王 銳

(國(guó)家法官學(xué)院民商事審判教研部，北京 101100)

阿爾文·托夫勒在《第三次浪潮》中預(yù)言，21 世紀(jì)人類(lèi)社會(huì)將迎來(lái)信息時(shí)代，信息將與物質(zhì)和能量一起成為構(gòu)成世界的三大要素。在信息技術(shù)與信息產(chǎn)業(yè)極大發(fā)展的今天，個(gè)人信息與數(shù)據(jù)保護(hù)問(wèn)題逐漸引發(fā)全球關(guān)注。企業(yè)在經(jīng)營(yíng)過(guò)程中收集并存儲(chǔ)了大量的用戶個(gè)人數(shù)據(jù)，對(duì)于這些數(shù)據(jù)負(fù)有安全保障義務(wù)。數(shù)據(jù)問(wèn)題，在任何國(guó)家均是社會(huì)普遍關(guān)注的問(wèn)題，但不同國(guó)家的數(shù)據(jù)保護(hù)基礎(chǔ)法律及標(biāo)準(zhǔn)不同，跨國(guó)投資經(jīng)營(yíng)的企業(yè)極易因缺乏經(jīng)驗(yàn)而面臨風(fēng)險(xiǎn)。

2019年2月28日，我國(guó)企業(yè)“字節(jié)跳動(dòng)”海外收購(gòu)的全球短視頻應(yīng)用Musical.ly(后與“字節(jié)跳動(dòng)”下TikTok合并)，與美國(guó)聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission，以下簡(jiǎn)稱FTC)在一起針對(duì)其數(shù)據(jù)保護(hù)義務(wù)的調(diào)查中達(dá)成和解，為此支付了高達(dá)570萬(wàn)美元的罰金，系FTC迄今為止因兒童數(shù)據(jù)保護(hù)問(wèn)題而開(kāi)出的最大罰單；不但如此，此前為期三年的FTC執(zhí)法調(diào)查已經(jīng)導(dǎo)致了“字節(jié)跳動(dòng)”北美商業(yè)化進(jìn)程大為受阻，學(xué)費(fèi)不可謂不昂貴。①無(wú)獨(dú)有偶，2017年我國(guó)PC頭部企業(yè)聯(lián)想也曾因預(yù)裝軟件涉嫌訪問(wèn)收集用戶敏感信息，遭遇FTC處罰。②

近年來(lái)，我國(guó)對(duì)外投資發(fā)展迅速，2017年中國(guó)對(duì)外投資存量居全球第二，僅次于美國(guó)。③對(duì)外投資方式創(chuàng)新顯現(xiàn)，主要包括綠地投資、收購(gòu)并購(gòu)、聯(lián)合投資、實(shí)物投資、股權(quán)置換、返程投資等形式，其中跨境并購(gòu)依然是中國(guó)對(duì)外投資的主要手段。④歐洲與北美洲是2017年中國(guó)跨境并購(gòu)的前兩大目標(biāo)地。⑤然而，與體量巨大的對(duì)外投資不相匹配的是，對(duì)外投資企業(yè)對(duì)可能承擔(dān)的數(shù)據(jù)保護(hù)義務(wù)與數(shù)據(jù)法律責(zé)任認(rèn)知不足，風(fēng)險(xiǎn)管控能力缺失，在全球已經(jīng)有105個(gè)國(guó)家⑥確立自己的數(shù)據(jù)保護(hù)立法體系的背景下，數(shù)據(jù)保護(hù)意識(shí)淡薄的對(duì)外投資企業(yè)很可能如同“字節(jié)跳動(dòng)”一般遭遇重大損失。由此，本文以下將結(jié)合我國(guó)主要投資目的地美國(guó)、歐盟、英國(guó)的立法、執(zhí)法與司法情況，討論我國(guó)企業(yè)在對(duì)外投資中所面對(duì)的數(shù)據(jù)法律義務(wù)內(nèi)容及標(biāo)準(zhǔn)、數(shù)據(jù)法律責(zé)任形式及范圍，并就我國(guó)對(duì)外投資企業(yè)如何防范數(shù)據(jù)法律風(fēng)險(xiǎn)提供建議。

一、主要投資目的地的企業(yè)數(shù)據(jù)法律義務(wù)

企業(yè)在運(yùn)營(yíng)過(guò)程中，不可避免地會(huì)涉及對(duì)用戶個(gè)人數(shù)據(jù)的收集與處理，為此，我國(guó)主要投資目的地均通過(guò)立法、司法或執(zhí)法明確企業(yè)在處理個(gè)人數(shù)據(jù)、為個(gè)人數(shù)據(jù)提供安全保障等方面的法律義務(wù)與責(zé)任。

(一)美國(guó)的企業(yè)數(shù)據(jù)法律義務(wù)

美國(guó)境內(nèi)的個(gè)人數(shù)據(jù)保護(hù)主要通過(guò)成文法規(guī)定信息或數(shù)據(jù)法律義務(wù)與普通法保護(hù)隱私權(quán)雙重路徑共同實(shí)現(xiàn)。在具體職能方面，聯(lián)邦與州立法、司法、執(zhí)法機(jī)關(guān)均發(fā)揮了不可或缺的作用。

1.聯(lián)邦層面的企業(yè)數(shù)據(jù)法律義務(wù)

在美國(guó)聯(lián)邦層面，由于缺乏關(guān)于個(gè)人數(shù)據(jù)或隱私保護(hù)的一般性立法，傳統(tǒng)的關(guān)于個(gè)人數(shù)據(jù)保護(hù)的規(guī)范分散在不同行業(yè)的法律法規(guī)之中；但總體而言，成立于1914年的FTC致力于保護(hù)消費(fèi)者個(gè)人隱私信息與數(shù)據(jù)，在一定程度上彌合了分業(yè)立法、分業(yè)執(zhí)法的缺陷，并在隱私保護(hù)領(lǐng)域發(fā)揮了普通法的替代作用。[1] P583-676FTC的主要授權(quán)來(lái)自《聯(lián)邦貿(mào)易委員會(huì)法》⑦第5條，即“禁止市場(chǎng)中不正當(dāng)或欺詐性的行為” (unfair or deceptive acts or practices)；同時(shí)FTC還從《兒童在線隱私保護(hù)法》(Children On-line Privacy Act)《金融服務(wù)現(xiàn)代化法》(Financial Services Modernization Act of 1999)《公平信用報(bào)告法》(Fair Credit Reporting Act)《電話營(yíng)銷(xiāo)銷(xiāo)售規(guī)則》(Telemarketing Sales Rule)《公平債務(wù)催收法》(Fair Debt Collection Practices Act)等多部部門(mén)法中獲得執(zhí)法授權(quán)。事實(shí)上，近年來(lái)，F(xiàn)TC在個(gè)人數(shù)據(jù)保護(hù)執(zhí)法方面極為活躍，其執(zhí)法調(diào)查與處罰行動(dòng)覆蓋了包括臉書(shū)、谷歌、亞馬遜等美國(guó)本土企業(yè)與聯(lián)想等境外企業(yè)。

FTC開(kāi)始采取數(shù)據(jù)保護(hù)執(zhí)法行動(dòng)與1995年克林頓政府提出的建設(shè)國(guó)家信息基礎(chǔ)設(shè)施方案遙相呼應(yīng)，其理由在于，如果個(gè)人數(shù)據(jù)與信息無(wú)法得到合理保護(hù)，則會(huì)導(dǎo)致人們不愿使用國(guó)家信息基礎(chǔ)設(shè)施，進(jìn)而延宕產(chǎn)業(yè)與經(jīng)濟(jì)發(fā)展。[2]P87FTC的執(zhí)法行動(dòng)可以分為三個(gè)階段，第一個(gè)階段從上個(gè)世紀(jì)90年代起，F(xiàn)TC主要對(duì)企業(yè)做出的不符合其自行宣稱的數(shù)據(jù)保護(hù)政策或隱私政策的行為進(jìn)行監(jiān)管執(zhí)法，并認(rèn)定這種行為系“欺騙性的”行為或經(jīng)營(yíng)方式。例如，當(dāng)企業(yè)在隱私政策中宣稱其在數(shù)據(jù)傳輸中采取某種加密技術(shù)，但事實(shí)上并未采??；或者在隱私政策中宣稱其不會(huì)對(duì)外出售客戶信息，但在破產(chǎn)中仍將客戶信息作為破產(chǎn)財(cái)產(chǎn)變賣(mài)等。以上均構(gòu)成引發(fā)FTC調(diào)查處罰的“欺騙性”行為。彼時(shí)執(zhí)法案件幾乎都以受調(diào)查對(duì)象與FTC和解的方式而告終。[1]P583-676第二個(gè)階段，F(xiàn)TC的執(zhí)法重點(diǎn)開(kāi)始從“欺騙性”向“不公平”行為轉(zhuǎn)變，從而將企業(yè)數(shù)據(jù)保護(hù)義務(wù)推向更高標(biāo)準(zhǔn)。依據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》第5條，那些“有可能給消費(fèi)者帶來(lái)嚴(yán)重?fù)p害；消費(fèi)者自身無(wú)法合理避免；并且即便考慮到對(duì)消費(fèi)者或競(jìng)爭(zhēng)的利益，也不會(huì)出現(xiàn)利大于弊的情況”的行為或經(jīng)營(yíng)方式可認(rèn)定為“不公平”。依據(jù)FTC執(zhí)法實(shí)踐，當(dāng)企業(yè)試圖改變其隱私政策且不通知用戶或者對(duì)用戶提出不合理要求的行為，就構(gòu)成“不公平”的商業(yè)行為。例如，美國(guó)PC知名品牌Gateway公司原有隱私政策許諾不會(huì)對(duì)第三方出售客戶數(shù)據(jù)信息，此后該公司修改其隱私政策，并要求不同意新隱私政策的用戶需要明示選擇反對(duì)，對(duì)此FTC認(rèn)定構(gòu)成“不公平”商業(yè)行為，因?yàn)檫@將對(duì)用戶施加一種要求其時(shí)刻監(jiān)督企業(yè)數(shù)據(jù)隱私政策并必須采取積極行動(dòng)阻止其個(gè)人數(shù)據(jù)被出售的不合理的義務(wù)。這也是FTC對(duì)企業(yè)實(shí)質(zhì)性改變其隱私政策的欺騙和不公平做法的首次執(zhí)法。⑧再如FTC歷史上對(duì)臉書(shū)的執(zhí)法調(diào)查中，曾認(rèn)定臉書(shū)未經(jīng)警告用戶就變更其原有數(shù)據(jù)隱私政策的行為，由于涉嫌曝光臉書(shū)幾億用戶的個(gè)人信息而構(gòu)成“不公平”。時(shí)任FTC主席Jon Leibowitz 就此案件明確表態(tài)：臉書(shū)的創(chuàng)新并非必然以犧牲消費(fèi)者隱私為代價(jià)，F(xiàn)TC將以行動(dòng)確保這一點(diǎn)。⑨近年來(lái)，亦即第三個(gè)階段，F(xiàn)TC更是將執(zhí)法行動(dòng)深入到企業(yè)數(shù)據(jù)保護(hù)政策的實(shí)質(zhì)內(nèi)容，將企業(yè)設(shè)計(jì)了不合理數(shù)據(jù)保護(hù)政策的行為也認(rèn)定為“不公平”。例如，某企業(yè)設(shè)計(jì)的應(yīng)用程序默認(rèn)設(shè)置為用戶允許將其多種類(lèi)型的全部文件上傳至網(wǎng)絡(luò)進(jìn)行共享；如客戶不同意共享某類(lèi)文件則需要明確選定；如客戶希望共享某類(lèi)文件中的某一個(gè)文件，則需要選定該類(lèi)文件后將不共享的文件一一選擇不共享。FTC認(rèn)定這一設(shè)置對(duì)用戶隱私與數(shù)據(jù)保護(hù)構(gòu)成“不公平”且具有“欺騙性”，違反了企業(yè)數(shù)據(jù)保護(hù)義務(wù)。⑩目前，F(xiàn)TC的五名委員均為特朗普總統(tǒng)于2018年提名任命(任期為七年)，這就意味著未來(lái)一段時(shí)間內(nèi)保守派將控制FTC這一強(qiáng)力聯(lián)邦執(zhí)法機(jī)構(gòu)，并釋放出向硅谷科技巨頭等就數(shù)據(jù)保護(hù)問(wèn)題施壓的強(qiáng)烈信號(hào)。

