□徐 漪 沈建峰

被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)法”的歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱“GDPR”)已經(jīng)實施半年，從其效果看，世界各大互聯(lián)網(wǎng)企業(yè)都已表示服從該法監(jiān)管，并已經(jīng)開始調(diào)整各自的隱私和數(shù)據(jù)保護(hù)政策，最新判例也已出爐。GDPR的影響恐怕也才剛剛開始。事實上，作為超國家聯(lián)盟的歐盟，能通過立法并獲得各成員國議會批準(zhǔn)，本身必然是各方利益妥協(xié)的結(jié)果。仔細(xì)研讀《GDPR》可以看出，在業(yè)界關(guān)注的廣泛義務(wù)和高額罰款背后，GDPR在數(shù)據(jù)主體權(quán)利，數(shù)據(jù)控制或處理者的正當(dāng)利益、經(jīng)濟發(fā)展、社會公共利益等各方之間的努力尋求著動態(tài)平衡，以風(fēng)險管理為基礎(chǔ)，提供多種風(fēng)險規(guī)制路徑，將平衡的立法思路貫徹到具體的制度設(shè)計之中。通常歐盟立法文本中習(xí)慣采用“個人數(shù)據(jù)”(personal data)的表達(dá)，我國習(xí)慣采用個人信息的表述，二者內(nèi)涵差別不大，本文原則上不加區(qū)分，視作同一概念直接采用。

一、GDPR歷史淵源及背景

(一)立法淵源。歐盟關(guān)于網(wǎng)絡(luò)安全法律的規(guī)定始自1992年的《信息安全框架決議(92/242/EEC)》，內(nèi)容涉及信息安全需求、戰(zhàn)略框架、規(guī)范和標(biāo)準(zhǔn)、操作和功能等。隨后歐盟又出臺了幾個個比較重要的法律文件，如：1995年10月頒布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流通的指令(95/46/EC)》(以下稱“95指令”)、1999年1月的《關(guān)于打擊互聯(lián)網(wǎng)上非法和有害內(nèi)容以促進(jìn)更安全使用互聯(lián)網(wǎng)的若干年度共同體行動計劃(276/1999/EC)》和1999年5月的《關(guān)于打擊計算機犯罪協(xié)議的共同宣言(1999/364/JHA)》。其中95指令是全球較早涉及個人隱私與數(shù)據(jù)保護(hù)領(lǐng)域的法律，亦是GDPR最直接的源頭。

進(jìn)入21世紀(jì)，歐盟掀起了一個信息安全立法的高潮，如2005年2月通過的《關(guān)于打擊信息系統(tǒng)犯罪的歐盟委員會框架決議》，2003年2月的《關(guān)于建立歐洲網(wǎng)絡(luò)信息安全文化》，2004年3月的《建立歐洲網(wǎng)絡(luò)和信息安全機構(gòu)的規(guī)則》，2007年3月2的《關(guān)于建立歐洲信息安全社會戰(zhàn)略的決議》等，歐盟區(qū)域的信息安全上升到社會安全的高度，但涉及個人數(shù)據(jù)保護(hù)的法令并沒有重大變化，依然是“95指令”。

(二)歐盟個人數(shù)據(jù)安全立法基礎(chǔ)。歐盟針對個人數(shù)據(jù)的保護(hù)源于人的基本權(quán)利或人權(quán)保護(hù)，從歐洲普遍接受的人權(quán)觀念來看，每個人都是獨立的個體，而個人數(shù)據(jù)由人的活動所產(chǎn)生，因此可以看作個人的“延伸”，所以個人數(shù)據(jù)應(yīng)當(dāng)歸屬于個人這一數(shù)據(jù)主體，所有涉及個人數(shù)據(jù)的處理必須以體現(xiàn)和尊重其個人意志為基本前提?！禛DPR》立法的基本宗旨，就是保障數(shù)據(jù)主體對個人數(shù)據(jù)的處理事務(wù)的自主、自治、自決。

