文/劉權(quán)

近日，歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）將正式生效。GDPR序言共173條，正文分為11章99條。歷經(jīng)多年商討的GDPR新條例的實(shí)施，意味著歐盟的數(shù)據(jù)保護(hù)水平將達(dá)到前所未有的高度。堪稱世界史上最嚴(yán)格的數(shù)據(jù)保護(hù)法律，必將對(duì)未來(lái)全球數(shù)字經(jīng)濟(jì)產(chǎn)生深遠(yuǎn)影響。

GDPR即將生效，中國(guó)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《信息規(guī)范》）也于2018年5月1日起實(shí)施。

國(guó)內(nèi)一些企業(yè)長(zhǎng)期缺乏規(guī)則意識(shí)，可能并沒(méi)有嘗到應(yīng)有的苦果。由于多種因素導(dǎo)致的執(zhí)法不嚴(yán)、違法不究的情形，一旦到了國(guó)外可能就不靈。企業(yè)的不合規(guī)經(jīng)營(yíng)行為，一旦被其他國(guó)家政府發(fā)現(xiàn)追究起來(lái)，處以巨額罰款或禁止業(yè)務(wù)往來(lái)，可能是滅頂之災(zāi)。特別是在近幾年全球貿(mào)易保護(hù)主義似乎有所抬頭的新時(shí)代背景下，企業(yè)不合規(guī)經(jīng)營(yíng)，必將產(chǎn)生數(shù)年甚至永遠(yuǎn)難以消化的“惡果”。

面對(duì)即將落下的GDPR利劍，全球數(shù)字經(jīng)濟(jì)企業(yè)需要積極應(yīng)對(duì)，努力減少合規(guī)風(fēng)險(xiǎn)，防止入“罪”被“罰”。各國(guó)政府也需要積極擔(dān)當(dāng)作為，為本國(guó)數(shù)字經(jīng)濟(jì)企業(yè)的海外發(fā)展保駕護(hù)航。

G DPR一大“殺手锏”：重罰

除了擴(kuò)大個(gè)人數(shù)據(jù)的保護(hù)范圍、賦予數(shù)據(jù)主體一系列強(qiáng)大的權(quán)利外，GDPR有兩大“殺手锏”：一是設(shè)定了重罰；二是確立了“長(zhǎng)臂”管轄原則。

對(duì)于數(shù)據(jù)處理的違法行為，GDPR主要設(shè)定兩個(gè)等級(jí)的處罰。第一等級(jí)最高可處以1000萬(wàn)歐元，或上一財(cái)年全球營(yíng)業(yè)額2%的行政處罰，以較高者為準(zhǔn)。如果根據(jù)全球營(yíng)業(yè)額進(jìn)行處罰，在地域上是全球范圍內(nèi)，而非在歐盟境內(nèi)的營(yíng)業(yè)額；在基數(shù)上，是全球營(yíng)業(yè)額（annual turnover），而非全球凈利潤(rùn)。該等級(jí)的處罰究竟適用哪些情形，GDPR第83條第4款規(guī)定三大類數(shù)據(jù)違法行為：第一，數(shù)據(jù)控制者與處理者沒(méi)有盡到相應(yīng)數(shù)據(jù)保護(hù)義務(wù)。譬如未實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施、未盡職責(zé)保持?jǐn)?shù)據(jù)處理活動(dòng)的記錄、沒(méi)有及時(shí)向監(jiān)管機(jī)構(gòu)通知數(shù)據(jù)已泄露、未進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估等；第二，沒(méi)有對(duì)數(shù)據(jù)保護(hù)認(rèn)證組織履行義務(wù)；第三，沒(méi)有對(duì)監(jiān)管部門履行義務(wù)。