相對(duì)于一般的數(shù)據(jù)保護(hù)義務(wù)，美國(guó)社會(huì)亦高度關(guān)注兒童數(shù)據(jù)保護(hù)與隱私問(wèn)題。1998年美國(guó)國(guó)會(huì)通過(guò)了《兒童在線隱私保護(hù)法》，要求網(wǎng)絡(luò)企業(yè)切實(shí)告知其網(wǎng)站的隱私權(quán)政策，并在收集13歲以下兒童個(gè)人信息前，必須在先獲得兒童家長(zhǎng)的同意。前述TikTok一案正是因?yàn)槠髽I(yè)違反了這一義務(wù)要求而遭到FTC的執(zhí)法調(diào)查。具體而言，執(zhí)法機(jī)構(gòu)FTC聲稱，由于TikTok要求用戶提供電子郵件地址、電話號(hào)碼、用戶名、姓名、個(gè)人簡(jiǎn)介和頭像等資料，并允許用戶通過(guò)評(píng)論視頻和發(fā)送直接信息與他人互動(dòng)；于此同時(shí)TikTok設(shè)置中默認(rèn)用戶帳號(hào)公開(kāi)，這意味著13歲以下兒童的個(gè)人數(shù)據(jù)可能被其他用戶看到，從而違反了《兒童在線隱私保護(hù)法》。事實(shí)上，美國(guó)本土許多企業(yè)也曾經(jīng)因違反該法而被認(rèn)定為存在“欺騙性”商業(yè)行為或“不正當(dāng)”競(jìng)爭(zhēng)行為，進(jìn)而遭受FTC處罰。

金融數(shù)據(jù)因與用戶財(cái)產(chǎn)安全、系統(tǒng)性金融安全等問(wèn)題密切相關(guān)，格外引發(fā)關(guān)注。美國(guó)國(guó)會(huì)于1999年通過(guò)《金融服務(wù)現(xiàn)代化法》，要求金融機(jī)構(gòu)在對(duì)消費(fèi)者提供貸款、投資建議或保險(xiǎn)產(chǎn)品和服務(wù)時(shí)向客戶解釋其信息共享做法，并保護(hù)敏感數(shù)據(jù)。該法確立了金融數(shù)據(jù)保護(hù)的五項(xiàng)基本原則：通知原則、選擇原則、安全原則、市場(chǎng)公開(kāi)原則、執(zhí)行原則。FTC則依據(jù)《金融服務(wù)現(xiàn)代化法》對(duì)金融機(jī)構(gòu)進(jìn)行隱私與數(shù)據(jù)安全執(zhí)法，在FTC執(zhí)法中，其對(duì)何為違反隱私安全的標(biāo)準(zhǔn)界定具有相當(dāng)?shù)淖杂刹昧繖?quán)，并導(dǎo)致FTC可以對(duì)調(diào)查對(duì)象的隱私政策及數(shù)據(jù)安全保障措施做出實(shí)質(zhì)性評(píng)價(jià)。例如在FTC對(duì) TaxSlayer的調(diào)查中,就構(gòu)成處罰原因之一的密碼問(wèn)題，F(xiàn)TC即認(rèn)為：TaxSlayer 未能實(shí)施足夠的基于風(fēng)險(xiǎn)的身份驗(yàn)證措施, 沒(méi)有向客戶提供明確和明顯的初步隱私通知, 也沒(méi)有提供確?？蛻羰盏皆撏ㄖ姆绞剑挥诖送瑫r(shí)該公司并不要求消費(fèi)者選擇強(qiáng)密碼，這就讓客戶面臨黑客可能通過(guò)猜測(cè)常用密碼訪問(wèn)其納稅人賬戶的風(fēng)險(xiǎn)。這起案件也說(shuō)明了密碼保護(hù)的重要性，缺乏強(qiáng)密碼保護(hù)和其他因素的疊加導(dǎo)致在2015年10月至2015年12月期間, 惡意黑客能夠完全訪問(wèn)TaxSlayer稅務(wù)賬戶，利用獲取信息進(jìn)行身份盜竊，通過(guò)提交虛假納稅申報(bào)單獲得退稅等。FTC通過(guò)介入對(duì)隱私及數(shù)據(jù)安全實(shí)質(zhì)性的判斷，部分替代了法院在這一領(lǐng)域的裁判功能，也是FTC執(zhí)法進(jìn)入前述第三階段的典型體現(xiàn)。

值得關(guān)注的是，包括《兒童在線隱私保護(hù)法》《金融服務(wù)現(xiàn)代化法》在內(nèi)的許多法律并未授予數(shù)據(jù)主體(用戶)以自己身份提起民事訴訟的權(quán)利，而只能求助于執(zhí)法機(jī)構(gòu)進(jìn)行執(zhí)法處罰，或由執(zhí)法機(jī)構(gòu)提起訴訟。在FTC所展開(kāi)的執(zhí)法調(diào)查中，由于擔(dān)心將案件拖入訴訟程序可能會(huì)導(dǎo)致公開(kāi)判決對(duì)被調(diào)查對(duì)象的商業(yè)模式及聲譽(yù)產(chǎn)生不利影響，受調(diào)查對(duì)象往往選擇與FTC和解，從而大大強(qiáng)化了FTC執(zhí)法的效力與影響，甚至導(dǎo)致FTC具有了事實(shí)上評(píng)價(jià)企業(yè)數(shù)據(jù)保護(hù)義務(wù)及違反該義務(wù)的法律責(zé)任的“準(zhǔn)司法”地位。當(dāng)然，隨著數(shù)據(jù)權(quán)利屬性的逐漸彰顯，要求將訴訟權(quán)利與索賠權(quán)利授予數(shù)據(jù)主體的呼聲也日益響亮。不過(guò)從美國(guó)法院的傳統(tǒng)觀點(diǎn)來(lái)看，對(duì)于數(shù)據(jù)權(quán)利主張或信息隱私權(quán)主張整體持有一種保守傾向，如在史密斯和米勒案中，法院認(rèn)為電話公司和銀行記錄中的信息是與政府共享的，則數(shù)據(jù)不能受到憲法的保護(hù)。此外關(guān)于交易數(shù)據(jù)的二次使用一般也不被法律禁止，除非存在特別法規(guī)定或相反約定。[3]P210

2.州層面的企業(yè)數(shù)據(jù)法律義務(wù)

隱私法傳統(tǒng)上屬州法范疇，目前在美國(guó)各州大約有數(shù)以百計(jì)的隱私和數(shù)據(jù)安全規(guī)則，對(duì)數(shù)據(jù)處理、隱私政策、適當(dāng)使用社會(huì)保障號(hào)碼、以及數(shù)據(jù)泄露通知等各個(gè)領(lǐng)域進(jìn)行規(guī)制。僅加利福尼亞州就有超過(guò)25項(xiàng)州隱私和數(shù)據(jù)安全法律。加州由于云集了眾多科技公司和明星企業(yè)，在州這一層面，于全美數(shù)據(jù)保護(hù)立法領(lǐng)域最具引領(lǐng)地位。加州早年通過(guò)制定《網(wǎng)絡(luò)隱私保護(hù)法》(Online Privacy Protection Act)，對(duì)于網(wǎng)絡(luò)企業(yè)從該州居民處收集可識(shí)別個(gè)人數(shù)據(jù)進(jìn)行管理，為企業(yè)數(shù)據(jù)保護(hù)義務(wù)提出了本州標(biāo)準(zhǔn)。2018年6月，加州為加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，進(jìn)一步頒布2018年《加州消費(fèi)者隱私法案》(California Consumer Privacy Act，CCPA)，對(duì)在該州境內(nèi)開(kāi)展業(yè)務(wù)的營(yíng)利性企業(yè)提出了更為嚴(yán)格的數(shù)據(jù)與隱私保護(hù)要求。CCPA要求企業(yè)必須披露其收集的個(gè)人數(shù)據(jù)類(lèi)別與具體要素、收集數(shù)據(jù)的來(lái)源、收集或出售數(shù)據(jù)的業(yè)務(wù)目的、與企業(yè)共享信息的第三方類(lèi)別等，并要求企業(yè)必須給予用戶數(shù)據(jù)訪問(wèn)權(quán)、數(shù)據(jù)刪除權(quán)、不銷(xiāo)售個(gè)人信息的選擇權(quán)、禁止歧視權(quán)、未成年人同意權(quán)等。與此前諸多法案不同的是，CCPA賦予遭受數(shù)據(jù)泄露損害的加州居民用戶以訴訟權(quán)。該法將于2020 年1月1日正式實(shí)施，被廣泛認(rèn)為是美國(guó)國(guó)內(nèi)最嚴(yán)格的數(shù)據(jù)安全立法，堪與歐盟《通用數(shù)據(jù)保護(hù)條例》相提并論。

(二)歐盟的企業(yè)數(shù)據(jù)法律義務(wù)

歐盟境內(nèi)的企業(yè)數(shù)據(jù)法律義務(wù)，基本上是通過(guò)歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》及其升級(jí)立法《通用數(shù)據(jù)保護(hù)條例》等確立起的數(shù)據(jù)保護(hù)原則與規(guī)則實(shí)現(xiàn)的。

1.《個(gè)人數(shù)據(jù)保護(hù)指令》中的企業(yè)數(shù)據(jù)法律義務(wù)

《個(gè)人數(shù)據(jù)保護(hù)指令》雖然目前已被《通用數(shù)據(jù)保護(hù)條例》所替代，但該指令運(yùn)行20余年，奠定了歐盟境內(nèi)各國(guó)數(shù)據(jù)保護(hù)的基礎(chǔ)性規(guī)則體系，其規(guī)定目前已經(jīng)成為歐盟境內(nèi)數(shù)據(jù)保護(hù)立法的底線要求。首先，《個(gè)人數(shù)據(jù)保護(hù)指令》明確了數(shù)據(jù)保護(hù)的范圍在于“個(gè)人數(shù)據(jù)處理”活動(dòng)，并對(duì)“個(gè)人數(shù)據(jù)”與“處理”下了較為寬泛的定義?！疤幚怼敝浮白詣?dòng)或非自動(dòng)的操作或一系列操作，包括并不局限于收集、記錄、組織、儲(chǔ)藏、改編或變更、修補(bǔ)、磋商、使用、經(jīng)傳輸披露、散布或以其他方式公開(kāi)、調(diào)整或組合、妨礙、刪除或破壞”；“個(gè)人數(shù)據(jù)”則指：有關(guān)已辨別或可辨別的自然人的任何信息，還包括已辨別或可辨別的自然人的照片、視聽(tīng)影像和錄音。其次，《個(gè)人數(shù)據(jù)保護(hù)指令》確定了數(shù)據(jù)最小化的原則，要求依據(jù)該指令制定的內(nèi)國(guó)法必須保證對(duì)個(gè)人數(shù)據(jù)的處理是準(zhǔn)確、及時(shí)、相關(guān)且不過(guò)分的；個(gè)人數(shù)據(jù)應(yīng)當(dāng)只能按照收集該數(shù)據(jù)時(shí)即已確定的合法目的使用，其儲(chǔ)存形式應(yīng)當(dāng)保證在達(dá)成目的后便不能再用于個(gè)人身份的識(shí)別。第三，個(gè)人數(shù)據(jù)只有在滿足下列條件時(shí)才可以被處理：數(shù)據(jù)主體明確地同意，或?yàn)榱吮Ｗo(hù)公眾利益。第四，數(shù)據(jù)處理的內(nèi)容如果涉及種族、政治傾向、宗教信仰、哲學(xué)或倫理觀、或有關(guān)健康和性生活時(shí)，如果沒(méi)有數(shù)據(jù)主體的書(shū)面同意，必須加以嚴(yán)格限制甚至禁止。第五，對(duì)于數(shù)據(jù)處理者，該指令要求其必須向數(shù)據(jù)主體通知如下事項(xiàng)：處理數(shù)據(jù)信息的目的、對(duì)該通知的回復(fù)是必須的還是自愿的、未能回復(fù)的后果、數(shù)據(jù)接受者或接受者的種類(lèi)、數(shù)據(jù)主體有了解和更正有關(guān)自己的數(shù)據(jù)的權(quán)利、數(shù)據(jù)控制者的姓名和地址；即使在不必須征得數(shù)據(jù)主體同意的情形下，也必須對(duì)數(shù)據(jù)主體作上述通知。第六，指令還要求必須保證個(gè)人數(shù)據(jù)的安全，使之避免遭受偶然的或非法的滅失，不會(huì)受到未被授權(quán)的更改或披露，以及其他未被授權(quán)的數(shù)據(jù)處理形式。為切實(shí)保障數(shù)據(jù)主體的權(quán)利，該指令要求成員國(guó)的法律必須對(duì)從事非法處理數(shù)據(jù)的控制者課以民事責(zé)任，并對(duì)不遵守此項(xiàng)法律的行為給予懲罰。第七，指令還要求成員國(guó)的法律規(guī)定，監(jiān)管機(jī)關(guān)除執(zhí)行數(shù)據(jù)保護(hù)法和聽(tīng)取數(shù)據(jù)主體的控訴外，還必須保證：指令賦予的權(quán)利受到侵犯時(shí)，每個(gè)人都有權(quán)獲得司法救濟(jì)。[4]P35-59《個(gè)人數(shù)據(jù)保護(hù)指令》影響深遠(yuǎn)，包括英國(guó)1998年《數(shù)據(jù)保護(hù)法》、意大利1996年《個(gè)人數(shù)據(jù)保護(hù)統(tǒng)一法》在內(nèi)的重要?dú)W盟成員國(guó)數(shù)據(jù)保護(hù)基本法，都是基于該指令的國(guó)內(nèi)法轉(zhuǎn)換。