具體來看，歐盟及其成員國的個人數(shù)據(jù)保護(hù)立法旨在落實歐洲委員會1981年通過的《個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》，該《公約》的基礎(chǔ)是《歐洲人權(quán)公約》中個人應(yīng)當(dāng)享有的17項基本權(quán)利和自由，其中的第8條特別規(guī)定，尊重私人和家庭生活的權(quán)利。因此，“95指令”中，賦予個人數(shù)據(jù)主體很多權(quán)利，以保障數(shù)據(jù)主體知曉有關(guān)他的何種數(shù)據(jù)被誰用于何種用途，并能夠及時更正錯誤、刪除或拒絕處理，體現(xiàn)對個人的尊重。在這個基礎(chǔ)上，2000年《歐盟基本人權(quán)憲章》明確將個人數(shù)據(jù)保護(hù)作為一項獨立的基本權(quán)利加以規(guī)定。

(三)GDPR的數(shù)字經(jīng)濟背景。早在1993年歐盟成立之初，歐盟就發(fā)布了《增長、競爭、就業(yè)——邁向21世紀(jì)的挑戰(zhàn)和道路》白皮書,明確了發(fā)展數(shù)字經(jīng)濟的重要性，并提出了“創(chuàng)建歐洲信息社會、迎接21世紀(jì)挑戰(zhàn)”戰(zhàn)略。1996年3月,歐盟理事會簽署《關(guān)于數(shù)據(jù)庫的法律保護(hù)的指令(Directive 96/9/EC)》，其目的就是激勵數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。到2010年，歐盟發(fā)布《2010倡議——為了促進(jìn)增長和就業(yè)的歐洲信息社會》，提出發(fā)展數(shù)字經(jīng)濟三大支柱：第一，建立市場導(dǎo)向的數(shù)字經(jīng)濟規(guī)則體系；第二，推動與私營部門合作,提高歐盟的創(chuàng)新和技術(shù)領(lǐng)導(dǎo)力;第三，提供高效、便利的公共服務(wù),建立包容性的歐洲信息社會，作為建立數(shù)字經(jīng)濟規(guī)則體系的重要步驟，2012年1月歐洲議會公布了GDPR草案。

2014年7月,歐盟委員會主席容克對新一屆歐洲議會發(fā)表政策講話，提出歐洲“數(shù)字一體化市場”戰(zhàn)略，旨在為個人和企業(yè)提供更好的數(shù)字產(chǎn)品和服務(wù)，創(chuàng)造有利于數(shù)字經(jīng)濟發(fā)展的環(huán)境，最大化地實現(xiàn)數(shù)字經(jīng)濟的增長潛力。歐盟相信，“數(shù)字一體化市場”能激勵個人和企業(yè)公平的無縫訪問和在線活動，從而促進(jìn)歐盟數(shù)字經(jīng)濟發(fā)展，確保歐洲在全球數(shù)字經(jīng)濟中的地位。這一戰(zhàn)略極大地推進(jìn)了GDPR的制定。由此可見，GDPR并不僅僅是在信息科技迅速發(fā)展情況下,歐盟對歐洲公民人格尊嚴(yán)和人格自由的重申，而是結(jié)合了經(jīng)濟價值和社會效應(yīng)，綜合個人數(shù)據(jù)保護(hù)與促進(jìn)數(shù)字經(jīng)濟發(fā)展等多重因素考量的成果。

二、GDPR主要內(nèi)容

作為歐洲議會通過的法律，GDPR的法律位階比95指令高出許多，95指令不具有強制性，不能直接適用于各成員國，而需要各國經(jīng)過國內(nèi)立法才能實際落實，而GDPR則屬于歐盟立法，歐盟各國必須遵守，從而統(tǒng)一了歐盟內(nèi)部個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，為創(chuàng)造歐盟數(shù)字一體化市場奠定了基礎(chǔ)。

GDPR正文共11章，99條，建立了完善的數(shù)據(jù)管理體系，針對數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制與處理機構(gòu)義務(wù)、數(shù)據(jù)跨境傳輸、獨立監(jiān)管以及責(zé)任與處罰等多項嚴(yán)格規(guī)定，多處具有創(chuàng)新。

