數(shù)字經(jīng)濟視野中的歐盟《一般數(shù)據(jù)保護條例》

許 可

數(shù)字經(jīng)濟正成為中國以及世界經(jīng)濟發(fā)展的新動能。通過人均資本、人均勞動產(chǎn)出和全要素生產(chǎn)率的提升，數(shù)字經(jīng)濟不但培育了新市場和新產(chǎn)業(yè)增長點，更推動了社會的包容性增長和可持續(xù)增長。而正如2016年9月《二十國集團數(shù)字經(jīng)濟發(fā)展與合作倡議》所指出的，作為新經(jīng)濟的關(guān)鍵生產(chǎn)要素，“數(shù)字化的信息”，即數(shù)據(jù)是數(shù)字經(jīng)濟的不竭源泉，數(shù)據(jù)保護和利用規(guī)則成為數(shù)字經(jīng)濟的底層架構(gòu)。透過數(shù)字經(jīng)濟的棱鏡，2018年5月生效的歐盟《一般數(shù)據(jù)保護條例》(下稱“GDPR”)便顯現(xiàn)出別樣的意義。立基于此，本文首先揭示GDPR背后歐盟的政經(jīng)考量，進而探尋GDPR對數(shù)字經(jīng)濟的不利后果，并在此基礎(chǔ)上，提出中國的應(yīng)對之道。

一、GDPR與歐盟數(shù)字經(jīng)濟的愿景

(一)數(shù)字經(jīng)濟的落后者

作為繼農(nóng)業(yè)經(jīng)濟、工業(yè)經(jīng)濟之后的一種新的經(jīng)濟社會發(fā)展形態(tài)，數(shù)字經(jīng)濟早已超出信息產(chǎn)業(yè)的藩籬。有鑒于此，無論是發(fā)達國家，還是發(fā)展中國家，均把數(shù)字經(jīng)濟轉(zhuǎn)型視為重大的優(yōu)先政策。然而，在數(shù)字經(jīng)濟的世界版圖上，各國的發(fā)展并不均衡。中國信通院《G20國家數(shù)字經(jīng)濟發(fā)展研究報告(2017)》顯示：2016年，美國數(shù)字經(jīng)濟規(guī)模達到10.8萬億美元，在世界上遙遙領(lǐng)先；中國以3.4萬億美元的總量位居第二；日本、德國和英國分列第三至五位，其平均規(guī)模約為中國的一半。中美兩國在這波數(shù)字經(jīng)濟浪潮中的領(lǐng)先地位在科技企業(yè)的市值上得到鮮明體現(xiàn)。2017年，全球市值前十的公司中有七家科技企業(yè)，其中，美國五家：蘋果、微軟、谷歌、Facebook、亞馬遜；中國兩家：阿里巴巴和騰訊。這一局勢在各個細分領(lǐng)域更加顯著。聯(lián)合國《2017世界投資報告——投資與數(shù)字經(jīng)濟》(World Investment Report 2017—Investment and the Digital Economy Report)梳理了網(wǎng)絡(luò)平臺、數(shù)字化解決方案、電子商務(wù)、數(shù)字內(nèi)容、IT、電信設(shè)施等主要數(shù)字經(jīng)濟領(lǐng)域，發(fā)現(xiàn)全球的領(lǐng)導(dǎo)者或跟隨者基本被中美兩國的企業(yè)占據(jù)。

較諸中美，歐洲在數(shù)字經(jīng)濟中暫時落后了。2016年5月，歐盟委員會發(fā)布《歐洲數(shù)字化進展報告2016》(Europe’s Digital Progress Report)，指出盡管歐盟各國在移動互聯(lián)網(wǎng)、電子政務(wù)和電子商務(wù)領(lǐng)域取得了進步，但歐盟科學(xué)、技術(shù)和數(shù)學(xué)(STEM)學(xué)科的畢業(yè)生人數(shù)上升緩慢，只有16%的中小企業(yè)利用網(wǎng)絡(luò)行銷，更有45%的人口不具備基本的數(shù)字技術(shù)。該報告進一步指出：歐盟公民和企業(yè)在使用在線工具和服務(wù)時經(jīng)常遇到障礙，以至于企業(yè)和民眾難以從數(shù)字轉(zhuǎn)型中獲益。歐盟數(shù)字經(jīng)濟落后的惡果已經(jīng)顯現(xiàn)：自2009年以來，歐盟信息和通信技術(shù)產(chǎn)業(yè)(ICT)一直處于結(jié)構(gòu)性下滑的狀態(tài)，當今全球市值最高的20家互聯(lián)網(wǎng)公司也沒有一家來自歐盟。

(二)通過制度發(fā)展數(shù)字經(jīng)濟

事實上，歐盟很早就意識到數(shù)字經(jīng)濟的來臨。早在1993年，歐盟在成立之際就發(fā)布了《增長、競爭、就業(yè)——邁向21世紀的挑戰(zhàn)和道路》白皮書，明確指出發(fā)展數(shù)字經(jīng)濟的重要性，并提出了“創(chuàng)建歐洲信息社會，迎接21世紀挑戰(zhàn)”的戰(zhàn)略。1996年3月，為了激勵數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，歐盟理事會簽署《關(guān)于數(shù)據(jù)庫的法律保護的指令》(Directive 96/9/EC on the legal protection of databases)，在全球首次賦予不受著作權(quán)法保護但又有實質(zhì)性投資的數(shù)據(jù)庫(database)以特殊權(quán)利 (sui generis right protection)。然而，法律本身的模糊性使得人們對其保護范圍以及他人正當行為的邊界一直充滿分歧，[注]See Summary report of the public consultation on the evaluation of Directive 96/9/EC on the legal protection of databases,at https://ec.europa.eu/digital-single-market/en/news/summary-report-public-consultation-legal-protection-databases,last visited on Sep.30,2018.該指令并未讓歐盟數(shù)據(jù)產(chǎn)業(yè)蓬勃興起，甚至到了2004年，歐盟數(shù)據(jù)庫的發(fā)展已經(jīng)回落到1996年的水平。[注]See DG Internal Market and Services published the first evaluation of Directive 96/6/EC on the Legal Protection of Databases,at http:// ec.europa.eu/ internal_market/copyright/ prot-databases/ index_en.htm#maincontentSec2,last visited on Sep.30,2018.

