許 可

數(shù)字經(jīng)濟(jì)正成為中國(guó)以及世界經(jīng)濟(jì)發(fā)展的新動(dòng)能。通過人均資本、人均勞動(dòng)產(chǎn)出和全要素生產(chǎn)率的提升，數(shù)字經(jīng)濟(jì)不但培育了新市場(chǎng)和新產(chǎn)業(yè)增長(zhǎng)點(diǎn)，更推動(dòng)了社會(huì)的包容性增長(zhǎng)和可持續(xù)增長(zhǎng)。而正如2016年9月《二十國(guó)集團(tuán)數(shù)字經(jīng)濟(jì)發(fā)展與合作倡議》所指出的，作為新經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素，“數(shù)字化的信息”，即數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的不竭源泉，數(shù)據(jù)保護(hù)和利用規(guī)則成為數(shù)字經(jīng)濟(jì)的底層架構(gòu)。透過數(shù)字經(jīng)濟(jì)的棱鏡，2018年5月生效的歐盟《一般數(shù)據(jù)保護(hù)條例》(下稱“GDPR”)便顯現(xiàn)出別樣的意義。立基于此，本文首先揭示GDPR背后歐盟的政經(jīng)考量，進(jìn)而探尋GDPR對(duì)數(shù)字經(jīng)濟(jì)的不利后果，并在此基礎(chǔ)上，提出中國(guó)的應(yīng)對(duì)之道。

一、GDPR與歐盟數(shù)字經(jīng)濟(jì)的愿景

(一)數(shù)字經(jīng)濟(jì)的落后者

作為繼農(nóng)業(yè)經(jīng)濟(jì)、工業(yè)經(jīng)濟(jì)之后的一種新的經(jīng)濟(jì)社會(huì)發(fā)展形態(tài)，數(shù)字經(jīng)濟(jì)早已超出信息產(chǎn)業(yè)的藩籬。有鑒于此，無論是發(fā)達(dá)國(guó)家，還是發(fā)展中國(guó)家，均把數(shù)字經(jīng)濟(jì)轉(zhuǎn)型視為重大的優(yōu)先政策。然而，在數(shù)字經(jīng)濟(jì)的世界版圖上，各國(guó)的發(fā)展并不均衡。中國(guó)信通院《G20國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展研究報(bào)告(2017)》顯示：2016年，美國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到10.8萬億美元，在世界上遙遙領(lǐng)先；中國(guó)以3.4萬億美元的總量位居第二；日本、德國(guó)和英國(guó)分列第三至五位，其平均規(guī)模約為中國(guó)的一半。中美兩國(guó)在這波數(shù)字經(jīng)濟(jì)浪潮中的領(lǐng)先地位在科技企業(yè)的市值上得到鮮明體現(xiàn)。2017年，全球市值前十的公司中有七家科技企業(yè)，其中，美國(guó)五家：蘋果、微軟、谷歌、Facebook、亞馬遜；中國(guó)兩家：阿里巴巴和騰訊。這一局勢(shì)在各個(gè)細(xì)分領(lǐng)域更加顯著。聯(lián)合國(guó)《2017世界投資報(bào)告——投資與數(shù)字經(jīng)濟(jì)》(World Investment Report 2017—Investment and the Digital Economy Report)梳理了網(wǎng)絡(luò)平臺(tái)、數(shù)字化解決方案、電子商務(wù)、數(shù)字內(nèi)容、IT、電信設(shè)施等主要數(shù)字經(jīng)濟(jì)領(lǐng)域，發(fā)現(xiàn)全球的領(lǐng)導(dǎo)者或跟隨者基本被中美兩國(guó)的企業(yè)占據(jù)。

較諸中美，歐洲在數(shù)字經(jīng)濟(jì)中暫時(shí)落后了。2016年5月，歐盟委員會(huì)發(fā)布《歐洲數(shù)字化進(jìn)展報(bào)告2016》(Europe’s Digital Progress Report)，指出盡管歐盟各國(guó)在移動(dòng)互聯(lián)網(wǎng)、電子政務(wù)和電子商務(wù)領(lǐng)域取得了進(jìn)步，但歐盟科學(xué)、技術(shù)和數(shù)學(xué)(STEM)學(xué)科的畢業(yè)生人數(shù)上升緩慢，只有16%的中小企業(yè)利用網(wǎng)絡(luò)行銷，更有45%的人口不具備基本的數(shù)字技術(shù)。該報(bào)告進(jìn)一步指出：歐盟公民和企業(yè)在使用在線工具和服務(wù)時(shí)經(jīng)常遇到障礙，以至于企業(yè)和民眾難以從數(shù)字轉(zhuǎn)型中獲益。歐盟數(shù)字經(jīng)濟(jì)落后的惡果已經(jīng)顯現(xiàn)：自2009年以來，歐盟信息和通信技術(shù)產(chǎn)業(yè)(ICT)一直處于結(jié)構(gòu)性下滑的狀態(tài)，當(dāng)今全球市值最高的20家互聯(lián)網(wǎng)公司也沒有一家來自歐盟。

(二)通過制度發(fā)展數(shù)字經(jīng)濟(jì)

事實(shí)上，歐盟很早就意識(shí)到數(shù)字經(jīng)濟(jì)的來臨。早在1993年，歐盟在成立之際就發(fā)布了《增長(zhǎng)、競(jìng)爭(zhēng)、就業(yè)——邁向21世紀(jì)的挑戰(zhàn)和道路》白皮書，明確指出發(fā)展數(shù)字經(jīng)濟(jì)的重要性，并提出了“創(chuàng)建歐洲信息社會(huì)，迎接21世紀(jì)挑戰(zhàn)”的戰(zhàn)略。1996年3月，為了激勵(lì)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，歐盟理事會(huì)簽署《關(guān)于數(shù)據(jù)庫(kù)的法律保護(hù)的指令》(Directive 96/9/EC on the legal protection of databases)，在全球首次賦予不受著作權(quán)法保護(hù)但又有實(shí)質(zhì)性投資的數(shù)據(jù)庫(kù)(database)以特殊權(quán)利 (sui generis right protection)。然而，法律本身的模糊性使得人們對(duì)其保護(hù)范圍以及他人正當(dāng)行為的邊界一直充滿分歧，[注]See Summary report of the public consultation on the evaluation of Directive 96/9/EC on the legal protection of databases,at https://ec.europa.eu/digital-single-market/en/news/summary-report-public-consultation-legal-protection-databases,last visited on Sep.30,2018.該指令并未讓歐盟數(shù)據(jù)產(chǎn)業(yè)蓬勃興起，甚至到了2004年，歐盟數(shù)據(jù)庫(kù)的發(fā)展已經(jīng)回落到1996年的水平。[注]See DG Internal Market and Services published the first evaluation of Directive 96/6/EC on the Legal Protection of Databases,at http:// ec.europa.eu/ internal_market/copyright/ prot-databases/ index_en.htm#maincontentSec2,last visited on Sep.30,2018.

面對(duì)這一不利局面，歐盟奮起直追。2010年，歐盟發(fā)布《2010倡議——為了促進(jìn)增長(zhǎng)和就業(yè)的歐洲信息社會(huì)》(i2010：A European Information Society for Growth and Employment)，提出深耕三大重點(diǎn)領(lǐng)域：(1)整合歐盟委員會(huì)既有法律，建立一個(gè)市場(chǎng)導(dǎo)向的數(shù)字經(jīng)濟(jì)法律框架；(2)推動(dòng)數(shù)字化的融合以及與私營(yíng)部門合作，促進(jìn)歐盟在數(shù)字創(chuàng)新技術(shù)方面的領(lǐng)導(dǎo)力；(3)提供高效、方便、實(shí)用的在線服務(wù)，建立包容性的歐洲信息社會(huì)。作為數(shù)字經(jīng)濟(jì)法律的重要一環(huán)，2012年1月，歐洲議會(huì)公布了GDPR草案。該草案預(yù)示著個(gè)人數(shù)據(jù)保護(hù)水平提升到前所未有的高度，同時(shí)意圖在歐盟范圍內(nèi)建立更為統(tǒng)一和嚴(yán)格的立法。[注]參見王融：《大數(shù)據(jù)時(shí)代數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則》，人民郵電出版社2017年版，第158頁(yè)。草案出臺(tái)后，4 400多份修改意見展現(xiàn)出歐盟立法中前所未見的游說博弈，充分反映了GDPR早已超越純粹的個(gè)人數(shù)據(jù)規(guī)范，成為深層次融合國(guó)際政治博弈、產(chǎn)業(yè)經(jīng)濟(jì)競(jìng)爭(zhēng)以及社會(huì)文化擴(kuò)張等諸多元素的復(fù)雜綜合體。[注]參見吳沈括：“歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)與中國(guó)應(yīng)對(duì)”，《信息安全與通信秘密》2018年第2期，第13頁(yè)。

