摘 要：2018年5月25日歐盟GDPR正式在歐盟各成員國間實施。由于GDPR對個人信息的保護處于領(lǐng)先地位，適用范圍廣，并且懲罰措施嚴厲，該條例的實施必然會影響我國涉歐企業(yè)的發(fā)展。在闡述GDPR設(shè)立背景和主要內(nèi)容的基礎(chǔ)上，進一步分析GDPR對我國涉歐企業(yè)的影響：我國涉歐企業(yè)將面臨嚴格的管轄、加重隱私安全、成本提高、獲取個人數(shù)據(jù)難度大等一系列問題。在此基礎(chǔ)上，通過提出相應(yīng)措施以促進我國企業(yè)合規(guī)及個人信息保護制度的建立。

關(guān)鍵詞：GDPR;被遺忘權(quán);企業(yè)合規(guī)

2012年11月，歐盟委員會制定了《通用數(shù)據(jù)保護條例》（General Data Protection Regulation， 以下簡稱GDPR）。2016年4月14日，歐盟通過GDPR。2018年5月25日，GDPR法規(guī)在歐盟28個成員國間強制實施。GDPR確保歐盟公民、居民在對其個人數(shù)據(jù)享有充分自決權(quán)的基礎(chǔ)上，建立了一個統(tǒng)一的、高水平的個人數(shù)據(jù)保護體系。

由于GDPR具有直接適用的效力，無需進行國內(nèi)法的轉(zhuǎn)化，消除了不同成員國間因不同解釋而造成的分歧，企業(yè)不再需要與多國數(shù)據(jù)主管機構(gòu)進行交涉，只需與其主營業(yè)地所在國的數(shù)據(jù)保護主管機構(gòu)溝通即可，避免了因數(shù)據(jù)保護執(zhí)法上的混亂而造成的成本提高。在挑戰(zhàn)與機遇并存的基礎(chǔ)上，必將對未合規(guī)經(jīng)營的企業(yè)帶來不利影響。因此，中國涉歐企業(yè)需要在熟悉GDPR的基礎(chǔ)上，主動采取有效措施以做到企業(yè)合規(guī)，減少風險。

一、歐盟GDPR的設(shè)立背景

1993年11月1日，隨著《馬斯特里赫特條約》正式生效，歐盟正式成立。在1995年10月24日，歐盟通過《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的95/46/EC指令》（以下簡稱《95指令》）?！?5指令》是歐盟成員國保護個人數(shù)據(jù)的最低標準，規(guī)定了對個人數(shù)據(jù)保護的一般原則、各方主體的權(quán)利與義務(wù)，規(guī)定了法律責任，規(guī)定了跨境數(shù)據(jù)傳輸制度。但根據(jù)歐盟法律規(guī)定，該指令無法直接適用于歐盟成員國，需要轉(zhuǎn)化為國內(nèi)法才可以適用。各成員國將該指令轉(zhuǎn)化為國內(nèi)法時，所做出的解釋不同，由此造成對個人數(shù)據(jù)保護的復(fù)雜性、不確定性以及成本的增加。

由于《95指令》的條文需要成員國轉(zhuǎn)化為國內(nèi)法，成員國在立法、執(zhí)法過程中存在較大的解釋空間，以及隨著信息技術(shù)發(fā)展迅速，《95指令》對個人信息保護出現(xiàn)了挑戰(zhàn)，不同成員國對個人數(shù)據(jù)保護存在分歧。此時，歐盟為了建立統(tǒng)一數(shù)據(jù)市場，加強對個人數(shù)據(jù)的保護以及數(shù)據(jù)的自由流通。2012年1月25日，歐洲議會公布了《通用數(shù)據(jù)保護條例》草案，旨在歐盟成員國內(nèi)建立統(tǒng)一的個人信息保護立法，2018年5月25日GDPR正式實施。

通過法律層級的轉(zhuǎn)變，由“指令”轉(zhuǎn)變?yōu)椤皸l例”， GDPR的法律效力不需要在成員國進行轉(zhuǎn)化，具有直接適用的法律約束力，統(tǒng)一了成員國之間的數(shù)據(jù)保護規(guī)定。

二、歐盟GDPR的內(nèi)容概述

GDPR統(tǒng)一了歐盟范圍內(nèi)個人數(shù)據(jù)保護立法的統(tǒng)一，以維護數(shù)據(jù)流動的安全與高效為目的，與《95指令》相比，GDPR的內(nèi)容主要體現(xiàn)在以下幾個方面：

