趙盈盈

摘 要：歐盟《通用數(shù)據(jù)保護條例》（簡稱GDPR）作為一項更透明、更全面的數(shù)據(jù)隱私保護法案，被稱為史上最嚴格的跨境數(shù)據(jù)隱私保護法，在數(shù)據(jù)遺忘權、數(shù)據(jù)保護職能、行政罰款與法律域外效力方面進行較大變革。受此影響，中歐數(shù)字經(jīng)濟合作面臨企業(yè)跨境合作利潤顯著降低、企業(yè)數(shù)據(jù)應用風險加大、數(shù)據(jù)主權歸屬矛盾日益突出等問題。為應對歐盟數(shù)據(jù)隱私新規(guī)帶來的負面影響，中國應推進《全球數(shù)據(jù)安全倡議》應用、設立行業(yè)自律機制、積極申請加入?yún)^(qū)域性隱私規(guī)則體系、搭建多方安全計算與區(qū)塊鏈新技術架構(gòu)、完善企業(yè)應對規(guī)則流程。

關鍵詞：歐盟;GDPR;數(shù)字企業(yè);數(shù)據(jù)保護

2019年，《中國數(shù)字經(jīng)濟發(fā)展白皮書（2020年）》信息顯示，數(shù)字經(jīng)濟已成為國內(nèi)第二大出口行業(yè)。其增加值規(guī)模高達35.8萬億元，占GDP比重高達36.2%，在中國經(jīng)濟發(fā)展與對外貿(mào)易中的地位愈發(fā)凸顯。2020年8月25日至9月1日，中國國務委員兼外交部長王毅應邀正式訪問了法國、意大利、挪威、德國與荷蘭五國，各方以“加強中歐綠色和數(shù)字經(jīng)濟領域合作”為主題，展開詳細對接。且在2020年11月11日成功舉辦的第十五屆中國-歐盟投資貿(mào)易科技合作洽談會上，中歐雙邊指出將繼續(xù)致力于5G技術與智慧城市發(fā)展、投資便利化與項目對接匹配等方面深度合作。但自2018年5月25日，歐盟GDPR的頒布與實施，為雙邊數(shù)字經(jīng)濟合作設置諸多門檻，加大了“涉歐”企業(yè)業(yè)務開展的難度。目前GDPR在歐盟28個成員國內(nèi)部廣泛運用，已成為當下數(shù)據(jù)隱私保護的基本法律，效力僅次于憲法，這對于中歐數(shù)字經(jīng)濟合作無疑是一大阻礙因素。

一、 中歐數(shù)字經(jīng)濟合作概況

（一）合作領域

在中歐雙邊深化數(shù)字經(jīng)濟合作關系過程中，合作領域逐漸增多，主要包括云計算、5G技術、在線教育與人工智能等方面。就云計算領域，中歐一直致力于“歐洲云”項目，雙邊計劃在德國和法國建立數(shù)字經(jīng)濟重點項目合作示范區(qū)，并形成業(yè)務覆蓋全歐盟的合作經(jīng)濟區(qū)。就5G領域，2016年，中國與歐盟聯(lián)合啟動了“中歐物聯(lián)網(wǎng)與5G”合作項目，開啟5G領域合作。且中國在2020年6-10月，向歐盟成員國收集有關5G安全監(jiān)管措施，完成歐盟委員會5G安全統(tǒng)一措施建議，繼續(xù)深化該領域合作。就在線教育領域，中歐商業(yè)在線一直是中國與歐盟合作舉辦的在線教育平臺，除了為個人提供高質(zhì)量管理學習經(jīng)驗，還幫助企業(yè)提供在線與移動學習方案。如京東集團、中國銀聯(lián)與通用汽車等知名企業(yè)都在該平臺開展在線培訓，為企業(yè)高維進階提供新平臺，也為雙邊數(shù)字經(jīng)濟合作提供基本渠道。就人工智能領域，2020年9月28日，無錫市正式成立嘉興科技城中歐科技創(chuàng)新園，建立集孵化、引進與落戶產(chǎn)業(yè)化發(fā)展項目，為雙邊入駐企業(yè)提供技術平臺、產(chǎn)業(yè)資源與孵化加速等全方位服務，打造形成引領性創(chuàng)業(yè)孵化中心。

