歐盟GDPR對中歐數字經濟合作的影響及應對

趙盈盈

摘 要：歐盟《通用數據保護條例》（簡稱GDPR）作為一項更透明、更全面的數據隱私保護法案，被稱為史上最嚴格的跨境數據隱私保護法，在數據遺忘權、數據保護職能、行政罰款與法律域外效力方面進行較大變革。受此影響，中歐數字經濟合作面臨企業跨境合作利潤顯著降低、企業數據應用風險加大、數據主權歸屬矛盾日益突出等問題。為應對歐盟數據隱私新規帶來的負面影響，中國應推進《全球數據安全倡議》應用、設立行業自律機制、積極申請加入區域性隱私規則體系、搭建多方安全計算與區塊鏈新技術架構、完善企業應對規則流程。

關鍵詞：歐盟;GDPR;數字企業;數據保護

2019年，《中國數字經濟發展白皮書（2020年）》信息顯示，數字經濟已成為國內第二大出口行業。其增加值規模高達35.8萬億元，占GDP比重高達36.2%，在中國經濟發展與對外貿易中的地位愈發凸顯。2020年8月25日至9月1日，中國國務委員兼外交部長王毅應邀正式訪問了法國、意大利、挪威、德國與荷蘭五國，各方以“加強中歐綠色和數字經濟領域合作”為主題，展開詳細對接。且在2020年11月11日成功舉辦的第十五屆中國-歐盟投資貿易科技合作洽談會上，中歐雙邊指出將繼續致力于5G技術與智慧城市發展、投資便利化與項目對接匹配等方面深度合作。但自2018年5月25日，歐盟GDPR的頒布與實施，為雙邊數字經濟合作設置諸多門檻，加大了“涉歐”企業業務開展的難度。目前GDPR在歐盟28個成員國內部廣泛運用，已成為當下數據隱私保護的基本法律，效力僅次于憲法，這對于中歐數字經濟合作無疑是一大阻礙因素。

一、 中歐數字經濟合作概況

（一）合作領域

在中歐雙邊深化數字經濟合作關系過程中，合作領域逐漸增多，主要包括云計算、5G技術、在線教育與人工智能等方面。就云計算領域，中歐一直致力于“歐洲云”項目，雙邊計劃在德國和法國建立數字經濟重點項目合作示范區，并形成業務覆蓋全歐盟的合作經濟區。就5G領域，2016年，中國與歐盟聯合啟動了“中歐物聯網與5G”合作項目，開啟5G領域合作。且中國在2020年6-10月，向歐盟成員國收集有關5G安全監管措施，完成歐盟委員會5G安全統一措施建議，繼續深化該領域合作。就在線教育領域，中歐商業在線一直是中國與歐盟合作舉辦的在線教育平臺，除了為個人提供高質量管理學習經驗，還幫助企業提供在線與移動學習方案。如京東集團、中國銀聯與通用汽車等知名企業都在該平臺開展在線培訓，為企業高維進階提供新平臺，也為雙邊數字經濟合作提供基本渠道。就人工智能領域，2020年9月28日，無錫市正式成立嘉興科技城中歐科技創新園，建立集孵化、引進與落戶產業化發展項目，為雙邊入駐企業提供技術平臺、產業資源與孵化加速等全方位服務，打造形成引領性創業孵化中心。

（二）合作方式

中歐雙邊以數字經濟合作為切入點，采用展覽會、線上洽談會與建立合作中心方式，持續深化合作關系。就展覽會方面，2020年10月28日，中國國際貿易促進委員會、國際商會與服務貿易協會聯合承辦2020年中歐國際貿易數字展覽會，吸引共1200余家參展企業和歐洲13000多名高品質專業觀眾在線參加。就線上洽談會方面，如在2020年10-11月，中歐雙邊成功舉辦了中歐數字貿易周線上系列洽談會紡織服裝專場、醫療物資專場、汽摩配專場等6場線上洽談會，指出通過互聯網與云技術等創新模式，支持中歐雙邊深化數字經濟合作。就合作中心方面，已經投入3年的中國—歐洲中心正逐步以“對歐商貿中心、交往中心、服務中心”為核心功能，采用“線上、線下、自助”三種方式，為雙邊涉外企業與跨國機構提供“一站式”服務。截至到2020年11月，德國巴伐利亞州成都代表處、挪威Opera中國區總部、法國Sigfox物聯網公司、亞馬遜國際創新中心、英國緯圖全球亞太總部、德國簽證中心等170余家國際知名企業與機構已紛紛入駐，促使中歐雙邊在數字經濟合作實現深度對接。

