王 達(dá)，伍旭川

一、歐盟出臺(tái)《條例》的背景

一是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施升級(jí)和技術(shù)進(jìn)步使歐盟個(gè)人數(shù)據(jù)保護(hù)面臨新情況。近年來(lái)，智能手機(jī)和移動(dòng)互聯(lián)網(wǎng)迅速普及，個(gè)人在使用移動(dòng)互聯(lián)網(wǎng)便捷服務(wù)時(shí)，也在互聯(lián)網(wǎng)上留下了大量個(gè)人隱私數(shù)據(jù)。互聯(lián)網(wǎng)企業(yè)在全面掌控和利用個(gè)人數(shù)據(jù)進(jìn)行深加工的過(guò)程中，往往會(huì)觸碰侵犯?jìng)€(gè)人隱私權(quán)的法律底線。此外，個(gè)人數(shù)據(jù)信息不僅具有重要的商業(yè)價(jià)值，其跨國(guó)流動(dòng)還可能對(duì)國(guó)家安全構(gòu)成重大威脅。因此，此次歐盟出臺(tái)《條例》既有加強(qiáng)個(gè)人隱私權(quán)保護(hù)的考慮，也是維護(hù)自身國(guó)家安全的需要。

二是全球互聯(lián)網(wǎng)產(chǎn)業(yè)競(jìng)爭(zhēng)格局的變化對(duì)歐盟提出了新挑戰(zhàn)。目前，美國(guó)和中國(guó)是全球互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展“第一梯隊(duì)”成員，歐盟國(guó)家以及日本等傳統(tǒng)制造業(yè)強(qiáng)國(guó)則相對(duì)落后。在全球排名前20的互聯(lián)網(wǎng)公司中，基本上都是美國(guó)和中國(guó)企業(yè)。社交媒體和搜索服務(wù)等基礎(chǔ)應(yīng)用方面，歐盟市場(chǎng)幾乎被以谷歌公司為代表的美國(guó)企業(yè)壟斷。網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面，歐盟也處于相對(duì)弱勢(shì)的地位。在此背景下，歐盟選擇通過(guò)加強(qiáng)個(gè)人數(shù)據(jù)權(quán)利保護(hù)的方式提高互聯(lián)網(wǎng)產(chǎn)業(yè)的競(jìng)爭(zhēng)力和話語(yǔ)權(quán)。

三是歐盟建立統(tǒng)一數(shù)據(jù)規(guī)則參與全球數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)的新舉措。近年來(lái)，歐盟試圖統(tǒng)一其成員國(guó)個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，從而建立統(tǒng)一的歐洲數(shù)據(jù)市場(chǎng)。長(zhǎng)期以來(lái)，歐盟各成員國(guó)的個(gè)人數(shù)據(jù)立法標(biāo)準(zhǔn)存在巨大差異，不利于歐盟統(tǒng)一數(shù)據(jù)市場(chǎng)的形成?！稐l例》的出臺(tái)有利于歐盟形成一致的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，不僅有利于推動(dòng)歐盟成員國(guó)自身大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，還能提高歐盟在與美國(guó)和中國(guó)等數(shù)據(jù)大國(guó)博弈中的話語(yǔ)權(quán)。

值得注意的是，《條例》并非是歐盟加強(qiáng)個(gè)人數(shù)據(jù)信息保護(hù)的首部法律，而是對(duì)其1995年頒布的《個(gè)人數(shù)據(jù)保護(hù)指令》（簡(jiǎn)稱(chēng)“95指令”）的修改和拓展。“95指令”為歐盟成員國(guó)立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)，也由此成為20世紀(jì)90年代發(fā)達(dá)國(guó)家個(gè)人數(shù)據(jù)隱私保護(hù)法律的標(biāo)桿。然而，隨著互聯(lián)網(wǎng)技術(shù)的普及，個(gè)人數(shù)據(jù)的種類(lèi)和數(shù)量呈指數(shù)級(jí)增長(zhǎng)，“95指令”在保護(hù)個(gè)人數(shù)據(jù)信息安全方面的有效性日益下降。歐盟《條例》從諸多方面對(duì)“95指令”進(jìn)行了重大更新。例如，其法律適用范圍突破了國(guó)家（地域）的限制，根據(jù)數(shù)據(jù)分布來(lái)認(rèn)定，即《條例》對(duì)那些向歐盟用戶提供互聯(lián)網(wǎng)服務(wù)的境外企業(yè)同樣具有法律效力；《條例》對(duì)企業(yè)數(shù)據(jù)安全的內(nèi)控和監(jiān)管提出了更為嚴(yán)格的標(biāo)準(zhǔn)和操作原則；《條例》也對(duì)個(gè)人數(shù)據(jù)權(quán)利進(jìn)行了拓展，首次明確了被遺忘權(quán)、刪除權(quán)以及可攜帶權(quán)等個(gè)人數(shù)據(jù)權(quán)利。