針對(duì)嚴(yán)重違法的數(shù)據(jù)處理行為，GDPR設(shè)定了第二等級(jí)的行政處罰：最高可處以2000萬(wàn)歐元，或上一財(cái)年全球營(yíng)業(yè)額4%的行政處罰，以較高者為準(zhǔn)。GDPR第83條第5款規(guī)定了五大類嚴(yán)重違法的具體情形：第一，違反數(shù)據(jù)處理的基本原則與條件。數(shù)據(jù)處理應(yīng)當(dāng)遵循六大原則：合法、正當(dāng)與透明原則，目的有限原則，數(shù)據(jù)最小化原則，準(zhǔn)確性原則，儲(chǔ)存限制原則，完整性與保密性原則。數(shù)據(jù)處理應(yīng)當(dāng)符合相應(yīng)的合法性條件；第二，侵犯數(shù)據(jù)主體的同意權(quán)、訪問(wèn)權(quán)、糾正權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、拒絕權(quán)、獲得救濟(jì)權(quán)等多項(xiàng)權(quán)利；第三，不符合條件將個(gè)人數(shù)據(jù)傳輸給第三國(guó)或國(guó)際組織；第四，沒(méi)有對(duì)成員國(guó)履行相應(yīng)的義務(wù)；第五，未能遵守監(jiān)管機(jī)構(gòu)的相關(guān)要求。

可見(jiàn)，GDPR設(shè)定的“罪”是相當(dāng)多的，“罰”是非常嚴(yán)厲的。制定任何法律的目的不在于處罰，處罰只是保障法律有效實(shí)施的必要手段。“重典治亂”未必總能取得良好效果，但確實(shí)可以起到一定威懾作用。GDPR以重罰為理念，試圖倒逼數(shù)字經(jīng)濟(jì)企業(yè)完善數(shù)據(jù)保護(hù)制度。

無(wú)論是對(duì)于數(shù)據(jù)處理違法行為的認(rèn)定及其嚴(yán)重程度判斷，還是對(duì)于處罰金額的最終作出，歐盟監(jiān)管機(jī)構(gòu)都享有巨大的執(zhí)法裁量權(quán)。如何減少數(shù)據(jù)保護(hù)監(jiān)管的權(quán)力尋租，防止監(jiān)管“俘獲”，消除腐敗，確保公正執(zhí)法，是接下來(lái)歐盟當(dāng)局特別是法治水平不高的一些成員國(guó)需認(rèn)真對(duì)待的問(wèn)題。

另一“殺手锏”：“長(zhǎng)臂”管轄原則

確立“長(zhǎng)臂”管轄原則，或稱為效果原則，是GDPR的另一大“殺手锏”。法律是國(guó)家主權(quán)的體現(xiàn)，一般只在一國(guó)領(lǐng)土范圍內(nèi)發(fā)生效力，即屬地原則。但隨著近些年來(lái)網(wǎng)絡(luò)技術(shù)的不斷提高，具有虛擬性、無(wú)國(guó)界性的電子商務(wù)、互聯(lián)網(wǎng)金融，在全球范圍內(nèi)得到蓬勃發(fā)展。在數(shù)字經(jīng)濟(jì)時(shí)代，再繼續(xù)堅(jiān)持傳統(tǒng)的屬地主義原則，或許無(wú)法有效保護(hù)本國(guó)公民的權(quán)益和國(guó)家利益。

GDPR的適用范圍極廣，將法律適用的屬地主義與屬人主義原則結(jié)合起來(lái)，擴(kuò)大法律適用的域外效力。

首先，在歐盟境內(nèi)設(shè)立數(shù)據(jù)控制或處理機(jī)構(gòu)，不管其對(duì)個(gè)人數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內(nèi)，都受GDPR的拘束。此管轄規(guī)則屬于傳統(tǒng)的屬地主義原則，在歐盟內(nèi)設(shè)有機(jī)構(gòu)，當(dāng)然應(yīng)受歐盟法的約束。

其次，即使在歐盟境內(nèi)沒(méi)有設(shè)立數(shù)據(jù)控制或處理機(jī)構(gòu)，有兩類數(shù)據(jù)處理行為也受GDPR的約束。一類是向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無(wú)論是否收費(fèi)或免費(fèi)；另一類是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行監(jiān)控。此管轄規(guī)則實(shí)際上確立了GDPR的屬人主義原則，即不管企業(yè)在歐盟內(nèi)有沒(méi)有設(shè)立機(jī)構(gòu)，只要其對(duì)歐盟數(shù)據(jù)主體提供了商品、服務(wù)，或?qū)ζ溥M(jìn)行了監(jiān)控，就受GDPR的拘束。屬人主義原則的確立，大大擴(kuò)大了GDPR的管轄范圍。

