據(jù)泄露，導(dǎo)致用戶個(gè)人信息被未經(jīng)授權(quán)的第三人獲取或存在被第三人獲取的風(fēng)險(xiǎn)，但并不能直接證明已經(jīng)或必然會給用戶帶來人身或財(cái)產(chǎn)損害。由此，美國部分法院在處理此類案件時(shí)，通常都會要求提出索賠的用戶證明實(shí)際損害的發(fā)生而非證明損害風(fēng)險(xiǎn)的存在，導(dǎo)致許多企業(yè)基于用戶的舉證不能而最終免責(zé)。這一裁判思路的差異體現(xiàn)為如何理解美國聯(lián)邦最高法院在Clapper一案中確立的先例，即構(gòu)成侵權(quán)的“未來損害”(future harm)必須是“確定即將到來的”(certainly impending)。在數(shù)據(jù)泄露侵權(quán)案件中，部分案件審理法官即認(rèn)為，由于原告不能證明第三人實(shí)際使用了其信用信息開設(shè)信用卡或從事其他欺詐行為，也不能證明其因信用信息泄露而遭受到實(shí)際損害或存在緊迫的確定將要發(fā)生的損害，因此，原告所主張的損害只是一種假設(shè)，不能夠得到賠償。

如果實(shí)際發(fā)生的物質(zhì)損害無法證明，那么用戶是否能夠通過主張精神損害從違法企業(yè)得到賠償呢？在美國，多數(shù)法院仍然認(rèn)為此類費(fèi)用或損失并不是可以得到賠償?shù)囊寻l(fā)生的損失，而只是對未來可能發(fā)生的損失或損失風(fēng)險(xiǎn)的一種補(bǔ)救，是無法獲得損害賠償?shù)?。不過大洋彼岸的英國法院在這個(gè)問題上持有不同傾向，在谷歌訴Vidal-Hall等一案中，原告是三名蘋果電腦的用戶，使用Safari瀏覽器上網(wǎng)，該瀏覽器的默認(rèn)設(shè)置為未經(jīng)用戶同意不允許第三人使用Cookie。原告指控被告谷歌在其不知情且未征得其同意的情況下，使用Cookies收集上網(wǎng)瀏覽信息，并將其與廣告商分享，從而便于后者投放精確廣告。原告聲稱被告的行為構(gòu)成對個(gè)人私密信息的濫用(Misuse of Private Information)，違反了保密義務(wù)，損害了其人格尊嚴(yán)，給其帶來了精神上的痛苦，故此原告主張依據(jù)英國1998年《數(shù)據(jù)保護(hù)法》第13條，要求被告企業(yè)對其承擔(dān)精神損害賠償責(zé)任。該案法官經(jīng)審理后認(rèn)為，在當(dāng)前背景下，應(yīng)當(dāng)認(rèn)為對私密信息的濫用構(gòu)成民事侵權(quán)，受害人可以此作為訴因而提起民事訴訟；并且審理法官通過將歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》第23條及《歐盟基本權(quán)利憲章》第47條引入裁判，認(rèn)定數(shù)據(jù)保護(hù)意義下的“損害”可以擴(kuò)張為包含“精神損害”，呈現(xiàn)出不同于美國法院傳統(tǒng)裁判傾向的態(tài)度。

GDPR第79條第1款規(guī)定：任何數(shù)據(jù)主體若認(rèn)為其根據(jù)本條例享有的權(quán)利因不遵守本條例的數(shù)據(jù)處理行為而受到侵犯，均有權(quán)獲得有效的司法救濟(jì)，且該救濟(jì)權(quán)不排除任何其他行政或非司法救濟(jì)，包括提出申訴的權(quán)利。這就意味著在歐盟成員國內(nèi)，數(shù)據(jù)主體可以對違反GDPR的企業(yè)提起民事訴訟。歐盟法院通過案例將企業(yè)的數(shù)據(jù)保護(hù)責(zé)任拓展為包含“刪除屏蔽責(zé)任”，該責(zé)任源于歐盟立法中的被遺忘權(quán)。2014年歐盟法院在“岡薩雷斯案訴谷歌西班牙公司案”中確立了數(shù)據(jù)主體的“被遺忘權(quán)”，并對谷歌之類的企業(yè)規(guī)定了刪除或屏蔽義務(wù)。這一判決對包括英國法院在內(nèi)的成員國法院發(fā)揮了一定的示范作用，此后在莫斯利訴谷歌案中，英國法院不但認(rèn)為谷歌公司負(fù)有“刪除屏蔽責(zé)任”，甚至認(rèn)為谷歌公司已經(jīng)開發(fā)出屏蔽技術(shù)，因此要求其對于原告的照片等信息采取屏蔽不會給谷歌公司帶來不合比例的負(fù)擔(dān)或成本，這對網(wǎng)絡(luò)類企業(yè)而言意味著需要承擔(dān)更高的內(nèi)容過濾義務(wù)。

(二)行政法律責(zé)任

美國的FTC、英國的信息專員辦公室以及其他歐盟國家為落實(shí)GDPR要求而指定的數(shù)據(jù)監(jiān)管機(jī)關(guān)等，都是依據(jù)法律授權(quán)對數(shù)據(jù)保護(hù)進(jìn)行調(diào)查執(zhí)法的職能部門。

FTC保護(hù)消費(fèi)者隱私與個(gè)人數(shù)據(jù)，包括但不限于采取執(zhí)法行動，制止違法行為，要求企業(yè)采取措施糾正非法行為，包括要求企業(yè)接受強(qiáng)制性合規(guī)審計(jì)、酌情實(shí)施全面的隱私和安全方案、向用戶提供貨幣補(bǔ)償、沒收非法所得、刪除非法獲得的用戶數(shù)據(jù)、提供更具透明度和供消費(fèi)者選擇的機(jī)制等。FTC可以對違反《聯(lián)邦貿(mào)易委員會法》的調(diào)查對象課以罰金，且該罰金數(shù)額可依據(jù)2015年《美國聯(lián)邦民事罰金通脹調(diào)整法案》予以年度調(diào)升，自2019年2月起，F(xiàn)TC可以開出的最高罰金為1,210,340美元。