二、《條例》的主要內(nèi)容

（一）全面加強(qiáng)個(gè)人數(shù)據(jù)權(quán)利

一是重新定義個(gè)人數(shù)據(jù)授權(quán)?！稐l例》規(guī)定，數(shù)據(jù)主體授權(quán)必須是在其被告知的情況下自愿做出的確定性表示。數(shù)據(jù)授權(quán)須包含四個(gè)要素：（1）數(shù)據(jù)控制者保證數(shù)據(jù)主體的授權(quán)僅被用于已明確說(shuō)明的特定目的；（2）其他事項(xiàng)的授權(quán)必須與書(shū)面授權(quán)相區(qū)分；（3）數(shù)據(jù)主體的授權(quán)在法律上不具備永久效力，可隨時(shí)撤回；（4）數(shù)據(jù)主體的緘默不構(gòu)成完整的數(shù)據(jù)使用授權(quán)。由此可見(jiàn)，《條例》極大加強(qiáng)了數(shù)據(jù)主體對(duì)自身數(shù)據(jù)的控制力。

二是明確定義了被遺忘權(quán)、刪除權(quán)以及可攜帶權(quán)。刪除權(quán)是指數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個(gè)人數(shù)據(jù)以及避免其個(gè)人數(shù)據(jù)被傳播?？蓴y帶權(quán)指數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者索取本人數(shù)據(jù)并自主決定使用用途。同時(shí)，只要數(shù)據(jù)主體已向數(shù)據(jù)控制者進(jìn)行了授權(quán)，數(shù)據(jù)主體有權(quán)將其自身數(shù)據(jù)轉(zhuǎn)移到其他系統(tǒng)，數(shù)據(jù)控制者不得以任何借口或理由阻礙數(shù)據(jù)主體行使數(shù)據(jù)轉(zhuǎn)移權(quán)。這意味著個(gè)人能夠像管理金融資產(chǎn)一樣對(duì)自身數(shù)據(jù)進(jìn)行有效管理，從而更好地維護(hù)個(gè)人隱私。

三是對(duì)涉及特殊風(fēng)險(xiǎn)的數(shù)據(jù)做出了處理規(guī)定。《條例》對(duì)個(gè)人具有重大影響的數(shù)據(jù)設(shè)置了數(shù)據(jù)保護(hù)影響評(píng)估條款。《條例》明確規(guī)定，數(shù)據(jù)控制者必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估并采取數(shù)據(jù)保護(hù)措施，從而最大程度上降低數(shù)據(jù)處理可能給數(shù)據(jù)主體帶來(lái)的風(fēng)險(xiǎn)，保護(hù)數(shù)據(jù)主體的權(quán)利。

四是規(guī)定數(shù)據(jù)主體擁有申請(qǐng)司法救濟(jì)和賠償?shù)臋?quán)利。為更好地保護(hù)相關(guān)數(shù)據(jù)主體的權(quán)利，《條例》規(guī)定，數(shù)據(jù)主體擁有以下基本權(quán)利：向監(jiān)管機(jī)構(gòu)提出異議的權(quán)利、對(duì)監(jiān)管決定申請(qǐng)司法救濟(jì)的權(quán)利以及對(duì)數(shù)據(jù)控制者的違規(guī)行為申請(qǐng)司法救濟(jì)的權(quán)利。《條例》明確規(guī)定，相關(guān)數(shù)據(jù)主體有權(quán)要求監(jiān)管機(jī)構(gòu)在規(guī)定時(shí)限內(nèi)對(duì)違規(guī)侵害數(shù)據(jù)的行為進(jìn)行調(diào)查；如數(shù)據(jù)監(jiān)管機(jī)構(gòu)調(diào)查不力，數(shù)據(jù)主體有權(quán)向法院提起訴訟。

