歐盟《一般數據保護條例》監管實效與影響

劉恩澤

2021年11月3日，中國人民銀行行長易綱在香港金融科技周的演講中提到：中國個人信息保護的法律體系已初步建立，有關部門將依法實施公平監管;個人信息保護的最終目的是促進數據的合理使用，央行及監管當局會進一步完善金融領域個人信息保護的法律制度，并加大對個人信息保護的監管力度。當前的信息時代已將信息對社會的影響力提升到絕對重要的地位。伴隨著科技的發展，個人信息的收集、儲存、分析與價值實現方式變得更加多元，信息的泄露也變得愈加容易，這些在某些極端情況下甚至會對人們的生命與財產安全造成威脅。因此，政府及監管當局理應承擔責任，保證公民的個人權利不受侵害。

在個人信息保護方面，歐盟走在了世界前列。歐盟在數據保護方面始終采用綜合性的立法方式。從歐洲理事會1981年發布的首個關于個人數據保護的司法文件《有關個人數據自動化處理的個人保護公約》，到歐盟1995年頒布的《關于個人數據處理保護與自由流動指令》，再到2018年歐洲議會和歐盟理事會通過的《一般數據保護條例》（General Data Protection Regulation， GDPR），經歷了從具有指導性、建議性特點的軟法（softlaw）到強制性的硬法（hard law）規范過程。

GDPR于2018年5月25日全面施行，取代了1995年的《數據保護指令》。GDPR因極為嚴苛的規定、寬泛的適用范圍和高數額的罰金要求，又被外界稱作“史上最嚴格的個人數據保護法”。GDPR創新性地明確個人對自身信息享有的權利和數據處理機構應當承擔的責任，為世界各國制定數據保護相關法律貢獻了有益借鑒，也對全球數據治理生態產生廣泛、深刻的影響。GDPR已出臺三年有余，其實施成果及實踐經驗對我國當下建立個人信息保護體系有著極為重要的現實意義。

GDPR的出臺背景和立法原則

出臺背景。保護公民隱私信息具有維護公民權利和遏制市場創新活力的“雙刃劍”屬性。從西方發達國家互聯網發展經驗看，客戶的私人數據一步一步成為各類商業巨頭重要收益的源頭。例如，搜索引擎和社交軟件之類從事信息收集與再生產的企業，在廣泛收集公民注冊信息的同時，有針對性地提供定制化服務，以達到提高用戶使用率和增加企業收益的目的。從2013年斯諾登事件爆料出的“棱鏡計劃”可以看到，Facebook、Twitter、Google等一眾美國科技巨頭持續不間斷地對歐洲互聯網用戶的個人信息進行收集和加工，歐盟在全社會都處在“心理危機”之際，提出以立法形式將個人隱私信息保護劃歸政府公共服務范疇之中。

立法原則?；驹瓌t方面，GDPR遵循了“權利與自由”“處理正當性”和“最小侵害性”三原則。GDPR的第一條便規定“本條例保護自然人的基本權利和自由，特別是自然人享有的個人數據保護的權利”，將“自然人在個人數據的處理活動中獲得保護”定性為一項基本權利。GDPR指出，一切數據進一步存儲、處理、轉移的根本前提是“個人數據處理的正當性”，應嚴肅叫停所有不正當的數據處理，嚴重時甚至應讓擁有者和傳播者面臨牢獄之災;GDPR指出正當性主要體現在“同意的要件、處理的合法性、禁止處理行為”等三方面。在“最小侵害性”原則中，GDPR提出應首先做到“數據最小化”，即數據控制者對個人數據的處理應與初始目的充分相關并限制在最小限度以內，且數據的處理應該是準確的、在必要情形下持續更新的，同時需保證數據的完整性和保密性。

GDPR主要特點解析

對個人數據行政管理機制的創新。GDPR從機構、模式以及方法三個微觀層面改進了個人數據保護的行政管理機制。在管理機構設置上，GDPR成立了歐盟數據保護委員會（European Data Protection Board， EDPB）。GDPR在第68條中指出：“特別設立法人機構歐盟數據保護委員會，其成員應當包括各成員國個人數據行政監管機構首腦或其代表和歐盟數據保護監督局首腦或其代表，并明確該委員會的秘書處由歐洲數據保護局擔任?！盓DPB的設立使歐盟數據保護局的權力被極大地提升，從而確保GDPR在各成員國的統一適用。在管理模式上，GDPR提出設立了“一站式（one-stop-shop）”監管原則，明確領導機構和成員機構的共同協作原則，并構建了詳細的一站式管理規則。具體而言，主要責任由數據控制者和處理者的主要營業機構所在國當地的數據監管機構承擔，而其他成員國的對應數據監管機構與主要營業機構所在國的監管機構保持緊密合作和信息共享。在管理方法上，GDPR將與個人數據處理相關的活動區分為“較高風險”“一般風險”和“較低風險”三類風險等級，實行等級差異化管理方法，并明確指出數據控制者在開展規定的“較高風險”活動前應做好影響評估，并需按照規定流程向數據保護局進行咨詢與報告。

