陳煒權(quán)，趙 波

(荷蘭蒂爾堡大學(xué) 法學(xué)院， 荷蘭 蒂爾堡 55000 LE)

數(shù)據(jù)保護(hù)權(quán)是《歐盟基本權(quán)利憲章》(簡稱“《歐盟憲章》”)第8條規(guī)定的一項(xiàng)歐盟法律下的基本權(quán)利，已經(jīng)為歐盟成員國憲法以及歐洲法院判例法所確認(rèn)。在全球經(jīng)濟(jì)和社會(huì)日漸數(shù)字化、聯(lián)系日益密切的背景下，該權(quán)利的行使，以及(處理歐盟居民個(gè)人數(shù)據(jù)的數(shù)據(jù)控制者和處理者(data controllers and processors))相應(yīng)義務(wù)和責(zé)任的履行至關(guān)重要。作為在數(shù)據(jù)保護(hù)領(lǐng)域一部領(lǐng)先的綜合性法律，《歐盟一般數(shù)據(jù)保護(hù)條例》(簡稱“《條例》”)不僅將促進(jìn)歐盟境內(nèi)的數(shù)據(jù)流通，也以通過賦予數(shù)據(jù)主體一系列具體權(quán)利的方式，第一次系統(tǒng)地將這項(xiàng)抽象的個(gè)人權(quán)利具體化，并為之建立了一套嚴(yán)格的法律實(shí)施體系來保護(hù)數(shù)據(jù)主體的權(quán)利。這些具體權(quán)利包括：訪問數(shù)據(jù)的權(quán)利(the right to access data)，數(shù)據(jù)可移植的權(quán)利(the right to data portability)，明確同意(以及撤銷同意)權(quán)(the rights to consent and withdrawal of consent)，數(shù)據(jù)修正權(quán)和數(shù)據(jù)刪除權(quán)(被遺忘權(quán))(the rights to correction and deletion, or to be forgotten)等。同時(shí)，《條例》詳細(xì)規(guī)定了監(jiān)管機(jī)構(gòu)的調(diào)查權(quán)(power to conduct investigation)、行政處罰權(quán)(the power to sanction)等，并直接賦予數(shù)據(jù)主體就個(gè)人數(shù)據(jù)侵犯向法院提起訴訟的權(quán)利。此外，《條例》明確保護(hù)歐盟境內(nèi)所有數(shù)據(jù)主體，不論數(shù)據(jù)主體的國籍，同時(shí)也規(guī)范向歐盟境外進(jìn)行的數(shù)據(jù)轉(zhuǎn)移。因此，《條例》適用于不在歐盟境內(nèi)，但處理歐盟境內(nèi)自然人個(gè)人數(shù)據(jù)的數(shù)據(jù)控制者和處理者(data controllers and data processors)。

顯然，我國境內(nèi)數(shù)據(jù)控制者和處理者處理《條例》保護(hù)之歐盟居民個(gè)人數(shù)據(jù)的，就在《條例》管轄范圍之內(nèi)。它們的此類數(shù)據(jù)處理行為將直接受到《條例》的影響：如果不能符合《條例》要求處理數(shù)據(jù)，就會(huì)違反《條例》，理論上將面臨的不利后果包括高額的行政罰款或其它懲罰措施，以及在歐盟境內(nèi)受危害的數(shù)據(jù)主體所提起的訴訟。在西方各國對我國電子產(chǎn)品的安全和隱私保護(hù)的擔(dān)憂日漸增加，尤其是在可能涉及國家安全和商業(yè)機(jī)密的情形下，這會(huì)引起我國與歐盟(成員國)之間法律和管轄權(quán)沖突，引發(fā)外交問題，甚至潛在的政治擔(dān)憂[注]從美國政府出于國家安全對中興和華為的監(jiān)管可見一斑，盡管此事在歐盟較少得到關(guān)注。(參見：Matthew Yglesias. Trump helps sanctioned Chinese phone maker after China delivers a big loan to a Trump project[EB/OL].(2018-05-15)[2018-06-17]. https://www.vox.com/policy-and-politics/2018/5/15/17355202/trump-zte-indonesia-lido-city.)。

這個(gè)重要的問題無疑應(yīng)當(dāng)?shù)玫街袣W兩方法律界的全面關(guān)注。首先，我國是歐盟第二大貿(mào)易伙伴，而歐盟也是我國最大的貿(mào)易伙伴。鑒于雙方目前仍在持續(xù)增長的貿(mào)易、經(jīng)濟(jì)、教育和政治交流和聯(lián)系，大量的跨境數(shù)據(jù)轉(zhuǎn)移現(xiàn)象是不可避免的[1][注]參見：http://ec.europa.eu/trade/policy/countries-and-regions/countries/china.。其次，當(dāng)眾多數(shù)字經(jīng)濟(jì)市場巨頭為了提供更好的商業(yè)服務(wù)或者降低成本等，相互之間進(jìn)行跨多平臺、行業(yè)和國境分享和處理個(gè)人數(shù)據(jù)時(shí)，面向我國的跨境數(shù)據(jù)轉(zhuǎn)移，很可能以人們預(yù)期之外的、不為人知的方式進(jìn)行，從而引發(fā)數(shù)據(jù)和隱私保護(hù)之外的顧慮。例如，最近據(jù)美國媒體報(bào)道，F(xiàn)acebook自2010年起就至少與4家我國電子數(shù)碼公司有著數(shù)據(jù)共享合作關(guān)系，其未經(jīng)用戶同意，為華為、聯(lián)想、Oppo和TCL獲取用戶數(shù)據(jù)提供了非公開訪問渠道。該數(shù)據(jù)共享允許這些中國合作伙伴從電子設(shè)備用戶和所有其它合作伙伴處獲取詳盡的個(gè)人數(shù)據(jù)，涉及到宗教和政治傾向、工作與教育背景，以及社會(huì)關(guān)系狀況。該數(shù)據(jù)共享也涉及到其它服務(wù)商，如亞馬遜、蘋果、黑莓以及三星[注]讓很多用戶擔(dān)憂的是：是否這些共享的數(shù)據(jù)被傳輸?shù)搅酥袊姆?wù)器，或者傳輸給了第三方，盡管Facebook堅(jiān)稱所有應(yīng)用程序的數(shù)據(jù)均儲存于華為設(shè)備中，而非華為服務(wù)器上。(參見：Liao Shannon. Why Facebook’s secret data-sharing deal with Huawei has the US concerned[EB/OL].(2018-06-05)[2018-06-12]. https://www.theverge.com/2018/6/8/17435764/facebook-data-sharing-huawei-cybersecurity; Michael LaForgia & Gabriel J. X. Dance. Facebook Gave Data Access to Chinese Firm Flagged by U.S. Intelligence[N/OL].(2018-06-05)[2018-06-12]. https://www.nytimes.com/2018/06/05/technology/facebook-device-partnerships-china.html.)?？梢栽O(shè)想，當(dāng)歐盟數(shù)據(jù)主體在使用華為或其它我國電子產(chǎn)品時(shí)，相似情況可能會(huì)發(fā)生，他們的數(shù)據(jù)將被訪問、共享并被分析。最后，當(dāng)司法管轄權(quán)不再僅僅是一個(gè)法律問題，而更趨向于政治化和外交化時(shí)，一個(gè)重要的顧慮就是歐盟在多大程度上能在歐盟境外保護(hù)其公民的(作為基本權(quán)利的)數(shù)據(jù)保護(hù)權(quán)。此外，在一個(gè)聯(lián)系日益密切的世界中，《條例》的實(shí)施會(huì)對我國境內(nèi)公共和私營部門產(chǎn)生其它間接影響。這意味著我國為了順利實(shí)現(xiàn)全球經(jīng)濟(jì)擴(kuò)張、擴(kuò)大國際影響力并增強(qiáng)軟實(shí)力，就需要認(rèn)真考慮提升國內(nèi)數(shù)據(jù)和隱私法律保護(hù)水平，以消除國外市場的疑慮，并增進(jìn)歐盟消費(fèi)者的信任。其中一個(gè)重要的指標(biāo)就是國內(nèi)數(shù)字化產(chǎn)業(yè)，尤其是我國數(shù)字巨頭，以及我國管理部門對《條例》規(guī)定的數(shù)據(jù)保護(hù)權(quán)的態(tài)度。無疑，尊重?cái)?shù)據(jù)保護(hù)權(quán)，以《條例》為基準(zhǔn)和參考，提高我國數(shù)據(jù)保護(hù)立法和實(shí)踐，將為我國企業(yè)贏得更多的信任和更廣闊的海外市場。

由此，本文旨在探索數(shù)據(jù)保護(hù)權(quán)作為一項(xiàng)基本權(quán)利的情形下，《條例》作為一項(xiàng)具有全球影響力的歐盟立法，對我國企業(yè)產(chǎn)生的影響和應(yīng)對策略。第二節(jié)將簡要介紹在歐盟法律框架下，作為一項(xiàng)基本權(quán)利的數(shù)據(jù)保護(hù)權(quán)的發(fā)展、特征和內(nèi)容。第三節(jié)將概述《條例》所確立的數(shù)據(jù)保護(hù)機(jī)制，尤其是數(shù)據(jù)主體擁有的不同具體權(quán)利，以及數(shù)據(jù)控制者和處理者的相應(yīng)義務(wù)。第四節(jié)將具體分析《條例》對我國境內(nèi)的數(shù)據(jù)控制者和處理者的域外適用，以及在主要的數(shù)據(jù)處理具體情形中，它們的相關(guān)數(shù)據(jù)保護(hù)角色和義務(wù)，尤其是《條例》對它們出于合規(guī)而進(jìn)行的數(shù)據(jù)處理操作要求，以及潛在成本的影響。最后，本文嘗試為我國境內(nèi)的數(shù)據(jù)控制者和處理者提供一些合規(guī)建議，以更好地應(yīng)對《條例》對其數(shù)據(jù)處理操作實(shí)踐產(chǎn)生的影響。

