淺談歐盟《一般數據保護條例》

(華東政法大學 上海 200042)

2016年4月歐盟議會通過了《一般數據保護條例》(又稱《通用數據保護條例》，以下簡稱 GDPR)。然而2018年5月25日GDPR才正式生效。相較于歐盟1995年的《數據保護指令》，GDPR的規定顯然更為嚴格，比如GDPR的管轄范圍不局限于地域范圍①，個人數據范圍更加詳盡，數據主體權利擴大，對企業數據處理行為劃分更具體，懲罰措施更嚴厲等等。同時，與1995《數據保護指令》(Directive)需要在歐盟各國國內轉化適用不同，GDPR屬于條例(Regulation)在歐盟各國有直接適用效力。這使得GDPR在提高個人數據保護標準的同時，也擁有更強的法律效力和適用統一性。故歐盟留出兩年時間給各國作為緩沖期。

一、GDPR 研究重點問題

(一)數據主體的權利

生活在一個信息可以實時共享的時代，我們享受了許多信息共享帶來的福利與便利。但也伴隨著一種不安感和恐慌感。我們的個人數據被手機應用、網頁、社交平臺和物流公司輕易掌握，這些數據在被人交易利用后，隨之而來的是刪不完的垃圾信息、掛不斷的推銷電話和跳動不停的頁面廣告。這種煩惱幾乎成為了現代人生活的一部分，似乎成了我們換取技術進步所必須的犧牲。然而這些問題會不會發展到難以控制的地步？信息泄漏后不僅僅會面對無休止的騷擾，還可能遭遇各種猝不及防、花樣百出的詐騙。更令人憂心的是，待技術發展到了能夠獲取個人所有數據的時候，是不是數據控制者能左右我們的行為選擇甚至刻意引導我們的思維方式？法律之所以保護個人隱私，是為了維護人們日常生活的安寧，不受打擾。同時，也是在維護人的獨立與尊嚴。而強調對個人數據的保護在信息化社會亦有此意。

GDPR最大的特點和優勢的便是它強調了數據主體對個人數據的控制權，并為實現這種控制權，創設了許多權利概念，如擦除權(被遺忘權)②、限制處理權、可攜帶權③和自動化個人決策權等。另外，GDPR還根據年齡和數據種類，增加了一些特別要求以提供更周全的保護。針對未成年人，GDPR設立了監護人同意制。當企業向16歲周歲以下的未成年人提供產品或服務并處理其個人數據時，需獲得該未成年人的監護人同意及授權才屬于合法行為④。GDPR還規定了對特殊類型個人數據，即種族、政治觀點、宗教信仰、工會，以及個人的基因數據、生物特征值、健康信息、性生活及取向等數據一般禁止處理⑤。滿足特定條件，可以對以上敏感數據進行處理，但處理者需將其與其他個人數據進行獨立管理，提供更加嚴密的安全保護措施。

(二)GDPR對跨國企業的影響

作為GDPR規制的主要對象，企業將GDPR冠名為“史上最嚴數據保護條例”。根據Ovum公司提供的調查報告顯示，52%的受訪者預計GDPR將會導致他們公司受到罰款；超過70%的受訪者預計會增加開支來滿足數據保護要求；高達85%的受訪者還認為GDPR將使其在與歐盟公司的競爭中處于劣勢。根據GDPR的要求，首先，在控制者要求提供個人資料時，他們應當采取簡潔、透明、易懂、容易獲取的形式和使用清晰、平白的語言⑥。其次，控制者還需主動亮明身份、聯系方式，說明數據使用目的和處理方式，告知數據主體享有的權利。再次，控制者還需設立數據保護專員(Data Protection Office，簡稱DPO)專門負責企業隱私保護工作。最后，還有“72小時報告制”。該規定要求企業必須在發現違規事件的72小時內，向監管當局和受到違規事件影響的個人通報數據違規行為。小米公司相關負責人就曾表示，72小時在實踐中是非常高的標準，為了實現這一點，企業要建立相當完善的數據監控機制，實時發現內部違規操作和外部入侵行為。也就是說這個規定時間報告制度不僅要企業提升內部的安全意識并且還要建立高效的數據泄露發現、核查和報告的程序。雖說GDPR的規定十分細致嚴格，但考慮到嚴重的違規后果⑦，許多企業還是打消僥幸心理，采取了實際行動。