明確個人對自身數據的控制權。GDPR在現有法律基礎上，進一步結合實踐明確了個人對自身數據的控制權內容。GDPR對個人數據范圍進行了明確規定：“個人數據指的是任何已識別或可識別的自然人（信息主體）的數據”，任何“特定自然人”的數據都是GDPR保護的對象;GDPR提出“獲得本人明確同意”是第三方機構收集和處理個人信息的首要且必要條件;GDPR首次定義了數據的被遺忘權（公民在其個人數據信息不再有合法之需時要求將其刪除或不再使用的權利）、刪除權（數據主體有權要求數據控制者刪除其個人數據及避免其個人數據被傳播）以及可攜帶權（數據主體有權向數據控制者索取本人數據并自主決定使用用途）;GDPR確保了個人查詢自身數據的便捷性，要求當信息主體向信息控制者行使查詢權利時，控制者除在規定指出的特別情況外均應提供免費服務，只有當查詢要求是重復的、顯然不存在的、過分的或者要求復印時，方可索取費用。

重新界定個人數據相關單位的責任。GDPR創新性地對數據控制者和處理者的責任和義務進行了重新界定。與往常認為的數據處理者只負責數據的分析工作而與數據的收集和使用無關（控制者的外包服務人員）不同的是，GDPR增設了數據處理者為直接、獨立的義務主體;GDPR開創性地設立了數據保護官制度，規定數據的控制者和處理者通常情況下必須設立保護官，以增強數據保護力度;GDPR要求數據控制者應當記錄每一次的數據處理活動，并保證保護措施的公開透明。此外，GDPR還規定了數據控制者在數據泄露時的報告和通知義務，要求數據控制者應當在數據泄露后的72小時內向數據保護局報告情況，在特殊情況下，數據控制者還需及時準確地向每一個信息主體通知信息泄露情況。

加大處罰力度，增加特殊情況下的保護規則。GDPR明顯加大了處罰力度，規定在歐盟境內違規公司將最高面臨其全年營業額4%的罰款。對數據的跨境流動和數據犯罪等特別情況，GDPR也作了細化要求，如“明令禁止數據控制者與處理者將歐盟內的數據信息轉移至境外地區，除非滿足一定條件并證明數據能在歐盟外的特定地區得到充分保護”，同時對“境外數據保護水平”的判定標準進行約束。在刑事犯罪領域，歐盟同時期頒布《關于有權機關為了預防、發現、調查和起訴刑事犯罪而自由傳輸和保護個人數據的指令》，明確刑事罪犯、犯罪嫌疑人和被調查人的個人信息同樣應受到有效保護。

GDPR的相關運用效果及主要案例分析

案例執行情況

歐盟數據保護委員會（EDPB）近期在其官網公布了自2018年5月GDPR實施以來至2021年5月，歐盟各成員國數據保護資源投入及案例執行情況（見圖1）。在成員國本國（非跨國）案例方面，據不完全統計，三年來歐盟成員國共有近50萬件執行案例登記在冊，2020年案件登記數量達到頂峰，總計近18萬件。三年來案件數量最多的三個國家分別是德國（165641件）、荷蘭（68907件）和愛爾蘭（48131件）?？鐕咐矫?，據歐盟網絡市場信息（Internet Market Information， IMI）記錄，自GDPR實施至2021年5月31日，全歐盟上報至IMI系統的跨國執行案例共計13493件，其中排名前三的國家分別為德國（1070件）、法國（767件）和西班牙的（693件）件。

從歐盟案例情況可以看出，案件執行總量及大部分國家案件統計數量均為2019年和2020年的急劇上升到達頂峰后在2021年快速下降，案件數量曲線較為一致。而在國家層面，案件執行數量比較多的國家通常為歐盟中較為發達、科技信息公司注冊地較多且國際化和法制化程度較高的國家。

罰金情況

報告顯示，據不完全統計，截至2021年5月31日，歐盟各成員國針對違反GDPR而處理的罰金金額合計約2.75億歐元，2020年總計1.4億歐元，較2019年增長28%，是2018年罰金金額的26倍有余（見圖2）。其中，意大利以0.6億歐元的罰金位居首位，德國的0.56億歐元和瑞典的0.12億歐元分別位居第二和第三。值得注意的是，統計范圍之外的2021年7月16日，盧森堡國家數據保護委員會對亞馬遜開出7.46億歐元天價罰單，目前亞馬遜表示已決定上訴，如果此次處罰落實，罰金將創GDPR實施以來的最高記錄。

總體來看，自2018年5月GDPR實施以來，案例數量及罰金數額并未在當年出現迅速增加，而是在隨后的2019年和2020年到達頂峰，在2021年又進一步回落。從曲線整體走勢可以大致判斷，在2018年新政實施后，各成員國經歷了新政緩沖期，在案件的調查取證方面，尤其針對中大型跨國公司，司法程序較為復雜，戰線通常較長，因此直至GDPR實施后的一兩年時間才達峰值。該曲線同樣值得我國相關部門借鑒并作好前瞻應對。