一、數(shù)據(jù)保護(hù)權(quán)作為一項(xiàng)基本權(quán)利

《歐盟憲章》[注]《歐盟憲章》不同于傳統(tǒng)的人權(quán)法律文件，例如《歐洲人權(quán)公約》，它不是一部普遍適用且獨(dú)立存在的人權(quán)法案；它僅僅在歐盟機(jī)構(gòu)和成員國實(shí)施歐盟法律時(shí)適用。歐盟和歐盟成員國法律應(yīng)當(dāng)依據(jù)《歐盟憲章》并將《歐盟憲章》作為最低要求，歐盟法和歐盟成員國法律中的規(guī)定與《歐盟憲章》相沖突的，不得適用。(參見：Menno Mostert, Annelien L. Bredenoord, Bart van der Sloot, Johannes J.M. van Delden. From Privacy to Data Protection in the EU: Implications for Big Data Health Research[J]. European Journal of Health Law, 2017, 25(1): 4-5.)第8條規(guī)定：“任何人都享有對關(guān)乎自身的個(gè)人數(shù)據(jù)的保護(hù)權(quán)利”以及“該數(shù)據(jù)應(yīng)當(dāng)基于特定目的和相關(guān)個(gè)人的同意，或者其它法律規(guī)定的合法依據(jù)，適當(dāng)?shù)赜枰蕴幚韀注]參見：Charter of Fundamental Rights of the European Union, Article 8.?！薄稓W盟運(yùn)行條約》第16條第1款規(guī)定，任何人都享有對關(guān)乎自身的個(gè)人數(shù)據(jù)的保護(hù)權(quán)利[注]參見：Treaty on the Functioning of the European Union, Article 16.1.。這項(xiàng)獨(dú)立于隱私權(quán)的權(quán)利的創(chuàng)設(shè)，是歐盟法律制度的一個(gè)突出特點(diǎn)：它將數(shù)據(jù)保護(hù)提升至歐盟法律體系中受到最高保護(hù)的基本權(quán)利層面。盡管這項(xiàng)權(quán)利在其它法律體系甚至是歐盟中是否作為基本人權(quán)，可能還或多或少存在爭議[注]總體而言，Bart van de Sloot反對賦予數(shù)據(jù)保護(hù)權(quán)作為基本人權(quán)的法律地位，包括: a)大多數(shù)數(shù)據(jù)保護(hù)的內(nèi)容都沒有人權(quán)或基本權(quán)利的潛在含義；b)數(shù)據(jù)保護(hù)規(guī)則的目的之一在于方便數(shù)據(jù)處理活動(dòng)，并確保這些活動(dòng)以合理、適當(dāng)?shù)胤绞竭M(jìn)行；c)《指令》和《條例》更類似于市場法規(guī)而非傳統(tǒng)人權(quán)法律文件。(參見：Bart van de Sloot. Legal Fundamentalism: Is Data Protection Really a Fundamental Right?[M]// Leenes R., van Brakel R., Gutwirth S., De Hert P. (eds). Data Protection and Privacy: (In)visibilities and Infrastructures. Springer, Cham, 2017: 19-28.)。因?yàn)樵跉W盟法中，基本權(quán)利一詞一貫有所指代，而并非明確是人權(quán)和憲法權(quán)利的同義詞[2]14。

但是，數(shù)據(jù)保護(hù)權(quán)在歐盟并不完全是“新權(quán)利”。數(shù)據(jù)保護(hù)權(quán)可以部分地從北歐國家的數(shù)據(jù)保護(hù)規(guī)則, 歐洲委員會(huì)對數(shù)據(jù)處理的決議, 以及從美國對公平信息實(shí)踐原則的實(shí)現(xiàn)中找到根源[2]7。在早期階段，歐盟數(shù)據(jù)保護(hù)立法以規(guī)范市場和促進(jìn)信息自由流通為導(dǎo)向，而且在歐洲委員會(huì)處理人權(quán)保護(hù)問題時(shí)，數(shù)據(jù)保護(hù)規(guī)則主要是為了保障數(shù)據(jù)處理活動(dòng)的公平和細(xì)致性[注]歐盟規(guī)范其統(tǒng)一市場的方式仍然與隱私保護(hù)密切聯(lián)系，這可以在《指令》中略見一斑。(參見：Bart van de Sloot. Legal Fundamentalism: Is Data Protection Really a Fundamental Right?[M]// Leenes R., van Brakel R., Gutwirth S., De Hert P. (eds). Data Protection and Privacy: (In)visibilities and Infrastructures. Springer, Cham, 2017: 7.)。當(dāng)歐盟開始進(jìn)行數(shù)據(jù)保護(hù)時(shí)，最初的數(shù)據(jù)保護(hù)規(guī)則就來源于市場規(guī)則。數(shù)據(jù)保護(hù)權(quán)一開始是與隱私權(quán)密切相關(guān)的，這在《歐盟數(shù)據(jù)保護(hù)指令》(以下簡稱《指令》)中得到了充分體現(xiàn)[2]7。

在《條例》起草的最后版本中，隱私權(quán)未被提起，數(shù)據(jù)保護(hù)權(quán)從而最終同隱私權(quán)保護(hù)脫離?！稐l例》第1條第2款規(guī)定：“本條例保護(hù)基本權(quán)利和自然人自由，尤其是自然人的個(gè)人數(shù)據(jù)保護(hù)權(quán)利?！?不同于《指令》，《條例》中數(shù)據(jù)保護(hù)權(quán)的法律基礎(chǔ)是《歐盟運(yùn)行條約》第16條，該條款規(guī)定：任何人都享有同自身相關(guān)的個(gè)人數(shù)據(jù)的保護(hù)權(quán)利。第16條還規(guī)定歐洲議會(huì)和歐洲委員會(huì)在以下情況，應(yīng)當(dāng)制定規(guī)則保護(hù)個(gè)人數(shù)據(jù)：當(dāng)歐盟機(jī)構(gòu)、組織、代理機(jī)構(gòu)，以及歐盟成員國依據(jù)歐盟法律和有關(guān)數(shù)據(jù)自由流通的法律，開展涉及個(gè)人數(shù)據(jù)處理的活動(dòng)時(shí)[注]參見：Treaty on the Functioning of the European Union, Article 16.。數(shù)據(jù)保護(hù)權(quán)和隱私權(quán)保護(hù)的分離，還可以從2000年頒布，并于2009年生效的《歐盟憲章》第8條中找到依據(jù)。至少從術(shù)語層面而言可以清楚地看到，數(shù)據(jù)保護(hù)已經(jīng)完全和隱私權(quán)脫離[2]7。

數(shù)據(jù)保護(hù)權(quán)作為一項(xiàng)基本權(quán)利在歐盟享有最高級別的法律保護(hù)，歐盟有明確的法律義務(wù)來規(guī)范數(shù)據(jù)保護(hù)領(lǐng)域[2]8。數(shù)據(jù)保護(hù)權(quán)不是“新權(quán)利”，還體現(xiàn)在歐盟法院的判例中。歐洲法院在Schrems, Google Spain和Coty案中，將《指令》溯及既往地解釋為適用《歐盟憲章》第8條的一種通常方式[注]在Coty一案中，法院認(rèn)為《指令》應(yīng)當(dāng)作為《歐盟憲章》的具體應(yīng)用。(參見：Gloria González Fuster, Rapha?l Gellert. The fundamental right of data protection in the European Union: in search of an uncharted right[J]. International Review of law, Computers & Technology, 2012, 26(1): 73-82.)。與早期不愿提及數(shù)據(jù)保護(hù)權(quán)的做法相反，歐洲法院在2008年的Promusicae一案中，直接引用了數(shù)據(jù)保護(hù)權(quán)這一概念[注]參見Promusicae v. Telefo nica de Espan a, C-275/06.。自2010年的Eifert判決起[3]132，歐洲法院開始在多種場合討論涉及到數(shù)據(jù)保護(hù)的問題[4]。在2010年判決的Voker and Markus Schecke GBR and Hartmut Eifert v. Land Hessen這一合并審理案件中，歐洲法院明確提出個(gè)人數(shù)據(jù)保護(hù)是基于《歐盟憲章》第8條第1款設(shè)立的一項(xiàng)基本權(quán)利，并把它同《歐盟憲章》第7條尊重私人生活的權(quán)利相聯(lián)系[注]對歐盟法院如何通過司法解釋來確立數(shù)據(jù)保護(hù)權(quán)，參見：Gloria González Fuster, Rapha?l Gellert. The fundamental right of data protection in the European Union: in search of an uncharted right[J]. International Review of law, Computers & Technology, 2012, 26(1): 76-79.。在Eugen Schmidberger一案中，歐洲法院判定數(shù)據(jù)保護(hù)權(quán)不是一項(xiàng)絕對權(quán)利，應(yīng)當(dāng)結(jié)合其在社會(huì)中的作用予以具體考慮[注]參見：Eugen Schmidberger, Internationale Transporte und Planzu¨ge v. Republik O¨ sterreich, Case C-112/00, Judgment, at para. 80.。在2011年Deutsche Telekom一案中，歐洲法院明確宣布《指令》的立法目的，是確保個(gè)人數(shù)據(jù)保護(hù)權(quán)的遵守，這與其以往傾向于主張隱私權(quán)不同[注]參見：Deutsche Telekom AG v Bundesrepublik Deutschland, Case C-543/09, Judgment, at para. 50.。從這個(gè)判決開始，歐洲法院“依據(jù)《歐盟憲章》第8條第1款對數(shù)據(jù)保護(hù)權(quán)的表述，不間斷地創(chuàng)設(shè)個(gè)人數(shù)據(jù)保護(hù)權(quán)，而第2款第1句則將限定哪些條件下允許進(jìn)行個(gè)人數(shù)據(jù)處理[4]28”。

