岳鑫

摘要：歐盟《通用數(shù)據(jù)保護(hù)條例》即《GDPR》的出臺(tái)，意味著歐盟正式進(jìn)入到統(tǒng)一法律層面的“數(shù)據(jù)保護(hù)時(shí)代”。這份被稱為“史上最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法律”在出臺(tái)伊始，就將Google、Facebook作為重點(diǎn)管制對(duì)象，并開出天價(jià)罰單。在這個(gè)數(shù)據(jù)的世界中，人類的姓名、性別、身份、種族、性取向等都被構(gòu)建出來。數(shù)據(jù)已經(jīng)不簡(jiǎn)單是一種資產(chǎn)，或者說是一種工具，它已經(jīng)成為數(shù)字化時(shí)代人類社會(huì)的基石。既然數(shù)據(jù)已經(jīng)成為人類社會(huì)基礎(chǔ)性的現(xiàn)實(shí)存在，對(duì)其進(jìn)行法律上的規(guī)制和管理也就理所應(yīng)當(dāng)。數(shù)據(jù)主體也開始意識(shí)到自己的數(shù)據(jù)信息重要性。各國(guó)政府也開始著手立法，加強(qiáng)網(wǎng)絡(luò)信息安全的法律規(guī)范。對(duì)于一個(gè)企業(yè)來說，如何有效評(píng)估數(shù)據(jù)安全法律風(fēng)險(xiǎn)，制定數(shù)據(jù)安全合規(guī)性制度，完善合規(guī)性審查手段，是《通用數(shù)據(jù)保護(hù)條例》出臺(tái)以后，企業(yè)首先要面臨和解決的問題。

關(guān)鍵詞：數(shù)據(jù)隱私;數(shù)據(jù)保護(hù);數(shù)據(jù)侵權(quán)

一、一般數(shù)據(jù)侵權(quán)法律適用原則的問題

（一）侵權(quán)行為地法原則

在一般涉外侵權(quán)案件中，由于侵權(quán)行為地往往具有確定性和可預(yù)見性的特點(diǎn)，因此傳統(tǒng)國(guó)際私法在解決法律適用問題時(shí)，各國(guó)廣泛適用該原則。對(duì)于“侵權(quán)行為地”的界定，各國(guó)法律有不同的規(guī)定，大致可分為侵權(quán)行為實(shí)施地和侵權(quán)結(jié)果發(fā)生地兩種。2但由于網(wǎng)絡(luò)數(shù)據(jù)的虛擬性和全球性，使得侵權(quán)行為實(shí)施地和侵權(quán)結(jié)果發(fā)生地的確定都產(chǎn)生了一定困難。一方面，互聯(lián)網(wǎng)用戶可以通過一些技術(shù)手段顯示虛假的IP地址，這導(dǎo)致確認(rèn)的計(jì)算機(jī)所在地址有可能并非是真實(shí)的。另一方面，網(wǎng)絡(luò)數(shù)據(jù)侵權(quán)的行為實(shí)施和結(jié)果發(fā)生并不一定局限于同一地區(qū)或國(guó)家，如利用計(jì)算機(jī)病毒來破壞他人財(cái)產(chǎn)，由于病毒的傳播往往會(huì)波及世界各地，這就使得侵權(quán)結(jié)果發(fā)生地過多而難以選擇。

（二）共同屬人法原則

共同屬人法即指當(dāng)雙方當(dāng)事人的國(guó)籍或住所地相同時(shí)，采用其共同國(guó)籍或住所地法律。3在一般涉外民事案件中，確定當(dāng)事人的國(guó)籍或經(jīng)常居所地相對(duì)較為方便，但在互聯(lián)網(wǎng)環(huán)境下這卻成為了一個(gè)難題。近些年來，一些涉及金錢支付功能的網(wǎng)絡(luò)數(shù)據(jù)活動(dòng)紛紛開始需要用戶進(jìn)行身份驗(yàn)證，但仍然有許多網(wǎng)絡(luò)數(shù)據(jù)活動(dòng)不需要進(jìn)行身份驗(yàn)證，這是由網(wǎng)絡(luò)數(shù)據(jù)的虛擬性、隱私性和自由性所決定的。侵權(quán)人可以在任何非國(guó)籍所在地或經(jīng)常住所地進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)侵權(quán)活動(dòng)，由于沒有真實(shí)的信息認(rèn)證，很難確認(rèn)侵權(quán)人的國(guó)籍或住所地。

