魏書音

（賽迪智庫網(wǎng)絡(luò)空間研究所，北京100846）

1 引言

2018年5月25日，《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）正式實施。GDPR致力于建立數(shù)字時代歐盟統(tǒng)一的數(shù)據(jù)保護規(guī)則，將替代《1 9 9 5年個人數(shù)據(jù)保護指令》，在諸多方面做出了重大變革，如賦予個人數(shù)據(jù)刪除權(quán)和攜帶權(quán)、限制數(shù)據(jù)分析（Prof iling）活動等，給予公民更多對個人數(shù)據(jù)的控制權(quán)，并要求企業(yè)承擔(dān)更多數(shù)據(jù)保護責(zé)任。對數(shù)字經(jīng)濟企業(yè)而言，如何清楚認(rèn)識GDPR新規(guī)則，重新構(gòu)建符合GDPR要求的合規(guī)體系，以及合法開展個人數(shù)據(jù)相關(guān)的技術(shù)研發(fā)和業(yè)務(wù)模式，開拓歐洲市場，成為需要解決的重要問題。

2 GDPR對我國數(shù)字經(jīng)濟企業(yè)的影響

2.1 企業(yè)將面臨極大的合規(guī)運營挑戰(zhàn)

一是以個人自決權(quán)為核心的嚴(yán)格個人信息保護需要企業(yè)投入大量資源。GDPR對個人信息的保護及其監(jiān)管達到了前所未有的高度，以個人權(quán)益出發(fā)，賦予用戶查閱權(quán)、拒絕權(quán)、刪除權(quán)、更正權(quán)、攜帶權(quán)、獲得救濟權(quán)等一系列權(quán)利，并要求各成員國將之提升到保護自然人基本人權(quán)和自由以及消費者特殊權(quán)利的高度，強調(diào)公民對個人信息從數(shù)據(jù)收集到刪除全生命周期的控制權(quán)和決定權(quán)。這些合規(guī)要求將迫使企業(yè)改變處理、存儲和保護用戶個人數(shù)據(jù)的方式。如“被遺忘權(quán)”“可攜帶權(quán)”要求企業(yè)完整地了解自己掌握的用戶個人信息，包括信息的數(shù)量、類型、存儲位置、應(yīng)用的場景等，并在用戶提出索求時能夠準(zhǔn)確、及時地提供。滿足此類合規(guī)性要求需要投入大量的人力、財力才能得以實現(xiàn)，有調(diào)查顯示，為符合GDPR，超過60%的公司需要額外支出100萬美元。

二是法律的模糊性和不確定性對企業(yè)構(gòu)建合規(guī)體系造成極大挑戰(zhàn)。一方面，GDPR規(guī)則多以“原則、要求及其所達到的效果”為主，沒有對網(wǎng)絡(luò)運營商如何落實規(guī)則的詳盡步驟和規(guī)范，如“采取措施確?！毙枰鶕?jù)業(yè)務(wù)特征和組織架構(gòu)構(gòu)建適合企業(yè)自身發(fā)展的數(shù)據(jù)保護體系。這即為企業(yè)數(shù)據(jù)保護留下空間，也弱化了對行為的指導(dǎo)性，增加了合規(guī)的不確定性。另一方面，全新的法律原則、權(quán)利體系都尚存爭議，有待進一步澄清和解釋，例如數(shù)據(jù)可攜帶權(quán)、數(shù)據(jù)保護官制度、自動決策和畫像等問題，在實務(wù)中可供參考的案例也寥寥無幾。

三是需要面對不同國家法律沖突的難題。在法律適用問題上，由于GDPR確立“長臂管轄”原則，設(shè)定了廣泛的司法管轄權(quán)，可能產(chǎn)生與他國法律之間的沖突。法律沖突問題將導(dǎo)致企業(yè)在建立統(tǒng)一的合規(guī)體系、降低運營成本方面需兼顧多國法律，在某些情況下不可避免地產(chǎn)生合規(guī)矛盾問題，比如微軟隱私案中就存在歐盟GDPR與美國SCA（存儲通訊法案）間的法律沖突。

