歐盟《通用數據保護條例》影響研究

【摘 要】 歐盟是立法相對嚴苛和嚴謹的國家，在立法實踐方面對其成員國乃至世界范圍內的其他國家產生了極為深遠的影響。歐盟的數據保護立法常常被學者用來作為數據保護立法的典范，因此將對GDPR對歐盟成員國以及其他非歐國家的影響進行研究。

【關鍵詞】 GDPR 影響 數據保護

一、研究背景

大數據的時代背景下，數據泄露問題是當前困擾數字經濟進一步發展的一大主要障礙。法律的出臺既能夠從權威的角度來保護消費者的隱私權益，同時也能夠給企業足夠空間有的放矢。歐盟是立法相對嚴苛和嚴謹的國家，在立法實踐方面對其成員國乃至世界范圍內的其他國家產生了極為深遠的影響。歐盟的數據保護立法常常被學者用來作為數據保護立法的典范，而我國雖然在2016年出臺了《網絡安全法》，但卻因為該法律中對消費者的權利界定尚有模糊之處，直到2018年《電子商務法》的正式實施彌補這一缺陷后，我國才被認為是擁有數據保護立法的國家[1]。即便如此，《電子商務法》中提及“隱私”一詞的條例仍然極為有限，在數據保護的具體規范上依然存在不足，數據產生者的權益也仍舊不能得到系統性的保障。因此研究各國在GDPR背景下的立法進展對我國接下來出具更完備的數據保護立法的具有重大的借鑒意義，因此將對GDPR對歐盟成員國以及其他非歐國家產生的影響進行研究。

二、歐盟數據保護歷史

（一）歐盟數據保護歷史回顧。世界上共231個國家和獨立立法主體，截止到2019年1月，132個立法主體已經頒布相關立法，全球范圍內的數據保護法律覆蓋率約為57%，其中歐盟是世界范圍內最早實現數據保護法完全覆蓋的組織，而歐洲的數據保護法覆蓋率已經達到了約95%，遠遠高于世界平均水平。

回顧歐洲國家的數據保護立法，大概可以分為三個階段：第一階段：萌芽期。根據一項報告顯示顯示，瑞典是世界上第一個出臺數據保護法的國家（1973年），20世紀70年代世界范圍內所出臺的7部數據相關法律均是由歐洲國家所出臺，分別是瑞典、德國、奧地利、丹麥、法國、挪威和盧森堡[2]。這是法律界最早展開的數據保護立法探索。第二階段：發展期。20世紀80-90年代，歐洲的立法覆蓋率迎來了一個加速，大部分歐洲國家已經完成了數據保護的初步立法。第三階段：成熟期。進入2000年，歐洲的立法已經進入修正階段，這樣的速度領先世界平均水平約10年左右。

（二）歐盟數據保護現狀——通用數據保護條例（GDPR）。GDPR，全稱為General Data Protection Regulation，即通用數據保護條例。經過四年多的協商，2016年4月由歐洲議會和歐洲理事會通過。從2016年5月開始，除非有明確的法律依據，否則企業將不再被允許收集或處理一個歐洲公民的消費者數據，例如獲得公民自愿給予和“明確的”同意。如果沒有提供適當通知或管理辦法，公司也將被禁止使用以前收集的數據。2018年5月25日，歐盟《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）正式執行，在1995年出臺的《個人數據保護指令》的基礎上將數據保護范圍擴大到歐盟全境以及跨境進入歐盟的實體公司。除此之外，這項條例賦予歐洲公民更多的合法權利，包括限制處理權（18條）、持續控制權（20條）、清除權（17條）、更正權（16條）、獲取必要信息的權利（12-14條）、訪問權（12、15條）、拒絕權（14、21條）等，其中，被遺忘權和刪除權是歐盟的的特別規定[3]。

歐盟《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）一經出臺，對歐洲各國均產生了巨大的影響。GDPR第83條就不同的違法行為設定了不同的罰款標準，例如對違反個人信息收集和使用的基本原則以及沒有保障數據主體權利的數據控制者或處理者，最高可處以2000 萬歐元或全球營業額的 4%作為罰款，并且取兩者中的較高者。許多在歐行商的企業已經因此受到了巨額罰金，如2019年1月，法國數據保護監管架構CNIL針對對谷歌LLC案作出審查決定，認定谷歌美國違反GDPR多項條款并處以5000萬歐元的罰款。