2015年，歐盟委員會(huì)再次確立歐洲“數(shù)字一體化市場(chǎng)”(Digital Single Market)戰(zhàn)略，由此統(tǒng)合并大大推進(jìn)了GDPR的制定。該戰(zhàn)略旨在為歐盟個(gè)人和企業(yè)提供更好的數(shù)字產(chǎn)品和服務(wù)，創(chuàng)造有利于數(shù)字網(wǎng)絡(luò)和服務(wù)繁榮發(fā)展的環(huán)境，以及最大化地實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)的增長(zhǎng)潛力。歐盟相信，通過確保貨物、人員、服務(wù)、資本、數(shù)據(jù)自由流動(dòng)，“數(shù)字一體化市場(chǎng)”能確保個(gè)人和企業(yè)均能在公平競(jìng)爭(zhēng)的條件下無縫訪問和在線活動(dòng)，促進(jìn)歐盟數(shù)字經(jīng)濟(jì)發(fā)展并確保歐洲在全球數(shù)字經(jīng)濟(jì)中的地位。該戰(zhàn)略指出：數(shù)據(jù)是整個(gè)社會(huì)和所有經(jīng)濟(jì)部門經(jīng)濟(jì)增長(zhǎng)、創(chuàng)新及數(shù)字化的催化劑，而分散的市場(chǎng)無法為云計(jì)算、大數(shù)據(jù)、數(shù)據(jù)驅(qū)動(dòng)型科學(xué)、物聯(lián)網(wǎng)在歐洲范圍內(nèi)充分發(fā)揮其潛力提供足夠的規(guī)模保障，為此，歐盟需要消除一系列的技術(shù)障礙和法律障礙，[注]See Shaping the Digital Single Market, at https://ec.europa.eu/digital-single-market/en/policies/shaping-digital-single-market,last visited on Sep.30,2018.GDPR便是其中最重要的舉措之一。故此，倘若只將GDPR視為在信息科技迅速發(fā)展背景下，歐盟對(duì)歐洲公民人格尊嚴(yán)和人格自由的重申，未免小覷了它的意義。

(三)GDPR推進(jìn)歐盟數(shù)字一體化市場(chǎng)

1.以數(shù)據(jù)自由流動(dòng)為宗旨

GDPR第1條“主旨與目標(biāo)”開宗明義：“不得以保護(hù)自然人個(gè)人數(shù)據(jù)處理為由，限制或禁止個(gè)人數(shù)據(jù)在歐盟的自由流動(dòng)?！彪S著數(shù)字經(jīng)濟(jì)的勃興，在全球范圍內(nèi)收集、分析和傳輸個(gè)人數(shù)據(jù)的經(jīng)濟(jì)意義與日俱增。2014年，價(jià)值約30萬億美元的商品、服務(wù)和金融發(fā)生跨境移轉(zhuǎn)，其中數(shù)據(jù)流動(dòng)帶來的價(jià)值約為2.8萬億美元。[注]See Digital globalization: The new era of global flows, at https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows,last visited on Sep.30,2018.歐洲亦概莫能外。根據(jù)波士頓咨詢集團(tuán)的數(shù)據(jù)，2011年歐盟公民的數(shù)據(jù)價(jià)值為3 150億歐元，并有可能在2020年增長(zhǎng)到近1萬億歐元。[注]See Ernst-Oliver Wilhelm, The GDPR: Fostering Trust in the Digital Single Market,at https://blog.gft.com/blog/2016/04/05/the-gdpr-fostering-trust-in-the-digital-single-market/,last visited on Sep.30,2018.然而，由于普遍擔(dān)心互聯(lián)網(wǎng)安全、基本權(quán)利保障以及數(shù)據(jù)保護(hù)問題，歐洲企業(yè)和消費(fèi)者對(duì)于數(shù)據(jù)自由流動(dòng)始終缺乏足夠的信心。[注]一份調(diào)查顯示：三分之二的歐洲人表示他們擔(dān)心無法控制他們?cè)诰W(wǎng)上提供的信息，而另一半則擔(dān)心成為欺詐的受害者。See Special Eurobarometer 431, Data Protection Report, June 2015.為此，GDRP從如下兩方面重塑數(shù)字經(jīng)濟(jì)的信任，以強(qiáng)化數(shù)據(jù)的流動(dòng)性。

一方面，GDPR提升了數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制力。GDPR在歐盟1995年《關(guān)于個(gè)人數(shù)據(jù)保護(hù)與自由流動(dòng)指令(95/46/EC)》(以下簡(jiǎn)稱《95指令》)基礎(chǔ)上，進(jìn)一步明確提出合法公平透明原則、完整性和保密性原則、特殊數(shù)據(jù)處理原則，并從處理的合法性、同意的要件、兒童同意等要求進(jìn)一步縮限了“知情同意原則”。同時(shí)，賦予數(shù)據(jù)主體新的數(shù)據(jù)權(quán)利，如刪除其數(shù)據(jù)的“被遺忘權(quán)”、要求其數(shù)據(jù)從一個(gè)控制者向他方直接傳輸?shù)摹翱蓴y帶權(quán)”、免受基于數(shù)據(jù)畫像的自動(dòng)化決策權(quán)利、更加透明的知情權(quán)以及更為便利的訪問權(quán)。

另一方面，GDPR取消了數(shù)據(jù)本地化的要求。GDPR要求各成員國(guó)應(yīng)廢除歐盟境內(nèi)任何數(shù)據(jù)存儲(chǔ)及處理過程中不合理的數(shù)據(jù)位置限制，不得強(qiáng)制服務(wù)提供商在每個(gè)地區(qū)或國(guó)家建立昂貴的本地基礎(chǔ)設(shè)施(數(shù)據(jù)中心)。GDPR與歐盟委員會(huì)2017年的《關(guān)于非個(gè)人數(shù)據(jù)自由流動(dòng)框架的提案》、2018年4月的《關(guān)于修訂公共部門信息再利用指令的提案》《修訂2012年訪問和保存科學(xué)信息的建議》《基于公共利益由私營(yíng)部門向公共部門分享數(shù)據(jù)的指導(dǎo)意見》相輔相成，以期一攬子解決數(shù)據(jù)可操作性、可使用性以及數(shù)據(jù)訪問問題，打出一套數(shù)字自由流動(dòng)的組合拳。

2.以規(guī)則和執(zhí)法的統(tǒng)一為依歸

與《95指令》相比，GDPR大大提升了個(gè)人數(shù)據(jù)保護(hù)的法律位階。從指令向條例的轉(zhuǎn)變，意味著GDPR一經(jīng)發(fā)布立即生效，無須經(jīng)過各成員國(guó)以國(guó)內(nèi)法律法規(guī)形式的落實(shí)措施，并且，無論對(duì)于成員國(guó)還是當(dāng)事人(組織或者機(jī)構(gòu))，GDPR均具備同等法律效力，從而簡(jiǎn)化和統(tǒng)一了各國(guó)錯(cuò)綜復(fù)雜的既有規(guī)則。不僅于此，執(zhí)行GDPR構(gòu)成歐盟各成員國(guó)必須履行的、不可克扣的政治責(zé)任。GDPR特別在涉及多成員國(guó)監(jiān)管的情形下，規(guī)定了主導(dǎo)監(jiān)管機(jī)構(gòu)(Lead Supervisory Authority)的監(jiān)管權(quán)力，通過一致性機(jī)制相互合作和協(xié)助，最終實(shí)現(xiàn)一站式執(zhí)法。在歐盟層面，歐洲數(shù)據(jù)保護(hù)局(EDPB)將遵循數(shù)字一體化市場(chǎng)的總體安排，以保護(hù)歐盟公民和統(tǒng)一市場(chǎng)為導(dǎo)向，協(xié)調(diào)成員國(guó)個(gè)人數(shù)據(jù)保護(hù)署的執(zhí)法工作。

