(華東政法大學 上海 200042)

2016年4月歐盟議會通過了《一般數(shù)據(jù)保護條例》(又稱《通用數(shù)據(jù)保護條例》，以下簡稱 GDPR)。然而2018年5月25日GDPR才正式生效。相較于歐盟1995年的《數(shù)據(jù)保護指令》，GDPR的規(guī)定顯然更為嚴格，比如GDPR的管轄范圍不局限于地域范圍①，個人數(shù)據(jù)范圍更加詳盡，數(shù)據(jù)主體權利擴大，對企業(yè)數(shù)據(jù)處理行為劃分更具體，懲罰措施更嚴厲等等。同時，與1995《數(shù)據(jù)保護指令》(Directive)需要在歐盟各國國內(nèi)轉化適用不同，GDPR屬于條例(Regulation)在歐盟各國有直接適用效力。這使得GDPR在提高個人數(shù)據(jù)保護標準的同時，也擁有更強的法律效力和適用統(tǒng)一性。故歐盟留出兩年時間給各國作為緩沖期。

一、GDPR 研究重點問題

(一)數(shù)據(jù)主體的權利

生活在一個信息可以實時共享的時代，我們享受了許多信息共享帶來的福利與便利。但也伴隨著一種不安感和恐慌感。我們的個人數(shù)據(jù)被手機應用、網(wǎng)頁、社交平臺和物流公司輕易掌握，這些數(shù)據(jù)在被人交易利用后，隨之而來的是刪不完的垃圾信息、掛不斷的推銷電話和跳動不停的頁面廣告。這種煩惱幾乎成為了現(xiàn)代人生活的一部分，似乎成了我們換取技術進步所必須的犧牲。然而這些問題會不會發(fā)展到難以控制的地步？信息泄漏后不僅僅會面對無休止的騷擾，還可能遭遇各種猝不及防、花樣百出的詐騙。更令人憂心的是，待技術發(fā)展到了能夠獲取個人所有數(shù)據(jù)的時候，是不是數(shù)據(jù)控制者能左右我們的行為選擇甚至刻意引導我們的思維方式？法律之所以保護個人隱私，是為了維護人們?nèi)粘Ｉ畹陌矊?，不受打擾。同時，也是在維護人的獨立與尊嚴。而強調(diào)對個人數(shù)據(jù)的保護在信息化社會亦有此意。

GDPR最大的特點和優(yōu)勢的便是它強調(diào)了數(shù)據(jù)主體對個人數(shù)據(jù)的控制權，并為實現(xiàn)這種控制權，創(chuàng)設了許多權利概念，如擦除權(被遺忘權)②、限制處理權、可攜帶權③和自動化個人決策權等。另外，GDPR還根據(jù)年齡和數(shù)據(jù)種類，增加了一些特別要求以提供更周全的保護。針對未成年人，GDPR設立了監(jiān)護人同意制。當企業(yè)向16歲周歲以下的未成年人提供產(chǎn)品或服務并處理其個人數(shù)據(jù)時，需獲得該未成年人的監(jiān)護人同意及授權才屬于合法行為④。GDPR還規(guī)定了對特殊類型個人數(shù)據(jù)，即種族、政治觀點、宗教信仰、工會，以及個人的基因數(shù)據(jù)、生物特征值、健康信息、性生活及取向等數(shù)據(jù)一般禁止處理⑤。滿足特定條件，可以對以上敏感數(shù)據(jù)進行處理，但處理者需將其與其他個人數(shù)據(jù)進行獨立管理，提供更加嚴密的安全保護措施。