（三）最密切聯(lián)系原則

最密切聯(lián)系原則是指受案法院在選擇準(zhǔn)據(jù)法時(shí)，應(yīng)避免僵硬適用沖突規(guī)范，而是在多個(gè)連接點(diǎn)中，綜合評(píng)價(jià)對(duì)本國(guó)利益和秩序、他國(guó)相關(guān)法規(guī)以及當(dāng)事人雙方期望可能產(chǎn)生的影響，從中確定最合理的一個(gè)作為準(zhǔn)據(jù)法，該國(guó)法律與存在糾紛的事實(shí)和雙方之間有最緊密的關(guān)聯(lián)。然而這個(gè)原則在網(wǎng)絡(luò)數(shù)據(jù)環(huán)境下有著一定的缺陷。該原則的使用需要法官考量各個(gè)要素，進(jìn)行自由裁量，確定各個(gè)連結(jié)點(diǎn)的密切程度，這就對(duì)法官的專業(yè)素養(yǎng)有很高的要求。由于網(wǎng)絡(luò)數(shù)據(jù)技術(shù)的專業(yè)性和復(fù)雜性，一般法官很難做出正確的判斷，因此最密切聯(lián)系原則很容易造成一些不合理的法律被適用。

可以說最密切聯(lián)系原則的產(chǎn)生就肩負(fù)著協(xié)調(diào)功能主義與概念主義的使命。1954年，美國(guó)紐約州最高法院法官富爾德在審理“奧汀訴奧汀案”案中正式使用了“重力中心地”和“關(guān)系聚集地”的概念，認(rèn)為不應(yīng)機(jī)械地依傳統(tǒng)的沖突規(guī)范來適用法律，而應(yīng)極力找出法律關(guān)系本身的重力中心地或連結(jié)關(guān)系的聚集地，并適用這個(gè)地方的法律。這是最密切聯(lián)系原則的雛形。1963年富爾德法官審理“貝柯克訴杰克遜”案再次運(yùn)用了“最密切聯(lián)系說”來選擇與涉外侵權(quán)行為有最密切聯(lián)系的法律作為侵權(quán)行為之債的準(zhǔn)據(jù)法，放棄了美國(guó)判例法上機(jī)械的照搬“侵權(quán)行為地法”的傳統(tǒng)做法?！柏惪驴嗽V杰克遜”案對(duì)最密切聯(lián)系原則的確立，具有里程碑式的意義。里斯以最密切聯(lián)系原則為依據(jù)，編撰的《第二次沖突法重述》使得最密切聯(lián)系原則在美國(guó)沖突法中得以確立。至此，當(dāng)代國(guó)際私法最流行的法律適用理論之一的最密切聯(lián)系原則大體形成。