個(gè)人數(shù)據(jù)和信任是當(dāng)今數(shù)字經(jīng)濟(jì)的貨幣，GDPR意圖建立一個(gè)強(qiáng)大且面向未來的監(jiān)管框架，以保證消費(fèi)者和企業(yè)增強(qiáng)信心和相互信任，從而為歐洲鋪平數(shù)字時(shí)代的道路。

(四)GDPR成為面向非歐盟國(guó)家的新壁壘

推動(dòng)歐盟內(nèi)部市場(chǎng)的一體化并不是GDPR的唯一效果，對(duì)歐盟外市場(chǎng)參與者來說，GDPR更承擔(dān)著貿(mào)易和投資新壁壘的角色。

1.GDPR為全球個(gè)人數(shù)據(jù)保護(hù)豎立新標(biāo)桿

迄今為止，全球個(gè)人數(shù)據(jù)保護(hù)法已經(jīng)經(jīng)歷了三代。[注]See Graham Greenleaf, International data privacy agreements after the GDPR and Schrems, 139 Privacy Laws & Business International Report, 2016.第一代以經(jīng)合組織1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指引》(the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data)以及1981年歐洲理事會(huì)(the Council of Europe)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》為起點(diǎn)，其奠定了現(xiàn)代個(gè)人數(shù)據(jù)保護(hù)法的基本框架。第二代以歐盟《95指令》為代表，其在第一代原則的基礎(chǔ)上加入了包括“數(shù)據(jù)最少夠用”“刪除”“敏感信息”“獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)”等要素。第三代即為GDPR。與第二代相比，GDPR大大拓展了數(shù)據(jù)主體權(quán)利，并確立了一系列新型保護(hù)制度，如“企業(yè)內(nèi)部設(shè)立數(shù)據(jù)保護(hù)官”“經(jīng)設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)”“數(shù)據(jù)保護(hù)影響評(píng)估”“數(shù)據(jù)控制者與數(shù)據(jù)處理者均承擔(dān)直接侵權(quán)責(zé)任”“境外數(shù)據(jù)控制者的代表人”“發(fā)生數(shù)據(jù)安全事件后對(duì)數(shù)據(jù)保護(hù)機(jī)構(gòu)的報(bào)告和對(duì)個(gè)人的通知”“數(shù)據(jù)控制者可展示的問責(zé)”“集體訴訟制度”，等等。

截止到2018年6月，世界已有126個(gè)國(guó)家擁有個(gè)人數(shù)據(jù)保護(hù)法。根據(jù)上述三代的劃分，各國(guó)均達(dá)到了第一代的標(biāo)準(zhǔn)，目前正向第二代邁進(jìn)。其中，所有歐盟國(guó)家均已完成了轉(zhuǎn)變，在非歐盟的75個(gè)國(guó)家中，大體也行程過半。其中，南非和韓國(guó)實(shí)現(xiàn)了90%，阿根廷、哥倫比亞、馬來西亞實(shí)現(xiàn)了80%，加拿大、中國(guó)臺(tái)灣地區(qū)實(shí)現(xiàn)了70%，澳大利亞、新西蘭、中國(guó)香港地區(qū)實(shí)現(xiàn)了60%，以色列、日本、墨西哥、新加坡實(shí)現(xiàn)了50%，但美中兩國(guó)均不在這一表單中。[注]See Graham Greenleaf, Global Convergence of Data Privacy Standards and Laws, at http://www.ssrn.com/link/UNSW-LEG.html,last visited on Sep.30,2018.隨著GDPR的出臺(tái)，歐盟個(gè)人數(shù)據(jù)保護(hù)高地的地位進(jìn)一步穩(wěn)固。

2.作為國(guó)際經(jīng)濟(jì)新壁壘的GDPR

所謂國(guó)際經(jīng)濟(jì)新壁壘，是指包括技術(shù)壁壘、綠色壁壘和社會(huì)壁壘在內(nèi)的所有阻礙國(guó)際商品、服務(wù)、資金、數(shù)據(jù)自由流動(dòng)的新型壁壘。[注]參見彭繼增：“新貿(mào)易壁壘的內(nèi)容、特點(diǎn)及其對(duì)策”，《價(jià)格月刊》2005年第9期，第18頁(yè)。GDPR包含著“同意”“透明度”“自動(dòng)化決策和數(shù)據(jù)畫像”“數(shù)據(jù)影響評(píng)估”“數(shù)據(jù)記錄”等大量指南、建議和標(biāo)準(zhǔn)，體現(xiàn)出技術(shù)壁壘特征；同時(shí)，通過宣示《歐洲人權(quán)公約》第 8 條、《歐盟基本權(quán)利憲章》第 7 條項(xiàng)下的“個(gè)人數(shù)據(jù)獲得保護(hù)的基本權(quán)利”，GDPR又具有鮮明的社會(huì)壁壘特征。[注]類似地，歐盟同樣將中國(guó)《網(wǎng)絡(luò)安全法》視為貿(mào)易和投資壁壘，參見“歐委會(huì)發(fā)布2017年度貿(mào)易和投資壁壘報(bào)告”，載http://www.mofcom.gov.cn/article/i/jyjl/m/201807/20180702762125.shtml，最后訪問時(shí)間：2018年9月30日。GDPR對(duì)跨境經(jīng)濟(jì)活動(dòng)的阻礙集中反映在如下層面：

首先，GDPR限制了跨境提供貨物或服務(wù)。根據(jù)GDPR第3條第2款，如果歐盟以外的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體無償或有償?shù)靥峁┴浳锘蚍?wù)，或者對(duì)數(shù)據(jù)主體在歐盟境內(nèi)的行為進(jìn)行監(jiān)控，就落在GDPR的長(zhǎng)臂管轄之下。更重要的是，在涉及個(gè)人特殊數(shù)據(jù)處理時(shí)，企業(yè)還應(yīng)在歐盟境內(nèi)授權(quán)一名“代表”，以履行GDPR下所有的義務(wù)和責(zé)任。

其次，GDPR限制了數(shù)據(jù)的跨境流動(dòng)。根據(jù)GDPR第五章的規(guī)定，歐盟內(nèi)的個(gè)人數(shù)據(jù)只允許流入歐盟認(rèn)可的能提供“充分保護(hù)”或“適當(dāng)保障措施”的國(guó)家或地區(qū)。其中，獲得歐盟的充分性認(rèn)定是數(shù)據(jù)跨境流動(dòng)的最佳途徑，但由于個(gè)人數(shù)據(jù)保護(hù)整體水平、數(shù)據(jù)流動(dòng)現(xiàn)狀，以及與歐盟的政治、貿(mào)易關(guān)系,秉持的價(jià)值觀和目標(biāo)等相關(guān)標(biāo)準(zhǔn)過于嚴(yán)苛，對(duì)中國(guó)在內(nèi)的大多數(shù)國(guó)家而言，這近乎是不可能完成的任務(wù)。而在所謂“適當(dāng)保護(hù)措施”中，不論是采用有約束力的企業(yè)規(guī)則、歐盟批準(zhǔn)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，還是遵守經(jīng)歐盟認(rèn)可的第三方認(rèn)證，其實(shí)質(zhì)均在于通過柔性規(guī)則，將GDPR的強(qiáng)制性規(guī)定擴(kuò)張適用到歐盟外國(guó)家。正因如此，美國(guó)商務(wù)部長(zhǎng)羅斯指出：GDPR對(duì)美國(guó)和歐盟以外的所有國(guó)家制造不必要的貿(mào)易壁壘，導(dǎo)致美國(guó)企業(yè)喪失數(shù)據(jù)的訪問權(quán)，擾亂歐美之間在金融監(jiān)管、醫(yī)學(xué)研究、應(yīng)急管理協(xié)調(diào)以及重要商業(yè)方面的合作。[注]參見羅斯：“歐盟數(shù)據(jù)隱私新規(guī)或制造貿(mào)易壁壘”，載http://www.ftchinese.com/story/001077857?full=y&archive，最后訪問時(shí)間：2019年9月30日。

最后，GDPR限制了資金的跨境流動(dòng)。根據(jù)GDPR第3條第1款，只要營(yíng)業(yè)機(jī)構(gòu)/營(yíng)業(yè)場(chǎng)所設(shè)在歐盟境內(nèi)，企業(yè)均不得不承擔(dān)GDPR施加的高昂合規(guī)成本，而不論其個(gè)人數(shù)據(jù)處理活動(dòng)是否發(fā)生在歐盟境內(nèi)。這無疑讓計(jì)劃進(jìn)入歐盟的企業(yè)進(jìn)退維谷。

