歐盟GDPR對我國涉歐企業的合規挑戰及對策

摘 要：2018年5月25日歐盟GDPR正式在歐盟各成員國間實施。由于GDPR對個人信息的保護處于領先地位，適用范圍廣，并且懲罰措施嚴厲，該條例的實施必然會影響我國涉歐企業的發展。在闡述GDPR設立背景和主要內容的基礎上，進一步分析GDPR對我國涉歐企業的影響：我國涉歐企業將面臨嚴格的管轄、加重隱私安全、成本提高、獲取個人數據難度大等一系列問題。在此基礎上，通過提出相應措施以促進我國企業合規及個人信息保護制度的建立。

關鍵詞：GDPR;被遺忘權;企業合規

2012年11月，歐盟委員會制定了《通用數據保護條例》（General Data Protection Regulation， 以下簡稱GDPR）。2016年4月14日，歐盟通過GDPR。2018年5月25日，GDPR法規在歐盟28個成員國間強制實施。GDPR確保歐盟公民、居民在對其個人數據享有充分自決權的基礎上，建立了一個統一的、高水平的個人數據保護體系。

由于GDPR具有直接適用的效力，無需進行國內法的轉化，消除了不同成員國間因不同解釋而造成的分歧，企業不再需要與多國數據主管機構進行交涉，只需與其主營業地所在國的數據保護主管機構溝通即可，避免了因數據保護執法上的混亂而造成的成本提高。在挑戰與機遇并存的基礎上，必將對未合規經營的企業帶來不利影響。因此，中國涉歐企業需要在熟悉GDPR的基礎上，主動采取有效措施以做到企業合規，減少風險。

一、歐盟GDPR的設立背景

1993年11月1日，隨著《馬斯特里赫特條約》正式生效，歐盟正式成立。在1995年10月24日，歐盟通過《關于涉及個人數據處理的個人保護以及此類數據自由流動的95/46/EC指令》（以下簡稱《95指令》）。《95指令》是歐盟成員國保護個人數據的最低標準，規定了對個人數據保護的一般原則、各方主體的權利與義務，規定了法律責任，規定了跨境數據傳輸制度。但根據歐盟法律規定，該指令無法直接適用于歐盟成員國，需要轉化為國內法才可以適用。各成員國將該指令轉化為國內法時，所做出的解釋不同，由此造成對個人數據保護的復雜性、不確定性以及成本的增加。

由于《95指令》的條文需要成員國轉化為國內法，成員國在立法、執法過程中存在較大的解釋空間，以及隨著信息技術發展迅速，《95指令》對個人信息保護出現了挑戰，不同成員國對個人數據保護存在分歧。此時，歐盟為了建立統一數據市場，加強對個人數據的保護以及數據的自由流通。2012年1月25日，歐洲議會公布了《通用數據保護條例》草案，旨在歐盟成員國內建立統一的個人信息保護立法，2018年5月25日GDPR正式實施。

通過法律層級的轉變，由“指令”轉變為“條例”， GDPR的法律效力不需要在成員國進行轉化，具有直接適用的法律約束力，統一了成員國之間的數據保護規定。

二、歐盟GDPR的內容概述

GDPR統一了歐盟范圍內個人數據保護立法的統一，以維護數據流動的安全與高效為目的，與《95指令》相比，GDPR的內容主要體現在以下幾個方面：

（一）GDPR擴大了個人數據的范圍和原則

根據GDPR定義，個人數據是指已識別的或可識別的自然人（數據主體）的信息。數據主體是指：可以通過信息直接或間接確認的自然人，可以通過姓名、身份證號碼、定位數據、在線身份等識別數據，或是通過參照該自然人的一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素予以識別。

GDPR明確提出對個人敏感數據的高度保護，專門提出了“特殊類型個人數據”。該條例對個人數據進行了更寬泛的解釋，如：網絡數據包括IP地址和Cookie，生物識別數據包括指紋等。同時，在判定某一數據能否識別自然人，要將合理范圍內的技術、非技術手段，以及其他信息之間的關系等因素都考慮進去。

（二）擴大了適用范圍

GDPR為加強對歐盟公民數據的保護，將適用范圍擴大。一方面，數據控制者和處理者在歐盟設立機構，無論數據處理的行為是否發生在歐盟;另一方面，數據控制者和處理者沒有在歐盟設立機構，但涉及以下處理行為：向歐盟的數據主體提供商品或服務，或對歐盟數據主體在歐盟發生的行為進行監控都要受到GDPR的管制。其中“向歐盟內的數據主體提供商品或服務”包括使用歐盟語言、貨幣、產品的定制;“對數據主體發生在歐盟的行為進行監控”包括分析個人偏好、行為模式、監控數據主體在線創建的資料。

