【摘 要】 歐盟是立法相對嚴(yán)苛和嚴(yán)謹(jǐn)?shù)膰遥诹⒎▽?shí)踐方面對其成員國乃至世界范圍內(nèi)的其他國家產(chǎn)生了極為深遠(yuǎn)的影響。歐盟的數(shù)據(jù)保護(hù)立法常常被學(xué)者用來作為數(shù)據(jù)保護(hù)立法的典范，因此將對GDPR對歐盟成員國以及其他非歐國家的影響進(jìn)行研究。

【關(guān)鍵詞】 GDPR 影響 數(shù)據(jù)保護(hù)

一、研究背景

大數(shù)據(jù)的時(shí)代背景下，數(shù)據(jù)泄露問題是當(dāng)前困擾數(shù)字經(jīng)濟(jì)進(jìn)一步發(fā)展的一大主要障礙。法律的出臺既能夠從權(quán)威的角度來保護(hù)消費(fèi)者的隱私權(quán)益，同時(shí)也能夠給企業(yè)足夠空間有的放矢。歐盟是立法相對嚴(yán)苛和嚴(yán)謹(jǐn)?shù)膰遥诹⒎▽?shí)踐方面對其成員國乃至世界范圍內(nèi)的其他國家產(chǎn)生了極為深遠(yuǎn)的影響。歐盟的數(shù)據(jù)保護(hù)立法常常被學(xué)者用來作為數(shù)據(jù)保護(hù)立法的典范，而我國雖然在2016年出臺了《網(wǎng)絡(luò)安全法》，但卻因?yàn)樵摲芍袑οM(fèi)者的權(quán)利界定尚有模糊之處，直到2018年《電子商務(wù)法》的正式實(shí)施彌補(bǔ)這一缺陷后，我國才被認(rèn)為是擁有數(shù)據(jù)保護(hù)立法的國家[1]。即便如此，《電子商務(wù)法》中提及“隱私”一詞的條例仍然極為有限，在數(shù)據(jù)保護(hù)的具體規(guī)范上依然存在不足，數(shù)據(jù)產(chǎn)生者的權(quán)益也仍舊不能得到系統(tǒng)性的保障。因此研究各國在GDPR背景下的立法進(jìn)展對我國接下來出具更完備的數(shù)據(jù)保護(hù)立法的具有重大的借鑒意義，因此將對GDPR對歐盟成員國以及其他非歐國家產(chǎn)生的影響進(jìn)行研究。

二、歐盟數(shù)據(jù)保護(hù)歷史

（一）歐盟數(shù)據(jù)保護(hù)歷史回顧。世界上共231個(gè)國家和獨(dú)立立法主體，截止到2019年1月，132個(gè)立法主體已經(jīng)頒布相關(guān)立法，全球范圍內(nèi)的數(shù)據(jù)保護(hù)法律覆蓋率約為57%，其中歐盟是世界范圍內(nèi)最早實(shí)現(xiàn)數(shù)據(jù)保護(hù)法完全覆蓋的組織，而歐洲的數(shù)據(jù)保護(hù)法覆蓋率已經(jīng)達(dá)到了約95%，遠(yuǎn)遠(yuǎn)高于世界平均水平。

回顧歐洲國家的數(shù)據(jù)保護(hù)立法，大概可以分為三個(gè)階段：第一階段：萌芽期。根據(jù)一項(xiàng)報(bào)告顯示顯示，瑞典是世界上第一個(gè)出臺數(shù)據(jù)保護(hù)法的國家（1973年），20世紀(jì)70年代世界范圍內(nèi)所出臺的7部數(shù)據(jù)相關(guān)法律均是由歐洲國家所出臺，分別是瑞典、德國、奧地利、丹麥、法國、挪威和盧森堡[2]。這是法律界最早展開的數(shù)據(jù)保護(hù)立法探索。第二階段：發(fā)展期。20世紀(jì)80-90年代，歐洲的立法覆蓋率迎來了一個(gè)加速，大部分歐洲國家已經(jīng)完成了數(shù)據(jù)保護(hù)的初步立法。第三階段：成熟期。進(jìn)入2000年，歐洲的立法已經(jīng)進(jìn)入修正階段，這樣的速度領(lǐng)先世界平均水平約10年左右。

（二）歐盟數(shù)據(jù)保護(hù)現(xiàn)狀——通用數(shù)據(jù)保護(hù)條例（GDPR）。GDPR，全稱為General Data Protection Regulation，即通用數(shù)據(jù)保護(hù)條例。經(jīng)過四年多的協(xié)商，2016年4月由歐洲議會(huì)和歐洲理事會(huì)通過。從2016年5月開始，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個(gè)歐洲公民的消費(fèi)者數(shù)據(jù)，例如獲得公民自愿給予和“明確的”同意。如果沒有提供適當(dāng)通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）正式執(zhí)行，在1995年出臺的《個(gè)人數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上將數(shù)據(jù)保護(hù)范圍擴(kuò)大到歐盟全境以及跨境進(jìn)入歐盟的實(shí)體公司。除此之外，這項(xiàng)條例賦予歐洲公民更多的合法權(quán)利，包括限制處理權(quán)（18條）、持續(xù)控制權(quán)（20條）、清除權(quán)（17條）、更正權(quán)（16條）、獲取必要信息的權(quán)利（12-14條）、訪問權(quán)（12、15條）、拒絕權(quán)（14、21條）等，其中，被遺忘權(quán)和刪除權(quán)是歐盟的的特別規(guī)定[3]。

