盧光明

摘 要：隨著信息技術(shù)的發(fā)展及其在經(jīng)濟社會各領(lǐng)域的廣泛應(yīng)用，數(shù)字資源成為了與傳統(tǒng)能源一樣推動人類經(jīng)濟社會發(fā)展的基本要素。與之相伴，個人隱私保護也正成為數(shù)字經(jīng)濟時代新的社會挑戰(zhàn)。歐盟于2018年5月25日正式啟動了《通用數(shù)據(jù)保護條例》，可以說是其在個人隱私保護與促進數(shù)字經(jīng)濟健康發(fā)展方面的一次嘗試，對我國數(shù)字經(jīng)濟健康發(fā)展具有深刻的影響。我國企業(yè)，尤其是涉歐外貿(mào)企業(yè)如何積極適應(yīng)這種新的規(guī)則，保持企業(yè)自身的競爭優(yōu)勢，將是我國涉歐出口企業(yè)必需面對的問題。

關(guān)鍵詞：通用數(shù)據(jù)保護條例；個人信息保護；中歐貿(mào)易

中圖分類號：120.5099 文獻標識碼：A

Abstract： The implementation of “GDPR” in EU triggers the problems for the protection of personal information. Accompanied by the application of IT on the economy fields， business need to balance the convenience and the security problems， especially the protection of the personal information.

Key words： GDPR； personal information protection； sino-eu trade

1 引言

歐盟議會于2016年4月14日通過的《通用數(shù)據(jù)保護條例（General Data Protection Regulations）》（簡稱GDPR）于2018年5月25日在歐盟成員國內(nèi)正式生效實施。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機構(gòu)組織均受該條例的約束。中國為歐盟第二大出口市場和第一大進口來源地，該條例的實施對我國相關(guān)企業(yè)，尤其是制造企業(yè)具有較大的影響。

2 《通用數(shù)據(jù)保護條例》的使用范圍

從范圍來看，該條例的實施，即使一個主體不屬于歐盟成員國的公司（包括免費服務(wù)），只要滿足兩個條件之一的，也要遵守該條例的相關(guān)內(nèi)容。第一條是向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息；第二條是為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息，其就受到GDPR的管轄。

因此遵照該條例，從制造企業(yè)到相關(guān)的貿(mào)易公司，不管是否在歐盟實際設(shè)立辦公室，只要從事以下活動，就需要遵守GDPR的規(guī)定。其中具體包括：

（1）向歐盟公民和居民出售商品或服務(wù)的任何企業(yè)或任何組織；

（2）運營使用一定的技術(shù)手段（如Cookies）來監(jiān)控人員（其中包括歐盟境內(nèi)居民）的網(wǎng)站或者其他終端的組織或個人；

（3）雇傭任何歐盟居民的盈利或非盈利組織；

（4）收集任何可能包含歐盟公民信息數(shù)據(jù)的商業(yè)或非商業(yè)活動等。

簡而言之，如果收集任何歐盟居民的數(shù)據(jù)，那么就要遵守GDPR法規(guī)。只要企業(yè)為歐洲居民提供商品和服務(wù)，或為了商業(yè)目標，或者公益目標監(jiān)控歐洲居民的行為，就必須遵守GDPR，這與公司的辦公室或服務(wù)器是否在歐洲無關(guān)，與公司的業(yè)務(wù)特點也沒有關(guān)系。

從形式上來說，歐洲法院最近裁定，在某些情況下，動態(tài)IP地址也可視為個人數(shù)據(jù)。因此，存儲動態(tài)IP地址日志數(shù)據(jù)的網(wǎng)站的所有者也可能受GDPR的規(guī)制。如果（尤其是）為了作出與這些個人有關(guān)的決定或者為了分析或預(yù)測其個人喜好、行為和態(tài)度，而在互聯(lián)網(wǎng)上追蹤這些個人，且在此過程中使用了處理技術(shù)來形成畫像等，則構(gòu)成監(jiān)控行為，屬于該條例監(jiān)控的范圍。

3 《通用數(shù)據(jù)保護條例》的內(nèi)容

從具體內(nèi)容上來看，GDPR的獨特之處有很多，其中包括對采集數(shù)據(jù)的同意權(quán)、數(shù)據(jù)處理、數(shù)據(jù)保留、違規(guī)通知等方面嚴格的定義。條例的第七部分內(nèi)容中，規(guī)定了數(shù)據(jù)主體的權(quán)利相關(guān)權(quán)利，如刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策相關(guān)權(quán)利等內(nèi)容。

