從GDPR看我國《數據安全法》的立法方向

□徐 漪 沈建峰

被稱為“史上最嚴數據保護法”的歐盟《通用數據保護條例》(General Data Protection Regulation，簡稱“GDPR”)已經實施半年，從其效果看，世界各大互聯網企業都已表示服從該法監管，并已經開始調整各自的隱私和數據保護政策，最新判例也已出爐。GDPR的影響恐怕也才剛剛開始。事實上，作為超國家聯盟的歐盟，能通過立法并獲得各成員國議會批準，本身必然是各方利益妥協的結果。仔細研讀《GDPR》可以看出，在業界關注的廣泛義務和高額罰款背后，GDPR在數據主體權利，數據控制或處理者的正當利益、經濟發展、社會公共利益等各方之間的努力尋求著動態平衡，以風險管理為基礎，提供多種風險規制路徑，將平衡的立法思路貫徹到具體的制度設計之中。通常歐盟立法文本中習慣采用“個人數據”(personal data)的表達，我國習慣采用個人信息的表述，二者內涵差別不大，本文原則上不加區分，視作同一概念直接采用。

一、GDPR歷史淵源及背景

(一)立法淵源。歐盟關于網絡安全法律的規定始自1992年的《信息安全框架決議(92/242/EEC)》，內容涉及信息安全需求、戰略框架、規范和標準、操作和功能等。隨后歐盟又出臺了幾個個比較重要的法律文件，如：1995年10月頒布的《關于涉及個人數據處理的個人保護以及此類數據自由流通的指令(95/46/EC)》(以下稱“95指令”)、1999年1月的《關于打擊互聯網上非法和有害內容以促進更安全使用互聯網的若干年度共同體行動計劃(276/1999/EC)》和1999年5月的《關于打擊計算機犯罪協議的共同宣言(1999/364/JHA)》。其中95指令是全球較早涉及個人隱私與數據保護領域的法律，亦是GDPR最直接的源頭。

進入21世紀，歐盟掀起了一個信息安全立法的高潮，如2005年2月通過的《關于打擊信息系統犯罪的歐盟委員會框架決議》，2003年2月的《關于建立歐洲網絡信息安全文化》，2004年3月的《建立歐洲網絡和信息安全機構的規則》，2007年3月2的《關于建立歐洲信息安全社會戰略的決議》等，歐盟區域的信息安全上升到社會安全的高度，但涉及個人數據保護的法令并沒有重大變化，依然是“95指令”。

(二)歐盟個人數據安全立法基礎。歐盟針對個人數據的保護源于人的基本權利或人權保護，從歐洲普遍接受的人權觀念來看，每個人都是獨立的個體，而個人數據由人的活動所產生，因此可以看作個人的“延伸”，所以個人數據應當歸屬于個人這一數據主體，所有涉及個人數據的處理必須以體現和尊重其個人意志為基本前提。《GDPR》立法的基本宗旨，就是保障數據主體對個人數據的處理事務的自主、自治、自決。

具體來看，歐盟及其成員國的個人數據保護立法旨在落實歐洲委員會1981年通過的《個人數據自動化處理中的個人保護公約》，該《公約》的基礎是《歐洲人權公約》中個人應當享有的17項基本權利和自由，其中的第8條特別規定，尊重私人和家庭生活的權利。因此，“95指令”中，賦予個人數據主體很多權利，以保障數據主體知曉有關他的何種數據被誰用于何種用途，并能夠及時更正錯誤、刪除或拒絕處理，體現對個人的尊重。在這個基礎上，2000年《歐盟基本人權憲章》明確將個人數據保護作為一項獨立的基本權利加以規定。