2.2 企業(yè)在歐盟經(jīng)營業(yè)務(wù)將受到一定限制

一是限制企業(yè)間合作形式。對于云計算業(yè)務(wù)，GDPR規(guī)定了云服務(wù)商和云客戶之間的權(quán)利義務(wù)配置，為了實現(xiàn)對數(shù)據(jù)安全的全面保障，要求數(shù)據(jù)控制者（云客戶）和數(shù)據(jù)處理者（云服務(wù)商）承擔(dān)同等數(shù)據(jù)保障責(zé)任，如果沒有數(shù)據(jù)控制者授權(quán)，數(shù)據(jù)處理者不應(yīng)再委托其他數(shù)據(jù)處理者，對于涉及到補充或替換其他數(shù)據(jù)處理者的變動，數(shù)據(jù)處理者都應(yīng)當(dāng)告知數(shù)據(jù)控制者，數(shù)據(jù)控制者有權(quán)反對變更。在此要求下，目前市場上云服務(wù)的集成、轉(zhuǎn)售業(yè)態(tài)都將面臨業(yè)務(wù)風(fēng)險。同時，這意味著得不到上層應(yīng)用的書面通知，底層的基礎(chǔ)設(shè)施和平臺就不能對數(shù)據(jù)進行處理，如PaaS平臺發(fā)展任何一個用戶、開發(fā)任何一個應(yīng)用，都必須事先征得IaaS廠商的同意，這條規(guī)定在目前云服務(wù)場景中很難實現(xiàn)。

二是挑戰(zhàn)企業(yè)的運營模式。利用收集和掌握的大量用戶個人信息，通過對用戶行為的分析產(chǎn)生直接（如精準(zhǔn)廣告投放）或間接（如根據(jù)行為進行畫像來提供一些更精準(zhǔn)、個性化的服務(wù)）的收益這是目前很多國內(nèi)互聯(lián)網(wǎng)企業(yè)的盈利模式。GDPR賦予了歐洲公民可以拒絕企業(yè)利用搜集到的個人信息來進行自動判斷和決策的權(quán)利。這種拒絕權(quán)可能會導(dǎo)致企業(yè)在歐盟不能利用個人信息來進行客戶畫像和自動推薦等，給很多強調(diào)用戶體驗和個性化服務(wù)的大數(shù)據(jù)企業(yè)和互聯(lián)網(wǎng)企業(yè)帶來了商業(yè)模式上的沖擊。

三是技術(shù)發(fā)展資源獲取更為困難。如對于人工智能，作為其核心技術(shù)的深度學(xué)習(xí)需要通過收集海量數(shù)據(jù)不斷成熟，進而智能分析并得出結(jié)論。根據(jù)GDPR，網(wǎng)絡(luò)運營者收集用戶數(shù)據(jù)需滿足嚴(yán)格的條件，并且必須滿足用戶刪除數(shù)據(jù)的要求，沒有用戶數(shù)據(jù)信息或者收集的用戶信息不全面勢必影響到人工智能的分析結(jié)果。

2.3 可能面臨以“隱私保護”為由的貿(mào)易壁壘

一是WTO規(guī)則將隱私保護作為限制跨境服務(wù)貿(mào)易的正當(dāng)依據(jù)。1994年WTO框架下的《服務(wù)貿(mào)易總協(xié)定》(GATS)中明確了成員國可以隱私保護為由限制跨境服務(wù)貿(mào)易。歐洲各國可通過WTO將成員國對數(shù)據(jù)處理和傳播過程中的個人數(shù)據(jù)保護立法轉(zhuǎn)變?yōu)橐环N合法限制國際自由貿(mào)易的措施。而在國際法律層面，各國之間關(guān)于個人信息保護的分歧并未得到有效解決，由此引發(fā)的國際貿(mào)易戰(zhàn)將不可避免。

二是我國的數(shù)據(jù)保護現(xiàn)狀不符合歐盟要求。在跨境數(shù)據(jù)流動方面，GDPR設(shè)立白名單制度作為一種數(shù)據(jù)流動途徑，規(guī)定歐盟公民的個人數(shù)據(jù)只能向那些已經(jīng)達到與歐盟數(shù)據(jù)保護水平相一致的國家或地區(qū)流動，審查標(biāo)準(zhǔn)參照歐盟數(shù)據(jù)保護水平，主要考慮兩方面的因素：（1）第三國個人數(shù)據(jù)保護法律法規(guī)的內(nèi)容；（2）相關(guān)法律法規(guī)落實的情況。具體衡量標(biāo)準(zhǔn)包括對人權(quán)和基本自由的尊重等西方價值觀。