（一）GDPR擴大了個人數(shù)據(jù)的范圍和原則

根據(jù)GDPR定義，個人數(shù)據(jù)是指已識別的或可識別的自然人（數(shù)據(jù)主體）的信息。數(shù)據(jù)主體是指：可以通過信息直接或間接確認的自然人，可以通過姓名、身份證號碼、定位數(shù)據(jù)、在線身份等識別數(shù)據(jù)，或是通過參照該自然人的一個或多個如物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素予以識別。

GDPR明確提出對個人敏感數(shù)據(jù)的高度保護，專門提出了“特殊類型個人數(shù)據(jù)”。該條例對個人數(shù)據(jù)進行了更寬泛的解釋，如：網(wǎng)絡(luò)數(shù)據(jù)包括IP地址和Cookie，生物識別數(shù)據(jù)包括指紋等。同時，在判定某一數(shù)據(jù)能否識別自然人，要將合理范圍內(nèi)的技術(shù)、非技術(shù)手段，以及其他信息之間的關(guān)系等因素都考慮進去。

（二）擴大了適用范圍

GDPR為加強對歐盟公民數(shù)據(jù)的保護，將適用范圍擴大。一方面，數(shù)據(jù)控制者和處理者在歐盟設(shè)立機構(gòu)，無論數(shù)據(jù)處理的行為是否發(fā)生在歐盟;另一方面，數(shù)據(jù)控制者和處理者沒有在歐盟設(shè)立機構(gòu)，但涉及以下處理行為：向歐盟的數(shù)據(jù)主體提供商品或服務(wù)，或?qū)W盟數(shù)據(jù)主體在歐盟發(fā)生的行為進行監(jiān)控都要受到GDPR的管制。其中“向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)”包括使用歐盟語言、貨幣、產(chǎn)品的定制;“對數(shù)據(jù)主體發(fā)生在歐盟的行為進行監(jiān)控”包括分析個人偏好、行為模式、監(jiān)控數(shù)據(jù)主體在線創(chuàng)建的資料。

（三）數(shù)據(jù)主體權(quán)利擴大

GDPR在《95指令》的基礎(chǔ)上，規(guī)定了數(shù)據(jù)主體的權(quán)利主要包括知情權(quán)、訪問權(quán)、反對權(quán)、限制處理權(quán)、反自動化決策（包括畫像）權(quán)、數(shù)據(jù)被遺忘權(quán)（刪除權(quán)）、數(shù)據(jù)可攜帶權(quán)。

（1）新增“被遺忘權(quán)”（刪除權(quán)）

GDPR在《95指令》的基礎(chǔ)上增加了被遺忘權(quán)。被遺忘權(quán)是指：當個人數(shù)據(jù)不再基于合法目的被使用，個人有權(quán)要求永久刪除這些數(shù)據(jù)[2]?？梢栽跀?shù)據(jù)主體撤回同意、數(shù)據(jù)控制者非法處理數(shù)據(jù)的情形下使用被遺忘權(quán)。并且在數(shù)據(jù)控制者公開個人數(shù)據(jù)的情況下，要求控制者對公開傳播的數(shù)據(jù)負責，以及數(shù)據(jù)控制者有通知其他第三方停止使用、刪除數(shù)據(jù)的義務(wù)。

（2）新增“數(shù)據(jù)可攜帶權(quán)”

數(shù)據(jù)可攜帶權(quán)是一種數(shù)據(jù)轉(zhuǎn)移權(quán)，GDPR規(guī)定數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者保障數(shù)據(jù)的系統(tǒng)性，并以機器可讀的形式向數(shù)據(jù)主體提供個人數(shù)據(jù)，或者向其他相同或類似服務(wù)商提供數(shù)據(jù)。該權(quán)利使個人數(shù)據(jù)在不同數(shù)據(jù)控制者之間更容易轉(zhuǎn)移，體現(xiàn)公民信息的自決權(quán)。例如，房東可以將其房屋信息導出給保險公司，從而為房屋投保。

（3）延展“知情權(quán)”及“訪問權(quán)”

GDPR擴大了數(shù)據(jù)主體對于數(shù)據(jù)控制者處理其個人數(shù)據(jù)的知情權(quán)及訪問權(quán)。數(shù)據(jù)主體有權(quán)在數(shù)據(jù)控制者獲取其個人數(shù)據(jù)時或者數(shù)據(jù)控制者從第三方獲取其個人數(shù)據(jù)時，從數(shù)據(jù)控制者獲得包括個人數(shù)據(jù)來源、處理的目的、控制者身份等相關(guān)信息，以及有權(quán)糾正及限制數(shù)據(jù)的處理行為。同時，在其請求不過量的情況下，有權(quán)免費獲得其個人數(shù)據(jù)的副本，以及訪問個人數(shù)據(jù)的權(quán)利。