再次，在歐盟內(nèi)沒(méi)有設(shè)立機(jī)構(gòu)，但數(shù)據(jù)處理行為，依國(guó)際公法可適用歐盟成員國(guó)法律，受GDPR的拘束。根據(jù)此管轄規(guī)則，歐盟監(jiān)管機(jī)構(gòu)既不依據(jù)屬地主義，也不依據(jù)屬人主義，仍然可能依國(guó)際公法規(guī)則對(duì)數(shù)據(jù)處理行為進(jìn)行監(jiān)管。

GDPR所確立的三大管轄制度，可稱之為“長(zhǎng)臂”管轄原則。通過(guò)分析該規(guī)則可以發(fā)現(xiàn)，世界上任何一家與歐盟有相關(guān)貿(mào)易往來(lái)的數(shù)字經(jīng)濟(jì)企業(yè)，即使沒(méi)有在歐盟境內(nèi)設(shè)立任何機(jī)構(gòu)，也可能受GDPR的管轄。重罰機(jī)制，加上“長(zhǎng)臂”管轄原則，使GDPR威力無(wú)比。

“罪”與“罰”都是明確的。GDPR帶給數(shù)字經(jīng)濟(jì)企業(yè)的是實(shí)實(shí)在在的可預(yù)測(cè)的法律風(fēng)險(xiǎn)。GDPR已經(jīng)為數(shù)字經(jīng)濟(jì)企業(yè)畫出一張數(shù)據(jù)保護(hù)的操作紅圖。與其擔(dān)驚受怕抱有歐盟“執(zhí)法不嚴(yán)、違法不究”的僥幸心理，不如早日“退而結(jié)網(wǎng)”完善數(shù)據(jù)保護(hù)合規(guī)制度建設(shè)?！跋氤源蟮案?，又不愿失去更多面包”的全球數(shù)字經(jīng)濟(jì)企業(yè)，應(yīng)當(dāng)抓緊按圖行事不斷完善企業(yè)數(shù)據(jù)治理。

企業(yè)應(yīng)對(duì)GDPR的當(dāng)務(wù)之急

歐盟對(duì)于數(shù)據(jù)保護(hù)設(shè)定比較嚴(yán)格的高標(biāo)準(zhǔn)，必然會(huì)有很多數(shù)字經(jīng)濟(jì)企業(yè)一時(shí)滿足不了要求，或一直不愿花大成本滿足標(biāo)準(zhǔn)，所以罰款也必將蜂擁而至。那到底罰誰(shuí)？

由于人力、物力、財(cái)力等執(zhí)法資源的有限性，未來(lái)歐盟對(duì)于數(shù)據(jù)保護(hù)的“選擇性執(zhí)法”在所難免。名企首當(dāng)其沖?！皹尨虺鲱^鳥(niǎo)”，選擇“殺”一些名企，達(dá)到“儆百”的目的，可能是歐盟未來(lái)數(shù)據(jù)保護(hù)執(zhí)法的常態(tài)。

然而，不管是名企還是非名企，既然選擇歐盟大市場(chǎng)，就應(yīng)當(dāng)根據(jù)GDPR的要求，建立健全合規(guī)的數(shù)據(jù)保護(hù)制度。名企財(cái)力雄厚，盡管被高額罰款，可能還承受得起。但是，對(duì)于非名企，特別是一些中小企業(yè)來(lái)說(shuō)，歐盟的一次罰款或制裁，可能馬上就會(huì)使其瀕臨破產(chǎn)。

“羊未亡，牢需補(bǔ)。”全球數(shù)字經(jīng)濟(jì)企業(yè)應(yīng)當(dāng)高度重視GDPR。隨著中國(guó)《信息規(guī)范》也將實(shí)施，中國(guó)企業(yè)可以從以下幾個(gè)方面，盡快完善數(shù)據(jù)保護(hù)制度：

第一，高度重視個(gè)人數(shù)據(jù)保護(hù)。企業(yè)高管團(tuán)隊(duì)?wèi)?yīng)當(dāng)對(duì)GDPR有清醒的認(rèn)識(shí)和準(zhǔn)確的預(yù)判，盡早制定周密的戰(zhàn)略計(jì)劃，不計(jì)成本消除各種不合規(guī)隱患，加強(qiáng)人員管理與培訓(xùn)。企業(yè)相關(guān)業(yè)務(wù)部門應(yīng)及時(shí)全面分析已經(jīng)采集、存儲(chǔ)的個(gè)人數(shù)據(jù)的種類、用途與獲取方式，刪除不合法、不必要的個(gè)人數(shù)據(jù)，實(shí)現(xiàn)個(gè)人數(shù)據(jù)保存時(shí)間的最小化，并不斷加強(qiáng)數(shù)據(jù)安全保障。