二、 歐盟GDPR內容變化

（一）提出并確定數據遺忘權

GDPR是歐盟1995年出臺《個人數據保護指令》的延伸。《個人數據保護指令》并未提及數據遺忘權相關規定。GDPR首次提出數據遺忘權，并將該權利定義為：若用戶不同意數據控制商的數據處理方式，有權將自身數據攜帶至其他控制商的權利。這一權利體現了歐盟對于個人數據自主權的維護。同時，數據遺忘權對于用戶數據的維護并不是偏袒于單個用戶，實質上是平衡數據主體與使用者。針對數據使用范圍，數據遺忘權設定范圍限定于用戶本人提供內容，將控制商自主收集的數據排除在外;針對數據適用范圍，用戶可攜帶的數據規定只限于合同履約部分，以及用戶本人同意部分。且這一權利應用主要是為了將用戶個人數據合理使用，最大化發揮數據用能效能，為更多主體提供信息服務。

（二）強化數據應用保護

在《個人數據保護指令》要求下，一旦各國有關法律指令出現制度差異問題，將弱化數據保護職能。也就是說，《個人數據保護指令》并未強調不同國別法律差異的跨境數據保護方法。而GDPR為保障數據應用安全，直接統一了各國法律制度，重新進行規定。一方面，要求超250人的企業必須設立數據保護官（DPO），并指出DPO作為獨立職位可專門負責制訂企業隱私政策，并可直接向最高領導匯報工作。另一方面，GDPR將數據保護影響評估（DPIA）納入法律，要求企業遇到以下情況時必須進行數據保護影響評估。第一，在自動化處理基礎上，開展與用戶有關的系統性與全面性評估。第二，大規模處理特定類型數據，或者是與用戶定罪、違法相關的個人數據。第三，大規模、系統性地監控公眾可以訪問的個別空間。

（三）行政罰款顯著增加

《個人數據保護指令》只是針對雙邊跨境數據合作過程進行監管，并未保障全過程數據安全。而GDPR除了合作過程中的數據監管，還采取事后問責機制，主要針對數據泄露問題進行追責。其對于違法行為進行如下規定：第一，違法行為對于數據主體并沒有造成較大影響，可以訓誡方式代替罰款;第二，對于默認數據保護行為，但是卻沒有執行數據保護措施的行為，采取最高1000萬歐元，或者企業上一財年營業總額2%的罰款，二者以較高金額為主;第三，對于數據隱私權造成嚴重損害，且情節嚴重的侵權行為，處以最高2000萬歐元，或者企業上一財年營業額4%的罰款，以高金額為主。這種事后處罰條例較之前法案更為嚴格，促使企業數據使用更為規范。

（四）法律域外效力進一步擴張

最初，歐盟嚴格按照《個人數據保護指令》，在數據保護時遵循屬地原則，后來擴展至屬地、屬人原則。而GDPR要求所有歐盟境內數據處理與數據控制機構的應用數據行為不論是否發生在歐盟境內，都需要遵守GDPR。部分在歐盟境外設立的公司如果向歐盟個人進行監控，或者給歐盟境內個人提供服務和商品的行為，必須遵守GDPR。這一要求隱含意義在于，GDPR法律效力與監管范圍已經覆蓋全世界范圍，這也是其具備域外效力的原因。

三、歐盟GDPR對中歐數字經濟合作的影響

（一）降低企業跨境合作利潤

GDPR對數據收集企業執行最嚴格的監督審核，導致中國數字企業跨境合作利潤大幅度降低。一方面，GDPR要求企業在處理和控制個人信息時，必須征得用戶同意，讓用戶能夠隨時了解到個人信息。在這一過程中，數字企業若想使用用戶數據，就必須與用戶建立聯系，增加人力應用成本的同時，削減企業合作利潤，且GDPR要求數字經濟合作企業人數一旦超過250人，就需要設立數據保護官，這就增加了用人成本。另一方面，中國數據貿易企業的IT系統普遍是圍繞服務設計，其用戶數據會不斷向供應商發送。由于較難確定已經被分享的數據源頭，企業想要實現用戶隱私保護，并授權用戶隨時刪掉個人數據，需要成功追溯至少70%-80%的數據來源，直接加大企業跨境運營成本，導致跨境合作利潤顯著降低。