總之，GDPR具有雙重效果：它一方面試圖通過統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)立法和執(zhí)法，推動(dòng)歐盟境內(nèi)數(shù)字經(jīng)濟(jì)的發(fā)展，另一方面通過制度先發(fā)優(yōu)勢(shì)，攪動(dòng)歐盟外的全球數(shù)字市場(chǎng)。就后者來說，歐盟實(shí)際上是利用GDPR向中美兩國(guó)企業(yè)和政府開出了一道難以回答的選擇題：要么讓企業(yè)操作規(guī)程或國(guó)內(nèi)法與GDPR保持一致，要么被5億富有消費(fèi)者的市場(chǎng)排除在外。

二、GDPR對(duì)數(shù)字經(jīng)濟(jì)的可能的不利后果

甘瓜苦蒂，物無全美。GDPR必將產(chǎn)生正反兩方面的影響。不過，歐盟鑒于其在數(shù)字經(jīng)濟(jì)領(lǐng)域的相對(duì)落后地位以及數(shù)字生產(chǎn)和消費(fèi)不平衡的市場(chǎng)結(jié)構(gòu)，無須過多顧忌GDPR的副作用，但從全球數(shù)字經(jīng)濟(jì)的宏觀視角觀察，GDPR絕非福音。

(一)GDPR可能戕害創(chuàng)新

企業(yè)合規(guī)成本的飆升是GDPR對(duì)數(shù)字經(jīng)濟(jì)最直觀的影響。Paul Hastings律師事務(wù)所調(diào)查了100家富時(shí)350指數(shù)公司和100家世界500強(qiáng)企業(yè)的總法律顧問和首席安全官，發(fā)現(xiàn)富時(shí)350指數(shù)公司平均將為GDPR增加43萬英鎊的支出，而世界500強(qiáng)企業(yè)增加的支出更高達(dá)100萬美元。[注]See Fortune and FTSE Firms to Spend Millions Gearing up for GDPR Compliance, New Survey Shows, at https://www.paulhastings.com/news/details/?id=1c74ed69-2334-6428-811c-ff00004cbded,last visited on Sep.30,2018.

不過，僅僅是合規(guī)成本的增多并不當(dāng)然損及創(chuàng)新。正如波特假說所洞見的，在考慮市場(chǎng)不完美和競(jìng)爭(zhēng)者之間策略互動(dòng)的情形下，基于安全的規(guī)制有可能激勵(lì)企業(yè)進(jìn)行創(chuàng)新補(bǔ)償，提高企業(yè)的利潤(rùn)率，從而實(shí)現(xiàn)雙贏。[注]See Adam B.Jaffe & Karen Palmer,Environmental Regulation and Innovation: A Panel Data Study, The Review of Economics and Statistics, MIT Press, Vol.79(4), 1997,pp.610～619.但更細(xì)致的研究表明：因?yàn)楹弦?guī)成本的異質(zhì)性，強(qiáng)化規(guī)制對(duì)于規(guī)模不同的企業(yè)有著不同的影響，簡(jiǎn)言之，規(guī)制可以提升合規(guī)成本相對(duì)較低的大企業(yè)的利潤(rùn)率和數(shù)量，卻降低了合規(guī)成本相對(duì)較高的小企業(yè)的利潤(rùn)率和數(shù)量。[注]參見龍小寧、萬威：“環(huán)境規(guī)制、企業(yè)利潤(rùn)率與合規(guī)成本規(guī)模異質(zhì)性”，《中國(guó)工業(yè)經(jīng)濟(jì)》2017年第6期，第171頁(yè)。

不幸的是，在數(shù)字經(jīng)濟(jì)中，恰恰小企業(yè)才是創(chuàng)新的主體。這是因?yàn)?，與工業(yè)時(shí)代的創(chuàng)新大多是改進(jìn)既有技術(shù)、產(chǎn)品或商業(yè)模式的“維持性創(chuàng)新”不同，互聯(lián)網(wǎng)時(shí)代的創(chuàng)新大多是打破既有市場(chǎng)結(jié)構(gòu)的“顛覆性創(chuàng)新”。在這一創(chuàng)新過程中，遵循傳統(tǒng)軌道的在位大企業(yè)往往無法應(yīng)對(duì)動(dòng)態(tài)創(chuàng)新而遭遇失敗，最終被新進(jìn)入的小企業(yè)所替代。這一點(diǎn)業(yè)已被實(shí)證研究所證實(shí)。針對(duì)高新技術(shù)產(chǎn)業(yè)的調(diào)查表明: 企業(yè)規(guī)模和顛覆性創(chuàng)新的成功負(fù)相關(guān)。[注]See C.Markides, Disruptive Innovation: In Need of Better Theory, The Journal of Product Innovation Management, 23, No.1,2006,pp.19～25.因此，在數(shù)字經(jīng)濟(jì)中，在位大企業(yè)能成功地繼續(xù)保持其行業(yè)領(lǐng)先地位的唯一辦法，就是成立一個(gè)完全獨(dú)立的組織，并全權(quán)授權(quán)它使用全新商業(yè)模式創(chuàng)建一個(gè)全新的企業(yè)。

顯然，GDPR中數(shù)據(jù)控制者、數(shù)據(jù)處理者周密而細(xì)致的義務(wù)，對(duì)于小企業(yè)而言，是難以承受之重。相反，憑借著超大規(guī)模，GDPR對(duì)大企業(yè)的成本影響有限。不僅如此，隨著數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的提升，用戶更可能通過他們熟悉的網(wǎng)絡(luò)服務(wù)提供者或者必不可少的網(wǎng)絡(luò)平臺(tái)(例如領(lǐng)先的社交和商業(yè)網(wǎng)絡(luò))，而非新的不熟悉的競(jìng)爭(zhēng)對(duì)手來進(jìn)行數(shù)據(jù)處理。如此，GDPR最終可能會(huì)增強(qiáng)現(xiàn)任科技巨頭的地位，而不是促進(jìn)其競(jìng)爭(zhēng)對(duì)手的興起。事實(shí)上，在GDPR生效后不久，谷歌成功增加了其在線廣告市場(chǎng)的份額，因?yàn)樗愿哂谕械乃俣全@得用戶對(duì)定向行為廣告的明確同意。

事實(shí)上，歐盟并非沒有意識(shí)到GDPR對(duì)小企業(yè)的危害?？紤]到小企業(yè)缺乏充分的財(cái)力、人力來履行GDPR規(guī)定的書面記錄義務(wù)，其第30條第5款對(duì)雇員人數(shù)少于250人的企業(yè)或組織，給予了特別豁免。但GDPR同時(shí)指出，該義務(wù)免除有著三種限制：(1)數(shù)據(jù)處理行為可能給數(shù)據(jù)主體的權(quán)利或自由帶來風(fēng)險(xiǎn)。盡管該款在文意上沒有說明權(quán)利或自由的具體內(nèi)容，可從立法目的上看，只有處理行為有可能對(duì)數(shù)據(jù)主體的主要權(quán)利或?qū)嵸|(zhì)自由造成侵害時(shí)，該款才有適用的余地，從而將較小的風(fēng)險(xiǎn)排除在外。(2)數(shù)據(jù)處理行為是經(jīng)常性的。只有臨時(shí)性和輔助性的數(shù)據(jù)處理才能豁免，換言之，如果數(shù)據(jù)處理構(gòu)成營(yíng)業(yè)的主要部分，則即便是小企業(yè)也不得免除書面記錄的義務(wù)。(3)涉及敏感數(shù)據(jù)或與刑事定罪或犯罪有關(guān)的信息。根據(jù)GDPR第9條第1款的規(guī)定，“敏感數(shù)據(jù)”包括種族、民族、政治觀點(diǎn)、宗教信仰、哲學(xué)信仰、工會(huì)成員資格、個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)、健康數(shù)據(jù)、性生活/性取向數(shù)據(jù)。鑒于敏感數(shù)據(jù)和犯罪數(shù)據(jù)一旦泄露就會(huì)給數(shù)據(jù)主體造成威脅，因此與該等數(shù)據(jù)相關(guān)的處理，不論方式如何均不得豁免。不過，根據(jù)GDPR第9條第2款的規(guī)定，企業(yè)為雇傭目的，對(duì)員工健康數(shù)據(jù)的處理不在此限。