盡管在歐盟數(shù)據(jù)保護(hù)權(quán)不是絕對的，具有一定的限制[注]根據(jù)Bonnici的觀點(diǎn)，總體而言數(shù)據(jù)保護(hù)權(quán)受到以下因素限制：其社會(huì)功能，《歐盟憲章》中闡述的積極權(quán)利界限(positive delimitations of the rights)，《歐盟憲章》第52條規(guī)定的限制(同意，對基本權(quán)利本質(zhì)、自由和適當(dāng)性的尊重)，第7條隱私權(quán)和第8條的聯(lián)系，以及當(dāng)前數(shù)據(jù)保護(hù)二級法律和未來數(shù)據(jù)保護(hù)規(guī)范框架的具體規(guī)定。(參見：Jeanne Pia Mifsud Bonnici. Exploring the Non-absolute Nature of the Right to Data Protection[J]. International Review of Law, Computers & Technology. 2014, 28(2): 131-143.)，但作為一項(xiàng)基本權(quán)利，它正通過歐洲法院近期的判決和立法措施(主要是歐盟二級立法)得到快速擴(kuò)張[5]。就數(shù)據(jù)保護(hù)權(quán)本身而言，不僅權(quán)利適用對象的范圍在擴(kuò)張[注]例如，《條例》對個(gè)人數(shù)據(jù)和數(shù)據(jù)處理的定義，幾乎可以包括在當(dāng)今數(shù)據(jù)驅(qū)動(dòng)的經(jīng)濟(jì)和社會(huì)中絕大多數(shù)與個(gè)人數(shù)據(jù)相關(guān)的處理。(參見：《條例》第4條第1-2款。)，其地域適用范圍也延伸至歐盟境外。同很多其它基本權(quán)利或利益比較，例如公共安全、信息自由和數(shù)據(jù)控制者的經(jīng)濟(jì)利益，數(shù)據(jù)保護(hù)正變得更為重要[4]814。作為一項(xiàng)基本權(quán)利，數(shù)據(jù)保護(hù)權(quán)適用于歐盟境內(nèi)的所有自然人(無論國籍)，所有數(shù)據(jù)處理操作(除非在歐盟法律適用范圍之外)，以及所有個(gè)人數(shù)據(jù)(包括已識別或可識別的個(gè)人數(shù)據(jù))。該項(xiàng)新權(quán)利的現(xiàn)實(shí)意義在于一個(gè)強(qiáng)有力的法律框架的建立，能應(yīng)對諸多新技術(shù)發(fā)展所帶來的巨大挑戰(zhàn)。這項(xiàng)新權(quán)利的創(chuàng)設(shè)，還為數(shù)據(jù)主體的權(quán)利主張?jiān)黾恿艘?guī)范性力量，即： “數(shù)據(jù)保護(hù)作為一項(xiàng)權(quán)利的確立，相較于絕大多數(shù)其它人權(quán)而言，為私營部門設(shè)立了更重要的義務(wù)[6]。

盡管數(shù)據(jù)保護(hù)權(quán)已經(jīng)被廣泛接受為一項(xiàng)基本權(quán)利，或者被當(dāng)作人權(quán)的一部分，甚至等同于人權(quán)[2]18-19，一個(gè)根本問題仍然懸而未決：什么是數(shù)據(jù)保護(hù)權(quán)，或者更具體而言，“個(gè)人數(shù)據(jù)保護(hù)權(quán)由什么構(gòu)成[3]133？” 對此，學(xué)界雖然有深入的討論，但是沒有統(tǒng)一意見。比如，Hondius對數(shù)據(jù)保護(hù)權(quán)進(jìn)行了廣泛的定義：在處理個(gè)人相關(guān)信息時(shí)，對個(gè)人權(quán)利、自由和基本利益的保護(hù)，尤其是當(dāng)由計(jì)算機(jī)輔助進(jìn)行數(shù)據(jù)處理時(shí)[7]。而Rodata將這項(xiàng)權(quán)利作為隱私概念長期發(fā)展歷程的終結(jié)點(diǎn)，從最初定義的 “別來打攪我” 之權(quán)利，提升到控制個(gè)人信息并決定如何建構(gòu)私人領(lǐng)域的權(quán)利[8]。然而，盡管大多數(shù)學(xué)者從隱私保護(hù)的角度，或者從《歐洲委員會(huì)公約第108號》或《指令》的原則進(jìn)行定義[3]133，但是對究竟什么是數(shù)據(jù)保護(hù)權(quán)的具體內(nèi)容仍沒有統(tǒng)一意見。正如Paul de Hert和Serge Gutwirth所評論的那樣：“數(shù)據(jù)保護(hù)是包羅萬象的術(shù)語，涵蓋了同處理個(gè)人數(shù)據(jù)相關(guān)的一系列概念?！盵9]

二、《條例》：如何在歐盟境外實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)？

為解決定義問題，一個(gè)可行辦法是把數(shù)據(jù)保護(hù)權(quán)當(dāng)作一項(xiàng)綜合性權(quán)利，從而涵蓋一系列的具體權(quán)利，以實(shí)現(xiàn)和具體化數(shù)據(jù)保護(hù)權(quán)。首先，數(shù)據(jù)保護(hù)權(quán)由一系列不同歐盟成員國認(rèn)可的基本價(jià)值和利益作為基礎(chǔ)，包括隱私、自治、透明、非歧視[6]26和尊嚴(yán)等價(jià)值[注]“數(shù)據(jù)保護(hù)權(quán)最初孕育于20世紀(jì)70年代和80年代，作為對因大規(guī)模個(gè)人數(shù)據(jù)處理可能引發(fā)的侵犯隱私和尊嚴(yán)的補(bǔ)償途徑?！?(參見：European Data Protection Supervisor. Towards a new digital ethics: Data, Dignity and Technology[EB/OL]. (2015-09-11)[2018-06-13]. https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_en.pdf)。這和隱私權(quán)相似，都不是單一、具體的權(quán)利，而是作為多項(xiàng)利益、自由和法律權(quán)利的集合[注]“除了不被觀看、聽取或直接報(bào)導(dǎo)，以及未經(jīng)請求不受公眾關(guān)注外，綜合的隱私保護(hù)權(quán)還延伸至其它權(quán)利請求。”(參見：Stanley I. Benn. Privacy. Freedom, and Respect for Persons[M]//J. Roland Pennock, John W. Chapman. Privacy and Personality. Taylor and Francis. New York. 2017: 3-4.)。其次，作為一項(xiàng)綜合權(quán)利，數(shù)據(jù)保護(hù)權(quán)由多個(gè)具體的權(quán)利構(gòu)成，這些權(quán)利在不同數(shù)據(jù)處理操作的過程中，能保護(hù)個(gè)人數(shù)據(jù)的不同方面。正如Bonnici所指出的，這些《條例》設(shè)立的具體數(shù)據(jù)保護(hù)規(guī)則, 不僅僅賦予數(shù)據(jù)主體權(quán)利，也授予那些獨(dú)立機(jī)構(gòu)職權(quán)，以保障數(shù)據(jù)主體權(quán)利的實(shí)現(xiàn)[3]134。

在此背景下，作為歐盟的二級法律，《條例》在數(shù)據(jù)保護(hù)權(quán)的建構(gòu)中扮演著重要角色。它規(guī)定了一系列相關(guān)具體權(quán)利，以具體化并實(shí)現(xiàn)數(shù)據(jù)保護(hù)權(quán)。許多具體權(quán)利已經(jīng)在其它歐盟法規(guī)和不同形式法律文件中得到承認(rèn)和解釋，這包括《歐盟憲章》在第8條(同意)，以及《指令》對通知權(quán)、訪問權(quán)、拒絕權(quán)、刪除權(quán)、修正權(quán)和救濟(jì)權(quán)的闡述和確立。但是，《條例》第一次以能直接實(shí)施于全歐盟域內(nèi)的法律形式(條例)和強(qiáng)制力，把所有這些具體權(quán)利正式歸納在數(shù)據(jù)保護(hù)權(quán)利之下，并建立了強(qiáng)大的權(quán)利保護(hù)機(jī)制作為保障。在歐盟層面，這被認(rèn)為是歐洲憲法的具體化，從縱向角度看該權(quán)利能被用來對抗公共數(shù)據(jù)控制者和處理者，從橫向角度看該權(quán)利能對抗私人數(shù)據(jù)控制者和處理者[10]。

