1 引言

歷經(jīng)兩年過渡期后，被稱為歐盟有史以來最嚴(yán)厲的個人信息保護(hù)立法《統(tǒng)一數(shù)據(jù)保護(hù)條例》（GDPR）于2018年5月25日在歐盟全體成員國正式生效。GDPR對我國的企業(yè)合規(guī)、數(shù)據(jù)管理、相關(guān)立法、對外貿(mào)易談判等都可能產(chǎn)生直接和深遠(yuǎn)的影響。針對GDPR的相關(guān)規(guī)定和可能影響，應(yīng)盡快采取措施，完善企業(yè)合規(guī)，強(qiáng)化數(shù)據(jù)安全監(jiān)管，制定個人信息保護(hù)相關(guān)立法，并處理好對外貿(mào)易談判等事宜。

2 主要內(nèi)容

2018年5月25日，歐盟制定的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（GDPR）正式在全體成員國范圍內(nèi)生效，這將使28個歐盟成員國的個人數(shù)據(jù)保護(hù)法更具有一致性。GDPR包括前言、正文11章（99條），具體內(nèi)容覆蓋7個方面：

（1）擴(kuò)展了“個人數(shù)據(jù)”定義的范圍，繼承和發(fā)展了95指令的定義，除了姓名、手機(jī)號、用戶名、IP地址、定位地址這些常規(guī)信息外，還包括生物信息、健康數(shù)據(jù)、政治觀點(diǎn)等敏感信息。

（2）設(shè)置了極強(qiáng)的域外管轄效力，除了適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，如果存在向歐盟境內(nèi)數(shù)據(jù)主體提供商品和服務(wù)的、監(jiān)控?cái)?shù)據(jù)主體在歐盟境內(nèi)行為等情況的也要適用GDPR。

（3）明確了對個人數(shù)據(jù)的處理原則，這是處理個人數(shù)據(jù)應(yīng)遵守的基石，其中合法、公平、透明原則、目的限定原則、最小范圍原則、準(zhǔn)確性原則、存儲限制原則、完整性與保密性原則主要是為了規(guī)范數(shù)據(jù)處理行為，保障數(shù)據(jù)主體的權(quán)益，責(zé)任原則是為了確保上述原則得以有效正確的實(shí)施。

（4）完善了數(shù)據(jù)主體的權(quán)利，除規(guī)定了95指令中已有的知情權(quán)、訪問權(quán)、糾正權(quán)等，還增設(shè)了一系列新的權(quán)利給數(shù)據(jù)主體，例如刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、持續(xù)控制權(quán)（數(shù)據(jù)可攜權(quán)）和拒絕權(quán)等。

（5）加重了數(shù)據(jù)控制者和處理者的義務(wù)，GDPR開始重視數(shù)據(jù)處理者的地位，直接對其規(guī)定了大量數(shù)據(jù)保護(hù)義務(wù)，明確了數(shù)據(jù)控制者與處理者在法律責(zé)任承擔(dān)上的劃分，并新增了控制者和處理者的數(shù)據(jù)泄露報(bào)告義務(wù)、數(shù)據(jù)系統(tǒng)保護(hù)和默認(rèn)保護(hù)義務(wù)以及數(shù)據(jù)保護(hù)影響評估義務(wù)。

（6）規(guī)定了向第三方國家或國際組織轉(zhuǎn)移個人數(shù)據(jù)的限制，保留了95指令的“充分保護(hù)水平”，要求第三國具有與歐盟同等的個人數(shù)據(jù)保護(hù)水平，同時(shí)豐富了考量因素，強(qiáng)調(diào)不僅要看該國的成文立法，更要看其法律執(zhí)行的有效程度。

（7）完善了執(zhí)法監(jiān)督機(jī)制，專門設(shè)立歐洲數(shù)據(jù)保護(hù)委員、規(guī)定了數(shù)據(jù)保護(hù)專員制度等以明確個人數(shù)據(jù)保護(hù)專門機(jī)構(gòu)，并規(guī)定了大量具體救濟(jì)與制裁條款，以實(shí)現(xiàn)歐盟個人數(shù)據(jù)保護(hù)法救濟(jì)與制裁水平一體化。