（三）數據主體權利擴大

GDPR在《95指令》的基礎上，規定了數據主體的權利主要包括知情權、訪問權、反對權、限制處理權、反自動化決策（包括畫像）權、數據被遺忘權（刪除權）、數據可攜帶權。

（1）新增“被遺忘權”（刪除權）

GDPR在《95指令》的基礎上增加了被遺忘權。被遺忘權是指：當個人數據不再基于合法目的被使用，個人有權要求永久刪除這些數據[2]。可以在數據主體撤回同意、數據控制者非法處理數據的情形下使用被遺忘權。并且在數據控制者公開個人數據的情況下，要求控制者對公開傳播的數據負責，以及數據控制者有通知其他第三方停止使用、刪除數據的義務。

（2）新增“數據可攜帶權”

數據可攜帶權是一種數據轉移權，GDPR規定數據主體有權要求數據控制者保障數據的系統性，并以機器可讀的形式向數據主體提供個人數據，或者向其他相同或類似服務商提供數據。該權利使個人數據在不同數據控制者之間更容易轉移，體現公民信息的自決權。例如，房東可以將其房屋信息導出給保險公司，從而為房屋投保。

（3）延展“知情權”及“訪問權”

GDPR擴大了數據主體對于數據控制者處理其個人數據的知情權及訪問權。數據主體有權在數據控制者獲取其個人數據時或者數據控制者從第三方獲取其個人數據時，從數據控制者獲得包括個人數據來源、處理的目的、控制者身份等相關信息，以及有權糾正及限制數據的處理行為。同時，在其請求不過量的情況下，有權免費獲得其個人數據的副本，以及訪問個人數據的權利。

（4）擴大對個人數據的同意要件

數據主體的同意是指數據主體自愿表達出在對其個人數據處理時明確的、具體的同意。GDPR在此基礎上要求同意必須以易于理解且與其他事項顯著區分的形式做出，數據主體也享有隨時撤回的權利。敏感數據的處理必須要有明確的同意，同意表示模糊或一次同意多次使用被視為無效。并且，企業需要以通俗易懂的語言表達，讓對方選擇是否同意處理其個人數據。

（四）加重數據控制者和處理者的責任

GDPR對于數據控制者及處理者的責任有所加重，明確規定了企業的數據保護義務，主要通過進行數據保護影響評估、數據泄露報告及通知、設立數據保護官（Data Protection Officer，簡稱DPO）來降低風險，以督促企業合規。

（五）完善跨境數據傳輸規則

GDPR在保護自然人權利的總體原則基礎上，設置了跨境流動的條件，主要包括以下三方面：（1）在對第三國數據保護水平“充分認定”的基礎上進行傳輸，并對各國是否滿足要求進行監督，也就是說歐盟公民的個人數據不得轉移至低于歐盟保護水平的國家;（2）GDPR明確指出在受到適當保障的情況下個人數據可向第三國或國際組織傳輸;（3）以國際條約為基礎的法院判決或行政機構決定所涉及個人數據傳輸，以及允許傳輸的特殊例外情況。

三、GDPR對我國涉歐企業帶來的風險與挑戰

GDPR對企業收集、使用數據全過程進行了全方位規定，增加企業合規的難度，給我國涉歐企業帶來了風險與挑戰。

（一）我國涉歐企業面臨更廣泛的管轄

根據GDPR的管轄范圍，任何收集、傳輸、存儲或處理涉及歐盟成員國個人信息的機構、組織都要受GDPR的約束。我國企業即使沒有在歐盟境內設立任何機構，但只要涉及歐盟成員國的語言、貨幣、域名以及向歐盟境內投放廣告、向歐盟境內遞送貨物，都必須受到其監管，GDPR的適用范圍形成了長臂管轄。因此，對我國企業而言，不論銀行、保險、金融、快遞等傳統行業，還是電子商務、云服務等新型領域，只要涉及歐盟境內個人數據，都必須要遵守GDPR的規定。我國的涉歐企業，如：阿里巴巴、騰訊、小米必定被納入GDPR的適用范圍[3]。同時，不合規的涉歐企業將面臨巨大的處罰力度，我國涉歐企業只要接觸歐盟成員國的個人數據，都要受到相應監管，面臨巨大挑戰。