綜合上述限制情形，不難發(fā)現(xiàn)，因?yàn)镚DPR表述的模糊性，小企業(yè)將面臨非常不確定的執(zhí)法，由此它們可能不得不費(fèi)時(shí)費(fèi)力，像大企業(yè)一樣保留數(shù)據(jù)，這削弱了小微企業(yè)豁免的立法功能。GDPR對(duì)小企業(yè)的損害后果已顯。2018年5月底，幾家小型美國(guó)公司和科技創(chuàng)業(yè)公司已退出歐盟市場(chǎng)，以免與監(jiān)管相沖突并影響其存續(xù)。

(二)GDPR可能傷及互聯(lián)網(wǎng)成熟業(yè)態(tài)

2013年12月，為評(píng)估GDPR對(duì)數(shù)字經(jīng)濟(jì)的影響，著名會(huì)計(jì)師事務(wù)所德勤對(duì)英國(guó)、法國(guó)和德國(guó)的750家企業(yè)和6 000名消費(fèi)者進(jìn)行了訪談，針對(duì)數(shù)據(jù)收集和處理的四大數(shù)據(jù)產(chǎn)業(yè)，即直銷、行為定向廣告、網(wǎng)頁(yè)分析和信用信息進(jìn)行了深入分析，發(fā)現(xiàn)GDPR將直接或間接地導(dǎo)致1 730億歐元的GDP損失以及280萬人的就業(yè)損失。這是僅限于歐盟之內(nèi)的數(shù)據(jù)，考慮到GDPR的跨境管轄和數(shù)據(jù)的跨境管控，這一數(shù)字肯定會(huì)進(jìn)一步放大。[注]See Deloitte, Economic impact Assessment of the Proposed European General Data Protection Regulation.

1.直銷產(chǎn)業(yè)(Direct Marketing)

直銷是指通過信件、電話和電子郵件等多種方式向選定的潛在用戶直接進(jìn)行商業(yè)推廣的廣告活動(dòng)，系典型的數(shù)據(jù)密集型產(chǎn)業(yè)。由于成本低、效率高，對(duì)于小企業(yè)和立足利基市場(chǎng)的創(chuàng)新性產(chǎn)品而言，直銷是非常重要的銷售渠道。僅在2012年，歐盟的直銷產(chǎn)業(yè)就高達(dá)470億歐元。隨著GDPR的到來，只有在用戶主動(dòng)、明確、具體地授權(quán)企業(yè)使用其個(gè)人數(shù)據(jù)之時(shí)，直銷才能開展，這大大改變了之前的數(shù)據(jù)“選擇退出”(opt-out)機(jī)制。但調(diào)查發(fā)現(xiàn)：一旦轉(zhuǎn)為明示授權(quán)，人們的決定就非常謹(jǐn)慎，只有40%左右的人同意企業(yè)利用直接收集的數(shù)據(jù)直銷，而同意利用間接收集數(shù)據(jù)直銷的更是不足20%，顯然，這將大幅影響直銷獲取客戶(acquisition )、維系客戶(retention)和交叉行銷(cross-selling)的范圍和效率，從而進(jìn)一步影響直銷行業(yè)的收入、直銷使用企業(yè)的投資回報(bào)率和消費(fèi)者福利。據(jù)估計(jì)，上述損失分別是330億歐元、280億歐元和240億歐元，合并計(jì)算即850億歐元，130萬人的就業(yè)也受到影響。

2.“行為定向廣告”行業(yè)(online behavioral advertising)

行為定向廣告是指通過深入觀察網(wǎng)站用戶的行為，利用網(wǎng)頁(yè)特性，準(zhǔn)確地把握用戶的特征，根據(jù)其行為特征反映出用戶需求，再根據(jù)用戶的需求與偏好，針對(duì)性地投放廣告。行為定向廣告和互聯(lián)網(wǎng)普遍免費(fèi)服務(wù)相結(jié)合，構(gòu)成了互聯(lián)網(wǎng)最主流的經(jīng)營(yíng)模式，人們將之戲稱為“羊毛出在狗身上”。以谷歌2017年第四季度財(cái)報(bào)為例，行為定向廣告依舊是其最賺錢的業(yè)務(wù)，收入達(dá)272.7億美元，占了總收入的84%。更有甚者，世界最大社交網(wǎng)站Facebook的廣告收入占其總收入的比例高達(dá)98%。為了讓廣告投放精準(zhǔn)高效，互聯(lián)網(wǎng)企業(yè)必須遵循幾千年來的一貫技巧——“了解你的客戶”(Know your customer)。幸運(yùn)的是，憑借著日新月異的信息技術(shù)，要完成這一工作，互聯(lián)網(wǎng)公司不再需要費(fèi)時(shí)費(fèi)力的人際交流，通過代碼和軟件收集、分析盡可能多的用戶信息便已足夠。但在GDPR下，用戶的IP地址、Cookies和設(shè)備ID等個(gè)人數(shù)據(jù)的處理變得非常困難，利用用戶畫像的成本上升，由此歐盟遭受42億歐元的GDP損失并減少6 600個(gè)工作崗位。

3.網(wǎng)頁(yè)分析行業(yè)(web analytics)

網(wǎng)頁(yè)分析是指通過收集和分析網(wǎng)頁(yè)訪問者的訪問數(shù)據(jù)以及電子郵件回應(yīng)率、銷售與客戶資料、使用者效能資料等基礎(chǔ)數(shù)據(jù)，以幫助企業(yè)滿足客戶的訪問期待。通過網(wǎng)頁(yè)分析，客戶能夠獲得更貼心的線上體驗(yàn)，便利其瀏覽信息、網(wǎng)站導(dǎo)航和電子交易。該行業(yè)在歐盟發(fā)展迅速，2012年至2014年，其收入就由8 000萬歐元增長(zhǎng)到1.1億歐元。為了不影響用戶使用，網(wǎng)頁(yè)分析所使用的數(shù)據(jù)搜集技術(shù)(如“網(wǎng)頁(yè)埋點(diǎn)”)大多是嵌入式和隱蔽性的，這使其難以滿足GDPR的要求。據(jù)測(cè)算，GDPR將降低網(wǎng)頁(yè)分析及其相關(guān)行業(yè)8.8億歐元的收入，同時(shí)影響1.4萬人的就業(yè)。

4.信用信息行業(yè)(credit information)

如果信用制度是金融的基礎(chǔ)設(shè)施，信用信息就是金融的血液。在歐盟，信用調(diào)查機(jī)構(gòu)(credit reference agency)信息收集的來源非常廣泛，既包括負(fù)面信息也包括正面信息，既來自金融機(jī)構(gòu)，也來自公共機(jī)構(gòu)和日常零售商。GDPR不但增加了相關(guān)信息收集、使用和分享的成本，更重要的是，用戶的刪除權(quán)可能導(dǎo)致信用評(píng)分失真。德勤的調(diào)查顯示：之前有過拒絕貸款記錄的消費(fèi)者中，有60%有意愿刪除個(gè)人數(shù)據(jù)，而沒有被拒絕歷史的消費(fèi)者中，只有20%打算刪除。經(jīng)濟(jì)學(xué)研究早已發(fā)現(xiàn)，個(gè)人數(shù)據(jù)權(quán)利的提升與信用的有效利用并不兼容。以金融隱私指數(shù)(Financial Privacy Index)為指標(biāo)，美國(guó)的個(gè)人數(shù)據(jù)保護(hù)弱于歐盟，但美國(guó)的信貸獲取比例高于歐盟各國(guó)。[注]See N.Jentzsch, The Regulation of Financial Privacy: The United States vs Europe, ECRI Research Report No.5, European Credit Research Institute (Brussels, 2003).