第二，完善數(shù)據(jù)主體的權(quán)利設(shè)置與行使操作規(guī)程。GDPR賦予了數(shù)據(jù)主體一系列強(qiáng)大的權(quán)利，對(duì)于這些權(quán)利的保護(hù)不足和侵犯屬于嚴(yán)重違法行為，歐盟監(jiān)管機(jī)構(gòu)可處以最高額度的罰款。在賦予數(shù)據(jù)主體同意權(quán)、訪問(wèn)權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利外，還應(yīng)當(dāng)核實(shí)這些權(quán)利設(shè)置與行使是否符合GDPR的要求，例如檢查設(shè)置的同意權(quán)是否符合GDPR的要求。我國(guó)《信息規(guī)范》要求收集個(gè)人數(shù)據(jù)時(shí)原則上應(yīng)獲得授權(quán)同意，收集個(gè)人敏感信息還需明示同意，另外還明確了撤回同意權(quán)。

第三，完善數(shù)據(jù)處理機(jī)制。運(yùn)用適當(dāng)?shù)慕M織措施與技術(shù)措施，確保數(shù)據(jù)處理符合GDPR的基本原則與合法性條件。以透明的方式，使用簡(jiǎn)明易懂的語(yǔ)言，及時(shí)如實(shí)告知收集、存儲(chǔ)、使用個(gè)人數(shù)據(jù)的情況。建立健全數(shù)據(jù)保護(hù)影響評(píng)估機(jī)制與事先協(xié)商制度，對(duì)個(gè)人數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理，完善數(shù)據(jù)匿名化處理規(guī)程，提高數(shù)據(jù)處理過(guò)程的安全性，并對(duì)個(gè)人數(shù)據(jù)處理活動(dòng)進(jìn)行記錄。

第四，必要時(shí)任命數(shù)據(jù)保護(hù)官。GDPR要求相關(guān)企業(yè)以透明的方式，任命具有專門數(shù)據(jù)保護(hù)知識(shí)的數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）。DPO可以確保數(shù)據(jù)控制者和處理者遵從GDPR的相關(guān)規(guī)定，同時(shí)也扮演著與監(jiān)管機(jī)構(gòu)之間的聯(lián)系人和合作者的角色。如果經(jīng)評(píng)估必須設(shè)立DPO，則應(yīng)保障DPO的任命、權(quán)利和職責(zé)符合強(qiáng)制性規(guī)定，并為DPO獨(dú)立履行職責(zé)提供充足的資源。另外，企業(yè)可考慮聘請(qǐng)外部數(shù)據(jù)保護(hù)顧問(wèn)。

第五，完善數(shù)據(jù)泄密報(bào)告與處理機(jī)制。GDPR要求原則上自知道個(gè)人數(shù)據(jù)泄露72小時(shí)內(nèi)，向監(jiān)管機(jī)構(gòu)報(bào)告，并將可能產(chǎn)生高風(fēng)險(xiǎn)的泄露信息通知受到影響的個(gè)人。企業(yè)應(yīng)詳細(xì)記錄個(gè)人數(shù)據(jù)泄露情況，及時(shí)采取補(bǔ)救措施，不斷修改完善現(xiàn)有的數(shù)據(jù)泄露管理流程。我國(guó)《信息規(guī)范》要求企業(yè)定期組織內(nèi)部相關(guān)人員，進(jìn)行個(gè)人信息安全事件應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，及時(shí)更新應(yīng)急預(yù)案。

另外，數(shù)字經(jīng)濟(jì)企業(yè)還應(yīng)當(dāng)從更新隱私聲明與政策、刪除相關(guān)協(xié)議文本中侵犯數(shù)據(jù)主體權(quán)利的“霸王”條款、完善數(shù)據(jù)跨境流動(dòng)機(jī)制等方面積極采取應(yīng)對(duì)措施，減少不合規(guī)風(fēng)險(xiǎn)。