3 基本判斷

適應(yīng)信息和通信技術(shù)的發(fā)展以及對商務(wù)活動應(yīng)用的加深，改變個人與企業(yè)對個人數(shù)據(jù)不平衡的控制能力是GDPR出臺的直接動因。20世紀(jì)90年代，互聯(lián)網(wǎng)仍然停留在信息發(fā)布和傳輸階段，基于海量數(shù)據(jù)交互的互聯(lián)網(wǎng)應(yīng)用尚未出現(xiàn)，因此歐盟95指令是立足于計(jì)算機(jī)自動處理個人數(shù)據(jù)背景下的個人數(shù)據(jù)保護(hù)規(guī)則，不足以應(yīng)對互聯(lián)網(wǎng)發(fā)展和大數(shù)據(jù)浪潮?；诖吮尘埃瑲W盟認(rèn)為有必要對個人數(shù)據(jù)保護(hù)規(guī)則的內(nèi)容進(jìn)行更新?lián)Q代，在確保公民的個人數(shù)據(jù)得到充分保護(hù)的前提下使個人數(shù)據(jù)得到最大限度的利用。

保護(hù)歐洲公民的基本權(quán)利與促進(jìn)數(shù)據(jù)流通并重是GDPR確立的立法宗旨。個人數(shù)據(jù)保護(hù)權(quán)是歐洲公民的一項(xiàng)基本權(quán)利，GDPR旨在強(qiáng)化對公民這一權(quán)利的保護(hù)，但這并非是絕對的，GDPR同時(shí)也注重促進(jìn)個人數(shù)據(jù)在歐盟境內(nèi)的自由流通，如建立了統(tǒng)一的法律規(guī)范，使歐盟企業(yè)開展商務(wù)活動變得更加簡單和成本低廉；要求各國設(shè)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)，是為了使企業(yè)節(jié)省不必要的行政和開支。另外，GDPR在每一項(xiàng)個人數(shù)據(jù)權(quán)利的條款之后，都規(guī)定了大段的例外情形，第23條中還規(guī)定了總體的例外規(guī)則，適用于整個GDPR，這均是為了平衡國家利益與個人權(quán)利、公共事務(wù)與個人權(quán)利以及數(shù)據(jù)主體權(quán)利與其他自然人權(quán)利之間的關(guān)系而制定的。

GDPR關(guān)注境內(nèi)中小企業(yè)發(fā)展，其對經(jīng)濟(jì)的影響有待于將來的執(zhí)法明確。歐盟十分關(guān)注境內(nèi)中小企業(yè)的發(fā)展問題，GDPR的前言中也指出，出臺GDPR的重要目的之一就是為微型、中小型企業(yè)提供穩(wěn)定、透明的法治環(huán)境，促進(jìn)其發(fā)展，減少數(shù)據(jù)自由流動的障礙，建立和鞏固歐盟單一市場。GDPR的具體規(guī)定中也對中小型企業(yè)放寬了要求，例如GDPR第30條中，對于雇員低于250人的企業(yè)，降低了其義務(wù)。GDPR從起草到出臺經(jīng)歷了長達(dá)4年的商討期，廣泛征求了各方意見。2016年公布后，又留出了兩年的過渡期。相信歐盟在出臺GDPR之前已經(jīng)進(jìn)行了充分的權(quán)衡和考量，因此在歐盟執(zhí)法機(jī)構(gòu)依據(jù)GDPR開展具體執(zhí)法活動之前，尚不能武斷地認(rèn)為GDPR一定會對歐盟經(jīng)濟(jì)發(fā)展造成阻礙。

4 對我國的影響

GDPR的正式實(shí)施不僅將提高我國企業(yè)合規(guī)成本，而且其對數(shù)據(jù)主體權(quán)利的規(guī)定可能會與我國的數(shù)據(jù)安全管理產(chǎn)生沖突。從長遠(yuǎn)看，還會影響到我國個人信息保護(hù)相關(guān)立法和國際談判事宜。

（1）GDPR將導(dǎo)致我國互聯(lián)網(wǎng)及新興產(chǎn)業(yè)在歐盟的推進(jìn)減緩

根據(jù)GDPR的適用范圍，因向歐盟境內(nèi)的自然人提供商品與服務(wù)而收集、處理用戶信息的中國互聯(lián)網(wǎng)及相關(guān)企業(yè)將因合規(guī)成本的大幅提高而減慢進(jìn)軍歐盟的步伐。阿里巴巴、騰訊等大型的中國互聯(lián)網(wǎng)企業(yè)，海爾、華為等制造企業(yè)，國航、南航等航空公司已經(jīng)拓展了很多歐洲業(yè)務(wù)，小米、摩拜、oFo、大疆等新興企業(yè)也正在布局歐洲市場。如果這些企業(yè)違反GDPR將面臨高達(dá)全球年收益額4%或2000萬歐元的巨額罰款。因此，部分企業(yè)不得不暫停或停止在歐盟的服務(wù)，如小米生態(tài)鏈企業(yè)的YeeLight智能燈泡產(chǎn)品，因?yàn)闊o法趕在GDPR生效之前滿足合規(guī)要求，暫停服務(wù)；2018年4月，QQ國際版發(fā)布公告稱在歐洲暫停運(yùn)作，也被普遍認(rèn)為是規(guī)避GDPR沖突的做法。