2.《通用數(shù)據(jù)保護(hù)條例》中的企業(yè)數(shù)據(jù)法律義務(wù)

為推動(dòng)歐洲數(shù)字經(jīng)濟(jì)發(fā)展，呼應(yīng)歐盟單一數(shù)字市場(chǎng)戰(zhàn)略，提升歐洲境內(nèi)的個(gè)人數(shù)據(jù)保護(hù)水平，歐盟于2016年制定《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱GDPR)，并于2018年正式實(shí)施。首先，GDPR與《個(gè)人數(shù)據(jù)保護(hù)指令》不同，可以不經(jīng)轉(zhuǎn)化為國(guó)內(nèi)法而直接針對(duì)成員國(guó)生效。其次，在適用地域范圍上，GDPR適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行；亦適用于某些特定相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，不論其數(shù)據(jù)控制者或處理者是否在歐盟設(shè)立。這就大大拓展了GDPR的適用范圍，不僅以歐盟及其成員國(guó)為目的地的跨國(guó)投資主體需要受GDPR規(guī)制，跨境提供服務(wù)、涉及控制或處理歐盟及其成員國(guó)內(nèi)部用戶數(shù)據(jù)的企業(yè)也受到GDPR規(guī)制，導(dǎo)致GDPR適用的長(zhǎng)臂管轄后果。第三，GDPR從數(shù)據(jù)主權(quán)角度出發(fā)，基于市場(chǎng)地原則和實(shí)質(zhì)管轄，建構(gòu)了“歸屬”不排斥“利用”的數(shù)據(jù)跨境傳輸規(guī)則。第四，GDPR規(guī)定處理使用個(gè)人數(shù)據(jù)的目的原則上應(yīng)該與收集數(shù)據(jù)的原來(lái)目的一致(第5條第1款第b項(xiàng))；而除非數(shù)據(jù)主體同意，或成員國(guó)法律為追求該條例所限定的某些特定目的而在必要的、合比例的范圍內(nèi)另有規(guī)定(第6條第4款、第23條第1款)，才容許例外。第五，在數(shù)據(jù)主體是16歲以下未成年人的情況，GDPR對(duì)其同意提出更嚴(yán)格的要求，例如須其父母或監(jiān)護(hù)人同意；盡管成員國(guó)可以通過(guò)法律降低此年齡要求，但不得低于13歲(第8條第l款)。第六，GDPR重申了“數(shù)據(jù)最少化”原則，即數(shù)據(jù)處理必須限制在對(duì)處理的目的而言必要的范圍內(nèi)(第5條第1款第c款)。第七，關(guān)于廣為國(guó)內(nèi)所知悉的“被遺忘權(quán)”(Right to-be-Forgotten)，亦系經(jīng)由GDPR規(guī)定的數(shù)據(jù)刪除權(quán)，即如果個(gè)人數(shù)據(jù)對(duì)其收集或處理的目的而言不再必要，或被非法處理使用，或數(shù)據(jù)主體撤銷(xiāo)對(duì)數(shù)據(jù)處理的同意，或?qū)?shù)據(jù)處理表示異議，則數(shù)據(jù)主體有權(quán)要求刪除(第17條第1款)。第八，GDPR還規(guī)定了數(shù)據(jù)可攜帶權(quán)，即數(shù)據(jù)主體原則上可向數(shù)據(jù)控制者索要其個(gè)人數(shù)據(jù)，也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)交給另一個(gè)數(shù)據(jù)控制者(第20條第1款)。第九，GDPR高度強(qiáng)調(diào)監(jiān)管配合，要求在個(gè)人資料被泄露的情況下,數(shù)據(jù)控制人應(yīng)在可行的情況下于獲悉后72小時(shí)內(nèi)將個(gè)人數(shù)據(jù)泄露通知數(shù)據(jù)主管機(jī)關(guān)，除非侵犯?jìng)€(gè)人數(shù)據(jù)的行為不太可能對(duì)自然人權(quán)利和自由造成風(fēng)險(xiǎn)。如果在72小時(shí)內(nèi)沒(méi)有通知監(jiān)督機(jī)構(gòu), 應(yīng)附有延誤的理由(第33條)。第十，GDPR要求所有處理個(gè)人數(shù)據(jù)的公共機(jī)構(gòu)以及以監(jiān)控?cái)?shù)據(jù)主體或以處理某些特定敏感數(shù)據(jù)為核心業(yè)務(wù)的私人機(jī)構(gòu)、企業(yè)設(shè)立數(shù)據(jù)保護(hù)官(第37條第1款)。成員國(guó)可以制定更嚴(yán)格的規(guī)定，擴(kuò)大應(yīng)該設(shè)立數(shù)據(jù)保護(hù)官的私人機(jī)構(gòu)、企業(yè)的范圍(第37條第4款)。以德國(guó)為例，其于2018年5月25日與GDPR同步實(shí)施的修訂版《聯(lián)邦數(shù)據(jù)保護(hù)法》中就要求經(jīng)常性處理個(gè)人數(shù)據(jù)的人員在十人以上的私人機(jī)構(gòu)或企業(yè)必須設(shè)置數(shù)據(jù)保護(hù)官。由此可見(jiàn)，歐盟新近的數(shù)據(jù)保護(hù)立法內(nèi)容覆蓋廣泛，對(duì)企業(yè)提出了更高的數(shù)據(jù)保護(hù)義務(wù)要求；不但如此，對(duì)于坊間許多質(zhì)疑歐盟是否會(huì)實(shí)際實(shí)施GDPR的聲音，歐盟各國(guó)政府也以實(shí)際行動(dòng)堅(jiān)決回應(yīng)，據(jù)Statista數(shù)據(jù)統(tǒng)計(jì)， 2018年5月至2019年2月期間歐盟內(nèi)不遵守 GDPR 的案件共206，326起,其中約一半已調(diào)查結(jié)案,結(jié)案案件中僅有1% 左右提起上訴。歐盟立法者與執(zhí)法者的決心值得我國(guó)對(duì)外投資企業(yè)高度關(guān)注。

(三)英國(guó)的企業(yè)數(shù)據(jù)法律義務(wù)

在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域，英國(guó)最重要的法律為1998年《數(shù)據(jù)保護(hù)法》(以下簡(jiǎn)稱1998年法)及2018 年《數(shù)據(jù)保護(hù)法》(以下簡(jiǎn)稱2018年法)。英國(guó)數(shù)據(jù)立法與歐盟立法息息相關(guān)，其中1998年法在很大程度上是貫徹歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》的產(chǎn)物，同樣2018年法也是為了配合并取代同年正式實(shí)施的GDPR，在2018年法的前言中，立法者特別強(qiáng)調(diào)“個(gè)人數(shù)據(jù)處理受制于GDPR”。不過(guò)2018年法對(duì)GDPR部分條款進(jìn)行了保留，存在一系列偏離GDPR的規(guī)定，值得我國(guó)對(duì)外投資企業(yè)關(guān)注。另外，仍有必要持續(xù)觀察英國(guó)脫歐是否會(huì)對(duì)英國(guó)數(shù)據(jù)責(zé)任領(lǐng)域的立法產(chǎn)生影響。

相對(duì)于1998年法而言，2018年法擴(kuò)大了數(shù)據(jù)義務(wù)范圍，提升了數(shù)據(jù)義務(wù)標(biāo)準(zhǔn)。2018年法不僅承繼了1998年法，以法案第四章專門(mén)規(guī)定數(shù)據(jù)控制者的義務(wù)，還仿效《通用數(shù)據(jù)保護(hù)條例》將數(shù)據(jù)處理者也納入數(shù)據(jù)義務(wù)主體范疇，規(guī)定了數(shù)據(jù)控制者與數(shù)據(jù)處理者的一般性義務(wù)與特殊義務(wù)，這意味著納入該法管轄的企業(yè)范圍加大。2018年法的特殊要求包括：數(shù)據(jù)控制者應(yīng)當(dāng)采用適當(dāng)?shù)募夹g(shù)和組織措施，以更好履行義務(wù)，必須考慮技術(shù)新發(fā)展，實(shí)施成本，數(shù)據(jù)處理的性質(zhì)、范圍、情境和目的，以及數(shù)據(jù)處理過(guò)程中可能產(chǎn)生的危及個(gè)人權(quán)利和自由的風(fēng)險(xiǎn)。由此，新法對(duì)負(fù)有數(shù)據(jù)保護(hù)義務(wù)的企業(yè)提出了更高的義務(wù)標(biāo)準(zhǔn)，包括對(duì)“技術(shù)新發(fā)展”的考慮與應(yīng)對(duì)。此外，2018年法還將更大的監(jiān)管與執(zhí)法權(quán)限授予信息專員(Information Commissioner)。該法明確信息專員辦公室(Information Commissioner’s Office，ICO)是英國(guó)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)實(shí)施數(shù)據(jù)保護(hù)規(guī)則，以確保英國(guó)數(shù)據(jù)保護(hù)水平與其他歐盟成員國(guó)相一致。為此，該法要求信息專員可以發(fā)布信息通函(information notice)及評(píng)估通函(assessment notice)，要求企業(yè)向其提供相關(guān)信息，并評(píng)估企業(yè)是否遵循數(shù)據(jù)保護(hù)法。如專員認(rèn)為2018年法被違反，則可以發(fā)出執(zhí)行通函(enforcement notice)，要求企業(yè)采取通函中列明的措施或禁止從事某些措施。專員具有檢查權(quán)、處罰權(quán)，其最大處罰限額較之1998年法亦大為提升。

二、違反義務(wù)的數(shù)據(jù)法律責(zé)任

(一) 民事法律責(zé)任

1.違約責(zé)任

當(dāng)企業(yè)設(shè)置了自己的數(shù)據(jù)保護(hù)與隱私政策，但未能如允諾行事時(shí)，除了可能引發(fā)執(zhí)法機(jī)構(gòu)如美國(guó)FTC或英國(guó)信息專員調(diào)查外，還可能因用戶起訴企業(yè)違反合同而承擔(dān)違約責(zé)任。一般而言，數(shù)據(jù)保護(hù)或隱私政策均被視為用戶與企業(yè)之間簽署的合同的一部分，一旦企業(yè)違反前述政策，即意味著違反了其在合同項(xiàng)下允諾承擔(dān)的義務(wù)，則用戶可以依據(jù)雙方之間合同，以合同當(dāng)事人身份向法院提起訴訟，請(qǐng)求賠償。在臉書(shū)與Cambridge Analytica公司涉嫌濫用約8000萬(wàn)臉書(shū)用戶數(shù)據(jù)的事件中，已有臉書(shū)用戶代表向法院提起訴訟，指控臉書(shū)違反其服務(wù)條款及隱私政策、違反善意及公平交易默示承諾、違反州(加州)級(jí)消費(fèi)者保護(hù)法律以及因疏忽未能保護(hù)用戶數(shù)據(jù)。其中至少前兩項(xiàng)訴求與違約責(zé)任相關(guān)。

2.侵權(quán)責(zé)任

當(dāng)企業(yè)并未違反自己的數(shù)據(jù)保護(hù)或者隱私政策，但該政策存在違法之處，具有“欺騙性”，或者構(gòu)成“不公平”，則用戶可以在法無(wú)相反規(guī)定的情況下提起侵權(quán)訴訟。部分立法者出于對(duì)授予數(shù)據(jù)主體訴權(quán)可能引發(fā)“濫訴”的擔(dān)憂，在立法中拒絕授予數(shù)據(jù)主體以訴權(quán)，美國(guó)《兒童在線隱私保護(hù)法》、《金融服務(wù)現(xiàn)代化法》、加州《網(wǎng)絡(luò)隱私保護(hù)法》等皆是如此，在這種規(guī)定下，僅能由相應(yīng)的執(zhí)法機(jī)構(gòu)，如FTC或加州司法部，才可針對(duì)數(shù)據(jù)控制或處理企業(yè)提起侵權(quán)訴訟。

