厘清歐盟GDPR六大認識誤區

誤區1 會限制經濟社會發展

《條例》要求，不能以保護個人數據為由，對歐盟內部個人數據的自由流動進行限制或禁止。《條例》認為，數據主體享有的權利并不是絕對的，有關數據權利應當與其他權利及正當利益之間形成恰當的平衡關系，以更好地促進經濟社會發展，比如公共利益、科學研究、社會統計、言論自由、新聞傳播、個人其他權益等需要。

為此，《條例》應兼顧平衡，對個人數據保護權利作出適當限制，對義務、責任予以適當豁免。例如，數據訪問權、被遺忘權、數據可攜權等條款，均要在有限定條件下實行，規模在250 人以下的中小企業可以豁免其數據活動文檔化記錄義務，引入多種變通機制來調和不同權利，在原則性禁止條款中設置用戶同意例外。

誤區2 個人信息使用必須征得個人同意

《條例》未將用戶同意作為數據收集和使用的唯一合法理由。考慮到數據處理的多種可能場景以及其他正當利益需求，除了數據主體同意之外，《條例》還規定了五類個人數據處理情形，可以默認為“同意”的替代機制，包括：數據控制者為了公共利益或履行法律職責的需要，為了履行數據主體所參與的合同，為了保護數據主體或其他自然人的核心利益，保護數據控制者或第三方所追求的正當利益等五種情況。

誤區3 個人隨時可以主張刪除數據

《條例》提出的“被遺忘權”，是指當用戶依法撤回同意或控制者不再享有合法理由繼續處理數據等情形時，用戶有權要求刪除數據，該權利是傳統個人數據保護法中“刪除權”的升級。《條例》要求數據控制者采取所有合理方式予以刪除，并通知處理此數據的其他數據控制者，刪除關于數據主體所主張的個人數據鏈接等。但在開放的網絡空間，要控制者去確定并通知所有第三方刪除，操作難度非常大，幾乎難以完成。此外，《條例》規定了不適用“被遺忘權”例外情形，包括基于表達自由、信息自由、公共利益、履行法律職責、歷史記錄、社會統計、科學研究、合法權利等多種情形。

誤區4 數據可攜權無條件限制

《條例》明確了個人有權獲得其提供給數據控制者的相關個

人數據、且獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。同時，《條例》也明確了“可攜權”適用的兩個限定條件：在“用戶同意”基礎上的數據處理活動和處理通過自動化方式完成。《條例》同時要求可攜帶不能對他人的權利或自由產生負面影響，對于涉及到其他第三方個人數據的數據轉移，只能將此類數據用于個人和家庭事務目的。《條例》同時認為，如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸給另一個控制者，考慮到技術可行性，《條例》并沒有將可攜權上升到推廣強制性的互兼容和互操作技術標準的程度。

誤區5 數據跨境傳輸比以前更為嚴格

《條例》對跨境數據流動政策進行了大幅度改革，開辟了更多的合法數據跨境方式，提升跨境流動的靈活度。針對事前許可制度卻帶來官僚主義問題，《條例》簡化了數據跨境傳輸機制，取消許可管理做法，只要符合了《條例》中跨境數據流動的相關條件，成員國則不得再通過許可方式予以限制。增加了充分性認定的對象類型，除了國家之外，還可針對一國的特定地區、行業領域，以及國際組織的保護水平作出評估判斷。擴展“標準合同條款”，為企業提供更多符合實際需求的跨境轉移合同文本選擇。將“有約束力的公司規則”正式確定為法定有效的數據跨境機制，使得個人數據可以從集團內的一個成員合法傳輸給另一個成員。

誤區6 數據控制者權益被極大剝奪

《條例》將數據控制者的正當利益與用戶同意并列作為數據處理的合法理由，表明了個人的權利并不總是優先，而是需要在用戶個人權利與數據控制者的合法利益之間做出平衡。比如，在下列情況下，數據控制者的權利將得到法律保護：基于交易歷史的直接推廣、以預防欺詐為目的的數據處理活動、出于保障網絡信息安全目的處理個人信息、在集團或者系統內部出于行政管理需要的數據披露、向主管部門報告犯罪或者公共安全重大威脅。（賽迪研究院 陸峰）