（2）GDPR與我國《網(wǎng)絡(luò)安全法》之間的沖突給數(shù)據(jù)安全管理帶來挑戰(zhàn)

GDPR賦予數(shù)據(jù)主體強(qiáng)大的控制權(quán)利與我國的數(shù)據(jù)安全管理存在沖突。GDPR規(guī)定了多項(xiàng)個人數(shù)據(jù)主體權(quán)利，數(shù)據(jù)控制者和處理者不僅無權(quán)干涉信息主體的此項(xiàng)權(quán)利，還應(yīng)在必要的時(shí)候配合用戶提供數(shù)據(jù)文本。我國《網(wǎng)絡(luò)安全法》第37條對關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的個人信息和重要數(shù)據(jù)提出了境內(nèi)存儲和出境評估的規(guī)定。如果數(shù)據(jù)主體行使GDPR中規(guī)定的相關(guān)權(quán)利，如要求將個人信息轉(zhuǎn)移至境外時(shí)，在歐盟開展業(yè)務(wù)的中國關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者則會面臨GDPR嚴(yán)格管理和我國個人信息“本地化”管理之間的沖突，面對GDPR的高額罰款有可能會挑戰(zhàn)《網(wǎng)絡(luò)安全法》的權(quán)威，影響我國數(shù)據(jù)安全管理相關(guān)工作。

（3）GDPR有可能對中歐數(shù)字貿(mào)易帶來不利影響

GDPR對在歐盟開展業(yè)務(wù)的中國企業(yè)提出了巨大的挑戰(zhàn)，在一定程度上可能會限制中歐數(shù)字貿(mào)易的順利開展。我國跨境數(shù)字貿(mào)易存在較大順差，作為數(shù)字貿(mào)易的凈出口國，過去5年我國年均盈余達(dá)到100～150億美元；境外風(fēng)險(xiǎn)投資總額（60億美元）中，約80%的投資流向發(fā)達(dá)經(jīng)濟(jì)體，75%投資聚集于數(shù)字相關(guān)行業(yè)，騰訊等大型互聯(lián)網(wǎng)公司也紛紛著手在歐盟開展業(yè)務(wù)。總體來看，我國數(shù)字貿(mào)易產(chǎn)業(yè)對于歐盟這一發(fā)達(dá)經(jīng)濟(jì)體存在較大的依賴。根據(jù)德勤會計(jì)事務(wù)所的整體評估，由于在GDPR下，用戶的IP地址、Cookies和設(shè)備ID等個人數(shù)據(jù)的處理變得更加困難，僅就直銷、廣告、網(wǎng)頁分析、信貸等四大產(chǎn)業(yè)來說，將直接或間接導(dǎo)致1730億歐元的GDP損失以及280萬元的就業(yè)損失。

（4）我國個人信息保護(hù)立法可以借鑒GDPR有益經(jīng)驗(yàn)

GDPR的雙重立法宗旨、統(tǒng)一個人數(shù)據(jù)保護(hù)立法模式等對我國個人信息保護(hù)立法工作具有參考價(jià)值。當(dāng)前，全球已有一百多個國家和地區(qū)制定了個人信息保護(hù)法，形成了全球范圍內(nèi)引人注目的立法風(fēng)潮，GDPR的出臺更是使得這一風(fēng)潮具有了鮮明的時(shí)代特色，我國也正在研究適合自身國情的個人信息保護(hù)法。GDPR本身作為一部個人數(shù)據(jù)保護(hù)法規(guī)而言，立法技術(shù)和立法內(nèi)容等都以數(shù)字經(jīng)濟(jì)發(fā)展為目標(biāo)做了很多創(chuàng)新，其中的有益部分對我國個人信息保護(hù)法的制定也將具有極大的參考和借鑒價(jià)值。

5 對策建議

GDPR生效后，有必要針對其規(guī)定采取相應(yīng)措施。一方面，在歐盟開展業(yè)務(wù)的我國企業(yè)應(yīng)當(dāng)做好合規(guī)審查，應(yīng)對歐盟執(zhí)法；另一方面，我國政府相關(guān)部門應(yīng)加強(qiáng)管理，強(qiáng)化我國的數(shù)據(jù)安全監(jiān)管，同時(shí)應(yīng)當(dāng)順應(yīng)時(shí)代趨勢，制定個人信息保護(hù)相關(guān)立法，并處理好對外貿(mào)易談判等事宜。