(二)GDPR對跨國企業(yè)的影響

作為GDPR規(guī)制的主要對象，企業(yè)將GDPR冠名為“史上最嚴數(shù)據(jù)保護條例”。根據(jù)Ovum公司提供的調(diào)查報告顯示，52%的受訪者預計GDPR將會導致他們公司受到罰款；超過70%的受訪者預計會增加開支來滿足數(shù)據(jù)保護要求；高達85%的受訪者還認為GDPR將使其在與歐盟公司的競爭中處于劣勢。根據(jù)GDPR的要求，首先，在控制者要求提供個人資料時，他們應當采取簡潔、透明、易懂、容易獲取的形式和使用清晰、平白的語言⑥。其次，控制者還需主動亮明身份、聯(lián)系方式，說明數(shù)據(jù)使用目的和處理方式，告知數(shù)據(jù)主體享有的權利。再次，控制者還需設立數(shù)據(jù)保護專員(Data Protection Office，簡稱DPO)專門負責企業(yè)隱私保護工作。最后，還有“72小時報告制”。該規(guī)定要求企業(yè)必須在發(fā)現(xiàn)違規(guī)事件的72小時內(nèi)，向監(jiān)管當局和受到違規(guī)事件影響的個人通報數(shù)據(jù)違規(guī)行為。小米公司相關負責人就曾表示，72小時在實踐中是非常高的標準，為了實現(xiàn)這一點，企業(yè)要建立相當完善的數(shù)據(jù)監(jiān)控機制，實時發(fā)現(xiàn)內(nèi)部違規(guī)操作和外部入侵行為。也就是說這個規(guī)定時間報告制度不僅要企業(yè)提升內(nèi)部的安全意識并且還要建立高效的數(shù)據(jù)泄露發(fā)現(xiàn)、核查和報告的程序。雖說GDPR的規(guī)定十分細致嚴格，但考慮到嚴重的違規(guī)后果⑦，許多企業(yè)還是打消僥幸心理，采取了實際行動。

以一些大型跨國科技公司的合規(guī)措施為例，我們可以直觀感受到GDPR的影響力。微軟副首席法律顧問Julie Brill透露，微軟已經(jīng)為GDPR項目投入了1600多名工程師，他們將為全球客戶提供符合GDPR的工具，微軟的客戶可以查看、刪除和移動他們的個人數(shù)據(jù)。去年4月因用戶信息泄露而備受指責的Facebook也迅速反應，更新了它的隱私設置。如果Facebook在GDPR生效后再發(fā)生嚴重的違規(guī)行為，它將面臨公司全球營收的4%的處罰。Facebook2017財年營收為 406.53億美元⑧，可能的罰金將高達16.26億美元。除了更新隱私設置，F(xiàn)acebook還將美國、加拿大和歐盟國之外的約15億用戶的注冊地從都柏林移至美國。這一舉動主要是避免非洲、亞洲、澳大利亞和拉丁美洲的用戶同樣受到GDPR的影響。蘋果公司也更新了隱私條款并推出了新的用戶頁面，歐洲的用戶現(xiàn)在可以下載蘋果公司由照片、Apple Pay、聯(lián)系人等服務收集的所有數(shù)據(jù)。蘋果公司還將停止其機器學習和AI系統(tǒng)使用客戶數(shù)據(jù)。與Facebook不同，蘋果公司計劃在未來幾個月內(nèi)將這些功能推廣到全球所有帳戶。

面對互聯(lián)網(wǎng)巨頭“熱火朝天”的態(tài)勢，大多歐盟用戶卻深感困擾，GDPR生效的短短幾天內(nèi)，他們便收到紛至而來的用戶協(xié)議更新通知和重新授權通知。郵箱再次被“轟炸”，這正是他們之前一直反感的。在GDPR生效當天，奧地利成立的隱私權利組織Noyb.e就分別代表4位歐盟公民向奧地利、比利時、法國、德國的當?shù)乇O(jiān)管機構提起申訴，控訴Google,Facebook,WhatsApp,Instagram四家公司違反GDPR規(guī)定，請求對其發(fā)起進一步調(diào)查、確定其用戶權利是否被侵犯、禁止其相關數(shù)據(jù)處理行為，并處以懲戒性罰金。該組織創(chuàng)立人Max Schrems在申訴中指出，四家公司更新隱私政策之后，雖然重新請求用戶同意，但用戶若不同意就無法正常使用原來的服務。這等于是一種變相的“強制同意”，事實上剝奪了用戶選擇權。