第一，《條例》中各項(xiàng)具體權(quán)利，例如訪問權(quán)、修正權(quán)、刪除權(quán)、拒絕權(quán)和同意(以及撤回同意)權(quán)，都有數(shù)據(jù)控制者和處理者明確對應(yīng)的義務(wù)，以幫助數(shù)據(jù)主體具體行使權(quán)利。第二，《條例》為數(shù)據(jù)控制者和處理者合法、適當(dāng)?shù)靥幚頂?shù)據(jù)規(guī)定了具體義務(wù)，包括通知數(shù)據(jù)泄露，與有管轄權(quán)的監(jiān)管機(jī)構(gòu)及其它數(shù)據(jù)保護(hù)機(jī)構(gòu)合作，記錄數(shù)據(jù)處理，向數(shù)據(jù)主體提供必要信息，以及確保數(shù)據(jù)安全等義務(wù)。對向歐盟境外轉(zhuǎn)移數(shù)據(jù)，《條例》規(guī)定了合法轉(zhuǎn)移的具體條件，將數(shù)據(jù)保護(hù)延伸至歐盟司法管轄范圍之外，包括適當(dāng)性保障決定、合理保障，以及特定情形下的克減條款。第三，《條例》建立了一套強(qiáng)大的法律執(zhí)行機(jī)制，要求歐盟成員國建立獨(dú)立的監(jiān)管機(jī)構(gòu)行使監(jiān)管權(quán)。同時(shí)《條例》還設(shè)立了一致性機(jī)制(the consistency mechanism)，設(shè)立了歐洲數(shù)據(jù)保護(hù)委員會(huì) (the European Data Protection Board， EDPB)作為歐盟層面的最高監(jiān)管機(jī)構(gòu)[注]“歐洲數(shù)據(jù)保護(hù)委員會(huì)”是依《指令》成立的第29條工作組的繼任者。，以確?！稐l例》在歐盟全境的統(tǒng)一實(shí)施。第四，《條例》還采用了其它法律、非法律手段促進(jìn)法律遵守，它們具有柔性法、自我管理或共同管理的特點(diǎn)，以適應(yīng)成員國內(nèi)部復(fù)雜的商業(yè)實(shí)踐，例如認(rèn)證機(jī)制(certification mechanism)、行為準(zhǔn)則 (codes of conduct) 和有約束力的公司規(guī)章(binding corporate rules)。此外還專門使用強(qiáng)而有力的規(guī)則，來確立數(shù)據(jù)主體申訴機(jī)制，以及對行政處罰和違反《條例》的各種救濟(jì)途徑。

最后，《條例》一個(gè)突出特征，就是數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)擁有強(qiáng)大的執(zhí)法權(quán)力，包括能對違法者處以高額行政罰款，以確保《條例》在歐盟全境內(nèi)能得到貫徹執(zhí)行。歐盟獨(dú)立的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)可以依據(jù)第58條，直接運(yùn)用調(diào)查權(quán)對違法行為進(jìn)行調(diào)查(不論是否基于數(shù)據(jù)主體的請求)，并訓(xùn)誡或糾正數(shù)據(jù)控制者或處理者的不當(dāng)行為，要求其依法處理數(shù)據(jù)[注]有關(guān)具體的調(diào)查權(quán)和糾正權(quán)，參見《條例》第58條。。它們可以要求數(shù)據(jù)控制者和處理者暫?；蛲Ｖ箶?shù)據(jù)處理，基于數(shù)據(jù)主體請求向其提供信息，以及提供調(diào)查所需的必要信息，等等。此外，監(jiān)管機(jī)構(gòu)還有權(quán)處以違法者最高為2000萬歐元，或違法者上一年度全球年?duì)I業(yè)額的4%(取較高額)的行政罰款。數(shù)據(jù)主體可以依據(jù)第79條，向數(shù)據(jù)控制者或處理者提起訴訟主張損害賠償。不受《條例》(第84條)約束的數(shù)據(jù)控制者或處理者，也可能會(huì)面臨歐盟成員國國內(nèi)立法所規(guī)定的其它處罰[注]參見：《條例》第84條。。

此外，為給數(shù)據(jù)主體提供更好的救濟(jì)途徑，任何相關(guān)數(shù)據(jù)控制者、共同數(shù)據(jù)控制者[注]共同數(shù)據(jù)控制者是指兩個(gè)或兩個(gè)以上共同決定數(shù)據(jù)處理目的和方式的數(shù)據(jù)控制者。(參見：《條例》第26條)、以及數(shù)據(jù)處理者，應(yīng)當(dāng)首先向遭受損害的數(shù)據(jù)主體全額支付賠償，然后可以要求其它責(zé)任主體補(bǔ)償其應(yīng)當(dāng)支付的份額，除非責(zé)任主體能夠證明其無論如何都對造成損害的事件沒有責(zé)任[注]參見：《條例》第82條。?！稐l例》另外一個(gè)明顯的特征，是其廣闊的域外適用范圍，它要求將歐盟的高保護(hù)標(biāo)準(zhǔn)適用至歐盟境外，同時(shí)對歐盟境內(nèi)所有自然人的個(gè)人數(shù)據(jù)予以保護(hù)，不論其國籍為何。在法律實(shí)踐中法律和管轄權(quán)的沖突已然成為事實(shí)時(shí)，盡管對立法要求的個(gè)人數(shù)據(jù)保護(hù)如何有效地轉(zhuǎn)化為現(xiàn)實(shí)這一問題仍然存在諸多疑問，但毫無疑問，歐盟正在采取各種措施，努力地保護(hù)這項(xiàng)基本權(quán)利。

在一個(gè)全球化、各國聯(lián)系日益密切的世界中，由于跨境數(shù)據(jù)傳輸和處理無處不在，因而作為基本權(quán)利的數(shù)據(jù)保護(hù)權(quán)將遭遇更大的挑戰(zhàn)。因?yàn)椴荒敲磭?yán)格地從技術(shù)上講，雖然實(shí)現(xiàn)數(shù)據(jù)本地化是可能的，但數(shù)據(jù)本地化也只能涵蓋一部分?jǐn)?shù)據(jù)，而開放和跨境的互聯(lián)網(wǎng)數(shù)據(jù)傳輸和處理仍會(huì)占主導(dǎo)地位，尤其是在各種云服務(wù)和物聯(lián)網(wǎng)興起的背景下。除非實(shí)現(xiàn)互聯(lián)網(wǎng)的完全分割[11]，跨境數(shù)據(jù)轉(zhuǎn)移是并且將會(huì)是日常生活的現(xiàn)實(shí)。在外國法律體系下如何保護(hù)本國數(shù)據(jù)主體的權(quán)利，將會(huì)是一個(gè)越來越重要的法律問題，這在美國和歐盟之間多次關(guān)于國家機(jī)構(gòu)或私企跨境數(shù)據(jù)保護(hù)的系列訴訟中可見一斑[注]美國和歐盟之間關(guān)于如何在美國境內(nèi)保護(hù)歐盟公民個(gè)人數(shù)據(jù)存在諸多爭議，包括對避風(fēng)港框架(EU-US Safe Harbor Framework)升級版的隱私屏盾協(xié)議(EU-US Privacy Shield)，以及向歐盟法院提起的一系列相關(guān)訴訟。除了可以向歐盟委員會(huì)在適當(dāng)性保障決定中承認(rèn)的國家進(jìn)行直接數(shù)據(jù)傳輸，絕大多數(shù)國家都需要滿足不同的條件，包括俄羅斯和我國。?，F(xiàn)代社會(huì)已經(jīng)在很大程度上進(jìn)入了所謂的在線生活社會(huì)(Onlife society)[12], 信息基礎(chǔ)設(shè)施已經(jīng)成為社會(huì)運(yùn)作的重要基礎(chǔ)設(shè)施之一，成為為社會(huì)提供諸如能源、交通、醫(yī)療、金融和教育等基本服務(wù)的基礎(chǔ)條件，并為公民其它基本社會(huì)活動(dòng)，比如社交和娛樂，提供不可或缺的載體和平臺。其涉及的數(shù)據(jù)交流和處理越來越國際化，比如社交媒體的應(yīng)用，互聯(lián)網(wǎng)媒體內(nèi)容服務(wù)的提供，手機(jī)各種應(yīng)用程序的普及，以及物聯(lián)網(wǎng)各種軟硬件服務(wù)的提供和升級[注]該數(shù)據(jù)服務(wù)包括網(wǎng)絡(luò)市場、在線搜索引擎和云計(jì)算等，以及信息基礎(chǔ)設(shè)施包括IXPs、DNS服務(wù)提供者和TLD域名注冊。(參見：EU Commission. DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, Article 4.)。當(dāng)跨境數(shù)據(jù)轉(zhuǎn)移和處理成為不可避免的社會(huì)現(xiàn)實(shí)，跨境數(shù)據(jù)保護(hù)將繼續(xù)挑戰(zhàn)目前歐盟數(shù)據(jù)保護(hù)法律架構(gòu)和其確立的數(shù)據(jù)保護(hù)權(quán)，特別是作為一項(xiàng)歐盟認(rèn)可的基本權(quán)利，其在歐盟境外如何得到實(shí)現(xiàn)的問題。