面對這一不利局面，歐盟奮起直追。2010年，歐盟發(fā)布《2010倡議——為了促進增長和就業(yè)的歐洲信息社會》(i2010：A European Information Society for Growth and Employment)，提出深耕三大重點領(lǐng)域：(1)整合歐盟委員會既有法律，建立一個市場導(dǎo)向的數(shù)字經(jīng)濟法律框架；(2)推動數(shù)字化的融合以及與私營部門合作，促進歐盟在數(shù)字創(chuàng)新技術(shù)方面的領(lǐng)導(dǎo)力；(3)提供高效、方便、實用的在線服務(wù)，建立包容性的歐洲信息社會。作為數(shù)字經(jīng)濟法律的重要一環(huán)，2012年1月，歐洲議會公布了GDPR草案。該草案預(yù)示著個人數(shù)據(jù)保護水平提升到前所未有的高度，同時意圖在歐盟范圍內(nèi)建立更為統(tǒng)一和嚴格的立法。[注]參見王融：《大數(shù)據(jù)時代數(shù)據(jù)保護與流動規(guī)則》，人民郵電出版社2017年版，第158頁。草案出臺后，4 400多份修改意見展現(xiàn)出歐盟立法中前所未見的游說博弈，充分反映了GDPR早已超越純粹的個人數(shù)據(jù)規(guī)范，成為深層次融合國際政治博弈、產(chǎn)業(yè)經(jīng)濟競爭以及社會文化擴張等諸多元素的復(fù)雜綜合體。[注]參見吳沈括：“歐盟《一般數(shù)據(jù)保護條例》(GDPR)與中國應(yīng)對”，《信息安全與通信秘密》2018年第2期，第13頁。

2015年，歐盟委員會再次確立歐洲“數(shù)字一體化市場”(Digital Single Market)戰(zhàn)略，由此統(tǒng)合并大大推進了GDPR的制定。該戰(zhàn)略旨在為歐盟個人和企業(yè)提供更好的數(shù)字產(chǎn)品和服務(wù)，創(chuàng)造有利于數(shù)字網(wǎng)絡(luò)和服務(wù)繁榮發(fā)展的環(huán)境，以及最大化地實現(xiàn)數(shù)字經(jīng)濟的增長潛力。歐盟相信，通過確保貨物、人員、服務(wù)、資本、數(shù)據(jù)自由流動，“數(shù)字一體化市場”能確保個人和企業(yè)均能在公平競爭的條件下無縫訪問和在線活動，促進歐盟數(shù)字經(jīng)濟發(fā)展并確保歐洲在全球數(shù)字經(jīng)濟中的地位。該戰(zhàn)略指出：數(shù)據(jù)是整個社會和所有經(jīng)濟部門經(jīng)濟增長、創(chuàng)新及數(shù)字化的催化劑，而分散的市場無法為云計算、大數(shù)據(jù)、數(shù)據(jù)驅(qū)動型科學(xué)、物聯(lián)網(wǎng)在歐洲范圍內(nèi)充分發(fā)揮其潛力提供足夠的規(guī)模保障，為此，歐盟需要消除一系列的技術(shù)障礙和法律障礙，[注]See Shaping the Digital Single Market, at https://ec.europa.eu/digital-single-market/en/policies/shaping-digital-single-market,last visited on Sep.30,2018.GDPR便是其中最重要的舉措之一。故此，倘若只將GDPR視為在信息科技迅速發(fā)展背景下，歐盟對歐洲公民人格尊嚴和人格自由的重申，未免小覷了它的意義。

(三)GDPR推進歐盟數(shù)字一體化市場

1.以數(shù)據(jù)自由流動為宗旨

GDPR第1條“主旨與目標”開宗明義：“不得以保護自然人個人數(shù)據(jù)處理為由，限制或禁止個人數(shù)據(jù)在歐盟的自由流動?！彪S著數(shù)字經(jīng)濟的勃興，在全球范圍內(nèi)收集、分析和傳輸個人數(shù)據(jù)的經(jīng)濟意義與日俱增。2014年，價值約30萬億美元的商品、服務(wù)和金融發(fā)生跨境移轉(zhuǎn)，其中數(shù)據(jù)流動帶來的價值約為2.8萬億美元。[注]See Digital globalization: The new era of global flows, at https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows,last visited on Sep.30,2018.歐洲亦概莫能外。根據(jù)波士頓咨詢集團的數(shù)據(jù)，2011年歐盟公民的數(shù)據(jù)價值為3 150億歐元，并有可能在2020年增長到近1萬億歐元。[注]See Ernst-Oliver Wilhelm, The GDPR: Fostering Trust in the Digital Single Market,at https://blog.gft.com/blog/2016/04/05/the-gdpr-fostering-trust-in-the-digital-single-market/,last visited on Sep.30,2018.然而，由于普遍擔心互聯(lián)網(wǎng)安全、基本權(quán)利保障以及數(shù)據(jù)保護問題，歐洲企業(yè)和消費者對于數(shù)據(jù)自由流動始終缺乏足夠的信心。[注]一份調(diào)查顯示：三分之二的歐洲人表示他們擔心無法控制他們在網(wǎng)上提供的信息，而另一半則擔心成為欺詐的受害者。See Special Eurobarometer 431, Data Protection Report, June 2015.為此，GDRP從如下兩方面重塑數(shù)字經(jīng)濟的信任，以強化數(shù)據(jù)的流動性。

一方面，GDPR提升了數(shù)據(jù)主體對個人數(shù)據(jù)的控制力。GDPR在歐盟1995年《關(guān)于個人數(shù)據(jù)保護與自由流動指令(95/46/EC)》(以下簡稱《95指令》)基礎(chǔ)上，進一步明確提出合法公平透明原則、完整性和保密性原則、特殊數(shù)據(jù)處理原則，并從處理的合法性、同意的要件、兒童同意等要求進一步縮限了“知情同意原則”。同時，賦予數(shù)據(jù)主體新的數(shù)據(jù)權(quán)利，如刪除其數(shù)據(jù)的“被遺忘權(quán)”、要求其數(shù)據(jù)從一個控制者向他方直接傳輸?shù)摹翱蓴y帶權(quán)”、免受基于數(shù)據(jù)畫像的自動化決策權(quán)利、更加透明的知情權(quán)以及更為便利的訪問權(quán)。

另一方面，GDPR取消了數(shù)據(jù)本地化的要求。GDPR要求各成員國應(yīng)廢除歐盟境內(nèi)任何數(shù)據(jù)存儲及處理過程中不合理的數(shù)據(jù)位置限制，不得強制服務(wù)提供商在每個地區(qū)或國家建立昂貴的本地基礎(chǔ)設(shè)施(數(shù)據(jù)中心)。GDPR與歐盟委員會2017年的《關(guān)于非個人數(shù)據(jù)自由流動框架的提案》、2018年4月的《關(guān)于修訂公共部門信息再利用指令的提案》《修訂2012年訪問和保存科學(xué)信息的建議》《基于公共利益由私營部門向公共部門分享數(shù)據(jù)的指導(dǎo)意見》相輔相成，以期一攬子解決數(shù)據(jù)可操作性、可使用性以及數(shù)據(jù)訪問問題，打出一套數(shù)字自由流動的組合拳。

2.以規(guī)則和執(zhí)法的統(tǒng)一為依歸

與《95指令》相比，GDPR大大提升了個人數(shù)據(jù)保護的法律位階。從指令向條例的轉(zhuǎn)變，意味著GDPR一經(jīng)發(fā)布立即生效，無須經(jīng)過各成員國以國內(nèi)法律法規(guī)形式的落實措施，并且，無論對于成員國還是當事人(組織或者機構(gòu))，GDPR均具備同等法律效力，從而簡化和統(tǒng)一了各國錯綜復(fù)雜的既有規(guī)則。不僅于此，執(zhí)行GDPR構(gòu)成歐盟各成員國必須履行的、不可克扣的政治責任。GDPR特別在涉及多成員國監(jiān)管的情形下，規(guī)定了主導(dǎo)監(jiān)管機構(gòu)(Lead Supervisory Authority)的監(jiān)管權(quán)力，通過一致性機制相互合作和協(xié)助，最終實現(xiàn)一站式執(zhí)法。在歐盟層面，歐洲數(shù)據(jù)保護局(EDPB)將遵循數(shù)字一體化市場的總體安排，以保護歐盟公民和統(tǒng)一市場為導(dǎo)向，協(xié)調(diào)成員國個人數(shù)據(jù)保護署的執(zhí)法工作。