以一些大型跨國科技公司的合規措施為例，我們可以直觀感受到GDPR的影響力。微軟副首席法律顧問Julie Brill透露，微軟已經為GDPR項目投入了1600多名工程師，他們將為全球客戶提供符合GDPR的工具，微軟的客戶可以查看、刪除和移動他們的個人數據。去年4月因用戶信息泄露而備受指責的Facebook也迅速反應，更新了它的隱私設置。如果Facebook在GDPR生效后再發生嚴重的違規行為，它將面臨公司全球營收的4%的處罰。Facebook2017財年營收為 406.53億美元⑧，可能的罰金將高達16.26億美元。除了更新隱私設置，Facebook還將美國、加拿大和歐盟國之外的約15億用戶的注冊地從都柏林移至美國。這一舉動主要是避免非洲、亞洲、澳大利亞和拉丁美洲的用戶同樣受到GDPR的影響。蘋果公司也更新了隱私條款并推出了新的用戶頁面，歐洲的用戶現在可以下載蘋果公司由照片、Apple Pay、聯系人等服務收集的所有數據。蘋果公司還將停止其機器學習和AI系統使用客戶數據。與Facebook不同，蘋果公司計劃在未來幾個月內將這些功能推廣到全球所有帳戶。

面對互聯網巨頭“熱火朝天”的態勢，大多歐盟用戶卻深感困擾，GDPR生效的短短幾天內，他們便收到紛至而來的用戶協議更新通知和重新授權通知。郵箱再次被“轟炸”，這正是他們之前一直反感的。在GDPR生效當天，奧地利成立的隱私權利組織Noyb.e就分別代表4位歐盟公民向奧地利、比利時、法國、德國的當地監管機構提起申訴，控訴Google,Facebook,WhatsApp,Instagram四家公司違反GDPR規定，請求對其發起進一步調查、確定其用戶權利是否被侵犯、禁止其相關數據處理行為，并處以懲戒性罰金。該組織創立人Max Schrems在申訴中指出，四家公司更新隱私政策之后，雖然重新請求用戶同意，但用戶若不同意就無法正常使用原來的服務。這等于是一種變相的“強制同意”，事實上剝奪了用戶選擇權。

(三)GDPR與中國企業

由于GDPR管轄范圍突破了地域限制，向歐盟居民提供產品或服務,甚至只是收集或監控相關數據的非歐盟企業和組織,無論企業或組織所在位置,都必須遵守該法案。中國包括互聯網、金融和電商企業在內的許多企業實際上都符合歐盟GDPR的管轄規定，因此必需做出相應的合規安排。許多安全團隊也開始針對性地提供GDPR合規服務。暫時與歐盟內數據主體沒有關聯的中國企業又該如何反應？是利用國內相較寬松的法律環境爭取技術上實現超越發展？還是提前建立高標準的合規制度以順應未來數據保護法的趨勢？每個企業可能會根據自身情況做出不同的選擇。筆者更認同后者，認為中國企業應該重視GDPR所傳達的信息，在能力范圍內盡早調整企業的相關安排，逐漸實現合規要求，并將數據安全作為企業未來發展規劃的重要一環。短期來看，這方面投放的財力物力對企業來說是一種額外經濟負擔，但因為GDPR是目前全球覆蓋面最廣、監管條件最嚴格的關于個人隱私和數據安全的法規，它有可能發展成為國際數據保護領域示范法⑨，最終直接或間接影響到每一家企業。所以從長遠來看，樹立數據安全意識并建立一套與之相適應的合規制度對中國企業的發展和國際化是有利的。針對這個問題，有律師從競爭法上分析認為中國企業若輕視GDPR合規安排，可能會受到來自歐盟市場其他企業的不正當競爭指控。兩方發生糾紛時，歐盟監管機構出于保護本地企業和維護GDPR適用的目的，會傾向認定中國企業構成不正當競爭行為，進而可能使中國企業面臨嚴厲的處罰措施。同時，該律師還提到歐盟的企業也會傾向選擇與已完成GDPR合規的歐盟境外企業展開合作，不進行GDPR合規可能意味著失去在歐盟市場份額和合作方信任⑩。