（二）明確相關(guān)主體的安全保護(hù)責(zé)任

一是明確了數(shù)據(jù)處理者（data processor）的法律責(zé)任。與數(shù)據(jù)控制者不同的是，數(shù)據(jù)處理者僅負(fù)責(zé)使用特定的方法對(duì)數(shù)據(jù)進(jìn)行分析而不參與數(shù)據(jù)搜集和具體使用環(huán)節(jié)。因此，原則上數(shù)據(jù)處理者與數(shù)據(jù)主體并不產(chǎn)生直接關(guān)聯(lián)。盡管如此，《條例》仍將其納入了監(jiān)管范疇并明確規(guī)定，數(shù)據(jù)處理者必須在《條例》的框架下切實(shí)履行保護(hù)數(shù)據(jù)主體個(gè)人隱私權(quán)利不受侵犯的責(zé)任。

二是創(chuàng)設(shè)了企業(yè)數(shù)據(jù)保護(hù)專(zhuān)員制度。為提高企業(yè)數(shù)據(jù)處理效率，強(qiáng)化數(shù)據(jù)保護(hù)責(zé)任與意識(shí)，《條例》首次創(chuàng)設(shè)了數(shù)據(jù)保護(hù)專(zhuān)員（DPO）制度。數(shù)據(jù)保護(hù)專(zhuān)員是企業(yè)內(nèi)部專(zhuān)職負(fù)責(zé)數(shù)據(jù)保護(hù)的人員。其職責(zé)主要體現(xiàn)在兩個(gè)方面，一是與數(shù)據(jù)主體進(jìn)行溝通，查找企業(yè)數(shù)據(jù)管理可能存在的問(wèn)題并及時(shí)進(jìn)行整改；二是對(duì)企業(yè)是否違反《條例》的相關(guān)規(guī)定進(jìn)行自我監(jiān)督，并與數(shù)據(jù)監(jiān)管機(jī)構(gòu)開(kāi)展合作。

三是規(guī)定了企業(yè)采集數(shù)據(jù)時(shí)必須履行告知義務(wù)。《條例》規(guī)定，企業(yè)作為數(shù)據(jù)控制者，必須在事前數(shù)據(jù)采集和事后數(shù)據(jù)泄漏兩個(gè)環(huán)節(jié)履行明確的告知義務(wù)。尤其是在發(fā)生數(shù)據(jù)泄漏事件時(shí)，數(shù)據(jù)控制者須根據(jù)事態(tài)的嚴(yán)重程度，立即或在72小時(shí)之內(nèi)上報(bào)數(shù)據(jù)監(jiān)管機(jī)構(gòu)并告知相關(guān)數(shù)據(jù)主體。與此同時(shí)，數(shù)據(jù)控制者還負(fù)有協(xié)助相關(guān)個(gè)體采取必要措施降低潛在負(fù)面影響的責(zé)任。

四是提出了個(gè)人數(shù)據(jù)保護(hù)的缺省原則。《條例》規(guī)定，數(shù)據(jù)控制者除了采取必要的技術(shù)手段和制度條款以保證其業(yè)務(wù)經(jīng)營(yíng)符合《條例》對(duì)數(shù)據(jù)隱私保護(hù)的要求外，其數(shù)據(jù)保護(hù)還應(yīng)當(dāng)滿足兩個(gè)默認(rèn)的基本原則，即數(shù)據(jù)采集與數(shù)據(jù)使用目的一一對(duì)應(yīng)原則以及數(shù)據(jù)采集（范圍、數(shù)量、時(shí)間、接觸主體等）最小化原則。

（三）完善數(shù)據(jù)資源的監(jiān)管機(jī)制

一是優(yōu)化監(jiān)管機(jī)制。從立法層級(jí)上看，《條例》的法律效力優(yōu)于歐盟成員國(guó)的國(guó)內(nèi)法，從而為統(tǒng)一歐盟數(shù)據(jù)監(jiān)管規(guī)則奠定了法律基礎(chǔ)?！稐l例》提出了“一站式（one-stop-shop）”監(jiān)管原則，即數(shù)據(jù)控制者與處理者的主營(yíng)機(jī)構(gòu)所在國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)依據(jù)《條例》承擔(dān)主要監(jiān)管責(zé)任；不同成員國(guó)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)與主營(yíng)機(jī)構(gòu)所在國(guó)的監(jiān)管機(jī)構(gòu)開(kāi)展監(jiān)管合作，共同實(shí)施有效數(shù)據(jù)監(jiān)管。這一監(jiān)管模式不僅明確了各成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)的管轄權(quán)，而且消除了監(jiān)管真空并有效降低了企業(yè)的合規(guī)成本。