個人數(shù)據(jù)和信任是當今數(shù)字經(jīng)濟的貨幣，GDPR意圖建立一個強大且面向未來的監(jiān)管框架，以保證消費者和企業(yè)增強信心和相互信任，從而為歐洲鋪平數(shù)字時代的道路。

(四)GDPR成為面向非歐盟國家的新壁壘

推動歐盟內(nèi)部市場的一體化并不是GDPR的唯一效果，對歐盟外市場參與者來說，GDPR更承擔著貿(mào)易和投資新壁壘的角色。

1.GDPR為全球個人數(shù)據(jù)保護豎立新標桿

迄今為止，全球個人數(shù)據(jù)保護法已經(jīng)經(jīng)歷了三代。[注]See Graham Greenleaf, International data privacy agreements after the GDPR and Schrems, 139 Privacy Laws & Business International Report, 2016.第一代以經(jīng)合組織1980年《關(guān)于隱私保護與個人數(shù)據(jù)跨境流通指引》(the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data)以及1981年歐洲理事會(the Council of Europe)《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》為起點，其奠定了現(xiàn)代個人數(shù)據(jù)保護法的基本框架。第二代以歐盟《95指令》為代表，其在第一代原則的基礎(chǔ)上加入了包括“數(shù)據(jù)最少夠用”“刪除”“敏感信息”“獨立的個人信息保護機構(gòu)”等要素。第三代即為GDPR。與第二代相比，GDPR大大拓展了數(shù)據(jù)主體權(quán)利，并確立了一系列新型保護制度，如“企業(yè)內(nèi)部設(shè)立數(shù)據(jù)保護官”“經(jīng)設(shè)計和默認的數(shù)據(jù)保護”“數(shù)據(jù)保護影響評估”“數(shù)據(jù)控制者與數(shù)據(jù)處理者均承擔直接侵權(quán)責任”“境外數(shù)據(jù)控制者的代表人”“發(fā)生數(shù)據(jù)安全事件后對數(shù)據(jù)保護機構(gòu)的報告和對個人的通知”“數(shù)據(jù)控制者可展示的問責”“集體訴訟制度”，等等。

截止到2018年6月，世界已有126個國家擁有個人數(shù)據(jù)保護法。根據(jù)上述三代的劃分，各國均達到了第一代的標準，目前正向第二代邁進。其中，所有歐盟國家均已完成了轉(zhuǎn)變，在非歐盟的75個國家中，大體也行程過半。其中，南非和韓國實現(xiàn)了90%，阿根廷、哥倫比亞、馬來西亞實現(xiàn)了80%，加拿大、中國臺灣地區(qū)實現(xiàn)了70%，澳大利亞、新西蘭、中國香港地區(qū)實現(xiàn)了60%，以色列、日本、墨西哥、新加坡實現(xiàn)了50%，但美中兩國均不在這一表單中。[注]See Graham Greenleaf, Global Convergence of Data Privacy Standards and Laws, at http://www.ssrn.com/link/UNSW-LEG.html,last visited on Sep.30,2018.隨著GDPR的出臺，歐盟個人數(shù)據(jù)保護高地的地位進一步穩(wěn)固。

2.作為國際經(jīng)濟新壁壘的GDPR

所謂國際經(jīng)濟新壁壘，是指包括技術(shù)壁壘、綠色壁壘和社會壁壘在內(nèi)的所有阻礙國際商品、服務(wù)、資金、數(shù)據(jù)自由流動的新型壁壘。[注]參見彭繼增：“新貿(mào)易壁壘的內(nèi)容、特點及其對策”，《價格月刊》2005年第9期，第18頁。GDPR包含著“同意”“透明度”“自動化決策和數(shù)據(jù)畫像”“數(shù)據(jù)影響評估”“數(shù)據(jù)記錄”等大量指南、建議和標準，體現(xiàn)出技術(shù)壁壘特征；同時，通過宣示《歐洲人權(quán)公約》第 8 條、《歐盟基本權(quán)利憲章》第 7 條項下的“個人數(shù)據(jù)獲得保護的基本權(quán)利”，GDPR又具有鮮明的社會壁壘特征。[注]類似地，歐盟同樣將中國《網(wǎng)絡(luò)安全法》視為貿(mào)易和投資壁壘，參見“歐委會發(fā)布2017年度貿(mào)易和投資壁壘報告”，載http://www.mofcom.gov.cn/article/i/jyjl/m/201807/20180702762125.shtml，最后訪問時間：2018年9月30日。GDPR對跨境經(jīng)濟活動的阻礙集中反映在如下層面：

首先，GDPR限制了跨境提供貨物或服務(wù)。根據(jù)GDPR第3條第2款，如果歐盟以外的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體無償或有償?shù)靥峁┴浳锘蚍?wù)，或者對數(shù)據(jù)主體在歐盟境內(nèi)的行為進行監(jiān)控，就落在GDPR的長臂管轄之下。更重要的是，在涉及個人特殊數(shù)據(jù)處理時，企業(yè)還應(yīng)在歐盟境內(nèi)授權(quán)一名“代表”，以履行GDPR下所有的義務(wù)和責任。

其次，GDPR限制了數(shù)據(jù)的跨境流動。根據(jù)GDPR第五章的規(guī)定，歐盟內(nèi)的個人數(shù)據(jù)只允許流入歐盟認可的能提供“充分保護”或“適當保障措施”的國家或地區(qū)。其中，獲得歐盟的充分性認定是數(shù)據(jù)跨境流動的最佳途徑，但由于個人數(shù)據(jù)保護整體水平、數(shù)據(jù)流動現(xiàn)狀，以及與歐盟的政治、貿(mào)易關(guān)系,秉持的價值觀和目標等相關(guān)標準過于嚴苛，對中國在內(nèi)的大多數(shù)國家而言，這近乎是不可能完成的任務(wù)。而在所謂“適當保護措施”中，不論是采用有約束力的企業(yè)規(guī)則、歐盟批準的標準數(shù)據(jù)保護條款，還是遵守經(jīng)歐盟認可的第三方認證，其實質(zhì)均在于通過柔性規(guī)則，將GDPR的強制性規(guī)定擴張適用到歐盟外國家。正因如此，美國商務(wù)部長羅斯指出：GDPR對美國和歐盟以外的所有國家制造不必要的貿(mào)易壁壘，導(dǎo)致美國企業(yè)喪失數(shù)據(jù)的訪問權(quán)，擾亂歐美之間在金融監(jiān)管、醫(yī)學(xué)研究、應(yīng)急管理協(xié)調(diào)以及重要商業(yè)方面的合作。[注]參見羅斯：“歐盟數(shù)據(jù)隱私新規(guī)或制造貿(mào)易壁壘”，載http://www.ftchinese.com/story/001077857?full=y&archive，最后訪問時間：2019年9月30日。