(三)GDPR與中國企業(yè)

由于GDPR管轄范圍突破了地域限制，向歐盟居民提供產(chǎn)品或服務,甚至只是收集或監(jiān)控相關數(shù)據(jù)的非歐盟企業(yè)和組織,無論企業(yè)或組織所在位置,都必須遵守該法案。中國包括互聯(lián)網(wǎng)、金融和電商企業(yè)在內(nèi)的許多企業(yè)實際上都符合歐盟GDPR的管轄規(guī)定，因此必需做出相應的合規(guī)安排。許多安全團隊也開始針對性地提供GDPR合規(guī)服務。暫時與歐盟內(nèi)數(shù)據(jù)主體沒有關聯(lián)的中國企業(yè)又該如何反應？是利用國內(nèi)相較寬松的法律環(huán)境爭取技術上實現(xiàn)超越發(fā)展？還是提前建立高標準的合規(guī)制度以順應未來數(shù)據(jù)保護法的趨勢？每個企業(yè)可能會根據(jù)自身情況做出不同的選擇。筆者更認同后者，認為中國企業(yè)應該重視GDPR所傳達的信息，在能力范圍內(nèi)盡早調(diào)整企業(yè)的相關安排，逐漸實現(xiàn)合規(guī)要求，并將數(shù)據(jù)安全作為企業(yè)未來發(fā)展規(guī)劃的重要一環(huán)。短期來看，這方面投放的財力物力對企業(yè)來說是一種額外經(jīng)濟負擔，但因為GDPR是目前全球覆蓋面最廣、監(jiān)管條件最嚴格的關于個人隱私和數(shù)據(jù)安全的法規(guī)，它有可能發(fā)展成為國際數(shù)據(jù)保護領域示范法⑨，最終直接或間接影響到每一家企業(yè)。所以從長遠來看，樹立數(shù)據(jù)安全意識并建立一套與之相適應的合規(guī)制度對中國企業(yè)的發(fā)展和國際化是有利的。針對這個問題，有律師從競爭法上分析認為中國企業(yè)若輕視GDPR合規(guī)安排，可能會受到來自歐盟市場其他企業(yè)的不正當競爭指控。兩方發(fā)生糾紛時，歐盟監(jiān)管機構出于保護本地企業(yè)和維護GDPR適用的目的，會傾向認定中國企業(yè)構成不正當競爭行為，進而可能使中國企業(yè)面臨嚴厲的處罰措施。同時，該律師還提到歐盟的企業(yè)也會傾向選擇與已完成GDPR合規(guī)的歐盟境外企業(yè)展開合作，不進行GDPR合規(guī)可能意味著失去在歐盟市場份額和合作方信任⑩。

二、GDPR引發(fā)的質疑

(一)個人數(shù)據(jù)與隱私的界定問題

在新條例下，“用戶數(shù)據(jù)”的保護范圍包括：基本的身份信息(姓名、身份證信息等)、網(wǎng)絡數(shù)據(jù)(IP地址、瀏覽器Cookie等)、醫(yī)療保健或遺傳數(shù)據(jù)、生物識別數(shù)據(jù)(指紋、虹膜等)、種族或民族數(shù)據(jù)、政治觀點和性取向。GDPR對個人數(shù)據(jù)的判斷標準是Personal Identifier Information(PII)，即可識別該自然人的任何數(shù)據(jù)。這個定義將大量的特征描述性信息，比如特殊的外貌特征、行為習慣和社會身份等也囊括進GDPR數(shù)據(jù)保護范圍。因此對這類信息的搜集處理也必須事先獲得數(shù)據(jù)主體的同意方可進行。這類數(shù)據(jù)同時屬于個人隱私嗎？又或者說新時代背景下我們對隱私的理解是否需要作出新解釋？個人數(shù)據(jù)保護與隱私保護是否基于同樣的法律目的？在網(wǎng)絡普及之后，個人的社交賬號、網(wǎng)頁瀏覽記錄、購物清單、甚至游戲裝備都成為具有商業(yè)價值的數(shù)據(jù)，大部分企業(yè)會追蹤記錄個人的這些數(shù)據(jù)，以便更好分析用戶喜好或精確投放廣告。這種背景下，可納入GDPR保護的數(shù)據(jù)范圍不斷擴大。有學者甚至設想未來個人數(shù)據(jù)將涵蓋隱私的概念，成為一個更受重視的概念。但過度擴大個人數(shù)據(jù)范圍，要求嚴格保護，這不但會增加企業(yè)的負擔，也與隱私保護的目的不符。在保護個人數(shù)據(jù)和隱私的關系上，對于兩者的聯(lián)系與區(qū)別，GDPR似乎未作出解釋。