即使數(shù)據(jù)主體被授予針對(duì)企業(yè)的訴權(quán)，但能否獲得法院支持仍需結(jié)合不同地域司法實(shí)踐及法院傾向綜合判斷。在美國(guó)，盡管近年來(lái)頻頻發(fā)生大規(guī)模數(shù)據(jù)泄露侵權(quán)事件，但從司法實(shí)踐角度觀察，受害人基于數(shù)據(jù)泄露而提起索賠訴訟，面臨的主要法律障礙在于難以證明實(shí)際損害的存在。尤其在企業(yè)因黑客入侵或存在系統(tǒng)漏洞等情況下發(fā)生的數(shù)據(jù)泄露，導(dǎo)致用戶個(gè)人信息被未經(jīng)授權(quán)的第三人獲取或存在被第三人獲取的風(fēng)險(xiǎn)，但并不能直接證明已經(jīng)或必然會(huì)給用戶帶來(lái)人身或財(cái)產(chǎn)損害。由此，美國(guó)部分法院在處理此類(lèi)案件時(shí)，通常都會(huì)要求提出索賠的用戶證明實(shí)際損害的發(fā)生而非證明損害風(fēng)險(xiǎn)的存在，導(dǎo)致許多企業(yè)基于用戶的舉證不能而最終免責(zé)。這一裁判思路的差異體現(xiàn)為如何理解美國(guó)聯(lián)邦最高法院在Clapper一案中確立的先例，即構(gòu)成侵權(quán)的“未來(lái)?yè)p害”(future harm)必須是“確定即將到來(lái)的”(certainly impending)。在數(shù)據(jù)泄露侵權(quán)案件中，部分案件審理法官即認(rèn)為，由于原告不能證明第三人實(shí)際使用了其信用信息開(kāi)設(shè)信用卡或從事其他欺詐行為，也不能證明其因信用信息泄露而遭受到實(shí)際損害或存在緊迫的確定將要發(fā)生的損害，因此，原告所主張的損害只是一種假設(shè)，不能夠得到賠償。

如果實(shí)際發(fā)生的物質(zhì)損害無(wú)法證明，那么用戶是否能夠通過(guò)主張精神損害從違法企業(yè)得到賠償呢？在美國(guó)，多數(shù)法院仍然認(rèn)為此類(lèi)費(fèi)用或損失并不是可以得到賠償?shù)囊寻l(fā)生的損失，而只是對(duì)未來(lái)可能發(fā)生的損失或損失風(fēng)險(xiǎn)的一種補(bǔ)救，是無(wú)法獲得損害賠償?shù)?。不過(guò)大洋彼岸的英國(guó)法院在這個(gè)問(wèn)題上持有不同傾向，在谷歌訴Vidal-Hall等一案中，原告是三名蘋(píng)果電腦的用戶，使用Safari瀏覽器上網(wǎng)，該瀏覽器的默認(rèn)設(shè)置為未經(jīng)用戶同意不允許第三人使用Cookie。原告指控被告谷歌在其不知情且未征得其同意的情況下，使用Cookies收集上網(wǎng)瀏覽信息，并將其與廣告商分享，從而便于后者投放精確廣告。原告聲稱被告的行為構(gòu)成對(duì)個(gè)人私密信息的濫用(Misuse of Private Information)，違反了保密義務(wù)，損害了其人格尊嚴(yán)，給其帶來(lái)了精神上的痛苦，故此原告主張依據(jù)英國(guó)1998年《數(shù)據(jù)保護(hù)法》第13條，要求被告企業(yè)對(duì)其承擔(dān)精神損害賠償責(zé)任。該案法官經(jīng)審理后認(rèn)為，在當(dāng)前背景下，應(yīng)當(dāng)認(rèn)為對(duì)私密信息的濫用構(gòu)成民事侵權(quán)，受害人可以此作為訴因而提起民事訴訟；并且審理法官通過(guò)將歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》第23條及《歐盟基本權(quán)利憲章》第47條引入裁判，認(rèn)定數(shù)據(jù)保護(hù)意義下的“損害”可以擴(kuò)張為包含“精神損害”，呈現(xiàn)出不同于美國(guó)法院傳統(tǒng)裁判傾向的態(tài)度。

GDPR第79條第1款規(guī)定：任何數(shù)據(jù)主體若認(rèn)為其根據(jù)本條例享有的權(quán)利因不遵守本條例的數(shù)據(jù)處理行為而受到侵犯，均有權(quán)獲得有效的司法救濟(jì)，且該救濟(jì)權(quán)不排除任何其他行政或非司法救濟(jì)，包括提出申訴的權(quán)利。這就意味著在歐盟成員國(guó)內(nèi)，數(shù)據(jù)主體可以對(duì)違反GDPR的企業(yè)提起民事訴訟。歐盟法院通過(guò)案例將企業(yè)的數(shù)據(jù)保護(hù)責(zé)任拓展為包含“刪除屏蔽責(zé)任”，該責(zé)任源于歐盟立法中的被遺忘權(quán)。2014年歐盟法院在“岡薩雷斯案訴谷歌西班牙公司案”中確立了數(shù)據(jù)主體的“被遺忘權(quán)”，并對(duì)谷歌之類(lèi)的企業(yè)規(guī)定了刪除或屏蔽義務(wù)。這一判決對(duì)包括英國(guó)法院在內(nèi)的成員國(guó)法院發(fā)揮了一定的示范作用，此后在莫斯利訴谷歌案中，英國(guó)法院不但認(rèn)為谷歌公司負(fù)有“刪除屏蔽責(zé)任”，甚至認(rèn)為谷歌公司已經(jīng)開(kāi)發(fā)出屏蔽技術(shù)，因此要求其對(duì)于原告的照片等信息采取屏蔽不會(huì)給谷歌公司帶來(lái)不合比例的負(fù)擔(dān)或成本，這對(duì)網(wǎng)絡(luò)類(lèi)企業(yè)而言意味著需要承擔(dān)更高的內(nèi)容過(guò)濾義務(wù)。

(二)行政法律責(zé)任

美國(guó)的FTC、英國(guó)的信息專員辦公室以及其他歐盟國(guó)家為落實(shí)GDPR要求而指定的數(shù)據(jù)監(jiān)管機(jī)關(guān)等，都是依據(jù)法律授權(quán)對(duì)數(shù)據(jù)保護(hù)進(jìn)行調(diào)查執(zhí)法的職能部門(mén)。

FTC保護(hù)消費(fèi)者隱私與個(gè)人數(shù)據(jù)，包括但不限于采取執(zhí)法行動(dòng)，制止違法行為，要求企業(yè)采取措施糾正非法行為，包括要求企業(yè)接受強(qiáng)制性合規(guī)審計(jì)、酌情實(shí)施全面的隱私和安全方案、向用戶提供貨幣補(bǔ)償、沒(méi)收非法所得、刪除非法獲得的用戶數(shù)據(jù)、提供更具透明度和供消費(fèi)者選擇的機(jī)制等。FTC可以對(duì)違反《聯(lián)邦貿(mào)易委員會(huì)法》的調(diào)查對(duì)象課以罰金，且該罰金數(shù)額可依據(jù)2015年《美國(guó)聯(lián)邦民事罰金通脹調(diào)整法案》予以年度調(diào)升，自2019年2月起，F(xiàn)TC可以開(kāi)出的最高罰金為1,210,340美元。

歐盟對(duì)侵犯?jìng)€(gè)人數(shù)據(jù)的行為處罰措施亦十分嚴(yán)格，包括禁令救濟(jì)，對(duì)公司工作場(chǎng)所和數(shù)據(jù)處理設(shè)施的稽查和調(diào)查，行政罰款等。歐盟GDPR第83條為歐盟成員國(guó)設(shè)定了統(tǒng)一的違反數(shù)據(jù)保護(hù)罰款標(biāo)準(zhǔn)，該罰款制度系雙層結(jié)構(gòu)，將GDPR違法行為區(qū)分為嚴(yán)重(severe)與次嚴(yán)重(less severe)。次嚴(yán)重違法行為可能會(huì)被處以最高1000萬(wàn)歐元的罰款, 或受罰企業(yè)上一財(cái)政年度全球年收入的 2%, 以較高者為準(zhǔn)，次嚴(yán)重違法行為主要涉及違反GDPR第8、11、25～39、41、42和 43條的行為。嚴(yán)重違法行為則系違反了作為《通用數(shù)據(jù)保護(hù)條例》核心的隱私權(quán)與被遺忘權(quán)根本原則的行為,可能導(dǎo)致最高達(dá) 2000萬(wàn)歐元的罰款,或受罰企業(yè)上一財(cái)政年度全球年收入的 4%, 以金額較高者為準(zhǔn)。嚴(yán)重違法行為包括違反處理數(shù)據(jù)基本原則的行為(GDPR第5、6和第9條)，不能提供數(shù)據(jù)主體同意證明的行為(第7條)，侵犯數(shù)據(jù)主體知情權(quán)、獲得權(quán)、更正權(quán)、刪除權(quán)、攜帶權(quán)等權(quán)利的行為(第12～22條)權(quán)利，以及違反GDPR規(guī)定轉(zhuǎn)移數(shù)據(jù)的行為(第44～49條)。由此可見(jiàn)，涉及GDPR主要核心義務(wù)的違反幾乎都可因被認(rèn)定為嚴(yán)重違法行為引致更嚴(yán)重的行政罰款。事實(shí)上，歐盟及成員國(guó)數(shù)據(jù)監(jiān)管者在執(zhí)行GDPR的過(guò)程中也毫不手軟，法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)為法國(guó)國(guó)家互聯(lián)網(wǎng)信息中心CNIL(Commission Nationale de l'Informatique et des Libertés),該中心因谷歌違反了GDPR，包括向用戶提供了不充分的信息、在多個(gè)頁(yè)面上分散提供信息、且未在廣告?zhèn)€性化的問(wèn)題上獲得有效許可等，于今年年初對(duì)谷歌處以高達(dá)5000萬(wàn)歐元的罰款。不過(guò)在輕微違法的情況下, 或者如果可能處以的罰款對(duì)責(zé)任人構(gòu)成不成比例的負(fù)擔(dān)，則數(shù)據(jù)監(jiān)管機(jī)關(guān)也可以選擇訓(xùn)斥(reprimand)而非罰款。

英國(guó)的數(shù)據(jù)監(jiān)管者即信息專員可以行使調(diào)查、評(píng)估、檢查、處罰等權(quán)力，可以對(duì)企業(yè)執(zhí)法。此外，依據(jù)2018年英國(guó)《數(shù)據(jù)保護(hù)法》，信息專員可以施加的處罰限額遵循歐盟GDPR規(guī)定，也構(gòu)建了針對(duì)不同程度違法行為的雙層處罰機(jī)制。

(三)刑事法律責(zé)任

由于美國(guó)聯(lián)邦層面沒(méi)有專門(mén)的數(shù)據(jù)保護(hù)法, 對(duì)不遵守?cái)?shù)據(jù)保護(hù)義務(wù)的行為其處罰往往需要根據(jù)其他聯(lián)邦部門(mén)法和各州個(gè)人數(shù)據(jù)保護(hù)法或隱私保護(hù)法實(shí)現(xiàn)。盡管實(shí)施網(wǎng)絡(luò)攻擊、入侵私人或公共部門(mén)網(wǎng)絡(luò)、竊取商業(yè)秘密或敏感企業(yè)數(shù)據(jù)、竊取身份進(jìn)行詐騙等正在成為新型的網(wǎng)絡(luò)犯罪類(lèi)型，引發(fā)刑事調(diào)查與處罰；但企業(yè)因過(guò)失未能保護(hù)用戶或消費(fèi)者數(shù)據(jù)，或因他人攻擊而導(dǎo)致數(shù)據(jù)泄露，并不會(huì)導(dǎo)致刑事責(zé)任。

歐盟GDPR也沒(méi)有在數(shù)據(jù)保護(hù)領(lǐng)域制定新的刑事犯罪類(lèi)型，而是在第84條與引言第149段中表明：成員國(guó)應(yīng)自行決定在該國(guó)刑法下如何執(zhí)行條例的相關(guān)規(guī)定。由此，與企業(yè)數(shù)據(jù)保護(hù)義務(wù)相關(guān)的刑事責(zé)任需要個(gè)別考察歐盟成員國(guó)法律。以德國(guó)為例，德國(guó)的數(shù)據(jù)保護(hù)刑事責(zé)任目前受該國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)第42條管轄。依據(jù)第42條規(guī)定，行為人為了商業(yè)目的，故意和未經(jīng)授權(quán)地對(duì)大量無(wú)法公開(kāi)查閱的用戶個(gè)人數(shù)據(jù)采取轉(zhuǎn)讓或公開(kāi)行為的，應(yīng)處以三年以下監(jiān)禁或刑事罰金；以獲取報(bào)酬、使自己或他人受益、或損害他人為目的，對(duì)非公開(kāi)信息的未經(jīng)授權(quán)處理行為或欺詐性獲取行為，應(yīng)處以兩年以下監(jiān)禁或刑事罰金。數(shù)據(jù)主體、控制人、聯(lián)邦專員和監(jiān)管機(jī)關(guān)等均有權(quán)提起刑事控訴。盡管法條規(guī)定十分嚴(yán)格，似乎數(shù)據(jù)保護(hù)違法行為會(huì)廣泛觸發(fā)刑事責(zé)任，但在此前的德國(guó)執(zhí)法與司法實(shí)踐中，運(yùn)用刑事手段追究行為人責(zé)任的案件十分罕見(jiàn)。[2]P246

