曾麗潔

(湖北大學(xué) 政法與公共管理學(xué)院，湖北 武漢 430062)

旅游已成為國際服務(wù)貿(mào)易中的最大組成部分，全球旅游投資快速增長。在線旅游電子商務(wù)發(fā)展迅猛，旅游生產(chǎn)端、產(chǎn)業(yè)鏈都以智慧旅游、“互聯(lián)網(wǎng)+”旅游為主要表現(xiàn)，旅游消費(fèi)端也發(fā)生變化，旅游消費(fèi)關(guān)系深受互聯(lián)網(wǎng)影響。[1]大數(shù)據(jù)技術(shù)助力跨境旅游服務(wù)智慧發(fā)展的同時(shí)，也給旅游企業(yè)帶來新的挑戰(zhàn)?？缇陈糜纹髽I(yè)開展海外運(yùn)營應(yīng)全面把握境外機(jī)構(gòu)管理和運(yùn)營涉及國家(地區(qū))的相關(guān)法律法規(guī)，如數(shù)據(jù)保護(hù)等方面的監(jiān)管要求，確保境外機(jī)構(gòu)管理和運(yùn)營始終合法合規(guī)。鑒于歐盟是我國跨境旅游的主要市場，歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulations，GDPR)的域外適用，必然會(huì)影響到我國跨境旅游業(yè)的發(fā)展。因此，有必要深入了解這一國際立法，積極探討我國跨境旅游企業(yè)的合規(guī)競爭之道。

一、厘清企業(yè)經(jīng)營中受GDPR管轄的數(shù)據(jù)處理行為的范圍

(一)明確GDPR的適用范圍

第一，適用于中國旅游企業(yè)在歐盟境內(nèi)設(shè)立的業(yè)務(wù)機(jī)構(gòu)或合作者的個(gè)人數(shù)據(jù)處理行為，不論實(shí)際數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)。業(yè)務(wù)機(jī)構(gòu)的形式不必是分公司或具有法人資格的子公司，在歐盟境內(nèi)設(shè)有唯一代表即符合主體適用條件。

第二，即便中國旅游企業(yè)未在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu)，但在向歐盟境內(nèi)自然人提供商品或服務(wù)的過程中處理其個(gè)人數(shù)據(jù)，無論該商品或服務(wù)是否要求數(shù)據(jù)主體支付對價(jià)，也適用于GDPR。從歐盟《布魯塞爾條例》帶來的在消費(fèi)者合同中為消費(fèi)者提供特別保護(hù)的一貫做法以及歐盟法院司法實(shí)踐來看，判斷是否在歐盟境內(nèi)提供商品或服務(wù)要看銷售者或服務(wù)提供者是否有“指向行為”，關(guān)鍵在于其是否“意圖”以歐盟成員國的消費(fèi)者為目標(biāo)，而不是僅通過向消費(fèi)者提供“可進(jìn)入的提供貨物或服務(wù)的網(wǎng)址”。如果一個(gè)非歐盟組織提供其分支機(jī)構(gòu)或代理機(jī)構(gòu)在歐盟的位置、在網(wǎng)站上使用的搜索引擎中有針對歐盟成員國的廣告或使用與歐盟相關(guān)的頂級域名、使用歐盟成員國的語言或貨幣、在線支付程序便于歐盟成員國的消費(fèi)者等，即使不實(shí)際發(fā)生業(yè)務(wù)，也被視為“意圖”向歐盟境內(nèi)自然人提供商品或服務(wù)。

第三，中國旅游企業(yè)對發(fā)生在歐盟境內(nèi)數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控而做出的個(gè)人數(shù)據(jù)處理行為，受GDPR規(guī)制。如，在網(wǎng)站上使用具有追蹤和監(jiān)控功能的應(yīng)用程序處理個(gè)人數(shù)據(jù)的行為，包括用戶畫像技術(shù)的后續(xù)使用，尤其是為了做出關(guān)于該個(gè)人的決定或?yàn)榱朔治銎渎糜纹?、行為和態(tài)度而在互聯(lián)網(wǎng)上追蹤個(gè)人的行為；通過旅游服務(wù)APP持續(xù)收集歐盟境內(nèi)用戶信息；通過智慧旅游平臺移動(dòng)計(jì)算、移動(dòng)定位等技術(shù)準(zhǔn)確判定消費(fèi)者的移動(dòng)位置和潛在目的地等行為。

(二)廓清歐盟個(gè)人數(shù)據(jù)的范疇

跨境旅游企業(yè)要注意歐盟個(gè)人數(shù)據(jù)的范疇遠(yuǎn)大于中國。旅游消費(fèi)者個(gè)人數(shù)據(jù)通常應(yīng)包括個(gè)人特征數(shù)據(jù)、可推測主體身份和行為的數(shù)據(jù)、電子旅游身份與行為記錄。需要注意的是，歐盟語境中“身份”(identity)的內(nèi)涵遠(yuǎn)比中文語境中更寬泛，包括身體的、生理的、基因的、精神的、經(jīng)濟(jì)的、文化與社會(huì)的身份。[2]另外，歐洲法院最近裁定，在某些情況下，動(dòng)態(tài)IP地址也可視為個(gè)人數(shù)據(jù)。[3]

