論歐盟《一般數(shù)據(jù)保護(hù)條例》及對我國的啟示

胡超南

廣東外語外貿(mào)大學(xué)歐洲研究中心，廣東 廣州 510420

一、《一般數(shù)據(jù)保護(hù)條例》出臺的背景

經(jīng)濟(jì)社會的發(fā)展和信息技術(shù)的飛速進(jìn)步不僅給人們帶來了生活的便利，也加重了人對相關(guān)技術(shù)和設(shè)備的依賴。用戶在使用智能手機(jī)和互聯(lián)網(wǎng)服務(wù)的同時，將不可避免地把相關(guān)的使用“痕跡”留在互聯(lián)網(wǎng)上?；ヂ?lián)網(wǎng)服務(wù)提供商在對用戶的數(shù)據(jù)進(jìn)行處理時，難免會濫用支配地位，侵犯個人隱私。生活中用戶的個人數(shù)據(jù)被販賣用于營銷、詐騙的案例已屢見不鮮。更有甚者，一旦海量的個人隱私數(shù)據(jù)被別有用心的外國政府部門利用，更將會對本國的安全造成極大威脅。無論是出于對個人隱私權(quán)的保護(hù)還是維護(hù)國家安全，在當(dāng)今社會加強保護(hù)個人隱私數(shù)據(jù)的立法工作都極有必要。早在1995年，歐盟就立法實施了《歐洲數(shù)據(jù)保護(hù)指令》，為歐盟成員國立法保護(hù)個人的數(shù)據(jù)建立了最低標(biāo)準(zhǔn)。隨著歐盟的擴(kuò)大和信息技術(shù)的不斷創(chuàng)新，歐盟在2016年4月頒布《一般數(shù)據(jù)保護(hù)條例》(簡稱GDPR)，旨在加強個人數(shù)據(jù)的保護(hù)，以實現(xiàn)一個自由、安全與正義之歐洲的目標(biāo)。

二、《一般數(shù)據(jù)保護(hù)條例》的主要特點

《一般數(shù)據(jù)保護(hù)條例》是在延續(xù)加強個人隱私數(shù)據(jù)保護(hù)基本思路的基礎(chǔ)上，擴(kuò)大并加強了九十年代指令的最新立法成果，原有的34條法律擴(kuò)展到99條，同時也增加了一些新規(guī)定、新權(quán)利，其主要特點有：

(一)條例的適用范圍擴(kuò)大化，明確其域外適用性

1995年《歐洲數(shù)據(jù)保護(hù)指令》用所在地因素來界定管轄權(quán)，只有機(jī)構(gòu)的所在地在歐盟，或者使用了歐盟內(nèi)的設(shè)施，其相關(guān)的數(shù)據(jù)問題才受到管轄。而新的《一般數(shù)據(jù)保護(hù)條例》第3條明確規(guī)定：“1.本條例適用于設(shè)立在歐盟境內(nèi)的控制者或處理者對于個人數(shù)據(jù)的處理，無論其處理行為是否發(fā)生在歐盟境內(nèi)。2.對于設(shè)在歐盟境外的控制者或處理者對歐盟境內(nèi)數(shù)據(jù)主體的個人數(shù)據(jù)進(jìn)行處理，如果涉及下列情況，則適用本條例：(a)向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論此項商品或服務(wù)是否需要數(shù)據(jù)主體向其支付對價；或(b)對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控。”比如對一家中國企業(yè)來說，對于其在歐盟境內(nèi)設(shè)立的分部，不管該公司進(jìn)行數(shù)據(jù)處理的行為是否位于歐盟，皆需合乎條例的相關(guān)規(guī)定。另外，如果一家位于中國的企業(yè)為向歐盟境內(nèi)的個體提供服務(wù)而處理相關(guān)的信息，也在GDPR的管轄范圍內(nèi)。今天的互聯(lián)網(wǎng)和手機(jī)APP服務(wù)幾乎是面向全世界開放的，只要其能夠被歐盟境內(nèi)的個人所訪問和使用，都有可能適用于GDPR。