(二)數(shù)據(jù)保護與科技發(fā)展問題

工信部網(wǎng)絡安全研究所助理研究員魏書音表示，未來C2C(Consumer to Consumer)，個人間電子商務)模式下的電子支付、電子商務、以及云服務、區(qū)塊鏈、大數(shù)據(jù)征信等場景，將更加緊密地涉及用戶個人數(shù)據(jù)的收集、控制、處理及利用。在GDPR的對數(shù)據(jù)處理嚴格監(jiān)管下，企業(yè)面臨維護用戶隱私與充分發(fā)揮數(shù)據(jù)價值間的平衡難題。這個難題的另一面便是數(shù)據(jù)保護與科技發(fā)展的矛盾。目前最熱門的人工智能研究領域中的數(shù)據(jù)智能，便是通過收集海量數(shù)據(jù)進行智能分析，得出結論。而GDPR規(guī)定的自動決策的可解釋權(The Right to Explanation of Automated Decision)賦予了數(shù)據(jù)主體在對算法決策不滿意時選擇退出的權利。這一定程度上限制了人工智能的數(shù)據(jù)獲取能力，進而限制物聯(lián)網(wǎng)、云計算、人工智能等其它方面的研究。對此，有人質疑GDPR是否符合當下大數(shù)據(jù)時代的發(fā)展趨勢。對這個質疑，中國信息安全研究院副院長左曉棟給出了一個很好的比喻，“任何汽車都有油門和剎車，我們買汽車是為了開車，剎車卻是為了減速，然而不會有人說一輛汽車只要油門就夠了。沒有規(guī)范的互聯(lián)網(wǎng)發(fā)展與失控的汽車沒有兩樣，而GDPR就像是一輛汽車的剎車裝置?！盙DPR對數(shù)據(jù)的保護不等同于對數(shù)據(jù)利用的絕對限制，只要做好合規(guī)準備，在保證用戶數(shù)據(jù)安全的前提下，GDPR是鼓勵數(shù)據(jù)自由流通的，對數(shù)據(jù)帶動的技術發(fā)展更是持積極態(tài)度。實際上，一套符合GDPR要求的數(shù)據(jù)安全體系也要求應用設計理念的更新和技術的完善。

(三)GDPR的執(zhí)行規(guī)范問題

雖然GDPR第4條對條例中重要概念進行了解釋，但GDPR仍然存在較多表達不清的地方，這給了監(jiān)管機構較大自由裁量權。比如在罰金數(shù)額的確定上，GDPR簡單規(guī)定了兩檔罰金：一般性的違法行為，罰款上限是1000萬歐元或企業(yè)上一年度全球營業(yè)收入的2%(取數(shù)額大者)；嚴重的違法行為，罰款上限是2000萬歐元或企業(yè)上一年度全球營業(yè)收入的4%(取數(shù)額大者)。然而究竟什么程度的違法才是嚴重違法？確定了罰金檔次后，具體罰金數(shù)額在限度內(nèi)又該如何確定？對此，各個監(jiān)管機構沒有統(tǒng)一標準。如果相似的違規(guī)行為受到不同的懲罰，繳納了數(shù)額相差較大的罰金，這會引發(fā)對整個GDPR公正性和權威性的質疑。另外，歐盟各國的監(jiān)管機構對執(zhí)行GDPR還沒有經(jīng)驗，也不完全具備執(zhí)行條件。路透社2018年5月上旬調(diào)查結果顯示，24家歐洲監(jiān)管機構中有17家表示，他們還沒有準備好實施新法，因為他們還沒有資金或權力來履行職責。