我國數(shù)據(jù)安全管理水平遠(yuǎn)未到達歐盟要求，在立法方面，尚未制定關(guān)于個人信息保護的專門法律，對于個人信息使用的相關(guān)規(guī)定還停留在“合法使用”等模糊、籠統(tǒng)規(guī)則上；在執(zhí)法方面，行政部門執(zhí)法不嚴(yán)，多停留在約談、責(zé)令整改等階段，內(nèi)容目前還集中在對隱私條款等規(guī)章制度的審查方面，未深入到數(shù)據(jù)使用的層面。

三是可能面臨以隱私保護為由的貿(mào)易壁壘。在貿(mào)易保護主義、“中國威脅論”重新抬頭的環(huán)境下，“隱私保護”這一事由可能被國外監(jiān)管機構(gòu)或者競爭對象濫用，如借用人權(quán)問題否定中國政府的隱私保護水平，中國企業(yè)可能面臨“隱私保護不力”等貿(mào)易壁壘，成為實施雙重標(biāo)準(zhǔn)、構(gòu)建新式貿(mào)易壁壘的借口。

3 應(yīng)對建議

3.1 政府應(yīng)完善數(shù)據(jù)安全管理制度，引導(dǎo)企業(yè)培養(yǎng)個人信息安全保護的戰(zhàn)略意識

一是推動《個人信息保護法》盡快出臺，完善數(shù)據(jù)安全管理制度，細(xì)化數(shù)據(jù)收集階段的規(guī)定，強化數(shù)據(jù)處理階段的透明度等要求，建立健全數(shù)據(jù)備案、分享、評估認(rèn)證等制度。

二是持續(xù)跟蹤研判歐盟最新執(zhí)法動向和趨勢，對GDPR有清醒的認(rèn)識和準(zhǔn)確的預(yù)判，指導(dǎo)企業(yè)加強重視，及時有效應(yīng)對違規(guī)問題和風(fēng)險。

三是積極組織專題宣傳培訓(xùn)和研討交流活動，在執(zhí)法檢查過程中加強監(jiān)督引導(dǎo)，培養(yǎng)企業(yè)個人信息保護戰(zhàn)略意識，將個人信息安全保護作為占有市場和增強用戶粘性的戰(zhàn)略舉措。采取閉環(huán)管理的理念，在設(shè)計系統(tǒng)架構(gòu)之初就應(yīng)該把安全因素納入架構(gòu)設(shè)計范圍，變被動為主動，逐步培養(yǎng)起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。

四是鼓勵數(shù)字經(jīng)濟企業(yè)與網(wǎng)絡(luò)安全企業(yè)建立長期合作伙伴關(guān)系，為其數(shù)據(jù)安全管理提供全方位的咨詢和服務(wù)，尤其加強對企業(yè)技術(shù)負(fù)責(zé)人、重點崗位員工的個人信息保護培訓(xùn)。

3.2 政府應(yīng)完善有關(guān)數(shù)字貿(mào)易爭端的預(yù)警機制，及時應(yīng)對以隱私保護為由的貿(mào)易壁壘

一是建立高效的預(yù)警和應(yīng)對機制。時刻關(guān)注WTO的通報和有關(guān)國家的最新動態(tài), 做好對歐貿(mào)易政策的跟蹤和分析，及時將重要信息反饋給有關(guān)機構(gòu)和行業(yè)組織。加強有關(guān)數(shù)據(jù)安全問題的外貿(mào)摩擦準(zhǔn)備工作，針對以隱私保護為由的貿(mào)易壁壘措施，聯(lián)合行業(yè)協(xié)會建立完善的應(yīng)對體系。

二是積極主動發(fā)聲，對不合理的、明顯有失公平的貿(mào)易壁壘，有針對性地采取反擊手段，并在必要時向世界貿(mào)易組織提出上訴, 利用WTO裁決機構(gòu)對歐濫用以數(shù)據(jù)保護為由的貿(mào)易壁壘形成制約。

三是制定數(shù)據(jù)保護標(biāo)準(zhǔn)國際化戰(zhàn)略，積極參與相關(guān)國際標(biāo)準(zhǔn)的制定，提升我國在數(shù)據(jù)保護方面的國際話語權(quán)和規(guī)則制定權(quán)。

3.3 企業(yè)應(yīng)理清義務(wù)責(zé)任和違規(guī)風(fēng)險點，加強數(shù)據(jù)安全監(jiān)管

一是理清各項業(yè)務(wù)中所擔(dān)任的法律主體及其相對應(yīng)的責(zé)任，以及與第三方企業(yè)的責(zé)任劃分，加強對第三方的數(shù)據(jù)安全管理，限定與第三方進行數(shù)據(jù)服務(wù)交換的范圍和方式，明確第三方使用數(shù)據(jù)的規(guī)則，并與第三方簽訂權(quán)責(zé)清晰的數(shù)據(jù)使用協(xié)議。