跨境旅游企業(yè)還要格外注意歐盟擴(kuò)展了個(gè)人敏感數(shù)據(jù)的目錄。歐盟成員國普遍以2018年歐洲理事會(huì)成員國簽署的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，又被稱為“108號公約”)修訂議定書來界定個(gè)人敏感數(shù)據(jù)，將基因數(shù)據(jù)、與違法行為、刑事訴訟和定罪以及相關(guān)的安全措施有關(guān)的個(gè)人數(shù)據(jù)、唯一識別個(gè)人的生物特征數(shù)據(jù)、揭示與種族或族裔出身、政見、工會(huì)會(huì)員、宗教或其他信仰、健康或性生活有關(guān)信息的個(gè)人數(shù)據(jù)列為個(gè)人敏感數(shù)據(jù)。

跨境旅游企業(yè)在向歐盟境內(nèi)自然人提供跨境旅游服務(wù)時(shí)，尤其要注意兒童個(gè)人信息保護(hù)。兒童在用戶畫像和收集等方面受到特殊保護(hù)，禁止自動(dòng)化處理兒童個(gè)人數(shù)據(jù)。首先，要判斷兒童的主體范圍。GDPR規(guī)定16歲以下為兒童，成員國也可以降低年齡標(biāo)準(zhǔn)(不能低于13歲)，企業(yè)要仔細(xì)考量經(jīng)營所涉歐盟成員國的規(guī)定，需要合理設(shè)計(jì)核實(shí)兒童年齡的線上或線下機(jī)制。其次，要識別“專門針對兒童的行為”，從而制定兒童隱私政策申明，對涉及兒童個(gè)人信息的數(shù)據(jù)處理行為須以合理有效的方式取得其父母同意。

二、構(gòu)建以風(fēng)險(xiǎn)為合規(guī)路徑的數(shù)據(jù)地圖

GDPR的主要特征是“以風(fēng)險(xiǎn)為路徑”。在電子商務(wù)領(lǐng)域，交易成本的降低和交易效率的提高是“雙贏”內(nèi)涵的最好詮釋。如果消費(fèi)者的利益不能夠得到有效保護(hù)，將對消費(fèi)者和經(jīng)營者均造成損害。[4]跨境旅游企業(yè)要實(shí)現(xiàn)數(shù)據(jù)權(quán)利保護(hù)和數(shù)據(jù)價(jià)值利用的平衡，應(yīng)從產(chǎn)品或服務(wù)的設(shè)計(jì)著手構(gòu)建數(shù)據(jù)地圖，做到合規(guī)風(fēng)險(xiǎn)可知可控可追溯，在風(fēng)險(xiǎn)最小化的前提下實(shí)現(xiàn)數(shù)據(jù)商用價(jià)值最大化。

(一)構(gòu)建隱私數(shù)據(jù)圖譜

構(gòu)建隱私數(shù)據(jù)圖譜，有利于將個(gè)人數(shù)據(jù)分級分類，分別采取不同的保護(hù)措施。

1.區(qū)分一般數(shù)據(jù)、敏感數(shù)據(jù)、特殊數(shù)據(jù)根據(jù)GDPR目的限定原則、最小范圍原則、存儲限制原則，跨境旅游企業(yè)應(yīng)確保從目的、數(shù)量、時(shí)間三個(gè)維度對數(shù)據(jù)收集進(jìn)行過濾、篩選、分類。對一般數(shù)據(jù)、敏感數(shù)據(jù)和特殊數(shù)據(jù)實(shí)行分類存儲和采取不同的必要存儲期間?？稍O(shè)計(jì)讓用戶通過更改隱私設(shè)置來限制企業(yè)對其信息的收集類別，并可經(jīng)權(quán)限驗(yàn)證后對其個(gè)人數(shù)據(jù)進(jìn)行審查、糾正或要求刪除。按照數(shù)據(jù)的類別和敏感程度，存儲時(shí)需要區(qū)隔禁止中心化存儲的數(shù)據(jù)或必須要加一定措施才能中心化存儲的數(shù)據(jù)，分離身份識別數(shù)據(jù)與具體的業(yè)務(wù)行為數(shù)據(jù)，對一些敏感數(shù)據(jù)加密或降解技術(shù)脫敏后存儲，隱私數(shù)據(jù)授權(quán)的必要存儲期滿后及時(shí)銷毀。

2.區(qū)分不同識別度的數(shù)據(jù)GDPR所定義的個(gè)人數(shù)據(jù)包括“已識別”與“可識別”的，包含了識別路徑的個(gè)人數(shù)據(jù)(由信息本身特殊性識別出特定自然人)和關(guān)聯(lián)路徑的個(gè)人數(shù)據(jù)(已識別的個(gè)人后續(xù)的動(dòng)作被系統(tǒng)記錄顯示出的偏好和行為軌跡)。可識別的數(shù)據(jù)對個(gè)人的識別度相對較低，GDPR允許對該類加密和假名化數(shù)據(jù)的處理可以有與收集時(shí)的原始目的相兼容的新目的。去標(biāo)識化的個(gè)人數(shù)據(jù)不適用數(shù)據(jù)主體相關(guān)權(quán)利的規(guī)定，匿名化數(shù)據(jù)被排除在GDPR管轄范圍之外。