也有部分歐盟成員國(guó)借GDPR施行之際修改國(guó)內(nèi)法，新增關(guān)于數(shù)據(jù)保護(hù)違法的刑事犯罪，波蘭就是一例。波蘭《個(gè)人數(shù)據(jù)保護(hù)法》(PDPA)有兩個(gè)條款涉及刑事責(zé)任，其一為第107條：任何人在不允許或未經(jīng)授權(quán)處理個(gè)人數(shù)據(jù)的情況下處理個(gè)人數(shù)據(jù), 將被處以罰款、限制自由或2年以下監(jiān)禁；不得為識(shí)別自然人的目的非法處理顯示種族或族裔出身、政治見(jiàn)解、宗教或哲學(xué)信仰、工會(huì)會(huì)員資格、遺傳數(shù)據(jù)、生物鑒別信息的數(shù)據(jù), 不得非法處理有關(guān)健康的數(shù)據(jù)或有關(guān)自然人性生活或性取向的數(shù)據(jù)，否則將被處以罰款、限制自由或3年以下監(jiān)禁。其二為第108條：任何人阻止或妨礙監(jiān)察員開(kāi)展關(guān)于是否遵循PDPA的檢查，將被處以罰款、限制自由或2年以下監(jiān)禁。

與歐盟不同，英國(guó)2018年《數(shù)據(jù)保護(hù)法》具有特殊之處。該法第170條至173條新設(shè)了四項(xiàng)關(guān)于違反數(shù)據(jù)保護(hù)義務(wù)的犯罪條款：1.非法獲取個(gè)人數(shù)據(jù)，即未經(jīng)資料控制人同意, 明知或放任獲取、披露或促使披露個(gè)人資料；出售或提議出售非法獲得的個(gè)人數(shù)據(jù)也屬犯罪。根據(jù)該法案, 這項(xiàng)罪行擴(kuò)大到包括保留個(gè)人資料。就非法獲取的個(gè)人數(shù)據(jù)，數(shù)據(jù)接收者也會(huì)因?yàn)槲茨軇h除或銷(xiāo)毀該數(shù)據(jù)而構(gòu)成犯罪。2.重新識(shí)別已取消識(shí)別的個(gè)人數(shù)據(jù)，即如果對(duì)個(gè)人數(shù)據(jù)的處理方式不能再歸入特定的數(shù)據(jù)主體 (例如通過(guò)加密、匿名或假名方式), 在未經(jīng)有關(guān)控制人同意的情況下,“重新識(shí)別”這些數(shù)據(jù)(以便能再次識(shí)別數(shù)據(jù)主體)，或處理被他人非法重新識(shí)別的個(gè)人數(shù)據(jù),均屬犯罪行為。3.阻止披露個(gè)人數(shù)據(jù)，即如果數(shù)據(jù)主體提出請(qǐng)求 (如訪問(wèn)請(qǐng)求或數(shù)據(jù)移植請(qǐng)求)并有權(quán)收到所要求的數(shù)據(jù),則數(shù)據(jù)控制人(或其雇員、官員或受其控制的人員) 污損、阻止、抹掉、銷(xiāo)毀或隱瞞該數(shù)據(jù)以阻止披露的行為構(gòu)成犯罪。4.禁止要求提供有關(guān)紀(jì)錄，即任何人不得為雇傭或續(xù)聘他人或與他人簽署某種服務(wù)提供合同目的，要求對(duì)方提供其健康記錄或刑事記錄；任何人不得以向公眾或部分公眾提供貨物、服務(wù)或設(shè)施為條件,而要求獲得任何第三方的健康或犯罪記錄。當(dāng)然，前述四項(xiàng)罪名中嫌疑人均可以提出抗辯，而充分的抗辯事由包括：嫌疑人行為與預(yù)防或偵查犯罪相關(guān)，得到法律或法院的授權(quán),或行為符合公眾利益；以及嫌疑人能夠證明其有理由相信自己是數(shù)據(jù)的主體或控制人,或得到當(dāng)事人或控制人的同意,或如果當(dāng)事人或控制人了解情況也會(huì)表示同意。此外，2018年《數(shù)據(jù)保護(hù)法》還取消了不合時(shí)宜的罪名，如根據(jù)1998年《數(shù)據(jù)保護(hù)法》,數(shù)據(jù)控制人應(yīng)首先在信息專員辦公室取得登記，而后才可以處理個(gè)人數(shù)據(jù),否則構(gòu)成犯罪。但伴隨著技術(shù)發(fā)展與個(gè)人數(shù)據(jù)的廣泛使用，再度嚴(yán)苛要求先行登記已經(jīng)不符合時(shí)代需求，故此2018年法廢除了這一罪名,取代以要求數(shù)據(jù)控制人有義務(wù)保存自己的記錄,并應(yīng)要求向信息專員辦公室提供這些記錄。

值得高度關(guān)注的是，雖然GDPR沒(méi)有規(guī)定企業(yè)違反數(shù)據(jù)保護(hù)法律會(huì)產(chǎn)生董事個(gè)人責(zé)任,但英國(guó)2018年《數(shù)據(jù)保護(hù)法》中繼承了1998年《數(shù)據(jù)保護(hù)法》條款，第198條規(guī)定：當(dāng)企業(yè)存在犯罪行為時(shí)，如該罪行系“經(jīng)董事、管理人員、秘書(shū)、官員或其他人(director, manager, secretary, officer or person)同意或縱容或可歸因于其疏忽”而實(shí)施的,則該主體與企業(yè)同時(shí)構(gòu)成犯罪，將受到起訴及懲罰。

三、數(shù)據(jù)法律風(fēng)險(xiǎn)的誘因與呈現(xiàn)特征

當(dāng)前，國(guó)內(nèi)外因素的變化導(dǎo)致我國(guó)對(duì)外投資企業(yè)承受雙重壓力，一方面，我國(guó)企業(yè)成長(zhǎng)蛻變的本土環(huán)境中隱私倫理傳統(tǒng)與數(shù)據(jù)責(zé)任認(rèn)知缺乏，相對(duì)于已經(jīng)確立較高保護(hù)水平與義務(wù)標(biāo)準(zhǔn)的主要投資目的地，“出海”企業(yè)自身數(shù)據(jù)法律風(fēng)險(xiǎn)管理水平較低，極易誘發(fā)風(fēng)險(xiǎn)；另一方面，國(guó)際貿(mào)易投資領(lǐng)域暗流涌動(dòng)，數(shù)據(jù)法律責(zé)任原本被視為消費(fèi)者保護(hù)與公平競(jìng)爭(zhēng)政策的工具，當(dāng)下卻呈現(xiàn)出與技術(shù)標(biāo)準(zhǔn)、貿(mào)易政策相互滲透疊加的現(xiàn)象。

(一) 引發(fā)數(shù)據(jù)法律風(fēng)險(xiǎn)的誘因

1.立法差異：本土數(shù)據(jù)義務(wù)標(biāo)準(zhǔn)與權(quán)利保護(hù)意識(shí)較低

在我國(guó)，信息在法律體系中的地位是逐漸確立的，到現(xiàn)在仍然只得到比較有限的承認(rèn)。[5]P37在綜合性立法層面，2017年《民法總則》制定的亮點(diǎn)之一就在于“民事權(quán)利”一章通過(guò)了兩條對(duì)個(gè)人信息與數(shù)據(jù)保護(hù)的特別規(guī)定，第111條將自然人個(gè)人信息納入法律保護(hù)范疇，并提出了依法取得、確保信息安全、不得非法利用的通行理念；第127條則將數(shù)據(jù)視為財(cái)產(chǎn)，為其他法律接駁入民法總則預(yù)留空間，進(jìn)而為違反其他法律規(guī)定的數(shù)據(jù)財(cái)產(chǎn)利益的行為保留了民事追責(zé)通道。然而，《民法總則》并沒(méi)有明確確認(rèn)數(shù)據(jù)權(quán)利的屬性、主體及權(quán)利位階，一方面當(dāng)發(fā)生數(shù)據(jù)權(quán)屬爭(zhēng)議時(shí)，無(wú)法為糾紛解決提供基本可參考的原則；另一方面在全球主要資本市場(chǎng)都基本認(rèn)可了數(shù)據(jù)權(quán)利及其體系的背景下，我們?cè)诨A(chǔ)性法律中使用這樣語(yǔ)焉不詳?shù)臄?shù)據(jù)權(quán)利表述并不利于我國(guó)自然人或法人以基本的數(shù)據(jù)保護(hù)共識(shí)融入國(guó)際投資與貿(mào)易體系。

2017 年《網(wǎng)絡(luò)安全法》的實(shí)施標(biāo)志著我國(guó)關(guān)于互聯(lián)網(wǎng)的基礎(chǔ)性法律首次進(jìn)入到公眾生活領(lǐng)域，并吸納了個(gè)人數(shù)據(jù)收集的同意原則、數(shù)據(jù)最小化原則、刪除權(quán)規(guī)定等，并且第74條做出了“違反本法規(guī)定，給他人造成損害的”，須承擔(dān)民事責(zé)任的概括性規(guī)定。第74條規(guī)定與《侵權(quán)責(zé)任法》關(guān)于過(guò)錯(cuò)責(zé)任的一般規(guī)定相配合，為違反《網(wǎng)絡(luò)安全法》所規(guī)定義務(wù)而導(dǎo)致的他人損害提供了賠償與救濟(jì)渠道，雖然具體民事責(zé)任存在與否的判斷仍需以《網(wǎng)絡(luò)安全法》相關(guān)義務(wù)是否具有“保護(hù)他人之目的”[6]為前提，但這一規(guī)定仍意味著巨大的進(jìn)步。然而，《網(wǎng)絡(luò)安全法》亦存在諸多不足。首先，其中數(shù)據(jù)保護(hù)規(guī)范都過(guò)于原則而不具操作性。僅以數(shù)據(jù)收集的同意原則為例，該法僅原則性地宣示網(wǎng)絡(luò)運(yùn)營(yíng)者收集使用個(gè)人信息須經(jīng)同意，但對(duì)于誰(shuí)來(lái)舉證證明同意的存在、同意事項(xiàng)的區(qū)分、同意可否撤回、如何撤回，以及針對(duì)特殊人群如未成年人的同意規(guī)則應(yīng)如何特殊設(shè)置等，均無(wú)規(guī)定。其次，該法對(duì)于規(guī)制對(duì)象語(yǔ)焉不詳，其使用的“網(wǎng)絡(luò)經(jīng)營(yíng)者”并非法律概念，也未能借鑒較為清晰的數(shù)據(jù)處理者與數(shù)據(jù)控制者之概念，針對(duì)規(guī)制對(duì)象的義務(wù)標(biāo)準(zhǔn)也不明確。第三，該法對(duì)數(shù)據(jù)權(quán)利的外延列舉有限，僅限于知情權(quán)、刪除權(quán)，對(duì)于數(shù)據(jù)主體的同意撤回權(quán)、數(shù)據(jù)攜帶權(quán)、數(shù)據(jù)訪問(wèn)權(quán)、限制處理權(quán)、糾正權(quán)、拒絕權(quán)等均未涉及。最后，該法以信息安全而非權(quán)利保護(hù)為根本宗旨，意在建構(gòu)一部管理法而非賦權(quán)法；然而，在數(shù)據(jù)問(wèn)題涉及億萬(wàn)民眾利益的背景下，不依靠數(shù)據(jù)主體的權(quán)利意識(shí)，不提升數(shù)據(jù)主體的參與意愿，僅憑網(wǎng)絡(luò)安全管理機(jī)關(guān)或執(zhí)法機(jī)關(guān)，其執(zhí)法行為終究影響有限，難以破解有限的行政管理資源無(wú)法應(yīng)對(duì)大量違法行為這一難題。同理，《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者保護(hù)法》等法律以及其它低位階的法規(guī)、規(guī)章中也同樣存在類(lèi)似問(wèn)題。

由此，由國(guó)內(nèi)法所形塑的本土企業(yè)行為一旦遭遇域外高標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)執(zhí)法，則不可避免地顯示出與域外競(jìng)爭(zhēng)者行為及域外監(jiān)管機(jī)關(guān)期待的巨大落差，進(jìn)而遭遇行政處罰、索賠訴訟、商譽(yù)降低、競(jìng)爭(zhēng)力削弱等困境。

2.執(zhí)法差異：統(tǒng)一執(zhí)法機(jī)構(gòu)的缺位與執(zhí)法重心的偏離

部分國(guó)家如美國(guó)雖然缺乏統(tǒng)一的聯(lián)邦層面的數(shù)據(jù)保護(hù)立法，但通過(guò)強(qiáng)力執(zhí)法機(jī)關(guān)FTC的執(zhí)法實(shí)踐也發(fā)揮了統(tǒng)一執(zhí)法標(biāo)準(zhǔn)，推動(dòng)數(shù)據(jù)保護(hù)水平提升的作用。而獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)機(jī)關(guān)，亦是歐盟模式的法律執(zhí)行的核心。[5]P227在我國(guó)，目前尚缺乏類(lèi)似的統(tǒng)一執(zhí)法機(jī)關(guān)。《網(wǎng)絡(luò)安全法》雖然將國(guó)家網(wǎng)信部門(mén)確立為統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作之職能機(jī)關(guān)，但統(tǒng)籌一說(shuō)即為其他行政部門(mén)參與預(yù)留空間，更何況網(wǎng)絡(luò)安全并不能完全覆蓋數(shù)據(jù)保護(hù)相關(guān)問(wèn)題。