三、GDPR對中國數(shù)據(jù)保護法的啟示

(一)制定統(tǒng)一的數(shù)據(jù)保護法

我國關于個人數(shù)據(jù)保護的立法并非空白?！吨腥A人民共和國網(wǎng)絡安全法》(簡稱《網(wǎng)絡安全法》)便旨在保障網(wǎng)絡安全和數(shù)據(jù)主體的合法權利，其中設有專章對“網(wǎng)絡信息安全”做了規(guī)定，并對個人信息的數(shù)據(jù)保護做了原則性規(guī)定，是目前我國關于個人數(shù)據(jù)安全較為重要的法律。但相較GDPR，《網(wǎng)絡安全法》規(guī)定的數(shù)據(jù)主體的權利過于簡單，僅賦予了數(shù)據(jù)主體刪除與更正的權利，適用情形也更為狹窄，僅限于網(wǎng)絡運營者違反規(guī)定或約定收集、使用個人信息，或者其收集、存儲的個人信息有錯誤的情形。2017年全國信息安全標準化技術委員會發(fā)布的《信息安全技術個人信息安全規(guī)范》規(guī)范了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環(huán)節(jié)中的相關行為，旨在遏制個人信息非法收集、濫用、泄漏等亂象。然而這份文件屬于國家標準，不具有法律約束力。在基本法律方面，《刑法修正案》增設了“侵犯公民個人信息罪”以打擊非法獲取公民個人信息的行為，《民法總則》中也規(guī)定了自然人的個人信息受法律保護。雖然上述法律或文件對個人信息給予了一定保護，但面對國內(nèi)近年來發(fā)展迅猛的大數(shù)據(jù)、新媒體、云服務和人工智能等產(chǎn)業(yè)，這些或分散或原則性的規(guī)定則缺乏抵抗力。上海交通大學副教授何淵說過，由于大數(shù)據(jù)的爆炸性增長和云計算能力的指數(shù)級進步，人人都變成了“透明人”，并深陷于一個巨大的“黑箱社會”之中。個人對自身數(shù)據(jù)信息的無力狀況需要法律來改變。我國制定一部統(tǒng)一的數(shù)據(jù)保護法來保護個人數(shù)據(jù)、規(guī)范數(shù)據(jù)處理具備現(xiàn)實性、必要性和緊迫性。

(二)重點規(guī)范數(shù)據(jù)控制者的行為

對個人數(shù)據(jù)進行自動化處理的主體大部分情況下是企業(yè)組織。這些數(shù)據(jù)控制者的數(shù)據(jù)安全意識、內(nèi)部數(shù)據(jù)安全合規(guī)建設甚至產(chǎn)品或服務的設計直接關系到數(shù)據(jù)主體的權益。GDPR就對企業(yè)的基本義務、隱私政策、風險評估和緊急預防機制均有十分明確的要求，這些規(guī)定能推動企業(yè)從內(nèi)部制度安排開始建立成熟的數(shù)據(jù)安全體系。比起事后監(jiān)管和止損，對企業(yè)的事前事中規(guī)范對切實保護個人數(shù)據(jù)更有意義。因此，我國的數(shù)據(jù)保護法規(guī)范的重點也應該放在這些有技術能力和利益驅動力的企業(yè)身上，根據(jù)他們在數(shù)據(jù)處理過程中的行為分工，規(guī)定不同的義務和設置相應的責任。