歐盟對侵犯個(gè)人數(shù)據(jù)的行為處罰措施亦十分嚴(yán)格，包括禁令救濟(jì)，對公司工作場所和數(shù)據(jù)處理設(shè)施的稽查和調(diào)查，行政罰款等。歐盟GDPR第83條為歐盟成員國設(shè)定了統(tǒng)一的違反數(shù)據(jù)保護(hù)罰款標(biāo)準(zhǔn)，該罰款制度系雙層結(jié)構(gòu)，將GDPR違法行為區(qū)分為嚴(yán)重(severe)與次嚴(yán)重(less severe)。次嚴(yán)重違法行為可能會被處以最高1000萬歐元的罰款, 或受罰企業(yè)上一財(cái)政年度全球年收入的 2%, 以較高者為準(zhǔn)，次嚴(yán)重違法行為主要涉及違反GDPR第8、11、25～39、41、42和 43條的行為。嚴(yán)重違法行為則系違反了作為《通用數(shù)據(jù)保護(hù)條例》核心的隱私權(quán)與被遺忘權(quán)根本原則的行為,可能導(dǎo)致最高達(dá) 2000萬歐元的罰款,或受罰企業(yè)上一財(cái)政年度全球年收入的 4%, 以金額較高者為準(zhǔn)。嚴(yán)重違法行為包括違反處理數(shù)據(jù)基本原則的行為(GDPR第5、6和第9條)，不能提供數(shù)據(jù)主體同意證明的行為(第7條)，侵犯數(shù)據(jù)主體知情權(quán)、獲得權(quán)、更正權(quán)、刪除權(quán)、攜帶權(quán)等權(quán)利的行為(第12～22條)權(quán)利，以及違反GDPR規(guī)定轉(zhuǎn)移數(shù)據(jù)的行為(第44～49條)。由此可見，涉及GDPR主要核心義務(wù)的違反幾乎都可因被認(rèn)定為嚴(yán)重違法行為引致更嚴(yán)重的行政罰款。事實(shí)上，歐盟及成員國數(shù)據(jù)監(jiān)管者在執(zhí)行GDPR的過程中也毫不手軟，法國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)為法國國家互聯(lián)網(wǎng)信息中心CNIL(Commission Nationale de l'Informatique et des Libertés),該中心因谷歌違反了GDPR，包括向用戶提供了不充分的信息、在多個(gè)頁面上分散提供信息、且未在廣告?zhèn)€性化的問題上獲得有效許可等，于今年年初對谷歌處以高達(dá)5000萬歐元的罰款。不過在輕微違法的情況下, 或者如果可能處以的罰款對責(zé)任人構(gòu)成不成比例的負(fù)擔(dān)，則數(shù)據(jù)監(jiān)管機(jī)關(guān)也可以選擇訓(xùn)斥(reprimand)而非罰款。

英國的數(shù)據(jù)監(jiān)管者即信息專員可以行使調(diào)查、評估、檢查、處罰等權(quán)力，可以對企業(yè)執(zhí)法。此外，依據(jù)2018年英國《數(shù)據(jù)保護(hù)法》，信息專員可以施加的處罰限額遵循歐盟GDPR規(guī)定，也構(gòu)建了針對不同程度違法行為的雙層處罰機(jī)制。

(三)刑事法律責(zé)任

由于美國聯(lián)邦層面沒有專門的數(shù)據(jù)保護(hù)法, 對不遵守?cái)?shù)據(jù)保護(hù)義務(wù)的行為其處罰往往需要根據(jù)其他聯(lián)邦部門法和各州個(gè)人數(shù)據(jù)保護(hù)法或隱私保護(hù)法實(shí)現(xiàn)。盡管實(shí)施網(wǎng)絡(luò)攻擊、入侵私人或公共部門網(wǎng)絡(luò)、竊取商業(yè)秘密或敏感企業(yè)數(shù)據(jù)、竊取身份進(jìn)行詐騙等正在成為新型的網(wǎng)絡(luò)犯罪類型，引發(fā)刑事調(diào)查與處罰；但企業(yè)因過失未能保護(hù)用戶或消費(fèi)者數(shù)據(jù)，或因他人攻擊而導(dǎo)致數(shù)據(jù)泄露，并不會導(dǎo)致刑事責(zé)任。

歐盟GDPR也沒有在數(shù)據(jù)保護(hù)領(lǐng)域制定新的刑事犯罪類型，而是在第84條與引言第149段中表明：成員國應(yīng)自行決定在該國刑法下如何執(zhí)行條例的相關(guān)規(guī)定。由此，與企業(yè)數(shù)據(jù)保護(hù)義務(wù)相關(guān)的刑事責(zé)任需要個(gè)別考察歐盟成員國法律。以德國為例，德國的數(shù)據(jù)保護(hù)刑事責(zé)任目前受該國《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)第42條管轄。依據(jù)第42條規(guī)定，行為人為了商業(yè)目的，故意和未經(jīng)授權(quán)地對大量無法公開查閱的用戶個(gè)人數(shù)據(jù)采取轉(zhuǎn)讓或公開行為的，應(yīng)處以三年以下監(jiān)禁或刑事罰金；以獲取報(bào)酬、使自己或他人受益、或損害他人為目的，對非公開信息的未經(jīng)授權(quán)處理行為或欺詐性獲取行為，應(yīng)處以兩年以下監(jiān)禁或刑事罰金。數(shù)據(jù)主體、控制人、聯(lián)邦專員和監(jiān)管機(jī)關(guān)等均有權(quán)提起刑事控訴。盡管法條規(guī)定十分嚴(yán)格，似乎數(shù)據(jù)保護(hù)違法行為會廣泛觸發(fā)刑事責(zé)任，但在此前的德國執(zhí)法與司法實(shí)踐中，運(yùn)用刑事手段追究行為人責(zé)任的案件十分罕見。[2]P246

也有部分歐盟成員國借GDPR施行之際修改國內(nèi)法，新增關(guān)于數(shù)據(jù)保護(hù)違法的刑事犯罪，波蘭就是一例。波蘭《個(gè)人數(shù)據(jù)保護(hù)法》(PDPA)有兩個(gè)條款涉及刑事責(zé)任，其一為第107條：任何人在不允許或未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)的情況下處理個(gè)人數(shù)據(jù), 將被處以罰款、限制自由或2年以下監(jiān)禁；不得為識別自然人的目的非法處理顯示種族或族裔出身、政治見解、宗教或哲學(xué)信仰、工會會員資格、遺傳數(shù)據(jù)、生物鑒別信息的數(shù)據(jù), 不得非法處理有關(guān)健康的數(shù)據(jù)或有關(guān)自然人性生活或性取向的數(shù)據(jù)，否則將被處以罰款、限制自由或3年以下監(jiān)禁。其二為第108條：任何人阻止或妨礙監(jiān)察員開展關(guān)于是否遵循PDPA的檢查，將被處以罰款、限制自由或2年以下監(jiān)禁。

與歐盟不同，英國2018年《數(shù)據(jù)保護(hù)法》具有特殊之處。該法第170條至173條新設(shè)了四項(xiàng)關(guān)于違反數(shù)據(jù)保護(hù)義務(wù)的犯罪條款：1.非法獲取個(gè)人數(shù)據(jù)，即未經(jīng)資料控制人同意, 明知或放任獲取、披露或促使披露個(gè)人資料；出售或提議出售非法獲得的個(gè)人數(shù)據(jù)也屬犯罪。根據(jù)該法案, 這項(xiàng)罪行擴(kuò)大到包括保留個(gè)人資料。就非法獲取的個(gè)人數(shù)據(jù)，數(shù)據(jù)接收者也會因?yàn)槲茨軇h除或銷毀該數(shù)據(jù)而構(gòu)成犯罪。2.重新識別已取消識別的個(gè)人數(shù)據(jù)，即如果對個(gè)人數(shù)據(jù)的處理方式不能再歸入特定的數(shù)據(jù)主體 (例如通過加密、匿名或假名方式), 在未經(jīng)有關(guān)控制人同意的情況下,“重新識別”這些數(shù)據(jù)(以便能再次識別數(shù)據(jù)主體)，或處理被他人非法重新識別的個(gè)人數(shù)據(jù),均屬犯罪行為。3.阻止披露個(gè)人數(shù)據(jù)，即如果數(shù)據(jù)主體提出請求 (如訪問請求或數(shù)據(jù)移植請求)并有權(quán)收到所要求的數(shù)據(jù),則數(shù)據(jù)控制人(或其雇員、官員或受其控制的人員) 污損、阻止、抹掉、銷毀或隱瞞該數(shù)據(jù)以阻止披露的行為構(gòu)成犯罪。4.禁止要求提供有關(guān)紀(jì)錄，即任何人不得為雇傭或續(xù)聘他人或與他人簽署某種服務(wù)提供合同目的，要求對方提供其健康記錄或刑事記錄；任何人不得以向公眾或部分公眾提供貨物、服務(wù)或設(shè)施為條件,而要求獲得任何第三方的健康或犯罪記錄。當(dāng)然，前述四項(xiàng)罪名中嫌疑人均可以提出抗辯，而充分的抗辯事由包括：嫌疑人行為與預(yù)防或偵查犯罪相關(guān)，得到法律或法院的授權(quán),或行為符合公眾利益；以及嫌疑人能夠證明其有理由相信自己是數(shù)據(jù)的主體或控制人,或得到當(dāng)事人或控制人的同意,或如果當(dāng)事人或控制人了解情況也會表示同意。此外，2018年《數(shù)據(jù)保護(hù)法》還取消了不合時(shí)宜的罪名，如根據(jù)1998年《數(shù)據(jù)保護(hù)法》,數(shù)據(jù)控制人應(yīng)首先在信息專員辦公室取得登記，而后才可以處理個(gè)人數(shù)據(jù),否則構(gòu)成犯罪。但伴隨著技術(shù)發(fā)展與個(gè)人數(shù)據(jù)的廣泛使用，再度嚴(yán)苛要求先行登記已經(jīng)不符合時(shí)代需求，故此2018年法廢除了這一罪名,取代以要求數(shù)據(jù)控制人有義務(wù)保存自己的記錄,并應(yīng)要求向信息專員辦公室提供這些記錄。