(三)GDPR的數字經濟背景。早在1993年歐盟成立之初，歐盟就發布了《增長、競爭、就業——邁向21世紀的挑戰和道路》白皮書,明確了發展數字經濟的重要性，并提出了“創建歐洲信息社會、迎接21世紀挑戰”戰略。1996年3月,歐盟理事會簽署《關于數據庫的法律保護的指令(Directive 96/9/EC)》，其目的就是激勵數據產業的發展。到2010年，歐盟發布《2010倡議——為了促進增長和就業的歐洲信息社會》，提出發展數字經濟三大支柱：第一，建立市場導向的數字經濟規則體系；第二，推動與私營部門合作,提高歐盟的創新和技術領導力;第三，提供高效、便利的公共服務,建立包容性的歐洲信息社會，作為建立數字經濟規則體系的重要步驟，2012年1月歐洲議會公布了GDPR草案。

2014年7月,歐盟委員會主席容克對新一屆歐洲議會發表政策講話，提出歐洲“數字一體化市場”戰略，旨在為個人和企業提供更好的數字產品和服務，創造有利于數字經濟發展的環境，最大化地實現數字經濟的增長潛力。歐盟相信，“數字一體化市場”能激勵個人和企業公平的無縫訪問和在線活動，從而促進歐盟數字經濟發展，確保歐洲在全球數字經濟中的地位。這一戰略極大地推進了GDPR的制定。由此可見，GDPR并不僅僅是在信息科技迅速發展情況下,歐盟對歐洲公民人格尊嚴和人格自由的重申，而是結合了經濟價值和社會效應，綜合個人數據保護與促進數字經濟發展等多重因素考量的成果。

二、GDPR主要內容

作為歐洲議會通過的法律，GDPR的法律位階比95指令高出許多，95指令不具有強制性，不能直接適用于各成員國，而需要各國經過國內立法才能實際落實，而GDPR則屬于歐盟立法，歐盟各國必須遵守，從而統一了歐盟內部個人數據保護標準，為創造歐盟數字一體化市場奠定了基礎。

GDPR正文共11章，99條，建立了完善的數據管理體系，針對數據主體權利、數據控制與處理機構義務、數據跨境傳輸、獨立監管以及責任與處罰等多項嚴格規定，多處具有創新。

(一)數據主體權利。GDPR全面完善和細化了個人信息權利，數據主體享有訪問權、更正權、反對權、刪除權、數據可攜權以及限制自動化決策等權利。其中，刪除權、數據可攜帶權、限制自動化決策權是全新設置：刪除權賦予了數據主體撤回同意使用或刪除個人數據的權利；數據可攜權賦予了數據主體轉移其個人數據的權利，在技術許可的條件下，數據主體有權直接將個人數據轉移至他處，而數據控制者應當提供必要的支持；免受自動化決策權是指在特定情形下，數據主體不受數據自動化處理規則制約等。

(二)數據控制者義務。GDPR將數據操作分為控制與處理兩個部分，以“數據控制者”為核心，規定數據控制者的必須履行一定的義務，從而將數據保護的責任落實。而數據處理者的責任則原則上通過合同進行具體規定。控制者的義務分為一般義務和特殊義務兩部分，所有數據控制者均須遵守一般義務，如隱私設計、數據處理記錄、安全保障措施和數據泄露通知等。其中數據泄露通知義務明確要求，發現數據泄漏事件72小時內，數據控制者原則上應當報告監管機構，如果數據泄露會對個人帶來較高風險時，必須通知個人。特殊義務則是符合某些條件的數據控制者才須遵守的義務，如設置數據保護官和數據保護影響評估等。

(三)數據跨境傳輸限制。與歐盟內部數據自由流通不同，對于數據向歐盟境外的傳輸，GDPR做出了嚴格規定：對于數據向域外國家和組織的數據傳輸，采用類似白名單制度的“充分性認定”機制，以數據的適足、充分保護為首要參考，劃分了三個層次：第一層次，目標國的個人數據保護水平達到了歐盟認定的“充分保護水平”，則數據流動沒有限制；第二層，如果目標國沒有獲得充分性認定，則企業應對輸入的數據提供一定的保護策略，諸如有約束力的公司規則、商業合同、第三方認證等；如果上述條件都達不到，則適用第三層，可以采取列舉有限數據傳輸減損清單的方式，如數據主體同意的轉移、為了數據主體利益實行的必要轉移以及公共利益等。

