最嚴數據法律將如何影響數字經濟企業

文/劉權

近日，歐盟《一般數據保護條例》（General Data Protection Regulation，簡稱GDPR）將正式生效。GDPR序言共173條，正文分為11章99條。歷經多年商討的GDPR新條例的實施，意味著歐盟的數據保護水平將達到前所未有的高度?？胺Q世界史上最嚴格的數據保護法律，必將對未來全球數字經濟產生深遠影響。

GDPR即將生效，中國發布的《信息安全技術個人信息安全規范》（以下簡稱《信息規范》）也于2018年5月1日起實施。

國內一些企業長期缺乏規則意識，可能并沒有嘗到應有的苦果。由于多種因素導致的執法不嚴、違法不究的情形，一旦到了國外可能就不靈。企業的不合規經營行為，一旦被其他國家政府發現追究起來，處以巨額罰款或禁止業務往來，可能是滅頂之災。特別是在近幾年全球貿易保護主義似乎有所抬頭的新時代背景下，企業不合規經營，必將產生數年甚至永遠難以消化的“惡果”。

面對即將落下的GDPR利劍，全球數字經濟企業需要積極應對，努力減少合規風險，防止入“罪”被“罰”。各國政府也需要積極擔當作為，為本國數字經濟企業的海外發展保駕護航。

G DPR一大“殺手锏”：重罰

除了擴大個人數據的保護范圍、賦予數據主體一系列強大的權利外，GDPR有兩大“殺手锏”：一是設定了重罰；二是確立了“長臂”管轄原則。

對于數據處理的違法行為，GDPR主要設定兩個等級的處罰。第一等級最高可處以1000萬歐元，或上一財年全球營業額2%的行政處罰，以較高者為準。如果根據全球營業額進行處罰，在地域上是全球范圍內，而非在歐盟境內的營業額；在基數上，是全球營業額（annual turnover），而非全球凈利潤。該等級的處罰究竟適用哪些情形，GDPR第83條第4款規定三大類數據違法行為：第一，數據控制者與處理者沒有盡到相應數據保護義務。譬如未實施適當的技術和組織措施、未盡職責保持數據處理活動的記錄、沒有及時向監管機構通知數據已泄露、未進行數據保護影響評估等；第二，沒有對數據保護認證組織履行義務；第三，沒有對監管部門履行義務。

針對嚴重違法的數據處理行為，GDPR設定了第二等級的行政處罰：最高可處以2000萬歐元，或上一財年全球營業額4%的行政處罰，以較高者為準。GDPR第83條第5款規定了五大類嚴重違法的具體情形：第一，違反數據處理的基本原則與條件。數據處理應當遵循六大原則：合法、正當與透明原則，目的有限原則，數據最小化原則，準確性原則，儲存限制原則，完整性與保密性原則。數據處理應當符合相應的合法性條件；第二，侵犯數據主體的同意權、訪問權、糾正權、被遺忘權、數據可攜帶權、拒絕權、獲得救濟權等多項權利；第三，不符合條件將個人數據傳輸給第三國或國際組織；第四，沒有對成員國履行相應的義務；第五，未能遵守監管機構的相關要求。

可見，GDPR設定的“罪”是相當多的，“罰”是非常嚴厲的。制定任何法律的目的不在于處罰，處罰只是保障法律有效實施的必要手段。“重典治亂”未必總能取得良好效果，但確實可以起到一定威懾作用。GDPR以重罰為理念，試圖倒逼數字經濟企業完善數據保護制度。

無論是對于數據處理違法行為的認定及其嚴重程度判斷，還是對于處罰金額的最終作出，歐盟監管機構都享有巨大的執法裁量權。如何減少數據保護監管的權力尋租，防止監管“俘獲”，消除腐敗，確保公正執法，是接下來歐盟當局特別是法治水平不高的一些成員國需認真對待的問題。

另一“殺手锏”：“長臂”管轄原則

確立“長臂”管轄原則，或稱為效果原則，是GDPR的另一大“殺手锏”。法律是國家主權的體現，一般只在一國領土范圍內發生效力，即屬地原則。但隨著近些年來網絡技術的不斷提高，具有虛擬性、無國界性的電子商務、互聯網金融，在全球范圍內得到蓬勃發展。在數字經濟時代，再繼續堅持傳統的屬地主義原則，或許無法有效保護本國公民的權益和國家利益。