值得高度關(guān)注的是，雖然GDPR沒有規(guī)定企業(yè)違反數(shù)據(jù)保護(hù)法律會產(chǎn)生董事個(gè)人責(zé)任,但英國2018年《數(shù)據(jù)保護(hù)法》中繼承了1998年《數(shù)據(jù)保護(hù)法》條款，第198條規(guī)定：當(dāng)企業(yè)存在犯罪行為時(shí)，如該罪行系“經(jīng)董事、管理人員、秘書、官員或其他人(director, manager, secretary, officer or person)同意或縱容或可歸因于其疏忽”而實(shí)施的,則該主體與企業(yè)同時(shí)構(gòu)成犯罪，將受到起訴及懲罰。

三、數(shù)據(jù)法律風(fēng)險(xiǎn)的誘因與呈現(xiàn)特征

當(dāng)前，國內(nèi)外因素的變化導(dǎo)致我國對外投資企業(yè)承受雙重壓力，一方面，我國企業(yè)成長蛻變的本土環(huán)境中隱私倫理傳統(tǒng)與數(shù)據(jù)責(zé)任認(rèn)知缺乏，相對于已經(jīng)確立較高保護(hù)水平與義務(wù)標(biāo)準(zhǔn)的主要投資目的地，“出?！逼髽I(yè)自身數(shù)據(jù)法律風(fēng)險(xiǎn)管理水平較低，極易誘發(fā)風(fēng)險(xiǎn)；另一方面，國際貿(mào)易投資領(lǐng)域暗流涌動，數(shù)據(jù)法律責(zé)任原本被視為消費(fèi)者保護(hù)與公平競爭政策的工具，當(dāng)下卻呈現(xiàn)出與技術(shù)標(biāo)準(zhǔn)、貿(mào)易政策相互滲透疊加的現(xiàn)象。

(一) 引發(fā)數(shù)據(jù)法律風(fēng)險(xiǎn)的誘因

1.立法差異：本土數(shù)據(jù)義務(wù)標(biāo)準(zhǔn)與權(quán)利保護(hù)意識較低

在我國，信息在法律體系中的地位是逐漸確立的，到現(xiàn)在仍然只得到比較有限的承認(rèn)。[5]P37在綜合性立法層面，2017年《民法總則》制定的亮點(diǎn)之一就在于“民事權(quán)利”一章通過了兩條對個(gè)人信息與數(shù)據(jù)保護(hù)的特別規(guī)定，第111條將自然人個(gè)人信息納入法律保護(hù)范疇，并提出了依法取得、確保信息安全、不得非法利用的通行理念；第127條則將數(shù)據(jù)視為財(cái)產(chǎn)，為其他法律接駁入民法總則預(yù)留空間，進(jìn)而為違反其他法律規(guī)定的數(shù)據(jù)財(cái)產(chǎn)利益的行為保留了民事追責(zé)通道。然而，《民法總則》并沒有明確確認(rèn)數(shù)據(jù)權(quán)利的屬性、主體及權(quán)利位階，一方面當(dāng)發(fā)生數(shù)據(jù)權(quán)屬爭議時(shí)，無法為糾紛解決提供基本可參考的原則；另一方面在全球主要資本市場都基本認(rèn)可了數(shù)據(jù)權(quán)利及其體系的背景下，我們在基礎(chǔ)性法律中使用這樣語焉不詳?shù)臄?shù)據(jù)權(quán)利表述并不利于我國自然人或法人以基本的數(shù)據(jù)保護(hù)共識融入國際投資與貿(mào)易體系。

2017 年《網(wǎng)絡(luò)安全法》的實(shí)施標(biāo)志著我國關(guān)于互聯(lián)網(wǎng)的基礎(chǔ)性法律首次進(jìn)入到公眾生活領(lǐng)域，并吸納了個(gè)人數(shù)據(jù)收集的同意原則、數(shù)據(jù)最小化原則、刪除權(quán)規(guī)定等，并且第74條做出了“違反本法規(guī)定，給他人造成損害的”，須承擔(dān)民事責(zé)任的概括性規(guī)定。第74條規(guī)定與《侵權(quán)責(zé)任法》關(guān)于過錯(cuò)責(zé)任的一般規(guī)定相配合，為違反《網(wǎng)絡(luò)安全法》所規(guī)定義務(wù)而導(dǎo)致的他人損害提供了賠償與救濟(jì)渠道，雖然具體民事責(zé)任存在與否的判斷仍需以《網(wǎng)絡(luò)安全法》相關(guān)義務(wù)是否具有“保護(hù)他人之目的”[6]為前提，但這一規(guī)定仍意味著巨大的進(jìn)步。然而，《網(wǎng)絡(luò)安全法》亦存在諸多不足。首先，其中數(shù)據(jù)保護(hù)規(guī)范都過于原則而不具操作性。僅以數(shù)據(jù)收集的同意原則為例，該法僅原則性地宣示網(wǎng)絡(luò)運(yùn)營者收集使用個(gè)人信息須經(jīng)同意，但對于誰來舉證證明同意的存在、同意事項(xiàng)的區(qū)分、同意可否撤回、如何撤回，以及針對特殊人群如未成年人的同意規(guī)則應(yīng)如何特殊設(shè)置等，均無規(guī)定。其次，該法對于規(guī)制對象語焉不詳，其使用的“網(wǎng)絡(luò)經(jīng)營者”并非法律概念，也未能借鑒較為清晰的數(shù)據(jù)處理者與數(shù)據(jù)控制者之概念，針對規(guī)制對象的義務(wù)標(biāo)準(zhǔn)也不明確。第三，該法對數(shù)據(jù)權(quán)利的外延列舉有限，僅限于知情權(quán)、刪除權(quán)，對于數(shù)據(jù)主體的同意撤回權(quán)、數(shù)據(jù)攜帶權(quán)、數(shù)據(jù)訪問權(quán)、限制處理權(quán)、糾正權(quán)、拒絕權(quán)等均未涉及。最后，該法以信息安全而非權(quán)利保護(hù)為根本宗旨，意在建構(gòu)一部管理法而非賦權(quán)法；然而，在數(shù)據(jù)問題涉及億萬民眾利益的背景下，不依靠數(shù)據(jù)主體的權(quán)利意識，不提升數(shù)據(jù)主體的參與意愿，僅憑網(wǎng)絡(luò)安全管理機(jī)關(guān)或執(zhí)法機(jī)關(guān)，其執(zhí)法行為終究影響有限，難以破解有限的行政管理資源無法應(yīng)對大量違法行為這一難題。同理，《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者保護(hù)法》等法律以及其它低位階的法規(guī)、規(guī)章中也同樣存在類似問題。