以人員雇傭中的隱私聲明、同意權(quán)和違規(guī)通知等條例形式為例，GDPR為隱私聲明、同意權(quán)和違規(guī)通知制定了全新的規(guī)定。根據(jù)現(xiàn)行規(guī)定，雇主必須為員工和相關(guān)人員提供隱私聲明。而根據(jù)GDPR，這些聲明必須具體說明數(shù)據(jù)將被保存多長時間，是否會輸出至歐盟境外，明確指出在一些特定情況下個人有權(quán)提出要求獲取或刪除相關(guān)數(shù)據(jù)的請求等方面的具體內(nèi)容。如果發(fā)生可能會構(gòu)成個人權(quán)利受損或風(fēng)險增加的數(shù)據(jù)違規(guī)事件，數(shù)據(jù)控制者必須在72小時內(nèi)通知相關(guān)數(shù)據(jù)保護監(jiān)管機構(gòu)。這無形當中增加了企業(yè)的相關(guān)成本。

根據(jù)荷蘭《個人數(shù)據(jù)保護法》（Personal Data Protection Act，DPA），“同意”是處理個人數(shù)據(jù)的六項法律依據(jù)之一。在沒有法律依據(jù)的情況下處理個人數(shù)據(jù)是不被允許的。其規(guī)定“數(shù)據(jù)主體的同意是指：數(shù)據(jù)主體依照其意愿自由作出的特定的、知情的指示。通過該指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個人數(shù)據(jù)?！贬槍Ψ梢?guī)定的不確定性，由歐洲隱私監(jiān)管機構(gòu)組成的獨立咨詢顧問機構(gòu)——工作組來做出解釋，該工作組的意見解釋了同意機制相關(guān)法律框架的相關(guān)關(guān)鍵要素，如對“同意”是否是在當事人的自由意志、充分知情的情況下做出的決定等方面的具體界定。

歐盟《一般數(shù)據(jù)保護條例》也規(guī)定，“同意”是數(shù)據(jù)處理的法律基礎(chǔ)，是數(shù)據(jù)主體的重要權(quán)利。GDPR的多個部分都提到了數(shù)據(jù)的同意機制。GDPR第4條第11款將“同意”定義為：“數(shù)據(jù)主體的同意是指，數(shù)據(jù)主體依照其意愿自由作出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為作出的該等指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個人數(shù)據(jù)?！蓖獗仨氁月暶骰蚯逦隙ǖ男袨樽鞒?。數(shù)據(jù)主體的行為是明確被要求的。例如，點擊對話框和選擇特定的技術(shù)網(wǎng)絡(luò)瀏覽器設(shè)置等。因此，預(yù)先勾選的選擇框并不構(gòu)成當事人的同意要件。根據(jù)DPA的相關(guān)規(guī)定，數(shù)據(jù)主體有權(quán)隨時撤回其同意的授權(quán)，撤回同意應(yīng)當同給出同意一樣容易。GDPR新的規(guī)定為，數(shù)據(jù)主體必須在作出同意前被告知其撤回權(quán)。此外，數(shù)據(jù)主體還必須被告知撤回不影響在撤回前基于同意對其個人數(shù)據(jù)的處理權(quán)。

對于向兒童提供信息社會服務(wù)，應(yīng)當適用特殊的同意規(guī)則。這種特殊的保護適用于，兒童的個人數(shù)據(jù)被用于市場營銷或創(chuàng)建個性/用戶模型，以及收集兒童個人數(shù)據(jù)情況等內(nèi)容。條例規(guī)定，任何信息和溝通都應(yīng)當以清晰且簡明的語言表達，使得兒童容易理解，并確保能夠理解；只有兒童年滿16周歲時，基于同意的數(shù)據(jù)處理才是合法的。如果兒童未滿該年齡，則只有在有監(jiān)護權(quán)的父母同意（或授權(quán)）的情況下，數(shù)據(jù)處理才是合法的。歐盟各成員國可以規(guī)定更低的年齡門檻，但不得低于13周歲。歐盟范圍內(nèi)的相關(guān)組織，在取得同意的基礎(chǔ)上處理兒童的個人數(shù)據(jù)時，應(yīng)了解歐盟各成員國在這方面的立法。

對于缺乏法律行為能力的其他數(shù)據(jù)主體，《GDPR荷蘭實施法案》（簡稱實施法案）規(guī)定，被接管（Curatele）或置于保護令（Mentorschap）之下的數(shù)據(jù)主體，也需要其法定代表人的同意（同意也可由法定代表人撤回）。