（二）加重中國涉歐企業的隱私安全

GDPR為所有企業制定了更高的隱私保護標準，引入了從設計著手保護隱私和默認保護隱私兩項原則，要求建立數據從收集到使用的“全程隱私” 制度，要求企業在產品和服務的設計過程中就要考慮數據與隱私的保護。對于我國涉歐企業而言，需要進一步審視我國企業現存的隱私保護政策，以做到企業合規。2018年5月25日，微信海外版、新浪微博國際版以及阿里巴巴全球速賣通紛紛向歐洲用戶更新隱私政策，請求重新授權，騰訊QQ也于2018年5月23日更新隱私政策，海爾、華為在歐洲有較大市場份額的企業也早已雇傭專門團隊應對GDPR[4]。

（三）GDPR將導致我國互聯網及新興產業在歐盟發展速度減緩

由于GDPR強調個人信息自決權，強調數據主體自我決定個人數據的收集、儲存、處理以及使用。雖然我國《憲法》未明確規定信息自決權，但根據《憲法》第37條對人生自由的規定和第38條人格尊嚴條款可以解釋信息自決權作為公民的一項基本權利而存在。第39條住宅不受侵犯以及第40條保護通信自由和通信秘密可以作為憲法保護的間接性依據。作為網絡時代企業核心內容的個人信息，在數據主體擁有信息自決權的基礎上，必然會導致企業收集、使用、處理個人信息的難度增加，導致我國涉歐企業發展減緩。

（1）合規成本的提高減緩我國涉歐企業進入歐盟市場的步伐。GDPR法律體系龐雜，涉及范圍較廣，企業合規難度加大，高強度的個人數據保護規則必然會給企業造成負擔。由此可見，GDPR的實施造成了我國企業進入歐盟市場的法律壁壘。Veritas指出平均每家企業在GDPR合規上所付出的成本達到130萬歐元，約1000萬人民幣，巨大的成本會迫使企業做出放棄歐盟市場的可能。如小米生態鏈企業的YeeLight智能燈泡產品，因無法趕在GDPR生效前滿足合規需求，暫停其服務。

（2）企業組織結構變化。GDPR要求數據控制者、數據處理者設立數據保護官（Data Protection Officer， DPO），只要企業的核心業務涉及處理大規模的歐盟公民數據、處理特殊類別的數據或犯罪記錄都要設立DPO，其中核心業務可以參考企業的性質、營業范圍、商業目的等因素來確定。DPO需要具備專門的數據保護知識，需要向監管機構報備，并有權監視組織的數據處理。當數據泄漏侵害自然人權益，應通知數據保護監管部門;當數據泄漏會導致數據主體權益處于高風險，應當通知數據主體，改變企業的組織形式，這無疑會增加企業的管理成本。

（四）企業獲取個人數據難度增加

GDPR賦予數據主體充分的“限制處理權限”的同時，弱化了企業對個人數據的控制能力。GDPR強化個人信息自決權，增加企業獲取個人信息的難度，企業控制個人數據的能力降低，處理數據所需要的成本增加。

主體“同意規則”使獲取個人數據的難度增加，一般情況下處理數據需要征得用戶同意，且同意必須以自由意愿作出，并作出明確的指示，同意范圍包括基于同一目的或同一類目的。當數據處理活動存在不同目的時，每個目的都必須征得同意，禁止通過一項協議獲取用戶的所有同意，增加企業獲取信息的難度。同時GDPR的同意規則在企業與第三方共享數據時，要征得數據主體的同意，除非基于合同履行之必要或為了保護高于用戶隱私權的公共利益和合法利益。

（五）規范沖突導致企業合規困難

2017年6月1日，我國首部網絡安全綜合性立法《網絡安全法》（以下簡稱“網安法”）實施。其中，個人數據保護作為《網安法》的重要內容，標志著個人數據保護制度不斷完善，確立了我國網絡安全法律制度的基本框架。同時鑒于GDPR所確定的域外效力，如果一個企業既在我國境內有著數據處理行為，同時也向歐盟境內提供商品或服務，則需同時遵守《網安法》和GDPR。

我國《網安法》以屬地管轄為基本原則，相比之下，GDPR采用了屬地、屬人、保護的長臂管轄原則，管轄的依據不限于業務機構所在地或數據處理行為發生地，而是以數據是否來源于歐盟境內作為管轄權的重要依據。同時對于受GDPR管轄的在我國境內的企業，歐盟的數據監管機構擁有調查權，可以要求企業提供其履行職責所需要的信息，而這與我國《網安法》第37條個人數據和重要數據出境制度的實施，以及數據主權相沖突。在此背景下，相關企業將面臨合規困境。涉歐企業需要同時滿足GDPR與《網安法》兩部法律的合規要求，避免重復投入、降低合規成本成為涉歐企業亟需應對的問題。