由此，由國內(nèi)法所形塑的本土企業(yè)行為一旦遭遇域外高標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)執(zhí)法，則不可避免地顯示出與域外競爭者行為及域外監(jiān)管機(jī)關(guān)期待的巨大落差，進(jìn)而遭遇行政處罰、索賠訴訟、商譽(yù)降低、競爭力削弱等困境。

2.執(zhí)法差異：統(tǒng)一執(zhí)法機(jī)構(gòu)的缺位與執(zhí)法重心的偏離

部分國家如美國雖然缺乏統(tǒng)一的聯(lián)邦層面的數(shù)據(jù)保護(hù)立法，但通過強(qiáng)力執(zhí)法機(jī)關(guān)FTC的執(zhí)法實(shí)踐也發(fā)揮了統(tǒng)一執(zhí)法標(biāo)準(zhǔn)，推動數(shù)據(jù)保護(hù)水平提升的作用。而獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)機(jī)關(guān)，亦是歐盟模式的法律執(zhí)行的核心。[5]P227在我國，目前尚缺乏類似的統(tǒng)一執(zhí)法機(jī)關(guān)?！毒W(wǎng)絡(luò)安全法》雖然將國家網(wǎng)信部門確立為統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作之職能機(jī)關(guān)，但統(tǒng)籌一說即為其他行政部門參與預(yù)留空間，更何況網(wǎng)絡(luò)安全并不能完全覆蓋數(shù)據(jù)保護(hù)相關(guān)問題。

從執(zhí)法活動角度觀察，2017年8月至10月，我國全國人大常委會曾集中對全國各地落實(shí)《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》與《網(wǎng)絡(luò)安全法》的情況進(jìn)行檢查，檢查的重點(diǎn)內(nèi)容之一就是“加強(qiáng)個(gè)人信息保護(hù)，打擊侵犯用戶信息安全違法犯罪”，是迄今為止規(guī)格最高、覆蓋最廣的檢查行動。公安部亦開展個(gè)人信息與數(shù)據(jù)保護(hù)執(zhí)法活動，如2018年公安部網(wǎng)絡(luò)安全保衛(wèi)局集中約談境內(nèi)WiFi分享類網(wǎng)絡(luò)應(yīng)用服務(wù)企業(yè)，向境內(nèi)提供服務(wù)的119家企業(yè)提出加強(qiáng)公民個(gè)人信息保護(hù)的5項(xiàng)要求；近年來國務(wù)院建立的打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會議機(jī)制，更是系由公安部牽頭23個(gè)成員單位，共同推進(jìn)打擊治理針對利用公民個(gè)人信息的電信詐騙行動。國家互聯(lián)網(wǎng)信息辦公室作為互聯(lián)網(wǎng)安全和信息主管部門，也大量開展針對個(gè)人信息保護(hù)與安全的執(zhí)法行動，今年年初即聯(lián)合工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局等聯(lián)合啟動App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動。工業(yè)和信息化部為信息通信行業(yè)網(wǎng)絡(luò)安全監(jiān)管職能部門，負(fù)責(zé)落實(shí)企業(yè)網(wǎng)絡(luò)安全責(zé)任的執(zhí)法，國家市場監(jiān)督管理總局負(fù)責(zé)涉及《電子商務(wù)法》與《消費(fèi)者保護(hù)法》的個(gè)人信息保護(hù)執(zhí)法，銀保監(jiān)會于2019年5月發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，為銀行保險(xiǎn)等金融機(jī)構(gòu)的數(shù)據(jù)保護(hù)提供執(zhí)法標(biāo)準(zhǔn)。

由此可見，在我國基礎(chǔ)性立法中數(shù)據(jù)保護(hù)內(nèi)容不足、數(shù)據(jù)保護(hù)專門立法付之闕如的當(dāng)下，數(shù)據(jù)保護(hù)執(zhí)法行動政出多門，執(zhí)法領(lǐng)域或交叉或留白，難以實(shí)現(xiàn)有效覆蓋與標(biāo)準(zhǔn)整合，當(dāng)前缺乏通過統(tǒng)一強(qiáng)力執(zhí)法機(jī)關(guān)或執(zhí)法行為提升數(shù)據(jù)保護(hù)水平的可能性。尤為遺憾的是，相當(dāng)一部分執(zhí)法機(jī)關(guān)與執(zhí)法行動重在維護(hù)網(wǎng)絡(luò)安全，對數(shù)據(jù)主體的權(quán)利問題重視不足，如前述人大常委會啟動的專項(xiàng)檢查中，作為“個(gè)人信息保護(hù)”檢查目標(biāo)的有效成果，包含落實(shí)網(wǎng)絡(luò)接入實(shí)名制、加強(qiáng)企業(yè)內(nèi)控管理防止信息泄露、提升防止黑客攻擊能力與建立反詐騙中心打擊電信網(wǎng)絡(luò)詐騙犯罪，其中僅有防止信息泄露或與個(gè)人數(shù)據(jù)權(quán)利保護(hù)直接相關(guān)。當(dāng)前，這種重安全而輕權(quán)利的立法、執(zhí)法導(dǎo)向?qū)е卤就疗髽I(yè)較少關(guān)心由自然人用戶提出的數(shù)據(jù)權(quán)利問題。而事實(shí)上，個(gè)人數(shù)據(jù)與信息的合理保護(hù)才是國家信息基礎(chǔ)設(shè)施得以應(yīng)用和發(fā)展的基礎(chǔ)。[2]P87換言之，數(shù)據(jù)權(quán)利保護(hù)正是實(shí)現(xiàn)數(shù)據(jù)安全的基石。

3.責(zé)任主體差異：數(shù)據(jù)保護(hù)理念欠缺及數(shù)據(jù)倫理異化

我國法律文化土壤中成長起來的企業(yè)其數(shù)據(jù)安全與數(shù)據(jù)保護(hù)意識較為淡薄。不但體現(xiàn)為企業(yè)對用戶信息及數(shù)據(jù)應(yīng)予保護(hù)的理念欠缺，還表現(xiàn)為企業(yè)自身數(shù)據(jù)管理缺位，對自身具有財(cái)產(chǎn)屬性與重大價(jià)值的企業(yè)數(shù)據(jù)同樣保護(hù)不足，如不久前深圳市法院對科技企業(yè)大疆創(chuàng)新因前員工泄露公司源代碼案件作出一審判決，經(jīng)法院判定該事件造成大疆公司的損失高達(dá)114.6萬。此外，我國部分企業(yè)缺乏對商業(yè)倫理與數(shù)據(jù)應(yīng)用倫理的應(yīng)有尊重。如某頭部科技企業(yè)董事長曾公然做出“以隱私換便利”的荒謬表態(tài)，亦引發(fā)了深刻的社會反思。[7]P2

