歐盟實施《通用數據保護條例》以及我國對歐出口企業的應對措施

盧光明

摘 要：隨著信息技術的發展及其在經濟社會各領域的廣泛應用，數字資源成為了與傳統能源一樣推動人類經濟社會發展的基本要素。與之相伴，個人隱私保護也正成為數字經濟時代新的社會挑戰。歐盟于2018年5月25日正式啟動了《通用數據保護條例》，可以說是其在個人隱私保護與促進數字經濟健康發展方面的一次嘗試，對我國數字經濟健康發展具有深刻的影響。我國企業，尤其是涉歐外貿企業如何積極適應這種新的規則，保持企業自身的競爭優勢，將是我國涉歐出口企業必需面對的問題。

關鍵詞：通用數據保護條例；個人信息保護；中歐貿易

中圖分類號：120.5099 文獻標識碼：A

Abstract： The implementation of “GDPR” in EU triggers the problems for the protection of personal information. Accompanied by the application of IT on the economy fields， business need to balance the convenience and the security problems， especially the protection of the personal information.

Key words： GDPR； personal information protection； sino-eu trade

1 引言

歐盟議會于2016年4月14日通過的《通用數據保護條例（General Data Protection Regulations）》（簡稱GDPR）于2018年5月25日在歐盟成員國內正式生效實施。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均受該條例的約束。中國為歐盟第二大出口市場和第一大進口來源地，該條例的實施對我國相關企業，尤其是制造企業具有較大的影響。

2 《通用數據保護條例》的使用范圍

從范圍來看，該條例的實施，即使一個主體不屬于歐盟成員國的公司（包括免費服務），只要滿足兩個條件之一的，也要遵守該條例的相關內容。第一條是向歐盟境內可識別的自然人提供商品和服務而收集、處理他們的信息；第二條是為了監控歐盟境內可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。

因此遵照該條例，從制造企業到相關的貿易公司，不管是否在歐盟實際設立辦公室，只要從事以下活動，就需要遵守GDPR的規定。其中具體包括：

（1）向歐盟公民和居民出售商品或服務的任何企業或任何組織；

（2）運營使用一定的技術手段（如Cookies）來監控人員（其中包括歐盟境內居民）的網站或者其他終端的組織或個人；

（3）雇傭任何歐盟居民的盈利或非盈利組織；

（4）收集任何可能包含歐盟公民信息數據的商業或非商業活動等。

簡而言之，如果收集任何歐盟居民的數據，那么就要遵守GDPR法規。只要企業為歐洲居民提供商品和服務，或為了商業目標，或者公益目標監控歐洲居民的行為，就必須遵守GDPR，這與公司的辦公室或服務器是否在歐洲無關，與公司的業務特點也沒有關系。

從形式上來說，歐洲法院最近裁定，在某些情況下，動態IP地址也可視為個人數據。因此，存儲動態IP地址日志數據的網站的所有者也可能受GDPR的規制。如果（尤其是）為了作出與這些個人有關的決定或者為了分析或預測其個人喜好、行為和態度，而在互聯網上追蹤這些個人，且在此過程中使用了處理技術來形成畫像等，則構成監控行為，屬于該條例監控的范圍。

3 《通用數據保護條例》的內容

從具體內容上來看，GDPR的獨特之處有很多，其中包括對采集數據的同意權、數據處理、數據保留、違規通知等方面嚴格的定義。條例的第七部分內容中，規定了數據主體的權利相關權利，如刪除權、限制處理權、反對權和自動化個人決策相關權利等內容。

以人員雇傭中的隱私聲明、同意權和違規通知等條例形式為例，GDPR為隱私聲明、同意權和違規通知制定了全新的規定。根據現行規定，雇主必須為員工和相關人員提供隱私聲明。而根據GDPR，這些聲明必須具體說明數據將被保存多長時間，是否會輸出至歐盟境外，明確指出在一些特定情況下個人有權提出要求獲取或刪除相關數據的請求等方面的具體內容。如果發生可能會構成個人權利受損或風險增加的數據違規事件，數據控制者必須在72小時內通知相關數據保護監管機構。這無形當中增加了企業的相關成本。