無獨(dú)有偶，就個(gè)人信息共享是否需要明示同意這一議題，美國(guó)加州各地采取了不同的規(guī)定，基于這一政策差異的經(jīng)濟(jì)學(xué)分析表明：在需要用戶明示同意才能共享信息的情形下，貸款違約率都上升了。[注]See Jin-Hyuk Kim and Liad Wagman, Screening Incentives and Privacy Protection in Financial Markets: A Theoretical and Empirical Analysis, The RAND Journal of Economics 46(1), 2015,pp.2～22.個(gè)人數(shù)據(jù)權(quán)利和信用功能的此長(zhǎng)彼消，給金融機(jī)構(gòu)、小企業(yè)和普通消費(fèi)者均帶來不利后果。金融機(jī)構(gòu)風(fēng)控能力下降導(dǎo)致其面臨更高的信用風(fēng)險(xiǎn)，因此更不傾向于向小企業(yè)放貸，而消費(fèi)者獲得房屋、汽車等消費(fèi)貸款的幾率亦隨之下降。綜合來看，GDPR將令消費(fèi)信貸下降19%，拖累GDP增速0.65個(gè)百分點(diǎn)，相當(dāng)于造成每年830億歐元的損失并引發(fā)140萬人失業(yè)。

(三)GDPR可能阻礙新興產(chǎn)業(yè)的發(fā)展

眾所周知，信息技術(shù)的ABC——人工智能(AI)、區(qū)塊鏈(Blackchain)和云計(jì)算(Cloud Computing)——將塑造數(shù)字經(jīng)濟(jì)的未來，然而，GDPR對(duì)此卻缺乏遠(yuǎn)見，無法回應(yīng)其挑戰(zhàn)。

1.人工智能

2018年年初，《終極算法》作者、人工智能著名學(xué)者、華盛頓大學(xué)教授 Pedro Domingos 在社交網(wǎng)絡(luò)中寫道：“自 5 月 25 日起，歐盟將會(huì)要求所有算法解釋其輸出原理，這意味著深度學(xué)習(xí)成為非法的方式。”這并非空穴來風(fēng)。針對(duì)算法向數(shù)據(jù)主體作出的自動(dòng)化決定，GDPR予以明確規(guī)制。其第13條(f)和第14條(g)規(guī)定，如果個(gè)人數(shù)據(jù)將用于自動(dòng)化決定，那么至少應(yīng)當(dāng)向個(gè)人提供相關(guān)決定的重要性、對(duì)個(gè)人預(yù)期的影響以及有關(guān)運(yùn)算邏輯的“有用信息”。比如，在銀行收集個(gè)人數(shù)據(jù)時(shí)，應(yīng)當(dāng)告知其可能使用人工智能對(duì)貸款人資質(zhì)進(jìn)行審核，而審核的最壞結(jié)果(如不批貸)也應(yīng)一并披露。并且，根據(jù)GDPR第22條的規(guī)定，如果個(gè)人對(duì)自動(dòng)化決定不滿，則有權(quán)主張人工介入，以表達(dá)自己的觀點(diǎn)并提出質(zhì)疑。

上述兩個(gè)條款的結(jié)合，產(chǎn)生了針對(duì)人工智能的所謂“解釋權(quán)”，而這正是Pedro Domingos的擔(dān)憂所在。雖然有學(xué)者認(rèn)為這一說法系對(duì)GDPR的誤讀，但根據(jù)WP29指南的要求，一旦用戶提出質(zhì)疑，數(shù)據(jù)控制者必須確保關(guān)于該決定的審查是有意義的。審查必須由有授權(quán)和有能力改變決定的人執(zhí)行。鑒于算法模型越復(fù)雜，就越需要投入更多的時(shí)間和專家開展人工審查，這些成本必將最終影響對(duì)AI的投資。[注]See Nick Wallace and Daniel Castro, The Impact of the EU’s New Data Protection Regulation on AI, at http://www2.datainnovation.org/2018-impact-gdpr-ai.pdf,last visited on Sep.30,2018.

2.區(qū)塊鏈

區(qū)塊鏈的分布式、匿名性、不可篡改性等典型特性與GDPR的規(guī)定存在先天抵牾。一方面，區(qū)塊鏈的去中心架構(gòu)使得識(shí)別數(shù)據(jù)控制者非常困難。倘若將參與多點(diǎn)記賬和多方共識(shí)的所有節(jié)點(diǎn)都視為控制者，那么令每個(gè)節(jié)點(diǎn)均承擔(dān)同等且嚴(yán)苛的數(shù)據(jù)控制者義務(wù)是不現(xiàn)實(shí)的；更嚴(yán)重的是，這意味著只要在歐盟境內(nèi)存在任一節(jié)點(diǎn)，全球化的公共鏈(如比特幣或以太坊)就全部落入GDPR的管轄下，這顯然是荒謬的。另一方面，除非以超過全系統(tǒng)一半以上的算力改寫，計(jì)入?yún)^(qū)塊鏈的信息將被永久儲(chǔ)存，從而與GDPR賦予個(gè)人的更正權(quán)、刪除權(quán)、被遺忘權(quán)直接沖突?？傊?，GDPR這一以數(shù)據(jù)控制者和數(shù)據(jù)處理者為對(duì)象的中心化規(guī)制思路與去中心化的區(qū)塊鏈格格不入，[注]See Michèle Finck，Blockchains and Data Protection in the European Union, Max Planck Institute for Innovation and Competition Research Paper No.18-01.只有GDPR在具體場(chǎng)景下作出適當(dāng)?shù)耐讌f(xié)，才能與之兼容。

3.云計(jì)算

云計(jì)算是現(xiàn)代企業(yè)運(yùn)營(yíng)的一個(gè)組成部分，因?yàn)樗ㄟ^降低成本提升了小企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)，根據(jù)國(guó)際數(shù)據(jù)公司(IDC)的預(yù)測(cè)，到2020年，超過80%的新興企業(yè)將使用云作為平臺(tái)。但GDPR將對(duì)這一產(chǎn)業(yè)造成嚴(yán)重影響。首先，GDPR對(duì)作為數(shù)據(jù)處理者的云服務(wù)商(CSP)施加了與數(shù)據(jù)控制者幾乎同等的義務(wù)和責(zé)任，例如設(shè)定數(shù)據(jù)保護(hù)官、數(shù)據(jù)泄露報(bào)告義務(wù)、數(shù)據(jù)可攜帶權(quán)，等等，即便CSP在歐盟境外亦是如此。其次，GDPR不當(dāng)介入到云計(jì)算客戶與CSP的合同關(guān)系中，限制了雙方的經(jīng)營(yíng)自由。質(zhì)言之，由于GDPR明確要求數(shù)據(jù)控制者對(duì)數(shù)據(jù)處理者的事前授權(quán)，目前常見的云服務(wù)集成、轉(zhuǎn)售業(yè)態(tài)都將面臨業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)榭刂普?云客戶)隨時(shí)可以行使反對(duì)權(quán)。[注]參見王融：“《歐盟數(shù)據(jù)保護(hù)通用條例》：十個(gè)誤解與爭(zhēng)議”，載http://www.sohu.com/a/229319518_455313，最后訪問時(shí)間：2018年9月30日。最后，GDPR默認(rèn)的數(shù)據(jù)控制者與處理者二元主體劃分不能涵蓋云計(jì)算中多樣化的業(yè)務(wù)角色，CSP的地位在IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺(tái)即服務(wù))、SaaS(軟件即服務(wù))的不同場(chǎng)景中各有差異，難以統(tǒng)一適用GDPR。[注]See Sohail Razi Khan, Luis Borges Gouvia, The implication and challenges of GDPR’s on Cloud Computing Industry, International Journal of Computer Science,Volume 5, Issue 7,2017,pp.106～110.

三、GDPR的中國(guó)應(yīng)對(duì)之道

(一)積極化解我國(guó)法律與GDPR的沖突

考慮到GDPR對(duì)于歐盟的重大意義，其后續(xù)執(zhí)法力度和持續(xù)影響不可輕忽。2 000萬歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%的重罰與長(zhǎng)臂管轄相結(jié)合，構(gòu)成了針對(duì)中國(guó)企業(yè)的真實(shí)威嚇。因此，中國(guó)政府和企業(yè)應(yīng)對(duì)GDPR保持高度關(guān)注，尤其要避免因法律沖突將中國(guó)企業(yè)陷入困境。

1.數(shù)據(jù)主體權(quán)利的法律限制問題

GDPR允許國(guó)家通過立法限制數(shù)據(jù)主體和數(shù)據(jù)控制者權(quán)利，但根據(jù)其23條“限制條款”的規(guī)定，該等限制有著嚴(yán)格條件。

一是實(shí)質(zhì)要件，即相關(guān)法律應(yīng)符合基本權(quán)利和自由的本質(zhì)，且是民主社會(huì)應(yīng)采取的必要的適當(dāng)?shù)拇胧跃S護(hù)(a)國(guó)家安全；(b)防衛(wèi)；(c)公共安全；(d)刑事犯罪的預(yù)防、調(diào)查、偵查、起訴或者刑事處罰的執(zhí)行，包括對(duì)公共安全威脅的防范和預(yù)防；(e)一般公共利益的其他重要目標(biāo)，包括經(jīng)濟(jì)或財(cái)政利益、公共衛(wèi)生或社會(huì)保障；(f)司法獨(dú)立與司法程序的保護(hù)；(g)違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查、偵查和起訴；(h)監(jiān)督、檢查或相關(guān)的監(jiān)管職能：(i)對(duì)數(shù)據(jù)主體或其他人的權(quán)利與自由的保護(hù)：(j)民事請(qǐng)求權(quán)的執(zhí)行。