(二)GDPR加強了對數(shù)據(jù)主體的保護(hù)

新的條例進(jìn)一步明確細(xì)化了數(shù)據(jù)主體的權(quán)利。如GDPR要求數(shù)據(jù)主體應(yīng)當(dāng)在充分知情的前提下同意數(shù)據(jù)控制者對數(shù)據(jù)信息的收集，數(shù)據(jù)主體的書面聲明同意必須是易理解的以及使用清楚、平實的文字。如果是涉及到未滿16周歲兒童的個人數(shù)據(jù)，必須獲得兒童監(jiān)護(hù)人的同意或授權(quán)。尤為重要的是，數(shù)據(jù)主體可以撤回其同意，但是撤回其同意的行為不應(yīng)損害之前的合法行為。但數(shù)據(jù)主體應(yīng)被告訴其撤回權(quán)以及對同意的撤回應(yīng)與作出同樣簡單。此外，數(shù)據(jù)主體還明確地?fù)碛兄闄?quán)、訪問權(quán)、反對權(quán)、限制處理權(quán)、被遺忘權(quán)以及數(shù)據(jù)可攜權(quán)等。其中被遺忘權(quán)規(guī)定數(shù)據(jù)主體有權(quán)要求控制者對其個人數(shù)據(jù)進(jìn)行刪除。以往數(shù)據(jù)控制者以技術(shù)問題或保障公眾知情權(quán)為借口，濫用其支配地位限制甚至侵害數(shù)據(jù)主體對個人數(shù)據(jù)的所有權(quán)，被遺忘權(quán)的確立改變了這一現(xiàn)狀，具有重要的進(jìn)步意義。

(三)大幅提高的違規(guī)處罰力度

對于違法行為極為嚴(yán)肅的處罰也是GDPR引起世界范圍內(nèi)法學(xué)家重視的重要因素。按照條例規(guī)定，可對違法行為進(jìn)行高額的處罰。根據(jù)違法對象身份與違法程度，有兩種不同的罰金設(shè)定：(1)1000萬歐元罰款或違法主體為企業(yè)時，處以最高1000萬歐元或上一年度全球年營業(yè)總額的2%的罰款，兩者取其高。(2)2000萬歐元的罰款或違法主體是企業(yè)時，處以最高2000萬歐元或上一年度全球年營業(yè)總額的4%的罰款，兩者取其高。由于使用全球年營業(yè)額為基準(zhǔn)，并且以其較高者作為罰金額，因此條例對如谷歌、微軟等大型跨國公司可謂毫不留情。

三、《一般數(shù)據(jù)保護(hù)條例》對我國的啟示

(一)中資企業(yè)應(yīng)進(jìn)行相關(guān)法律的合規(guī)工作

作為中國企業(yè)來說，有必要注意的是：在一些細(xì)分市場擁有涉歐業(yè)務(wù)，或許在歐盟已經(jīng)是行業(yè)翹楚但還沒有進(jìn)行《一般數(shù)據(jù)保護(hù)條例》法律風(fēng)險消除的中資企業(yè)。這些企業(yè)的本地競爭者在條例合規(guī)方面可能占據(jù)優(yōu)勢。此時，還沒進(jìn)行合規(guī)的中資企業(yè)則很有可能成為歐盟法律所制裁的對象。成員國政府出于履行司法職責(zé)或保護(hù)本國企業(yè)的角度，也有可能啟動相關(guān)調(diào)查，未合規(guī)的中資企業(yè)將面臨高額行政罰款的法律風(fēng)險。近年來中興在美國被巨額罰款的案例警示企業(yè)只能走合乎當(dāng)?shù)胤梢?guī)范的道路。當(dāng)然合乎GDPR要求也并非易事，相應(yīng)的人力和物力投入也并不小。在我國進(jìn)行一帶一路建設(shè)的大背景下，再加上信息技術(shù)、電子商務(wù)等本身就是我國的優(yōu)勢產(chǎn)業(yè)，中資企業(yè)近年來在海外，尤其是歐盟境內(nèi)頻頻發(fā)力。《一般數(shù)據(jù)保護(hù)條例》出臺后，在歐盟的中資企業(yè)毫無疑問是要遵守的。中資企業(yè)要及時敲響警鐘，加強保護(hù)用戶數(shù)據(jù)信息，以促使自身的行為符合條例的要求。