4 非直接采集個人數(shù)據(jù)相關(guān)注意事項

除上述信息外，如果不是直接從數(shù)據(jù)主體處收集個人數(shù)據(jù)，則數(shù)據(jù)控制者還須提供相關(guān)信息，否則就會違反條例的相關(guān)規(guī)定。條例中對具體的數(shù)據(jù)細節(jié)規(guī)定如下。

首先是相關(guān)個人數(shù)據(jù)類別；其次是個人數(shù)據(jù)的來源，以及個人數(shù)據(jù)是否來自可公開訪問的來源（如適用）。同時條例規(guī)定，這些信息必須在以下期限內(nèi)提供給數(shù)據(jù)主體，并獲得確認：

（1）獲得個人數(shù)據(jù)后的合理期限內(nèi)（最長期限為一個月）；

（2）如果數(shù)據(jù)將被用于與數(shù)據(jù)主體進行通信，則最遲在第一次通信發(fā)生時；

（3）如果預(yù)期向其他接收者披露個人數(shù)據(jù)，則最遲在該等披露之前。

如果控制者預(yù)期將出于收集個人數(shù)據(jù)的初始目的以外的其他目的進一步處理個人數(shù)據(jù)，在進行此類進一步處理之前，控制者必須向數(shù)據(jù)主體提供與該目的有關(guān)的信息，及其他有關(guān)信息。

由于GDPR將對數(shù)據(jù)控制者的現(xiàn)有信息告知義務(wù)產(chǎn)生實質(zhì)性影響，因此建議各組織機構(gòu)分析其處理活動并更新其現(xiàn)有（隱私）政策、聲明、（員工）手冊等，以遵守GDPR下的信息告知義務(wù)。此外，處理非直接從數(shù)據(jù)主體處收集的個人數(shù)據(jù)的組織機構(gòu)應(yīng)確保在合理的期限內(nèi)履行信息告知義務(wù)。

從技術(shù)層面來看，該條例對利用SaaS技術(shù)開展業(yè)務(wù)的相關(guān)企業(yè)影響較大。SaaS軟件的特性使得企業(yè)的業(yè)務(wù)信息系統(tǒng)中往往包含多個許可證和訂閱窗口，很多這樣的信息窗口可能還未使用，也未進行有效的管理，甚至被遺忘，這就需要企業(yè)有序安置各類的許可證、數(shù)據(jù)和應(yīng)用程序，并對這些信息進行全面具體的了解，確保這些信息收集方式符合新法規(guī)的要求。這就要求企業(yè)的IT、采購、合規(guī)、人力資源和法律團隊一起進行相關(guān)問題的梳理，保證能夠符合該條例的相關(guān)規(guī)范和約束。

根據(jù)相關(guān)統(tǒng)計，目前已經(jīng)有超過39，000個應(yīng)用程序可以被用來存儲個人相關(guān)數(shù)據(jù)，而且這些應(yīng)用程序都是在沒有考慮個人隱私保護的情況下開發(fā)的，很容易造成違規(guī)。因為大多數(shù)人會將注意力集中在顯形的10%左右的存儲個人數(shù)據(jù)的應(yīng)用程序，而忽視90%具有潛在風(fēng)險的應(yīng)用程序。由于企業(yè)IT團隊對整個企業(yè)使用的應(yīng)用程序情況不是特別了解，所以他們?nèi)狈赡芡{到GDPR合規(guī)性的應(yīng)用程序的總體認知，導(dǎo)致企業(yè)的無意違規(guī)事件的發(fā)生。

5 中歐貿(mào)易分析及可能發(fā)展趨勢

據(jù)歐盟統(tǒng)計局統(tǒng)計，2016年，歐盟27國（下同）貨物進出口額為38355.6億美元，比上年同期（下同）減少2.1%。其中，出口19418.6億美元，下降2.7%；進口18937.0億美元，減少1.5%。貿(mào)易順差481.6億美元，減少34.0%。

分商品看，機電產(chǎn)品、運輸設(shè)備和化工產(chǎn)品是歐盟的主要出口商品，2016年出口額分別占歐盟出口總額的25.7%、16.8%和16.0%，為4997.2億美元、3263.0億美元和3102.7億美元，分別減少1.4%、0.8%和0.6%。

