GDPR對(duì)我國(guó)數(shù)字經(jīng)濟(jì)企業(yè)的影響及建議

魏書(shū)音

（賽迪智庫(kù)網(wǎng)絡(luò)空間研究所，北京100846）

1 引言

2018年5月25日，《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)GDPR）正式實(shí)施。GDPR致力于建立數(shù)字時(shí)代歐盟統(tǒng)一的數(shù)據(jù)保護(hù)規(guī)則，將替代《1 9 9 5年個(gè)人數(shù)據(jù)保護(hù)指令》，在諸多方面做出了重大變革，如賦予個(gè)人數(shù)據(jù)刪除權(quán)和攜帶權(quán)、限制數(shù)據(jù)分析（Prof iling）活動(dòng)等，給予公民更多對(duì)個(gè)人數(shù)據(jù)的控制權(quán)，并要求企業(yè)承擔(dān)更多數(shù)據(jù)保護(hù)責(zé)任。對(duì)數(shù)字經(jīng)濟(jì)企業(yè)而言，如何清楚認(rèn)識(shí)GDPR新規(guī)則，重新構(gòu)建符合GDPR要求的合規(guī)體系，以及合法開(kāi)展個(gè)人數(shù)據(jù)相關(guān)的技術(shù)研發(fā)和業(yè)務(wù)模式，開(kāi)拓歐洲市場(chǎng)，成為需要解決的重要問(wèn)題。

2 GDPR對(duì)我國(guó)數(shù)字經(jīng)濟(jì)企業(yè)的影響

2.1 企業(yè)將面臨極大的合規(guī)運(yùn)營(yíng)挑戰(zhàn)

一是以個(gè)人自決權(quán)為核心的嚴(yán)格個(gè)人信息保護(hù)需要企業(yè)投入大量資源。GDPR對(duì)個(gè)人信息的保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，以個(gè)人權(quán)益出發(fā)，賦予用戶(hù)查閱權(quán)、拒絕權(quán)、刪除權(quán)、更正權(quán)、攜帶權(quán)、獲得救濟(jì)權(quán)等一系列權(quán)利，并要求各成員國(guó)將之提升到保護(hù)自然人基本人權(quán)和自由以及消費(fèi)者特殊權(quán)利的高度，強(qiáng)調(diào)公民對(duì)個(gè)人信息從數(shù)據(jù)收集到刪除全生命周期的控制權(quán)和決定權(quán)。這些合規(guī)要求將迫使企業(yè)改變處理、存儲(chǔ)和保護(hù)用戶(hù)個(gè)人數(shù)據(jù)的方式。如“被遺忘權(quán)”“可攜帶權(quán)”要求企業(yè)完整地了解自己掌握的用戶(hù)個(gè)人信息，包括信息的數(shù)量、類(lèi)型、存儲(chǔ)位置、應(yīng)用的場(chǎng)景等，并在用戶(hù)提出索求時(shí)能夠準(zhǔn)確、及時(shí)地提供。滿足此類(lèi)合規(guī)性要求需要投入大量的人力、財(cái)力才能得以實(shí)現(xiàn)，有調(diào)查顯示，為符合GDPR，超過(guò)60%的公司需要額外支出100萬(wàn)美元。

二是法律的模糊性和不確定性對(duì)企業(yè)構(gòu)建合規(guī)體系造成極大挑戰(zhàn)。一方面，GDPR規(guī)則多以“原則、要求及其所達(dá)到的效果”為主，沒(méi)有對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商如何落實(shí)規(guī)則的詳盡步驟和規(guī)范，如“采取措施確保……”需要根據(jù)業(yè)務(wù)特征和組織架構(gòu)構(gòu)建適合企業(yè)自身發(fā)展的數(shù)據(jù)保護(hù)體系。這即為企業(yè)數(shù)據(jù)保護(hù)留下空間，也弱化了對(duì)行為的指導(dǎo)性，增加了合規(guī)的不確定性。另一方面，全新的法律原則、權(quán)利體系都尚存爭(zhēng)議，有待進(jìn)一步澄清和解釋?zhuān)鐢?shù)據(jù)可攜帶權(quán)、數(shù)據(jù)保護(hù)官制度、自動(dòng)決策和畫(huà)像等問(wèn)題，在實(shí)務(wù)中可供參考的案例也寥寥無(wú)幾。

三是需要面對(duì)不同國(guó)家法律沖突的難題。在法律適用問(wèn)題上，由于GDPR確立“長(zhǎng)臂管轄”原則，設(shè)定了廣泛的司法管轄權(quán)，可能產(chǎn)生與他國(guó)法律之間的沖突。法律沖突問(wèn)題將導(dǎo)致企業(yè)在建立統(tǒng)一的合規(guī)體系、降低運(yùn)營(yíng)成本方面需兼顧多國(guó)法律，在某些情況下不可避免地產(chǎn)生合規(guī)矛盾問(wèn)題，比如微軟隱私案中就存在歐盟GDPR與美國(guó)SCA（存儲(chǔ)通訊法案）間的法律沖突。