(四)監管機制。GDPR建立了完善的個人數據保護監管機制，授予成員國監管機構以調查權、矯正權、授權與建議權、司法參與權等諸多權力。同時，由于歐盟及各成員國內部的法律規定，不同的數據監管機構有所分工，數據處理過程中存在跨境轉移、數據處理等較為復雜的情形，經常出現一個數據監管機構難以完成對整個數據處理過程的監管的現象。因此，GDPR中對監管機構的聯合行動也做出了相應規定，以期通過不同區域、不同層級之間數據監管機構的相互配合，達到對數據處理過程的全方位監管，減少數據處理活動中的違規行為，避免數據主體的合法權益受到侵犯。

(五)法律責任。GDPR對數據控制者或處理者違反規定設置了民事責任和行政責任。GDPR規定，數據主體可依據所遭受的實際損失提請賠償，但這僅僅是數據處理者面對的民事賠償責任，其行政責任則要面臨更大的處罰。根據違反規則的程度不同，GDPR規定了兩檔罰則：第一，數據控制者違反默認隱私保護設計、數據安全保障、數據泄露通知、數據影響評估等行為，處1,000萬歐元或上一年度全球營業額2%的罰款。第二，數據控制者違反數據處理原則、同意規則，損害數據主體的合法權利等行為，處2,000萬歐元或者上一年度全球營業額4%的罰款。

三、GDPR對我國的借鑒意義

進入21世紀以來，信息技術的發展已經催生出了一種新的經濟形態，諸如信息經濟、網絡經濟、數字經濟、分享經濟或共享經濟、知識經濟等，盡管目前對此還尚未達成稱謂上的共識，但其內涵基本一致，都是指以數字化的知識和信息為關鍵要素，以信息網絡為基礎，依靠信息技術提高經濟效率，優化經濟結構的經濟活動的集合。

進入21世紀，我國的數字經濟發展迅猛，但是與數字經濟密切相關的個人信息保護方面，相比歐盟，存在著明星差距。過去幾年層出不窮的電信詐騙、網絡詐騙等犯罪活動，嚴重影響了我國在個人信息保護方面的聲譽，我國涉及個人信息保護的立法非常分散，相關規定零星分布在不同層階的法律、法規、部門規章中。針對已經納入立法計劃的我國《數據安全法》，歐盟ODPR具有較大的借鑒意義。

(一)平衡個人信息安全與數字經濟發展的關系。GDPR在序言中指出：“個人數據的處理應當堅持以為人類服務為導向。個人數據保護并非絕對權利，必須根據比例原則考慮其在社會中的作用，并與其他基本權利相平衡。”這種動態利益平衡的理念，在GDPR的第6條“數據處理的合法性基礎”中再次得到體現，GDPR為數據控制者和處理者提供了數據處理的多種合法性基礎，除了數據主體同意外，還包括了履行合同、履行法律義務、重大利益平衡、公共利益平衡、正當利益平衡等多重路徑，均可作為數據處理合法性的充分非必要條件，由數據控制者和處理者選擇。一方面是考慮到特定情況下無法也無需征得數據主體同意的情況(如控制者在履行法定義務時)；另一方面也避免了如果將“主體同意”作為唯一性合法依據，很有可能在事實上架空了這一制度的設定初衷，增加數據主體負擔，降低其行使數據權利的實效性。

GDPR以“識別性”作為核心，對個人數據進行了不同層次的界定，從而為其設定了不同的保護程度，實現了數據保護義務與流通處理之間的平衡。識別性概念是一個從人群中把個人“挑選”出來的過程，根據數據對主體的識別精度差異，而設置不同的風險評估結果，并設置不同的保護規則。根據可識別程度，GDPR大致將數據劃分為五個層次，其處理風險和相對應的義務從高到低依次遞減。