(一)數(shù)據(jù)主體權(quán)利。GDPR全面完善和細(xì)化了個人信息權(quán)利，數(shù)據(jù)主體享有訪問權(quán)、更正權(quán)、反對權(quán)、刪除權(quán)、數(shù)據(jù)可攜權(quán)以及限制自動化決策等權(quán)利。其中，刪除權(quán)、數(shù)據(jù)可攜帶權(quán)、限制自動化決策權(quán)是全新設(shè)置：刪除權(quán)賦予了數(shù)據(jù)主體撤回同意使用或刪除個人數(shù)據(jù)的權(quán)利；數(shù)據(jù)可攜權(quán)賦予了數(shù)據(jù)主體轉(zhuǎn)移其個人數(shù)據(jù)的權(quán)利，在技術(shù)許可的條件下，數(shù)據(jù)主體有權(quán)直接將個人數(shù)據(jù)轉(zhuǎn)移至他處，而數(shù)據(jù)控制者應(yīng)當(dāng)提供必要的支持；免受自動化決策權(quán)是指在特定情形下，數(shù)據(jù)主體不受數(shù)據(jù)自動化處理規(guī)則制約等。

(二)數(shù)據(jù)控制者義務(wù)。GDPR將數(shù)據(jù)操作分為控制與處理兩個部分，以“數(shù)據(jù)控制者”為核心，規(guī)定數(shù)據(jù)控制者的必須履行一定的義務(wù)，從而將數(shù)據(jù)保護(hù)的責(zé)任落實。而數(shù)據(jù)處理者的責(zé)任則原則上通過合同進(jìn)行具體規(guī)定。控制者的義務(wù)分為一般義務(wù)和特殊義務(wù)兩部分，所有數(shù)據(jù)控制者均須遵守一般義務(wù)，如隱私設(shè)計、數(shù)據(jù)處理記錄、安全保障措施和數(shù)據(jù)泄露通知等。其中數(shù)據(jù)泄露通知義務(wù)明確要求，發(fā)現(xiàn)數(shù)據(jù)泄漏事件72小時內(nèi)，數(shù)據(jù)控制者原則上應(yīng)當(dāng)報告監(jiān)管機構(gòu)，如果數(shù)據(jù)泄露會對個人帶來較高風(fēng)險時，必須通知個人。特殊義務(wù)則是符合某些條件的數(shù)據(jù)控制者才須遵守的義務(wù)，如設(shè)置數(shù)據(jù)保護(hù)官和數(shù)據(jù)保護(hù)影響評估等。

(三)數(shù)據(jù)跨境傳輸限制。與歐盟內(nèi)部數(shù)據(jù)自由流通不同，對于數(shù)據(jù)向歐盟境外的傳輸，GDPR做出了嚴(yán)格規(guī)定：對于數(shù)據(jù)向域外國家和組織的數(shù)據(jù)傳輸，采用類似白名單制度的“充分性認(rèn)定”機制，以數(shù)據(jù)的適足、充分保護(hù)為首要參考，劃分了三個層次：第一層次，目標(biāo)國的個人數(shù)據(jù)保護(hù)水平達(dá)到了歐盟認(rèn)定的“充分保護(hù)水平”，則數(shù)據(jù)流動沒有限制；第二層，如果目標(biāo)國沒有獲得充分性認(rèn)定，則企業(yè)應(yīng)對輸入的數(shù)據(jù)提供一定的保護(hù)策略，諸如有約束力的公司規(guī)則、商業(yè)合同、第三方認(rèn)證等；如果上述條件都達(dá)不到，則適用第三層，可以采取列舉有限數(shù)據(jù)傳輸減損清單的方式，如數(shù)據(jù)主體同意的轉(zhuǎn)移、為了數(shù)據(jù)主體利益實行的必要轉(zhuǎn)移以及公共利益等。