（四）意思自治原則

意思自治原則是指當(dāng)事人可以通過自愿選擇相互適用在國(guó)際民商事法律關(guān)系上的準(zhǔn)據(jù)法。4當(dāng)事人可以通過意思自治自己選擇準(zhǔn)據(jù)法，大大減少了司法成本，也體現(xiàn)了國(guó)際私法對(duì)實(shí)質(zhì)正義的追求。但是現(xiàn)實(shí)情況是，在網(wǎng)絡(luò)數(shù)據(jù)環(huán)境下意思自治原則并不是總能發(fā)揮作用。一方面，網(wǎng)絡(luò)數(shù)據(jù)活動(dòng)一般來說很少事先簽訂合同，即使簽訂合同，也往往是格式合同，其關(guān)于法律適用方面條款也往往是不利于受害人的。另一方面，在侵害結(jié)果已經(jīng)發(fā)生后，雙方當(dāng)事人一般無法找到同時(shí)有利于雙方的準(zhǔn)據(jù)法，這就很難協(xié)商一致。在大數(shù)據(jù)容量和利用方式都飛速發(fā)展的今天，數(shù)據(jù)國(guó)際化趨勢(shì)愈加明顯?；ヂ?lián)網(wǎng)由信息時(shí)代走向數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)企業(yè)甚至不需要設(shè)立實(shí)體營(yíng)業(yè)機(jī)構(gòu)，就可以為當(dāng)?shù)氐目蛻籼峁?shù)據(jù)服務(wù)。而這些客戶的數(shù)據(jù)都存在于“云端”。所以一旦發(fā)生數(shù)據(jù)侵權(quán)的爭(zhēng)端，就很難通過一般的準(zhǔn)據(jù)法選擇原則來解決。

二、我國(guó)涉外侵權(quán)法律適用規(guī)制

（一）我國(guó)《涉外民事關(guān)系法律適用法》意思自治原則分析

我國(guó)《涉外民事關(guān)系法律適用法》吸收國(guó)際先進(jìn)立法思想，首次將當(dāng)事人意思自治原則引入涉外侵權(quán)法律適用領(lǐng)域，在一般侵權(quán)責(zé)任和特殊侵權(quán)責(zé)任的法律適用規(guī)則中作了不同規(guī)定，實(shí)現(xiàn)了涉外侵權(quán)領(lǐng)域法律適用規(guī)則的突破和創(chuàng)新。當(dāng)事人意思自治原則是合同法律適用領(lǐng)域的首要原則，與合同領(lǐng)域不同的是，作為法定之債的侵權(quán)領(lǐng)域，在引入當(dāng)事人意思自治原則時(shí)一般都要求施加一定的限制。我國(guó)《涉外民事關(guān)系法律適用法》的規(guī)定也不例外，其中，第四十四條只允許當(dāng)事人事后選擇法律，不允許事前選擇法律;第四十五條只賦予被侵權(quán)人單方選擇適用侵權(quán)人主營(yíng)業(yè)地法或損害發(fā)生地法的權(quán)利;第五十條也是只允許當(dāng)事人事后選擇法律，并將事后選擇的范圍限于法院地法。

此外，從規(guī)制視角分析，涉外侵權(quán)法律適用規(guī)則體現(xiàn)了所涉各國(guó)在規(guī)制侵權(quán)行為方面的實(shí)體政策利益，而這種規(guī)制利益主要體現(xiàn)在侵權(quán)行為發(fā)生之前對(duì)當(dāng)事人的激勵(lì)和引導(dǎo)上，待侵權(quán)行為發(fā)生之后，侵權(quán)人和被侵權(quán)人已處于對(duì)抗局面，允許當(dāng)事人事后選擇侵權(quán)準(zhǔn)據(jù)法，一般來講不會(huì)對(duì)一國(guó)在侵權(quán)法律適用規(guī)則上的實(shí)體政策利益產(chǎn)生實(shí)質(zhì)影響，因此，《涉外民事關(guān)系法律適用法》第四十四條和第五十條均將選擇方式限定為事后選擇。