二是強(qiáng)化集中監(jiān)管。歐盟《條例》最為突出的特點(diǎn)之一便是全面強(qiáng)化了對(duì)數(shù)據(jù)的集中統(tǒng)一監(jiān)管。因此，在監(jiān)管制度設(shè)計(jì)方面，歐盟增設(shè)了數(shù)據(jù)保護(hù)理事會(huì)（European Data Protection Board），并從法律上將該理事會(huì)確認(rèn)為歐盟最高數(shù)據(jù)監(jiān)管機(jī)構(gòu)?！稐l例》規(guī)定，歐盟數(shù)據(jù)保護(hù)理事會(huì)直接對(duì)歐盟委員會(huì)負(fù)責(zé)，具有完全的獨(dú)立性。

三是加大對(duì)數(shù)據(jù)違法違規(guī)行為的處罰力度。《條例》對(duì)各國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)的檢查權(quán)、執(zhí)法權(quán)、處罰權(quán)以及司法訴訟權(quán)進(jìn)行了明確界定。與1995年出臺(tái)的《個(gè)人數(shù)據(jù)保護(hù)指令》所不同的是，《條例》明顯加大了處罰力度——無(wú)論數(shù)據(jù)違規(guī)行為是否主觀故意，都將面臨嚴(yán)厲的處罰和巨額的罰金。根據(jù)《條例》的相關(guān)規(guī)定，在歐盟境內(nèi)違規(guī)的公司最高將面臨其全年經(jīng)營(yíng)額4%的罰款。這對(duì)于谷歌公司和蘋(píng)果公司這樣級(jí)別的跨國(guó)集團(tuán)而言，一旦其在歐盟范圍內(nèi)數(shù)據(jù)違規(guī)，無(wú)疑將面臨“天價(jià)”處罰。

四是完善數(shù)據(jù)跨境轉(zhuǎn)移監(jiān)管規(guī)則?！稐l例》規(guī)定，歐盟數(shù)據(jù)傳輸?shù)哪康膰?guó)（接受?chē)?guó)）必須具備完善的個(gè)人數(shù)據(jù)保護(hù)法律，其數(shù)據(jù)監(jiān)管機(jī)構(gòu)必須能夠切實(shí)履行保護(hù)歐盟數(shù)據(jù)主體數(shù)據(jù)權(quán)利的職責(zé)，并且具備完備的司法救濟(jì)體系。當(dāng)然《條例》也留下了一條“特殊通道”，即只要是經(jīng)歐盟評(píng)估認(rèn)定的數(shù)據(jù)保護(hù)充分的國(guó)家也可以成為歐盟數(shù)據(jù)傳輸?shù)哪康膰?guó)。

三、《條例》的社會(huì)影響及其評(píng)價(jià)

（一）為全球個(gè)人隱私數(shù)據(jù)保護(hù)樹(shù)立新標(biāo)桿

事實(shí)上，自2010年以來(lái)，歐盟一直致力于重構(gòu)其個(gè)人數(shù)據(jù)保護(hù)法律體系，《條例》是這一努力的最終成果。歐盟《條例》的標(biāo)志性特色在于將個(gè)人數(shù)據(jù)的保護(hù)納入基本的人權(quán)范疇，對(duì)以盈利為目的數(shù)據(jù)存儲(chǔ)和使用行為劃定了界限，并對(duì)涉嫌侵犯?jìng)€(gè)人隱私的行為制定了嚴(yán)厲的制裁措施。因此，《條例》是迄今為止，主要發(fā)達(dá)經(jīng)濟(jì)體通過(guò)的最嚴(yán)厲的一部保護(hù)個(gè)人數(shù)據(jù)隱私的法律，為全球個(gè)人數(shù)據(jù)保護(hù)樹(shù)立了新的標(biāo)桿。其立法思路和體系化的保護(hù)措施對(duì)各國(guó)數(shù)據(jù)保護(hù)立法都產(chǎn)生了重要影響。一方面，《條例》對(duì)保護(hù)歐盟國(guó)家的個(gè)人隱私和數(shù)據(jù)安全起到了重要作用；另一方面，任何進(jìn)入歐盟國(guó)家開(kāi)展數(shù)據(jù)業(yè)務(wù)的企業(yè)都必須遵守《條例》的規(guī)定，這客觀上要求其他國(guó)家也需要采取與歐盟標(biāo)準(zhǔn)相近的數(shù)據(jù)保護(hù)措施，從而獲得對(duì)等地位。這在客觀上對(duì)全球個(gè)人隱私數(shù)據(jù)保護(hù)起到了積極推動(dòng)作用。