從執(zhí)法活動(dòng)角度觀察，2017年8月至10月，我國(guó)全國(guó)人大常委會(huì)曾集中對(duì)全國(guó)各地落實(shí)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》與《網(wǎng)絡(luò)安全法》的情況進(jìn)行檢查，檢查的重點(diǎn)內(nèi)容之一就是“加強(qiáng)個(gè)人信息保護(hù)，打擊侵犯用戶信息安全違法犯罪”，是迄今為止規(guī)格最高、覆蓋最廣的檢查行動(dòng)。公安部亦開(kāi)展個(gè)人信息與數(shù)據(jù)保護(hù)執(zhí)法活動(dòng)，如2018年公安部網(wǎng)絡(luò)安全保衛(wèi)局集中約談境內(nèi)WiFi分享類(lèi)網(wǎng)絡(luò)應(yīng)用服務(wù)企業(yè)，向境內(nèi)提供服務(wù)的119家企業(yè)提出加強(qiáng)公民個(gè)人信息保護(hù)的5項(xiàng)要求；近年來(lái)國(guó)務(wù)院建立的打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會(huì)議機(jī)制，更是系由公安部牽頭23個(gè)成員單位，共同推進(jìn)打擊治理針對(duì)利用公民個(gè)人信息的電信詐騙行動(dòng)。國(guó)家互聯(lián)網(wǎng)信息辦公室作為互聯(lián)網(wǎng)安全和信息主管部門(mén)，也大量開(kāi)展針對(duì)個(gè)人信息保護(hù)與安全的執(zhí)法行動(dòng)，今年年初即聯(lián)合工業(yè)和信息化部、公安部、國(guó)家市場(chǎng)監(jiān)督管理總局等聯(lián)合啟動(dòng)App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動(dòng)。工業(yè)和信息化部為信息通信行業(yè)網(wǎng)絡(luò)安全監(jiān)管職能部門(mén)，負(fù)責(zé)落實(shí)企業(yè)網(wǎng)絡(luò)安全責(zé)任的執(zhí)法，國(guó)家市場(chǎng)監(jiān)督管理總局負(fù)責(zé)涉及《電子商務(wù)法》與《消費(fèi)者保護(hù)法》的個(gè)人信息保護(hù)執(zhí)法，銀保監(jiān)會(huì)于2019年5月發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，為銀行保險(xiǎn)等金融機(jī)構(gòu)的數(shù)據(jù)保護(hù)提供執(zhí)法標(biāo)準(zhǔn)。

由此可見(jiàn)，在我國(guó)基礎(chǔ)性立法中數(shù)據(jù)保護(hù)內(nèi)容不足、數(shù)據(jù)保護(hù)專門(mén)立法付之闕如的當(dāng)下，數(shù)據(jù)保護(hù)執(zhí)法行動(dòng)政出多門(mén)，執(zhí)法領(lǐng)域或交叉或留白，難以實(shí)現(xiàn)有效覆蓋與標(biāo)準(zhǔn)整合，當(dāng)前缺乏通過(guò)統(tǒng)一強(qiáng)力執(zhí)法機(jī)關(guān)或執(zhí)法行為提升數(shù)據(jù)保護(hù)水平的可能性。尤為遺憾的是，相當(dāng)一部分執(zhí)法機(jī)關(guān)與執(zhí)法行動(dòng)重在維護(hù)網(wǎng)絡(luò)安全，對(duì)數(shù)據(jù)主體的權(quán)利問(wèn)題重視不足，如前述人大常委會(huì)啟動(dòng)的專項(xiàng)檢查中，作為“個(gè)人信息保護(hù)”檢查目標(biāo)的有效成果，包含落實(shí)網(wǎng)絡(luò)接入實(shí)名制、加強(qiáng)企業(yè)內(nèi)控管理防止信息泄露、提升防止黑客攻擊能力與建立反詐騙中心打擊電信網(wǎng)絡(luò)詐騙犯罪，其中僅有防止信息泄露或與個(gè)人數(shù)據(jù)權(quán)利保護(hù)直接相關(guān)。當(dāng)前，這種重安全而輕權(quán)利的立法、執(zhí)法導(dǎo)向?qū)е卤就疗髽I(yè)較少關(guān)心由自然人用戶提出的數(shù)據(jù)權(quán)利問(wèn)題。而事實(shí)上，個(gè)人數(shù)據(jù)與信息的合理保護(hù)才是國(guó)家信息基礎(chǔ)設(shè)施得以應(yīng)用和發(fā)展的基礎(chǔ)。[2]P87換言之，數(shù)據(jù)權(quán)利保護(hù)正是實(shí)現(xiàn)數(shù)據(jù)安全的基石。

3.責(zé)任主體差異：數(shù)據(jù)保護(hù)理念欠缺及數(shù)據(jù)倫理異化

我國(guó)法律文化土壤中成長(zhǎng)起來(lái)的企業(yè)其數(shù)據(jù)安全與數(shù)據(jù)保護(hù)意識(shí)較為淡薄。不但體現(xiàn)為企業(yè)對(duì)用戶信息及數(shù)據(jù)應(yīng)予保護(hù)的理念欠缺，還表現(xiàn)為企業(yè)自身數(shù)據(jù)管理缺位，對(duì)自身具有財(cái)產(chǎn)屬性與重大價(jià)值的企業(yè)數(shù)據(jù)同樣保護(hù)不足，如不久前深圳市法院對(duì)科技企業(yè)大疆創(chuàng)新因前員工泄露公司源代碼案件作出一審判決，經(jīng)法院判定該事件造成大疆公司的損失高達(dá)114.6萬(wàn)。此外，我國(guó)部分企業(yè)缺乏對(duì)商業(yè)倫理與數(shù)據(jù)應(yīng)用倫理的應(yīng)有尊重。如某頭部科技企業(yè)董事長(zhǎng)曾公然做出“以隱私換便利”的荒謬表態(tài)，亦引發(fā)了深刻的社會(huì)反思。[7]P2

當(dāng)前，我國(guó)正處于從信息經(jīng)濟(jì)與網(wǎng)絡(luò)經(jīng)濟(jì)向數(shù)字經(jīng)濟(jì)發(fā)展的重要節(jié)點(diǎn)，知識(shí)與信息的生產(chǎn)、傳播與應(yīng)用、信息科技的強(qiáng)化，共同推動(dòng)人類(lèi)向數(shù)字時(shí)代過(guò)度，并表現(xiàn)為整個(gè)經(jīng)濟(jì)領(lǐng)域的數(shù)字化。[8]P19歷史上從來(lái)沒(méi)有任何一個(gè)時(shí)代，信息以及信息化生成的數(shù)據(jù)的經(jīng)濟(jì)價(jià)值如此凸顯。此時(shí)，確保其在人民之間的平等分配與利用，是確保整個(gè)社會(huì)公平進(jìn)步的關(guān)鍵。[5]P84在數(shù)據(jù)收集領(lǐng)域，由于信息不對(duì)稱的存在，很多消費(fèi)者在進(jìn)行交易時(shí)根本不知道商家正從這筆交易中獲取一項(xiàng)非常有價(jià)值的財(cái)富，即消費(fèi)者的私人資料與交易記錄，并且這種信息獲取完全是免費(fèi)的。[9]P496在數(shù)據(jù)使用領(lǐng)域，消費(fèi)者同樣處于信息不對(duì)稱的泥沼之中，例如當(dāng)消費(fèi)者注冊(cè)了某一款A(yù)PP后，由于APP運(yùn)營(yíng)者不會(huì)強(qiáng)調(diào)注冊(cè)可能帶來(lái)的數(shù)據(jù)泄露后果，因此消費(fèi)者完全想象不到其信息可能被二次使用、轉(zhuǎn)讓使用等，甚至用于其本不希望用于的領(lǐng)域，如個(gè)人健康信息被用于保險(xiǎn)公司的核保評(píng)估之中。在數(shù)據(jù)估值領(lǐng)域，由于消費(fèi)者總是低估自己的私人信息的估價(jià)困難現(xiàn)象，從而導(dǎo)致“隱私近視”(privacy myopia)現(xiàn)象的出現(xiàn)，即企業(yè)從消費(fèi)者處獲得的信息一旦形成綜合檔案，其價(jià)值遠(yuǎn)高于單個(gè)私人價(jià)值之和，而被收購(gòu)數(shù)據(jù)的消費(fèi)者并沒(méi)有意識(shí)到這一點(diǎn)，從而樂(lè)于接受企業(yè)提供的看似慷慨的出價(jià)。[10]P1502-1504除信息不對(duì)稱因素外，數(shù)據(jù)主體議價(jià)能力的不均衡也會(huì)阻礙他人對(duì)數(shù)據(jù)權(quán)利的保護(hù)。因此，在數(shù)據(jù)信息交易中，企業(yè)并沒(méi)有盡到公平對(duì)待消費(fèi)者、并給予消費(fèi)者合理交易價(jià)格的機(jī)會(huì)，甚至在有意無(wú)意的利用消費(fèi)者的無(wú)知。不但如此，企業(yè)還可以通過(guò)掌握技術(shù)標(biāo)準(zhǔn)的制定，維持已經(jīng)取得的信息披露最大化的現(xiàn)狀，甚至?xí)M(jìn)一步剝奪消費(fèi)者選擇其他標(biāo)準(zhǔn)與行為的機(jī)會(huì)。[9]P502-503或許更為嚴(yán)重的是，由于消費(fèi)者根本無(wú)法拒絕企業(yè)制定的協(xié)議(否則將無(wú)法使用某種產(chǎn)品或服務(wù))，則企業(yè)的數(shù)據(jù)使用協(xié)議已經(jīng)成為全球用戶的法律，“這會(huì)暗中破壞法律正常的制定與實(shí)施，因?yàn)榉蓱?yīng)該有規(guī)定的程序，考慮并尊重民主原則?！盵11]P157

由此，數(shù)據(jù)保護(hù)中的責(zé)任主體通過(guò)有意或無(wú)意忽視其數(shù)據(jù)法律義務(wù)與商業(yè)倫理，維持對(duì)其最為有利的信息財(cái)富分配格局。正是為克服這一數(shù)據(jù)倫理的異化現(xiàn)象，有學(xué)者提出了保護(hù)個(gè)人數(shù)據(jù)的四個(gè)道德與倫理理由：“基于信息的傷害”“信息不平等”“信息不公平”與“道德自治與道德認(rèn)同”。[12]P221,224-225

(二) 數(shù)據(jù)法律風(fēng)險(xiǎn)的“混合型”呈現(xiàn)

1.以違反消費(fèi)者保護(hù)法及政策為通常形式

盡管在數(shù)據(jù)保護(hù)方面存在許多根本差異, 但“信息范式”仍是美國(guó)隱私法和歐洲數(shù)據(jù)保護(hù)法的共同要素。當(dāng)代數(shù)據(jù)保護(hù)法系基于丹尼爾·索洛夫教授所說(shuō)的“隱私自我管理”(privacy self-management)模式。[13]P1880-1903根據(jù)這一模式, 消費(fèi)者應(yīng)對(duì)其個(gè)人數(shù)據(jù)行使控制, 并就其數(shù)據(jù)使用在知情后做出決定。因此,“通知與選擇”(notice and choice)已成為美國(guó)公平信息實(shí)踐自律的關(guān)鍵要素。[14]P43-44歐洲數(shù)據(jù)保護(hù)法雖然比美國(guó)隱私法更具限制性, 但也在大體建立在“通知與選擇”的模式之上。[14]P44-46“通知”一般是從信息實(shí)踐的透明度角度描述, 而 “選擇”通常是從同意的角度來(lái)界定的，[14]P43-44都與企業(yè)的信息披露密切相關(guān)。盡管大多數(shù)消費(fèi)者既不閱讀也不理解冗長(zhǎng)和復(fù)雜的隱私聲明，但信息披露仍是立法者的普遍選擇，其優(yōu)勢(shì)在于：一方面，規(guī)定信息披露義務(wù)、進(jìn)而征收“信息稅”具有輕微監(jiān)管和市場(chǎng)干擾最小化的優(yōu)勢(shì)，能夠通過(guò)價(jià)格、質(zhì)量或合同條款的明確化來(lái)克服信息不對(duì)稱而導(dǎo)致的市場(chǎng)效率低下的問(wèn)題，改善市場(chǎng)運(yùn)作；另一方面，強(qiáng)制披露能夠保護(hù)消費(fèi)者自決權(quán)和增強(qiáng)消費(fèi)者權(quán)能。而信息披露多蘊(yùn)含在消費(fèi)者保護(hù)法或政策中，故此無(wú)論數(shù)據(jù)義務(wù)人未經(jīng)充分披露或獲取消費(fèi)者同意而獲得、使用、處理數(shù)據(jù)時(shí)，其法律風(fēng)險(xiǎn)通常體現(xiàn)為，也至少包含了對(duì)消費(fèi)者保護(hù)法及政策的違反。