(四)監(jiān)管機制。GDPR建立了完善的個人數(shù)據(jù)保護(hù)監(jiān)管機制，授予成員國監(jiān)管機構(gòu)以調(diào)查權(quán)、矯正權(quán)、授權(quán)與建議權(quán)、司法參與權(quán)等諸多權(quán)力。同時，由于歐盟及各成員國內(nèi)部的法律規(guī)定，不同的數(shù)據(jù)監(jiān)管機構(gòu)有所分工，數(shù)據(jù)處理過程中存在跨境轉(zhuǎn)移、數(shù)據(jù)處理等較為復(fù)雜的情形，經(jīng)常出現(xiàn)一個數(shù)據(jù)監(jiān)管機構(gòu)難以完成對整個數(shù)據(jù)處理過程的監(jiān)管的現(xiàn)象。因此，GDPR中對監(jiān)管機構(gòu)的聯(lián)合行動也做出了相應(yīng)規(guī)定，以期通過不同區(qū)域、不同層級之間數(shù)據(jù)監(jiān)管機構(gòu)的相互配合，達(dá)到對數(shù)據(jù)處理過程的全方位監(jiān)管，減少數(shù)據(jù)處理活動中的違規(guī)行為，避免數(shù)據(jù)主體的合法權(quán)益受到侵犯。

(五)法律責(zé)任。GDPR對數(shù)據(jù)控制者或處理者違反規(guī)定設(shè)置了民事責(zé)任和行政責(zé)任。GDPR規(guī)定，數(shù)據(jù)主體可依據(jù)所遭受的實際損失提請賠償，但這僅僅是數(shù)據(jù)處理者面對的民事賠償責(zé)任，其行政責(zé)任則要面臨更大的處罰。根據(jù)違反規(guī)則的程度不同，GDPR規(guī)定了兩檔罰則：第一，數(shù)據(jù)控制者違反默認(rèn)隱私保護(hù)設(shè)計、數(shù)據(jù)安全保障、數(shù)據(jù)泄露通知、數(shù)據(jù)影響評估等行為，處1,000萬歐元或上一年度全球營業(yè)額2%的罰款。第二，數(shù)據(jù)控制者違反數(shù)據(jù)處理原則、同意規(guī)則，損害數(shù)據(jù)主體的合法權(quán)利等行為，處2,000萬歐元或者上一年度全球營業(yè)額4%的罰款。

三、GDPR對我國的借鑒意義

進(jìn)入21世紀(jì)以來，信息技術(shù)的發(fā)展已經(jīng)催生出了一種新的經(jīng)濟形態(tài)，諸如信息經(jīng)濟、網(wǎng)絡(luò)經(jīng)濟、數(shù)字經(jīng)濟、分享經(jīng)濟或共享經(jīng)濟、知識經(jīng)濟等，盡管目前對此還尚未達(dá)成稱謂上的共識，但其內(nèi)涵基本一致，都是指以數(shù)字化的知識和信息為關(guān)鍵要素，以信息網(wǎng)絡(luò)為基礎(chǔ)，依靠信息技術(shù)提高經(jīng)濟效率，優(yōu)化經(jīng)濟結(jié)構(gòu)的經(jīng)濟活動的集合。

進(jìn)入21世紀(jì)，我國的數(shù)字經(jīng)濟發(fā)展迅猛，但是與數(shù)字經(jīng)濟密切相關(guān)的個人信息保護(hù)方面，相比歐盟，存在著明星差距。過去幾年層出不窮的電信詐騙、網(wǎng)絡(luò)詐騙等犯罪活動，嚴(yán)重影響了我國在個人信息保護(hù)方面的聲譽，我國涉及個人信息保護(hù)的立法非常分散，相關(guān)規(guī)定零星分布在不同層階的法律、法規(guī)、部門規(guī)章中。針對已經(jīng)納入立法計劃的我國《數(shù)據(jù)安全法》，歐盟ODPR具有較大的借鑒意義。