2.2 企業(yè)在歐盟經(jīng)營(yíng)業(yè)務(wù)將受到一定限制

一是限制企業(yè)間合作形式。對(duì)于云計(jì)算業(yè)務(wù)，GDPR規(guī)定了云服務(wù)商和云客戶(hù)之間的權(quán)利義務(wù)配置，為了實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的全面保障，要求數(shù)據(jù)控制者（云客戶(hù)）和數(shù)據(jù)處理者（云服務(wù)商）承擔(dān)同等數(shù)據(jù)保障責(zé)任，如果沒(méi)有數(shù)據(jù)控制者授權(quán)，數(shù)據(jù)處理者不應(yīng)再委托其他數(shù)據(jù)處理者，對(duì)于涉及到補(bǔ)充或替換其他數(shù)據(jù)處理者的變動(dòng)，數(shù)據(jù)處理者都應(yīng)當(dāng)告知數(shù)據(jù)控制者，數(shù)據(jù)控制者有權(quán)反對(duì)變更。在此要求下，目前市場(chǎng)上云服務(wù)的集成、轉(zhuǎn)售業(yè)態(tài)都將面臨業(yè)務(wù)風(fēng)險(xiǎn)。同時(shí)，這意味著得不到上層應(yīng)用的書(shū)面通知，底層的基礎(chǔ)設(shè)施和平臺(tái)就不能對(duì)數(shù)據(jù)進(jìn)行處理，如PaaS平臺(tái)發(fā)展任何一個(gè)用戶(hù)、開(kāi)發(fā)任何一個(gè)應(yīng)用，都必須事先征得IaaS廠商的同意，這條規(guī)定在目前云服務(wù)場(chǎng)景中很難實(shí)現(xiàn)。

二是挑戰(zhàn)企業(yè)的運(yùn)營(yíng)模式。利用收集和掌握的大量用戶(hù)個(gè)人信息，通過(guò)對(duì)用戶(hù)行為的分析產(chǎn)生直接（如精準(zhǔn)廣告投放）或間接（如根據(jù)行為進(jìn)行畫(huà)像來(lái)提供一些更精準(zhǔn)、個(gè)性化的服務(wù)）的收益這是目前很多國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)的盈利模式。GDPR賦予了歐洲公民可以拒絕企業(yè)利用搜集到的個(gè)人信息來(lái)進(jìn)行自動(dòng)判斷和決策的權(quán)利。這種拒絕權(quán)可能會(huì)導(dǎo)致企業(yè)在歐盟不能利用個(gè)人信息來(lái)進(jìn)行客戶(hù)畫(huà)像和自動(dòng)推薦等，給很多強(qiáng)調(diào)用戶(hù)體驗(yàn)和個(gè)性化服務(wù)的大數(shù)據(jù)企業(yè)和互聯(lián)網(wǎng)企業(yè)帶來(lái)了商業(yè)模式上的沖擊。

三是技術(shù)發(fā)展資源獲取更為困難。如對(duì)于人工智能，作為其核心技術(shù)的深度學(xué)習(xí)需要通過(guò)收集海量數(shù)據(jù)不斷成熟，進(jìn)而智能分析并得出結(jié)論。根據(jù)GDPR，網(wǎng)絡(luò)運(yùn)營(yíng)者收集用戶(hù)數(shù)據(jù)需滿足嚴(yán)格的條件，并且必須滿足用戶(hù)刪除數(shù)據(jù)的要求，沒(méi)有用戶(hù)數(shù)據(jù)信息或者收集的用戶(hù)信息不全面勢(shì)必影響到人工智能的分析結(jié)果。

2.3 可能面臨以“隱私保護(hù)”為由的貿(mào)易壁壘

一是WTO規(guī)則將隱私保護(hù)作為限制跨境服務(wù)貿(mào)易的正當(dāng)依據(jù)。1994年WTO框架下的《服務(wù)貿(mào)易總協(xié)定》(GATS)中明確了成員國(guó)可以隱私保護(hù)為由限制跨境服務(wù)貿(mào)易。歐洲各國(guó)可通過(guò)WTO將成員國(guó)對(duì)數(shù)據(jù)處理和傳播過(guò)程中的個(gè)人數(shù)據(jù)保護(hù)立法轉(zhuǎn)變?yōu)橐环N合法限制國(guó)際自由貿(mào)易的措施。而在國(guó)際法律層面，各國(guó)之間關(guān)于個(gè)人信息保護(hù)的分歧并未得到有效解決，由此引發(fā)的國(guó)際貿(mào)易戰(zhàn)將不可避免。