跨境旅游企業(yè)通過技術(shù)手段降低數(shù)據(jù)識別度，可降低風(fēng)險(xiǎn)。在收集個(gè)人信息后，宜立即采用差分隱私技術(shù)進(jìn)行去標(biāo)識化處理，通過數(shù)據(jù)的失真擾動(dòng)，使得采集的數(shù)據(jù)具備統(tǒng)計(jì)性但無法定位到具體的個(gè)人，并與可用于恢復(fù)識別個(gè)人的數(shù)據(jù)分開存儲，且從技術(shù)上確保在后續(xù)的數(shù)據(jù)處理中不能重新識別出特定個(gè)人。如此，企業(yè)則可豁免相關(guān)數(shù)據(jù)保護(hù)義務(wù)。將數(shù)據(jù)做匿名化處理，即，在數(shù)據(jù)發(fā)布、使用、共享交換時(shí)，對可鏈接的屬性(即使做了標(biāo)識數(shù)據(jù)的去標(biāo)識脫敏，但攻擊者可以通過多個(gè)可鏈接的屬性關(guān)聯(lián)回來，比如身高、性別、區(qū)域、年齡組合在一起關(guān)聯(lián))進(jìn)行模糊化處理，以減少被鏈接攻擊的可能。如此處理過的數(shù)據(jù)因無法與已識別或可識別的自然人相關(guān)聯(lián)，不受GDPR管轄。

(二)確保數(shù)據(jù)應(yīng)用圖譜各環(huán)節(jié)有效可控

1.盡告知義務(wù)須合法有效GDPR的核心原則之一就是透明性原則，要求數(shù)據(jù)控制者必須以透明的方式、清晰簡明的語言，如實(shí)告知數(shù)據(jù)主體處理其個(gè)人數(shù)據(jù)的方式及程度。GDPR規(guī)定“數(shù)據(jù)主體授權(quán)”必須是數(shù)據(jù)主體被告知情況下自愿給出的特定明確表示，并明確了“授權(quán)”的要件：①數(shù)據(jù)控制者必須保證授權(quán)是用于特定目的；②必須區(qū)分?jǐn)?shù)據(jù)主體的書面授權(quán)與其他事項(xiàng)授權(quán)；③授權(quán)可撤回；④在數(shù)據(jù)控制者和數(shù)據(jù)主體地位顯著不平衡時(shí)，授權(quán)不能作為處理數(shù)據(jù)的合法依據(jù)?？梢?，數(shù)據(jù)主體的緘默或不回應(yīng)不能構(gòu)成授權(quán)，企業(yè)不能推定數(shù)據(jù)主體的授權(quán)，更不能以“霸王條款”強(qiáng)獲授權(quán)。并且，企業(yè)要保證授權(quán)與授權(quán)目的對應(yīng)及授權(quán)可隨時(shí)撤銷。

如數(shù)據(jù)主體提出被遺忘權(quán)或要求限制處理，企業(yè)都應(yīng)告知已披露個(gè)人數(shù)據(jù)的接收者——除非不可能或需付出不相稱的工作。如應(yīng)數(shù)據(jù)主體要求，企業(yè)還應(yīng)向其告知上述有關(guān)接收者的情形。履行告知義務(wù)還有形式和期限上的要求：須以書面形式(如隱私政策)提供，也可使用適當(dāng)?shù)目梢暬椒?如標(biāo)準(zhǔn)化圖標(biāo))，在適當(dāng)?shù)臅r(shí)候可通過電子公告(如網(wǎng)站公告)提供；對不同使用目的的數(shù)據(jù)應(yīng)在相應(yīng)的期限內(nèi)履行告知義務(wù)。

2.數(shù)據(jù)處理須有合法性根據(jù)GDPR規(guī)定了數(shù)據(jù)處理的六個(gè)合法性根據(jù)：同意、履行合同之必要、數(shù)據(jù)主體重大利益、法律義務(wù)、公共利益或官方職權(quán)、正當(dāng)利益。其中最常用也是最為強(qiáng)調(diào)的事由就是數(shù)據(jù)主體的同意。