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）一經(jīng)出臺，對歐洲各國均產(chǎn)生了巨大的影響。GDPR第83條就不同的違法行為設(shè)定了不同的罰款標(biāo)準(zhǔn)，例如對違反個(gè)人信息收集和使用的基本原則以及沒有保障數(shù)據(jù)主體權(quán)利的數(shù)據(jù)控制者或處理者，最高可處以2000 萬歐元或全球營業(yè)額的 4%作為罰款，并且取兩者中的較高者。許多在歐行商的企業(yè)已經(jīng)因此受到了巨額罰金，如2019年1月，法國數(shù)據(jù)保護(hù)監(jiān)管架構(gòu)CNIL針對對谷歌LLC案作出審查決定，認(rèn)定谷歌美國違反GDPR多項(xiàng)條款并處以5000萬歐元的罰款。

三、GDPR對歐盟成員國數(shù)據(jù)保護(hù)影響

歐盟作為特殊的跨法域組織的代表，其境內(nèi)存在雙重法制：歐盟法和歐盟成員國法。二者之間的關(guān)系遵循“歐盟法優(yōu)先適用原則”、“相互合作原則”、“直接效力原則”，即二者是一種相互影響且相互包容的關(guān)系，因此歐盟的立法與法律修訂會(huì)對其成員國的法律產(chǎn)生影響，成員國往往需要結(jié)合各國具體情況稍有調(diào)整地修訂立法或訂立新法。因此，自2016年后的GDPR通過起，截止到《全球數(shù)據(jù)隱私法律條例框架（2019版）》中所記載的2018年數(shù)據(jù)，27個(gè)歐盟成員國中的23個(gè)國家已經(jīng)根據(jù)GDPR修改了相關(guān)法律于2018年對法律進(jìn)行了修改，其中包括奧地利（Datenschutzgesetz）、比利時(shí)（Law on the Protection of Individuals regarding the Processing of their Personal Data）、塞浦路斯（The Processing of Personal Data （Protection of the Individual） Law）、克羅地亞（Act on Personal Data Protection）、丹麥（Act on Processing of Personal Data）、愛沙尼亞（Personal Data Protection Act）、芬蘭（Data Protection Act）、法國（Law relating to the protection of individuals against the processing of personal data）、德國（Federal Data Protection Act）、匈牙利（Act on Informational Self-Determination and Freedom of Information）、愛爾蘭（Data Protection Act）、意大利（Data Protection Code）、拉脫維亞（Law on Personal Data Processing）、立陶宛（Law on Legal Protection of Personal Data）、盧森堡（Data Protection Law （GDPR implementing law of 16 August 2018））、馬耳他（Data Protection Act）、荷蘭（Personal Data Protection Act）、波蘭（Act on the Protection of Personal Data）、羅馬尼亞（GDPR implementation law）、斯洛伐克（Act No. 18/2018 on the Protection of Personal Data）、斯洛文尼亞（Personal Data Protection Act）、西班牙（Ley Orgánica 3/2018， de 5 de diciembre， de Protección de Datos Personales y garantía de los derechos digitales.）、瑞典（Data Protection Act）。除此之外，保加利亞、希臘、葡萄牙、捷克4個(gè)國家的法律還在草擬階段[1]。

四、GDPR對非歐國家的影響

雖然GDPR是用于對歐盟以及在歐盟進(jìn)行貿(mào)易的國家和地區(qū)內(nèi)的數(shù)據(jù)活動(dòng)進(jìn)行規(guī)范，但因?yàn)镚DPR本身的完備性與權(quán)威性，部分國家以此為原型進(jìn)行了引用，所以GDPR對除歐盟成員國外的其他國家的立法也產(chǎn)生了影響[1]。

（一）貝寧。貝寧在2017年6月13日出具了與GDPR極為相似的立法，這是一份非常具有綜合性的立法，有超過650條的的條款用于規(guī)范網(wǎng)絡(luò)。與GDPR極為相似的一點(diǎn)就是，將治外法權(quán)、處理器隱私設(shè)計(jì)責(zé)任、設(shè)立數(shù)據(jù)保護(hù)官、數(shù)據(jù)被遺忘權(quán)、數(shù)據(jù)可以執(zhí)行等包含進(jìn)了該國網(wǎng)絡(luò)法中。