最后，GDPR限制了資金的跨境流動。根據(jù)GDPR第3條第1款，只要營業(yè)機構(gòu)/營業(yè)場所設(shè)在歐盟境內(nèi)，企業(yè)均不得不承擔GDPR施加的高昂合規(guī)成本，而不論其個人數(shù)據(jù)處理活動是否發(fā)生在歐盟境內(nèi)。這無疑讓計劃進入歐盟的企業(yè)進退維谷。

總之，GDPR具有雙重效果：它一方面試圖通過統(tǒng)一的個人數(shù)據(jù)保護立法和執(zhí)法，推動歐盟境內(nèi)數(shù)字經(jīng)濟的發(fā)展，另一方面通過制度先發(fā)優(yōu)勢，攪動歐盟外的全球數(shù)字市場。就后者來說，歐盟實際上是利用GDPR向中美兩國企業(yè)和政府開出了一道難以回答的選擇題：要么讓企業(yè)操作規(guī)程或國內(nèi)法與GDPR保持一致，要么被5億富有消費者的市場排除在外。

二、GDPR對數(shù)字經(jīng)濟的可能的不利后果

甘瓜苦蒂，物無全美。GDPR必將產(chǎn)生正反兩方面的影響。不過，歐盟鑒于其在數(shù)字經(jīng)濟領(lǐng)域的相對落后地位以及數(shù)字生產(chǎn)和消費不平衡的市場結(jié)構(gòu)，無須過多顧忌GDPR的副作用，但從全球數(shù)字經(jīng)濟的宏觀視角觀察，GDPR絕非福音。

(一)GDPR可能戕害創(chuàng)新

企業(yè)合規(guī)成本的飆升是GDPR對數(shù)字經(jīng)濟最直觀的影響。Paul Hastings律師事務(wù)所調(diào)查了100家富時350指數(shù)公司和100家世界500強企業(yè)的總法律顧問和首席安全官，發(fā)現(xiàn)富時350指數(shù)公司平均將為GDPR增加43萬英鎊的支出，而世界500強企業(yè)增加的支出更高達100萬美元。[注]See Fortune and FTSE Firms to Spend Millions Gearing up for GDPR Compliance, New Survey Shows, at https://www.paulhastings.com/news/details/?id=1c74ed69-2334-6428-811c-ff00004cbded,last visited on Sep.30,2018.

不過，僅僅是合規(guī)成本的增多并不當然損及創(chuàng)新。正如波特假說所洞見的，在考慮市場不完美和競爭者之間策略互動的情形下，基于安全的規(guī)制有可能激勵企業(yè)進行創(chuàng)新補償，提高企業(yè)的利潤率，從而實現(xiàn)雙贏。[注]See Adam B.Jaffe & Karen Palmer,Environmental Regulation and Innovation: A Panel Data Study, The Review of Economics and Statistics, MIT Press, Vol.79(4), 1997,pp.610～619.但更細致的研究表明：因為合規(guī)成本的異質(zhì)性，強化規(guī)制對于規(guī)模不同的企業(yè)有著不同的影響，簡言之，規(guī)制可以提升合規(guī)成本相對較低的大企業(yè)的利潤率和數(shù)量，卻降低了合規(guī)成本相對較高的小企業(yè)的利潤率和數(shù)量。[注]參見龍小寧、萬威：“環(huán)境規(guī)制、企業(yè)利潤率與合規(guī)成本規(guī)模異質(zhì)性”，《中國工業(yè)經(jīng)濟》2017年第6期，第171頁。

不幸的是，在數(shù)字經(jīng)濟中，恰恰小企業(yè)才是創(chuàng)新的主體。這是因為，與工業(yè)時代的創(chuàng)新大多是改進既有技術(shù)、產(chǎn)品或商業(yè)模式的“維持性創(chuàng)新”不同，互聯(lián)網(wǎng)時代的創(chuàng)新大多是打破既有市場結(jié)構(gòu)的“顛覆性創(chuàng)新”。在這一創(chuàng)新過程中，遵循傳統(tǒng)軌道的在位大企業(yè)往往無法應(yīng)對動態(tài)創(chuàng)新而遭遇失敗，最終被新進入的小企業(yè)所替代。這一點業(yè)已被實證研究所證實。針對高新技術(shù)產(chǎn)業(yè)的調(diào)查表明: 企業(yè)規(guī)模和顛覆性創(chuàng)新的成功負相關(guān)。[注]See C.Markides, Disruptive Innovation: In Need of Better Theory, The Journal of Product Innovation Management, 23, No.1,2006,pp.19～25.因此，在數(shù)字經(jīng)濟中，在位大企業(yè)能成功地繼續(xù)保持其行業(yè)領(lǐng)先地位的唯一辦法，就是成立一個完全獨立的組織，并全權(quán)授權(quán)它使用全新商業(yè)模式創(chuàng)建一個全新的企業(yè)。

顯然，GDPR中數(shù)據(jù)控制者、數(shù)據(jù)處理者周密而細致的義務(wù)，對于小企業(yè)而言，是難以承受之重。相反，憑借著超大規(guī)模，GDPR對大企業(yè)的成本影響有限。不僅如此，隨著數(shù)據(jù)保護標準的提升，用戶更可能通過他們熟悉的網(wǎng)絡(luò)服務(wù)提供者或者必不可少的網(wǎng)絡(luò)平臺(例如領(lǐng)先的社交和商業(yè)網(wǎng)絡(luò))，而非新的不熟悉的競爭對手來進行數(shù)據(jù)處理。如此，GDPR最終可能會增強現(xiàn)任科技巨頭的地位，而不是促進其競爭對手的興起。事實上，在GDPR生效后不久，谷歌成功增加了其在線廣告市場的份額，因為它以高于同行的速度獲得用戶對定向行為廣告的明確同意。

事實上，歐盟并非沒有意識到GDPR對小企業(yè)的危害?？紤]到小企業(yè)缺乏充分的財力、人力來履行GDPR規(guī)定的書面記錄義務(wù)，其第30條第5款對雇員人數(shù)少于250人的企業(yè)或組織，給予了特別豁免。但GDPR同時指出，該義務(wù)免除有著三種限制：(1)數(shù)據(jù)處理行為可能給數(shù)據(jù)主體的權(quán)利或自由帶來風險。盡管該款在文意上沒有說明權(quán)利或自由的具體內(nèi)容，可從立法目的上看，只有處理行為有可能對數(shù)據(jù)主體的主要權(quán)利或?qū)嵸|(zhì)自由造成侵害時，該款才有適用的余地，從而將較小的風險排除在外。(2)數(shù)據(jù)處理行為是經(jīng)常性的。只有臨時性和輔助性的數(shù)據(jù)處理才能豁免，換言之，如果數(shù)據(jù)處理構(gòu)成營業(yè)的主要部分，則即便是小企業(yè)也不得免除書面記錄的義務(wù)。(3)涉及敏感數(shù)據(jù)或與刑事定罪或犯罪有關(guān)的信息。根據(jù)GDPR第9條第1款的規(guī)定，“敏感數(shù)據(jù)”包括種族、民族、政治觀點、宗教信仰、哲學(xué)信仰、工會成員資格、個人基因數(shù)據(jù)、生物特征數(shù)據(jù)、健康數(shù)據(jù)、性生活/性取向數(shù)據(jù)。鑒于敏感數(shù)據(jù)和犯罪數(shù)據(jù)一旦泄露就會給數(shù)據(jù)主體造成威脅，因此與該等數(shù)據(jù)相關(guān)的處理，不論方式如何均不得豁免。不過，根據(jù)GDPR第9條第2款的規(guī)定，企業(yè)為雇傭目的，對員工健康數(shù)據(jù)的處理不在此限。