(二)我國應(yīng)加強個人數(shù)據(jù)保護(hù)方面的立法

我國是人口大國，同時也是信息產(chǎn)業(yè)大國，近年來個人數(shù)據(jù)相關(guān)權(quán)利受侵害案件的頻發(fā)已經(jīng)為我們敲響了加強相關(guān)立法的警鐘。目前關(guān)于個人數(shù)據(jù)保護(hù)的立法模式有兩種：歐盟的統(tǒng)一立法和美國的分散立法。雖然兩者之間有著不同的特點，但根據(jù)中國的國情，應(yīng)選擇統(tǒng)一立法模式，制定統(tǒng)一的《個人數(shù)據(jù)保護(hù)法》。《個人數(shù)據(jù)保護(hù)法》首先要強化對數(shù)據(jù)主體的保護(hù)，要清晰地界定數(shù)據(jù)主體的同意要件，保護(hù)其可撤銷權(quán)。第二，要明確數(shù)據(jù)控制者和處理者的義務(wù)，壓縮其不合理的支配空間，不能任由數(shù)據(jù)控制者和處理者肆意支配數(shù)據(jù)主體信息。第三，把握好我國現(xiàn)階段的基本國情，歐盟數(shù)據(jù)保護(hù)條例有其自身的特殊性，不可以一味地照搬照抄，要在保護(hù)個人信息數(shù)據(jù)和發(fā)展信息產(chǎn)業(yè)中找到平衡。

(三)增強個人隱私保護(hù)意識，避免個人隱私的泄露

今天的社會生活中，每個人都離不開互聯(lián)網(wǎng)和信息處理設(shè)備，這是我們不得不承認(rèn)的一個事實。但是離不開互聯(lián)網(wǎng)和相關(guān)設(shè)備并不意味者我們就只能任由自身的隱私數(shù)據(jù)被不法使用。在生活中，我們可以采用一些方式減少自己隱私數(shù)據(jù)被泄露的風(fēng)險，比如不要隨便把大量自身數(shù)據(jù)信息上傳到手機(jī)的云空間，也不要在一些不知名網(wǎng)站隨便注冊個人賬戶等。另外，當(dāng)自身隱私數(shù)據(jù)被不法者放到網(wǎng)上或被濫用時，我們要及時要求相關(guān)網(wǎng)站撤下個人隱私數(shù)據(jù)，也要勇敢地拿起法律武器同違法行為作斗爭。同時，嚴(yán)于律己，尊重他人的隱私權(quán)，不隨意窺探、傳播他人隱私數(shù)據(jù)，自覺地為保護(hù)個人數(shù)據(jù)信息做貢獻(xiàn)，良好的社會秩序需要我們每個人的努力和參與。

四、結(jié)語

隨著《一般數(shù)據(jù)保護(hù)條例》于2018年5月25日的生效，這一條例受到世界的關(guān)注，這不僅是因為該條例設(shè)定了嚴(yán)厲的處罰標(biāo)準(zhǔn)，而且因為全世界范圍內(nèi)面向歐盟公民服務(wù)的企業(yè)都有可能受其管轄?！兑话銛?shù)據(jù)保護(hù)條例》讓歐盟在個人信息保護(hù)立法上走在了前列，然而《一般數(shù)據(jù)保護(hù)條例》不可能是完美的，所產(chǎn)生的影響也不可能僅僅是加強了個人數(shù)據(jù)信息保護(hù)，據(jù)美國國家經(jīng)濟(jì)研究局近期發(fā)表的文章《GDPR對科技創(chuàng)業(yè)投資的短期影響》表示，短期來看GDPR對歐洲科技創(chuàng)業(yè)投資者帶來了不利影響。如何去看待和評價GDPR，還需要長遠(yuǎn)的和司法實踐的研究視角。