（4）擴大對個人數(shù)據(jù)的同意要件

數(shù)據(jù)主體的同意是指數(shù)據(jù)主體自愿表達出在對其個人數(shù)據(jù)處理時明確的、具體的同意。GDPR在此基礎(chǔ)上要求同意必須以易于理解且與其他事項顯著區(qū)分的形式做出，數(shù)據(jù)主體也享有隨時撤回的權(quán)利。敏感數(shù)據(jù)的處理必須要有明確的同意，同意表示模糊或一次同意多次使用被視為無效。并且，企業(yè)需要以通俗易懂的語言表達，讓對方選擇是否同意處理其個人數(shù)據(jù)。

（四）加重數(shù)據(jù)控制者和處理者的責任

GDPR對于數(shù)據(jù)控制者及處理者的責任有所加重，明確規(guī)定了企業(yè)的數(shù)據(jù)保護義務(wù)，主要通過進行數(shù)據(jù)保護影響評估、數(shù)據(jù)泄露報告及通知、設(shè)立數(shù)據(jù)保護官（Data Protection Officer，簡稱DPO）來降低風險，以督促企業(yè)合規(guī)。

（五）完善跨境數(shù)據(jù)傳輸規(guī)則

GDPR在保護自然人權(quán)利的總體原則基礎(chǔ)上，設(shè)置了跨境流動的條件，主要包括以下三方面：（1）在對第三國數(shù)據(jù)保護水平“充分認定”的基礎(chǔ)上進行傳輸，并對各國是否滿足要求進行監(jiān)督，也就是說歐盟公民的個人數(shù)據(jù)不得轉(zhuǎn)移至低于歐盟保護水平的國家;（2）GDPR明確指出在受到適當保障的情況下個人數(shù)據(jù)可向第三國或國際組織傳輸;（3）以國際條約為基礎(chǔ)的法院判決或行政機構(gòu)決定所涉及個人數(shù)據(jù)傳輸，以及允許傳輸?shù)奶厥饫馇闆r。

三、GDPR對我國涉歐企業(yè)帶來的風險與挑戰(zhàn)

GDPR對企業(yè)收集、使用數(shù)據(jù)全過程進行了全方位規(guī)定，增加企業(yè)合規(guī)的難度，給我國涉歐企業(yè)帶來了風險與挑戰(zhàn)。

（一）我國涉歐企業(yè)面臨更廣泛的管轄

根據(jù)GDPR的管轄范圍，任何收集、傳輸、存儲或處理涉及歐盟成員國個人信息的機構(gòu)、組織都要受GDPR的約束。我國企業(yè)即使沒有在歐盟境內(nèi)設(shè)立任何機構(gòu)，但只要涉及歐盟成員國的語言、貨幣、域名以及向歐盟境內(nèi)投放廣告、向歐盟境內(nèi)遞送貨物，都必須受到其監(jiān)管，GDPR的適用范圍形成了長臂管轄。因此，對我國企業(yè)而言，不論銀行、保險、金融、快遞等傳統(tǒng)行業(yè)，還是電子商務(wù)、云服務(wù)等新型領(lǐng)域，只要涉及歐盟境內(nèi)個人數(shù)據(jù)，都必須要遵守GDPR的規(guī)定。我國的涉歐企業(yè)，如：阿里巴巴、騰訊、小米必定被納入GDPR的適用范圍[3]。同時，不合規(guī)的涉歐企業(yè)將面臨巨大的處罰力度，我國涉歐企業(yè)只要接觸歐盟成員國的個人數(shù)據(jù)，都要受到相應(yīng)監(jiān)管，面臨巨大挑戰(zhàn)。

（二）加重中國涉歐企業(yè)的隱私安全

GDPR為所有企業(yè)制定了更高的隱私保護標準，引入了從設(shè)計著手保護隱私和默認保護隱私兩項原則，要求建立數(shù)據(jù)從收集到使用的“全程隱私” 制度，要求企業(yè)在產(chǎn)品和服務(wù)的設(shè)計過程中就要考慮數(shù)據(jù)與隱私的保護。對于我國涉歐企業(yè)而言，需要進一步審視我國企業(yè)現(xiàn)存的隱私保護政策，以做到企業(yè)合規(guī)。2018年5月25日，微信海外版、新浪微博國際版以及阿里巴巴全球速賣通紛紛向歐洲用戶更新隱私政策，請求重新授權(quán)，騰訊QQ也于2018年5月23日更新隱私政策，海爾、華為在歐洲有較大市場份額的企業(yè)也早已雇傭?qū)ｉT團隊應(yīng)對GDPR[4]。