（二）開(kāi)創(chuàng)了與美國(guó)個(gè)人隱私保護(hù)不同的新模式

歐盟《條例》在隱私保護(hù)理念、立法模式以及法律內(nèi)容等方面都與美國(guó)存在顯著差異。從理念上看，在美國(guó)，公民隱私權(quán)并不在憲法保護(hù)的基本人權(quán)之列。除相關(guān)法律法規(guī)明確禁止之外，美國(guó)公民的個(gè)人信息可以被存儲(chǔ)和使用。反之，歐盟則將公民的隱私權(quán)劃歸為最基本的人權(quán)保護(hù)范疇。因此，在隱私權(quán)保護(hù)方面，歐盟走在了世界前列。從立法模式上看，歐盟實(shí)行集中統(tǒng)一立法模式，對(duì)全體公民的個(gè)人隱私數(shù)據(jù)采取統(tǒng)一的司法保護(hù)；而美國(guó)則采取典型的分類(lèi)保護(hù)模式，從不同行業(yè)的特點(diǎn)、數(shù)據(jù)保護(hù)的目的和手段等因素出發(fā)，分別執(zhí)行不同的數(shù)據(jù)保護(hù)。在法律內(nèi)容上，美國(guó)不同的法律對(duì)“個(gè)人數(shù)據(jù)”有不同的界定，美國(guó)給予新公司相對(duì)自由的權(quán)利，使其能夠嘗試各種新型數(shù)據(jù)處理方法或者發(fā)現(xiàn)新的路徑以規(guī)避隱私法律；而以《條例》為代表的歐盟隱私保護(hù)法則具有廣泛的適用性和靈活性，而且明確規(guī)定企業(yè)必須得到數(shù)據(jù)主體的同意，才可以收集和處理與個(gè)人敏感信息相關(guān)的數(shù)據(jù)?？梢哉f(shuō)，歐盟的個(gè)人隱私保護(hù)法為尋求完善數(shù)據(jù)立法的各國(guó)提供了良好的參照和范本。

（三）新的數(shù)據(jù)賦權(quán)具有“雙刃劍”效應(yīng)

歐盟《條例》賦予數(shù)據(jù)主體擁有對(duì)自身數(shù)據(jù)的被遺忘權(quán)和刪除權(quán)，這被視為加強(qiáng)個(gè)人隱私保護(hù)的亮點(diǎn)。然而，新的數(shù)據(jù)賦權(quán)在加強(qiáng)個(gè)人數(shù)據(jù)主體權(quán)利的同時(shí)，也產(chǎn)生了負(fù)面影響。首先，在法律意義上數(shù)據(jù)權(quán)利主客體之間的邊界并不明晰，這無(wú)疑增加了互聯(lián)網(wǎng)企業(yè)被訴的風(fēng)險(xiǎn)。例如，被遺忘權(quán)的權(quán)利主體是否包括具有刑事定罪前科的自然人或商人界定不明確；內(nèi)部搜索引擎是否為信息控制者沒(méi)有明顯界定。此外，被遺忘權(quán)的非現(xiàn)實(shí)性導(dǎo)致循環(huán)訴訟增加。由于信息一旦上傳網(wǎng)絡(luò)，將難以根本消除，即使原始鏈接被刪除，網(wǎng)絡(luò)上仍將充斥著大量轉(zhuǎn)載和重新發(fā)布的信息。因此，相關(guān)互聯(lián)網(wǎng)企業(yè)不得不花費(fèi)大量人力物力持續(xù)不斷地關(guān)注和刪除新出現(xiàn)的相同信息，并不得不面對(duì)循環(huán)訴訟。例如，2014～2017年間，谷歌公司收到了超過(guò)70萬(wàn)條“刪帖”申請(qǐng)，并“自掏腰包”刪除了將近90萬(wàn)條網(wǎng)絡(luò)鏈接。然而，歐盟的《條例》卻并未就互聯(lián)網(wǎng)公司的成本補(bǔ)償機(jī)制做出明確說(shuō)明。