二是形式要件，即任何立法措施均應(yīng)至少包括如下方面的具體措施：(a)處理的目的或處理的類別；(b)個(gè)人數(shù)據(jù)的分類；(c)限制的范圍；(d)防止濫用或非法使用或傳輸?shù)谋Ｕ洗胧?e)控制者具體情況或控制者類型；(f)存儲(chǔ)期限和適用的保障措施，且需要考慮性質(zhì)、范圍和處理的目的或分類；(g)對(duì)數(shù)據(jù)主體權(quán)利和自由產(chǎn)生的風(fēng)險(xiǎn)；(h)數(shù)據(jù)主體被告知限制的權(quán)利。

GDPR的上述規(guī)定，是基于“數(shù)據(jù)權(quán)利是一項(xiàng)基本權(quán)利”這一共識(shí)。早在2007年12月，歐盟議會(huì)、歐盟委員會(huì)就頒布了旨在保障歐盟公民權(quán)利的《歐盟基本權(quán)利憲章》，其第8條將“個(gè)人數(shù)據(jù)受保護(hù)的權(quán)利”明確列入基本的自由權(quán)中。2016年，《歐盟數(shù)字基本權(quán)利憲章》(Charter of Digital Fundamental Rights of the European Union)進(jìn)一步細(xì)化了數(shù)據(jù)權(quán)利的內(nèi)涵。作為一項(xiàng)基本權(quán)利，對(duì)數(shù)據(jù)權(quán)利的限制必須以高位階規(guī)范——法律方可作出。

但在中國(guó)，盡管《民法總則》第111條規(guī)定了“個(gè)人信息應(yīng)受法律保護(hù)”，但其權(quán)利性質(zhì)仍無定論。在實(shí)踐中，一方面通過行政法規(guī)、部門規(guī)章，甚至規(guī)范性文件限制數(shù)據(jù)權(quán)利的情形不勝枚舉，另一方面，即使通過法律加以限制，也大多缺乏形式要件。以向政府報(bào)送個(gè)人數(shù)據(jù)的法律為例，盡管《網(wǎng)絡(luò)安全法》第28條、《電子商務(wù)法》第27條均有明文，但并未規(guī)定防止濫用或非法使用或傳輸?shù)谋Ｕ洗胧?、存?chǔ)期限和適用的保障措施、對(duì)數(shù)據(jù)主體權(quán)利和自由產(chǎn)生的風(fēng)險(xiǎn)以及數(shù)據(jù)主體被告知限制的權(quán)利。因此，在企業(yè)遵守中國(guó)法律、法規(guī)、規(guī)章、規(guī)范性文件而降低個(gè)人數(shù)據(jù)的保護(hù)標(biāo)準(zhǔn)或違反其對(duì)數(shù)據(jù)主體的承諾，將難以使用GDPR第23條作為責(zé)任免除或減輕的抗辯理由。

有鑒于此，針對(duì)數(shù)據(jù)報(bào)送問題，我國(guó)宜及時(shí)立法，合理確定數(shù)據(jù)報(bào)送范圍，確立報(bào)送數(shù)據(jù)的合法性原則、比例原則、保密性原則、正當(dāng)程序原則以及相關(guān)法定程序，進(jìn)一步明確政府相關(guān)部門的數(shù)據(jù)保護(hù)義務(wù)與責(zé)任。

2.數(shù)據(jù)本地化存儲(chǔ)的問題

我國(guó)對(duì)數(shù)據(jù)本地化存儲(chǔ)的規(guī)定主要見于《網(wǎng)絡(luò)安全法》第37條，該條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。”此外，國(guó)務(wù)院2013年的《征信業(yè)管理?xiàng)l例》、衛(wèi)計(jì)委 2014年的《人口健康信息管理辦法(試行)》、中國(guó)人民銀行2011年的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》、國(guó)家新聞出版廣電總局和工業(yè)和信息化部2016年的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、交通運(yùn)輸部等部委聯(lián)合發(fā)布于2016年的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》等，都對(duì)數(shù)據(jù)本地化提出了明確要求。根據(jù)上述規(guī)定，相關(guān)數(shù)據(jù)的存儲(chǔ)、處理、訪問都必須在境內(nèi)進(jìn)行。

我國(guó)數(shù)據(jù)本地化的要求與GDPR的監(jiān)管要求存在沖突。GDPR第58條“權(quán)力”條款賦予了歐盟各監(jiān)管機(jī)構(gòu)普遍的調(diào)查權(quán)力，特別是：命令數(shù)據(jù)控制者和處理者提供監(jiān)管機(jī)構(gòu)執(zhí)行任務(wù)所需的任何信息；以數(shù)據(jù)保護(hù)審計(jì)的方式開展調(diào)查；獲得所有個(gè)人數(shù)據(jù)的訪問路徑以及執(zhí)行任務(wù)所必要的信息；獲得控制者和處理者任何資產(chǎn)的訪問路徑，包括任何數(shù)據(jù)處理設(shè)備和處理方法。一旦歐盟監(jiān)管機(jī)構(gòu)向相關(guān)中國(guó)企業(yè)發(fā)出上述命令，則中國(guó)企業(yè)不得不陷入要么違反我國(guó)數(shù)據(jù)本地化規(guī)定，要么違反歐盟監(jiān)管機(jī)構(gòu)要求的兩難。

3.跨境傳輸限制的問題

由于我國(guó)在短期內(nèi)難以達(dá)到歐盟“充分性認(rèn)定”的要求，GDRP對(duì)數(shù)據(jù)跨境傳輸?shù)南拗撇豢杀苊獾嘏c我國(guó)對(duì)中國(guó)企業(yè)及其數(shù)據(jù)的管轄權(quán)發(fā)生沖突。對(duì)此，GDPR第48條“未被歐盟法律授權(quán)的傳輸或披露”明確規(guī)定：“根據(jù)第三國(guó)法庭或?qū)徖砦瘑T會(huì)的判決和行政機(jī)構(gòu)的決定，要求控制者或處理者傳輸或披露個(gè)人數(shù)據(jù)的，當(dāng)且僅當(dāng)提出要求的第三國(guó)與歐盟或成員國(guó)存在有效的國(guó)際條約且不影響本章規(guī)定的其他傳輸依據(jù)時(shí)，判決和決定才可以被承認(rèn)或執(zhí)行?！?/p>

為此，我國(guó)政府宜積極與歐盟委員會(huì)以及歐洲各層級(jí)數(shù)據(jù)保護(hù)機(jī)構(gòu)進(jìn)行雙邊談判和磋商，推動(dòng)形成多樣化的數(shù)據(jù)跨境流動(dòng)方案，通過國(guó)際條約協(xié)定，盡快實(shí)現(xiàn)數(shù)據(jù)合理有序的跨境傳輸。

4.數(shù)據(jù)存儲(chǔ)期限的問題

GDPR第5條“與個(gè)人數(shù)據(jù)處理相關(guān)的原則”中(e)規(guī)定：“允許以數(shù)據(jù)主體可識(shí)別的形式保存數(shù)據(jù)的時(shí)間不得超過數(shù)據(jù)處理目的之必要?！边@一被稱為“存儲(chǔ)期限必要最短”(storage limitation)的原則與GDPR第17條“刪除權(quán)(被遺忘權(quán))”相結(jié)合，構(gòu)成了數(shù)據(jù)控制者對(duì)數(shù)據(jù)存儲(chǔ)的期限要求。然而，由于中國(guó)法律、法規(guī)、規(guī)章對(duì)數(shù)據(jù)存儲(chǔ)期限的強(qiáng)制性要求，個(gè)人數(shù)據(jù)可能被超過處理目的的長(zhǎng)期存儲(chǔ)，或者無法毫不遲延地回應(yīng)數(shù)據(jù)主體刪除數(shù)據(jù)的主張。例如，《電子商務(wù)法》第31條規(guī)定：“……商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年……”《征信業(yè)管理?xiàng)l例》第16條規(guī)定：“征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當(dāng)予以刪除。……”《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》第27條規(guī)定：“網(wǎng)約車平臺(tái)公司應(yīng)當(dāng)遵守國(guó)家網(wǎng)絡(luò)和信息安全有關(guān)規(guī)定，所采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當(dāng)在中國(guó)內(nèi)地存儲(chǔ)和使用，保存期限不少于2年……”