（三）GDPR將導致我國互聯(lián)網(wǎng)及新興產(chǎn)業(yè)在歐盟發(fā)展速度減緩

由于GDPR強調(diào)個人信息自決權(quán)，強調(diào)數(shù)據(jù)主體自我決定個人數(shù)據(jù)的收集、儲存、處理以及使用。雖然我國《憲法》未明確規(guī)定信息自決權(quán)，但根據(jù)《憲法》第37條對人生自由的規(guī)定和第38條人格尊嚴條款可以解釋信息自決權(quán)作為公民的一項基本權(quán)利而存在。第39條住宅不受侵犯以及第40條保護通信自由和通信秘密可以作為憲法保護的間接性依據(jù)。作為網(wǎng)絡(luò)時代企業(yè)核心內(nèi)容的個人信息，在數(shù)據(jù)主體擁有信息自決權(quán)的基礎(chǔ)上，必然會導致企業(yè)收集、使用、處理個人信息的難度增加，導致我國涉歐企業(yè)發(fā)展減緩。

（1）合規(guī)成本的提高減緩我國涉歐企業(yè)進入歐盟市場的步伐。GDPR法律體系龐雜，涉及范圍較廣，企業(yè)合規(guī)難度加大，高強度的個人數(shù)據(jù)保護規(guī)則必然會給企業(yè)造成負擔。由此可見，GDPR的實施造成了我國企業(yè)進入歐盟市場的法律壁壘。Veritas指出平均每家企業(yè)在GDPR合規(guī)上所付出的成本達到130萬歐元，約1000萬人民幣，巨大的成本會迫使企業(yè)做出放棄歐盟市場的可能。如小米生態(tài)鏈企業(yè)的YeeLight智能燈泡產(chǎn)品，因無法趕在GDPR生效前滿足合規(guī)需求，暫停其服務(wù)。

（2）企業(yè)組織結(jié)構(gòu)變化。GDPR要求數(shù)據(jù)控制者、數(shù)據(jù)處理者設(shè)立數(shù)據(jù)保護官（Data Protection Officer， DPO），只要企業(yè)的核心業(yè)務(wù)涉及處理大規(guī)模的歐盟公民數(shù)據(jù)、處理特殊類別的數(shù)據(jù)或犯罪記錄都要設(shè)立DPO，其中核心業(yè)務(wù)可以參考企業(yè)的性質(zhì)、營業(yè)范圍、商業(yè)目的等因素來確定。DPO需要具備專門的數(shù)據(jù)保護知識，需要向監(jiān)管機構(gòu)報備，并有權(quán)監(jiān)視組織的數(shù)據(jù)處理。當數(shù)據(jù)泄漏侵害自然人權(quán)益，應(yīng)通知數(shù)據(jù)保護監(jiān)管部門;當數(shù)據(jù)泄漏會導致數(shù)據(jù)主體權(quán)益處于高風險，應(yīng)當通知數(shù)據(jù)主體，改變企業(yè)的組織形式，這無疑會增加企業(yè)的管理成本。

（四）企業(yè)獲取個人數(shù)據(jù)難度增加

GDPR賦予數(shù)據(jù)主體充分的“限制處理權(quán)限”的同時，弱化了企業(yè)對個人數(shù)據(jù)的控制能力。GDPR強化個人信息自決權(quán)，增加企業(yè)獲取個人信息的難度，企業(yè)控制個人數(shù)據(jù)的能力降低，處理數(shù)據(jù)所需要的成本增加。

主體“同意規(guī)則”使獲取個人數(shù)據(jù)的難度增加，一般情況下處理數(shù)據(jù)需要征得用戶同意，且同意必須以自由意愿作出，并作出明確的指示，同意范圍包括基于同一目的或同一類目的。當數(shù)據(jù)處理活動存在不同目的時，每個目的都必須征得同意，禁止通過一項協(xié)議獲取用戶的所有同意，增加企業(yè)獲取信息的難度。同時GDPR的同意規(guī)則在企業(yè)與第三方共享數(shù)據(jù)時，要征得數(shù)據(jù)主體的同意，除非基于合同履行之必要或為了保護高于用戶隱私權(quán)的公共利益和合法利益。