(三)設立專門的數(shù)據(jù)安全監(jiān)管機構

GDPR特別設立歐洲信息保護委員會(European Data Protection Board)，負責在較高層面發(fā)布有關個人信息保護的意見、指南，并具體協(xié)調(diào)一站式管理機制的工作。28個成員國也分別設立了獨立的監(jiān)管機構，“數(shù)據(jù)保護局”(Data Protection Authority)，負責受理數(shù)據(jù)主體的投訴和監(jiān)督GDPR在本國的執(zhí)行狀況。我國未來圍繞個人數(shù)據(jù)的糾紛會越來越多，對這些糾紛的處理要求一定的專業(yè)性，對數(shù)據(jù)安全監(jiān)管也要求監(jiān)管機構對數(shù)據(jù)收集處理等行為有足夠的認識。因此，設立專門的數(shù)據(jù)安全監(jiān)管機構能更好地保證法律的實施和履行數(shù)據(jù)保護的職責。

(四)保持權利保護與行業(yè)發(fā)展平衡

歐盟在個人數(shù)據(jù)保護法上的改革還有一個主要目的：促進個人數(shù)據(jù)自由流通。數(shù)據(jù)的自由流通對歐盟統(tǒng)一市場的數(shù)字經(jīng)濟發(fā)展意義重大，之前的1995年指令雖一定程度上改善了歐盟的數(shù)據(jù)安全狀況，但對激活歐盟互聯(lián)網(wǎng)交易和信息產(chǎn)業(yè)發(fā)展的作用有限。2016年歐盟數(shù)字經(jīng)濟市場中，42%基于歐盟各國的網(wǎng)絡服務，54%基于美國的網(wǎng)絡服務，歐盟內(nèi)部跨境網(wǎng)絡服務僅占4%。GDPR為了解決這個碎片化市場現(xiàn)象，統(tǒng)一了歐盟內(nèi)部數(shù)據(jù)操作和流通規(guī)則，并且通過行政監(jiān)管有效維護了市場的規(guī)范性和有序性，力圖構建一個數(shù)字化單一市場(Digital Single Market)。單一市場能為歐盟企業(yè)和境外企業(yè)提供一個更高效便捷和穩(wěn)定安全的營商環(huán)境。何淵教授指出企業(yè)的數(shù)據(jù)合規(guī)已經(jīng)逐漸不再是一種純粹的風險型的，規(guī)避型的成本的支出，在歐洲的很多跨國的企業(yè)，數(shù)據(jù)合規(guī)已經(jīng)變成企業(yè)的核心競爭力之一。歐盟在數(shù)字治理上選擇的路徑是由其數(shù)字經(jīng)濟發(fā)展階段和所處競爭位勢決定的。我國的數(shù)字經(jīng)濟規(guī)則制定也要符合數(shù)字經(jīng)濟發(fā)展情況，參考GDPR在平衡數(shù)據(jù)保護與數(shù)據(jù)流動的一些做法，強化個人信息保護的同時促進數(shù)字產(chǎn)業(yè)的發(fā)展，促進二者良性互動。

【注釋】

①GDPR第3條。

②吳丹君，周天一：當出現(xiàn)收集和處理數(shù)據(jù)已不再必要、數(shù)據(jù)主體撤銷同意、數(shù)據(jù)主體行使拒絕權、個人數(shù)據(jù)被非法處理、基于法定義務需要刪除等情形時，數(shù)據(jù)主體有權要求數(shù)據(jù)控制者立即刪除其個人數(shù)據(jù)，數(shù)據(jù)控制者應當采取合理措施并告知正在處理該個人數(shù)據(jù)的其他控制者。

③吳丹君，周天一：數(shù)據(jù)主體有權要求數(shù)據(jù)控制者提供結構化、通用化和可機讀的個人數(shù)據(jù)，并有權將上述數(shù)據(jù)轉移給其他數(shù)據(jù)控制者，原數(shù)據(jù)控制者不得阻礙。

④GDPR 第 8條。

⑤GDPR第9條。

⑥GDPR第12條。

⑦GDPR 第 83條。

⑧數(shù)據(jù)來源：199IT，http://www.199it.com/archives/685632.html。

⑨普華永道提供的調(diào)查結果顯示，92%的美國公司認為GDPR將成為最重要的數(shù)據(jù)保護措施。

⑩馮堅堅，胡科，蔣昕妍：《GDPR第2條和第3條(適用范圍)詳解》，北京市競天公誠律師事務所，2018年5月24日。