下文將通過分析《條例》對我國可能的潛在影響、或者在我國的適用，體現(xiàn)《條例》所主張的廣泛的地域適用所面對的現(xiàn)實(shí)困難和問題；特別是當(dāng)我國作為一個(gè)獨(dú)立的法律體系，當(dāng)前總體上還不承認(rèn)和執(zhí)行外國法院的判決；甚至可能出于政治、經(jīng)濟(jì)的原因，在短期內(nèi)還不會(huì)大量承認(rèn)和執(zhí)行外國法院的判決。因此，就《條例》的境外效力而言，其規(guī)定的高額行政處罰和各種救濟(jì)措施都可能面臨在外國，尤其是在中國無法執(zhí)行的問題[注]在我國境內(nèi)保護(hù)歐盟公民的個(gè)人數(shù)據(jù)，如果同美國和歐盟之間的存在的法律爭議相比較，則更像是充滿迷霧的百慕大三角。(參見：Bo Zhao & Mifsud Bonnici. Protecting EU citizens’ personal data in China: a reality or a fantasy?[J]. International Journal of Law and Information Technology. 2016: 128.)。本文接下來將探討我國境內(nèi)的數(shù)據(jù)控制者和處理者出于法定緣由處理歐盟居民的個(gè)人數(shù)據(jù)時(shí)，在哪些情形下它們將直接受到《條例》的約束(根據(jù)第3條)。并討論我國境內(nèi)的數(shù)據(jù)控制者和處理者在進(jìn)行數(shù)據(jù)處理時(shí)，它們可能遵循或無視其《條例》義務(wù)的情形、原因以及可能的策略性選擇。

三、《條例》對我國境內(nèi)的數(shù)據(jù)控制者和處理者的影響

當(dāng)我國境內(nèi)的數(shù)據(jù)控制者和處理者向歐盟境內(nèi)的自然人提供商品或服務(wù)(無論有無支付要求)，或者監(jiān)控發(fā)生于歐盟境內(nèi)的數(shù)據(jù)主體的行為時(shí)，依據(jù)《條例》第3條將適用《條例》。數(shù)據(jù)需要傳輸?shù)轿覈?，《條例》對數(shù)據(jù)輸出者和接收者均具有約束力。以下將討論我國境內(nèi)的數(shù)據(jù)控制者或處理者受《條例》約束的不同具體情形，它們應(yīng)當(dāng)履行的相關(guān)義務(wù)，以及在跨境數(shù)據(jù)處理操作中需要采取的相關(guān)必要措施。

直接受到影響的我國境內(nèi)數(shù)據(jù)控制者和處理者，是那些在歐盟直接設(shè)立機(jī)構(gòu) (establishment) 或設(shè)置(setups)的中國公司和機(jī)構(gòu)[注]《條例》說明性條款第22條認(rèn)定，設(shè)立機(jī)構(gòu)作為法律適用的代理(proxy)，是指通過穩(wěn)定的安排籌劃進(jìn)行有效而實(shí)質(zhì)性的活動(dòng)。而其是否通過分支機(jī)構(gòu)或者有法人資格的子公司的法律形式，并非認(rèn)定該安排籌劃的決定性因素。這與先前歐盟法院在Weltimmo案件中的判決一致。在該判決中，法院特別關(guān)注了設(shè)立機(jī)構(gòu)這一概念，闡明了《指令》的地域適用范圍。關(guān)于其它穩(wěn)定長期的安排籌劃，法院曾指出運(yùn)營一個(gè)或多個(gè)房產(chǎn)交易網(wǎng)站，如果這些有關(guān)房產(chǎn)位于匈牙利境內(nèi)，且網(wǎng)站是匈牙利文的，同時(shí)在試用一個(gè)月后在網(wǎng)站上刊登廣告需要繳納一定費(fèi)用等的事實(shí)，就足以認(rèn)定存在著有效和實(shí)質(zhì)性運(yùn)作行為。(參見：Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, Case C 230/14, Judgment of 1 Oct. 2015, at para 9 & 33.)如果我國數(shù)據(jù)控制者和處理者在歐盟境內(nèi)沒有任何實(shí)體設(shè)立機(jī)構(gòu)(例如辦公室、子公司或分支機(jī)構(gòu))，但在歐盟境內(nèi)有穩(wěn)定、長期的安排籌劃(例如運(yùn)作商業(yè)網(wǎng)站，且該網(wǎng)站是用歐盟成員國語言表述的)，它們將適用設(shè)立機(jī)構(gòu)的定義并處在《條例》的管轄范圍內(nèi)。在該情形下，第3條第1款和第2款都將該類企業(yè)和組織歸于《條例》管轄下。。它們將直接受《條例》和其它相關(guān)歐盟數(shù)據(jù)保護(hù)法律的約束，包括歐盟成員國的數(shù)據(jù)保護(hù)法。該類數(shù)據(jù)控制者和處理者，包括華為、阿里巴巴、小米、騰訊等，在歐盟境內(nèi)有辦公場所、分支機(jī)構(gòu)或子公司。首先，這些公司可能在歐盟境內(nèi)擁有雇員或法定代理人，并且出于商業(yè)或管理目的，需要收集或處理個(gè)人數(shù)據(jù)。這將涉及處理特殊類型個(gè)人數(shù)據(jù)比如雇員的健康數(shù)據(jù)(為其購買保險(xiǎn)和其它社會(huì)福利)，或者出于日常管理需要收集和處理其指紋或臉部圖像。其次，這類公司還會(huì)在大量的商業(yè)活動(dòng)中收集和處理歐盟消費(fèi)者的個(gè)人數(shù)據(jù)，且根據(jù)商業(yè)規(guī)模收集的數(shù)據(jù)量可能非常巨大(例如在線社交媒體或網(wǎng)絡(luò)購物服務(wù)，比如微信以及阿里巴巴的海外購物平臺)。他們收集的數(shù)據(jù)也可能包括《條例》規(guī)定的特殊類型個(gè)人數(shù)據(jù)，例如第4條規(guī)定的生物和基因數(shù)據(jù)(biometric and genetic data)。而所有這些數(shù)據(jù)都可能需要轉(zhuǎn)移到其在我國境內(nèi)的總部，以進(jìn)行進(jìn)一步的處理，或者轉(zhuǎn)移至它們擁有設(shè)置或機(jī)構(gòu)的其它第三國。它們是直接受到《條例》影響的數(shù)據(jù)控制者和處理者，必須嚴(yán)格遵循《條例》的所有要求，否則可能直接面臨監(jiān)管機(jī)構(gòu)的行政處罰，以及要面對受其數(shù)據(jù)處理活動(dòng)影響而遭受侵害的數(shù)據(jù)主體所提起的法律訴訟。事實(shí)上這些跨國公司擁有足夠的資源來確保，在其有意深度參與歐盟市場，或者意圖在歐盟市場上取得更好表現(xiàn)時(shí)，能夠全面遵循《條例》。

直接受《條例》影響的，還包括那些在歐盟境內(nèi)沒有設(shè)立機(jī)構(gòu)或設(shè)置，為不同目的而處理歐盟境內(nèi)自然人個(gè)人數(shù)據(jù)，但是位于我國境內(nèi)的數(shù)據(jù)控制者和處理者。根據(jù)第3條第2款，如果它們的經(jīng)營行為涉及以下規(guī)定活動(dòng)，將受到《條例》約束：

第一，只要數(shù)據(jù)控制者或處理者向歐盟境內(nèi)的自然人提供商品或服務(wù)，無論有無支付要求，都受《條例》管轄。例如，網(wǎng)上賣家直接通過自己的網(wǎng)站(以某歐盟成員國語言呈現(xiàn))，或者通過其它面向外國消費(fèi)者(包括歐盟消費(fèi)者)的中國商業(yè)在線平臺比如阿里巴巴和京東，向歐盟公民出售產(chǎn)品以及服務(wù)，比如電子產(chǎn)品硬件設(shè)備或軟件。由于網(wǎng)上賣家和平臺服務(wù)提供商共同決定數(shù)據(jù)處理的目的和方式，依據(jù)《條例》它們是共同數(shù)據(jù)控制者[注]這沿襲了2018年6月歐盟法院在初步審理中對共同控制的認(rèn)定邏輯，那就是要對共同控制予以寬泛地解釋，以確保對數(shù)據(jù)主體有效和全面的保護(hù)。(參見：Unabh?ngiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH, Case C-210/16, Judgment, at para. 45.)。這種情況也包括在歐盟境內(nèi)使用的智能手機(jī)、平板電腦以及其它可移動(dòng)電子設(shè)備中的應(yīng)用程序。這些程序可以是中文的應(yīng)用程序，或者以某歐盟成員國語言呈現(xiàn)。在我國的應(yīng)用程序設(shè)計(jì)者或所有者，通過智能手機(jī)以及這些移動(dòng)設(shè)備，事實(shí)上為歐盟境內(nèi)的用戶提供了服務(wù)，并直接從歐盟用戶那里收集了為提供該服務(wù)所必需的個(gè)人數(shù)據(jù)[注]在這種情形下，包括蘋果商店和谷歌商店在內(nèi)的應(yīng)用程序商的作用可能需要討論，因?yàn)樗鼈冊谝罁?jù)其行為準(zhǔn)則和遵守法律的過程中，在篩選和監(jiān)控這些應(yīng)用程序的運(yùn)營時(shí)扮演著不同角色?！翱刂普摺笨梢员欢x為是應(yīng)用程序的主要投資者和所有者，它們?yōu)閼?yīng)用程序投入資金、人力資源及其它資源，設(shè)計(jì)應(yīng)用程序以實(shí)現(xiàn)目的和獲得所有權(quán)。(參見：http://www.selfgrowth.com/articles/why-every-eu-mobile-app-development-company-need-to-implement-gdpr)。另外，在歐盟境內(nèi)沒有設(shè)置的中國公司為歐盟消費(fèi)者直接提供云服務(wù)時(shí)，例如百度，也會(huì)由于注冊要求和各種數(shù)據(jù)上傳，而涉及到對在歐盟自然人的個(gè)人數(shù)據(jù)的收集和處理[注]盡管在這個(gè)例子中，這些公司被認(rèn)定為數(shù)據(jù)處理者，這是由于它們提供了云服務(wù)，而非決定了處理目的。但也有人質(zhì)疑這一觀點(diǎn)，指出在很多情況下，至少云服務(wù)提供者也部分地決定了哪些用戶可以使用云服務(wù)。(參見：David Flint. Sharing the Risk: Processors and the GDPR[J]. Business Law Review. 2017, 38: 171-172; David Flint. Storms Ahead for Cloud Service Providers[J]. Business Law Review. 2017, 38: 125-126.)而根據(jù)英國信息委員會(huì)辦公室發(fā)布的使用云計(jì)算的指導(dǎo)，在社區(qū)云中，數(shù)據(jù)控制者在運(yùn)作云基礎(chǔ)設(shè)施時(shí)，也可以作為數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理；在公共云中，云服務(wù)提供者也可以作為數(shù)據(jù)控制者。(參見：Information Commissioner’s Office. Guidance on the use of cloud computing[EB/OL]. [2018-09-16]. https://ico.org.uk/media/for-organisations/documents/1540/cloud_computing_guidance_for_organisations.pdf. at p.7-8.)。