GDPR的適用范圍極廣，將法律適用的屬地主義與屬人主義原則結合起來，擴大法律適用的域外效力。

首先，在歐盟境內設立數據控制或處理機構，不管其對個人數據處理的行為是否發生在歐盟境內，都受GDPR的拘束。此管轄規則屬于傳統的屬地主義原則，在歐盟內設有機構，當然應受歐盟法的約束。

其次，即使在歐盟境內沒有設立數據控制或處理機構，有兩類數據處理行為也受GDPR的約束。一類是向歐盟內的數據主體提供商品或服務，無論是否收費或免費；另一類是對數據主體發生在歐盟內的行為進行監控。此管轄規則實際上確立了GDPR的屬人主義原則，即不管企業在歐盟內有沒有設立機構，只要其對歐盟數據主體提供了商品、服務，或對其進行了監控，就受GDPR的拘束。屬人主義原則的確立，大大擴大了GDPR的管轄范圍。

再次，在歐盟內沒有設立機構，但數據處理行為，依國際公法可適用歐盟成員國法律，受GDPR的拘束。根據此管轄規則，歐盟監管機構既不依據屬地主義，也不依據屬人主義，仍然可能依國際公法規則對數據處理行為進行監管。

GDPR所確立的三大管轄制度，可稱之為“長臂”管轄原則。通過分析該規則可以發現，世界上任何一家與歐盟有相關貿易往來的數字經濟企業，即使沒有在歐盟境內設立任何機構，也可能受GDPR的管轄。重罰機制，加上“長臂”管轄原則，使GDPR威力無比。

“罪”與“罰”都是明確的。GDPR帶給數字經濟企業的是實實在在的可預測的法律風險。GDPR已經為數字經濟企業畫出一張數據保護的操作紅圖。與其擔驚受怕抱有歐盟“執法不嚴、違法不究”的僥幸心理，不如早日“退而結網”完善數據保護合規制度建設?！跋氤源蟮案?，又不愿失去更多面包”的全球數字經濟企業，應當抓緊按圖行事不斷完善企業數據治理。

企業應對GDPR的當務之急

歐盟對于數據保護設定比較嚴格的高標準，必然會有很多數字經濟企業一時滿足不了要求，或一直不愿花大成本滿足標準，所以罰款也必將蜂擁而至。那到底罰誰？

由于人力、物力、財力等執法資源的有限性，未來歐盟對于數據保護的“選擇性執法”在所難免。名企首當其沖。“槍打出頭鳥”，選擇“殺”一些名企，達到“儆百”的目的，可能是歐盟未來數據保護執法的常態。

然而，不管是名企還是非名企，既然選擇歐盟大市場，就應當根據GDPR的要求，建立健全合規的數據保護制度。名企財力雄厚，盡管被高額罰款，可能還承受得起。但是，對于非名企，特別是一些中小企業來說，歐盟的一次罰款或制裁，可能馬上就會使其瀕臨破產。

“羊未亡，牢需補?！比驍底纸洕髽I應當高度重視GDPR。隨著中國《信息規范》也將實施，中國企業可以從以下幾個方面，盡快完善數據保護制度：

第一，高度重視個人數據保護。企業高管團隊應當對GDPR有清醒的認識和準確的預判，盡早制定周密的戰略計劃，不計成本消除各種不合規隱患，加強人員管理與培訓。企業相關業務部門應及時全面分析已經采集、存儲的個人數據的種類、用途與獲取方式，刪除不合法、不必要的個人數據，實現個人數據保存時間的最小化，并不斷加強數據安全保障。

第二，完善數據主體的權利設置與行使操作規程。GDPR賦予了數據主體一系列強大的權利，對于這些權利的保護不足和侵犯屬于嚴重違法行為，歐盟監管機構可處以最高額度的罰款。在賦予數據主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外，還應當核實這些權利設置與行使是否符合GDPR的要求，例如檢查設置的同意權是否符合GDPR的要求。我國《信息規范》要求收集個人數據時原則上應獲得授權同意，收集個人敏感信息還需明示同意，另外還明確了撤回同意權。