根據荷蘭《個人數據保護法》（Personal Data Protection Act，DPA），“同意”是處理個人數據的六項法律依據之一。在沒有法律依據的情況下處理個人數據是不被允許的。其規定“數據主體的同意是指：數據主體依照其意愿自由作出的特定的、知情的指示。通過該指示，數據主體表明其同意處理與其相關的個人數據。”針對法律規定的不確定性，由歐洲隱私監管機構組成的獨立咨詢顧問機構——工作組來做出解釋，該工作組的意見解釋了同意機制相關法律框架的相關關鍵要素，如對“同意”是否是在當事人的自由意志、充分知情的情況下做出的決定等方面的具體界定。

歐盟《一般數據保護條例》也規定，“同意”是數據處理的法律基礎，是數據主體的重要權利。GDPR的多個部分都提到了數據的同意機制。GDPR第4條第11款將“同意”定義為：“數據主體的同意是指，數據主體依照其意愿自由作出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為作出的該等指示，數據主體表明其同意處理與其相關的個人數據。”同意必須以聲明或清晰肯定的行為作出。數據主體的行為是明確被要求的。例如，點擊對話框和選擇特定的技術網絡瀏覽器設置等。因此，預先勾選的選擇框并不構成當事人的同意要件。根據DPA的相關規定，數據主體有權隨時撤回其同意的授權，撤回同意應當同給出同意一樣容易。GDPR新的規定為，數據主體必須在作出同意前被告知其撤回權。此外，數據主體還必須被告知撤回不影響在撤回前基于同意對其個人數據的處理權。

對于向兒童提供信息社會服務，應當適用特殊的同意規則。這種特殊的保護適用于，兒童的個人數據被用于市場營銷或創建個性/用戶模型，以及收集兒童個人數據情況等內容。條例規定，任何信息和溝通都應當以清晰且簡明的語言表達，使得兒童容易理解，并確保能夠理解；只有兒童年滿16周歲時，基于同意的數據處理才是合法的。如果兒童未滿該年齡，則只有在有監護權的父母同意（或授權）的情況下，數據處理才是合法的。歐盟各成員國可以規定更低的年齡門檻，但不得低于13周歲。歐盟范圍內的相關組織，在取得同意的基礎上處理兒童的個人數據時，應了解歐盟各成員國在這方面的立法。

對于缺乏法律行為能力的其他數據主體，《GDPR荷蘭實施法案》（簡稱實施法案）規定，被接管（Curatele）或置于保護令（Mentorschap）之下的數據主體，也需要其法定代表人的同意（同意也可由法定代表人撤回）。

4 非直接采集個人數據相關注意事項

除上述信息外，如果不是直接從數據主體處收集個人數據，則數據控制者還須提供相關信息，否則就會違反條例的相關規定。條例中對具體的數據細節規定如下。

首先是相關個人數據類別；其次是個人數據的來源，以及個人數據是否來自可公開訪問的來源（如適用）。同時條例規定，這些信息必須在以下期限內提供給數據主體，并獲得確認：

（1）獲得個人數據后的合理期限內（最長期限為一個月）；

（2）如果數據將被用于與數據主體進行通信，則最遲在第一次通信發生時；

（3）如果預期向其他接收者披露個人數據，則最遲在該等披露之前。

如果控制者預期將出于收集個人數據的初始目的以外的其他目的進一步處理個人數據，在進行此類進一步處理之前，控制者必須向數據主體提供與該目的有關的信息，及其他有關信息。

由于GDPR將對數據控制者的現有信息告知義務產生實質性影響，因此建議各組織機構分析其處理活動并更新其現有（隱私）政策、聲明、（員工）手冊等，以遵守GDPR下的信息告知義務。此外，處理非直接從數據主體處收集的個人數據的組織機構應確保在合理的期限內履行信息告知義務。