另外一個(gè)典型的跨境數(shù)據(jù)轉(zhuǎn)移的情形，就是中國公司向在歐盟境內(nèi)的數(shù)據(jù)控制者或處理者獲取數(shù)據(jù)，在我國進(jìn)行處理[注]這是歐洲法學(xué)院學(xué)者采納的主流觀點(diǎn)。但這一觀點(diǎn)存在爭議，因?yàn)椤稐l例》從未定義什么是跨境數(shù)據(jù)傳輸，并且《條例》沒有任何文本否認(rèn)在中國境內(nèi)的數(shù)據(jù)控制者直接向歐盟境內(nèi)自然人獲取個(gè)人數(shù)據(jù)就不是跨境數(shù)據(jù)傳輸。對這一問題，本文作者將另行撰文論述。。例如那些沒有在歐洲設(shè)立辦公室或分支機(jī)構(gòu)，但卻在歐盟境內(nèi)有幫助服務(wù)推廣的經(jīng)銷商或合作者的中國服務(wù)提供者(旅行社)或產(chǎn)品生產(chǎn)商。它們?yōu)榱颂峁┫嚓P(guān)的產(chǎn)品和服務(wù)，可能收集歐盟消費(fèi)者的數(shù)據(jù)，從而作為(共同)數(shù)據(jù)控制者。另外，也有位于我國的數(shù)據(jù)處理企業(yè)或軟件外包服務(wù)公司作為數(shù)據(jù)處理者，從歐盟數(shù)據(jù)控制者手里得到數(shù)據(jù)(從而存在跨境數(shù)據(jù)處理)并代其處理的情形，比如進(jìn)行市場調(diào)查分析，或者為提高軟件性能而使用這些來源于歐盟的個(gè)人數(shù)據(jù)。另外一種情況是在我國的產(chǎn)品制造者或服務(wù)商，通過歐盟(成員國)的在線銷售平臺來提供服務(wù)和產(chǎn)品，從而出現(xiàn)其作為共同數(shù)據(jù)控制者而得到歐盟用戶數(shù)據(jù)的情況。此外，位于我國的數(shù)據(jù)處理者(通常為第三方)可能間接地從另外一個(gè)我國的控制者(位于我國但在歐盟沒有設(shè)立機(jī)構(gòu))獲取數(shù)據(jù)，并代表其進(jìn)行處理的情況，例如百度(云服務(wù))或有道(基于驗(yàn)證注冊而提供云服務(wù)的在線詞典)。這些中國數(shù)據(jù)控制者或處理者，不論涉及到支付費(fèi)用與否，都應(yīng)當(dāng)履行《條例》所有規(guī)定的義務(wù)。在以上或其它情景中，會(huì)有相當(dāng)數(shù)量的這些企業(yè)可能是中小企業(yè)，當(dāng)它們處于《條例》的管轄范圍時(shí)，可能只有較少資源來全面履行《條例》的義務(wù)和要求，以進(jìn)行合法、適當(dāng)?shù)臄?shù)據(jù)處理。

第二，只要中國企業(yè)或組織監(jiān)控發(fā)生于歐盟境內(nèi)的個(gè)人行為的，就將受到《條例》的規(guī)制。一個(gè)典型的例子是歐盟居民可能經(jīng)常訪問我國的網(wǎng)站(服務(wù)器架設(shè)于中國的中文網(wǎng)站，或以歐盟某成員國語言呈現(xiàn)的網(wǎng)站)，其個(gè)人數(shù)據(jù)將會(huì)通過各種方式被收集和處理，包括使用各種不同類型、不同功能、并為不同所有者持有的cookies或帆布指紋識別技術(shù)(canvas fingerprinting)[13]?；蛘吒M(jìn)一步，如果歐盟數(shù)據(jù)主體在中國的網(wǎng)絡(luò)論壇進(jìn)行注冊，發(fā)布評論，并且在論壇上與其他訪問者交流，而不論是否以中文形式，該數(shù)據(jù)主體就因此被識別或者可被識別，其個(gè)人數(shù)據(jù)甚至可能通過自動(dòng)化方式被描述和評估，從而被該數(shù)據(jù)平臺監(jiān)控。監(jiān)控可以出于不同的目的進(jìn)行，包括為了提供更好的服務(wù)和客戶體驗(yàn)，為了商業(yè)廣告或推銷產(chǎn)品，或者只是為了網(wǎng)站的運(yùn)作或安全。很明顯，在數(shù)據(jù)處理實(shí)踐中提供服務(wù)和監(jiān)控有很多重合之處，這是因?yàn)樵诤芏鄨龊现刑峁┓?wù)需要不同程度地監(jiān)控用戶，即便沒有計(jì)費(fèi)或支付行為；并且在很多場合中，用戶允許服務(wù)提供者對其進(jìn)行監(jiān)控，收集并處理其數(shù)據(jù)，以此獲得免費(fèi)服務(wù)[14]。

如上所述，大量我國企業(yè)將會(huì)受到《條例》直接影響。如果它們作為數(shù)據(jù)控制者或處理者不履行《條例》義務(wù)，或者沒有達(dá)到與其數(shù)據(jù)處理操作相關(guān)的要求時(shí)，可能面臨違反法律的風(fēng)險(xiǎn)、以及隨之而來的行政處罰(理論上)和歐盟數(shù)據(jù)主體提起的訴訟。歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)在實(shí)踐中可能并不會(huì)處以行政罰款，因?yàn)樵谖覈痉C(jī)關(guān)基本不會(huì)承認(rèn)他國行政處罰的效力時(shí)，做出這種決定只能降低其自身權(quán)威。但是這些獨(dú)立監(jiān)管機(jī)構(gòu)仍然可以依照《條例》的權(quán)利，命令該企業(yè)停止或暫停數(shù)據(jù)處理操作，要求其配合進(jìn)行進(jìn)一步調(diào)查，抑或可能直接命令屏蔽該企業(yè)在歐盟的互聯(lián)網(wǎng)服務(wù)訪問，或者移除其在歐盟的廣告，以禁止其進(jìn)入歐盟市場[注]比如2000年有名的法國Yahoo案例中，法國法院就做出決定禁止同納粹有關(guān)的紀(jì)念物在Yahoo的網(wǎng)站上拍賣，并禁止法國互聯(lián)網(wǎng)瀏覽者訪問Yahoo的美國網(wǎng)站。參見：Juan Carlos. Yahoo Loses Appeal in Nazi Memorabilia Case [EB/OL].(2016-01-12)[2018-10-10].https://www.pcworld.com/article/124367/article.html.。這對違法企業(yè)而言，仍然是一項(xiàng)重要的顧慮和威脅，需要考慮。從這個(gè)角度講，中國企業(yè)應(yīng)當(dāng)如何面對《條例》數(shù)據(jù)保護(hù)要求，將會(huì)是它們在歐盟繼續(xù)進(jìn)行商業(yè)活動(dòng)的重要考量。