數(shù)據(jù)主體的同意在收集、處理、流通各個(gè)環(huán)節(jié)都有相應(yīng)的要求。實(shí)務(wù)中常見的不合規(guī)獲取同意的方式有：讓消費(fèi)者注冊時(shí)默認(rèn)勾選(大多與服務(wù)捆綁，不同意則無法享受服務(wù))、“一攬子”授權(quán)同意(開啟所提示的權(quán)限卻“一攬子”授權(quán)同意了后臺開啟其他未經(jīng)提示的權(quán)限)、概括式同意(通過格式條款使消費(fèi)者在不可預(yù)見的情況下概括性地同意了數(shù)據(jù)處理的各種情形)。2019年1月，法國數(shù)據(jù)保護(hù)機(jī)構(gòu)就因谷歌未向用戶提供透明和清晰的處理個(gè)人數(shù)據(jù)的方式，所涉收集的同意既不“具體”也不“明確”，以違反GDPR的同意規(guī)則為由處罰谷歌5000萬歐元?？缇陈糜纹髽I(yè)應(yīng)對標(biāo)修改隱私政策或用戶協(xié)議：首先應(yīng)建立確保同意有效性及可撤回的機(jī)制。只有充分告知用戶所存在的風(fēng)險(xiǎn)后的同意才是有效的。必須在數(shù)據(jù)主體作出同意前，以易于理解的語言且與其他事項(xiàng)顯著區(qū)別的形式提醒并告知消費(fèi)者同意的法律后果：不再擁有反對處理權(quán)，但擁有撤回和刪除權(quán)，且撤回不溯及在撤回前基于同意對其個(gè)人數(shù)據(jù)的處理。隱私政策需明確告知消費(fèi)者收集信息的目的和方式，用于新的目的需用彈窗模式再次提醒并征得消費(fèi)者同意，確保有消費(fèi)者同意的點(diǎn)擊動(dòng)作。未作出清晰的確認(rèn)動(dòng)作，均不視為“明確的”同意。其次，要分隔數(shù)據(jù)使用的不同權(quán)限，區(qū)分核心功能和附加功能、雙方協(xié)議功能和第三方協(xié)議功能。消費(fèi)者對不同權(quán)限和功能應(yīng)有選擇權(quán)，只有當(dāng)消費(fèi)者針對諸多特定目的分別給予認(rèn)可時(shí)才是GDPR所要求的“具體的”同意?？缇陈糜纹髽I(yè)不得采用“霸王條款”讓消費(fèi)者沒有選擇權(quán)而失去對其個(gè)人數(shù)據(jù)的控制，且不能因消費(fèi)者拒絕授權(quán)附加功能、第三方協(xié)議功能影響核心功能、雙方協(xié)議功能的使用。另外，為避免自增風(fēng)險(xiǎn)，不要文本雷同地照搬標(biāo)桿企業(yè)的隱私政策，要契合自身業(yè)務(wù)及數(shù)據(jù)流情況、合規(guī)能力建設(shè)水平，結(jié)合從設(shè)計(jì)著手隱私保護(hù)所構(gòu)建的數(shù)據(jù)地圖，作出相應(yīng)的隱私政策承諾。

適用“履行合同之必要”規(guī)則，一般是依據(jù)消費(fèi)者主動(dòng)發(fā)起的合同，應(yīng)在訂立合同前讓消費(fèi)者知悉法律后果：不享有撤回權(quán)和反對處理權(quán)，且在合同存續(xù)期間不享有被遺忘權(quán)，但享有可攜帶權(quán)。另外四種合法事由，對一般的跨境旅游企業(yè)來說，適用的可能性不大。如需適用，要注意公共利益和正當(dāng)利益更多的是依賴于數(shù)據(jù)控制者的判斷，數(shù)據(jù)主體參與程度很低，GDPR相應(yīng)地賦予了數(shù)據(jù)主體事中、事后的反對、限制、刪除的權(quán)利。而在適用保護(hù)數(shù)據(jù)主體重大利益和履行法律義務(wù)的合法事由的情況下，數(shù)據(jù)主體沒有撤回權(quán)和可攜帶權(quán)。

3.關(guān)注不同情形下數(shù)據(jù)權(quán)利實(shí)現(xiàn)的條件除了傳統(tǒng)的查詢、更正、刪除權(quán)利，GDPR還賦予個(gè)人反對權(quán)、免受自動(dòng)化決策權(quán)以及被遺忘權(quán)、限制處理權(quán)和數(shù)據(jù)可攜帶權(quán)。個(gè)人不再是被動(dòng)地“受制”于數(shù)據(jù)控制者，而能及時(shí)、簡便、深入地參與、介入、干預(yù)數(shù)據(jù)處理活動(dòng)。數(shù)據(jù)主體權(quán)利升級給企業(yè)數(shù)據(jù)控制力帶來更多限制，但企業(yè)也需注意，這些權(quán)利的實(shí)現(xiàn)也有條件。被遺忘權(quán)不是絕對權(quán)利，只在消費(fèi)者撤回同意或企業(yè)不再有合理理由繼續(xù)處理數(shù)據(jù)等情形下適用。對消費(fèi)者的反對處理權(quán)，在不同情況下企業(yè)的義務(wù)是不同的。對出于直接營銷目的的處理，如用戶畫像和定向推送等自動(dòng)化決策，反對權(quán)是絕對的。企業(yè)應(yīng)單獨(dú)、清晰地告知數(shù)據(jù)主體擁有這種絕對反對權(quán)，并有義務(wù)對自動(dòng)化處理采取適當(dāng)?shù)谋Ｕ洗胧焊嬷獢?shù)據(jù)主體具體信息，允許其質(zhì)疑此類自動(dòng)化決策、要求對自動(dòng)化決策進(jìn)行解釋或人為干預(yù)。對基于公共利益、正當(dāng)利益或履行法律義務(wù)所必需的數(shù)據(jù)處理，反對權(quán)不是絕對的，但企業(yè)必須證明擁有令人信服的、優(yōu)先于數(shù)據(jù)主體利益的正當(dāng)理由?？蓴y帶權(quán)的實(shí)現(xiàn)前提是“技術(shù)可行”。