（二）合作方式

中歐雙邊以數(shù)字經(jīng)濟合作為切入點，采用展覽會、線上洽談會與建立合作中心方式，持續(xù)深化合作關系。就展覽會方面，2020年10月28日，中國國際貿(mào)易促進委員會、國際商會與服務貿(mào)易協(xié)會聯(lián)合承辦2020年中歐國際貿(mào)易數(shù)字展覽會，吸引共1200余家參展企業(yè)和歐洲13000多名高品質(zhì)專業(yè)觀眾在線參加。就線上洽談會方面，如在2020年10-11月，中歐雙邊成功舉辦了中歐數(shù)字貿(mào)易周線上系列洽談會紡織服裝專場、醫(yī)療物資專場、汽摩配專場等6場線上洽談會，指出通過互聯(lián)網(wǎng)與云技術等創(chuàng)新模式，支持中歐雙邊深化數(shù)字經(jīng)濟合作。就合作中心方面，已經(jīng)投入3年的中國—歐洲中心正逐步以“對歐商貿(mào)中心、交往中心、服務中心”為核心功能，采用“線上、線下、自助”三種方式，為雙邊涉外企業(yè)與跨國機構(gòu)提供“一站式”服務。截至到2020年11月，德國巴伐利亞州成都代表處、挪威Opera中國區(qū)總部、法國Sigfox物聯(lián)網(wǎng)公司、亞馬遜國際創(chuàng)新中心、英國緯圖全球亞太總部、德國簽證中心等170余家國際知名企業(yè)與機構(gòu)已紛紛入駐，促使中歐雙邊在數(shù)字經(jīng)濟合作實現(xiàn)深度對接。

二、 歐盟GDPR內(nèi)容變化

（一）提出并確定數(shù)據(jù)遺忘權

GDPR是歐盟1995年出臺《個人數(shù)據(jù)保護指令》的延伸?！秱€人數(shù)據(jù)保護指令》并未提及數(shù)據(jù)遺忘權相關規(guī)定。GDPR首次提出數(shù)據(jù)遺忘權，并將該權利定義為：若用戶不同意數(shù)據(jù)控制商的數(shù)據(jù)處理方式，有權將自身數(shù)據(jù)攜帶至其他控制商的權利。這一權利體現(xiàn)了歐盟對于個人數(shù)據(jù)自主權的維護。同時，數(shù)據(jù)遺忘權對于用戶數(shù)據(jù)的維護并不是偏袒于單個用戶，實質(zhì)上是平衡數(shù)據(jù)主體與使用者。針對數(shù)據(jù)使用范圍，數(shù)據(jù)遺忘權設定范圍限定于用戶本人提供內(nèi)容，將控制商自主收集的數(shù)據(jù)排除在外;針對數(shù)據(jù)適用范圍，用戶可攜帶的數(shù)據(jù)規(guī)定只限于合同履約部分，以及用戶本人同意部分。且這一權利應用主要是為了將用戶個人數(shù)據(jù)合理使用，最大化發(fā)揮數(shù)據(jù)用能效能，為更多主體提供信息服務。

（二）強化數(shù)據(jù)應用保護

在《個人數(shù)據(jù)保護指令》要求下，一旦各國有關法律指令出現(xiàn)制度差異問題，將弱化數(shù)據(jù)保護職能。也就是說，《個人數(shù)據(jù)保護指令》并未強調(diào)不同國別法律差異的跨境數(shù)據(jù)保護方法。而GDPR為保障數(shù)據(jù)應用安全，直接統(tǒng)一了各國法律制度，重新進行規(guī)定。一方面，要求超250人的企業(yè)必須設立數(shù)據(jù)保護官（DPO），并指出DPO作為獨立職位可專門負責制訂企業(yè)隱私政策，并可直接向最高領導匯報工作。另一方面，GDPR將數(shù)據(jù)保護影響評估（DPIA）納入法律，要求企業(yè)遇到以下情況時必須進行數(shù)據(jù)保護影響評估。第一，在自動化處理基礎上，開展與用戶有關的系統(tǒng)性與全面性評估。第二，大規(guī)模處理特定類型數(shù)據(jù)，或者是與用戶定罪、違法相關的個人數(shù)據(jù)。第三，大規(guī)模、系統(tǒng)性地監(jiān)控公眾可以訪問的個別空間。