二是全面掌握企業(yè)所存儲的數(shù)據(jù)種類和類型，以及不同數(shù)據(jù)的泄露風(fēng)險的可能性，對其所搜集和掌握的個人信息有一個清晰的脈絡(luò)圖，并據(jù)此建立的數(shù)據(jù)風(fēng)險模型予以分類管理。

三是參照《個人信息保護規(guī)范》等國家標(biāo)準(zhǔn)完善數(shù)據(jù)監(jiān)管制度措施，其中包括數(shù)據(jù)收集、使用和監(jiān)管等，并在此基礎(chǔ)上按照GDPR要求補齊短板。

3.4 企業(yè)應(yīng)加快創(chuàng)新服務(wù)模式和安全技術(shù)，通過轉(zhuǎn)型升級鞏固歐盟市場

GDPR將會在一定程度上淘汰那些低水平、侵犯個人信息權(quán)的數(shù)據(jù)營利模式，從而涌現(xiàn)更多高水平、科學(xué)性的服務(wù)模式。企業(yè)在應(yīng)對合規(guī)性的同時，要把握機遇，加快轉(zhuǎn)型升級，以此鞏固歐盟市場。

一是創(chuàng)新大數(shù)據(jù)技術(shù)服務(wù)模式，規(guī)避法律風(fēng)險。加快大數(shù)據(jù)服務(wù)模式創(chuàng)新，改變簡單依靠搜集個人信息并不加處理直接利用的商業(yè)模式，提升企業(yè)的數(shù)據(jù)分析、建模能力等大數(shù)據(jù)服務(wù)能力，圍繞數(shù)據(jù)全生命周期各階段需求，發(fā)展數(shù)據(jù)采集、清洗、分析、交易、安全防護等技術(shù)服務(wù)，培育數(shù)據(jù)服務(wù)新模式和新業(yè)態(tài)。

二是提升大數(shù)據(jù)安全技術(shù)產(chǎn)品研發(fā)水平，以新技術(shù)應(yīng)對新要求，降低合規(guī)成本。針對網(wǎng)絡(luò)信息安全新形勢，加強大數(shù)據(jù)安全技術(shù)產(chǎn)品研發(fā)，重點研究大數(shù)據(jù)環(huán)境下的統(tǒng)一賬號、認(rèn)證、授權(quán)和審計體系及大數(shù)據(jù)加密和密級管理體系，推廣防泄露、防竊取、匿名化等大數(shù)據(jù)保護技術(shù)，研發(fā)大數(shù)據(jù)安全保護產(chǎn)品和解決方案，通過技術(shù)措施降低合規(guī)成本。

4 結(jié)束語

目前，國內(nèi)企業(yè)個人信息保護水平還亟待提高。僅就隱私條款來說，網(wǎng)絡(luò)運營者以“一攬子協(xié)議”強迫用戶同意、隱秘收集、誘騙收集個人信息的現(xiàn)象屢見不鮮。2017年全國人大常委會的“一法一決定”執(zhí)法檢查“萬人調(diào)查報告”顯示：有49.6%的受訪者曾遇到過度收集用戶信息現(xiàn)象。許多受訪者反映，當(dāng)前免費應(yīng)用程序普遍存在過度收集用戶信息、侵犯個人隱私問題，但幾乎沒有受到任何監(jiān)管和依法懲處。中國的互聯(lián)網(wǎng)企業(yè)對于個人信息保護的重要性認(rèn)識可能并不缺乏，但是因為行政部門多年來執(zhí)法不嚴(yán)，多停留在約談、責(zé)令整改等階段，實質(zhì)性的行政處罰非常少，即使發(fā)生大規(guī)模嚴(yán)重的數(shù)據(jù)泄露事件，也只是運動式的專項行動打擊等，未真正觸及過其痛點，以致于很多企業(yè)高管對于個人信息保護問題已經(jīng)麻木。但是，GDPR對個人信息的保護及其監(jiān)管達到了前所未有的高度，需要大多數(shù)企業(yè)投入大量的人力、財力才能得以實現(xiàn)，將迫使企業(yè)改變他們處理、存儲和保護用戶個人數(shù)據(jù)的方式，應(yīng)引起企業(yè)的高度重視，尤其對于有意開拓歐洲市場的企業(yè)，加強預(yù)判研究，積極進行合規(guī)性評估。