刘金瑞｜欧盟《一般数据保护条例》的主要内容、域外影响和应对之策

欧盟《一般数据保护条例》的

主要内容、域外影响和应对之策

　　2018年5月25日，欧盟《一般数据保护条例》（General Data Protection Regulation，GDPR，以下简称《条例》）正式生效实施。《条例》试图回应云计算、大数据、移动互联网等新技术发展对个人数据保护带来的挑战，旨在建立更加统一有力的欧盟个人数据保护法制框架和促进个人数据在欧盟境内的自由流动，也是欧盟落实其“单一数字市场”战略的重要举措。《条例》出台经过了长达4年的立法博弈：2012年1月25日，欧盟委员会对于个人数据保护提出《一般数据保护条例建议稿》，该建议稿于2013年6月进入欧洲议会、理事会及委员会的三方讨论，在美国针对欧洲的“窃听门”事件曝光之后立法进程加快，于2013年10月21日在欧洲议会公民自由、司法与内务委员会通过。之后该建议稿经过多次讨论修订，最终于2016年4月获得了欧洲议会的正式通过。《条例》规定了两年的过渡期，为欧盟成员国适应《条例》要求提供必要的准备时间。相较于1995年欧盟通过的《个人数据保护指令》（Directive 2002/58/EC，以下简称《指令》），该项新立法采“条例（Regulation）”形式，效力强于“指令”，其直接适用于成员国而不再需要国内法转化，效力优先于国内法，这样避免了欧盟各国各自立法、执法分散的弊端。《条例》将取代1995年《指令》，并修改了欧盟2002年《关于隐私与电子通信的指令》（Directive 2002/58/EC）的部分内容。

　　《条例》的通过和实施引发了欧盟内外包括我国政府和企业在内的高度关注。原因概括起来至少包括三个方面：一是《条例》明确规定了其适用的域外效力。《条例》不仅规定适用于设立地在欧盟的数据控制和数据处理机构，也规定适用于向欧盟主体提供产品和服务（不论是否收费）的数据控制和数据处理机构。这意味着无论是航空、银行等传统行业，还是网站、搜索引擎等新兴在线服务，只要向欧盟用户提供产品和服务，就会《条例》的适用范围。二是《条例》对违法行为规定了高额的处罚，具有很强的威慑性。对于违反数据泄露报告、委任数据保护官、数据保护影响评估、匿名方式处理个人数据等方面规定的行为，最高将被处以1000万欧元或上一年全球营业额2%的罚款。对于违反数据主体权利保护、数据处理基本原则、数据跨境传输等方面规定的行为，最高将被处以2000万欧元或上一年全球营业额4%的罚款。三是《条例》延续了《指令》的规定，重申个人数据禁止传输至不具有“充分水平的保护”的欧盟之外的国家和地区。这些规定使得向欧盟用户提供服务的企业不得不遵守欧盟《条例》，而《条例》全面强化个人数据保护权利的规定让企业面临着极大的合规压力。

　　相较于《指令》，《条例》进一步强化了在个人数据保护方面的个人权利，主要可以概括为以下几个方面：

　　（1）强化数据主体同意的明确性（explicit）要求：数据主体的同意，是指其自主作出特定的（specific）、知情的（informed）、明确的（explicit）意思指示，无论是通过声明还是明确肯定的行为来表明其同意个人数据的处理。《条例》还赋予了数据主体可以随时撤回同意的权利。

　　（2）强化数据主体控制及获取（aceess）个人数据的权利：个人数据被收集时，或者数据主体请求的任何时候，数据控制者都应告知数据主体其个人数据处理的详细情况。与《指令》相比，增加更多的法定告知事项，包括：个人数据存储的期限及可能传输至第三国或者国际组织的情况；数据主体有权要求数据控制者修改或删除个人数据或者反对个人数据的处理；有权向监管机关投诉；以及监管机关的联系方式等。

　　（3）新增删除或被遗忘的权利（right to be forgotten and to erasure）：数据主体在不希望自身数据被利用且无合法必要理由保留时，有权要求删除该数据。如果该数据已被数据控制者公开，数据控制者应数据主体的要求，有义务通知第三方删除任何该数据的链接、复本或者备份。《条例》避免了之前规定中含糊不清的术语“封存（blocking）”。

　　（4）新增数据可携的权利（right to data portability）：当以电子化方式并且以一种结构化和通用性格式来处理个人数据时，数据主体有权利从数据控制者处获得个人数据的复本，以在不同服务提供者之间转移自身数据。

　　（5）新增反对包括画像在内的自动化决定（Automated individual decision-making, including profiling）的权利：针对“包括画像在内的自动化决定”，规定每个自然人有权反对对其产生法律后果或重大影响的自动化决定和画像，反对仅仅依靠自动化处理来评估个人属性，尤其是分析或预测个人的工作表现、财务状况、位置、健康、个人偏好、可信度或者行为。

　　（6）数据安全措施中明确“从设计入手保护数据”（data protection by design）和“默认数据保护设定”（data protection by default）的标准和条件：数据控制者及处理者应实施适当的技术和组织措施确保数据处理安全，欧盟委员会被授权进一步明确此种技术和组织措施的标准和条件，明确适用于特定领域及特定数据处理情形的标准和条件，尤其考虑在技术和方案发展中明确“从设计入手保护数据”和“默认保护数据设定”的标准和条件。