綜合上述限制情形，不難發(fā)現(xiàn)，因為GDPR表述的模糊性，小企業(yè)將面臨非常不確定的執(zhí)法，由此它們可能不得不費時費力，像大企業(yè)一樣保留數(shù)據(jù)，這削弱了小微企業(yè)豁免的立法功能。GDPR對小企業(yè)的損害后果已顯。2018年5月底，幾家小型美國公司和科技創(chuàng)業(yè)公司已退出歐盟市場，以免與監(jiān)管相沖突并影響其存續(xù)。

(二)GDPR可能傷及互聯(lián)網(wǎng)成熟業(yè)態(tài)

2013年12月，為評估GDPR對數(shù)字經(jīng)濟的影響，著名會計師事務(wù)所德勤對英國、法國和德國的750家企業(yè)和6 000名消費者進行了訪談，針對數(shù)據(jù)收集和處理的四大數(shù)據(jù)產(chǎn)業(yè)，即直銷、行為定向廣告、網(wǎng)頁分析和信用信息進行了深入分析，發(fā)現(xiàn)GDPR將直接或間接地導(dǎo)致1 730億歐元的GDP損失以及280萬人的就業(yè)損失。這是僅限于歐盟之內(nèi)的數(shù)據(jù)，考慮到GDPR的跨境管轄和數(shù)據(jù)的跨境管控，這一數(shù)字肯定會進一步放大。[注]See Deloitte, Economic impact Assessment of the Proposed European General Data Protection Regulation.

1.直銷產(chǎn)業(yè)(Direct Marketing)

直銷是指通過信件、電話和電子郵件等多種方式向選定的潛在用戶直接進行商業(yè)推廣的廣告活動，系典型的數(shù)據(jù)密集型產(chǎn)業(yè)。由于成本低、效率高，對于小企業(yè)和立足利基市場的創(chuàng)新性產(chǎn)品而言，直銷是非常重要的銷售渠道。僅在2012年，歐盟的直銷產(chǎn)業(yè)就高達470億歐元。隨著GDPR的到來，只有在用戶主動、明確、具體地授權(quán)企業(yè)使用其個人數(shù)據(jù)之時，直銷才能開展，這大大改變了之前的數(shù)據(jù)“選擇退出”(opt-out)機制。但調(diào)查發(fā)現(xiàn)：一旦轉(zhuǎn)為明示授權(quán)，人們的決定就非常謹慎，只有40%左右的人同意企業(yè)利用直接收集的數(shù)據(jù)直銷，而同意利用間接收集數(shù)據(jù)直銷的更是不足20%，顯然，這將大幅影響直銷獲取客戶(acquisition )、維系客戶(retention)和交叉行銷(cross-selling)的范圍和效率，從而進一步影響直銷行業(yè)的收入、直銷使用企業(yè)的投資回報率和消費者福利。據(jù)估計，上述損失分別是330億歐元、280億歐元和240億歐元，合并計算即850億歐元，130萬人的就業(yè)也受到影響。

2.“行為定向廣告”行業(yè)(online behavioral advertising)

行為定向廣告是指通過深入觀察網(wǎng)站用戶的行為，利用網(wǎng)頁特性，準確地把握用戶的特征，根據(jù)其行為特征反映出用戶需求，再根據(jù)用戶的需求與偏好，針對性地投放廣告。行為定向廣告和互聯(lián)網(wǎng)普遍免費服務(wù)相結(jié)合，構(gòu)成了互聯(lián)網(wǎng)最主流的經(jīng)營模式，人們將之戲稱為“羊毛出在狗身上”。以谷歌2017年第四季度財報為例，行為定向廣告依舊是其最賺錢的業(yè)務(wù)，收入達272.7億美元，占了總收入的84%。更有甚者，世界最大社交網(wǎng)站Facebook的廣告收入占其總收入的比例高達98%。為了讓廣告投放精準高效，互聯(lián)網(wǎng)企業(yè)必須遵循幾千年來的一貫技巧——“了解你的客戶”(Know your customer)。幸運的是，憑借著日新月異的信息技術(shù)，要完成這一工作，互聯(lián)網(wǎng)公司不再需要費時費力的人際交流，通過代碼和軟件收集、分析盡可能多的用戶信息便已足夠。但在GDPR下，用戶的IP地址、Cookies和設(shè)備ID等個人數(shù)據(jù)的處理變得非常困難，利用用戶畫像的成本上升，由此歐盟遭受42億歐元的GDP損失并減少6 600個工作崗位。

3.網(wǎng)頁分析行業(yè)(web analytics)

網(wǎng)頁分析是指通過收集和分析網(wǎng)頁訪問者的訪問數(shù)據(jù)以及電子郵件回應(yīng)率、銷售與客戶資料、使用者效能資料等基礎(chǔ)數(shù)據(jù)，以幫助企業(yè)滿足客戶的訪問期待。通過網(wǎng)頁分析，客戶能夠獲得更貼心的線上體驗，便利其瀏覽信息、網(wǎng)站導(dǎo)航和電子交易。該行業(yè)在歐盟發(fā)展迅速，2012年至2014年，其收入就由8 000萬歐元增長到1.1億歐元。為了不影響用戶使用，網(wǎng)頁分析所使用的數(shù)據(jù)搜集技術(shù)(如“網(wǎng)頁埋點”)大多是嵌入式和隱蔽性的，這使其難以滿足GDPR的要求。據(jù)測算，GDPR將降低網(wǎng)頁分析及其相關(guān)行業(yè)8.8億歐元的收入，同時影響1.4萬人的就業(yè)。

4.信用信息行業(yè)(credit information)

如果信用制度是金融的基礎(chǔ)設(shè)施，信用信息就是金融的血液。在歐盟，信用調(diào)查機構(gòu)(credit reference agency)信息收集的來源非常廣泛，既包括負面信息也包括正面信息，既來自金融機構(gòu)，也來自公共機構(gòu)和日常零售商。GDPR不但增加了相關(guān)信息收集、使用和分享的成本，更重要的是，用戶的刪除權(quán)可能導(dǎo)致信用評分失真。德勤的調(diào)查顯示：之前有過拒絕貸款記錄的消費者中，有60%有意愿刪除個人數(shù)據(jù)，而沒有被拒絕歷史的消費者中，只有20%打算刪除。經(jīng)濟學(xué)研究早已發(fā)現(xiàn)，個人數(shù)據(jù)權(quán)利的提升與信用的有效利用并不兼容。以金融隱私指數(shù)(Financial Privacy Index)為指標，美國的個人數(shù)據(jù)保護弱于歐盟，但美國的信貸獲取比例高于歐盟各國。[注]See N.Jentzsch, The Regulation of Financial Privacy: The United States vs Europe, ECRI Research Report No.5, European Credit Research Institute (Brussels, 2003).