（三）行政罰款顯著增加

《個人數(shù)據(jù)保護指令》只是針對雙邊跨境數(shù)據(jù)合作過程進行監(jiān)管，并未保障全過程數(shù)據(jù)安全。而GDPR除了合作過程中的數(shù)據(jù)監(jiān)管，還采取事后問責機制，主要針對數(shù)據(jù)泄露問題進行追責。其對于違法行為進行如下規(guī)定：第一，違法行為對于數(shù)據(jù)主體并沒有造成較大影響，可以訓誡方式代替罰款;第二，對于默認數(shù)據(jù)保護行為，但是卻沒有執(zhí)行數(shù)據(jù)保護措施的行為，采取最高1000萬歐元，或者企業(yè)上一財年營業(yè)總額2%的罰款，二者以較高金額為主;第三，對于數(shù)據(jù)隱私權造成嚴重損害，且情節(jié)嚴重的侵權行為，處以最高2000萬歐元，或者企業(yè)上一財年營業(yè)額4%的罰款，以高金額為主。這種事后處罰條例較之前法案更為嚴格，促使企業(yè)數(shù)據(jù)使用更為規(guī)范。

（四）法律域外效力進一步擴張

最初，歐盟嚴格按照《個人數(shù)據(jù)保護指令》，在數(shù)據(jù)保護時遵循屬地原則，后來擴展至屬地、屬人原則。而GDPR要求所有歐盟境內(nèi)數(shù)據(jù)處理與數(shù)據(jù)控制機構(gòu)的應用數(shù)據(jù)行為不論是否發(fā)生在歐盟境內(nèi)，都需要遵守GDPR。部分在歐盟境外設立的公司如果向歐盟個人進行監(jiān)控，或者給歐盟境內(nèi)個人提供服務和商品的行為，必須遵守GDPR。這一要求隱含意義在于，GDPR法律效力與監(jiān)管范圍已經(jīng)覆蓋全世界范圍，這也是其具備域外效力的原因。

三、歐盟GDPR對中歐數(shù)字經(jīng)濟合作的影響

（一）降低企業(yè)跨境合作利潤

GDPR對數(shù)據(jù)收集企業(yè)執(zhí)行最嚴格的監(jiān)督審核，導致中國數(shù)字企業(yè)跨境合作利潤大幅度降低。一方面，GDPR要求企業(yè)在處理和控制個人信息時，必須征得用戶同意，讓用戶能夠隨時了解到個人信息。在這一過程中，數(shù)字企業(yè)若想使用用戶數(shù)據(jù)，就必須與用戶建立聯(lián)系，增加人力應用成本的同時，削減企業(yè)合作利潤，且GDPR要求數(shù)字經(jīng)濟合作企業(yè)人數(shù)一旦超過250人，就需要設立數(shù)據(jù)保護官，這就增加了用人成本。另一方面，中國數(shù)據(jù)貿(mào)易企業(yè)的IT系統(tǒng)普遍是圍繞服務設計，其用戶數(shù)據(jù)會不斷向供應商發(fā)送。由于較難確定已經(jīng)被分享的數(shù)據(jù)源頭，企業(yè)想要實現(xiàn)用戶隱私保護，并授權用戶隨時刪掉個人數(shù)據(jù)，需要成功追溯至少70%-80%的數(shù)據(jù)來源，直接加大企業(yè)跨境運營成本，導致跨境合作利潤顯著降低。