2.技術(shù)管制風(fēng)險(xiǎn)漸次呈現(xiàn)

數(shù)據(jù)的獲取、使用與處理往往涉及科技型企業(yè)及信息技術(shù)發(fā)展，故此企業(yè)的數(shù)據(jù)法律風(fēng)險(xiǎn)呈現(xiàn)特征較為復(fù)雜，往往因目的地國(guó)家對(duì)于他國(guó)科技進(jìn)步的擔(dān)憂與科技反制的政策而面臨不確定性，并以有悖“人性、人權(quán)、隱私、個(gè)人或公眾自由”的藉口遭遇打擊。以美國(guó)為例，美國(guó)國(guó)會(huì)于2018年通過(guò)新《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》(Foreign Investment Risk Review Modernization Act，F(xiàn)IRRMA)，將非控制性投資也納入審查，將自愿申報(bào)制度變更為對(duì)部分領(lǐng)域的投資實(shí)施強(qiáng)制申報(bào)，對(duì)美國(guó)公司與非美國(guó)公司之間的技術(shù)合作亦實(shí)施全新的管制體系。依據(jù)FIRRMA規(guī)定，涉及敏感行業(yè)、政府合同、關(guān)鍵技術(shù)、敏感數(shù)據(jù)、關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等交易均被納入安全審查范圍。美國(guó)商務(wù)部工業(yè)安全局隨即公布了一份通函(Notice)草案，將包括人工智能、生物技術(shù)、數(shù)據(jù)分析和新材料等在內(nèi)的14項(xiàng)列入關(guān)鍵技術(shù)領(lǐng)域。由此實(shí)現(xiàn)將技術(shù)管制問(wèn)題偽裝為投資管理問(wèn)題，則數(shù)據(jù)違法行為可能因違反隱私與自由而成為投資審查的借口，進(jìn)而實(shí)現(xiàn)技術(shù)管制之目的。無(wú)疑這將大大增加他國(guó)企業(yè)并購(gòu)美國(guó)企業(yè)，特別是涉及關(guān)鍵技術(shù)領(lǐng)域投資時(shí)的風(fēng)險(xiǎn)與難度。

3.貿(mào)易政策風(fēng)險(xiǎn)交錯(cuò)其中

經(jīng)驗(yàn)研究表明，無(wú)論是雙邊還是多邊貿(mào)易協(xié)定，都會(huì)降低貿(mào)易政策不確定性，并主要通過(guò)企業(yè)的市場(chǎng)進(jìn)入和中間投入品的進(jìn)口來(lái)促進(jìn)貿(mào)易。[15]P106-116然而，由于WTO談判在進(jìn)入多哈回合后陷入停滯，新生的數(shù)字經(jīng)濟(jì)及數(shù)據(jù)相關(guān)問(wèn)題在多邊層面缺乏權(quán)威性規(guī)范；部分國(guó)家力圖通過(guò)雙邊協(xié)議或區(qū)域協(xié)定將其納入其中，推動(dòng)對(duì)己有利的數(shù)據(jù)政策并打壓競(jìng)爭(zhēng)對(duì)手。僅以歐美為例，目前較為成熟的跨境數(shù)據(jù)傳輸雙邊機(jī)制為歐美之間的“隱私盾”(Privacy Shield)，依據(jù)該機(jī)制，美國(guó)公司要遵守歐盟的高標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)要求，則歐盟允許向美國(guó)跨境傳輸發(fā)生于歐盟的數(shù)據(jù)；歐盟試圖以GDPR為跨大西洋數(shù)據(jù)規(guī)范確立基石，而GDPR將數(shù)據(jù)傳輸限制作為確保數(shù)據(jù)享有充分法律保護(hù)的一種工具。但美國(guó)通過(guò)在美墨加協(xié)定(The United States-Mexico-Canada Agreement ，USMCA)中設(shè)定數(shù)字貿(mào)易專章，確立了禁止對(duì)跨境數(shù)據(jù)傳輸施加限制與全面禁止數(shù)據(jù)本地化要求的規(guī)則，并實(shí)施了較低的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。這就意味著協(xié)定簽署國(guó)不必遵循歐洲的數(shù)據(jù)保護(hù)模式；考慮到美國(guó)一直致力于將USMCA模式推廣到其他區(qū)域協(xié)定談判中，而多邊談判亦可能借鑒這一模式，則美國(guó)確定的數(shù)據(jù)保護(hù)政策很可能被悄然確立為全球數(shù)據(jù)保護(hù)原則與規(guī)則的重要藍(lán)本，至少在與歐盟的數(shù)據(jù)貿(mào)易標(biāo)準(zhǔn)之爭(zhēng)中已經(jīng)扳回一城，由此亦可見(jiàn)各國(guó)貿(mào)易政策背后的政治經(jīng)濟(jì)考量。事實(shí)上, 當(dāng)美國(guó)在USMCA協(xié)定中宣揚(yáng)高標(biāo)準(zhǔn)知識(shí)產(chǎn)權(quán)保護(hù)的同時(shí),又選擇了低標(biāo)準(zhǔn)的數(shù)字貿(mào)易保護(hù)，可見(jiàn)保護(hù)什么、以什么標(biāo)準(zhǔn)保護(hù)，完全是一個(gè)基于美國(guó)立場(chǎng)、強(qiáng)化美國(guó)優(yōu)勢(shì)、削弱競(jìng)爭(zhēng)對(duì)手的選擇。正如有學(xué)者評(píng)價(jià)，美式單邊主義通過(guò)單邊標(biāo)準(zhǔn)雙邊化，進(jìn)而通過(guò)數(shù)量累積達(dá)至準(zhǔn)多邊化乃至多邊化，最終重塑全球經(jīng)貿(mào)規(guī)則體系，實(shí)現(xiàn)符合美國(guó)利益和需求的新一代“全球化”，亦即敵視、限制乃至排斥中國(guó)的一種“全球化”。[16]P53

我國(guó)是數(shù)字發(fā)展大國(guó)，目前數(shù)字經(jīng)濟(jì)規(guī)模躍居全球第二，中國(guó)不僅孕育了若干數(shù)字化巨頭，世界上三分之一的獨(dú)角獸企業(yè)誕生在中國(guó)，而且已經(jīng)形成不斷擴(kuò)張的數(shù)字化生態(tài)系統(tǒng)。[8]P19中美在數(shù)字經(jīng)濟(jì)發(fā)展中雖然有合作，但亦有競(jìng)爭(zhēng)。而數(shù)據(jù)作為新生產(chǎn)要素的重要作用日益凸顯，數(shù)據(jù)的開(kāi)放、共享和應(yīng)用將優(yōu)化資源配置和使用效率，提高資源、資本、人才全要素生產(chǎn)率，是發(fā)展數(shù)字經(jīng)濟(jì)，成為數(shù)字強(qiáng)國(guó)的關(guān)鍵。在數(shù)據(jù)治理領(lǐng)域，需要警惕美式或歐式標(biāo)準(zhǔn)與規(guī)則的確立產(chǎn)生排斥中國(guó)的后果。當(dāng)前在數(shù)據(jù)治理領(lǐng)域，由于我國(guó)數(shù)據(jù)保護(hù)立法的形式與實(shí)質(zhì)均存在不足，數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)與歐盟所倡導(dǎo)的標(biāo)準(zhǔn)存在較大差距，數(shù)據(jù)安全立法理念與美國(guó)所試圖推動(dòng)的數(shù)據(jù)自由流動(dòng)存在分歧，或因法律及標(biāo)準(zhǔn)差異引發(fā)貿(mào)易政策分歧，進(jìn)而成為其他國(guó)家實(shí)現(xiàn)其政治經(jīng)濟(jì)利益的藉口。事實(shí)上，最近美國(guó)政府對(duì)華為、大疆等中國(guó)科技公司的打壓，至少其披露的理由均與數(shù)據(jù)泄露、數(shù)據(jù)保護(hù)或數(shù)據(jù)安全相關(guān)。

總之，當(dāng)前的數(shù)據(jù)風(fēng)險(xiǎn)本質(zhì)上雖然仍是一個(gè)法律問(wèn)題，但已經(jīng)不僅僅顯現(xiàn)為法律問(wèn)題，在技術(shù)促進(jìn)政策、競(jìng)爭(zhēng)政策、貿(mào)易政策正在發(fā)生劇變的歐美市場(chǎng)，我國(guó)企業(yè)極易因數(shù)據(jù)違法產(chǎn)生風(fēng)險(xiǎn)外溢，法律風(fēng)險(xiǎn)與其他風(fēng)險(xiǎn)相互交叉，混合作用，危及企業(yè)的正常并購(gòu)與投資管理。

四、規(guī)避對(duì)外投資數(shù)據(jù)法律風(fēng)險(xiǎn)的建議

數(shù)據(jù)安全與數(shù)字經(jīng)濟(jì)發(fā)展固然重要，但權(quán)利保護(hù)亦是發(fā)展與安全的基石。GDPR的數(shù)據(jù)保護(hù)高標(biāo)準(zhǔn)在帶動(dòng)全球個(gè)人數(shù)據(jù)保護(hù)水平提升的同時(shí)，也贏得了捍衛(wèi)消費(fèi)者權(quán)利的廣泛贊譽(yù)，為歐盟市場(chǎng)吸引投資、發(fā)展自身數(shù)字經(jīng)濟(jì)提供了巨大的聲譽(yù)資本，很難說(shuō)因增加成本而削弱了歐盟的競(jìng)爭(zhēng)力。故此，盡管數(shù)據(jù)法律風(fēng)險(xiǎn)也可能與其他風(fēng)險(xiǎn)存在共振與疊加，但練好內(nèi)功，提升自身的經(jīng)貿(mào)法制水平，推動(dòng)我國(guó)企業(yè)在對(duì)外投資中遵守目的地國(guó)家法律、配合監(jiān)管執(zhí)法、充分利用司法、合理捍衛(wèi)權(quán)益，始終是至關(guān)重要的。

(一) 高度重視投資目的地法律體系、提升數(shù)據(jù)保護(hù)意識(shí)

目前來(lái)看，主要投資目的地個(gè)人數(shù)據(jù)保護(hù)法律體系都較為復(fù)雜。在美國(guó)，既要關(guān)注數(shù)據(jù)安全、數(shù)據(jù)保護(hù)法律和傳統(tǒng)的隱私保護(hù)法律等不同部門(mén)法；又要關(guān)注聯(lián)邦法與州法兩個(gè)法律體系。不僅需要關(guān)注聯(lián)邦立法如《兒童在線隱私保護(hù)法》《金融服務(wù)現(xiàn)代化法》《公平信用報(bào)告法》《電話營(yíng)銷(xiāo)銷(xiāo)售規(guī)則》《公平債務(wù)催收法》等；還要密切關(guān)注各州立法，尤其許多個(gè)人數(shù)據(jù)保護(hù)規(guī)范是嵌入消費(fèi)者保護(hù)法從而為數(shù)據(jù)主體提供救濟(jì)的，而消費(fèi)者保護(hù)法屬州法范疇。在州法層面，由于各州的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)也存在差異，因此如果投資企業(yè)的目標(biāo)客戶為美國(guó)全境，則必須與持有較高保護(hù)標(biāo)準(zhǔn)的州法保持一致。在歐盟，既要關(guān)注歐盟層級(jí)的指令(directive)與條例(regulation)所創(chuàng)設(shè)的一般標(biāo)準(zhǔn)，如達(dá)到一定規(guī)模的企業(yè)設(shè)立數(shù)據(jù)保護(hù)官制度；又要熟稔成員國(guó)法律，尤其是成員國(guó)所作出的與歐盟標(biāo)準(zhǔn)不同的法律規(guī)定，或者對(duì)于歐盟立法的保留條款，或者歐盟指定由成員國(guó)自行制定的條款，例如投資英國(guó)更應(yīng)關(guān)注違反數(shù)據(jù)保護(hù)義務(wù)可能帶來(lái)的董事高管刑事法律責(zé)任以及其風(fēng)險(xiǎn)規(guī)避。

鑒于不同投資目的地的數(shù)據(jù)保護(hù)法律體系本身就較為復(fù)雜，在海外并購(gòu)的過(guò)程中必須強(qiáng)化這一領(lǐng)域的盡職調(diào)查，了解目標(biāo)企業(yè)經(jīng)營(yíng)管理的合法性，確保其不因數(shù)據(jù)違法行為或潛在違法行為而承擔(dān)糾紛、債務(wù)或法律責(zé)任，最大程度消除因信息不對(duì)稱導(dǎo)致的投資交易風(fēng)險(xiǎn)。

(二) 積極配合職能部門(mén)執(zhí)法行為、規(guī)避執(zhí)法風(fēng)險(xiǎn)