　　《条例》对数据主体权利的全面强化，从另一方面看就是对作为数据控制者者和数据处理者的企业提出了更为严格的要求，《条例》也确实相应地强化了企业的个人数据保护义务。这种严格的要求和义务，尤其是结合目前新技术新应用的创新和发展来看，在某种程度上可谓“苛刻”，不少评论都对《条例》未来在实践中的可操作性和可执行性提出了质疑。比如对于“数据可携权”，数据主体在符合条件的情况下有权要求将个人数据直接从一个控制者传输到另一个控制者，虽然适用前提规定了“技术可行”，但对于“技术可行”的理解存在不同的认识。假设一个欧盟用户要求将其在淘宝平台上的电商数据转移到京东平台，如果认为从技术上不论多大代价只要能做到就是“技术可行”的话，那么将给企业造成巨大的成本和负担，这可能迫使市场主体发展数据兼容的标准，对市场竞争造成不当的干预，而且《条例》并未限制用户要求转移数据的次数。再比如对于“被遗忘权”，一旦用户对数据控制者提出要求，控制者不仅要删除自己所控制的数据，还要通知其他第三方删除该数据，这意味着控制者要对其公开传播的数据负责。可是开放互联的网络空间中，要求确定并通知所有的第三方停止利用并删除这些数据，对控制者来说基本是不可能完成的任务。《条例》虽然规定了“被遗忘权”在适用时的例外情形，比如基于表达自由和信息自由、基于公共利益和履行法律职责需要等例外，但目前的适用边界仍不清晰，让很多企业无所适从。

　　需要指出的是，虽然《条例》一味强化个人权利值得商榷，但其为了促进个人数据在欧盟境内的自由流动和单一数字市场的形成，也同时作出了有针对性、值得借鉴的规定。一是《条例》贯彻了基于风险的方法（Risk-based approach），没有“一刀切”地设定个人数据保护义务，而是根据不同风险设置了不同的保护规则。比如只有在数据处理的性质、范围与目的可能给数据主体的基本权利与自由造成高风险时，《条例》才规定数据控制者应该履行数据保护影响评估义务，当数据控制者没有能力减轻该风险时，其必须在数据处理前向数据保护监管机构履行事先咨询义务。二是在一定程度上改进了数据跨境转移的制度设计。《条例》除了延续《指令》将“遵守适当保护措施”作为实现个人数据跨境转移的条件之外，还将充分性认定的对象从“国家”扩展到“一国内的特定地区、行业领域以及国际组织”，增加了“公司约束力规则”、经批准的“行为准则”和“认证机制”等，拓展了个人数据合法跨境转移的情形和方式。

　　毫无疑问，欧盟《条例》将对我国消费者、企业、政府甚至立法产生重要影响。从《条例》全面强化个人数据保护的个人权利来看，将在一定程度上健全欧盟相关企业和在欧盟从业的我国企业的个人数据保护制度，有利于促进我国消费者个人信息保护水平的提升。对于我国在欧盟提供产品和服务的企业来说，应该按照《条例》的要求更新和健全个人信息保护政策和制度，比如如果核心业务涉及大规模系统化监控和大规模敏感数据的处理，要在企业内部设立数据保护官。对于目前适用边界尚不清晰的某些规定，比如“数据可携权”、“被遗忘权”等，要实时追踪欧盟数据保护委员会（European Data Protection Board，EDPB）后续发布的指南（Guidance）、意见（Opinion）等以及欧盟法院的相关判决，进一步明确相关规范的适用范围。从《条例》促进个人数据的自由流动来看，我国企业、有关行业组织和政府要充分利用好“充分性认定”、“公司约束力规则”、“经批准的行为准则和认证机制”等制度设计，尽量为我国企业开展相关跨境业务扫清个人数据保护方面障碍。值得注意的是，《条例》实施之后，有不少声音认为应该按照《条例》来改进中国的个人信息保护立法。不可否认，《条例》所贯彻的“基于风险的方法”、数据跨境转移的制度设计等值得我们高度重视和充分借鉴。不过同时也要看到，法律制度设计有着特定的政治、经济、文化甚至历史背景，借鉴域外制度不能忽视这些因素，也要考虑是否适应目前经济和社会发展的需要。在大数据、云计算、人工智能等新技术迅速发展的今天，是否要像欧盟那样一味强调个人数据保护的个人权利则不无疑问。实际上，美国在2012年提出的《消费者隐私权法案》、《在快速变革的时代保护消费者隐私》报告等在一定程度上弱化了个人对个人数据的控制，有利于减轻了企业的负担和促进相关行业的发展，其背后的产业政策和价值衡量值得我国借鉴。面对欧盟《条例》的生效和实施，我们应该冷静思考我国的个人信息保护立法，不是简单的拿来主义，而是应该探索出一条平衡个人利益、商业价值和公共利益的中国特色的个人信息保护之路。

本文发表于《工商行政管理》2018年第11期