當(dāng)前，我國正處于從信息經(jīng)濟(jì)與網(wǎng)絡(luò)經(jīng)濟(jì)向數(shù)字經(jīng)濟(jì)發(fā)展的重要節(jié)點(diǎn)，知識與信息的生產(chǎn)、傳播與應(yīng)用、信息科技的強(qiáng)化，共同推動人類向數(shù)字時(shí)代過度，并表現(xiàn)為整個(gè)經(jīng)濟(jì)領(lǐng)域的數(shù)字化。[8]P19歷史上從來沒有任何一個(gè)時(shí)代，信息以及信息化生成的數(shù)據(jù)的經(jīng)濟(jì)價(jià)值如此凸顯。此時(shí)，確保其在人民之間的平等分配與利用，是確保整個(gè)社會公平進(jìn)步的關(guān)鍵。[5]P84在數(shù)據(jù)收集領(lǐng)域，由于信息不對稱的存在，很多消費(fèi)者在進(jìn)行交易時(shí)根本不知道商家正從這筆交易中獲取一項(xiàng)非常有價(jià)值的財(cái)富，即消費(fèi)者的私人資料與交易記錄，并且這種信息獲取完全是免費(fèi)的。[9]P496在數(shù)據(jù)使用領(lǐng)域，消費(fèi)者同樣處于信息不對稱的泥沼之中，例如當(dāng)消費(fèi)者注冊了某一款A(yù)PP后，由于APP運(yùn)營者不會強(qiáng)調(diào)注冊可能帶來的數(shù)據(jù)泄露后果，因此消費(fèi)者完全想象不到其信息可能被二次使用、轉(zhuǎn)讓使用等，甚至用于其本不希望用于的領(lǐng)域，如個(gè)人健康信息被用于保險(xiǎn)公司的核保評估之中。在數(shù)據(jù)估值領(lǐng)域，由于消費(fèi)者總是低估自己的私人信息的估價(jià)困難現(xiàn)象，從而導(dǎo)致“隱私近視”(privacy myopia)現(xiàn)象的出現(xiàn)，即企業(yè)從消費(fèi)者處獲得的信息一旦形成綜合檔案，其價(jià)值遠(yuǎn)高于單個(gè)私人價(jià)值之和，而被收購數(shù)據(jù)的消費(fèi)者并沒有意識到這一點(diǎn)，從而樂于接受企業(yè)提供的看似慷慨的出價(jià)。[10]P1502-1504除信息不對稱因素外，數(shù)據(jù)主體議價(jià)能力的不均衡也會阻礙他人對數(shù)據(jù)權(quán)利的保護(hù)。因此，在數(shù)據(jù)信息交易中，企業(yè)并沒有盡到公平對待消費(fèi)者、并給予消費(fèi)者合理交易價(jià)格的機(jī)會，甚至在有意無意的利用消費(fèi)者的無知。不但如此，企業(yè)還可以通過掌握技術(shù)標(biāo)準(zhǔn)的制定，維持已經(jīng)取得的信息披露最大化的現(xiàn)狀，甚至?xí)M(jìn)一步剝奪消費(fèi)者選擇其他標(biāo)準(zhǔn)與行為的機(jī)會。[9]P502-503或許更為嚴(yán)重的是，由于消費(fèi)者根本無法拒絕企業(yè)制定的協(xié)議(否則將無法使用某種產(chǎn)品或服務(wù))，則企業(yè)的數(shù)據(jù)使用協(xié)議已經(jīng)成為全球用戶的法律，“這會暗中破壞法律正常的制定與實(shí)施，因?yàn)榉蓱?yīng)該有規(guī)定的程序，考慮并尊重民主原則?！盵11]P157

由此，數(shù)據(jù)保護(hù)中的責(zé)任主體通過有意或無意忽視其數(shù)據(jù)法律義務(wù)與商業(yè)倫理，維持對其最為有利的信息財(cái)富分配格局。正是為克服這一數(shù)據(jù)倫理的異化現(xiàn)象，有學(xué)者提出了保護(hù)個(gè)人數(shù)據(jù)的四個(gè)道德與倫理理由：“基于信息的傷害”“信息不平等”“信息不公平”與“道德自治與道德認(rèn)同”。[12]P221,224-225

(二) 數(shù)據(jù)法律風(fēng)險(xiǎn)的“混合型”呈現(xiàn)

1.以違反消費(fèi)者保護(hù)法及政策為通常形式

盡管在數(shù)據(jù)保護(hù)方面存在許多根本差異, 但“信息范式”仍是美國隱私法和歐洲數(shù)據(jù)保護(hù)法的共同要素。當(dāng)代數(shù)據(jù)保護(hù)法系基于丹尼爾·索洛夫教授所說的“隱私自我管理”(privacy self-management)模式。[13]P1880-1903根據(jù)這一模式, 消費(fèi)者應(yīng)對其個(gè)人數(shù)據(jù)行使控制, 并就其數(shù)據(jù)使用在知情后做出決定。因此,“通知與選擇”(notice and choice)已成為美國公平信息實(shí)踐自律的關(guān)鍵要素。[14]P43-44歐洲數(shù)據(jù)保護(hù)法雖然比美國隱私法更具限制性, 但也在大體建立在“通知與選擇”的模式之上。[14]P44-46“通知”一般是從信息實(shí)踐的透明度角度描述, 而 “選擇”通常是從同意的角度來界定的，[14]P43-44都與企業(yè)的信息披露密切相關(guān)。盡管大多數(shù)消費(fèi)者既不閱讀也不理解冗長和復(fù)雜的隱私聲明，但信息披露仍是立法者的普遍選擇，其優(yōu)勢在于：一方面，規(guī)定信息披露義務(wù)、進(jìn)而征收“信息稅”具有輕微監(jiān)管和市場干擾最小化的優(yōu)勢，能夠通過價(jià)格、質(zhì)量或合同條款的明確化來克服信息不對稱而導(dǎo)致的市場效率低下的問題，改善市場運(yùn)作；另一方面，強(qiáng)制披露能夠保護(hù)消費(fèi)者自決權(quán)和增強(qiáng)消費(fèi)者權(quán)能。而信息披露多蘊(yùn)含在消費(fèi)者保護(hù)法或政策中，故此無論數(shù)據(jù)義務(wù)人未經(jīng)充分披露或獲取消費(fèi)者同意而獲得、使用、處理數(shù)據(jù)時(shí)，其法律風(fēng)險(xiǎn)通常體現(xiàn)為，也至少包含了對消費(fèi)者保護(hù)法及政策的違反。

2.技術(shù)管制風(fēng)險(xiǎn)漸次呈現(xiàn)