(一)平衡個人信息安全與數(shù)字經(jīng)濟發(fā)展的關(guān)系。GDPR在序言中指出：“個人數(shù)據(jù)的處理應(yīng)當(dāng)堅持以為人類服務(wù)為導(dǎo)向。個人數(shù)據(jù)保護(hù)并非絕對權(quán)利，必須根據(jù)比例原則考慮其在社會中的作用，并與其他基本權(quán)利相平衡。”這種動態(tài)利益平衡的理念，在GDPR的第6條“數(shù)據(jù)處理的合法性基礎(chǔ)”中再次得到體現(xiàn)，GDPR為數(shù)據(jù)控制者和處理者提供了數(shù)據(jù)處理的多種合法性基礎(chǔ)，除了數(shù)據(jù)主體同意外，還包括了履行合同、履行法律義務(wù)、重大利益平衡、公共利益平衡、正當(dāng)利益平衡等多重路徑，均可作為數(shù)據(jù)處理合法性的充分非必要條件，由數(shù)據(jù)控制者和處理者選擇。一方面是考慮到特定情況下無法也無需征得數(shù)據(jù)主體同意的情況(如控制者在履行法定義務(wù)時)；另一方面也避免了如果將“主體同意”作為唯一性合法依據(jù)，很有可能在事實上架空了這一制度的設(shè)定初衷，增加數(shù)據(jù)主體負(fù)擔(dān)，降低其行使數(shù)據(jù)權(quán)利的實效性。

GDPR以“識別性”作為核心，對個人數(shù)據(jù)進(jìn)行了不同層次的界定，從而為其設(shè)定了不同的保護(hù)程度，實現(xiàn)了數(shù)據(jù)保護(hù)義務(wù)與流通處理之間的平衡。識別性概念是一個從人群中把個人“挑選”出來的過程，根據(jù)數(shù)據(jù)對主體的識別精度差異，而設(shè)置不同的風(fēng)險評估結(jié)果，并設(shè)置不同的保護(hù)規(guī)則。根據(jù)可識別程度，GDPR大致將數(shù)據(jù)劃分為五個層次，其處理風(fēng)險和相對應(yīng)的義務(wù)從高到低依次遞減。

1.已識別的個人數(shù)據(jù)。這類數(shù)據(jù)通?？梢詫€人輕易地識別出來，如身份識別號碼、生物識別數(shù)據(jù)等。這類數(shù)據(jù)被GDPR給予了最強保護(hù)，例如基因數(shù)據(jù)、生物識別數(shù)據(jù)等是禁止被處理的。

2.可識別的個人數(shù)據(jù)。這類數(shù)據(jù)一般需要跟其他數(shù)據(jù)結(jié)合后才能識別到個人，例如位置數(shù)據(jù)、瀏覽記錄等。

3.假名化數(shù)據(jù)。一般指經(jīng)過技術(shù)化處理之后的個人數(shù)據(jù)，在不使用附加信息的情況下不能與特定主體產(chǎn)生關(guān)聯(lián)。例如使用技術(shù)手段處理的手機號碼：138****2345，這種假名化處理可以大幅降低風(fēng)險。

4.無需再恢復(fù)識別的數(shù)據(jù)。當(dāng)后續(xù)的數(shù)據(jù)處理已經(jīng)無需再識別到個人時，一些用來恢復(fù)原始數(shù)據(jù)的附加信息就無需保留。相應(yīng)地，數(shù)據(jù)主體更正、刪除等權(quán)利也就不能行使。

5.匿名化數(shù)據(jù)。匿名化數(shù)據(jù)指已經(jīng)無法與任何已識別或可識別的主體相關(guān)聯(lián)的數(shù)據(jù)，多見于統(tǒng)計數(shù)據(jù)形式。這種數(shù)據(jù)無需適用GDPR。

(二)合理制定個人信息保護(hù)的管轄范圍和力度?；ヂ?lián)網(wǎng)的高度發(fā)展，尤其是個人信息的低成本(或零成本)、零時間跨境流動，對主權(quán)國家的管轄和監(jiān)管帶來了新的挑戰(zhàn)。應(yīng)對突破這一難題，GDPR摒棄了傳統(tǒng)的“屬地管轄”原則，采取的了“保護(hù)性管轄”這一新方式，拓展了歐盟的管轄范圍，即不論數(shù)據(jù)控制者、處理者是否在歐盟地域上，或其處理行為是否發(fā)生在歐盟之內(nèi)，均適用于GDPR。這一長臂猿管轄原則和“一站式”執(zhí)法，也為數(shù)據(jù)保護(hù)管轄在法律上提供了新思路，值得借鑒。