從技術層面來看，該條例對利用SaaS技術開展業務的相關企業影響較大。SaaS軟件的特性使得企業的業務信息系統中往往包含多個許可證和訂閱窗口，很多這樣的信息窗口可能還未使用，也未進行有效的管理，甚至被遺忘，這就需要企業有序安置各類的許可證、數據和應用程序，并對這些信息進行全面具體的了解，確保這些信息收集方式符合新法規的要求。這就要求企業的IT、采購、合規、人力資源和法律團隊一起進行相關問題的梳理，保證能夠符合該條例的相關規范和約束。

根據相關統計，目前已經有超過39，000個應用程序可以被用來存儲個人相關數據，而且這些應用程序都是在沒有考慮個人隱私保護的情況下開發的，很容易造成違規。因為大多數人會將注意力集中在顯形的10%左右的存儲個人數據的應用程序，而忽視90%具有潛在風險的應用程序。由于企業IT團隊對整個企業使用的應用程序情況不是特別了解，所以他們缺乏對可能威脅到GDPR合規性的應用程序的總體認知，導致企業的無意違規事件的發生。

5 中歐貿易分析及可能發展趨勢

據歐盟統計局統計，2016年，歐盟27國（下同）貨物進出口額為38355.6億美元，比上年同期（下同）減少2.1%。其中，出口19418.6億美元，下降2.7%；進口18937.0億美元，減少1.5%。貿易順差481.6億美元，減少34.0%。

分商品看，機電產品、運輸設備和化工產品是歐盟的主要出口商品，2016年出口額分別占歐盟出口總額的25.7%、16.8%和16.0%，為4997.2億美元、3263.0億美元和3102.7億美元，分別減少1.4%、0.8%和0.6%。

歐盟自中國進口的主要商品為機電產品、紡織品及原料和家具玩具等，2016年進口額合計占歐盟自中國進口總額的68.6%，分別為1832.1億美元、413.6億美元和356.3億美元。這些產品在歐盟進口市場中分別占有24.4%、6.5%和2.7%的份額。另外，歐盟自中國進口的皮革制品；箱包減幅最為明顯，減少5.7%；而自中國進口的運輸設備有所增加，增長21.0%。

由此可見，中國出口歐盟的產品中大約有70%左右為制造類產品，而隨著信息技術的發展，制造類產品有逐漸增加各種傳感器件，向智能硬件發展的趨勢。隨著企業“走出去”發展，在歐盟成員國建立分公司，或建設制造基地。因此該條例的實施對我國的出口企業影響較大。

從雙方的貿易狀況來看，由于歐盟近年來內需不足，企業競爭力發展受阻，因此雙方的貿易摩擦不斷。從技術手段來看，歐盟綜合利用了包括反傾銷措施、反補貼措施、保障措施和特殊保障措施等貿易救濟措施。同時也以維護國家安全、保護環境以及保護人類生命及健康，通過設立技術法規、技術標準和認證體系等技術貿易措施限制對外國商品的進口，該條例的發布無疑又增加了歐盟技術壁壘新的形式和手段[1]。

從目前企業的準備情況來看，企業還沒有做好相應的準備工作。根據Ovum公司提供的調查報告顯示，52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”；三分之二的受訪者認為這將“迫使他們改變歐洲業務戰略”；超過70%的受訪者預計會增加開支來滿足數據保護要求，同時，超過30%的受訪者預計在未來兩年預算將會增加超過10%；甚至有高達85%的受訪者認為GDPR將使其在與歐盟公司的競爭中處于劣勢[2]。

6 中國制造企業應對《通用數據保護條例》的建議

準備好迎接新的數據監管時代是歐盟《通用數據保護條例》實施對企業的直接影響。這項新的歐盟立法立意非常明確：數據隱私至關重要，任何想要在歐盟成員國開展業務的企業必須做好“合規”準備，否則將面臨重罰。

對于廣大與歐盟有貿易往來的企業來說，需要按照歐盟的《通用數據保護條例》，啟動企業的合規流程，以檢查企業的各個層面是否能夠滿足該條例的相關規定。由于該天理主要涉及個人隱私保護，因此需要重點考慮人力資源方面的內容，以及市場營銷與客戶關系管理中涉及到的客戶個人數據保護。