三、GDPR對歐盟成員國數據保護影響

歐盟作為特殊的跨法域組織的代表，其境內存在雙重法制：歐盟法和歐盟成員國法。二者之間的關系遵循“歐盟法優先適用原則”、“相互合作原則”、“直接效力原則”，即二者是一種相互影響且相互包容的關系，因此歐盟的立法與法律修訂會對其成員國的法律產生影響，成員國往往需要結合各國具體情況稍有調整地修訂立法或訂立新法。因此，自2016年后的GDPR通過起，截止到《全球數據隱私法律條例框架（2019版）》中所記載的2018年數據，27個歐盟成員國中的23個國家已經根據GDPR修改了相關法律于2018年對法律進行了修改，其中包括奧地利（Datenschutzgesetz）、比利時（Law on the Protection of Individuals regarding the Processing of their Personal Data）、塞浦路斯（The Processing of Personal Data （Protection of the Individual） Law）、克羅地亞（Act on Personal Data Protection）、丹麥（Act on Processing of Personal Data）、愛沙尼亞（Personal Data Protection Act）、芬蘭（Data Protection Act）、法國（Law relating to the protection of individuals against the processing of personal data）、德國（Federal Data Protection Act）、匈牙利（Act on Informational Self-Determination and Freedom of Information）、愛爾蘭（Data Protection Act）、意大利（Data Protection Code）、拉脫維亞（Law on Personal Data Processing）、立陶宛（Law on Legal Protection of Personal Data）、盧森堡（Data Protection Law （GDPR implementing law of 16 August 2018））、馬耳他（Data Protection Act）、荷蘭（Personal Data Protection Act）、波蘭（Act on the Protection of Personal Data）、羅馬尼亞（GDPR implementation law）、斯洛伐克（Act No. 18/2018 on the Protection of Personal Data）、斯洛文尼亞（Personal Data Protection Act）、西班牙（Ley Orgánica 3/2018， de 5 de diciembre， de Protección de Datos Personales y garantía de los derechos digitales.）、瑞典（Data Protection Act）。除此之外，保加利亞、希臘、葡萄牙、捷克4個國家的法律還在草擬階段[1]。

四、GDPR對非歐國家的影響

雖然GDPR是用于對歐盟以及在歐盟進行貿易的國家和地區內的數據活動進行規范，但因為GDPR本身的完備性與權威性，部分國家以此為原型進行了引用，所以GDPR對除歐盟成員國外的其他國家的立法也產生了影響[1]。

（一）貝寧。貝寧在2017年6月13日出具了與GDPR極為相似的立法，這是一份非常具有綜合性的立法，有超過650條的的條款用于規范網絡。與GDPR極為相似的一點就是，將治外法權、處理器隱私設計責任、設立數據保護官、數據被遺忘權、數據可以執行等包含進了該國網絡法中。

（二）烏拉圭。烏拉圭作為第一個簽署《第108號公約》的非歐洲國家，烏拉圭需要更新其數據保護法。烏拉圭分別從四個方面加強了該國立法：域外范圍、數據違反通知、問責制（要求控制人員實施其他gdpr要素）、和數據保護官員。

（三）毛里求斯。毛里求斯在2017年12月22日更新了他們在2004年就訂立的數據保護法。毛里求斯雖然是一個國土面積僅有2040平方公里的島國，但是作為第二個服從108號公約的非歐盟國家以及他們較為發達的經濟，他們在GDPR的影戲下對自己的法律也進行了修正。

五、GDPR對中國產生的影響

歐盟GDPR對全球多個國家的政府、企業乃至個人產生了極大的影響。國內學者在GDPR出臺后紛紛依據該條例提出我國的借鑒方案，因為我國還未結合建立數據保護法案，接下來我們主要分析GDPR對我國跨國企業產生的影響。

（一）跨國企業消費者意識的影響。一項調查顯示，截止到2019年5月，歐盟民眾中已經有67%的受訪者接受過對于數據保護的條例，57%的受訪者表示知道歐盟成員國的數據保護機構，73%的受訪者至少知道GDPR中的一項條款[4]。因此對于許多依跨國數字經濟公司，需要隨著公民隱私意識的提升以及GDPR將所有的涉歐企業企業均納入了新條例的管轄范圍，所以涉歐企業均需要出臺相關的隱私保護政策以及改良銷售模式來加強個人數據保護，從而避免高額的罰款以及其他的違規處理。

（二）跨國企業在歐行商條件的影響。為了防止企業因為違反歐盟《通用數據保護條例》，我國學者許濟滄針對GDPR中的具體條款按照8原則建立了17個指標的評價指標體系，從而為有效防止我國企業在歐行商提出寶貴的事前準備[5]，其中八項原則分別是：目標明確原則、選擇同意原則、最少夠用原則、合理管護原則、主體參與原則、公開透明原則、確保安全原則、與自我管護原則，而17項指標分別是：個人數據收集合法程度、個人數據獲取授權意識、個人數據收集最小化程度、保存時間最小化程度、加密安全程度、記錄有序性、數據庫存分析、設備管理、數據保護人員獨立性、訪問控制程度、主體請求響應程度、數據處理可追溯性等。

總而言之，GDPR已經在世界范圍內引起了廣泛的影響，我國學者對其的研究也已經較為廣泛，政府可以參考學者或別國的借鑒經驗，從而為我國的數據保護法立法提供支持。

【參考文獻】

[1] Graham Greenleaf， 157 Privacy Laws & Business International Report[R]. Australia ：UNSW，2019：14-18.

[2] Graham Greenleaf， 76 Privacy Laws & Business International Report[R]. Australia ：UNSW，2011：1.

[3] 楊一澤，歐盟個人數據保護條例適用研究[D]哈爾濱：哈爾濱工業大學，2017：24-31.

[4] 王灝晨.通用數據保護條例（ GDPR）的實踐評價及啟示[J]，中國物價2019.12.

[5] 許濟滄.基于GDPR的個人數據保護企業自評指標體系研究：圖書情報工作. 2018.12.

作者簡介：唐煜（1996—） ，女，漢族，四川成都人，碩士研究生，單位：云南財經大學商學院市場營銷專業，研究方向：營銷倫理