（北京師范大學(xué)，北京 100875）

2018年5月25日，關(guān)于個(gè)人數(shù)據(jù)（個(gè)人信息）保護(hù)的歐盟新一代制度規(guī)范《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)：GDPR）將全面施行。這是歐盟數(shù)據(jù)治理的里程碑事件，在信息系統(tǒng)和數(shù)字經(jīng)濟(jì)改造人類(lèi)生活的時(shí)代大潮下，其超越成員國(guó)個(gè)別立法、統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)路徑、改變個(gè)人數(shù)據(jù)流轉(zhuǎn)走向，進(jìn)而深度修正歐盟數(shù)據(jù)治理的規(guī)范趨勢(shì)，也將對(duì)全球數(shù)據(jù)治理生態(tài)產(chǎn)生廣泛、深刻的影響。

對(duì)于我國(guó)各類(lèi)主體（尤其包括網(wǎng)絡(luò)企業(yè)）而言，首先需要正視的是，GDPR對(duì)于歐盟境外的數(shù)據(jù)治理格局所帶來(lái)的重大發(fā)展。尤其是其明確規(guī)定即使是歐盟境外的主體在特定條件下也必須遵循GDPR的相關(guān)規(guī)范，這在數(shù)字化業(yè)務(wù)乃至交易形式日趨多樣化的技術(shù)背景下，迫使我們必須考慮、評(píng)估GDPR的適用可能性及其實(shí)際影響力。

1 GDPR的出臺(tái)背景以及價(jià)值訴求

自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通過(guò)以來(lái)，歐盟委員會(huì)乃至歐盟內(nèi)部經(jīng)歷了前所未見(jiàn)的游說(shuō)博弈過(guò)程，反映了GDPR本身并非純粹的個(gè)人數(shù)據(jù)規(guī)范，而是深層次融合了國(guó)際政治博弈、產(chǎn)業(yè)經(jīng)濟(jì)競(jìng)爭(zhēng)以及社會(huì)文化擴(kuò)張等諸多元素的復(fù)雜綜合體。

究其直接目標(biāo)和價(jià)值訴求而言，一方面，歐盟委員會(huì)公開(kāi)宣稱(chēng)GDPR首先旨在建設(shè)現(xiàn)代化的個(gè)人數(shù)據(jù)治理規(guī)范機(jī)制、確保歐盟公民和居民對(duì)于自身個(gè)人數(shù)據(jù)享有充分的控制權(quán)，同時(shí)通過(guò)協(xié)調(diào)、簡(jiǎn)化現(xiàn)行的“數(shù)字單一市場(chǎng)”體系在歐盟體制內(nèi)建設(shè)統(tǒng)一的規(guī)范框架進(jìn)一步改善監(jiān)管環(huán)境，以期降低個(gè)人數(shù)據(jù)處理主體的合規(guī)風(fēng)控成本，進(jìn)而助益包括跨國(guó)企業(yè)在內(nèi)的商業(yè)主體的業(yè)務(wù)運(yùn)營(yíng)。

另一方面，在歐盟現(xiàn)行政策法律框架下，個(gè)人數(shù)據(jù)保護(hù)問(wèn)題一貫被統(tǒng)攝于歐盟“數(shù)字單一市場(chǎng)”建設(shè)進(jìn)程中，與其他元素共同服務(wù)于歐盟在數(shù)字經(jīng)濟(jì)中謀求世界級(jí)領(lǐng)袖地位的總體布局。

此外，不容忽視的是，就目前而言GDPR并非孤立的制度安排，而是與歐盟《2016年網(wǎng)絡(luò)與信息系統(tǒng)安全指令》形成歐盟網(wǎng)絡(luò)法制框架的“雙劍合璧”，借以在網(wǎng)絡(luò)系統(tǒng)安全和基本權(quán)利保障兩個(gè)層面通過(guò)靈活的變化組合實(shí)現(xiàn)歐盟網(wǎng)絡(luò)治理的多維戰(zhàn)略意圖。