4.謹(jǐn)慎采取合規(guī)的用戶畫像可行方式旅游市場發(fā)展催生的“定制旅游”方式，以滿足個(gè)性化的需求為原則，設(shè)計(jì)出最大限度符合旅游者心理預(yù)期產(chǎn)品。[5]使用用戶數(shù)據(jù)關(guān)聯(lián)用戶需求，用戶畫像是關(guān)鍵。它基于用戶屬性、用戶行為、用戶使用產(chǎn)品或服務(wù)的場景了解用戶的過程，收集消費(fèi)者旅游記錄、網(wǎng)站訪問記錄、電子郵件推送的旅游服務(wù)內(nèi)容、甚至是跨類別、跨種類產(chǎn)品和服務(wù)等數(shù)據(jù)，解析消費(fèi)者旅游行為特征及偏好，預(yù)測其未來取向，評估消費(fèi)者服務(wù)模式與消費(fèi)者個(gè)性化旅游需求的匹配度及旅游服務(wù)的可持續(xù)性。該項(xiàng)技術(shù)多用于內(nèi)容推送、應(yīng)用推薦、產(chǎn)品研發(fā)、廣告投放、移動(dòng)個(gè)性化服務(wù)，[6]為途牛、攜程、同程、螞蜂窩等在線旅游企業(yè)所青睞。根據(jù)GDPR第4條對“用戶畫像”的定義及第2條適用范圍的規(guī)定，用戶畫像及“形成或旨在形成用戶畫像”的活動(dòng)均屬于個(gè)人數(shù)據(jù)處理。故網(wǎng)站瀏覽記錄、軟件使用記錄、點(diǎn)擊記錄、行蹤軌跡等為形成用戶畫像所收集的信息都屬于個(gè)人數(shù)據(jù)。用戶畫像合規(guī)問題特別突出，GDPR下對于畫像的形成、使用、共享環(huán)節(jié)中控制者的合規(guī)義務(wù)和數(shù)據(jù)主體權(quán)利的保障都進(jìn)行了詳細(xì)的規(guī)定。[7]

跨境旅游企業(yè)應(yīng)謹(jǐn)慎采用合規(guī)的可行方式。首先，必須向數(shù)據(jù)主體提供關(guān)于其個(gè)人數(shù)據(jù)用于畫像的簡潔、透明、易懂和易于獲取的信息。其次，需要評估生成畫像的處理程序是否與最初收集數(shù)據(jù)時(shí)的目的相兼容。第三，必須確保和證明畫像技術(shù)的運(yùn)用符合數(shù)據(jù)最小化原則、用途限制和存儲限制原則的要求。第四，畫像處理過程所有階段應(yīng)遵守準(zhǔn)確性原則的數(shù)據(jù)質(zhì)量要求。第五，確保畫像處理具有合法性基礎(chǔ)。企業(yè)應(yīng)當(dāng)告知數(shù)據(jù)主體存在用戶畫像程序并提供相關(guān)邏輯、包括此類處理對于數(shù)據(jù)主體產(chǎn)生的預(yù)期后果，確保數(shù)據(jù)主體的同意確實(shí)是在充分知情基礎(chǔ)上作出的選擇。對作為畫像處理的合法性基礎(chǔ)的履行合同之必要、法定義務(wù)必要或保護(hù)重大利益必須等其他事由做縮限解釋，在后兩種情況下，也應(yīng)保障數(shù)據(jù)主體對用戶畫像質(zhì)疑和進(jìn)行人工干涉的權(quán)利。第六，對于可在畫像過程中推斷出敏感性個(gè)人喜好和特征的特殊類別數(shù)據(jù)，只有數(shù)據(jù)主體明確同意，或?yàn)楣怖嫠匾乙巡扇”Ｗo(hù)措施，才可以進(jìn)行畫像。GDPR并不禁止用戶畫像的共享，只要共享方和接收方都能按照合規(guī)要求向用戶清晰詳細(xì)地告知并保障其各項(xiàng)權(quán)利的實(shí)現(xiàn)。

(三)嚴(yán)格監(jiān)管數(shù)據(jù)流動(dòng)圖譜的動(dòng)態(tài)

1.梳理數(shù)據(jù)在生態(tài)鏈的流動(dòng)安全業(yè)務(wù)協(xié)作生態(tài)在線化使合作伙伴還有更大的一重風(fēng)險(xiǎn)：數(shù)據(jù)在生態(tài)鏈的流動(dòng)安全?？缇陈糜纹髽I(yè)在需要與其他數(shù)據(jù)處理者合作時(shí)，要審慎選擇第三方數(shù)據(jù)處理者，選擇能夠保證采取足夠適當(dāng)?shù)募夹g(shù)和組織措施的處理者，并能控制其數(shù)據(jù)處理行為以及次級處理者鏈條。數(shù)據(jù)處理者的權(quán)利和義務(wù)由其與控制者之間的數(shù)據(jù)處理協(xié)議約定。GDPR明確了數(shù)據(jù)處理協(xié)議內(nèi)容的強(qiáng)制性要求，企業(yè)應(yīng)比照GDPR第28條的規(guī)定對現(xiàn)有數(shù)據(jù)處理協(xié)議做必要的修改，明確相關(guān)情形下的責(zé)任分擔(dān)。

其次，要依角色確定責(zé)任而建立最小授權(quán)的訪問控制策略。隨著大數(shù)據(jù)技術(shù)的推廣，大型跨境旅游企業(yè)也會(huì)自行承擔(dān)數(shù)據(jù)處理者的義務(wù)。企業(yè)要確定在各類數(shù)據(jù)處理活動(dòng)中的角色，對安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員等企業(yè)內(nèi)部、外部參與各類數(shù)據(jù)處理活動(dòng)的當(dāng)事人及其角色進(jìn)行梳理、評估和分離設(shè)置，區(qū)隔作為控制者與處理者各自的職責(zé)及相應(yīng)的義務(wù)，對這些人能接觸的數(shù)據(jù)類型、脫敏級別、許可的數(shù)據(jù)加工和運(yùn)算類型，都需要進(jìn)行細(xì)粒度權(quán)限控制。