歐盟自中國進口的主要商品為機電產(chǎn)品、紡織品及原料和家具玩具等，2016年進口額合計占歐盟自中國進口總額的68.6%，分別為1832.1億美元、413.6億美元和356.3億美元。這些產(chǎn)品在歐盟進口市場中分別占有24.4%、6.5%和2.7%的份額。另外，歐盟自中國進口的皮革制品；箱包減幅最為明顯，減少5.7%；而自中國進口的運輸設(shè)備有所增加，增長21.0%。

由此可見，中國出口歐盟的產(chǎn)品中大約有70%左右為制造類產(chǎn)品，而隨著信息技術(shù)的發(fā)展，制造類產(chǎn)品有逐漸增加各種傳感器件，向智能硬件發(fā)展的趨勢。隨著企業(yè)“走出去”發(fā)展，在歐盟成員國建立分公司，或建設(shè)制造基地。因此該條例的實施對我國的出口企業(yè)影響較大。

從雙方的貿(mào)易狀況來看，由于歐盟近年來內(nèi)需不足，企業(yè)競爭力發(fā)展受阻，因此雙方的貿(mào)易摩擦不斷。從技術(shù)手段來看，歐盟綜合利用了包括反傾銷措施、反補貼措施、保障措施和特殊保障措施等貿(mào)易救濟措施。同時也以維護國家安全、保護環(huán)境以及保護人類生命及健康，通過設(shè)立技術(shù)法規(guī)、技術(shù)標準和認證體系等技術(shù)貿(mào)易措施限制對外國商品的進口，該條例的發(fā)布無疑又增加了歐盟技術(shù)壁壘新的形式和手段[1]。

從目前企業(yè)的準備情況來看，企業(yè)還沒有做好相應(yīng)的準備工作。根據(jù)Ovum公司提供的調(diào)查報告顯示，52%的受訪IT決策者預(yù)計GDPR將會“導(dǎo)致他們公司受到罰款”；三分之二的受訪者認為這將“迫使他們改變歐洲業(yè)務(wù)戰(zhàn)略”；超過70%的受訪者預(yù)計會增加開支來滿足數(shù)據(jù)保護要求，同時，超過30%的受訪者預(yù)計在未來兩年預(yù)算將會增加超過10%；甚至有高達85%的受訪者認為GDPR將使其在與歐盟公司的競爭中處于劣勢[2]。

6 中國制造企業(yè)應(yīng)對《通用數(shù)據(jù)保護條例》的建議

準備好迎接新的數(shù)據(jù)監(jiān)管時代是歐盟《通用數(shù)據(jù)保護條例》實施對企業(yè)的直接影響。這項新的歐盟立法立意非常明確：數(shù)據(jù)隱私至關(guān)重要，任何想要在歐盟成員國開展業(yè)務(wù)的企業(yè)必須做好“合規(guī)”準備，否則將面臨重罰。

對于廣大與歐盟有貿(mào)易往來的企業(yè)來說，需要按照歐盟的《通用數(shù)據(jù)保護條例》，啟動企業(yè)的合規(guī)流程，以檢查企業(yè)的各個層面是否能夠滿足該條例的相關(guān)規(guī)定。由于該天理主要涉及個人隱私保護，因此需要重點考慮人力資源方面的內(nèi)容，以及市場營銷與客戶關(guān)系管理中涉及到的客戶個人數(shù)據(jù)保護。

在企業(yè)自身人力資源管理方面，企業(yè)需要根據(jù)條例的相關(guān)規(guī)定，實施新的人力資本管理解決方案，重點應(yīng)做到幾個方面的內(nèi)容。

（1）審核企業(yè)人力資源流程：企業(yè)目前如何處理人力資源相關(guān)個人數(shù)據(jù)？如企業(yè)招聘人員的信息，企業(yè)在職人員的信息，企業(yè)供應(yīng)商及其他合作伙伴的信息。公司處理涉及個人隱私等相關(guān)數(shù)據(jù)的應(yīng)用程序、流程及類別的記錄是否觸犯了條例的相關(guān)規(guī)定？

（2）企業(yè)應(yīng)準備好應(yīng)對個人權(quán)利請求—GDPR要求所有個人提交的信息獲取或刪除請求都必須在一個月內(nèi)被處理。企業(yè)現(xiàn)存的規(guī)定是否能夠做到，還存在哪些方面有爭議的地方。企業(yè)的人力資源管理系統(tǒng)應(yīng)做到對相關(guān)的個人權(quán)利請求的及時響應(yīng)，而且這種響應(yīng)流程應(yīng)該能夠滿足條例的相關(guān)規(guī)定。