（二）加大企業數據應用風險

一方面，數據隱私罰款顯著增加。在GDPR實施之前，跨境數字經濟合作企業的數據應用受限較小，有關數據隱私罰金較低。而GDPR規定跨境違法合作企業將被處罰巨額罰款，這直接加大了中國數字經濟合作企業的數據應用風險。據新浪財經報道，2018年7月至2020年3月，歐盟開出的數據隱私罰款顯著增加（如圖1所示）。在巨額處罰金政策下，數字企業所面臨的合規成本、運營壓力與合作難度顯著增加，其數據應用風險大幅增加。據數據分析企業SAS調研報告稱，在GDPR發布當天，全球按時完成合規要求的企業占比不到50%，大多數中國企業由于缺乏資金以及改進資源，害怕擔負巨額罰款，不得已先退出歐盟市場。另一方面，數據應用合規難度顯著增加。據人民郵電報信息，在GDPR實施之前，有78%的企業認為可以滿足數據保護要求，但實施后，僅有28%的企業能夠遵守GDPR。可見，GDPR要求較為嚴格，仍有大量企業尚未滿足GDPR合規標準，其數據應用風險一直存在。

（三）阻礙信息技術發展

GDPR對數據處理者以及數據主體的隱私權提出相同要求，普通云用戶和服務商同樣需要承擔更多要求和責任。這一要求明顯與國內數字企業隱私規則相悖，導致國內信息技術發展受限。據21財經等媒體報告梳理，為獲取歐盟市場，微信、阿里巴巴全球速賣通、新浪微博等中國互聯網企業，在GDPR實施之前進行數據隱私政策更新，并請求重新授權。但絕大部分企業在短期內難以適應這一嚴苛規則，出現信息技術發展受限問題。如小米公司為展開數據隱私保護業務，早在2014年就已經成立隱私委員會，到2016年小米網和MIUI操作系統得到TRUSTe隱私認證，大舉拓展歐盟市場。但2018年5月26日，在GDPR執行后，小米生態鏈公司智能燈具品牌Yeelight因信息技術問題不符合GDPR數據隱私要求，被迫退出歐盟市場。可見，GDPR實施以來，受限于數據隱私要求，相關企業信息技術發展遭遇較大瓶頸。

（四）凸顯數據主權歸屬矛盾

在GDPR實施下，中國數字企業若在國外設置合作機構，該機構所涉及到的經營場所和經營系統，都受歐盟監管機構監控。但中國《網絡安全法》第三十七條規定，關鍵基礎設施在中國境內的企業所收集的個人信息和重點數據，須在境內存儲。這兩則法規沖突導致企業收集到的數據歸屬權存在較大矛盾，嚴重影響中歐數字企業合作。據央廣網報道，在GDPR“長臂”管轄原則下，2018年4月，QQ國際版發布在歐洲暫停運作公告，騰訊方面稱需要等待升級版本。但到5月20日，騰訊則宣布暫時停止對歐盟市場用戶服務，主要原因是QQ數據應用與存儲不符合GDPR域外法權主權歸屬規則。可見，在GDPR強要求之下，隨著數據主權矛盾的凸顯，數字企業與歐盟合作難度進一步加大。

四、應對之策

（一）推進《全球數據安全倡議》應用

2020年9月8日，中國正式提出《全球數據安全倡議》。該倡議主要內容包括防范制止采用信息技術侵害個人信息以及濫用信息技術行為;要求企業尊重當地法律，不得強制要求本國企業將境外數據轉移至境內;未經他國許可不能直接調用企業或個人境外數據。中國駐歐盟使團團長張明大使強調在發展數字經濟合作過程中，《全球數據安全倡議》顯著加強全球治理八項具體主張，呼吁歐盟各國積極參與《全球數據安全倡議》，以塑造一個公平、開放與安全的數字經濟發展環境。中國在與歐盟各國展開數字經濟合作過程中，應通過對話、協議簽訂等方式，呼吁并要求雙邊推進《全球數據安全倡議》應用。另外，行業協會應針對中歐雙邊數字經濟合作，圍繞《全球數據安全倡議》與GDPR新規展開探討，提出符合雙邊發展的跨境數據流動標準，以實現多邊主義的數據安全主張。