再次，數(shù)據(jù)開放與共享時(shí)輸出匹配的合規(guī)能力。為了提高數(shù)據(jù)的使用效率和價(jià)值密度，企業(yè)還可能會(huì)以協(xié)作的方式與其他服務(wù)商實(shí)現(xiàn)數(shù)據(jù)共享。尤其是隨著場景旅游服務(wù)的興起，越來越多的跨境旅游服務(wù)依賴合作者的技術(shù)、渠道及流量，而合作者也在積極開拓歐盟市場。開放平臺成為跨產(chǎn)業(yè)、跨區(qū)域、跨市場融合的旅游產(chǎn)業(yè)發(fā)展趨勢。平臺型旅游企業(yè)利用平臺跨界收集經(jīng)營過程產(chǎn)生的交易數(shù)據(jù)、評價(jià)數(shù)據(jù)和日志數(shù)據(jù)，與第三方合作者進(jìn)行匹配數(shù)據(jù)交易，除了輸出系統(tǒng)、數(shù)據(jù)等技術(shù)能力外，也要輸出與之匹配的合規(guī)能力。特別是在GDPR以同意為中心的合規(guī)體系下，一方面，后臺數(shù)據(jù)關(guān)聯(lián)應(yīng)避免共享簡化，不能事先利用“一攬子”協(xié)議將消費(fèi)者所有相關(guān)授權(quán)窮盡，應(yīng)分項(xiàng)明示，由消費(fèi)者手動(dòng)設(shè)置。不論第三方是否采取了同樣的隱私保護(hù)政策，與之進(jìn)行匹配數(shù)據(jù)交易，應(yīng)符合消費(fèi)者自愿原則，經(jīng)其同意方可操作。另一方面，也可以跟第三方簽訂保密協(xié)議或?qū)μ囟〝?shù)據(jù)做去標(biāo)識化處理。

2.數(shù)據(jù)跨境傳輸可采取的合規(guī)傳輸路徑GDPR引入多種變通機(jī)制來調(diào)和不同的權(quán)利，構(gòu)建多種合規(guī)數(shù)據(jù)傳輸路徑。最正式的合規(guī)路徑是數(shù)據(jù)輸入國被歐盟委員會(huì)認(rèn)定為“具有充足保護(hù)”，然而中國尚未獲得歐盟委員會(huì)的充足保護(hù)認(rèn)定?？缇陈糜纹髽I(yè)從位于歐盟的數(shù)據(jù)控制者或處理者處獲得歐盟境內(nèi)自然人的個(gè)人數(shù)據(jù)，可以采用其他的合規(guī)路徑，只要輸出方提供適當(dāng)?shù)谋Ｕ洗胧？缇陈糜纹髽I(yè)可與數(shù)據(jù)輸出方簽訂具有法律約束力的文件、制定有約束力的公司規(guī)則、采用歐盟委員會(huì)或監(jiān)管機(jī)構(gòu)制定并為歐盟委員會(huì)批準(zhǔn)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、遵守GDPR所認(rèn)可的行為準(zhǔn)則或經(jīng)歐盟委員會(huì)批準(zhǔn)的驗(yàn)證機(jī)制并對安全保障做出具有約束力和執(zhí)行力的承諾，采取上述保障措施下的數(shù)據(jù)跨境傳輸不需要監(jiān)管機(jī)構(gòu)授權(quán)?？缇陈糜纹髽I(yè)還可與歐盟境內(nèi)的控制者或處理者簽訂有關(guān)數(shù)據(jù)轉(zhuǎn)移的合同并獲得監(jiān)管機(jī)構(gòu)的授權(quán)。

三、構(gòu)建有效的合規(guī)閉環(huán)

數(shù)據(jù)合規(guī)非一日之功，制度是數(shù)據(jù)治理最重要的范式。跨境旅游企業(yè)既要建立內(nèi)部控制制度，又要設(shè)立合規(guī)治理機(jī)構(gòu)協(xié)調(diào)企業(yè)數(shù)據(jù)全生命周期的合規(guī)治理。

(一)建立企業(yè)數(shù)據(jù)合規(guī)體系

GDPR“從設(shè)計(jì)著手隱私保護(hù)”原則(privacy by design)要求在產(chǎn)品和服務(wù)的初始設(shè)計(jì)階段將數(shù)據(jù)隱私保護(hù)考慮在內(nèi)?！澳J(rèn)隱私保護(hù)”原則(privacy by default)要求在數(shù)據(jù)全生命周期任何環(huán)節(jié)默認(rèn)地采取必要的、適當(dāng)?shù)募夹g(shù)和組織保障措施，確保只處理每個(gè)特定處理目的所必需的個(gè)人數(shù)據(jù)。企業(yè)應(yīng)基于這兩項(xiàng)原則建設(shè)完備的數(shù)據(jù)合規(guī)體系。