數(shù)據(jù)的獲取、使用與處理往往涉及科技型企業(yè)及信息技術(shù)發(fā)展，故此企業(yè)的數(shù)據(jù)法律風(fēng)險(xiǎn)呈現(xiàn)特征較為復(fù)雜，往往因目的地國家對于他國科技進(jìn)步的擔(dān)憂與科技反制的政策而面臨不確定性，并以有?！叭诵?、人權(quán)、隱私、個(gè)人或公眾自由”的藉口遭遇打擊。以美國為例，美國國會于2018年通過新《外國投資風(fēng)險(xiǎn)審查現(xiàn)代化法》(Foreign Investment Risk Review Modernization Act，F(xiàn)IRRMA)，將非控制性投資也納入審查，將自愿申報(bào)制度變更為對部分領(lǐng)域的投資實(shí)施強(qiáng)制申報(bào)，對美國公司與非美國公司之間的技術(shù)合作亦實(shí)施全新的管制體系。依據(jù)FIRRMA規(guī)定，涉及敏感行業(yè)、政府合同、關(guān)鍵技術(shù)、敏感數(shù)據(jù)、關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等交易均被納入安全審查范圍。美國商務(wù)部工業(yè)安全局隨即公布了一份通函(Notice)草案，將包括人工智能、生物技術(shù)、數(shù)據(jù)分析和新材料等在內(nèi)的14項(xiàng)列入關(guān)鍵技術(shù)領(lǐng)域。由此實(shí)現(xiàn)將技術(shù)管制問題偽裝為投資管理問題，則數(shù)據(jù)違法行為可能因違反隱私與自由而成為投資審查的借口，進(jìn)而實(shí)現(xiàn)技術(shù)管制之目的。無疑這將大大增加他國企業(yè)并購美國企業(yè)，特別是涉及關(guān)鍵技術(shù)領(lǐng)域投資時(shí)的風(fēng)險(xiǎn)與難度。

3.貿(mào)易政策風(fēng)險(xiǎn)交錯(cuò)其中

經(jīng)驗(yàn)研究表明，無論是雙邊還是多邊貿(mào)易協(xié)定，都會降低貿(mào)易政策不確定性，并主要通過企業(yè)的市場進(jìn)入和中間投入品的進(jìn)口來促進(jìn)貿(mào)易。[15]P106-116然而，由于WTO談判在進(jìn)入多哈回合后陷入停滯，新生的數(shù)字經(jīng)濟(jì)及數(shù)據(jù)相關(guān)問題在多邊層面缺乏權(quán)威性規(guī)范；部分國家力圖通過雙邊協(xié)議或區(qū)域協(xié)定將其納入其中，推動對己有利的數(shù)據(jù)政策并打壓競爭對手。僅以歐美為例，目前較為成熟的跨境數(shù)據(jù)傳輸雙邊機(jī)制為歐美之間的“隱私盾”(Privacy Shield)，依據(jù)該機(jī)制，美國公司要遵守歐盟的高標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)要求，則歐盟允許向美國跨境傳輸發(fā)生于歐盟的數(shù)據(jù)；歐盟試圖以GDPR為跨大西洋數(shù)據(jù)規(guī)范確立基石，而GDPR將數(shù)據(jù)傳輸限制作為確保數(shù)據(jù)享有充分法律保護(hù)的一種工具。但美國通過在美墨加協(xié)定(The United States-Mexico-Canada Agreement ，USMCA)中設(shè)定數(shù)字貿(mào)易專章，確立了禁止對跨境數(shù)據(jù)傳輸施加限制與全面禁止數(shù)據(jù)本地化要求的規(guī)則，并實(shí)施了較低的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。這就意味著協(xié)定簽署國不必遵循歐洲的數(shù)據(jù)保護(hù)模式；考慮到美國一直致力于將USMCA模式推廣到其他區(qū)域協(xié)定談判中，而多邊談判亦可能借鑒這一模式，則美國確定的數(shù)據(jù)保護(hù)政策很可能被悄然確立為全球數(shù)據(jù)保護(hù)原則與規(guī)則的重要藍(lán)本，至少在與歐盟的數(shù)據(jù)貿(mào)易標(biāo)準(zhǔn)之爭中已經(jīng)扳回一城，由此亦可見各國貿(mào)易政策背后的政治經(jīng)濟(jì)考量。事實(shí)上, 當(dāng)美國在USMCA協(xié)定中宣揚(yáng)高標(biāo)準(zhǔn)知識產(chǎn)權(quán)保護(hù)的同時(shí),又選擇了低標(biāo)準(zhǔn)的數(shù)字貿(mào)易保護(hù)，可見保護(hù)什么、以什么標(biāo)準(zhǔn)保護(hù)，完全是一個(gè)基于美國立場、強(qiáng)化美國優(yōu)勢、削弱競爭對手的選擇。正如有學(xué)者評價(jià)，美式單邊主義通過單邊標(biāo)準(zhǔn)雙邊化，進(jìn)而通過數(shù)量累積達(dá)至準(zhǔn)多邊化乃至多邊化，最終重塑全球經(jīng)貿(mào)規(guī)則體系，實(shí)現(xiàn)符合美國利益和需求的新一代“全球化”，亦即敵視、限制乃至排斥中國的一種“全球化”。[16]P53

我國是數(shù)字發(fā)展大國，目前數(shù)字經(jīng)濟(jì)規(guī)模躍居全球第二，中國不僅孕育了若干數(shù)字化巨頭，世界上三分之一的獨(dú)角獸企業(yè)誕生在中國，而且已經(jīng)形成不斷擴(kuò)張的數(shù)字化生態(tài)系統(tǒng)。[8]P19中美在數(shù)字經(jīng)濟(jì)發(fā)展中雖然有合作，但亦有競爭。而數(shù)據(jù)作為新生產(chǎn)要素的重要作用日益凸顯，數(shù)據(jù)的開放、共享和應(yīng)用將優(yōu)化資源配置和使用效率，提高資源、資本、人才全要素生產(chǎn)率，是發(fā)展數(shù)字經(jīng)濟(jì)，成為數(shù)字強(qiáng)國的關(guān)鍵。在數(shù)據(jù)治理領(lǐng)域，需要警惕美式或歐式標(biāo)準(zhǔn)與規(guī)則的確立產(chǎn)生排斥中國的后果。當(dāng)前在數(shù)據(jù)治理領(lǐng)域，由于我國數(shù)據(jù)保護(hù)立法的形式與實(shí)質(zhì)均存在不足，數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)與歐盟所倡導(dǎo)的標(biāo)準(zhǔn)存在較大差距，數(shù)據(jù)安全立法理念與美國所試圖推動的數(shù)據(jù)自由流動存在分歧，或因法律及標(biāo)準(zhǔn)差異引發(fā)貿(mào)易政策分歧，進(jìn)而成為其他國家實(shí)現(xiàn)其政治經(jīng)濟(jì)利益的藉口。事實(shí)上，最近美國政府對華為、大疆等中國科技公司的打壓，至少其披露的理由均與數(shù)據(jù)泄露、數(shù)據(jù)保護(hù)或數(shù)據(jù)安全相關(guān)。

總之，當(dāng)前的數(shù)據(jù)風(fēng)險(xiǎn)本質(zhì)上雖然仍是一個(gè)法律問題，但已經(jīng)不僅僅顯現(xiàn)為法律問題，在技術(shù)促進(jìn)政策、競爭政策、貿(mào)易政策正在發(fā)生劇變的歐美市場，我國企業(yè)極易因數(shù)據(jù)違法產(chǎn)生風(fēng)險(xiǎn)外溢，法律風(fēng)險(xiǎn)與其他風(fēng)險(xiǎn)相互交叉，混合作用，危及企業(yè)的正常并購與投資管理。

四、規(guī)避對外投資數(shù)據(jù)法律風(fēng)險(xiǎn)的建議

數(shù)據(jù)安全與數(shù)字經(jīng)濟(jì)發(fā)展固然重要，但權(quán)利保護(hù)亦是發(fā)展與安全的基石。GDPR的數(shù)據(jù)保護(hù)高標(biāo)準(zhǔn)在帶動全球個(gè)人數(shù)據(jù)保護(hù)水平提升的同時(shí)，也贏得了捍衛(wèi)消費(fèi)者權(quán)利的廣泛贊譽(yù)，為歐盟市場吸引投資、發(fā)展自身數(shù)字經(jīng)濟(jì)提供了巨大的聲譽(yù)資本，很難說因增加成本而削弱了歐盟的競爭力。故此，盡管數(shù)據(jù)法律風(fēng)險(xiǎn)也可能與其他風(fēng)險(xiǎn)存在共振與疊加，但練好內(nèi)功，提升自身的經(jīng)貿(mào)法制水平，推動我國企業(yè)在對外投資中遵守目的地國家法律、配合監(jiān)管執(zhí)法、充分利用司法、合理捍衛(wèi)權(quán)益，始終是至關(guān)重要的。