四、對(duì)我國(guó)的啟示及政策建議

（一）全面提高數(shù)據(jù)收集與處理活動(dòng)透明度

從全球范圍看，加強(qiáng)大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)是不可逆轉(zhuǎn)的潮流。盡管在個(gè)人數(shù)據(jù)隱私保護(hù)的理念、立法模式以及法律內(nèi)容等方面，歐盟與美國(guó)存在顯著差別。但二者的共同之處在于，都強(qiáng)調(diào)公民個(gè)人數(shù)據(jù)收集與處理活動(dòng)的透明性。這應(yīng)當(dāng)成為我國(guó)完善個(gè)人數(shù)據(jù)隱私保護(hù)立法的首要原則。具體而言，企業(yè)收集、處理個(gè)人信息須經(jīng)數(shù)據(jù)主體明確授權(quán)；企業(yè)或組織采集個(gè)人數(shù)據(jù)時(shí)，必須以適當(dāng)方式說(shuō)明數(shù)據(jù)使用目的、應(yīng)用情境以及潛在的風(fēng)險(xiǎn)情況；在應(yīng)用情境發(fā)生變化時(shí)，數(shù)據(jù)采集方必須進(jìn)行突出說(shuō)明。在此基礎(chǔ)上，全面提高個(gè)人數(shù)據(jù)收集與處理活動(dòng)的透明度、保障數(shù)據(jù)主體的知情權(quán)和隱私權(quán)。我國(guó)于2017年12月頒布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（簡(jiǎn)稱(chēng)《安全規(guī)范》）首次從國(guó)家技術(shù)標(biāo)準(zhǔn)的層面提出了個(gè)人數(shù)據(jù)采集的規(guī)范，其中對(duì)數(shù)據(jù)采集的透明度進(jìn)行了明確規(guī)定。應(yīng)當(dāng)在此基礎(chǔ)上進(jìn)一步加快相關(guān)立法工作，盡快出臺(tái)適合我國(guó)國(guó)情的個(gè)人數(shù)據(jù)保護(hù)法律法規(guī)。

（二）明確界定相關(guān)數(shù)據(jù)主體的權(quán)利與責(zé)任

數(shù)據(jù)確權(quán)是保障個(gè)人隱私和促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的法律基礎(chǔ)。對(duì)于數(shù)據(jù)主體而言，應(yīng)當(dāng)借鑒歐盟立法經(jīng)驗(yàn)，明確賦予數(shù)據(jù)主體知情權(quán)、數(shù)據(jù)獲取權(quán)、修改權(quán)以及攜帶權(quán)等基本權(quán)利，對(duì)于《條例》開(kāi)創(chuàng)的個(gè)人數(shù)據(jù)被遺忘權(quán)和刪除權(quán)，則應(yīng)當(dāng)根據(jù)我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展以及個(gè)人隱私保護(hù)的需要認(rèn)真研究制定執(zhí)行細(xì)則。對(duì)于數(shù)據(jù)使用主體，應(yīng)當(dāng)明確其保護(hù)個(gè)人隱私和數(shù)據(jù)安全的法律責(zé)任，要求其采取必要的技術(shù)和管理措施全面加強(qiáng)數(shù)據(jù)保護(hù)。應(yīng)當(dāng)借鑒歐盟的經(jīng)驗(yàn)，一是引入數(shù)據(jù)泄露通知制度。當(dāng)發(fā)生個(gè)人數(shù)據(jù)泄露等重大風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)保管方必須及時(shí)向監(jiān)管機(jī)構(gòu)上報(bào)，通知并配合數(shù)據(jù)主體采取妥善措施降低潛在的負(fù)面影響，并為此承擔(dān)法律責(zé)任。二是確立隱私保護(hù)的缺省原則——數(shù)據(jù)采集最小化原則。即企業(yè)僅采集、保存和使用與其開(kāi)展特定業(yè)務(wù)直接相關(guān)的個(gè)人數(shù)據(jù)，并確保數(shù)據(jù)在最小范圍內(nèi)流轉(zhuǎn)使用。三是數(shù)據(jù)保管方在委托第三方進(jìn)行數(shù)據(jù)處理或分享數(shù)據(jù)的，數(shù)據(jù)使用主體應(yīng)當(dāng)履行監(jiān)督義務(wù)并承擔(dān)相應(yīng)法律責(zé)任。