四、為我國企業合規提供建議

GDPR生效后可能成為未來主導世界數據保護的國際治理模式之一，因此，我國有必要針對其規定采取一系列措施。一方面我國涉歐企業應當做好合規審查，以符合GDPR的要求;另一方面，我國相關政府部門應加強管理，制定個人信息保護相關法律法規。

（一）界定企業在GDPR中的法律地位

中國涉歐企業在充分了解自身所儲存數據的基礎上，做到認真管理，并對相關數據進行安全保護。企業首先要認清自己的法律地位，認清自己是數據處理方還是數據控制方。GDPR的最重要的變化之一，便是對數據處理方賦予了新的合規要求，數據處理方在超出被允許的范圍內處理數據，會被認定為數據控制方，履行與數據控制方相同的責任。因此，企業弄清自己是數據處理方或者數據控制方也有一定的必要性。

（二）通過第三方機構評估公司的隱私保護合規現狀

在企業不具備開展GDPR合規測評能力的時候，可以通過第三方專業安全機構進行合規分析，分析企業在GDPR要求方面處于什么位置，了解企業擁有的數據資產，找出企業的漏洞加以改進，以及提出保護數據安全的措施。以及風險評估系統在我國對外交易中非常重要，可以通過風險評估，對企業進行有效控制，減少資金的損失。因此，我國企業可加大建立健全的風險評估系統的支持力度，保障中國企業利益。

（三）推動涉歐企業建立合規制度

中國企業涉及歐盟業務，應提升企業總體對合規的重視程度。

（1）企業調整自身業務狀況

一方面，對于員工而言，加大對內部員工的培訓，確保相關人員嚴格執行隱私保護制度中的規定。另一方面，企業需要對已經收集到的數據進一步處理，刪除不合規的數據，避免數據的泄露。了解企業所擁有的個人數據，保護當事人隱私，完善對已儲存個人資料的保護，降低因個人資料不當處理所引發的巨額罰款。

（2）完善數據主體的權利

GDPR賦予數據主體一系列權利，如果存在對這些權利保護不足或侵犯會造成違法，可能會面臨歐盟監管機構巨額的罰款，在賦予數據主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利的同時，還需符合GDPR的要求。

（3）完善數據處理機制

確保數據處理符合GDPR的基本原則，提高數據處理過程中的安全性，并對個人數據處理過程進行記錄。必要時任命數據保護官，同時在數據泄露后，及時報告處理，不斷完善現有的數據保護機制，減少企業的不合規風險。

（四）建立個人信息保護體系

（1）建立個人信息保護法

我國目前還未有專門的個人信息保護法，但在《網安法》下規定了個人信息保護。個人信息泄漏事件頻繁發生，制定統一的個人信息保護法，明確規范企業收集和使用個人數據的流程，通過建立明確的個人信息保護政策為我國互聯網等新興產業指引方向。

（2）在我國國情的基礎上，建立國內數據分級管理制度

對特定行業制定不同的規范，對敏感數據設立相應的制度，加強保護力度。在依賴立法的同時，還需結合網絡用戶、行業協會、網絡運營商來構建完整的個人信息保護體系。

五、結語

GDPR對個人隱私保護及監管達到了前所未有的高度，對企業而言既是挑戰也是機遇，企業應當采取合適的防范措施，從制度、流程和技術要求等方面完善，加強與歐盟執法部門的協調與交流，做到企業合規。同時，為順應國際發展趨勢，也應制定具有中國特色的個人信息保護制度，完善我國對個人信息的保護立法。

參考文獻

[1] 王融.大數據時代：數據保護與流動規則[M].北京：人民郵電出版社，2017：158.

[2] 連志英.大數據時代的被遺忘權[J].圖書館建設，2015（02）：49-53.

[3] 田貴生.解析GDPR及對中國涉歐企業的影響[J].對外經貿實務，2018（07）：46-47.

[4] 王孔祥.GDPR對互聯網企業的影響[J].中國信息安全，2018（07）：46.

[5] 郭戎晉.GDPR下互聯網企業的機遇與挑戰[J].信息安全與通信保密，2018（08）：19.

[6] 魯澤霖.歐盟GDPR實施對我國的影響[J].信息通信技術與政策，2018（08）：86.

[7] 段利艷，王志輝，周靜麗.歐盟GDPR法規對企業的影響及其對策分析[J].中國質量與標準導報，2018（04）：60.

[8] 胡文華.沖擊與應對：GDPR與《網絡安全法》比較視野下的企業合規[J].中國信息安全，2018（07）：78.

[9] 劉權.最嚴數據法律將如何影響數字經濟企業[J].中國工程咨詢，2018（07）：110-111.

作者簡介：王蘇丹（1994- ），女，漢族，江蘇人，南京財經大學在讀研究生，研究方向：國際法。