二、GDPR引發的質疑

(一)個人數據與隱私的界定問題

在新條例下，“用戶數據”的保護范圍包括：基本的身份信息(姓名、身份證信息等)、網絡數據(IP地址、瀏覽器Cookie等)、醫療保健或遺傳數據、生物識別數據(指紋、虹膜等)、種族或民族數據、政治觀點和性取向。GDPR對個人數據的判斷標準是Personal Identifier Information(PII)，即可識別該自然人的任何數據。這個定義將大量的特征描述性信息，比如特殊的外貌特征、行為習慣和社會身份等也囊括進GDPR數據保護范圍。因此對這類信息的搜集處理也必須事先獲得數據主體的同意方可進行。這類數據同時屬于個人隱私嗎？又或者說新時代背景下我們對隱私的理解是否需要作出新解釋？個人數據保護與隱私保護是否基于同樣的法律目的？在網絡普及之后，個人的社交賬號、網頁瀏覽記錄、購物清單、甚至游戲裝備都成為具有商業價值的數據，大部分企業會追蹤記錄個人的這些數據，以便更好分析用戶喜好或精確投放廣告。這種背景下，可納入GDPR保護的數據范圍不斷擴大。有學者甚至設想未來個人數據將涵蓋隱私的概念，成為一個更受重視的概念。但過度擴大個人數據范圍，要求嚴格保護，這不但會增加企業的負擔，也與隱私保護的目的不符。在保護個人數據和隱私的關系上，對于兩者的聯系與區別，GDPR似乎未作出解釋。

(二)數據保護與科技發展問題

工信部網絡安全研究所助理研究員魏書音表示，未來C2C(Consumer to Consumer)，個人間電子商務)模式下的電子支付、電子商務、以及云服務、區塊鏈、大數據征信等場景，將更加緊密地涉及用戶個人數據的收集、控制、處理及利用。在GDPR的對數據處理嚴格監管下，企業面臨維護用戶隱私與充分發揮數據價值間的平衡難題。這個難題的另一面便是數據保護與科技發展的矛盾。目前最熱門的人工智能研究領域中的數據智能，便是通過收集海量數據進行智能分析，得出結論。而GDPR規定的自動決策的可解釋權(The Right to Explanation of Automated Decision)賦予了數據主體在對算法決策不滿意時選擇退出的權利。這一定程度上限制了人工智能的數據獲取能力，進而限制物聯網、云計算、人工智能等其它方面的研究。對此，有人質疑GDPR是否符合當下大數據時代的發展趨勢。對這個質疑，中國信息安全研究院副院長左曉棟給出了一個很好的比喻，“任何汽車都有油門和剎車，我們買汽車是為了開車，剎車卻是為了減速，然而不會有人說一輛汽車只要油門就夠了。沒有規范的互聯網發展與失控的汽車沒有兩樣，而GDPR就像是一輛汽車的剎車裝置。”GDPR對數據的保護不等同于對數據利用的絕對限制，只要做好合規準備，在保證用戶數據安全的前提下，GDPR是鼓勵數據自由流通的，對數據帶動的技術發展更是持積極態度。實際上，一套符合GDPR要求的數據安全體系也要求應用設計理念的更新和技術的完善。

(三)GDPR的執行規范問題

雖然GDPR第4條對條例中重要概念進行了解釋，但GDPR仍然存在較多表達不清的地方，這給了監管機構較大自由裁量權。比如在罰金數額的確定上，GDPR簡單規定了兩檔罰金：一般性的違法行為，罰款上限是1000萬歐元或企業上一年度全球營業收入的2%(取數額大者)；嚴重的違法行為，罰款上限是2000萬歐元或企業上一年度全球營業收入的4%(取數額大者)。然而究竟什么程度的違法才是嚴重違法？確定了罰金檔次后，具體罰金數額在限度內又該如何確定？對此，各個監管機構沒有統一標準。如果相似的違規行為受到不同的懲罰，繳納了數額相差較大的罰金，這會引發對整個GDPR公正性和權威性的質疑。另外，歐盟各國的監管機構對執行GDPR還沒有經驗，也不完全具備執行條件。路透社2018年5月上旬調查結果顯示，24家歐洲監管機構中有17家表示，他們還沒有準備好實施新法，因為他們還沒有資金或權力來履行職責。

三、GDPR對中國數據保護法的啟示

(一)制定統一的數據保護法

我國關于個人數據保護的立法并非空白。《中華人民共和國網絡安全法》(簡稱《網絡安全法》)便旨在保障網絡安全和數據主體的合法權利，其中設有專章對“網絡信息安全”做了規定，并對個人信息的數據保護做了原則性規定，是目前我國關于個人數據安全較為重要的法律。但相較GDPR，《網絡安全法》規定的數據主體的權利過于簡單，僅賦予了數據主體刪除與更正的權利，適用情形也更為狹窄，僅限于網絡運營者違反規定或約定收集、使用個人信息，或者其收集、存儲的個人信息有錯誤的情形。2017年全國信息安全標準化技術委員會發布的《信息安全技術個人信息安全規范》規范了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為，旨在遏制個人信息非法收集、濫用、泄漏等亂象。然而這份文件屬于國家標準，不具有法律約束力。在基本法律方面，《刑法修正案》增設了“侵犯公民個人信息罪”以打擊非法獲取公民個人信息的行為，《民法總則》中也規定了自然人的個人信息受法律保護。雖然上述法律或文件對個人信息給予了一定保護，但面對國內近年來發展迅猛的大數據、新媒體、云服務和人工智能等產業，這些或分散或原則性的規定則缺乏抵抗力。上海交通大學副教授何淵說過，由于大數據的爆炸性增長和云計算能力的指數級進步，人人都變成了“透明人”，并深陷于一個巨大的“黑箱社會”之中。個人對自身數據信息的無力狀況需要法律來改變。我國制定一部統一的數據保護法來保護個人數據、規范數據處理具備現實性、必要性和緊迫性。