（五）規(guī)范沖突導致企業(yè)合規(guī)困難

2017年6月1日，我國首部網(wǎng)絡(luò)安全綜合性立法《網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)安法”）實施。其中，個人數(shù)據(jù)保護作為《網(wǎng)安法》的重要內(nèi)容，標志著個人數(shù)據(jù)保護制度不斷完善，確立了我國網(wǎng)絡(luò)安全法律制度的基本框架。同時鑒于GDPR所確定的域外效力，如果一個企業(yè)既在我國境內(nèi)有著數(shù)據(jù)處理行為，同時也向歐盟境內(nèi)提供商品或服務(wù)，則需同時遵守《網(wǎng)安法》和GDPR。

我國《網(wǎng)安法》以屬地管轄為基本原則，相比之下，GDPR采用了屬地、屬人、保護的長臂管轄原則，管轄的依據(jù)不限于業(yè)務(wù)機構(gòu)所在地或數(shù)據(jù)處理行為發(fā)生地，而是以數(shù)據(jù)是否來源于歐盟境內(nèi)作為管轄權(quán)的重要依據(jù)。同時對于受GDPR管轄的在我國境內(nèi)的企業(yè)，歐盟的數(shù)據(jù)監(jiān)管機構(gòu)擁有調(diào)查權(quán)，可以要求企業(yè)提供其履行職責所需要的信息，而這與我國《網(wǎng)安法》第37條個人數(shù)據(jù)和重要數(shù)據(jù)出境制度的實施，以及數(shù)據(jù)主權(quán)相沖突。在此背景下，相關(guān)企業(yè)將面臨合規(guī)困境。涉歐企業(yè)需要同時滿足GDPR與《網(wǎng)安法》兩部法律的合規(guī)要求，避免重復(fù)投入、降低合規(guī)成本成為涉歐企業(yè)亟需應(yīng)對的問題。

四、為我國企業(yè)合規(guī)提供建議

GDPR生效后可能成為未來主導世界數(shù)據(jù)保護的國際治理模式之一，因此，我國有必要針對其規(guī)定采取一系列措施。一方面我國涉歐企業(yè)應(yīng)當做好合規(guī)審查，以符合GDPR的要求;另一方面，我國相關(guān)政府部門應(yīng)加強管理，制定個人信息保護相關(guān)法律法規(guī)。

（一）界定企業(yè)在GDPR中的法律地位

中國涉歐企業(yè)在充分了解自身所儲存數(shù)據(jù)的基礎(chǔ)上，做到認真管理，并對相關(guān)數(shù)據(jù)進行安全保護。企業(yè)首先要認清自己的法律地位，認清自己是數(shù)據(jù)處理方還是數(shù)據(jù)控制方。GDPR的最重要的變化之一，便是對數(shù)據(jù)處理方賦予了新的合規(guī)要求，數(shù)據(jù)處理方在超出被允許的范圍內(nèi)處理數(shù)據(jù)，會被認定為數(shù)據(jù)控制方，履行與數(shù)據(jù)控制方相同的責任。因此，企業(yè)弄清自己是數(shù)據(jù)處理方或者數(shù)據(jù)控制方也有一定的必要性。

（二）通過第三方機構(gòu)評估公司的隱私保護合規(guī)現(xiàn)狀

在企業(yè)不具備開展GDPR合規(guī)測評能力的時候，可以通過第三方專業(yè)安全機構(gòu)進行合規(guī)分析，分析企業(yè)在GDPR要求方面處于什么位置，了解企業(yè)擁有的數(shù)據(jù)資產(chǎn)，找出企業(yè)的漏洞加以改進，以及提出保護數(shù)據(jù)安全的措施。以及風險評估系統(tǒng)在我國對外交易中非常重要，可以通過風險評估，對企業(yè)進行有效控制，減少資金的損失。因此，我國企業(yè)可加大建立健全的風險評估系統(tǒng)的支持力度，保障中國企業(yè)利益。