（二）我國(guó)《涉外民事關(guān)系法律適用法》中最密切聯(lián)系原則

《法律適用法》第二條：“涉外民事關(guān)系適用的法律，依照本法確定。其他法律對(duì)涉外民事關(guān)系法律適用另有特別規(guī)定的，依照其規(guī)定。本法和其他法律對(duì)涉外民事關(guān)系法律適用沒有規(guī)定的，適用與該涉外民事關(guān)系有最密切聯(lián)系的法律?！薄斗蛇m用法》第41條規(guī)定了在當(dāng)事人沒有進(jìn)行法律選擇的情況下，適用最密切聯(lián)系原則以確定準(zhǔn)據(jù)法，這符合在合同領(lǐng)域中國(guó)一直以來的做法。尤其值得一提的是，第41條明確表示應(yīng)當(dāng)“適用履行義務(wù)最能體現(xiàn)該合同特征的一方當(dāng)事人經(jīng)常居所地法律”。但無可否認(rèn)的是，最密切聯(lián)系原則在適用的時(shí)候無確切標(biāo)準(zhǔn)，法官在適用的時(shí)候往往難以把握。

三、歐盟《GDPR》下的數(shù)據(jù)安全保護(hù)政策

GDPR關(guān)于控制者和處理者的定義繼承了《1995年個(gè)人信息保護(hù)指令》的內(nèi)容，其第4條規(guī)定：控制者（controller）是指，獨(dú)立或者與他人共同決定個(gè)人信息處理目的、方式的自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或者其他組織，該目的和方式應(yīng)當(dāng)由歐盟法或者成員國(guó)法律決定，控制者的具體認(rèn)定標(biāo)準(zhǔn)可以由歐盟法或者成員國(guó)法另行規(guī)定。處理者（processor）是指代替控制者處理個(gè)人信息的自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)或者其他組織。為了避免個(gè)人信息被濫用，GDPR在不同領(lǐng)域分別擴(kuò)大了信息控制者、處理者的義務(wù)，包括保存某些文件備查，對(duì)高風(fēng)險(xiǎn)活動(dòng)進(jìn)行影響評(píng)估，對(duì)數(shù)據(jù)進(jìn)行加密處理等等。

（一）設(shè)立數(shù)據(jù)保護(hù)官

根據(jù)GDPR第37條的規(guī)定，信息控制者、處理者在三種情況下需要設(shè)立一名信息保護(hù)官（DataProtectionOfficer，DPO）。這三種情況包括：（1）公共機(jī)構(gòu)或其組成部門處理個(gè)人信息的，但是法院履行司法職能的情況除外;（2）根據(jù)其本性、范圍或目的，控制者或處理

者的核心業(yè)務(wù)包含大規(guī)模定期的或者系統(tǒng)監(jiān)督信息主體的;（3）控制者或處理者的核心業(yè)務(wù)包含大規(guī)模處理第9條所規(guī)定的特殊信息和第10條所規(guī)定的違法犯罪信息的。由此可知，除法院外的所有的公共機(jī)構(gòu)均有義務(wù)設(shè)置專門的信息保護(hù)官，其他機(jī)構(gòu)的核心業(yè)務(wù)涉及大量信息處理時(shí)才有必要設(shè)立信息保護(hù)官。GDPR沒有對(duì)信息保護(hù)官的資質(zhì)證書作出明確要求，但是要求信息保護(hù)官應(yīng)當(dāng)具有充分的專業(yè)知識(shí)。

（二）加強(qiáng)數(shù)據(jù)安全技術(shù)保護(hù)手段

通過技術(shù)措施不能徹底解決隱私的保護(hù)問題，但是至少可以解決一些低端的信息竊取活動(dòng)。根據(jù)GDPR第6條的規(guī)定，鼓勵(lì)信息控制者采取加密（encryption）或變形（pseudonymisation）措施處理增強(qiáng)信息保護(hù)級(jí)別。第25條則規(guī)定信息服務(wù)開發(fā)階段就應(yīng)當(dāng)具備隱私保護(hù)功能（privacybyde-sign），在信息服務(wù)運(yùn)行階段應(yīng)當(dāng)將個(gè)人信息默認(rèn)設(shè)置為不公開（privacybydefault）。這是一個(gè)新的信息保護(hù)觀念和保護(hù)方法的進(jìn)步，也即信息必須以主動(dòng)調(diào)取的方式獲取，而不能簡(jiǎn)單的暴露在外。