（三）做好個(gè)人隱私權(quán)與企業(yè)發(fā)展權(quán)的平衡

從歐盟《條例》頒布實(shí)施后所產(chǎn)生的社會(huì)影響上來(lái)看，大數(shù)據(jù)時(shí)代加強(qiáng)個(gè)人數(shù)據(jù)隱私保護(hù)的法律設(shè)定應(yīng)當(dāng)考慮權(quán)利平衡原則。從微觀層面看，應(yīng)當(dāng)維持個(gè)人數(shù)據(jù)的被遺忘權(quán)和刪除權(quán)、企業(yè)發(fā)展權(quán)和社會(huì)責(zé)任之間的平衡。從宏觀層面看，維護(hù)國(guó)家數(shù)據(jù)安全、鼓勵(lì)互聯(lián)網(wǎng)技術(shù)創(chuàng)新和培育互聯(lián)網(wǎng)產(chǎn)業(yè)的全球競(jìng)爭(zhēng)力也需要平衡。公民隱私數(shù)據(jù)保護(hù)應(yīng)當(dāng)“有理、有利、有度”，不應(yīng)以犧牲互聯(lián)網(wǎng)企業(yè)的利益和整體產(chǎn)業(yè)發(fā)展為代價(jià)。為個(gè)人隱私數(shù)據(jù)提供司法保護(hù)時(shí)，也應(yīng)建立和完善對(duì)互聯(lián)網(wǎng)企業(yè)的司法和行政救濟(jì)體系，從而平衡好雙方利益，促進(jìn)我國(guó)互聯(lián)網(wǎng)行業(yè)健康持續(xù)發(fā)展。這一點(diǎn)在2017年12月頒布的《安全規(guī)范》中并未進(jìn)行明確的界定，學(xué)術(shù)界和司法界還應(yīng)當(dāng)在借鑒國(guó)際經(jīng)驗(yàn)的基礎(chǔ)上，從培育我國(guó)數(shù)字產(chǎn)業(yè)長(zhǎng)期可持續(xù)發(fā)展和提升人民生活幸福感的高度，做好平衡個(gè)人隱私權(quán)與企業(yè)發(fā)展權(quán)的法律制度設(shè)計(jì)。

（四）從嚴(yán)監(jiān)管數(shù)據(jù)分析活動(dòng)和跨境數(shù)據(jù)轉(zhuǎn)移

大數(shù)據(jù)分析是挖掘數(shù)據(jù)價(jià)值、發(fā)展數(shù)字經(jīng)濟(jì)的必要手段。然而，不受法律約束的大數(shù)據(jù)分析，既有可能侵犯公民個(gè)人隱私權(quán)，也有可能為國(guó)家數(shù)據(jù)安全帶來(lái)隱患。因此，我國(guó)應(yīng)參考?xì)W盟《條例》的相關(guān)規(guī)定，對(duì)相關(guān)企業(yè)使用個(gè)人隱私數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析的行為進(jìn)行規(guī)范和監(jiān)管。尤其是當(dāng)企業(yè)將大數(shù)據(jù)分析用于評(píng)估個(gè)人特定方面（如信用評(píng)估）時(shí)，其評(píng)估結(jié)果可能對(duì)個(gè)人產(chǎn)生法律效果或重大影響。故而應(yīng)當(dāng)賦予個(gè)人數(shù)據(jù)主體不受其評(píng)估結(jié)果約束的權(quán)利。我國(guó)從“數(shù)據(jù)大國(guó)”向“數(shù)字強(qiáng)國(guó)”邁進(jìn)的過(guò)程中，維護(hù)數(shù)據(jù)主權(quán)至關(guān)重要，應(yīng)借鑒歐盟經(jīng)驗(yàn)，構(gòu)建符合我國(guó)特殊國(guó)情的跨境數(shù)據(jù)傳輸審查和安全評(píng)估機(jī)制，對(duì)個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移實(shí)施嚴(yán)格監(jiān)管，切實(shí)維護(hù)公民個(gè)人隱私和國(guó)家數(shù)據(jù)安全。