政府應(yīng)為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航

經(jīng)濟(jì)基礎(chǔ)決定上層建筑。GDPR是法律，屬于歐盟的上層建筑，但其所要調(diào)整的卻是全世界的數(shù)字經(jīng)濟(jì)企業(yè)。由于不同國(guó)家的經(jīng)濟(jì)發(fā)展水平存在很大差別，所以不同的經(jīng)濟(jì)基礎(chǔ)與同一的上層建筑之間，必然存在難以調(diào)和的矛盾。一方面?zhèn)€人數(shù)據(jù)權(quán)利要保護(hù)，另一方面技術(shù)要?jiǎng)?chuàng)新、市場(chǎng)要發(fā)展，二者之間發(fā)生沖突在所難免。

GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護(hù)個(gè)人數(shù)據(jù)權(quán)利，可能會(huì)對(duì)技術(shù)與市場(chǎng)的發(fā)展產(chǎn)生一定的阻礙。發(fā)展數(shù)字經(jīng)濟(jì)，建設(shè)數(shù)字中國(guó)，不僅需要靠企業(yè)不斷提升數(shù)據(jù)治理水平，還需要靠政府主動(dòng)采取措施，解決企業(yè)無(wú)法克服的實(shí)際困難。

首先，政府應(yīng)當(dāng)高度重視GDPR給數(shù)字經(jīng)濟(jì)帶來(lái)的挑戰(zhàn)。嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)，帶來(lái)高額合規(guī)成本。由于信息資產(chǎn)管理的運(yùn)營(yíng)成本會(huì)顯著增加，而且擔(dān)心被重罰，一些企業(yè)已經(jīng)暫停歐盟的相關(guān)業(yè)務(wù)。GDPR的實(shí)施可能不利于中小數(shù)字經(jīng)濟(jì)企業(yè)成長(zhǎng)，并可能助長(zhǎng)巨頭企業(yè)的壟斷地位。因而，政府應(yīng)當(dāng)在戰(zhàn)略上予以重視，積極制定各種鼓勵(lì)扶持政策，有效支持企業(yè)提升數(shù)據(jù)治理水平，消除數(shù)據(jù)壟斷，降低GDPR合規(guī)風(fēng)險(xiǎn)。

其次，與歐盟積極溝通，完善對(duì)話協(xié)商機(jī)制。相關(guān)政府職能部門需要認(rèn)真研究歐盟GDPR的監(jiān)管規(guī)則，緊密協(xié)同配合，擔(dān)當(dāng)有為。在積極制定政策法律不斷完善企業(yè)數(shù)據(jù)保護(hù)水平的基礎(chǔ)上，與歐盟監(jiān)管當(dāng)局開(kāi)展平等對(duì)話協(xié)商，表明難點(diǎn)與決心，贏得理解，減少不必要的處罰與貿(mào)易糾紛。

再次，完善數(shù)據(jù)保護(hù)執(zhí)法合作機(jī)制。對(duì)于GDPR 的監(jiān)管挑戰(zhàn)，各國(guó)政府應(yīng)當(dāng)充分研究歐盟數(shù)據(jù)保護(hù)監(jiān)管的利益關(guān)切和行動(dòng)計(jì)劃，加強(qiáng)信息開(kāi)放與共享，健全實(shí)體法之間的協(xié)調(diào)機(jī)制，尋找監(jiān)管標(biāo)準(zhǔn)的最大公約數(shù)，積極尋求產(chǎn)業(yè)合作和個(gè)人信息保護(hù)執(zhí)法合作，實(shí)現(xiàn)全球數(shù)據(jù)保護(hù)的共商共治。

除了作為重罰的依據(jù)，歐盟還可能將GDPR作為新的技術(shù)壁壘，阻礙全球數(shù)字經(jīng)濟(jì)企業(yè)在歐盟的發(fā)展擴(kuò)張。在我國(guó)正在推行“一帶一路”倡議的大背景下，GDPR也可能成為阻擋我國(guó)數(shù)字經(jīng)濟(jì)企業(yè)“走出去”的障礙。但無(wú)論如何，在互聯(lián)網(wǎng)時(shí)代，合規(guī)經(jīng)營(yíng)是數(shù)字經(jīng)濟(jì)企業(yè)做大做強(qiáng)的不二法則。盡管“規(guī)”可能很嚴(yán)厲，但只要“規(guī)”是合法有效的存在，企業(yè)就應(yīng)當(dāng)嚴(yán)格遵守。