根據(jù)GDPR第30條的規(guī)定，所有的信息控制者及其代表、處理者及其代表在信息處理活動(dòng)中應(yīng)當(dāng)將每一次信息處理活動(dòng)以書面或者電子形式記錄存檔，以備信息保護(hù)監(jiān)管機(jī)構(gòu)查驗(yàn)。

（三）提高信息安全的匯報(bào)與通知制度

根據(jù)GDPR第33條的規(guī)定，在發(fā)生信息泄露時(shí)，信息控制者應(yīng)當(dāng)在72小時(shí)內(nèi)向信息保護(hù)局報(bào)告情況，但信息泄露范圍小而沒有造成任何損害的除外?？刂普呦蛐畔⒈Ｗo(hù)局提交的報(bào)告應(yīng)當(dāng)包括：信息泄露總體情況，包含涉及的信息主體數(shù)量和信息類型;事件聯(lián)系人和聯(lián)系方式;可能發(fā)生的危害后果;控制者采取的挽救措施。信息控制者需要對(duì)每一次信息泄露做詳細(xì)的記錄。此外，根據(jù)GDPR第34條的規(guī)定，信息泄露對(duì)信息主體造成較高風(fēng)險(xiǎn)時(shí)，控制者應(yīng)當(dāng)及時(shí)地將情況通知給每一位受到影響的信息主體，通知內(nèi)容與DPA的報(bào)告類似。同時(shí)，控制者在三種情況下可以免于向每一位信息主體作出通知：（1）由于信息加密等保護(hù)措施使得信息泄露的損害風(fēng)險(xiǎn)很低的;（2）控制者已經(jīng)及時(shí)采取措施（例如終止受到影響的賬戶）解除風(fēng)險(xiǎn)的;（3）向每一位信息主體發(fā)出通知的要求顯著失當(dāng)而可以通過公開通知代替的?？偠灾畔⑿孤稌r(shí)的報(bào)告和通知義務(wù)可以有效提高個(gè)人信息保護(hù)工作的透明度，但是對(duì)風(fēng)險(xiǎn)是否需要報(bào)告的判斷、短時(shí)間內(nèi)作出報(bào)告和通知也將成為控制者的工作挑戰(zhàn)。

（四）增強(qiáng)信息跨境流動(dòng)監(jiān)管

為了保障歐盟公民的個(gè)人信息處于安全的環(huán)境之中，GDPR首先將條例的適用范圍擴(kuò)大到一切與歐盟公民個(gè)人信息相關(guān)的信息控制者和處理者，也即歐盟公民的個(gè)人信息在歐盟境外也能受到歐盟法的保護(hù)。根據(jù)《歐盟一般個(gè)人信息保護(hù)條例》第3條的規(guī)定，本條例適用于控制者或者處理者位于歐盟的個(gè)人信息處理活動(dòng)，而不論該信息處理行為是否發(fā)生在歐盟。如果控制者或者處理者不在歐盟范圍內(nèi)，但是該個(gè)人信息處理活動(dòng)與在歐盟范圍內(nèi)提供的商品或服務(wù)相關(guān)，或者與監(jiān)督歐盟范圍內(nèi)的行為相關(guān)，或者由于國(guó)際法而可以適用某一歐盟成員國(guó)法律的，也均適用本條例。此外，GDPR對(duì)歐盟內(nèi)個(gè)人信息的向外流動(dòng)進(jìn)行了嚴(yán)格把關(guān)?！?995年個(gè)人信息保護(hù)指令》和GDPR均規(guī)定，除非滿足一定條件可以證明個(gè)人信息能在歐盟境外某一地區(qū)得到充分保護(hù)，否則禁止控制者、處理者將歐盟內(nèi)的個(gè)人信息轉(zhuǎn)移至該境外地區(qū)。

