GDPR對我國數字經濟企業的影響及建議

魏書音

（賽迪智庫網絡空間研究所，北京100846）

1 引言

2018年5月25日，《通用數據保護條例》（以下簡稱GDPR）正式實施。GDPR致力于建立數字時代歐盟統一的數據保護規則，將替代《1 9 9 5年個人數據保護指令》，在諸多方面做出了重大變革，如賦予個人數據刪除權和攜帶權、限制數據分析（Prof iling）活動等，給予公民更多對個人數據的控制權，并要求企業承擔更多數據保護責任。對數字經濟企業而言，如何清楚認識GDPR新規則，重新構建符合GDPR要求的合規體系，以及合法開展個人數據相關的技術研發和業務模式，開拓歐洲市場，成為需要解決的重要問題。

2 GDPR對我國數字經濟企業的影響

2.1 企業將面臨極大的合規運營挑戰

一是以個人自決權為核心的嚴格個人信息保護需要企業投入大量資源。GDPR對個人信息的保護及其監管達到了前所未有的高度，以個人權益出發，賦予用戶查閱權、拒絕權、刪除權、更正權、攜帶權、獲得救濟權等一系列權利，并要求各成員國將之提升到保護自然人基本人權和自由以及消費者特殊權利的高度，強調公民對個人信息從數據收集到刪除全生命周期的控制權和決定權。這些合規要求將迫使企業改變處理、存儲和保護用戶個人數據的方式。如“被遺忘權”“可攜帶權”要求企業完整地了解自己掌握的用戶個人信息，包括信息的數量、類型、存儲位置、應用的場景等，并在用戶提出索求時能夠準確、及時地提供。滿足此類合規性要求需要投入大量的人力、財力才能得以實現，有調查顯示，為符合GDPR，超過60%的公司需要額外支出100萬美元。

二是法律的模糊性和不確定性對企業構建合規體系造成極大挑戰。一方面，GDPR規則多以“原則、要求及其所達到的效果”為主，沒有對網絡運營商如何落實規則的詳盡步驟和規范，如“采取措施確保……”需要根據業務特征和組織架構構建適合企業自身發展的數據保護體系。這即為企業數據保護留下空間，也弱化了對行為的指導性，增加了合規的不確定性。另一方面，全新的法律原則、權利體系都尚存爭議，有待進一步澄清和解釋，例如數據可攜帶權、數據保護官制度、自動決策和畫像等問題，在實務中可供參考的案例也寥寥無幾。

三是需要面對不同國家法律沖突的難題。在法律適用問題上，由于GDPR確立“長臂管轄”原則，設定了廣泛的司法管轄權，可能產生與他國法律之間的沖突。法律沖突問題將導致企業在建立統一的合規體系、降低運營成本方面需兼顧多國法律，在某些情況下不可避免地產生合規矛盾問題，比如微軟隱私案中就存在歐盟GDPR與美國SCA（存儲通訊法案）間的法律沖突。

2.2 企業在歐盟經營業務將受到一定限制

一是限制企業間合作形式。對于云計算業務，GDPR規定了云服務商和云客戶之間的權利義務配置，為了實現對數據安全的全面保障，要求數據控制者（云客戶）和數據處理者（云服務商）承擔同等數據保障責任，如果沒有數據控制者授權，數據處理者不應再委托其他數據處理者，對于涉及到補充或替換其他數據處理者的變動，數據處理者都應當告知數據控制者，數據控制者有權反對變更。在此要求下，目前市場上云服務的集成、轉售業態都將面臨業務風險。同時，這意味著得不到上層應用的書面通知，底層的基礎設施和平臺就不能對數據進行處理，如PaaS平臺發展任何一個用戶、開發任何一個應用，都必須事先征得IaaS廠商的同意，這條規定在目前云服務場景中很難實現。