(二)重點規范數據控制者的行為

對個人數據進行自動化處理的主體大部分情況下是企業組織。這些數據控制者的數據安全意識、內部數據安全合規建設甚至產品或服務的設計直接關系到數據主體的權益。GDPR就對企業的基本義務、隱私政策、風險評估和緊急預防機制均有十分明確的要求，這些規定能推動企業從內部制度安排開始建立成熟的數據安全體系。比起事后監管和止損，對企業的事前事中規范對切實保護個人數據更有意義。因此，我國的數據保護法規范的重點也應該放在這些有技術能力和利益驅動力的企業身上，根據他們在數據處理過程中的行為分工，規定不同的義務和設置相應的責任。

(三)設立專門的數據安全監管機構

GDPR特別設立歐洲信息保護委員會(European Data Protection Board)，負責在較高層面發布有關個人信息保護的意見、指南，并具體協調一站式管理機制的工作。28個成員國也分別設立了獨立的監管機構，“數據保護局”(Data Protection Authority)，負責受理數據主體的投訴和監督GDPR在本國的執行狀況。我國未來圍繞個人數據的糾紛會越來越多，對這些糾紛的處理要求一定的專業性，對數據安全監管也要求監管機構對數據收集處理等行為有足夠的認識。因此，設立專門的數據安全監管機構能更好地保證法律的實施和履行數據保護的職責。

(四)保持權利保護與行業發展平衡

歐盟在個人數據保護法上的改革還有一個主要目的：促進個人數據自由流通。數據的自由流通對歐盟統一市場的數字經濟發展意義重大，之前的1995年指令雖一定程度上改善了歐盟的數據安全狀況，但對激活歐盟互聯網交易和信息產業發展的作用有限。2016年歐盟數字經濟市場中，42%基于歐盟各國的網絡服務，54%基于美國的網絡服務，歐盟內部跨境網絡服務僅占4%。GDPR為了解決這個碎片化市場現象，統一了歐盟內部數據操作和流通規則，并且通過行政監管有效維護了市場的規范性和有序性，力圖構建一個數字化單一市場(Digital Single Market)。單一市場能為歐盟企業和境外企業提供一個更高效便捷和穩定安全的營商環境。何淵教授指出企業的數據合規已經逐漸不再是一種純粹的風險型的，規避型的成本的支出，在歐洲的很多跨國的企業，數據合規已經變成企業的核心競爭力之一。歐盟在數字治理上選擇的路徑是由其數字經濟發展階段和所處競爭位勢決定的。我國的數字經濟規則制定也要符合數字經濟發展情況，參考GDPR在平衡數據保護與數據流動的一些做法，強化個人信息保護的同時促進數字產業的發展，促進二者良性互動。

【注釋】

①GDPR第3條。

②吳丹君，周天一：當出現收集和處理數據已不再必要、數據主體撤銷同意、數據主體行使拒絕權、個人數據被非法處理、基于法定義務需要刪除等情形時，數據主體有權要求數據控制者立即刪除其個人數據，數據控制者應當采取合理措施并告知正在處理該個人數據的其他控制者。

③吳丹君，周天一：數據主體有權要求數據控制者提供結構化、通用化和可機讀的個人數據，并有權將上述數據轉移給其他數據控制者，原數據控制者不得阻礙。

④GDPR 第 8條。

⑤GDPR第9條。

⑥GDPR第12條。

⑦GDPR 第 83條。

⑧數據來源：199IT，http://www.199it.com/archives/685632.html。

⑨普華永道提供的調查結果顯示，92%的美國公司認為GDPR將成為最重要的數據保護措施。

⑩馮堅堅，胡科，蔣昕妍：《GDPR第2條和第3條(適用范圍)詳解》，北京市競天公誠律師事務所，2018年5月24日。