無獨有偶，就個人信息共享是否需要明示同意這一議題，美國加州各地采取了不同的規(guī)定，基于這一政策差異的經(jīng)濟學(xué)分析表明：在需要用戶明示同意才能共享信息的情形下，貸款違約率都上升了。[注]See Jin-Hyuk Kim and Liad Wagman, Screening Incentives and Privacy Protection in Financial Markets: A Theoretical and Empirical Analysis, The RAND Journal of Economics 46(1), 2015,pp.2～22.個人數(shù)據(jù)權(quán)利和信用功能的此長彼消，給金融機構(gòu)、小企業(yè)和普通消費者均帶來不利后果。金融機構(gòu)風控能力下降導(dǎo)致其面臨更高的信用風險，因此更不傾向于向小企業(yè)放貸，而消費者獲得房屋、汽車等消費貸款的幾率亦隨之下降。綜合來看，GDPR將令消費信貸下降19%，拖累GDP增速0.65個百分點，相當于造成每年830億歐元的損失并引發(fā)140萬人失業(yè)。

(三)GDPR可能阻礙新興產(chǎn)業(yè)的發(fā)展

眾所周知，信息技術(shù)的ABC——人工智能(AI)、區(qū)塊鏈(Blackchain)和云計算(Cloud Computing)——將塑造數(shù)字經(jīng)濟的未來，然而，GDPR對此卻缺乏遠見，無法回應(yīng)其挑戰(zhàn)。

1.人工智能

2018年年初，《終極算法》作者、人工智能著名學(xué)者、華盛頓大學(xué)教授 Pedro Domingos 在社交網(wǎng)絡(luò)中寫道：“自 5 月 25 日起，歐盟將會要求所有算法解釋其輸出原理，這意味著深度學(xué)習(xí)成為非法的方式?！边@并非空穴來風。針對算法向數(shù)據(jù)主體作出的自動化決定，GDPR予以明確規(guī)制。其第13條(f)和第14條(g)規(guī)定，如果個人數(shù)據(jù)將用于自動化決定，那么至少應(yīng)當向個人提供相關(guān)決定的重要性、對個人預(yù)期的影響以及有關(guān)運算邏輯的“有用信息”。比如，在銀行收集個人數(shù)據(jù)時，應(yīng)當告知其可能使用人工智能對貸款人資質(zhì)進行審核，而審核的最壞結(jié)果(如不批貸)也應(yīng)一并披露。并且，根據(jù)GDPR第22條的規(guī)定，如果個人對自動化決定不滿，則有權(quán)主張人工介入，以表達自己的觀點并提出質(zhì)疑。

上述兩個條款的結(jié)合，產(chǎn)生了針對人工智能的所謂“解釋權(quán)”，而這正是Pedro Domingos的擔憂所在。雖然有學(xué)者認為這一說法系對GDPR的誤讀，但根據(jù)WP29指南的要求，一旦用戶提出質(zhì)疑，數(shù)據(jù)控制者必須確保關(guān)于該決定的審查是有意義的。審查必須由有授權(quán)和有能力改變決定的人執(zhí)行。鑒于算法模型越復(fù)雜，就越需要投入更多的時間和專家開展人工審查，這些成本必將最終影響對AI的投資。[注]See Nick Wallace and Daniel Castro, The Impact of the EU’s New Data Protection Regulation on AI, at http://www2.datainnovation.org/2018-impact-gdpr-ai.pdf,last visited on Sep.30,2018.

2.區(qū)塊鏈

區(qū)塊鏈的分布式、匿名性、不可篡改性等典型特性與GDPR的規(guī)定存在先天抵牾。一方面，區(qū)塊鏈的去中心架構(gòu)使得識別數(shù)據(jù)控制者非常困難。倘若將參與多點記賬和多方共識的所有節(jié)點都視為控制者，那么令每個節(jié)點均承擔同等且嚴苛的數(shù)據(jù)控制者義務(wù)是不現(xiàn)實的；更嚴重的是，這意味著只要在歐盟境內(nèi)存在任一節(jié)點，全球化的公共鏈(如比特幣或以太坊)就全部落入GDPR的管轄下，這顯然是荒謬的。另一方面，除非以超過全系統(tǒng)一半以上的算力改寫，計入?yún)^(qū)塊鏈的信息將被永久儲存，從而與GDPR賦予個人的更正權(quán)、刪除權(quán)、被遺忘權(quán)直接沖突?？傊?，GDPR這一以數(shù)據(jù)控制者和數(shù)據(jù)處理者為對象的中心化規(guī)制思路與去中心化的區(qū)塊鏈格格不入，[注]See Michèle Finck，Blockchains and Data Protection in the European Union, Max Planck Institute for Innovation and Competition Research Paper No.18-01.只有GDPR在具體場景下作出適當?shù)耐讌f(xié)，才能與之兼容。

3.云計算

云計算是現(xiàn)代企業(yè)運營的一個組成部分，因為它通過降低成本提升了小企業(yè)競爭優(yōu)勢，根據(jù)國際數(shù)據(jù)公司(IDC)的預(yù)測，到2020年，超過80%的新興企業(yè)將使用云作為平臺。但GDPR將對這一產(chǎn)業(yè)造成嚴重影響。首先，GDPR對作為數(shù)據(jù)處理者的云服務(wù)商(CSP)施加了與數(shù)據(jù)控制者幾乎同等的義務(wù)和責任，例如設(shè)定數(shù)據(jù)保護官、數(shù)據(jù)泄露報告義務(wù)、數(shù)據(jù)可攜帶權(quán)，等等，即便CSP在歐盟境外亦是如此。其次，GDPR不當介入到云計算客戶與CSP的合同關(guān)系中，限制了雙方的經(jīng)營自由。質(zhì)言之，由于GDPR明確要求數(shù)據(jù)控制者對數(shù)據(jù)處理者的事前授權(quán)，目前常見的云服務(wù)集成、轉(zhuǎn)售業(yè)態(tài)都將面臨業(yè)務(wù)風險，因為控制者(云客戶)隨時可以行使反對權(quán)。[注]參見王融：“《歐盟數(shù)據(jù)保護通用條例》：十個誤解與爭議”，載http://www.sohu.com/a/229319518_455313，最后訪問時間：2018年9月30日。最后，GDPR默認的數(shù)據(jù)控制者與處理者二元主體劃分不能涵蓋云計算中多樣化的業(yè)務(wù)角色，CSP的地位在IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺即服務(wù))、SaaS(軟件即服務(wù))的不同場景中各有差異，難以統(tǒng)一適用GDPR。[注]See Sohail Razi Khan, Luis Borges Gouvia, The implication and challenges of GDPR’s on Cloud Computing Industry, International Journal of Computer Science,Volume 5, Issue 7,2017,pp.106～110.