諸種因數(shù)據(jù)保護(hù)違法而產(chǎn)生的法律責(zé)任中，刑事責(zé)任較為少見(jiàn)；民事責(zé)任之訴訟發(fā)起人相對(duì)于企業(yè)往往較為弱勢(shì)，在不具備集團(tuán)訴訟制度的國(guó)家尚不足以對(duì)企業(yè)形成重大威懾；因此對(duì)于我國(guó)對(duì)外投資企業(yè)而言，最應(yīng)關(guān)注的是各國(guó)的強(qiáng)力數(shù)據(jù)管理職能部門(mén)或監(jiān)管部門(mén)的行政執(zhí)法行為，最應(yīng)規(guī)避的是由執(zhí)法行為帶來(lái)的行政法律責(zé)任與風(fēng)險(xiǎn)。尤其是近年來(lái)無(wú)論歐美均大幅提升了行政處罰標(biāo)準(zhǔn)，歐盟更是統(tǒng)一處罰標(biāo)準(zhǔn)，將其提升至“2千萬(wàn)歐元或前一年度企業(yè)全球營(yíng)業(yè)額的4%、以較高者為準(zhǔn)”，需要我國(guó)投資企業(yè)慎重對(duì)待。

由于行政責(zé)任的加重與數(shù)據(jù)保護(hù)執(zhí)法力度的強(qiáng)化，我國(guó)對(duì)外投資企業(yè)需要積極配合各投資目的地?cái)?shù)據(jù)保護(hù)職能部門(mén)的執(zhí)法行為。在美國(guó)，投資企業(yè)需要高度關(guān)注并深刻理解FTC的目標(biāo)與功能。在歐盟，投資企業(yè)也需要對(duì)各國(guó)執(zhí)法部門(mén)及其執(zhí)法路徑、傾向等具有充分的了解，高度配合監(jiān)管。配合監(jiān)管不但為爭(zhēng)取行政和解、最小化企業(yè)損失所必須，還是規(guī)避企業(yè)或員工刑事責(zé)任的重要途徑，如歐盟成員國(guó)中波蘭就將阻止或妨礙監(jiān)管檢查視為刑事犯罪行為。在歐盟配合監(jiān)管，還要求符合資質(zhì)的企業(yè)設(shè)立數(shù)據(jù)保護(hù)官制度，在發(fā)現(xiàn)個(gè)人數(shù)據(jù)泄露時(shí)盡可能及時(shí)通知監(jiān)管機(jī)關(guān)，同時(shí)企業(yè)應(yīng)對(duì)歐盟各成員國(guó)數(shù)據(jù)監(jiān)管機(jī)關(guān)執(zhí)法的嚴(yán)格性具有正確認(rèn)知，避免引發(fā)巨額行政處罰。

(三)善用裁判引導(dǎo)功能、維護(hù)合法權(quán)益

在我國(guó)主要投資目的地國(guó)家中，司法都發(fā)揮著重要而關(guān)鍵的平衡作用。立法的規(guī)定如何轉(zhuǎn)化成為現(xiàn)實(shí)的法律責(zé)任，有賴于法院的認(rèn)定與裁判。在重要且敏感的爭(zhēng)議糾紛中，司法裁判往往一錘定音；而此前的司法案例也可以為企業(yè)合法經(jīng)營(yíng)提供必要的指引。由此，必須高度關(guān)注投資目的地國(guó)家的法院判決及其傾向。

美國(guó)的政治文化與法律傳統(tǒng)下，法院傾向于維護(hù)美國(guó)憲法第一修正案與言論自由，導(dǎo)致部分隱私權(quán)訴訟難以成功獲賠。此外，美國(guó)法院在隱私權(quán)侵權(quán)訴訟中，較為堅(jiān)持損害結(jié)果的現(xiàn)實(shí)性，部分?jǐn)?shù)據(jù)侵權(quán)訴訟受害人往往因難以證明存在現(xiàn)實(shí)損害而敗訴。不過(guò)近年來(lái)，美國(guó)法院的整體觀點(diǎn)有發(fā)生變化的趨勢(shì)，尤其在未成年人數(shù)據(jù)保護(hù)與安全等領(lǐng)域。對(duì)于我國(guó)對(duì)外投資企業(yè)而言，在努力提升自身數(shù)據(jù)安全與數(shù)據(jù)保護(hù)義務(wù)水平的同時(shí)，也可以充分利用美國(guó)司法機(jī)關(guān)的傾向提出抗辯，維護(hù)己方合法利益。

歐盟法院與成員國(guó)法院也積極介入數(shù)據(jù)權(quán)利糾紛，歐盟法院通過(guò)“谷歌西班牙公司案”裁判曾發(fā)揮了積極解釋立法規(guī)定(被遺忘權(quán))的作用。成員國(guó)法院的裁判傾向也值得高度關(guān)注，例如英國(guó)法院通過(guò)裁判，支持?jǐn)?shù)據(jù)侵權(quán)受害人的精神損害賠償請(qǐng)求；并為了保護(hù)用戶數(shù)據(jù)權(quán)利，提升了谷歌以及其他搜索引擎企業(yè)的義務(wù)標(biāo)準(zhǔn)，要求其負(fù)有一定的內(nèi)容過(guò)濾義務(wù)；德國(guó)法院采取平衡態(tài)度，并不傾向于對(duì)立法之中規(guī)定過(guò)于寬泛的侵犯數(shù)據(jù)權(quán)利犯罪行為施加司法制裁；等等。這些都需要對(duì)外投資企業(yè)結(jié)合國(guó)別差異采用不同的應(yīng)對(duì)措施。

(四)完善內(nèi)部風(fēng)險(xiǎn)管理體系、適度分散風(fēng)險(xiǎn)

數(shù)據(jù)保護(hù)問(wèn)題最初本就體現(xiàn)為企業(yè)風(fēng)險(xiǎn)內(nèi)控問(wèn)題，如各企業(yè)的隱私政策如何設(shè)置，首先涉及到的就是企業(yè)與用戶之間的約定及其履行。此后，因企業(yè)與個(gè)人用戶之間的締約能力大不相同，加之?dāng)?shù)據(jù)保護(hù)的專業(yè)性、安全性、信息不對(duì)稱等因素，導(dǎo)致行政監(jiān)管機(jī)關(guān)介入，以強(qiáng)力監(jiān)管推動(dòng)企業(yè)完善經(jīng)營(yíng)，救濟(jì)公眾，維護(hù)公共利益。因此，完備的立法、強(qiáng)力的執(zhí)法、平衡的司法，均不能替代最為核心的企業(yè)經(jīng)營(yíng)管理與風(fēng)險(xiǎn)管理問(wèn)題。

綜合各國(guó)經(jīng)驗(yàn)，首先，對(duì)外投資企業(yè)有必要建立專門(mén)的數(shù)據(jù)安全管理人員或團(tuán)隊(duì)，并保證其履行職責(zé)的獨(dú)立性。這體現(xiàn)為歐盟、英國(guó)等的數(shù)據(jù)保護(hù)官制度、美國(guó)馬薩諸塞州的信息安全計(jì)劃(Information Security Programme)專員制度、美國(guó)紐約州金融機(jī)構(gòu)的首席信息安全官制度(Chief Information Security Officer)等立法要求。數(shù)據(jù)安全管理人制度與目前部分大企業(yè)已經(jīng)設(shè)立的首席信息官(Chief Information Officer，CIO)制度存在差異，前者更關(guān)注的是企業(yè)數(shù)據(jù)控制與數(shù)據(jù)處理中的安全與風(fēng)險(xiǎn)防控問(wèn)題，而后者則主要負(fù)責(zé)企業(yè)信息技術(shù)的利用問(wèn)題，二者職能在一定程度上存在沖突，往往體現(xiàn)為安全與效率之爭(zhēng)，這也是為何歐盟《通用數(shù)據(jù)保護(hù)條例》以專門(mén)規(guī)定凸顯前者重要性的意義所在。

其次，對(duì)外投資企業(yè)需要制訂完備的信息安全實(shí)施計(jì)劃，配備完善的信息安全技術(shù)防范措施，定期排查數(shù)據(jù)安全隱患。建立完備的數(shù)據(jù)庫(kù)分級(jí)授權(quán)管理機(jī)制，明確各級(jí)工作人員的數(shù)據(jù)管理與數(shù)據(jù)安全職責(zé)，加強(qiáng)數(shù)據(jù)管理權(quán)限設(shè)置，明確各級(jí)人員獲得數(shù)據(jù)的范圍及程序。加強(qiáng)對(duì)員工的數(shù)據(jù)安全培訓(xùn)，在機(jī)構(gòu)內(nèi)部形成監(jiān)督與制約機(jī)制，切實(shí)防范數(shù)據(jù)泄露或?yàn)E用行為等危害數(shù)據(jù)安全的行為發(fā)生。

最后，對(duì)外投資企業(yè)還可通過(guò)購(gòu)入數(shù)據(jù)泄露保險(xiǎn)(Data Breach Insurance)、網(wǎng)絡(luò)責(zé)任保險(xiǎn)(Cyber Liability Insurance)等保險(xiǎn)產(chǎn)品覆蓋因和解、維護(hù)公共關(guān)系、承擔(dān)法律責(zé)任、支付法律費(fèi)用等而發(fā)生的成本，分散投資與經(jīng)營(yíng)風(fēng)險(xiǎn)。

五、結(jié)論

數(shù)據(jù)安全與數(shù)據(jù)自由，隱私保護(hù)與產(chǎn)業(yè)發(fā)展，是各國(guó)通過(guò)不同的數(shù)據(jù)保護(hù)模式、路徑與方法試圖實(shí)現(xiàn)的魚(yú)與熊掌。然而這一問(wèn)題最終并不取決于立法者與社會(huì)治理者的主觀意愿，更受制于現(xiàn)實(shí)因素，包括各國(guó)的文化、政治、經(jīng)濟(jì)、法律發(fā)展現(xiàn)狀，在全球化時(shí)代也包括國(guó)際環(huán)境的影響。作為全球化的受益者，一方面我國(guó)有必要通過(guò)推動(dòng)數(shù)據(jù)保護(hù)規(guī)范化與標(biāo)準(zhǔn)提升使自己的企業(yè)能夠不失分、不漏項(xiàng)地以一種負(fù)責(zé)任企業(yè)的健康形象融入國(guó)際投資貿(mào)易體系；另一方面，在保護(hù)主義逆流泛濫、尚存“全球化向何處去”迷思的當(dāng)下，也應(yīng)關(guān)注法律問(wèn)題與技術(shù)問(wèn)題、貿(mào)易政策問(wèn)題的疊加與共振，提升風(fēng)險(xiǎn)意識(shí)，防范數(shù)據(jù)法律責(zé)任產(chǎn)生。

注釋：

① TikTok agrees to pay record $5.7-million settlement in FTC children's online privacy case[EB/OL]. https://www.usatoday.com/story/tech/2019/02/27/ftc-childrens-privacy-case-tiktok-video-app-paying-record-settlement/3006921002, 2019-2-27.

② Lenovo Settles FTC Charges it Harmed Consumers With Preinstalled Software on its Laptops that Compromised Online Security[EB/OL]. https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled,2019-2-27.

③ 中華人民共和國(guó)商務(wù)部，國(guó)家統(tǒng)計(jì)局，國(guó)家外匯管理局.2017年度中國(guó)對(duì)外直接投資統(tǒng)計(jì)公報(bào)[M].北京：中國(guó)統(tǒng)計(jì)出版社，2018：4.

④ 中華人民共和國(guó)商務(wù)部.中國(guó)對(duì)外投資發(fā)展報(bào)告(2018)[EB/OL].商務(wù)部網(wǎng)站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.

⑤ 其中，歐洲是中企海外并購(gòu)金額最多的地區(qū)，2018年達(dá)659.4億美元，同比增長(zhǎng)37.9%，占中企全球并購(gòu)總額的六成；中企在北美洲的海外并購(gòu)金額達(dá)156.5億美元，與2017年持平。參見(jiàn)中華人民共和國(guó)商務(wù)部.中國(guó)對(duì)外投資發(fā)展報(bào)告(2018)[EB/OL].商務(wù)部網(wǎng)站http://fec.mofcom.gov.cn/article/tzhzcj/tzhz/201901/20190102831043.shtml，2019-2-3.。

⑥ Data Protection Full Handbook[EB/OL]. https://www.dlapiperdataprotection.com/,2019-2-3.

⑦ Federal Trade Commission Act,15 U.S.C. §§ 41-58.

⑧ Gateway Learning Settles FTC Privacy Charges Company Rented Customer Information it Pledged to Keep Private[EB/OL].https://www.ftc.gov/news-events/press-releases/2004/07/gateway-learning-settles-ftc-privacy-charges,2019-2-3.

⑨ Facebook Settles FTC Charges That It Deceived Consumers By Failing To Keep Privacy Promises[EB/OL]. https://www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-keep, 2019-2-3.

⑩ FTC Cases and Proceedings[EB/OL]. https://www.ftc.gov/enforcement/cases-proceedings, 2019-2-3.