(一) 高度重視投資目的地法律體系、提升數(shù)據(jù)保護(hù)意識

目前來看，主要投資目的地個(gè)人數(shù)據(jù)保護(hù)法律體系都較為復(fù)雜。在美國，既要關(guān)注數(shù)據(jù)安全、數(shù)據(jù)保護(hù)法律和傳統(tǒng)的隱私保護(hù)法律等不同部門法；又要關(guān)注聯(lián)邦法與州法兩個(gè)法律體系。不僅需要關(guān)注聯(lián)邦立法如《兒童在線隱私保護(hù)法》《金融服務(wù)現(xiàn)代化法》《公平信用報(bào)告法》《電話營銷銷售規(guī)則》《公平債務(wù)催收法》等；還要密切關(guān)注各州立法，尤其許多個(gè)人數(shù)據(jù)保護(hù)規(guī)范是嵌入消費(fèi)者保護(hù)法從而為數(shù)據(jù)主體提供救濟(jì)的，而消費(fèi)者保護(hù)法屬州法范疇。在州法層面，由于各州的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)也存在差異，因此如果投資企業(yè)的目標(biāo)客戶為美國全境，則必須與持有較高保護(hù)標(biāo)準(zhǔn)的州法保持一致。在歐盟，既要關(guān)注歐盟層級的指令(directive)與條例(regulation)所創(chuàng)設(shè)的一般標(biāo)準(zhǔn)，如達(dá)到一定規(guī)模的企業(yè)設(shè)立數(shù)據(jù)保護(hù)官制度；又要熟稔成員國法律，尤其是成員國所作出的與歐盟標(biāo)準(zhǔn)不同的法律規(guī)定，或者對于歐盟立法的保留條款，或者歐盟指定由成員國自行制定的條款，例如投資英國更應(yīng)關(guān)注違反數(shù)據(jù)保護(hù)義務(wù)可能帶來的董事高管刑事法律責(zé)任以及其風(fēng)險(xiǎn)規(guī)避。

鑒于不同投資目的地的數(shù)據(jù)保護(hù)法律體系本身就較為復(fù)雜，在海外并購的過程中必須強(qiáng)化這一領(lǐng)域的盡職調(diào)查，了解目標(biāo)企業(yè)經(jīng)營管理的合法性，確保其不因數(shù)據(jù)違法行為或潛在違法行為而承擔(dān)糾紛、債務(wù)或法律責(zé)任，最大程度消除因信息不對稱導(dǎo)致的投資交易風(fēng)險(xiǎn)。

(二) 積極配合職能部門執(zhí)法行為、規(guī)避執(zhí)法風(fēng)險(xiǎn)

諸種因數(shù)據(jù)保護(hù)違法而產(chǎn)生的法律責(zé)任中，刑事責(zé)任較為少見；民事責(zé)任之訴訟發(fā)起人相對于企業(yè)往往較為弱勢，在不具備集團(tuán)訴訟制度的國家尚不足以對企業(yè)形成重大威懾；因此對于我國對外投資企業(yè)而言，最應(yīng)關(guān)注的是各國的強(qiáng)力數(shù)據(jù)管理職能部門或監(jiān)管部門的行政執(zhí)法行為，最應(yīng)規(guī)避的是由執(zhí)法行為帶來的行政法律責(zé)任與風(fēng)險(xiǎn)。尤其是近年來無論歐美均大幅提升了行政處罰標(biāo)準(zhǔn)，歐盟更是統(tǒng)一處罰標(biāo)準(zhǔn)，將其提升至“2千萬歐元或前一年度企業(yè)全球營業(yè)額的4%、以較高者為準(zhǔn)”，需要我國投資企業(yè)慎重對待。

由于行政責(zé)任的加重與數(shù)據(jù)保護(hù)執(zhí)法力度的強(qiáng)化，我國對外投資企業(yè)需要積極配合各投資目的地?cái)?shù)據(jù)保護(hù)職能部門的執(zhí)法行為。在美國，投資企業(yè)需要高度關(guān)注并深刻理解FTC的目標(biāo)與功能。在歐盟，投資企業(yè)也需要對各國執(zhí)法部門及其執(zhí)法路徑、傾向等具有充分的了解，高度配合監(jiān)管。配合監(jiān)管不但為爭取行政和解、最小化企業(yè)損失所必須，還是規(guī)避企業(yè)或員工刑事責(zé)任的重要途徑，如歐盟成員國中波蘭就將阻止或妨礙監(jiān)管檢查視為刑事犯罪行為。在歐盟配合監(jiān)管，還要求符合資質(zhì)的企業(yè)設(shè)立數(shù)據(jù)保護(hù)官制度，在發(fā)現(xiàn)個(gè)人數(shù)據(jù)泄露時(shí)盡可能及時(shí)通知監(jiān)管機(jī)關(guān)，同時(shí)企業(yè)應(yīng)對歐盟各成員國數(shù)據(jù)監(jiān)管機(jī)關(guān)執(zhí)法的嚴(yán)格性具有正確認(rèn)知，避免引發(fā)巨額行政處罰。

(三)善用裁判引導(dǎo)功能、維護(hù)合法權(quán)益

在我國主要投資目的地國家中，司法都發(fā)揮著重要而關(guān)鍵的平衡作用。立法的規(guī)定如何轉(zhuǎn)化成為現(xiàn)實(shí)的法律責(zé)任，有賴于法院的認(rèn)定與裁判。在重要且敏感的爭議糾紛中，司法裁判往往一錘定音；而此前的司法案例也可以為企業(yè)合法經(jīng)營提供必要的指引。由此，必須高度關(guān)注投資目的地國家的法院判決及其傾向。

美國的政治文化與法律傳統(tǒng)下，法院傾向于維護(hù)美國憲法第一修正案與言論自由，導(dǎo)致部分隱私權(quán)訴訟難以成功獲賠。此外，美國法院在隱私權(quán)侵權(quán)訴訟中，較為堅(jiān)持損害結(jié)果的現(xiàn)實(shí)性，部分?jǐn)?shù)據(jù)侵權(quán)訴訟受害人往往因難以證明存在現(xiàn)實(shí)損害而敗訴。不過近年來，美國法院的整體觀點(diǎn)有發(fā)生變化的趨勢，尤其在未成年人數(shù)據(jù)保護(hù)與安全等領(lǐng)域。對于我國對外投資企業(yè)而言，在努力提升自身數(shù)據(jù)安全與數(shù)據(jù)保護(hù)義務(wù)水平的同時(shí)，也可以充分利用美國司法機(jī)關(guān)的傾向提出抗辯，維護(hù)己方合法利益。