結(jié)語

網(wǎng)絡(luò)技術(shù)和大數(shù)據(jù)挖掘技術(shù)的進(jìn)步，推動(dòng)了社會(huì)發(fā)展，也給人們的生活帶來了極大的益處。視頻監(jiān)控、數(shù)據(jù)挖掘、信息交換與信息分享已構(gòu)成現(xiàn)代公民不可或缺的生活方式，借助這些行為，人們可以獲得更多的生活便利，更多的財(cái)產(chǎn)和人身安全。面對(duì)大數(shù)據(jù)時(shí)代隱私信息的多重安全困境，最基礎(chǔ)而本質(zhì)的解決之道當(dāng)然是法律保護(hù)。我國(guó)在2009年頒布的《侵權(quán)責(zé)任法》首次明確對(duì)隱私權(quán)進(jìn)行法律保護(hù)，隨后出臺(tái)了一系列政策法規(guī)進(jìn)一步對(duì)公民的隱私信息進(jìn)行保護(hù)。我國(guó)2016年頒布的《網(wǎng)絡(luò)安全法》更是明確對(duì)公民信息收集必須遵循“合法、正當(dāng)、必要”的原則，并且必須“知情同意”。從“隱私權(quán)”到“被遺忘權(quán)”，再到“刪除權(quán)”，隱私權(quán)的內(nèi)涵在不斷豐富，其呈現(xiàn)的形式也在不斷發(fā)生變化。法律法規(guī)的相對(duì)穩(wěn)定性要求雖然無法及時(shí)跟上這種變化，但這條底線的堅(jiān)守顯然意義非凡，而公民自身的堅(jiān)守，則更有利于人類尊嚴(yán)的維護(hù)。

參考文獻(xiàn)

[1]李婧.我國(guó)涉外侵權(quán)法律適用規(guī)則的完善——基于私人自治與政府規(guī)制的經(jīng)濟(jì)學(xué)思考[J].河南社會(huì)科學(xué)，2017，25（01）.

[2]殷駿.最重要聯(lián)系原則法理辯謬[J].河北法學(xué)，2016，34（07）：52-60.

[3]馮術(shù)杰.歐盟知識(shí)產(chǎn)權(quán)沖突法規(guī)則及其啟示[J].知識(shí)產(chǎn)權(quán)，2014（03）.

[4]李先波，謝文斌.我國(guó)有關(guān)涉外侵權(quán)民事關(guān)系法律適用立法評(píng)析[J].湖南師范大學(xué)社會(huì)科學(xué)學(xué)報(bào)，2013，42（01）.

[5]熱西旦·依得力思.淺析涉外侵權(quán)行為法律適用的發(fā)展[J].中國(guó)經(jīng)貿(mào)導(dǎo)刊，2009（13）.

[6]許軍珂.論侵權(quán)領(lǐng)域的當(dāng)事人意思自治原則[J].中國(guó)青年政治學(xué)院學(xué)報(bào)，2006（03）.

[7]金彭年.國(guó)際私法上侵權(quán)行為的法律適用[J].法學(xué)研究，1998（03）.

[8]呂巖峰.英國(guó)“適當(dāng)法理論”之研究[J].吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào).

[9]冉從敬，張沫.歐盟GDPR中數(shù)據(jù)可攜權(quán)對(duì)中國(guó)的借鑒研究[J].信息資源管理學(xué)報(bào)，2019，9（02）.

[10]胡文華，孔華鋒.歐盟《通用數(shù)據(jù)保護(hù)條例》之中國(guó)效應(yīng)及應(yīng)對(duì)[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（11）.

[11]喬新生.歐盟《通用數(shù)據(jù)保護(hù)條例》的啟示[J].青年記者，2018（19）.

[12]李雨明，聶圣歌，西楠.大數(shù)據(jù)隱私侵權(quán)界定及其應(yīng)對(duì)策略研究[J].圖書館工作與研究，2017（S1）.

[13]蔣潔.云數(shù)據(jù)隱私侵權(quán)風(fēng)險(xiǎn)與矯正策略[J].情報(bào)雜志，2012，31（07）.