第三，完善數據處理機制。運用適當的組織措施與技術措施，確保數據處理符合GDPR的基本原則與合法性條件。以透明的方式，使用簡明易懂的語言，及時如實告知收集、存儲、使用個人數據的情況。建立健全數據保護影響評估機制與事先協商制度，對個人數據進行去標識化處理，完善數據匿名化處理規程，提高數據處理過程的安全性，并對個人數據處理活動進行記錄。

第四，必要時任命數據保護官。GDPR要求相關企業以透明的方式，任命具有專門數據保護知識的數據保護官（Data Protection Officer，DPO）。DPO可以確保數據控制者和處理者遵從GDPR的相關規定，同時也扮演著與監管機構之間的聯系人和合作者的角色。如果經評估必須設立DPO，則應保障DPO的任命、權利和職責符合強制性規定，并為DPO獨立履行職責提供充足的資源。另外，企業可考慮聘請外部數據保護顧問。

第五，完善數據泄密報告與處理機制。GDPR要求原則上自知道個人數據泄露72小時內，向監管機構報告，并將可能產生高風險的泄露信息通知受到影響的個人。企業應詳細記錄個人數據泄露情況，及時采取補救措施，不斷修改完善現有的數據泄露管理流程。我國《信息規范》要求企業定期組織內部相關人員，進行個人信息安全事件應急響應培訓和應急演練，及時更新應急預案。

另外，數字經濟企業還應當從更新隱私聲明與政策、刪除相關協議文本中侵犯數據主體權利的“霸王”條款、完善數據跨境流動機制等方面積極采取應對措施，減少不合規風險。

政府應為數字經濟發展保駕護航

經濟基礎決定上層建筑。GDPR是法律，屬于歐盟的上層建筑，但其所要調整的卻是全世界的數字經濟企業。由于不同國家的經濟發展水平存在很大差別，所以不同的經濟基礎與同一的上層建筑之間，必然存在難以調和的矛盾。一方面個人數據權利要保護，另一方面技術要創新、市場要發展，二者之間發生沖突在所難免。

GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護個人數據權利，可能會對技術與市場的發展產生一定的阻礙。發展數字經濟，建設數字中國，不僅需要靠企業不斷提升數據治理水平，還需要靠政府主動采取措施，解決企業無法克服的實際困難。

首先，政府應當高度重視GDPR給數字經濟帶來的挑戰。嚴格的個人數據保護，帶來高額合規成本。由于信息資產管理的運營成本會顯著增加，而且擔心被重罰，一些企業已經暫停歐盟的相關業務。GDPR的實施可能不利于中小數字經濟企業成長，并可能助長巨頭企業的壟斷地位。因而，政府應當在戰略上予以重視，積極制定各種鼓勵扶持政策，有效支持企業提升數據治理水平，消除數據壟斷，降低GDPR合規風險。

其次，與歐盟積極溝通，完善對話協商機制。相關政府職能部門需要認真研究歐盟GDPR的監管規則，緊密協同配合，擔當有為。在積極制定政策法律不斷完善企業數據保護水平的基礎上，與歐盟監管當局開展平等對話協商，表明難點與決心，贏得理解，減少不必要的處罰與貿易糾紛。

再次，完善數據保護執法合作機制。對于GDPR 的監管挑戰，各國政府應當充分研究歐盟數據保護監管的利益關切和行動計劃，加強信息開放與共享，健全實體法之間的協調機制，尋找監管標準的最大公約數，積極尋求產業合作和個人信息保護執法合作，實現全球數據保護的共商共治。

除了作為重罰的依據，歐盟還可能將GDPR作為新的技術壁壘，阻礙全球數字經濟企業在歐盟的發展擴張。在我國正在推行“一帶一路”倡議的大背景下，GDPR也可能成為阻擋我國數字經濟企業“走出去”的障礙。但無論如何，在互聯網時代，合規經營是數字經濟企業做大做強的不二法則。盡管“規”可能很嚴厲，但只要“規”是合法有效的存在，企業就應當嚴格遵守。