（1）強(qiáng)化中歐政府間談判交流

為應(yīng)對GDPR對我國可能造成的不利影響，有必要加強(qiáng)中歐國際磋商和政治談判，梳理化解中國法律和GDPR的沖突。要在中歐BIT談判等雙邊談判中，增加個人數(shù)據(jù)保護(hù)議題，在經(jīng)貿(mào)合作的宏觀視角下，尋求雙方的共識和爭議的解決。要針對GDPR本身，努力促成中歐數(shù)據(jù)流動“隱私盾”協(xié)定，建立專門機(jī)制打通中歐數(shù)據(jù)流通渠道，為我國企業(yè)提供更多的符合實(shí)際需求的跨境轉(zhuǎn)移合同文本選擇。要爭取針對技術(shù)創(chuàng)新和中小企業(yè)保留例外條款，避免GDPR限制人工智能、區(qū)塊鏈等技術(shù)的創(chuàng)新發(fā)展，打造良好的數(shù)字經(jīng)濟(jì)市場生態(tài)。

（2）建立國內(nèi)數(shù)據(jù)分級分類管理制度

從保護(hù)和利用的平衡角度出發(fā)，建立分級分類管理標(biāo)準(zhǔn)和制度，對不同類型、不同級別的數(shù)據(jù)采取不同的監(jiān)管手段。實(shí)施大數(shù)據(jù)等級保護(hù)制度，按照行業(yè)領(lǐng)域、數(shù)據(jù)價(jià)值、數(shù)據(jù)特征等屬性進(jìn)行分類管理，強(qiáng)化落實(shí)數(shù)據(jù)脫敏、信息定密、風(fēng)險(xiǎn)評估、數(shù)據(jù)流控、事態(tài)預(yù)警和應(yīng)急處置等“事中、事后”監(jiān)管措施，建立健全大數(shù)據(jù)保護(hù)的考核評估機(jī)制，將數(shù)據(jù)采集、存儲、分析、挖掘、使用、傳輸、開放等全生命周期的關(guān)鍵環(huán)節(jié)納入監(jiān)管范圍。通過數(shù)據(jù)分級分類制度，明確我國《網(wǎng)絡(luò)安全法》框架下個人信息、重要數(shù)據(jù)的具體范圍界限和管理要求，進(jìn)一步協(xié)調(diào)我國國內(nèi)法與GDPR銜接的關(guān)系。

（3）完善國內(nèi)個人信息保護(hù)立法

GDPR的出臺和實(shí)施是個人數(shù)據(jù)保護(hù)統(tǒng)一立法的典型代表，制定統(tǒng)一的個人信息保護(hù)法也是我國個人信息保護(hù)和社會經(jīng)濟(jì)法發(fā)展的現(xiàn)實(shí)需求。近年來，不斷發(fā)生的個人信息泄露事件引發(fā)高度關(guān)注，制定一部統(tǒng)一的個人信息保護(hù)法成為社會各界的一致呼聲；要有利于從國家層面明確重大問題和基本制度。通過制定統(tǒng)一的個人信息保護(hù)法，明確企業(yè)收集和使用個人信息的基本規(guī)范，并對數(shù)據(jù)跨境流動規(guī)則等基本問題作出回應(yīng)；要促進(jìn)我國互聯(lián)網(wǎng)產(chǎn)業(yè)做大做強(qiáng)，通過國家明確的個人信息保護(hù)政策為我國的互聯(lián)網(wǎng)企業(yè)明確行為指引，為其開拓海外市場提供良好的信譽(yù)保證。

（4）推動國內(nèi)企業(yè)自主合規(guī)管理

在歐盟開展相關(guān)業(yè)務(wù)的中國企業(yè)，有必要提高認(rèn)識，結(jié)合自身業(yè)務(wù)情況，由內(nèi)而外積極采取多種應(yīng)對措施。一是要全面進(jìn)行合規(guī)評估及分析。理順業(yè)務(wù)流程及架構(gòu)，明確業(yè)務(wù)中收集、處理的數(shù)據(jù)類型以及數(shù)據(jù)存儲、使用的現(xiàn)狀，對照GDPR的要求，全面厘清業(yè)務(wù)合規(guī)漏洞；二是要加快滿足合規(guī)要求。盡快從技術(shù)要求、制度建設(shè)、流程完善3個方面制定整改方案并實(shí)施，滿足合規(guī)要求；三是要加強(qiáng)溝通與協(xié)作。加強(qiáng)與歐盟相應(yīng)執(zhí)法部門的協(xié)調(diào)與交流，存在合規(guī)困難的中小企業(yè)在必要時(shí)可向我國政府尋求幫助，由政府建立相應(yīng)指導(dǎo)機(jī)制，緩解自身合規(guī)壓力。