（二）加大企業(yè)數(shù)據(jù)應用風險

一方面，數(shù)據(jù)隱私罰款顯著增加。在GDPR實施之前，跨境數(shù)字經(jīng)濟合作企業(yè)的數(shù)據(jù)應用受限較小，有關數(shù)據(jù)隱私罰金較低。而GDPR規(guī)定跨境違法合作企業(yè)將被處罰巨額罰款，這直接加大了中國數(shù)字經(jīng)濟合作企業(yè)的數(shù)據(jù)應用風險。據(jù)新浪財經(jīng)報道，2018年7月至2020年3月，歐盟開出的數(shù)據(jù)隱私罰款顯著增加（如圖1所示）。在巨額處罰金政策下，數(shù)字企業(yè)所面臨的合規(guī)成本、運營壓力與合作難度顯著增加，其數(shù)據(jù)應用風險大幅增加。據(jù)數(shù)據(jù)分析企業(yè)SAS調(diào)研報告稱，在GDPR發(fā)布當天，全球按時完成合規(guī)要求的企業(yè)占比不到50%，大多數(shù)中國企業(yè)由于缺乏資金以及改進資源，害怕?lián)摼揞~罰款，不得已先退出歐盟市場。另一方面，數(shù)據(jù)應用合規(guī)難度顯著增加。據(jù)人民郵電報信息，在GDPR實施之前，有78%的企業(yè)認為可以滿足數(shù)據(jù)保護要求，但實施后，僅有28%的企業(yè)能夠遵守GDPR?？梢?，GDPR要求較為嚴格，仍有大量企業(yè)尚未滿足GDPR合規(guī)標準，其數(shù)據(jù)應用風險一直存在。

（三）阻礙信息技術發(fā)展

GDPR對數(shù)據(jù)處理者以及數(shù)據(jù)主體的隱私權提出相同要求，普通云用戶和服務商同樣需要承擔更多要求和責任。這一要求明顯與國內(nèi)數(shù)字企業(yè)隱私規(guī)則相悖，導致國內(nèi)信息技術發(fā)展受限。據(jù)21財經(jīng)等媒體報告梳理，為獲取歐盟市場，微信、阿里巴巴全球速賣通、新浪微博等中國互聯(lián)網(wǎng)企業(yè)，在GDPR實施之前進行數(shù)據(jù)隱私政策更新，并請求重新授權。但絕大部分企業(yè)在短期內(nèi)難以適應這一嚴苛規(guī)則，出現(xiàn)信息技術發(fā)展受限問題。如小米公司為展開數(shù)據(jù)隱私保護業(yè)務，早在2014年就已經(jīng)成立隱私委員會，到2016年小米網(wǎng)和MIUI操作系統(tǒng)得到TRUSTe隱私認證，大舉拓展歐盟市場。但2018年5月26日，在GDPR執(zhí)行后，小米生態(tài)鏈公司智能燈具品牌Yeelight因信息技術問題不符合GDPR數(shù)據(jù)隱私要求，被迫退出歐盟市場。可見，GDPR實施以來，受限于數(shù)據(jù)隱私要求，相關企業(yè)信息技術發(fā)展遭遇較大瓶頸。

（四）凸顯數(shù)據(jù)主權歸屬矛盾

在GDPR實施下，中國數(shù)字企業(yè)若在國外設置合作機構(gòu)，該機構(gòu)所涉及到的經(jīng)營場所和經(jīng)營系統(tǒng)，都受歐盟監(jiān)管機構(gòu)監(jiān)控。但中國《網(wǎng)絡安全法》第三十七條規(guī)定，關鍵基礎設施在中國境內(nèi)的企業(yè)所收集的個人信息和重點數(shù)據(jù)，須在境內(nèi)存儲。這兩則法規(guī)沖突導致企業(yè)收集到的數(shù)據(jù)歸屬權存在較大矛盾，嚴重影響中歐數(shù)字企業(yè)合作。據(jù)央廣網(wǎng)報道，在GDPR“長臂”管轄原則下，2018年4月，QQ國際版發(fā)布在歐洲暫停運作公告，騰訊方面稱需要等待升級版本。但到5月20日，騰訊則宣布暫時停止對歐盟市場用戶服務，主要原因是QQ數(shù)據(jù)應用與存儲不符合GDPR域外法權主權歸屬規(guī)則?？梢姡贕DPR強要求之下，隨著數(shù)據(jù)主權矛盾的凸顯，數(shù)字企業(yè)與歐盟合作難度進一步加大。