（二）設立行業自律機制

根據國際在線信息，中國昆山市于2020年底舉辦“中國-中東歐17+1新春晚會”，強調了中國-中東歐國家（17+1）合作機制的重要性。據悉，中國-中東歐國家（17+1）合作機制對于17個中東歐國家具有區別對待性，對于強化中東歐17個國家數字經濟具有保障性。中國基于該框架的“特殊合作權益”，與隸屬于該框架中的歐盟國家推進行業自律機制建設，可降低GDPR帶來的數據應用風險。政府應立足于中國-中東歐國家（17+1）合作機制，與相關國家進行磋商，積極構建基于GDPR的行業自律機制，并將該機制發布于相關企業，讓企業了解規則要求后規范運營，有利于推進與中國-中東歐國家（17+1）合作框架下歐盟國家的對接。政府應引進國際先進行業標準，如數據保護影響評估（DPIA）管理標準，并鼓勵企業在開展中歐數字貿易時，積極加入歐盟的跨境隱私規則（GBPR）以及歐盟個人信息保護體系（BCR），以強化境內外數據使用能力，降低跨境數據應用風險。

（三）搭建多方安全計算與區塊鏈新技術架構

中國商務部國際貿易經濟合作研究院歐洲研究所所長姚鈴指出，在中歐數字經濟合作過程中，為提升數據應用技術水平，應借助新興技術，搭建新應用架構。故此，中國數字企業應將數據安全作為企業發展保障，通過持續創新，積極開拓多方安全計算與區塊鏈等新的技術架構，實現數據利用與個人數據保護的動態平衡。企業可通過借鑒發達國家的成功應用經驗，借助互聯網、大數據與物聯網等新興技術，將多方安全計算與區塊鏈新技術引入到企業。在具體應用過程中，應基于GDPR要求，搭建多方安全計算與區塊鏈新技術應用架構，并將該架構用于相關數字貿易活動之中，在提高企業創新水平的同時，深化雙邊數字貿易關系。

（四）積極申請加入區域性隱私規則體系

目前，在區域經濟組織的推動下，區域性隱私規則體系正在形成，且在亞太經合組織21個成員中，已經有8個成員加入該體系之中，有利于保障區域內數據安全，充分解決了中歐數字經濟合作過程中的數據主權歸屬矛盾。在亞太區域隱私規則體系經驗下，中國政府應結合當前“涉歐”數字企業面臨的主要問題，深入分析有關歐盟區域性隱私新規的具體內容，在保障數據隱私安全的同時，提出針對性的申請意見，盡快加入區域性隱私規則體系。在加入該體系之后，中國企業應參與全球規則的制定，立足本國企業受到GDPR影響的實情，針對跨境數據主權歸屬問題，提出有效反饋意見。這有利于明晰跨境數字經濟合作中的數據主權歸屬問題，進一步提高中國數字行業的隱私保護水平。

（五）完善企業應對規則流程

針對跨境合作利潤顯著降低這一問題，相關企業需要不斷完善自身應對新規的流程，以合規性操作提升跨境數字經濟合作水平。企業應將涉及中歐數字貿易的所有數據業務進行整理、分類，將可能涉及到數據責任風險的業務進行分割、阻隔，分環節進行數據保密處理。為提高各環節數據業務處理效率，企業應在數據分類處理的同時，對所有涉歐業務的主要分布區域進行考察，通過責任風險和成本風控對比，分清主次區域。在此基礎上，區分不同區域內業務，并針對性進行處理，以確保企業處理方式遵循當地合規要求，實現規范化操作，進而增加跨境數據應用利潤。

參考文獻：

[1]SCA聯盟.英國內政部對《歐盟永居方案》管理不足，導致違反GDPR100次[EB/OL]. https：//ww w.sohu.com/a/394678268_442599.html.[2020-5-12].

[2]林黎.USMCA原產地規則變化對中國的影響及其啟示[J].對外經貿實務，2020（7）：41-44.

[3]張大龍.美國制造業回流政策對中國出口的影響及應對策略[J].對外經貿實務，2020（6）：17-20.

[4]弓永欽.歐盟數據隱私新規則對中國“涉歐”數字企業的影響及應對[J].國際經濟合作，2019（2）：70-79.