主要處罰案例分析

GDPR對擁有龐大用戶基礎并對海量數據進行處理的大型科技公司懲戒力度較大，其域外管轄權也將對世界各國科技巨頭產生較大影響（見表1）。

可以看出，受GDPR影響較大的均為大型科技和服務企業，其中尤以美國、英國公司為主。處罰原因主要集中在違反GDPR對數據處理的基本原則、個人數據行為基本要求、數據處理合法性基礎和數據處理過程的安全性的相關要求，開出的罰單數額均十分巨大。GDPR的實施對國際數據治理生態帶來較大影響，特別在國際監管方面，GDPR以個人數據跨境制度為有利抓手，增強歐盟在互聯網和信息產業的地位，提升歐盟在全球數據治理的話語權。我國相關部門及企業應實時追蹤全球規則變動，深入研究、領會GDPR對數據處理的基本要求，從頂層設計、標準體系、管理體制等方面著手，結合自身信息數據特點完善個人信息保護體系，提升自身在國際數據管理中的地位及話語權。

啟示及建議

2021年11月1日，《中華人民共和國個人信息保護法》正式實施，完善了我國多年來一直缺失的針對個人信息保護領域的特別法律設置。我國《個人信息保護法》充分吸收、借鑒國內外成功經驗，對個人信息處理活動、屬地管轄范圍、“告知同意”為核心的個人信息處理原則、自動化決策、人臉識別管制、數據主體權利、信息處理者義務、懲罰措施、個人信息權益的過錯推定責任等方面作出全方位規范。在法律規定內容之外，結合對GDPR的相關執行情況的分析，我們提出如下政策建議以供相關部門參考。

實時追蹤和研判全球規則變動，加強國際合作。當今信息時代的數據主權問題已經成為世界范圍內各方高度關注的國際性問題，各國已逐步根據自身實際情況和政策標準完善該領域的制度規范，而這也無可避免地會對其他國家造成“規范溢出”的影響，且很可能會受到其他國家規則的反向約束。這就提醒我國在構建、運用、完善相關制度的實踐過程中，主動與各國在司法機關和行政當局在相關領域如反壟斷、數據監管和消費者權益保護等加強跨國合作與監管協調，并更加注重實時跟蹤全球主要區域相關規則的變動，及時主動地發現在國際博弈中各方力量的變化，并在恰當的時機果斷調整國內規范，以便更加有效地應對國際挑戰，提升國際地位。

關注基本權利與促進創新之間的平衡關系。GDPR在個人數據保護方面走在全球前列，但其本質是為集中收集、存儲和處理數據的系統而設計，與個別創新技術存在沖突，如代表當前數據存儲和管理新范式的分布式區塊鏈。為集中式數據庫制定的GDPR似乎很難適用于采取分散式數據存儲的區塊鏈，尤其是關于跨境傳輸與被遺忘權的規定。GDPR與區塊鏈之間的緊張關系也揭示了保護基本權利與促進創新的不同目標之間的沖突。

當前金融機構正不約而同地推動數字化轉型，隨著互聯網金融與開放銀行概念的興起，傳統金融大躍進式地向金融與科技相融合轉型的趨勢已經明朗。鑒于金融信息的特殊性，金融機構一直以來都受到各國數據安全方面的強監管，因此在數據安全和隱私保護方面較其他行業整體水平較高。金融科技的不斷創新必將為個人信息的有效保護帶來挑戰，因此如何平衡個人權利保護和科技創新是當前需要解決的一個重要理論與實踐問題。

完善頂層設計及合作模式。健全法律法規和監管體系是實現個人信息保護的基礎。當前我國大力推進金融對外開放的前提下，跨境金融機構及跨境并購子公司數量穩步增多，但面臨不同地區自身的數據管理規則與跨境數據傳輸原則，往往會在集團內部形成數據獲取障礙。值得注意的是，港澳地區屬中國特別行政區，且其與境外各國聯系緊密，當前國家大力支持粵港澳大灣區發展，因此對于港澳地區與大陸內地數據的傳輸與共享問題理應給予特殊規定，未來也可適時延伸至臺灣地區。因此，建議由國家網信部門牽頭，聯合公安、工信、安全等部門，依據《個人數據保護法》中相關要求，盡快落實大中華區內的個人數據的轉移原則與相關政策，可借鑒歐盟一站式監管原則。同時，從歐盟成員國GDPR執行情況來看，我國未來兩年或將迎來案例數量及處罰高峰，建議相關部門作好前瞻應對，在科技水平較高、科技注冊公司較多的地區適當進行資源傾斜。

（作者單位：廈門國際銀行博士后工作站、復旦大學博士后流動站）

責任編輯：楊生恒