四、應對之策

（一）推進《全球數(shù)據(jù)安全倡議》應用

2020年9月8日，中國正式提出《全球數(shù)據(jù)安全倡議》。該倡議主要內(nèi)容包括防范制止采用信息技術侵害個人信息以及濫用信息技術行為;要求企業(yè)尊重當?shù)胤?，不得強制要求本國企業(yè)將境外數(shù)據(jù)轉(zhuǎn)移至境內(nèi);未經(jīng)他國許可不能直接調(diào)用企業(yè)或個人境外數(shù)據(jù)。中國駐歐盟使團團長張明大使強調(diào)在發(fā)展數(shù)字經(jīng)濟合作過程中，《全球數(shù)據(jù)安全倡議》顯著加強全球治理八項具體主張，呼吁歐盟各國積極參與《全球數(shù)據(jù)安全倡議》，以塑造一個公平、開放與安全的數(shù)字經(jīng)濟發(fā)展環(huán)境。中國在與歐盟各國展開數(shù)字經(jīng)濟合作過程中，應通過對話、協(xié)議簽訂等方式，呼吁并要求雙邊推進《全球數(shù)據(jù)安全倡議》應用。另外，行業(yè)協(xié)會應針對中歐雙邊數(shù)字經(jīng)濟合作，圍繞《全球數(shù)據(jù)安全倡議》與GDPR新規(guī)展開探討，提出符合雙邊發(fā)展的跨境數(shù)據(jù)流動標準，以實現(xiàn)多邊主義的數(shù)據(jù)安全主張。

（二）設立行業(yè)自律機制

根據(jù)國際在線信息，中國昆山市于2020年底舉辦“中國-中東歐17+1新春晚會”，強調(diào)了中國-中東歐國家（17+1）合作機制的重要性。據(jù)悉，中國-中東歐國家（17+1）合作機制對于17個中東歐國家具有區(qū)別對待性，對于強化中東歐17個國家數(shù)字經(jīng)濟具有保障性。中國基于該框架的“特殊合作權益”，與隸屬于該框架中的歐盟國家推進行業(yè)自律機制建設，可降低GDPR帶來的數(shù)據(jù)應用風險。政府應立足于中國-中東歐國家（17+1）合作機制，與相關國家進行磋商，積極構(gòu)建基于GDPR的行業(yè)自律機制，并將該機制發(fā)布于相關企業(yè)，讓企業(yè)了解規(guī)則要求后規(guī)范運營，有利于推進與中國-中東歐國家（17+1）合作框架下歐盟國家的對接。政府應引進國際先進行業(yè)標準，如數(shù)據(jù)保護影響評估（DPIA）管理標準，并鼓勵企業(yè)在開展中歐數(shù)字貿(mào)易時，積極加入歐盟的跨境隱私規(guī)則（GBPR）以及歐盟個人信息保護體系（BCR），以強化境內(nèi)外數(shù)據(jù)使用能力，降低跨境數(shù)據(jù)應用風險。

（三）搭建多方安全計算與區(qū)塊鏈新技術架構(gòu)