在企業自身人力資源管理方面，企業需要根據條例的相關規定，實施新的人力資本管理解決方案，重點應做到幾個方面的內容。

（1）審核企業人力資源流程：企業目前如何處理人力資源相關個人數據？如企業招聘人員的信息，企業在職人員的信息，企業供應商及其他合作伙伴的信息。公司處理涉及個人隱私等相關數據的應用程序、流程及類別的記錄是否觸犯了條例的相關規定？

（2）企業應準備好應對個人權利請求—GDPR要求所有個人提交的信息獲取或刪除請求都必須在一個月內被處理。企業現存的規定是否能夠做到，還存在哪些方面有爭議的地方。企業的人力資源管理系統應做到對相關的個人權利請求的及時響應，而且這種響應流程應該能夠滿足條例的相關規定。

（3）更新隱私聲明，確保企業的隱私聲明符合GDPR的所有規定。尤其是與相關供應商和合作伙伴方面涉及到個人隱私方面的隱私聲明不僅要與合作伙伴進行及時溝通，而且還要符合條例的相關約束。

7 企業建立數據保護官制度

GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官（DPO）。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO。根據企業自身的情況，DPO可以不要求一定是全職，在這種情況下，企業就可以選擇一名兼職DPO人員。數據保護官的主要職責在于作為企業與主管機關、消費者之間的溝通橋梁，并監督企業對于個人信息保護的合法遵循。企業應確保數據保護官能履行其職務，不能因數據保護官履行職責而受到懲罰或報復。同時GDPR新規允許一名DPO同時為多個企業工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

數據保護官應對企業數據保護狀況作出整體評估，對與業務相關的個人信息進行盤點。具體包括：評估處理一般個人信息、敏感個人信息及未成年個人信息的處理流程和存在形式；評估企業自身個人信息保護處理機制（搜集、存取、處理、傳輸及銷毀等）；評估跨歐盟境內外的個人信息處理或傳輸時的相關事項，如辨識個人信息跨境流向、個人信息跨境處理的合法依據、個人信息傳輸機制、實地檢查機制、控制及監測機制、評估跨組織間潛在的責任風險及與客戶、供貨商/第三方間的責任等具體的任務。

數據保護官應幫助企業建立起完整的數據保護體系，再與其他部門配合完成試行、落實、審查、整改與條例相關的各項流程，令管理體系不斷完善。保證數據保護體系與企業業務相結合，靈活將各種保護體系運用到實踐中。如歐盟地區企業工作人員在公共場所通過詢問消費者的方式，征求其口味、職業、消費水平、活動地點等方面的信息時，該工作人員要在做調查時應首先取得消費者同意，并告知其搜集數據的目的以及該目的符合GDPR規范，否則這些行為將會觸犯條例的相關規定。

對互聯網企業來說，客戶第一次注冊成為網站會員的場景中也需要提供相應的信息，在這樣的場景中，企業應按照條例的規定，首先告知客戶相關事項，不能夠誤導消費者。如誰在搜集個人信息、搜集該信息的原因和理由，誰會接受該信息，相關信息會如何處理，是否會將該信息傳遞至歐盟境外、信息的存儲時間、信息點使用范圍等。

除了對數據保護官進行界定外，GDPR引入了具體術語來定義組織內的相關角色和責任，包括數據控制員（Data Controller）、數據處理員（Data Processor）等角色和職責。其中數據控制員定義了個人數據的處理方式和目的，此外，控制員還負責確保外部承包商能夠遵守相關規定。

數據處理員可以是維護和處理個人數據記錄的內部團體（如業務分析師或開發商的直接雇員），也可以是執行全部或部分這些活動的任何外部服務提供商（如信用評級機構等）。GDPR新規要求數據處理員為違規和不遵守規定的行為負責。這就是說，即便事故責任完全在負責數據處理的合作伙伴一方（如云服務提供商等），公司和該合作伙伴也會因連帶責任，而可能會同時受到處罰。

參考文獻

[1] 牟嵐，艾莘凱.中歐貿易發展現狀與問題分析[J].國經貿導刊，2013年第35期，15-17.

[2] http：//www.aqniu.com/learn/30670.html.