二是挑戰企業的運營模式。利用收集和掌握的大量用戶個人信息，通過對用戶行為的分析產生直接（如精準廣告投放）或間接（如根據行為進行畫像來提供一些更精準、個性化的服務）的收益這是目前很多國內互聯網企業的盈利模式。GDPR賦予了歐洲公民可以拒絕企業利用搜集到的個人信息來進行自動判斷和決策的權利。這種拒絕權可能會導致企業在歐盟不能利用個人信息來進行客戶畫像和自動推薦等，給很多強調用戶體驗和個性化服務的大數據企業和互聯網企業帶來了商業模式上的沖擊。

三是技術發展資源獲取更為困難。如對于人工智能，作為其核心技術的深度學習需要通過收集海量數據不斷成熟，進而智能分析并得出結論。根據GDPR，網絡運營者收集用戶數據需滿足嚴格的條件，并且必須滿足用戶刪除數據的要求，沒有用戶數據信息或者收集的用戶信息不全面勢必影響到人工智能的分析結果。

2.3 可能面臨以“隱私保護”為由的貿易壁壘

一是WTO規則將隱私保護作為限制跨境服務貿易的正當依據。1994年WTO框架下的《服務貿易總協定》(GATS)中明確了成員國可以隱私保護為由限制跨境服務貿易。歐洲各國可通過WTO將成員國對數據處理和傳播過程中的個人數據保護立法轉變為一種合法限制國際自由貿易的措施。而在國際法律層面，各國之間關于個人信息保護的分歧并未得到有效解決，由此引發的國際貿易戰將不可避免。

二是我國的數據保護現狀不符合歐盟要求。在跨境數據流動方面，GDPR設立白名單制度作為一種數據流動途徑，規定歐盟公民的個人數據只能向那些已經達到與歐盟數據保護水平相一致的國家或地區流動，審查標準參照歐盟數據保護水平，主要考慮兩方面的因素：（1）第三國個人數據保護法律法規的內容；（2）相關法律法規落實的情況。具體衡量標準包括對人權和基本自由的尊重等西方價值觀。

我國數據安全管理水平遠未到達歐盟要求，在立法方面，尚未制定關于個人信息保護的專門法律，對于個人信息使用的相關規定還停留在“合法使用”等模糊、籠統規則上；在執法方面，行政部門執法不嚴，多停留在約談、責令整改等階段，內容目前還集中在對隱私條款等規章制度的審查方面，未深入到數據使用的層面。

三是可能面臨以隱私保護為由的貿易壁壘。在貿易保護主義、“中國威脅論”重新抬頭的環境下，“隱私保護”這一事由可能被國外監管機構或者競爭對象濫用，如借用人權問題否定中國政府的隱私保護水平，中國企業可能面臨“隱私保護不力”等貿易壁壘，成為實施雙重標準、構建新式貿易壁壘的借口。

3 應對建議

3.1 政府應完善數據安全管理制度，引導企業培養個人信息安全保護的戰略意識

一是推動《個人信息保護法》盡快出臺，完善數據安全管理制度，細化數據收集階段的規定，強化數據處理階段的透明度等要求，建立健全數據備案、分享、評估認證等制度。

二是持續跟蹤研判歐盟最新執法動向和趨勢，對GDPR有清醒的認識和準確的預判，指導企業加強重視，及時有效應對違規問題和風險。

三是積極組織專題宣傳培訓和研討交流活動，在執法檢查過程中加強監督引導，培養企業個人信息保護戰略意識，將個人信息安全保護作為占有市場和增強用戶粘性的戰略舉措。采取閉環管理的理念，在設計系統架構之初就應該把安全因素納入架構設計范圍，變被動為主動，逐步培養起安全與發展并重的良性大數據產業生態環境。