（二）烏拉圭。烏拉圭作為第一個(gè)簽署《第108號公約》的非歐洲國家，烏拉圭需要更新其數(shù)據(jù)保護(hù)法。烏拉圭分別從四個(gè)方面加強(qiáng)了該國立法：域外范圍、數(shù)據(jù)違反通知、問責(zé)制（要求控制人員實(shí)施其他gdpr要素）、和數(shù)據(jù)保護(hù)官員。

（三）毛里求斯。毛里求斯在2017年12月22日更新了他們在2004年就訂立的數(shù)據(jù)保護(hù)法。毛里求斯雖然是一個(gè)國土面積僅有2040平方公里的島國，但是作為第二個(gè)服從108號公約的非歐盟國家以及他們較為發(fā)達(dá)的經(jīng)濟(jì)，他們在GDPR的影戲下對自己的法律也進(jìn)行了修正。

五、GDPR對中國產(chǎn)生的影響

歐盟GDPR對全球多個(gè)國家的政府、企業(yè)乃至個(gè)人產(chǎn)生了極大的影響。國內(nèi)學(xué)者在GDPR出臺后紛紛依據(jù)該條例提出我國的借鑒方案，因?yàn)槲覈€未結(jié)合建立數(shù)據(jù)保護(hù)法案，接下來我們主要分析GDPR對我國跨國企業(yè)產(chǎn)生的影響。

（一）跨國企業(yè)消費(fèi)者意識的影響。一項(xiàng)調(diào)查顯示，截止到2019年5月，歐盟民眾中已經(jīng)有67%的受訪者接受過對于數(shù)據(jù)保護(hù)的條例，57%的受訪者表示知道歐盟成員國的數(shù)據(jù)保護(hù)機(jī)構(gòu)，73%的受訪者至少知道GDPR中的一項(xiàng)條款[4]。因此對于許多依跨國數(shù)字經(jīng)濟(jì)公司，需要隨著公民隱私意識的提升以及GDPR將所有的涉歐企業(yè)企業(yè)均納入了新條例的管轄范圍，所以涉歐企業(yè)均需要出臺相關(guān)的隱私保護(hù)政策以及改良銷售模式來加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)，從而避免高額的罰款以及其他的違規(guī)處理。

（二）跨國企業(yè)在歐行商條件的影響。為了防止企業(yè)因?yàn)檫`反歐盟《通用數(shù)據(jù)保護(hù)條例》，我國學(xué)者許濟(jì)滄針對GDPR中的具體條款按照8原則建立了17個(gè)指標(biāo)的評價(jià)指標(biāo)體系，從而為有效防止我國企業(yè)在歐行商提出寶貴的事前準(zhǔn)備[5]，其中八項(xiàng)原則分別是：目標(biāo)明確原則、選擇同意原則、最少夠用原則、合理管護(hù)原則、主體參與原則、公開透明原則、確保安全原則、與自我管護(hù)原則，而17項(xiàng)指標(biāo)分別是：個(gè)人數(shù)據(jù)收集合法程度、個(gè)人數(shù)據(jù)獲取授權(quán)意識、個(gè)人數(shù)據(jù)收集最小化程度、保存時(shí)間最小化程度、加密安全程度、記錄有序性、數(shù)據(jù)庫存分析、設(shè)備管理、數(shù)據(jù)保護(hù)人員獨(dú)立性、訪問控制程度、主體請求響應(yīng)程度、數(shù)據(jù)處理可追溯性等。

總而言之，GDPR已經(jīng)在世界范圍內(nèi)引起了廣泛的影響，我國學(xué)者對其的研究也已經(jīng)較為廣泛，政府可以參考學(xué)者或別國的借鑒經(jīng)驗(yàn)，從而為我國的數(shù)據(jù)保護(hù)法立法提供支持。

【參考文獻(xiàn)】

[1] Graham Greenleaf， 157 Privacy Laws & Business International Report[R]. Australia ：UNSW，2019：14-18.

[2] Graham Greenleaf， 76 Privacy Laws & Business International Report[R]. Australia ：UNSW，2011：1.

[3] 楊一澤，歐盟個(gè)人數(shù)據(jù)保護(hù)條例適用研究[D]哈爾濱：哈爾濱工業(yè)大學(xué)，2017：24-31.

[4] 王灝晨.通用數(shù)據(jù)保護(hù)條例（ GDPR）的實(shí)踐評價(jià)及啟示[J]，中國物價(jià)2019.12.

[5] 許濟(jì)滄.基于GDPR的個(gè)人數(shù)據(jù)保護(hù)企業(yè)自評指標(biāo)體系研究：圖書情報(bào)工作. 2018.12.

作者簡介：唐煜（1996—） ，女，漢族，四川成都人，碩士研究生，單位：云南財(cái)經(jīng)大學(xué)商學(xué)院市場營銷專業(yè)，研究方向：營銷倫理