2 GDPR的規(guī)范革新以及主要內(nèi)容

關(guān)于GDPR制度規(guī)定的革新意義，需要指出的是，當(dāng)下歐盟地區(qū)整體信息化水平廣泛提升，隨著智慧移動(dòng)終端、云計(jì)算、大數(shù)據(jù)以及數(shù)字單一市場(chǎng)的深入發(fā)展，互聯(lián)網(wǎng)金融以及跨境電商等新經(jīng)濟(jì)樣態(tài)層出不窮，造就空前機(jī)遇的同時(shí)也帶來(lái)了空前的風(fēng)險(xiǎn)。而原先以《1995年個(gè)人數(shù)據(jù)保護(hù)指令》（個(gè)人數(shù)據(jù)保護(hù)“母指令”）以及后續(xù)一系列歐盟指令（尤其是2002年電子隱私指令，又稱(chēng)個(gè)人數(shù)據(jù)保護(hù)“子指令”）為主干規(guī)范所建構(gòu)的個(gè)人數(shù)據(jù)保護(hù)體系在實(shí)際適用過(guò)程中日益暴露其局限性，相對(duì)歐盟內(nèi)外各利益相關(guān)方的價(jià)值訴求呈現(xiàn)漸趨背離的態(tài)勢(shì)?？梢哉J(rèn)為，GDPR是對(duì)現(xiàn)行歐盟《1995年個(gè)人數(shù)據(jù)保護(hù)指令》的全面革新，是歷史上第一次在歐盟全境實(shí)現(xiàn)了個(gè)人數(shù)據(jù)保護(hù)規(guī)范的協(xié)調(diào)統(tǒng)一。

就宏觀制度建構(gòu)而言，GDPR對(duì)于日益多樣化的利益訴求（公民權(quán)利、經(jīng)濟(jì)自由、數(shù)據(jù)主權(quán)、公共安全等等）在不同產(chǎn)業(yè)、不同情境中有著彈性、動(dòng)態(tài)的取舍平衡，由此決定了GDPR的規(guī)范特色：（1）強(qiáng)化個(gè)人的權(quán)利內(nèi)容；（2）突出歐盟內(nèi)部市場(chǎng)的價(jià)值位階；（3）提升規(guī)范落實(shí)的保障能力；（4）改進(jìn)個(gè)人數(shù)據(jù)跨境傳輸?shù)牧鞒坦芸夭⒔?gòu)全球數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。

就微觀規(guī)范設(shè)計(jì)而言，需要注意的是，根據(jù)GDPR的條文設(shè)計(jì)，歐盟個(gè)人數(shù)據(jù)治理的制度規(guī)范將擴(kuò)展適用于處理歐盟公民和居民個(gè)人數(shù)據(jù)的所有外國(guó)主體。同時(shí)，為應(yīng)對(duì)數(shù)字經(jīng)濟(jì)發(fā)展、數(shù)據(jù)價(jià)值日增的新技術(shù)趨勢(shì)，GDPR為歐盟公民和居民提供了一系列新型“數(shù)字權(quán)利”，包括被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等等。此外，GDPR還引入了極為嚴(yán)格的數(shù)據(jù)保護(hù)合規(guī)要求，并通過(guò)最高處罰為涉事主體全球營(yíng)收總額4%的懲罰機(jī)制予以強(qiáng)化。

具體而言，值得給予特別關(guān)注的GDPR制度規(guī)范包括以下各條文規(guī)定：（1）強(qiáng)化對(duì)數(shù)據(jù)持有第三方的監(jiān)督（第7條）；（2）設(shè)定兒童保護(hù)特別規(guī)則（第8條）；（3）更高標(biāo)準(zhǔn)的權(quán)利人被告知權(quán)（第12-14條）；（4）正式確認(rèn)被遺忘權(quán)（第17條）；（5）規(guī)定攜數(shù)據(jù)更換服務(wù)提供者權(quán)利（第20條）；（6）更清晰的數(shù)據(jù)挖掘限制規(guī)則（第21條）；（7）引入嚴(yán)重?cái)?shù)據(jù)侵權(quán)事件的知情權(quán)（第33、34條）。

3 GDPR的實(shí)施態(tài)勢(shì)以及國(guó)際影響

需要強(qiáng)調(diào)的是，對(duì)于GDRP各項(xiàng)制度規(guī)范落地執(zhí)行的研判，絕不能僅依靠對(duì)GDRP各項(xiàng)條文的紙面解讀。根據(jù)歐洲數(shù)據(jù)保護(hù)署（EDPS，2018年5月25日后成為歐洲數(shù)據(jù)保護(hù)局EDPB的常設(shè)秘書(shū)處）的工作設(shè)想，后續(xù)的實(shí)施執(zhí)法將呈現(xiàn)以下態(tài)勢(shì)：

（一）對(duì)于未來(lái)GDPR實(shí)施工作的基本立場(chǎng)是遵循歐盟委員會(huì)有關(guān)數(shù)字單一市場(chǎng)的總體安排，以保護(hù)歐盟公民和統(tǒng)一市場(chǎng)為直接目標(biāo)指向；貫徹落實(shí)GDPR規(guī)范內(nèi)容的主要切入點(diǎn)是里斯本條約等確認(rèn)的個(gè)人數(shù)據(jù)權(quán)等“基本權(quán)利”的保護(hù)，由此后續(xù)設(shè)計(jì)更為具體的實(shí)施細(xì)則以及合規(guī)指南；