（3）更新隱私聲明，確保企業(yè)的隱私聲明符合GDPR的所有規(guī)定。尤其是與相關(guān)供應(yīng)商和合作伙伴方面涉及到個人隱私方面的隱私聲明不僅要與合作伙伴進行及時溝通，而且還要符合條例的相關(guān)約束。

7 企業(yè)建立數(shù)據(jù)保護官制度

GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定數(shù)據(jù)保護官（DPO）。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO。根據(jù)企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。數(shù)據(jù)保護官的主要職責在于作為企業(yè)與主管機關(guān)、消費者之間的溝通橋梁，并監(jiān)督企業(yè)對于個人信息保護的合法遵循。企業(yè)應(yīng)確保數(shù)據(jù)保護官能履行其職務(wù)，不能因數(shù)據(jù)保護官履行職責而受到懲罰或報復(fù)。同時GDPR新規(guī)允許一名DPO同時為多個企業(yè)工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

數(shù)據(jù)保護官應(yīng)對企業(yè)數(shù)據(jù)保護狀況作出整體評估，對與業(yè)務(wù)相關(guān)的個人信息進行盤點。具體包括：評估處理一般個人信息、敏感個人信息及未成年個人信息的處理流程和存在形式；評估企業(yè)自身個人信息保護處理機制（搜集、存取、處理、傳輸及銷毀等）；評估跨歐盟境內(nèi)外的個人信息處理或傳輸時的相關(guān)事項，如辨識個人信息跨境流向、個人信息跨境處理的合法依據(jù)、個人信息傳輸機制、實地檢查機制、控制及監(jiān)測機制、評估跨組織間潛在的責任風(fēng)險及與客戶、供貨商/第三方間的責任等具體的任務(wù)。

數(shù)據(jù)保護官應(yīng)幫助企業(yè)建立起完整的數(shù)據(jù)保護體系，再與其他部門配合完成試行、落實、審查、整改與條例相關(guān)的各項流程，令管理體系不斷完善。保證數(shù)據(jù)保護體系與企業(yè)業(yè)務(wù)相結(jié)合，靈活將各種保護體系運用到實踐中。如歐盟地區(qū)企業(yè)工作人員在公共場所通過詢問消費者的方式，征求其口味、職業(yè)、消費水平、活動地點等方面的信息時，該工作人員要在做調(diào)查時應(yīng)首先取得消費者同意，并告知其搜集數(shù)據(jù)的目的以及該目的符合GDPR規(guī)范，否則這些行為將會觸犯條例的相關(guān)規(guī)定。

對互聯(lián)網(wǎng)企業(yè)來說，客戶第一次注冊成為網(wǎng)站會員的場景中也需要提供相應(yīng)的信息，在這樣的場景中，企業(yè)應(yīng)按照條例的規(guī)定，首先告知客戶相關(guān)事項，不能夠誤導(dǎo)消費者。如誰在搜集個人信息、搜集該信息的原因和理由，誰會接受該信息，相關(guān)信息會如何處理，是否會將該信息傳遞至歐盟境外、信息的存儲時間、信息點使用范圍等。

除了對數(shù)據(jù)保護官進行界定外，GDPR引入了具體術(shù)語來定義組織內(nèi)的相關(guān)角色和責任，包括數(shù)據(jù)控制員（Data Controller）、數(shù)據(jù)處理員（Data Processor）等角色和職責。其中數(shù)據(jù)控制員定義了個人數(shù)據(jù)的處理方式和目的，此外，控制員還負責確保外部承包商能夠遵守相關(guān)規(guī)定。

數(shù)據(jù)處理員可以是維護和處理個人數(shù)據(jù)記錄的內(nèi)部團體（如業(yè)務(wù)分析師或開發(fā)商的直接雇員），也可以是執(zhí)行全部或部分這些活動的任何外部服務(wù)提供商（如信用評級機構(gòu)等）。GDPR新規(guī)要求數(shù)據(jù)處理員為違規(guī)和不遵守規(guī)定的行為負責。這就是說，即便事故責任完全在負責數(shù)據(jù)處理的合作伙伴一方（如云服務(wù)提供商等），公司和該合作伙伴也會因連帶責任，而可能會同時受到處罰。

參考文獻

[1] 牟嵐，艾莘凱.中歐貿(mào)易發(fā)展現(xiàn)狀與問題分析[J].國經(jīng)貿(mào)導(dǎo)刊，2013年第35期，15-17.

[2] http：//www.aqniu.com/learn/30670.html.