第一，梳理數(shù)據(jù)流轉(zhuǎn)情況。需要清楚、全面地了解企業(yè)內(nèi)部對數(shù)據(jù)收集、使用、共享、轉(zhuǎn)讓、公開披露、存儲、刪除等環(huán)節(jié)的現(xiàn)狀以及所有配套機(jī)制的實(shí)施情況，包括數(shù)據(jù)血緣追蹤，即數(shù)據(jù)在存儲環(huán)節(jié)的傳遞路徑追蹤(用于控制數(shù)據(jù)質(zhì)量風(fēng)險(xiǎn))；數(shù)據(jù)操作路徑溯源，即數(shù)據(jù)在使用環(huán)節(jié)的路徑鏈路(用于控制和數(shù)據(jù)服務(wù)相關(guān)的數(shù)據(jù)質(zhì)量風(fēng)險(xiǎn))；高敏數(shù)據(jù)去向溯源，即高敏數(shù)據(jù)最后的去向(用于數(shù)據(jù)濫用、數(shù)據(jù)泄露事件溯源)；數(shù)據(jù)外發(fā)溯源，即數(shù)據(jù)通過非在線系統(tǒng)的外發(fā)流轉(zhuǎn)出去，數(shù)據(jù)泄露后可以追查外發(fā)途徑(用于數(shù)據(jù)泄露事件溯源)。完成數(shù)據(jù)流轉(zhuǎn)情況的梳理后，比對相關(guān)法律法規(guī)及標(biāo)準(zhǔn)，對不足部分及時(shí)改進(jìn)。

第二，完善內(nèi)部制度規(guī)程。主要包括設(shè)置訪問權(quán)限控制機(jī)制、建立個(gè)人信息安全影響評估制度以及采取技術(shù)保護(hù)手段等。重點(diǎn)有兩個(gè)方面。一是建立“數(shù)據(jù)保護(hù)管理體系”(Data Protection Management System，DPMS)，在技術(shù)上加強(qiáng)數(shù)據(jù)安全能力建設(shè)，提高數(shù)據(jù)保護(hù)的可操作性，確保數(shù)據(jù)處理系統(tǒng)能夠持續(xù)保持完整性、可用性、保密性和自我修復(fù)性。跨境旅游企業(yè)對于會(huì)給消費(fèi)者權(quán)利和自由帶來風(fēng)險(xiǎn)的特殊數(shù)據(jù)，必須設(shè)置數(shù)據(jù)保護(hù)影響評估(data protection impact assessment，DPIA)程序，建立科學(xué)的DPIA模型，明確評估的內(nèi)容、方法和標(biāo)準(zhǔn)，在收集和處理個(gè)人信息前系統(tǒng)地分析特定項(xiàng)目或系統(tǒng)對隱私的影響。評估結(jié)果直接影響數(shù)據(jù)處理的條件，并需更改企業(yè)內(nèi)部技術(shù)系統(tǒng)和流程，設(shè)計(jì)專項(xiàng)保護(hù)措施，從而對數(shù)據(jù)風(fēng)險(xiǎn)早期預(yù)防、實(shí)時(shí)感知、即時(shí)反饋和動(dòng)態(tài)監(jiān)控。同時(shí)，發(fā)布DPIA報(bào)告是促進(jìn)企業(yè)自證合規(guī)、配合監(jiān)管的有效工具。若DPIA表明存在較高風(fēng)險(xiǎn)，企業(yè)應(yīng)事先征求監(jiān)管機(jī)構(gòu)的意見。二是做好內(nèi)部數(shù)據(jù)泄露應(yīng)急處置預(yù)案，包括在事故發(fā)生時(shí)須采取的行動(dòng)、檢查事項(xiàng)清單和后續(xù)措施等。當(dāng)發(fā)生意外事件時(shí)，第一時(shí)間將相關(guān)基本情況和可能的影響以郵件、信函、電話、推送通知等方式告知受影響的消費(fèi)者，說明救濟(jì)措施并建議和指導(dǎo)消費(fèi)者先采取適當(dāng)措施自主防范和降低風(fēng)險(xiǎn)。難以逐一告知時(shí)，應(yīng)采取合理、有效的方式發(fā)布公告警示。同時(shí)向監(jiān)管部門報(bào)告，并在內(nèi)部立即采取初步補(bǔ)救措施。

第三，完善外部文件，包括用戶協(xié)議、隱私政策以及與第三方的協(xié)議等。外部文件是評估企業(yè)合規(guī)水平的重要參考依據(jù)，最好結(jié)合之前對數(shù)據(jù)流轉(zhuǎn)情況的梳理完成。還要定期對第三方進(jìn)行審計(jì)，盡量識別和避免因事實(shí)上的數(shù)據(jù)處理合作而導(dǎo)致的責(zé)任。

(二)做好監(jiān)管審計(jì)管理

GDPR規(guī)定了數(shù)據(jù)主體向監(jiān)管機(jī)構(gòu)申訴的權(quán)利、對監(jiān)管機(jī)構(gòu)的決定獲取有效司法救濟(jì)的權(quán)利、對數(shù)據(jù)控制者或處理者的違規(guī)行為申請司法救濟(jì)的權(quán)利，且處罰金額巨大。賦予數(shù)據(jù)主體救濟(jì)權(quán)加大了企業(yè)的違規(guī)成本，跨境旅游企業(yè)應(yīng)建立合規(guī)監(jiān)管機(jī)制降低合規(guī)成本。