（二）相對(duì)于歐盟《1995年個(gè)人數(shù)據(jù)保護(hù)指令》，歐盟全境范圍內(nèi)有關(guān)個(gè)人數(shù)據(jù)保護(hù)的執(zhí)法力度在2018年5月25日后會(huì)絕對(duì)加強(qiáng)，構(gòu)成歐盟各成員國(guó)必須履行的、不可克扣的政治責(zé)任；關(guān)于GDPR的具體執(zhí)法力度，依據(jù)歐盟委員會(huì)目前確定的口徑，總體強(qiáng)度將類(lèi)似于歐盟目前有關(guān)反不正當(dāng)競(jìng)爭(zhēng)、反壟斷領(lǐng)域的執(zhí)法力度；

（三）在執(zhí)法機(jī)制上，GDPR的執(zhí)法憑借主要是各國(guó)個(gè)人數(shù)據(jù)保護(hù)署（DPAs），但強(qiáng)調(diào)“一站式”執(zhí)法模式，也即由某執(zhí)法對(duì)象（例如某跨國(guó)公司）主要營(yíng)業(yè)地的成員國(guó)個(gè)人數(shù)據(jù)保護(hù)署履行主要的監(jiān)管保護(hù)職能；在歐盟整體層面，2018年5月25日后，歐洲數(shù)據(jù)保護(hù)局（European Data Protection Body，EDPB）正式投入運(yùn)行，其主要組成成員包括各國(guó)個(gè)人數(shù)據(jù)保護(hù)署及其代表，主要職能在于協(xié)調(diào)成員國(guó)個(gè)人數(shù)據(jù)保護(hù)署的執(zhí)法工作；

（四）在國(guó)際沖突博弈方面，由于GDPR的域外管轄條款是全新的制度設(shè)計(jì)，預(yù)計(jì)在實(shí)施過(guò)程中會(huì)遇到較大的反彈，目前主要外部壓力來(lái)自美國(guó)和英國(guó)方面，為此GDPR實(shí)施過(guò)程中會(huì)根據(jù)實(shí)際情況進(jìn)一步考慮彈性的執(zhí)法機(jī)制，例如充分發(fā)揮“約束性公司規(guī)則”和“標(biāo)準(zhǔn)條款”兩個(gè)機(jī)制的彈性功能，以減少法定強(qiáng)制條款（例如“充分性認(rèn)定”機(jī)制）的適用情形。

在此基礎(chǔ)上，可以預(yù)見(jiàn)GDPR的全面施行可能產(chǎn)生的主要國(guó)際影響包括：①對(duì)網(wǎng)絡(luò)新技術(shù)新應(yīng)用研發(fā)造成重大影響，尤其是大數(shù)據(jù)、云計(jì)算以及人工智能等深度依賴(lài)數(shù)據(jù)處理的新業(yè)務(wù)樣態(tài)將承受GDPR的規(guī)范約束；②對(duì)包括中國(guó)企業(yè)在內(nèi)的全球數(shù)據(jù)處理主體的業(yè)務(wù)運(yùn)營(yíng)模式造成重大影響，尤其是GDPR引入“設(shè)計(jì)隱私（Privacy by Design）”數(shù)據(jù)保護(hù)機(jī)制，使得域外主體在業(yè)務(wù)合規(guī)過(guò)程中被迫接受歐盟數(shù)據(jù)治理理念；③對(duì)國(guó)際數(shù)據(jù)治理生態(tài)造成重大影響，特別是GDPR以個(gè)人數(shù)據(jù)跨境制度為有力抓手，直接制約了他國(guó)的數(shù)據(jù)治理制度建設(shè)。

4 GDPR的中國(guó)應(yīng)對(duì)與策略建議

面對(duì)歐盟通過(guò)GDRP的法律制度設(shè)計(jì)強(qiáng)化數(shù)據(jù)資源控制的新態(tài)勢(shì)，立足于維護(hù)我國(guó)數(shù)據(jù)主權(quán)的基本價(jià)值立場(chǎng)，為更有效地實(shí)現(xiàn)國(guó)家對(duì)數(shù)據(jù)的最高控制權(quán)，有必要統(tǒng)籌研判數(shù)據(jù)主權(quán)和數(shù)據(jù)治理的內(nèi)在邏輯聯(lián)系和外在規(guī)范支撐，尤其需要考慮以下述四個(gè)方面的工作作為進(jìn)一步構(gòu)想我國(guó)具體對(duì)策的有力抓手：