首先，我國電子巨頭早在2018年5月25日《條例》實(shí)施前，就已經(jīng)做了充分的準(zhǔn)備。阿里巴巴已經(jīng)在法蘭克福成立了數(shù)據(jù)中心，并宣稱為實(shí)現(xiàn)數(shù)據(jù)本地化，將在歐盟成立第二個(gè)數(shù)據(jù)中心[15]。小米近期也頒布了新的數(shù)據(jù)隱私政策，表明對《條例》跨境數(shù)據(jù)轉(zhuǎn)移和處理操作要求的遵守[注]參見：Privacy Policy. https://www.mi.com/us/about/new-privacy.。微信國際版在今年5月初也更新了其隱私保護(hù)政策，以遵循新的法律要求[注]參見：WeChat Privacy Protection Summary. https://www.wechat.com/en/privacy_policy.html.。華為也宣稱其云服務(wù)運(yùn)營遵循了云安全認(rèn)證CSA-STAR[16]。上述在歐盟境內(nèi)有設(shè)立機(jī)構(gòu)或設(shè)置的中國數(shù)據(jù)控制者或處理者必須遵循《條例》，因?yàn)樗鼈冊跉W盟的數(shù)據(jù)處理活動(dòng)直接處于歐盟成員國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)和歐盟法院的管轄之下。違反《條例》及其它數(shù)據(jù)保護(hù)法律，不能嚴(yán)格地同其它歐盟數(shù)據(jù)控制者和處理者保持步調(diào)一致，將意味著高額的違法成本[注]根據(jù)國際隱私專家協(xié)會(huì)和安永的研究發(fā)現(xiàn)，《財(cái)富》500強(qiáng)的公司一共將花費(fèi)78億美元來確保遵循《條例》，這意味著每個(gè)公司需要花費(fèi)1600萬美元，但是高額的行政罰款使得遵循法律成為唯一選擇。(參見：International Association of Privacy Professional. Global 500 companies to spend $7.8B on GDPR compliance [EB/OL].(2017-11-20)[2018-09-16]. https://iapp.org/news/a/survey-fortune-500-companies-to-spend-7-8b-on-gdpr-compliance/)。但是對我國跨國企業(yè)而言，最重要的問題是：當(dāng)需要把收集的歐盟居民的個(gè)人數(shù)據(jù)轉(zhuǎn)移到我國或第三國進(jìn)一步處理時(shí)，如何能遵循《條例》要求，如何能結(jié)合第三國法治狀況和數(shù)據(jù)保護(hù)實(shí)踐，達(dá)到《條例》確立的數(shù)據(jù)保護(hù)安全水準(zhǔn)？由于我國沒能被歐盟委員會(huì)列在能提供適當(dāng)性保障國家的名單上，這些涉及跨境數(shù)據(jù)傳輸?shù)钠髽I(yè)需要采取合乎《條例》規(guī)定的具體措施，以進(jìn)行合法跨境數(shù)據(jù)轉(zhuǎn)移，比如遵循合理保障中經(jīng)批準(zhǔn)的行為準(zhǔn)則，或者施行標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款等。

其它在歐盟沒有設(shè)立實(shí)體機(jī)構(gòu)或設(shè)置的中國境內(nèi)數(shù)據(jù)控制者和處理者，面臨一個(gè)復(fù)雜的情形、并且需要做出決定：是否應(yīng)當(dāng)遵循《條例》(一項(xiàng)外國法律)？如果是，那么需要在多大程度上進(jìn)行？如果它們愿意遵循《條例》，考慮到《條例》所規(guī)定的各種各樣的義務(wù)，切實(shí)履行所有義務(wù)的成本是相當(dāng)高的。例如，實(shí)施合適的技術(shù)和組織措施以確保和實(shí)現(xiàn)各個(gè)數(shù)據(jù)處理原則(第5至11條)、控制者和處理者各種不同的義務(wù)(包括任命數(shù)據(jù)保護(hù)員和在歐盟的代理人)、進(jìn)行合法跨境數(shù)據(jù)轉(zhuǎn)移的要求、協(xié)助數(shù)據(jù)主體行使權(quán)利等等。它們可能還需要革新其數(shù)據(jù)處理操作，甚至是整個(gè)商業(yè)模式以全面遵循《條例》提出的數(shù)據(jù)保護(hù)要求。當(dāng)然，相對而言，中小企業(yè)的《條例》義務(wù)比較少，例如它們不需要對數(shù)據(jù)處理進(jìn)行記錄(該規(guī)定適用于雇員數(shù)超過250人的公司和機(jī)構(gòu))，或者任命數(shù)據(jù)保護(hù)員(只在滿足第37條第1款的任一情形下有要求)，但是總體而言也并不輕松，因?yàn)樽裱瓧l例會(huì)帶來額外的工作和負(fù)擔(dān)，這意味著更高的企業(yè)成本。

當(dāng)然，涉及處理歐盟數(shù)據(jù)主體數(shù)據(jù)的中國控制者和處理者，也可以考慮完全無視《條例》規(guī)定。我國目前總體上仍較少認(rèn)可外國法院判決，而依據(jù)主權(quán)原則更不會(huì)接受任何外國行政機(jī)構(gòu)命令之效力及于我國領(lǐng)土。雖然現(xiàn)階段我國和歐盟成員國已簽訂了部分雙邊民事司法互助協(xié)定(關(guān)于承認(rèn)和執(zhí)行民事判決)[注]目前這些國家包括法國，波蘭，羅馬尼亞，西班牙，意大利，保加利亞，塞浦路斯，希臘，匈牙利和立陶宛。(參見：https://www.fmprc.gov.cn/web/ziliao_674904/tytj_674911/wgdwdjdsfhzty_674917/t1215630.shtml)，但我國司法系統(tǒng)對承認(rèn)和執(zhí)行外國法院判決的消極態(tài)度，由于政治體制和司法制度差別的原因，可能還將長期存在[注]除了外國法院所做出的離婚判決，我國承認(rèn)和執(zhí)行外國法院民商事判決的案例有限，雖然近期有所突破。(參見：李慶明. 論域外民事判決作為我國民事訴訟中的證據(jù)[J]. 國際法研究. 2017: 120.)。另外在發(fā)生數(shù)據(jù)泄露或違反《條例》規(guī)定情形下，一般數(shù)據(jù)主體也很難發(fā)現(xiàn)并求證在我國境內(nèi)到底發(fā)生了哪些違反《條例》的情形，并及時(shí)向歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)提起申訴[17]。就此而言，實(shí)際上歐盟法律，包括《條例》所規(guī)定的各種處罰措施，在我國境內(nèi)對我國企業(yè)的法律實(shí)際效力有限，其唯一的有力處罰，可能是禁止或限制違法企業(yè)進(jìn)入歐盟市場。

然而，鑒于近期我國政治經(jīng)濟(jì)發(fā)展所釋放的一些積極信號，尤其是“一帶一路”的發(fā)起[注]歐盟整體而言對這一倡議沒有統(tǒng)一回應(yīng)。雖然在東歐和中歐較受歡迎和成功，這個(gè)提議仍然受到其它歐盟成員國的批評。(參見：Corre, Philippe. Europe’s Mixed Views on China’s One Belt, One Road Initiative.[EB/OL].(2017-05-23)[2018-09-17]. https://www.brookings.edu/blog/order-from-chaos/2017/05/23/europes-mixed-views-on-chinas-one-belt-one-road-initiative/)，這一情況可能得到迅速改變。非常明顯，我國如果想更多地參與世界經(jīng)濟(jì)秩序，尤其是歐盟市場，就必須更多遵循國際法標(biāo)準(zhǔn)和歐盟法律。為此，最高人民法院在2015年發(fā)布了《關(guān)于人民法院為“一帶一路”建設(shè)提供司法服務(wù)和保障的若干意見》，表示即便在我國和相關(guān)當(dāng)事國之間沒有國際協(xié)定的情形下，我國法院仍可以根據(jù)互惠原則，擴(kuò)大司法協(xié)助范圍[注]參見：《最高人民法院關(guān)于人民法院為“一帶一路”建設(shè)提供司法服務(wù)和保障的若干意見》。。隨著我國更深入?yún)⑴c到歐盟市場，我們必須考慮基于互惠原則承認(rèn)和執(zhí)行歐盟法院判決，因?yàn)槲覈残枰源藫Q取我國企業(yè)在歐盟境內(nèi)的經(jīng)濟(jì)利益的保護(hù)。而近期武漢和南京的兩個(gè)地方法院則基于互惠原則，主動(dòng)承認(rèn)和執(zhí)行外國法院的判決[注]參見：南京中院裁定和武漢中院裁定http://www.njfy.gov.cn/www/njfy/res_mb_a39180105108997.htm(南京案)http://wx.hbfy.gov.cn/weiyixin/fywsxq/2?ids=21abca9b-b40e-4c2f-ac45-a7b600f08be2(武漢案)。，更顯示了這種積極的司法趨勢。不可否認(rèn)，在未來我國經(jīng)濟(jì)更深入?yún)⑴c國際經(jīng)濟(jì)分工，企業(yè)更多進(jìn)入歐盟市場，需要保護(hù)它們利益時(shí)，基于互惠基礎(chǔ)，我國對司法協(xié)助將一定會(huì)持更開放的態(tài)度。

那么如果具體條件允許，對在我國境內(nèi)但在歐盟沒有設(shè)立機(jī)構(gòu)或設(shè)置的數(shù)據(jù)控制者和處理者而言，盡力遵循《條例》數(shù)據(jù)保護(hù)規(guī)定也是更明智的選擇。通過遵循歐盟法律和歐盟認(rèn)可的行業(yè)標(biāo)準(zhǔn)，尤其是以數(shù)據(jù)保護(hù)基本權(quán)利著稱的《條例》，對提升我國數(shù)據(jù)保護(hù)水準(zhǔn)，對我國公司獲取歐盟消費(fèi)者信任和認(rèn)可，提高產(chǎn)品吸引力至關(guān)重要。毋需贅言，向用戶和消費(fèi)者表明其達(dá)到了《條例》所要求的數(shù)據(jù)保護(hù)水準(zhǔn)，比如通過歐盟權(quán)威的數(shù)據(jù)保護(hù)認(rèn)證，或使用經(jīng)歐盟委員會(huì)批準(zhǔn)的行為準(zhǔn)則，將顯著提升企業(yè)在歐盟的形象。同樣，企業(yè)通過采取《條例》規(guī)定的各種措施和步驟——包括有約束力的公司規(guī)章(BCR)、行為準(zhǔn)則(COC)、標(biāo)準(zhǔn)合同條款、對數(shù)據(jù)保護(hù)員的任命、通知數(shù)據(jù)泄露等——來努力達(dá)到《條例》所要求的高數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，一定能在數(shù)據(jù)處理實(shí)踐中提高數(shù)據(jù)安全和數(shù)據(jù)保護(hù)水準(zhǔn)，進(jìn)而在國內(nèi)市場上獲取更多客戶的信任。實(shí)施《條例》的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，能夠在一定程度上把該企業(yè)同其它市場競爭者區(qū)分開來，有利于企業(yè)長遠(yuǎn)發(fā)展。