歐盟法院與成員國法院也積極介入數(shù)據(jù)權(quán)利糾紛，歐盟法院通過“谷歌西班牙公司案”裁判曾發(fā)揮了積極解釋立法規(guī)定(被遺忘權(quán))的作用。成員國法院的裁判傾向也值得高度關(guān)注，例如英國法院通過裁判，支持?jǐn)?shù)據(jù)侵權(quán)受害人的精神損害賠償請求；并為了保護(hù)用戶數(shù)據(jù)權(quán)利，提升了谷歌以及其他搜索引擎企業(yè)的義務(wù)標(biāo)準(zhǔn)，要求其負(fù)有一定的內(nèi)容過濾義務(wù)；德國法院采取平衡態(tài)度，并不傾向于對立法之中規(guī)定過于寬泛的侵犯數(shù)據(jù)權(quán)利犯罪行為施加司法制裁；等等。這些都需要對外投資企業(yè)結(jié)合國別差異采用不同的應(yīng)對措施。

(四)完善內(nèi)部風(fēng)險(xiǎn)管理體系、適度分散風(fēng)險(xiǎn)

數(shù)據(jù)保護(hù)問題最初本就體現(xiàn)為企業(yè)風(fēng)險(xiǎn)內(nèi)控問題，如各企業(yè)的隱私政策如何設(shè)置，首先涉及到的就是企業(yè)與用戶之間的約定及其履行。此后，因企業(yè)與個(gè)人用戶之間的締約能力大不相同，加之?dāng)?shù)據(jù)保護(hù)的專業(yè)性、安全性、信息不對稱等因素，導(dǎo)致行政監(jiān)管機(jī)關(guān)介入，以強(qiáng)力監(jiān)管推動企業(yè)完善經(jīng)營，救濟(jì)公眾，維護(hù)公共利益。因此，完備的立法、強(qiáng)力的執(zhí)法、平衡的司法，均不能替代最為核心的企業(yè)經(jīng)營管理與風(fēng)險(xiǎn)管理問題。

綜合各國經(jīng)驗(yàn)，首先，對外投資企業(yè)有必要建立專門的數(shù)據(jù)安全管理人員或團(tuán)隊(duì)，并保證其履行職責(zé)的獨(dú)立性。這體現(xiàn)為歐盟、英國等的數(shù)據(jù)保護(hù)官制度、美國馬薩諸塞州的信息安全計(jì)劃(Information Security Programme)專員制度、美國紐約州金融機(jī)構(gòu)的首席信息安全官制度(Chief Information Security Officer)等立法要求。數(shù)據(jù)安全管理人制度與目前部分大企業(yè)已經(jīng)設(shè)立的首席信息官(Chief Information Officer，CIO)制度存在差異，前者更關(guān)注的是企業(yè)數(shù)據(jù)控制與數(shù)據(jù)處理中的安全與風(fēng)險(xiǎn)防控問題，而后者則主要負(fù)責(zé)企業(yè)信息技術(shù)的利用問題，二者職能在一定程度上存在沖突，往往體現(xiàn)為安全與效率之爭，這也是為何歐盟《通用數(shù)據(jù)保護(hù)條例》以專門規(guī)定凸顯前者重要性的意義所在。

其次，對外投資企業(yè)需要制訂完備的信息安全實(shí)施計(jì)劃，配備完善的信息安全技術(shù)防范措施，定期排查數(shù)據(jù)安全隱患。建立完備的數(shù)據(jù)庫分級授權(quán)管理機(jī)制，明確各級工作人員的數(shù)據(jù)管理與數(shù)據(jù)安全職責(zé)，加強(qiáng)數(shù)據(jù)管理權(quán)限設(shè)置，明確各級人員獲得數(shù)據(jù)的范圍及程序。加強(qiáng)對員工的數(shù)據(jù)安全培訓(xùn)，在機(jī)構(gòu)內(nèi)部形成監(jiān)督與制約機(jī)制，切實(shí)防范數(shù)據(jù)泄露或?yàn)E用行為等危害數(shù)據(jù)安全的行為發(fā)生。

最后，對外投資企業(yè)還可通過購入數(shù)據(jù)泄露保險(xiǎn)(Data Breach Insurance)、網(wǎng)絡(luò)責(zé)任保險(xiǎn)(Cyber Liability Insurance)等保險(xiǎn)產(chǎn)品覆蓋因和解、維護(hù)公共關(guān)系、承擔(dān)法律責(zé)任、支付法律費(fèi)用等而發(fā)生的成本，分散投資與經(jīng)營風(fēng)險(xiǎn)。

五、結(jié)論

數(shù)據(jù)安全與數(shù)據(jù)自由，隱私保護(hù)與產(chǎn)業(yè)發(fā)展，是各國通過不同的數(shù)據(jù)保護(hù)模式、路徑與方法試圖實(shí)現(xiàn)的魚與熊掌。然而這一問題最終并不取決于立法者與社會治理者的主觀意愿，更受制于現(xiàn)實(shí)因素，包括各國的文化、政治、經(jīng)濟(jì)、法律發(fā)展現(xiàn)狀，在全球化時(shí)代也包括國際環(huán)境的影響。作為全球化的受益者，一方面我國有必要通過推動數(shù)據(jù)保護(hù)規(guī)范化與標(biāo)準(zhǔn)提升使自己的企業(yè)能夠不失分、不漏項(xiàng)地以一種負(fù)責(zé)任企業(yè)的健康形象融入國際投資貿(mào)易體系；另一方面，在保護(hù)主義逆流泛濫、尚存“全球化向何處去”迷思的當(dāng)下，也應(yīng)關(guān)注法律問題與技術(shù)問題、貿(mào)易政策問題的疊加與共振，提升風(fēng)險(xiǎn)意識，防范數(shù)據(jù)法律責(zé)任產(chǎn)生。

注釋：

① TikTok agrees to pay record $5.7-million settlement in FTC children's online privacy case[EB/OL]. https://www.usatoday.com/story/tech/2019/02/27/ftc-childrens-privacy-case-tiktok-video-app-paying-record-settlement/3006921002, 2019-2-27.

② Lenovo Settles FTC Charges it Harmed Consumers With Preinstalled Software on its Laptops that Compromised Online Security[EB/OL]. https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled,2019-2-27.

③ 中華人民共和國商務(wù)部，國家統(tǒng)計(jì)局，國家外匯管理局.2017年度中國對外直接投資統(tǒng)計(jì)公報(bào)[M].北京：中國統(tǒng)計(jì)出版社，2018：4.

④ 中華人民共和國商務(wù)部.中國對外投資發(fā)展報(bào)告(2018)[EB/OL].商務(wù)部網(wǎng)站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.

⑤ 其中，歐洲是中企海外并購金額最多的地區(qū)，2018年達(dá)659.4億美元，同比增長37.9%，占中企全球并購總額的六成；中企在北美洲的海外并購金額達(dá)156.5億美元，與2017年持平。參見中華人民共和國商務(wù)部.中國對外投資發(fā)展報(bào)告(2018)[EB/OL].商務(wù)部網(wǎng)站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.。

⑥ Data Protection Full Handbook[EB/OL]. https://www.dlapiperdataprotection.com/,2019-2-3.

⑦ Federal Trade Commission Act,15 U.S.C. §§ 41-58.

⑧ Gateway Learning Settles FTC Privacy Charges Company Rented Customer Information it Pledged to Keep Private[EB/OL].https://www.ftc.gov/news-events/press-releases/2004/07/gateway-learning-settles-ftc-privacy-charges,2019-2-3.

⑨ Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises[EB/OL]. https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep, 2019-2-3.

⑩ FTC Cases and Proceedings[EB/OL]. https://www.ftc.gov/enforcement/cases-proceedings, 2019-2-3.