（三）推動涉歐企業(yè)建立合規(guī)制度

中國企業(yè)涉及歐盟業(yè)務(wù)，應(yīng)提升企業(yè)總體對合規(guī)的重視程度。

（1）企業(yè)調(diào)整自身業(yè)務(wù)狀況

一方面，對于員工而言，加大對內(nèi)部員工的培訓，確保相關(guān)人員嚴格執(zhí)行隱私保護制度中的規(guī)定。另一方面，企業(yè)需要對已經(jīng)收集到的數(shù)據(jù)進一步處理，刪除不合規(guī)的數(shù)據(jù)，避免數(shù)據(jù)的泄露。了解企業(yè)所擁有的個人數(shù)據(jù)，保護當事人隱私，完善對已儲存?zhèn)€人資料的保護，降低因個人資料不當處理所引發(fā)的巨額罰款。

（2）完善數(shù)據(jù)主體的權(quán)利

GDPR賦予數(shù)據(jù)主體一系列權(quán)利，如果存在對這些權(quán)利保護不足或侵犯會造成違法，可能會面臨歐盟監(jiān)管機構(gòu)巨額的罰款，在賦予數(shù)據(jù)主體同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利的同時，還需符合GDPR的要求。

（3）完善數(shù)據(jù)處理機制

確保數(shù)據(jù)處理符合GDPR的基本原則，提高數(shù)據(jù)處理過程中的安全性，并對個人數(shù)據(jù)處理過程進行記錄。必要時任命數(shù)據(jù)保護官，同時在數(shù)據(jù)泄露后，及時報告處理，不斷完善現(xiàn)有的數(shù)據(jù)保護機制，減少企業(yè)的不合規(guī)風險。

（四）建立個人信息保護體系

（1）建立個人信息保護法

我國目前還未有專門的個人信息保護法，但在《網(wǎng)安法》下規(guī)定了個人信息保護。個人信息泄漏事件頻繁發(fā)生，制定統(tǒng)一的個人信息保護法，明確規(guī)范企業(yè)收集和使用個人數(shù)據(jù)的流程，通過建立明確的個人信息保護政策為我國互聯(lián)網(wǎng)等新興產(chǎn)業(yè)指引方向。

（2）在我國國情的基礎(chǔ)上，建立國內(nèi)數(shù)據(jù)分級管理制度

對特定行業(yè)制定不同的規(guī)范，對敏感數(shù)據(jù)設(shè)立相應(yīng)的制度，加強保護力度。在依賴立法的同時，還需結(jié)合網(wǎng)絡(luò)用戶、行業(yè)協(xié)會、網(wǎng)絡(luò)運營商來構(gòu)建完整的個人信息保護體系。

五、結(jié)語

GDPR對個人隱私保護及監(jiān)管達到了前所未有的高度，對企業(yè)而言既是挑戰(zhàn)也是機遇，企業(yè)應(yīng)當采取合適的防范措施，從制度、流程和技術(shù)要求等方面完善，加強與歐盟執(zhí)法部門的協(xié)調(diào)與交流，做到企業(yè)合規(guī)。同時，為順應(yīng)國際發(fā)展趨勢，也應(yīng)制定具有中國特色的個人信息保護制度，完善我國對個人信息的保護立法。

參考文獻

[1] 王融.大數(shù)據(jù)時代：數(shù)據(jù)保護與流動規(guī)則[M].北京：人民郵電出版社，2017：158.

[2] 連志英.大數(shù)據(jù)時代的被遺忘權(quán)[J].圖書館建設(shè)，2015（02）：49-53.

[3] 田貴生.解析GDPR及對中國涉歐企業(yè)的影響[J].對外經(jīng)貿(mào)實務(wù)，2018（07）：46-47.

[4] 王孔祥.GDPR對互聯(lián)網(wǎng)企業(yè)的影響[J].中國信息安全，2018（07）：46.

[5] 郭戎晉.GDPR下互聯(lián)網(wǎng)企業(yè)的機遇與挑戰(zhàn)[J].信息安全與通信保密，2018（08）：19.

[6] 魯澤霖.歐盟GDPR實施對我國的影響[J].信息通信技術(shù)與政策，2018（08）：86.

[7] 段利艷，王志輝，周靜麗.歐盟GDPR法規(guī)對企業(yè)的影響及其對策分析[J].中國質(zhì)量與標準導報，2018（04）：60.

[8] 胡文華.沖擊與應(yīng)對：GDPR與《網(wǎng)絡(luò)安全法》比較視野下的企業(yè)合規(guī)[J].中國信息安全，2018（07）：78.

[9] 劉權(quán).最嚴數(shù)據(jù)法律將如何影響數(shù)字經(jīng)濟企業(yè)[J].中國工程咨詢，2018（07）：110-111.

作者簡介：王蘇丹（1994- ），女，漢族，江蘇人，南京財經(jīng)大學在讀研究生，研究方向：國際法。