三、GDPR的中國應(yīng)對之道

(一)積極化解我國法律與GDPR的沖突

考慮到GDPR對于歐盟的重大意義，其后續(xù)執(zhí)法力度和持續(xù)影響不可輕忽。2 000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%的重罰與長臂管轄相結(jié)合，構(gòu)成了針對中國企業(yè)的真實威嚇。因此，中國政府和企業(yè)應(yīng)對GDPR保持高度關(guān)注，尤其要避免因法律沖突將中國企業(yè)陷入困境。

1.數(shù)據(jù)主體權(quán)利的法律限制問題

GDPR允許國家通過立法限制數(shù)據(jù)主體和數(shù)據(jù)控制者權(quán)利，但根據(jù)其23條“限制條款”的規(guī)定，該等限制有著嚴格條件。

一是實質(zhì)要件，即相關(guān)法律應(yīng)符合基本權(quán)利和自由的本質(zhì)，且是民主社會應(yīng)采取的必要的適當?shù)拇胧跃S護(a)國家安全；(b)防衛(wèi)；(c)公共安全；(d)刑事犯罪的預(yù)防、調(diào)查、偵查、起訴或者刑事處罰的執(zhí)行，包括對公共安全威脅的防范和預(yù)防；(e)一般公共利益的其他重要目標，包括經(jīng)濟或財政利益、公共衛(wèi)生或社會保障；(f)司法獨立與司法程序的保護；(g)違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查、偵查和起訴；(h)監(jiān)督、檢查或相關(guān)的監(jiān)管職能：(i)對數(shù)據(jù)主體或其他人的權(quán)利與自由的保護：(j)民事請求權(quán)的執(zhí)行。

二是形式要件，即任何立法措施均應(yīng)至少包括如下方面的具體措施：(a)處理的目的或處理的類別；(b)個人數(shù)據(jù)的分類；(c)限制的范圍；(d)防止濫用或非法使用或傳輸?shù)谋Ｕ洗胧?e)控制者具體情況或控制者類型；(f)存儲期限和適用的保障措施，且需要考慮性質(zhì)、范圍和處理的目的或分類；(g)對數(shù)據(jù)主體權(quán)利和自由產(chǎn)生的風險；(h)數(shù)據(jù)主體被告知限制的權(quán)利。

GDPR的上述規(guī)定，是基于“數(shù)據(jù)權(quán)利是一項基本權(quán)利”這一共識。早在2007年12月，歐盟議會、歐盟委員會就頒布了旨在保障歐盟公民權(quán)利的《歐盟基本權(quán)利憲章》，其第8條將“個人數(shù)據(jù)受保護的權(quán)利”明確列入基本的自由權(quán)中。2016年，《歐盟數(shù)字基本權(quán)利憲章》(Charter of Digital Fundamental Rights of the European Union)進一步細化了數(shù)據(jù)權(quán)利的內(nèi)涵。作為一項基本權(quán)利，對數(shù)據(jù)權(quán)利的限制必須以高位階規(guī)范——法律方可作出。

但在中國，盡管《民法總則》第111條規(guī)定了“個人信息應(yīng)受法律保護”，但其權(quán)利性質(zhì)仍無定論。在實踐中，一方面通過行政法規(guī)、部門規(guī)章，甚至規(guī)范性文件限制數(shù)據(jù)權(quán)利的情形不勝枚舉，另一方面，即使通過法律加以限制，也大多缺乏形式要件。以向政府報送個人數(shù)據(jù)的法律為例，盡管《網(wǎng)絡(luò)安全法》第28條、《電子商務(wù)法》第27條均有明文，但并未規(guī)定防止濫用或非法使用或傳輸?shù)谋Ｕ洗胧?、存儲期限和適用的保障措施、對數(shù)據(jù)主體權(quán)利和自由產(chǎn)生的風險以及數(shù)據(jù)主體被告知限制的權(quán)利。因此，在企業(yè)遵守中國法律、法規(guī)、規(guī)章、規(guī)范性文件而降低個人數(shù)據(jù)的保護標準或違反其對數(shù)據(jù)主體的承諾，將難以使用GDPR第23條作為責任免除或減輕的抗辯理由。

有鑒于此，針對數(shù)據(jù)報送問題，我國宜及時立法，合理確定數(shù)據(jù)報送范圍，確立報送數(shù)據(jù)的合法性原則、比例原則、保密性原則、正當程序原則以及相關(guān)法定程序，進一步明確政府相關(guān)部門的數(shù)據(jù)保護義務(wù)與責任。

2.數(shù)據(jù)本地化存儲的問題

我國對數(shù)據(jù)本地化存儲的規(guī)定主要見于《網(wǎng)絡(luò)安全法》第37條，該條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！贝送猓瑖鴦?wù)院2013年的《征信業(yè)管理條例》、衛(wèi)計委 2014年的《人口健康信息管理辦法(試行)》、中國人民銀行2011年的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》、國家新聞出版廣電總局和工業(yè)和信息化部2016年的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、交通運輸部等部委聯(lián)合發(fā)布于2016年的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》等，都對數(shù)據(jù)本地化提出了明確要求。根據(jù)上述規(guī)定，相關(guān)數(shù)據(jù)的存儲、處理、訪問都必須在境內(nèi)進行。

我國數(shù)據(jù)本地化的要求與GDPR的監(jiān)管要求存在沖突。GDPR第58條“權(quán)力”條款賦予了歐盟各監(jiān)管機構(gòu)普遍的調(diào)查權(quán)力，特別是：命令數(shù)據(jù)控制者和處理者提供監(jiān)管機構(gòu)執(zhí)行任務(wù)所需的任何信息；以數(shù)據(jù)保護審計的方式開展調(diào)查；獲得所有個人數(shù)據(jù)的訪問路徑以及執(zhí)行任務(wù)所必要的信息；獲得控制者和處理者任何資產(chǎn)的訪問路徑，包括任何數(shù)據(jù)處理設(shè)備和處理方法。一旦歐盟監(jiān)管機構(gòu)向相關(guān)中國企業(yè)發(fā)出上述命令，則中國企業(yè)不得不陷入要么違反我國數(shù)據(jù)本地化規(guī)定，要么違反歐盟監(jiān)管機構(gòu)要求的兩難。

3.跨境傳輸限制的問題

由于我國在短期內(nèi)難以達到歐盟“充分性認定”的要求，GDRP對數(shù)據(jù)跨境傳輸?shù)南拗撇豢杀苊獾嘏c我國對中國企業(yè)及其數(shù)據(jù)的管轄權(quán)發(fā)生沖突。對此，GDPR第48條“未被歐盟法律授權(quán)的傳輸或披露”明確規(guī)定：“根據(jù)第三國法庭或?qū)徖砦瘑T會的判決和行政機構(gòu)的決定，要求控制者或處理者傳輸或披露個人數(shù)據(jù)的，當且僅當提出要求的第三國與歐盟或成員國存在有效的國際條約且不影響本章規(guī)定的其他傳輸依據(jù)時，判決和決定才可以被承認或執(zhí)行。”

為此，我國政府宜積極與歐盟委員會以及歐洲各層級數(shù)據(jù)保護機構(gòu)進行雙邊談判和磋商，推動形成多樣化的數(shù)據(jù)跨境流動方案，通過國際條約協(xié)定，盡快實現(xiàn)數(shù)據(jù)合理有序的跨境傳輸。