GDPR對違規(guī)的處罰力度可謂空前，設(shè)置了令企業(yè)望而生畏的高額罰金。一方面是由于目前互聯(lián)網(wǎng)巨頭大多全球布局，而且其中沒有歐盟企業(yè)的身影；另一方面是由于這些企業(yè)財大氣粗，對一般性的罰款無動于衷，不足以令它們自覺遵守法規(guī)。雖然這大大抬高了小企業(yè)合規(guī)成本，但GDPR也充分關(guān)注了數(shù)據(jù)控制者為控制和管理風(fēng)險所做出過的努力，對企業(yè)數(shù)據(jù)保護(hù)設(shè)置了多重問責(zé)，希望數(shù)據(jù)控制者必須采取“足夠的措施”來確保其數(shù)據(jù)安全。這也意味著，數(shù)據(jù)控制者的數(shù)據(jù)保護(hù)努力永遠(yuǎn)不會被忽視，在數(shù)據(jù)安全影響評估和問責(zé)機制中會得到相應(yīng)的回報。數(shù)據(jù)控制者的保護(hù)程度包括以下幾類。

1.數(shù)據(jù)保護(hù)官制度。企業(yè)設(shè)立具有數(shù)據(jù)保護(hù)專業(yè)知識的獨立數(shù)據(jù)保護(hù)官，直接向高層管理匯報，向監(jiān)管機構(gòu)報備，其聯(lián)系方式必須公開。

2.文檔化管理制度。數(shù)據(jù)控制者必須建立相應(yīng)文檔，記載其數(shù)據(jù)處理活動，如數(shù)據(jù)處理的目的、類型、安全保障措施以及數(shù)據(jù)轉(zhuǎn)移的接收者等。

3.數(shù)據(jù)泄露報告。一旦發(fā)生數(shù)據(jù)泄露事故，數(shù)據(jù)控制者必須在事發(fā)72小時內(nèi)，將事件報告給指定的監(jiān)管機構(gòu)。

(三)努力突破數(shù)字經(jīng)濟發(fā)展的壁壘。在數(shù)字經(jīng)濟高速發(fā)展的背景下，數(shù)據(jù)尤其是個人數(shù)據(jù)已經(jīng)成為人們改變市場、創(chuàng)造價值和獲得知識的新源泉和新動能，是經(jīng)濟增長的重要資源。如何化解數(shù)據(jù)保護(hù)與數(shù)據(jù)跨境流動之間的沖突，是普通貨物貿(mào)易關(guān)稅之后，數(shù)字經(jīng)濟時代國際社會必須要解決的重要問題。同時，數(shù)據(jù)跨境流動也會造成國家安全、公共道德和個人數(shù)據(jù)泄露等隱患，GDPR將個人信息保護(hù)程度作為處理數(shù)字經(jīng)濟時代國際經(jīng)濟和政治關(guān)系的關(guān)鍵因素，在同一內(nèi)部各成員國法規(guī)政策的同時，對數(shù)據(jù)跨境輸出做出了明確限制，只有獲得歐盟“充分性認(rèn)定”的國家，遵從歐盟批準(zhǔn)的企業(yè)級數(shù)據(jù)保護(hù)策略的企業(yè)，才能進(jìn)入歐盟單一市場，這一限制，無疑形成了新的數(shù)字經(jīng)濟壁壘。

相比而言，我國在個人信息保護(hù)方面，還有較大差距。我國應(yīng)充分借鑒GDPR經(jīng)驗，加速《數(shù)據(jù)安全法》立法，通過立法過程，宣傳、普及個人信息保護(hù)意識，提高個人信息保護(hù)水平，不僅是滿足國內(nèi)日益高漲的個人信息保護(hù)要求的切實措施，更是促進(jìn)我國數(shù)字經(jīng)濟發(fā)展，消除經(jīng)濟壁壘的一條捷徑。