1.已識別的個人數據。這類數據通常可以將個人輕易地識別出來，如身份識別號碼、生物識別數據等。這類數據被GDPR給予了最強保護，例如基因數據、生物識別數據等是禁止被處理的。

2.可識別的個人數據。這類數據一般需要跟其他數據結合后才能識別到個人，例如位置數據、瀏覽記錄等。

3.假名化數據。一般指經過技術化處理之后的個人數據，在不使用附加信息的情況下不能與特定主體產生關聯。例如使用技術手段處理的手機號碼：138****2345，這種假名化處理可以大幅降低風險。

4.無需再恢復識別的數據。當后續的數據處理已經無需再識別到個人時，一些用來恢復原始數據的附加信息就無需保留。相應地，數據主體更正、刪除等權利也就不能行使。

5.匿名化數據。匿名化數據指已經無法與任何已識別或可識別的主體相關聯的數據，多見于統計數據形式。這種數據無需適用GDPR。

(二)合理制定個人信息保護的管轄范圍和力度。互聯網的高度發展，尤其是個人信息的低成本(或零成本)、零時間跨境流動，對主權國家的管轄和監管帶來了新的挑戰。應對突破這一難題，GDPR摒棄了傳統的“屬地管轄”原則，采取的了“保護性管轄”這一新方式，拓展了歐盟的管轄范圍，即不論數據控制者、處理者是否在歐盟地域上，或其處理行為是否發生在歐盟之內，均適用于GDPR。這一長臂猿管轄原則和“一站式”執法，也為數據保護管轄在法律上提供了新思路，值得借鑒。

GDPR對違規的處罰力度可謂空前，設置了令企業望而生畏的高額罰金。一方面是由于目前互聯網巨頭大多全球布局，而且其中沒有歐盟企業的身影；另一方面是由于這些企業財大氣粗，對一般性的罰款無動于衷，不足以令它們自覺遵守法規。雖然這大大抬高了小企業合規成本，但GDPR也充分關注了數據控制者為控制和管理風險所做出過的努力，對企業數據保護設置了多重問責，希望數據控制者必須采取“足夠的措施”來確保其數據安全。這也意味著，數據控制者的數據保護努力永遠不會被忽視，在數據安全影響評估和問責機制中會得到相應的回報。數據控制者的保護程度包括以下幾類。

1.數據保護官制度。企業設立具有數據保護專業知識的獨立數據保護官，直接向高層管理匯報，向監管機構報備，其聯系方式必須公開。

2.文檔化管理制度。數據控制者必須建立相應文檔，記載其數據處理活動，如數據處理的目的、類型、安全保障措施以及數據轉移的接收者等。

3.數據泄露報告。一旦發生數據泄露事故，數據控制者必須在事發72小時內，將事件報告給指定的監管機構。

(三)努力突破數字經濟發展的壁壘。在數字經濟高速發展的背景下，數據尤其是個人數據已經成為人們改變市場、創造價值和獲得知識的新源泉和新動能，是經濟增長的重要資源。如何化解數據保護與數據跨境流動之間的沖突，是普通貨物貿易關稅之后，數字經濟時代國際社會必須要解決的重要問題。同時，數據跨境流動也會造成國家安全、公共道德和個人數據泄露等隱患，GDPR將個人信息保護程度作為處理數字經濟時代國際經濟和政治關系的關鍵因素，在同一內部各成員國法規政策的同時，對數據跨境輸出做出了明確限制，只有獲得歐盟“充分性認定”的國家，遵從歐盟批準的企業級數據保護策略的企業，才能進入歐盟單一市場，這一限制，無疑形成了新的數字經濟壁壘。

相比而言，我國在個人信息保護方面，還有較大差距。我國應充分借鑒GDPR經驗，加速《數據安全法》立法，通過立法過程，宣傳、普及個人信息保護意識，提高個人信息保護水平，不僅是滿足國內日益高漲的個人信息保護要求的切實措施，更是促進我國數字經濟發展，消除經濟壁壘的一條捷徑。