面對(duì)這一問題，我國(guó)宜及時(shí)進(jìn)行法規(guī)清理，提升法律位階，立足于公共利益，在堅(jiān)持保存期限“必要最短”的前提下，統(tǒng)一規(guī)定個(gè)人數(shù)據(jù)保存期限。同時(shí)，僅在例外情形下，才恰當(dāng)、合理地設(shè)定特殊保存期限。

(二)審慎借鑒GDPR規(guī)則

當(dāng)前我國(guó)正處于制定《個(gè)人信息保護(hù)法》的關(guān)鍵時(shí)期，如何平衡數(shù)字經(jīng)濟(jì)發(fā)展和個(gè)人信息權(quán)利之間的關(guān)系，是其首要定位問題。作為全球個(gè)人數(shù)據(jù)保護(hù)的引領(lǐng)者，GDPR不但有著豐富詳盡的規(guī)則指引，還占據(jù)了人格尊嚴(yán)和人格自由的價(jià)值制高點(diǎn)，成為多國(guó)競(jìng)相效仿的對(duì)象。但是，正如本文所揭示的，我們必須直抵其本質(zhì)，發(fā)掘其內(nèi)在的邏輯理路，權(quán)衡得失利弊，探索我國(guó)自己的發(fā)展道路。

我們應(yīng)首先認(rèn)識(shí)到：GDPR在個(gè)人數(shù)據(jù)保護(hù)與數(shù)字經(jīng)濟(jì)間的平衡遠(yuǎn)非成功。GDPR前言第2條將“加強(qiáng)歐盟內(nèi)部市場(chǎng)經(jīng)濟(jì)體融合”和“增進(jìn)自然人福祉”作為其雙重目標(biāo)，前言第4條進(jìn)一步規(guī)定：“個(gè)人數(shù)據(jù)受保護(hù)的權(quán)利并非絕對(duì)權(quán)利；還必須考慮其社會(huì)功用，并依據(jù)比例原則與其他基本權(quán)利保持平衡”，這與前述GDPR正文第1條下“個(gè)人數(shù)據(jù)保護(hù)”與“數(shù)據(jù)自由流動(dòng)”的宗旨宣示相呼應(yīng)，然而，GDPR具體規(guī)則的設(shè)計(jì)卻顯著倒向前者，雙重目標(biāo)顯著失衡了。[注]參見方禹：“GDPR前言強(qiáng)調(diào)個(gè)人信息保護(hù)與自由流動(dòng)的平衡”，載https://new.qq.com/omn/20180620/20180620A146VO.html，最后訪問時(shí)間：2018年9月30日。

這首先是因?yàn)閿?shù)據(jù)權(quán)利條款是明確和可執(zhí)行的，而例外條款是模糊和不確定的。[注]例如，GDPR第6條規(guī)定了六種數(shù)據(jù)處理合法性基礎(chǔ)，但除了“數(shù)據(jù)主體同意”外，其他如“公共利益”“數(shù)據(jù)控制者正當(dāng)利益”等尚不存在明確的指引。其次，從法理上看，實(shí)因歐盟對(duì)個(gè)人數(shù)據(jù)權(quán)利設(shè)定多基于大陸法系絕對(duì)權(quán)的進(jìn)路，其固然引入了風(fēng)險(xiǎn)概念，但并沒有根據(jù)數(shù)字經(jīng)濟(jì)業(yè)態(tài)和企業(yè)不同場(chǎng)景，進(jìn)行因地制宜地公法調(diào)整，從而與美國(guó)個(gè)人數(shù)據(jù)保護(hù)形成鮮明對(duì)照。2012年的美國(guó)《消費(fèi)者隱私權(quán)利法案》以“透明度”“尊重場(chǎng)景”“集中收集與有責(zé)利用”“安全維護(hù)”“責(zé)任界定”為核心，并規(guī)定由業(yè)界根據(jù)此綱領(lǐng)性內(nèi)容制定實(shí)施細(xì)則予以細(xì)化。[注]See Office of the Press Secretary, We Can’t Wait: Obama Administration Unveils Blueprint for a “Privacy Bill of Rights” to Protect Consumers Online, at https://obamawhitehouse.archives.gov/the-press-office/2012/02/23/we-can-t-wait-obama-administration-unveils-blueprint-privacy-bill-rights,last visited on Sep.30,2018.亦如人們廣泛比較歐盟和美國(guó)個(gè)人數(shù)據(jù)法律后所言：諸如目的限定、存儲(chǔ)期限必要最短等保護(hù)規(guī)則，美國(guó)同樣存在，但更為緩和與富有彈性。[注]See LIBE Committee, A Comparison between US and EU Data Protection Legislation for Law Enforcement, at http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf,last visited on Sep.30,2018.而在歐盟整齊劃一執(zhí)法的同時(shí)，就可能引發(fā)過分規(guī)制或規(guī)制不足的問題，甚至造成殺雞用牛刀、得不償失的結(jié)果。最后，在更深的層次上，GDRP的這一失衡，未嘗不是為了服務(wù)于歐盟保護(hù)本地企業(yè)，壓制數(shù)字經(jīng)濟(jì)先發(fā)國(guó)家的隱藏企圖。

我們還應(yīng)認(rèn)識(shí)到：在個(gè)人信息保護(hù)和數(shù)字經(jīng)濟(jì)之間，不可能有完美的中間點(diǎn)，而只有動(dòng)態(tài)均衡一途。然則，如何取舍？要言之，我們應(yīng)“執(zhí)其兩端，用其中于民”，這里的“民”就是堅(jiān)持經(jīng)濟(jì)發(fā)展以滿足人們對(duì)美好生活向往的大方向。在我國(guó)經(jīng)濟(jì)長(zhǎng)期處在新常態(tài)的背景下，數(shù)字經(jīng)濟(jì)已經(jīng)成為重要的增長(zhǎng)點(diǎn)和就業(yè)渠道。[注]2018年9月，發(fā)改委出臺(tái)《關(guān)于發(fā)展數(shù)字經(jīng)濟(jì)穩(wěn)定并擴(kuò)大就業(yè)的指導(dǎo)意見》，要求以大力發(fā)展數(shù)字經(jīng)濟(jì)促進(jìn)就業(yè)為主線，不斷拓展就業(yè)創(chuàng)業(yè)新空間，著力實(shí)現(xiàn)更高質(zhì)量和更充分就業(yè)。盡管我國(guó)數(shù)字經(jīng)濟(jì)的成就為世人矚目，但正如麥肯錫《數(shù)字中國(guó)：為經(jīng)濟(jì)帶來全球競(jìng)爭(zhēng)力》的報(bào)告所表明，美國(guó)的數(shù)字化水平仍比我國(guó)高出4.9倍，我們還有很長(zhǎng)的路要走。正因如此，在堅(jiān)持個(gè)人數(shù)據(jù)保護(hù)底線的前提下，適當(dāng)促進(jìn)數(shù)字經(jīng)濟(jì)增長(zhǎng)才是當(dāng)下我國(guó)制度選擇的“中道”。

結(jié) 語(yǔ)

2018年4月20日到21日，在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上。習(xí)近平總書記強(qiáng)調(diào)指出，要發(fā)展數(shù)字經(jīng)濟(jì)，加快推動(dòng)數(shù)字產(chǎn)業(yè)化，依靠信息技術(shù)創(chuàng)新驅(qū)動(dòng)，不斷催生新產(chǎn)業(yè)新業(yè)態(tài)新模式，用新動(dòng)能推動(dòng)新發(fā)展?？梢灶A(yù)見，在未來很長(zhǎng)時(shí)期內(nèi)，數(shù)字經(jīng)濟(jì)依然是我國(guó)的優(yōu)位目標(biāo)。我們應(yīng)洞察GDPR的經(jīng)濟(jì)實(shí)質(zhì)和對(duì)數(shù)字產(chǎn)業(yè)的不利影響，立足中國(guó)問題、堅(jiān)持中國(guó)立場(chǎng)，在我國(guó)未來制定《個(gè)人信息保護(hù)法》時(shí)應(yīng)審慎借鑒相關(guān)規(guī)則，作出符合我國(guó)長(zhǎng)遠(yuǎn)利益的制度設(shè)計(jì)。