中國商務部國際貿(mào)易經(jīng)濟合作研究院歐洲研究所所長姚鈴指出，在中歐數(shù)字經(jīng)濟合作過程中，為提升數(shù)據(jù)應用技術水平，應借助新興技術，搭建新應用架構(gòu)。故此，中國數(shù)字企業(yè)應將數(shù)據(jù)安全作為企業(yè)發(fā)展保障，通過持續(xù)創(chuàng)新，積極開拓多方安全計算與區(qū)塊鏈等新的技術架構(gòu)，實現(xiàn)數(shù)據(jù)利用與個人數(shù)據(jù)保護的動態(tài)平衡。企業(yè)可通過借鑒發(fā)達國家的成功應用經(jīng)驗，借助互聯(lián)網(wǎng)、大數(shù)據(jù)與物聯(lián)網(wǎng)等新興技術，將多方安全計算與區(qū)塊鏈新技術引入到企業(yè)。在具體應用過程中，應基于GDPR要求，搭建多方安全計算與區(qū)塊鏈新技術應用架構(gòu)，并將該架構(gòu)用于相關數(shù)字貿(mào)易活動之中，在提高企業(yè)創(chuàng)新水平的同時，深化雙邊數(shù)字貿(mào)易關系。

（四）積極申請加入?yún)^(qū)域性隱私規(guī)則體系

目前，在區(qū)域經(jīng)濟組織的推動下，區(qū)域性隱私規(guī)則體系正在形成，且在亞太經(jīng)合組織21個成員中，已經(jīng)有8個成員加入該體系之中，有利于保障區(qū)域內(nèi)數(shù)據(jù)安全，充分解決了中歐數(shù)字經(jīng)濟合作過程中的數(shù)據(jù)主權歸屬矛盾。在亞太區(qū)域隱私規(guī)則體系經(jīng)驗下，中國政府應結(jié)合當前“涉歐”數(shù)字企業(yè)面臨的主要問題，深入分析有關歐盟區(qū)域性隱私新規(guī)的具體內(nèi)容，在保障數(shù)據(jù)隱私安全的同時，提出針對性的申請意見，盡快加入?yún)^(qū)域性隱私規(guī)則體系。在加入該體系之后，中國企業(yè)應參與全球規(guī)則的制定，立足本國企業(yè)受到GDPR影響的實情，針對跨境數(shù)據(jù)主權歸屬問題，提出有效反饋意見。這有利于明晰跨境數(shù)字經(jīng)濟合作中的數(shù)據(jù)主權歸屬問題，進一步提高中國數(shù)字行業(yè)的隱私保護水平。

（五）完善企業(yè)應對規(guī)則流程

針對跨境合作利潤顯著降低這一問題，相關企業(yè)需要不斷完善自身應對新規(guī)的流程，以合規(guī)性操作提升跨境數(shù)字經(jīng)濟合作水平。企業(yè)應將涉及中歐數(shù)字貿(mào)易的所有數(shù)據(jù)業(yè)務進行整理、分類，將可能涉及到數(shù)據(jù)責任風險的業(yè)務進行分割、阻隔，分環(huán)節(jié)進行數(shù)據(jù)保密處理。為提高各環(huán)節(jié)數(shù)據(jù)業(yè)務處理效率，企業(yè)應在數(shù)據(jù)分類處理的同時，對所有涉歐業(yè)務的主要分布區(qū)域進行考察，通過責任風險和成本風控對比，分清主次區(qū)域。在此基礎上，區(qū)分不同區(qū)域內(nèi)業(yè)務，并針對性進行處理，以確保企業(yè)處理方式遵循當?shù)睾弦?guī)要求，實現(xiàn)規(guī)范化操作，進而增加跨境數(shù)據(jù)應用利潤。

參考文獻：

[1]SCA聯(lián)盟.英國內(nèi)政部對《歐盟永居方案》管理不足，導致違反GDPR100次[EB/OL]. https：//ww w.sohu.com/a/394678268_442599.html.[2020-5-12].

[2]林黎.USMCA原產(chǎn)地規(guī)則變化對中國的影響及其啟示[J].對外經(jīng)貿(mào)實務，2020（7）：41-44.

[3]張大龍.美國制造業(yè)回流政策對中國出口的影響及應對策略[J].對外經(jīng)貿(mào)實務，2020（6）：17-20.

[4]弓永欽.歐盟數(shù)據(jù)隱私新規(guī)則對中國“涉歐”數(shù)字企業(yè)的影響及應對[J].國際經(jīng)濟合作，2019（2）：70-79.