1.設(shè)置數(shù)據(jù)合規(guī)官GDPR強(qiáng)制要求數(shù)據(jù)處理組織任命數(shù)據(jù)保護(hù)官(Data Protection Officer，DPO)。這一規(guī)定成為基于問責(zé)制合規(guī)框架的重要“基石”，其立法主旨是將個(gè)人信息的部分監(jiān)管職能和相應(yīng)責(zé)任由監(jiān)管部門轉(zhuǎn)移至企業(yè)內(nèi)部。DPO梳理并全面了解本企業(yè)數(shù)據(jù)合規(guī)的執(zhí)行情況，為不同場景設(shè)計(jì)合適的數(shù)據(jù)保護(hù)方案，確保企業(yè)隱私保護(hù)實(shí)踐達(dá)到最佳效果；進(jìn)行進(jìn)一步的數(shù)據(jù)處理影響評估、安全事件可能性分析、隱私風(fēng)險(xiǎn)分析等環(huán)節(jié)，最終產(chǎn)出合規(guī)差距分析表；充當(dāng)監(jiān)督機(jī)構(gòu)、數(shù)據(jù)主體和組織內(nèi)的業(yè)務(wù)部門等各利益相關(guān)人之間的紐帶。

2.符合合規(guī)監(jiān)管的形式要求GDPR第5(2)條規(guī)定了問責(zé)原則，要求企業(yè)遵守?cái)?shù)據(jù)處理原則并能自證其遵守。跨境旅游企業(yè)要以可見的形式合規(guī)，以便于痕跡審計(jì)。DPO完善合規(guī)要求的各項(xiàng)規(guī)范性文檔，保存數(shù)據(jù)處理的書面(包括電子)記錄，保留完整有效的合規(guī)證明，以符合形式合規(guī)。

具體而言，DPO對隱私協(xié)議進(jìn)行更新和確認(rèn)，對收集和存儲的數(shù)據(jù)類型、收集目的、處理方式、保護(hù)措施、是否會(huì)轉(zhuǎn)移到監(jiān)管范圍之外地區(qū)以及用戶如何行使數(shù)據(jù)主體權(quán)利進(jìn)行充分、明確的說明；并針對DPIA、跨境數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)泄露應(yīng)急和個(gè)人數(shù)據(jù)保護(hù)等多方面的內(nèi)容形成規(guī)范性文檔；記錄數(shù)據(jù)處理活動(dòng)，建立全面、準(zhǔn)確、完整地反映企業(yè)運(yùn)營狀況的數(shù)據(jù)地圖，建立數(shù)據(jù)分級分類、數(shù)據(jù)打標(biāo)、數(shù)據(jù)血緣關(guān)系的數(shù)據(jù)檔案，描述數(shù)據(jù)獲取途徑、處理手段、流動(dòng)過程及路徑、存儲位置、消費(fèi)者權(quán)利的請求及行使等數(shù)據(jù)動(dòng)態(tài)變化，尤其是對高敏數(shù)據(jù)的全程監(jiān)控與審計(jì)。

記錄作為留痕審計(jì)的重要證據(jù)，記載數(shù)據(jù)全生命周期每一環(huán)節(jié)的狀態(tài)，為風(fēng)險(xiǎn)評估提供事實(shí)依據(jù)，在監(jiān)管機(jī)構(gòu)問責(zé)時(shí)可展示數(shù)據(jù)處理活動(dòng)的合規(guī)性以完成舉證義務(wù)。企業(yè)自我規(guī)制，遵守由國際組織、行業(yè)協(xié)會(huì)等擬定的行為規(guī)則，向認(rèn)證機(jī)構(gòu)申請國際標(biāo)準(zhǔn)的合格評定時(shí)也可將記錄作為重要資料留存。

3.積極配合GDPR機(jī)構(gòu)監(jiān)管GDPR規(guī)定，不遵守監(jiān)管機(jī)構(gòu)的命令，行政罰款可增至2000萬歐元或全球年?duì)I業(yè)總額的4%(以較高者為準(zhǔn))。高額的行政罰款已使一些大型跨國公司受到懲戒，使涉及個(gè)人數(shù)據(jù)相關(guān)業(yè)務(wù)的跨國經(jīng)營組織感到風(fēng)險(xiǎn)重重。其實(shí)，最高罰金僅對最嚴(yán)重的違法行為適用。如果違法行為不會(huì)對數(shù)據(jù)主體權(quán)利構(gòu)成重大風(fēng)險(xiǎn)，可以用警告、申誡、要求改正、要求更正或刪除個(gè)人數(shù)據(jù)等取代罰款。第29條工作組《行政罰款的適用和設(shè)置指南》明確指出：在具體案件中，監(jiān)管機(jī)構(gòu)有責(zé)任采取審慎平衡的方法，選擇有效的、恰當(dāng)?shù)?、有說服力的措施。[8]同時(shí)，監(jiān)管機(jī)構(gòu)在評估是否適用罰款及確定罰金標(biāo)準(zhǔn)時(shí)，應(yīng)考慮的因素有：違法的性質(zhì)、嚴(yán)重性與持續(xù)時(shí)間；基于故意還是過失；控制者或處理者為了減輕數(shù)據(jù)主體損失而采取的所有行動(dòng)；與監(jiān)管機(jī)構(gòu)的合作程度；監(jiān)管機(jī)構(gòu)得知違法行為的方式等等。因此，一旦發(fā)生不合規(guī)事件，跨境旅游企業(yè)對危機(jī)事件做出迅速反應(yīng)、評估與處理的同時(shí)，需向監(jiān)管機(jī)構(gòu)報(bào)告并保持良好密切的溝通，有助于避免更為嚴(yán)厲的處罰。