基于上述分析，對于我國境內(nèi)的中小企業(yè)而言，可以通過考慮自身具體情況在不同程度上遵循《條例》。我國境內(nèi)的控制者或處理者應(yīng)作出適當(dāng)?shù)呐?，例如，在識別出到企業(yè)網(wǎng)站訪問者是來自歐盟境內(nèi)時(shí)，控制者至少應(yīng)當(dāng)通過彈出cookies方式，闡明其隱私政策，介紹控制者將收集什么數(shù)據(jù)、以及如何使用這些數(shù)據(jù)，并為訪問者提供是否同意該數(shù)據(jù)處理行為的選擇。這樣控制者至少能從表面上證明它在努力遵循《條例》規(guī)定[注]很明顯，許多中國網(wǎng)站，包括純中文網(wǎng)站，在2018年5月《條例》生效后遇到來自于歐盟的訪問時(shí)，已經(jīng)為其使用Cookie設(shè)立了新的隱私保護(hù)政策。。另外，至少應(yīng)當(dāng)盡量實(shí)現(xiàn)《條例》列舉的成本較低，容易實(shí)現(xiàn)的程序性和組織性措施，以證明遵循《條例》的良好意愿。例如，采用成本較低的組織性合規(guī)措施，包括在企業(yè)內(nèi)部任命一名數(shù)據(jù)保護(hù)員，可以由本企業(yè)內(nèi)部職員兼任，或者聘請一名專業(yè)的法律合規(guī)專家或隱私保護(hù)專家[注]但是建議我國企業(yè)在遵循《條例》第27條、設(shè)立歐盟代理人上(representative)持謹(jǐn)慎態(tài)度，因?yàn)檫@將毫無疑問成為它們在歐盟的企業(yè)設(shè)立，從而將其置于歐盟法的直接管轄之下。。如果可能，還可以進(jìn)行企業(yè)內(nèi)部數(shù)據(jù)處理活動(dòng)記錄，在內(nèi)部會(huì)議中設(shè)立數(shù)據(jù)保護(hù)議題進(jìn)行討論，或設(shè)置數(shù)據(jù)保護(hù)的具體操作程序。最重要的是，在把歐盟境內(nèi)收集的個(gè)人數(shù)據(jù)轉(zhuǎn)移到國內(nèi)處理時(shí)，需要盡力遵循《條例》關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移至第三國的具體規(guī)定，以合法和公平的方式進(jìn)行[注]參見:《條例》第44條以及第46-49條。讀者也可以參考筆者制作的《歐盟一般數(shù)據(jù)保護(hù)條例與中國：我們需要了解什么？》的手冊來了解具體內(nèi)容。參見：https://www.tilburguniversity.edu/research/institutes-and-research-groups/tilt/news-pgdr-china-tilt/。

除了組織上的措施，也可以考慮使用某些技術(shù)性措施，來提升數(shù)據(jù)安全和隱私保護(hù)。比如《條例》第25條規(guī)定的嵌入設(shè)計(jì)之?dāng)?shù)據(jù)保護(hù)和默認(rèn)的數(shù)據(jù)保護(hù)(Privacy by Design and Privacy by Default)，包括數(shù)據(jù)匿名化、數(shù)據(jù)最小化和數(shù)據(jù)加密[注]在《條例》第4條第5款下，匿名化是指以以下方式對個(gè)人數(shù)據(jù)進(jìn)行處理：使個(gè)人數(shù)據(jù)不使用額外信息時(shí)，不能再被用來識別該數(shù)據(jù)主體，且這些額外信息將被另外保存，并有技術(shù)和組織手段來保證個(gè)人數(shù)據(jù)不會(huì)被用來識別能夠被識別，或已被識別的個(gè)體。。如有可能，還可以考慮向歐盟有權(quán)機(jī)構(gòu)或部門申請數(shù)據(jù)保護(hù)認(rèn)證或數(shù)據(jù)保護(hù)印章(標(biāo)記)(data protection certification or seal)，或者采納經(jīng)歐盟機(jī)構(gòu)批準(zhǔn)的行為準(zhǔn)則和標(biāo)準(zhǔn)合同條款，以證明企業(yè)良好守法意愿和行動(dòng)。這些都是可以根據(jù)具體情況來量力而行的舉措[注]還應(yīng)該注意到，即使在歐盟內(nèi)部，數(shù)據(jù)保護(hù)認(rèn)證機(jī)制如何實(shí)現(xiàn)其確立的目的，尤其是涉及到標(biāo)準(zhǔn)的建立和進(jìn)一步實(shí)施時(shí)，都還有很多問題需要在以后實(shí)踐中得到解決。。

五、結(jié)論

由于當(dāng)今世界的加速數(shù)字化、互聯(lián)網(wǎng)化、全球化以及隨之而來的跨境數(shù)據(jù)交流的不斷增強(qiáng)，歐盟法律將數(shù)據(jù)保護(hù)權(quán)作為一項(xiàng)基本權(quán)利進(jìn)行保護(hù)，是法律發(fā)展的一次重要突破。對個(gè)人和社會(huì)整體而言，個(gè)人數(shù)據(jù)的價(jià)值還在不斷提升之中，而對個(gè)人數(shù)據(jù)的更全面的分析和利用，已經(jīng)成為經(jīng)濟(jì)、技術(shù)和社會(huì)進(jìn)步的必要條件。私企和國家機(jī)關(guān)如果濫用數(shù)據(jù)，數(shù)據(jù)主體可能由于失去對個(gè)人數(shù)據(jù)的控制，從而引發(fā)個(gè)人生活完全失控的危險(xiǎn)，個(gè)人數(shù)據(jù)必須得到保護(hù)。但是，作為一項(xiàng)基本權(quán)利，歐盟設(shè)立的數(shù)據(jù)保護(hù)權(quán)在現(xiàn)實(shí)中會(huì)面臨越來越多的挑戰(zhàn)。這些挑戰(zhàn)不僅來自于如何規(guī)范各種新技術(shù)快速發(fā)展帶來的副作用，更來自于越來越多的跨國數(shù)據(jù)傳輸、處理和保護(hù)。其根源是由互聯(lián)網(wǎng)和全面數(shù)字化所帶來的加速全球化、無邊界的生活和數(shù)字經(jīng)濟(jì)形態(tài)，同基于國家主權(quán)設(shè)立的，地域性極強(qiáng)的司法(法律)體系的局限性之間越來越加劇的沖突。

總而言之，《條例》所規(guī)定的嚴(yán)格數(shù)據(jù)保護(hù)機(jī)制，在其內(nèi)在立法邏輯和數(shù)據(jù)處理實(shí)踐中如何適用都存在問題[注]比如蒂爾堡大學(xué)Bert-Jaap Koops 教授早在《條例》還在立法之初，就指出了《條例》的很多根本問題。(參見： Bert-Jaap Koops. The trouble with European data protection law[J]. International Data Privacy Law, 2014: 250-261.)。就我國的法律實(shí)踐而言，《條例》規(guī)定的個(gè)人數(shù)據(jù)保護(hù)機(jī)制如何在我國境內(nèi)實(shí)現(xiàn)，一定會(huì)面臨巨大的挑戰(zhàn)。《條例》從理論上適用于那些在我國的數(shù)據(jù)控制者和處理者，只要它們有符合《條例》規(guī)定的搜集和轉(zhuǎn)移在歐盟的自然人的數(shù)據(jù)的行為。正如本文第4節(jié)分析的，當(dāng)前對《條例》的遵守和執(zhí)行，依然很大程度上取決于在我國數(shù)據(jù)控制者和處理者的自覺行為。因?yàn)樗鼈兌鄶?shù)在歐盟境內(nèi)沒有實(shí)體存在(比如《條例》規(guī)定的機(jī)構(gòu)設(shè)立或設(shè)置)，從而不會(huì)直接處于歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)的管轄之下，直接接受處罰和判決。而發(fā)生數(shù)據(jù)侵害和違法行為時(shí)數(shù)據(jù)監(jiān)管機(jī)構(gòu)的決定和處罰，以及歐盟法院的判決，在目前甚至將來一段時(shí)間可能仍不為我國法院認(rèn)可和執(zhí)行。由于沒有類似“歐盟-美國隱私屏盾協(xié)議“那樣的我國與歐盟之間的數(shù)據(jù)保護(hù)協(xié)定，《條例》的執(zhí)行和數(shù)據(jù)保護(hù)基本權(quán)利的實(shí)現(xiàn)，可能在一段時(shí)期內(nèi)仍然需要依靠歐盟各成員國同我國之間的雙邊司法互助協(xié)定。JS