四是鼓勵數字經濟企業與網絡安全企業建立長期合作伙伴關系，為其數據安全管理提供全方位的咨詢和服務，尤其加強對企業技術負責人、重點崗位員工的個人信息保護培訓。

3.2 政府應完善有關數字貿易爭端的預警機制，及時應對以隱私保護為由的貿易壁壘

一是建立高效的預警和應對機制。時刻關注WTO的通報和有關國家的最新動態, 做好對歐貿易政策的跟蹤和分析，及時將重要信息反饋給有關機構和行業組織。加強有關數據安全問題的外貿摩擦準備工作，針對以隱私保護為由的貿易壁壘措施，聯合行業協會建立完善的應對體系。

二是積極主動發聲，對不合理的、明顯有失公平的貿易壁壘，有針對性地采取反擊手段，并在必要時向世界貿易組織提出上訴, 利用WTO裁決機構對歐濫用以數據保護為由的貿易壁壘形成制約。

三是制定數據保護標準國際化戰略，積極參與相關國際標準的制定，提升我國在數據保護方面的國際話語權和規則制定權。

3.3 企業應理清義務責任和違規風險點，加強數據安全監管

一是理清各項業務中所擔任的法律主體及其相對應的責任，以及與第三方企業的責任劃分，加強對第三方的數據安全管理，限定與第三方進行數據服務交換的范圍和方式，明確第三方使用數據的規則，并與第三方簽訂權責清晰的數據使用協議。

二是全面掌握企業所存儲的數據種類和類型，以及不同數據的泄露風險的可能性，對其所搜集和掌握的個人信息有一個清晰的脈絡圖，并據此建立的數據風險模型予以分類管理。

三是參照《個人信息保護規范》等國家標準完善數據監管制度措施，其中包括數據收集、使用和監管等，并在此基礎上按照GDPR要求補齊短板。

3.4 企業應加快創新服務模式和安全技術，通過轉型升級鞏固歐盟市場

GDPR將會在一定程度上淘汰那些低水平、侵犯個人信息權的數據營利模式，從而涌現更多高水平、科學性的服務模式。企業在應對合規性的同時，要把握機遇，加快轉型升級，以此鞏固歐盟市場。

一是創新大數據技術服務模式，規避法律風險。加快大數據服務模式創新，改變簡單依靠搜集個人信息并不加處理直接利用的商業模式，提升企業的數據分析、建模能力等大數據服務能力，圍繞數據全生命周期各階段需求，發展數據采集、清洗、分析、交易、安全防護等技術服務，培育數據服務新模式和新業態。

二是提升大數據安全技術產品研發水平，以新技術應對新要求，降低合規成本。針對網絡信息安全新形勢，加強大數據安全技術產品研發，重點研究大數據環境下的統一賬號、認證、授權和審計體系及大數據加密和密級管理體系，推廣防泄露、防竊取、匿名化等大數據保護技術，研發大數據安全保護產品和解決方案，通過技術措施降低合規成本。

4 結束語

目前，國內企業個人信息保護水平還亟待提高。僅就隱私條款來說，網絡運營者以“一攬子協議”強迫用戶同意、隱秘收集、誘騙收集個人信息的現象屢見不鮮。2017年全國人大常委會的“一法一決定”執法檢查“萬人調查報告”顯示：有49.6%的受訪者曾遇到過度收集用戶信息現象。許多受訪者反映，當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題，但幾乎沒有受到任何監管和依法懲處。中國的互聯網企業對于個人信息保護的重要性認識可能并不缺乏，但是因為行政部門多年來執法不嚴，多停留在約談、責令整改等階段，實質性的行政處罰非常少，即使發生大規模嚴重的數據泄露事件，也只是運動式的專項行動打擊等，未真正觸及過其痛點，以致于很多企業高管對于個人信息保護問題已經麻木。但是，GDPR對個人信息的保護及其監管達到了前所未有的高度，需要大多數企業投入大量的人力、財力才能得以實現，將迫使企業改變他們處理、存儲和保護用戶個人數據的方式，應引起企業的高度重視，尤其對于有意開拓歐洲市場的企業，加強預判研究，積極進行合規性評估。