（一）實(shí)時(shí)追蹤的全球規(guī)則變動(dòng)研判。新技術(shù)—經(jīng)濟(jì)條件下，數(shù)據(jù)主權(quán)已經(jīng)成為包括歐盟在內(nèi)的國(guó)際各方高度關(guān)注的全球性問(wèn)題，各方立足自身實(shí)際情況和政策基準(zhǔn)制定這一領(lǐng)域的規(guī)制規(guī)范，會(huì)對(duì)他國(guó)產(chǎn)生“規(guī)范溢出”的影響，同時(shí)也無(wú)可避免地會(huì)受到他國(guó)規(guī)則的反向制約。

由此意味著我國(guó)在加速建構(gòu)、完善相關(guān)制度過(guò)程中，非常有必要重視實(shí)時(shí)追蹤更新的全球規(guī)則變動(dòng)研判，即時(shí)發(fā)現(xiàn)國(guó)際博弈各方的力量對(duì)比變動(dòng)，既為有效借鑒域外有益經(jīng)驗(yàn)，更是為了及時(shí)調(diào)整內(nèi)國(guó)規(guī)范、有效應(yīng)對(duì)國(guó)際挑戰(zhàn)。

（二）圍繞價(jià)值的頂層設(shè)計(jì)建構(gòu)。數(shù)據(jù)主權(quán)事關(guān)國(guó)家的安全與主權(quán)，有效的規(guī)則體系的建立需要指向明確、邏輯清晰的頂層制度設(shè)計(jì)。在此環(huán)節(jié)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全、信息安全的高度將數(shù)據(jù)的可控性、可用性、完整性與保密性四項(xiàng)核心訴求作為價(jià)值出發(fā)點(diǎn)與落腳點(diǎn)。

與此同時(shí)，作為頂層設(shè)計(jì)的重要組成部分，有必要專(zhuān)門(mén)授權(quán)成立專(zhuān)業(yè)、獨(dú)立的數(shù)據(jù)監(jiān)管機(jī)關(guān)，負(fù)責(zé)數(shù)據(jù)規(guī)范的具體落實(shí)、數(shù)據(jù)傳輸?shù)膰?guó)際協(xié)調(diào)以及數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估等職能活動(dòng)，確保在該領(lǐng)域可以保持不間斷的能力建設(shè)，也能更好的完成國(guó)際博弈任務(wù)。

（三）依據(jù)性質(zhì)的差別規(guī)范設(shè)計(jì)。在具體制度的規(guī)范設(shè)計(jì)層面，需要特別注意數(shù)據(jù)領(lǐng)域的特殊性，尤其是數(shù)據(jù)的性質(zhì)、種類(lèi)等問(wèn)題。申言之，在網(wǎng)絡(luò)空間中流動(dòng)的數(shù)據(jù)并不都具有相同的意義，特別地，在普通數(shù)據(jù)與敏感、戰(zhàn)略性數(shù)據(jù)之間有著顯著的價(jià)值差異。

為此，通過(guò)加速我國(guó)個(gè)人信息專(zhuān)門(mén)立法進(jìn)程，一方面引入有關(guān)數(shù)據(jù)治理的一般性、普遍性規(guī)則，就該領(lǐng)域的共性問(wèn)題做詳盡的規(guī)定，另一方面有必要就特定種類(lèi)的敏感、戰(zhàn)略性數(shù)據(jù)差別設(shè)計(jì)相應(yīng)的特別規(guī)范，從而提升、強(qiáng)化針對(duì)某些特殊環(huán)節(jié)、要素的規(guī)制保護(hù)力度。

（四）基于行業(yè)的利益平衡規(guī)則。毋庸置疑，數(shù)據(jù)在信息社會(huì)2.0的今天具有全行業(yè)的基礎(chǔ)性意義，是幾乎所有行業(yè)良性發(fā)展的物質(zhì)基礎(chǔ)。而各行業(yè)部門(mén)內(nèi)部實(shí)際上有著不同的利益結(jié)構(gòu)，在交通、電商、醫(yī)療、教育以及征信等不同的領(lǐng)域，國(guó)家主權(quán)、公共安全、公民權(quán)利與經(jīng)濟(jì)收益等要素在不同歷史階段有著不同的內(nèi)涵與權(quán)重，需要配備針對(duì)性的規(guī)范。

因此，就數(shù)據(jù)主權(quán)問(wèn)題付諸治理實(shí)踐時(shí)需要深入考察我國(guó)具體行業(yè)領(lǐng)域的實(shí)際運(yùn)行情況，及時(shí)在法律條文規(guī)定中體現(xiàn)其現(xiàn)實(shí)情況和態(tài)勢(shì)更新?？偠灾?，在數(shù)據(jù)治理國(guó)際博弈過(guò)程中需要通過(guò)成文規(guī)范、技術(shù)標(biāo)準(zhǔn)以及司法判例等多重資源更多、更靈活地導(dǎo)入利益平衡規(guī)則，為具體時(shí)刻、具體部門(mén)提供更具個(gè)性化的規(guī)范解決支撐。