4.數(shù)據(jù)存儲期限的問題

GDPR第5條“與個人數(shù)據(jù)處理相關(guān)的原則”中(e)規(guī)定：“允許以數(shù)據(jù)主體可識別的形式保存數(shù)據(jù)的時間不得超過數(shù)據(jù)處理目的之必要。”這一被稱為“存儲期限必要最短”(storage limitation)的原則與GDPR第17條“刪除權(quán)(被遺忘權(quán))”相結(jié)合，構(gòu)成了數(shù)據(jù)控制者對數(shù)據(jù)存儲的期限要求。然而，由于中國法律、法規(guī)、規(guī)章對數(shù)據(jù)存儲期限的強制性要求，個人數(shù)據(jù)可能被超過處理目的的長期存儲，或者無法毫不遲延地回應(yīng)數(shù)據(jù)主體刪除數(shù)據(jù)的主張。例如，《電子商務(wù)法》第31條規(guī)定：“……商品和服務(wù)信息、交易信息保存時間自交易完成之日起不少于三年……”《征信業(yè)管理條例》第16條規(guī)定：“征信機構(gòu)對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當予以刪除?！薄毒W(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》第27條規(guī)定：“網(wǎng)約車平臺公司應(yīng)當遵守國家網(wǎng)絡(luò)和信息安全有關(guān)規(guī)定，所采集的個人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當在中國內(nèi)地存儲和使用，保存期限不少于2年……”

面對這一問題，我國宜及時進行法規(guī)清理，提升法律位階，立足于公共利益，在堅持保存期限“必要最短”的前提下，統(tǒng)一規(guī)定個人數(shù)據(jù)保存期限。同時，僅在例外情形下，才恰當、合理地設(shè)定特殊保存期限。

(二)審慎借鑒GDPR規(guī)則

當前我國正處于制定《個人信息保護法》的關(guān)鍵時期，如何平衡數(shù)字經(jīng)濟發(fā)展和個人信息權(quán)利之間的關(guān)系，是其首要定位問題。作為全球個人數(shù)據(jù)保護的引領(lǐng)者，GDPR不但有著豐富詳盡的規(guī)則指引，還占據(jù)了人格尊嚴和人格自由的價值制高點，成為多國競相效仿的對象。但是，正如本文所揭示的，我們必須直抵其本質(zhì)，發(fā)掘其內(nèi)在的邏輯理路，權(quán)衡得失利弊，探索我國自己的發(fā)展道路。

我們應(yīng)首先認識到：GDPR在個人數(shù)據(jù)保護與數(shù)字經(jīng)濟間的平衡遠非成功。GDPR前言第2條將“加強歐盟內(nèi)部市場經(jīng)濟體融合”和“增進自然人福祉”作為其雙重目標，前言第4條進一步規(guī)定：“個人數(shù)據(jù)受保護的權(quán)利并非絕對權(quán)利；還必須考慮其社會功用，并依據(jù)比例原則與其他基本權(quán)利保持平衡”，這與前述GDPR正文第1條下“個人數(shù)據(jù)保護”與“數(shù)據(jù)自由流動”的宗旨宣示相呼應(yīng)，然而，GDPR具體規(guī)則的設(shè)計卻顯著倒向前者，雙重目標顯著失衡了。[注]參見方禹：“GDPR前言強調(diào)個人信息保護與自由流動的平衡”，載https://new.qq.com/omn/20180620/20180620A146VO.html，最后訪問時間：2018年9月30日。

這首先是因為數(shù)據(jù)權(quán)利條款是明確和可執(zhí)行的，而例外條款是模糊和不確定的。[注]例如，GDPR第6條規(guī)定了六種數(shù)據(jù)處理合法性基礎(chǔ)，但除了“數(shù)據(jù)主體同意”外，其他如“公共利益”“數(shù)據(jù)控制者正當利益”等尚不存在明確的指引。其次，從法理上看，實因歐盟對個人數(shù)據(jù)權(quán)利設(shè)定多基于大陸法系絕對權(quán)的進路，其固然引入了風險概念，但并沒有根據(jù)數(shù)字經(jīng)濟業(yè)態(tài)和企業(yè)不同場景，進行因地制宜地公法調(diào)整，從而與美國個人數(shù)據(jù)保護形成鮮明對照。2012年的美國《消費者隱私權(quán)利法案》以“透明度”“尊重場景”“集中收集與有責利用”“安全維護”“責任界定”為核心，并規(guī)定由業(yè)界根據(jù)此綱領(lǐng)性內(nèi)容制定實施細則予以細化。[注]See Office of the Press Secretary, We Can’t Wait: Obama Administration Unveils Blueprint for a “Privacy Bill of Rights” to Protect Consumers Online, at https://obamawhitehouse.archives.gov/the-press-office/2012/02/23/we-can-t-wait-obama-administration-unveils-blueprint-privacy-bill-rights,last visited on Sep.30,2018.亦如人們廣泛比較歐盟和美國個人數(shù)據(jù)法律后所言：諸如目的限定、存儲期限必要最短等保護規(guī)則，美國同樣存在，但更為緩和與富有彈性。[注]See LIBE Committee, A Comparison between US and EU Data Protection Legislation for Law Enforcement, at http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf,last visited on Sep.30,2018.而在歐盟整齊劃一執(zhí)法的同時，就可能引發(fā)過分規(guī)制或規(guī)制不足的問題，甚至造成殺雞用牛刀、得不償失的結(jié)果。最后，在更深的層次上，GDRP的這一失衡，未嘗不是為了服務(wù)于歐盟保護本地企業(yè)，壓制數(shù)字經(jīng)濟先發(fā)國家的隱藏企圖。

我們還應(yīng)認識到：在個人信息保護和數(shù)字經(jīng)濟之間，不可能有完美的中間點，而只有動態(tài)均衡一途。然則，如何取舍？要言之，我們應(yīng)“執(zhí)其兩端，用其中于民”，這里的“民”就是堅持經(jīng)濟發(fā)展以滿足人們對美好生活向往的大方向。在我國經(jīng)濟長期處在新常態(tài)的背景下，數(shù)字經(jīng)濟已經(jīng)成為重要的增長點和就業(yè)渠道。[注]2018年9月，發(fā)改委出臺《關(guān)于發(fā)展數(shù)字經(jīng)濟穩(wěn)定并擴大就業(yè)的指導(dǎo)意見》，要求以大力發(fā)展數(shù)字經(jīng)濟促進就業(yè)為主線，不斷拓展就業(yè)創(chuàng)業(yè)新空間，著力實現(xiàn)更高質(zhì)量和更充分就業(yè)。盡管我國數(shù)字經(jīng)濟的成就為世人矚目，但正如麥肯錫《數(shù)字中國：為經(jīng)濟帶來全球競爭力》的報告所表明，美國的數(shù)字化水平仍比我國高出4.9倍，我們還有很長的路要走。正因如此，在堅持個人數(shù)據(jù)保護底線的前提下，適當促進數(shù)字經(jīng)濟增長才是當下我國制度選擇的“中道”。

結(jié) 語

2018年4月20日到21日，在全國網(wǎng)絡(luò)安全和信息化工作會議上。習(xí)近平總書記強調(diào)指出，要發(fā)展數(shù)字經(jīng)濟，加快推動數(shù)字產(chǎn)業(yè)化，依靠信息技術(shù)創(chuàng)新驅(qū)動，不斷催生新產(chǎn)業(yè)新業(yè)態(tài)新模式，用新動能推動新發(fā)展?？梢灶A(yù)見，在未來很長時期內(nèi)，數(shù)字經(jīng)濟依然是我國的優(yōu)位目標。我們應(yīng)洞察GDPR的經(jīng)濟實質(zhì)和對數(shù)字產(chǎn)業(yè)的不利影響，立足中國問題、堅持中國立場，在我國未來制定《個人信息保護法》時應(yīng)審慎借鑒相關(guān)規(guī)則，作出符合我國長遠利益的制度設(shè)計。