GDPR影響下我國涉歐企業的數據合規路徑

鐘靈

摘 要：歐盟正式頒布實施《一般數據保護條例》（General Data Protection Regulation，GDPR）至今，各成員國企業在其影響下已紛紛采取措施適應GDPR的合規要求，但還是面臨著難以跟進監管要求、合規成本高昂、違規成本高昂等巨大挑戰。GDPR基于其寬泛的管轄權，也給我國涉歐企業帶來了數據合規挑戰。面對這一挑戰，我國涉歐企業應將其視為機遇而非負擔，積極構建數據合規路徑，提升企業的核心競爭力。基于此，主要從以下幾個方面構建數據合規之路：一是構建成熟的數據合規組織體系，二是建立完備的數據合規防范體系，三是形成健全的數據風險應對體系，四是積極運用智能化方式推進數據合規建設。

關鍵詞：GDPR;涉歐企業;數據合規路徑

中圖分類號：DF92 ? ? ? ?文獻標志碼：A ? ? ?文章編號：1673-291X（2020）21-0166-02

在當今的大數據時代，數據已經成為一種寶貴的資源，國際組織、各國政府管理部門高度重視完善自身的數據保護框架，企業也在不斷增強適應數據規則的能力。2018年5月25日，歐盟正式頒布實施堪稱“史上最嚴數據保護條例”的《一般數據保護條例》（General Data Protection Regulation，GDPR），歐盟各成員國企業在其影響下已紛紛構建起數據合規路徑。由于GDPR賦予數據監管部門寬泛的管轄權，我國涉歐企業也受其約束和影響。隨著我國與歐盟間的業務不斷擴大，數據合規的需求也不斷增加。因此，我國涉歐企業構建數據合規之路具有重大戰略意義，一方面有利于促進涉歐企業的全球化發展，另一方面有利于涉歐企業規避數據風險，從而提升企業的核心競爭力。

一、GDPR中企業數據合規的相關規定

1.數據控制者、處理者義務規則。根據GDPR第4條的規定，控制者是指能夠單獨或聯合決定個人數據的處理目的及方法的自然人、法人、公共機構、行政機關或者非法人組織;處理者是指接受控制者委托、代表控制者處理個人數據的自然人、法人、公共機構、行政機關或者非法人組織。GDPR的數據控制者、處理者義務規則對企業的數據合規進行了規制，一定程度上加重了企業的數據合規義務和負擔，主要體現在以下幾個方面：第一，數據處理活動記錄義務。企業應依職責保存并向數據監管機構提供數據處理活動的記錄。第二，個人數據泄露的報告和告知義務。發生個人數據泄露時，企業應在規定時間內向數據監管機構報告，并及時通知數據主體。第三，數據保護影響評估和事前咨詢義務。企業在處理數據前，應就自身預想的保護個人數據的操作方法及影響做出評估，根據評估結果體現出的數據風險高低決定是否應咨詢數據監管機構。第四，設置數據保護官（Data Protection Officer，DPO）義務。GDPR規定企業應設置DPO，并詳細規定了DPO的地位及任務。

2.數據跨境傳輸規則。GDPR對于個人數據向第三國或國際組織的傳輸的規定主要集中于第五章，其中可能影響企業數據合規的主要有以下幾個方面的規定：首先，基于充分性決議傳輸數據。根據GDPR第45條的規定，除特殊情況外，第三國或國際組織要接收來自歐盟境內的個人數據傳輸需要經歐盟認證確定“具有充分性保護”。因此，若企業所在國家未獲歐盟充分性決議認可，企業應通過滿足GDPR的其他條款進行合法的數據跨境傳輸。其次，數據傳輸受到適當保障。在缺乏GDPR第45條第3款規定條件的情況下，僅當在企業提供適當的保障措施，且存在救濟數據主體權利的有效法律措施的情況下，企業才能向第三國或國際組織傳輸數據。最后，約束性公司規則（Binding Cooperate Rules，BCRs）。BCRs是監管機構為使數據跨境傳輸合法化而設立的一種內部公司規則，GDPR對BCRs施加了嚴格的要求。

3.巨額行政處罰規則。為了保障數據保護的權利，GDPR的一個顯著特征是對違法企業進行巨額行政處罰，罰款分為以下兩檔：一是處以最高達1 000萬歐元的行政罰款，或處以企業上一財政年度全球年營業總額的2%以下的行政罰款，兩者中以較高數額為準;二是處以最高達2 000萬歐元的行政罰款，或處以企業上一財政年度全球年營業總額的4%以下的行政罰款，兩者中以較高數額為準。

4.實施現狀及評價。GDPR正式實施至今，絕大多數成員國已經根據GDPR更新了國家數據保護法律，各國企業也紛紛隨之建立數據合規路徑。湯森路透（Thomson Reuters）的調查數據顯示，79%的企業要么沒有滿足GDPR的監管要求，要么在跟進規則方面遇到困難;91%的企業表示知道GDPR，但其中1/4表示自己沒有熟悉了解其規定;這些企業在數據保護方面的年平均支出為130萬美元，預計合規成本還將不斷提高[1]。據中興通訊數據保護合規部不完全統計，截至2019年9月24日，22家歐盟成員國的數據保護機構對87件案件共做出 373 650 857 歐元的行政處罰決定[2]。處罰力度之大前所未有，為企業合規敲響了警鐘。

GDPR的最終效果還需要時間來檢驗，但確定性的影響則是GDPR的實施已經給相關企業的合規性帶來了極大挑戰。隨著未來GDPR及其配套適用規范、解釋的更新，隨著歐盟成員國乃至受GDPR影響的非成員國根據GDPR做出的法律法規的更新，企業面臨的挑戰將會只增不減。企業應直面挑戰，構建合理的數據合規路徑，并及時跟蹤數據保護法律法規框架日益擴展的動態。將GDPR視為機遇而非負擔，會為企業帶來更多可能性。

二、GDPR下我國涉歐企業面臨的數據合規挑戰

1.GDPR與《網絡安全法》存在一定的沖突。我國對數據合規規定得較為詳盡的法律是《網絡安全法》（以下簡稱“網安法”），我國涉歐企業面臨著GDPR和網安法的雙重管轄，而GDPR與《網絡安全法》間存在一定的法律沖突。根據GDPR第58條規定，歐盟的數據監管機構對涉歐企業享有調查權，有權要求涉歐企業提供其履職所需的信息。而我國網安法第37條規定，關鍵信息基礎設施的運營者因業務需要確需向境外提供個人信息和重要數據的，應當進行安全評估。由此可見，我國涉歐企業在向歐盟的數據監管機構提供有關信息時，可能會受到“安全評估”的阻礙，甚至不能向歐盟的數據監管機構提供調查所需信息[3]。