二是我國(guó)的數(shù)據(jù)保護(hù)現(xiàn)狀不符合歐盟要求。在跨境數(shù)據(jù)流動(dòng)方面，GDPR設(shè)立白名單制度作為一種數(shù)據(jù)流動(dòng)途徑，規(guī)定歐盟公民的個(gè)人數(shù)據(jù)只能向那些已經(jīng)達(dá)到與歐盟數(shù)據(jù)保護(hù)水平相一致的國(guó)家或地區(qū)流動(dòng)，審查標(biāo)準(zhǔn)參照歐盟數(shù)據(jù)保護(hù)水平，主要考慮兩方面的因素：（1）第三國(guó)個(gè)人數(shù)據(jù)保護(hù)法律法規(guī)的內(nèi)容；（2）相關(guān)法律法規(guī)落實(shí)的情況。具體衡量標(biāo)準(zhǔn)包括對(duì)人權(quán)和基本自由的尊重等西方價(jià)值觀。

我國(guó)數(shù)據(jù)安全管理水平遠(yuǎn)未到達(dá)歐盟要求，在立法方面，尚未制定關(guān)于個(gè)人信息保護(hù)的專(zhuān)門(mén)法律，對(duì)于個(gè)人信息使用的相關(guān)規(guī)定還停留在“合法使用”等模糊、籠統(tǒng)規(guī)則上；在執(zhí)法方面，行政部門(mén)執(zhí)法不嚴(yán)，多停留在約談、責(zé)令整改等階段，內(nèi)容目前還集中在對(duì)隱私條款等規(guī)章制度的審查方面，未深入到數(shù)據(jù)使用的層面。

三是可能面臨以隱私保護(hù)為由的貿(mào)易壁壘。在貿(mào)易保護(hù)主義、“中國(guó)威脅論”重新抬頭的環(huán)境下，“隱私保護(hù)”這一事由可能被國(guó)外監(jiān)管機(jī)構(gòu)或者競(jìng)爭(zhēng)對(duì)象濫用，如借用人權(quán)問(wèn)題否定中國(guó)政府的隱私保護(hù)水平，中國(guó)企業(yè)可能面臨“隱私保護(hù)不力”等貿(mào)易壁壘，成為實(shí)施雙重標(biāo)準(zhǔn)、構(gòu)建新式貿(mào)易壁壘的借口。

3 應(yīng)對(duì)建議

3.1 政府應(yīng)完善數(shù)據(jù)安全管理制度，引導(dǎo)企業(yè)培養(yǎng)個(gè)人信息安全保護(hù)的戰(zhàn)略意識(shí)

一是推動(dòng)《個(gè)人信息保護(hù)法》盡快出臺(tái)，完善數(shù)據(jù)安全管理制度，細(xì)化數(shù)據(jù)收集階段的規(guī)定，強(qiáng)化數(shù)據(jù)處理階段的透明度等要求，建立健全數(shù)據(jù)備案、分享、評(píng)估認(rèn)證等制度。

二是持續(xù)跟蹤研判歐盟最新執(zhí)法動(dòng)向和趨勢(shì)，對(duì)GDPR有清醒的認(rèn)識(shí)和準(zhǔn)確的預(yù)判，指導(dǎo)企業(yè)加強(qiáng)重視，及時(shí)有效應(yīng)對(duì)違規(guī)問(wèn)題和風(fēng)險(xiǎn)。

三是積極組織專(zhuān)題宣傳培訓(xùn)和研討交流活動(dòng)，在執(zhí)法檢查過(guò)程中加強(qiáng)監(jiān)督引導(dǎo)，培養(yǎng)企業(yè)個(gè)人信息保護(hù)戰(zhàn)略意識(shí)，將個(gè)人信息安全保護(hù)作為占有市場(chǎng)和增強(qiáng)用戶(hù)粘性的戰(zhàn)略舉措。采取閉環(huán)管理的理念，在設(shè)計(jì)系統(tǒng)架構(gòu)之初就應(yīng)該把安全因素納入架構(gòu)設(shè)計(jì)范圍，變被動(dòng)為主動(dòng)，逐步培養(yǎng)起安全與發(fā)展并重的良性大數(shù)據(jù)產(chǎn)業(yè)生態(tài)環(huán)境。

四是鼓勵(lì)數(shù)字經(jīng)濟(jì)企業(yè)與網(wǎng)絡(luò)安全企業(yè)建立長(zhǎng)期合作伙伴關(guān)系，為其數(shù)據(jù)安全管理提供全方位的咨詢(xún)和服務(wù)，尤其加強(qiáng)對(duì)企業(yè)技術(shù)負(fù)責(zé)人、重點(diǎn)崗位員工的個(gè)人信息保護(hù)培訓(xùn)。

3.2 政府應(yīng)完善有關(guān)數(shù)字貿(mào)易爭(zhēng)端的預(yù)警機(jī)制，及時(shí)應(yīng)對(duì)以隱私保護(hù)為由的貿(mào)易壁壘

一是建立高效的預(yù)警和應(yīng)對(duì)機(jī)制。時(shí)刻關(guān)注WTO的通報(bào)和有關(guān)國(guó)家的最新動(dòng)態(tài), 做好對(duì)歐貿(mào)易政策的跟蹤和分析，及時(shí)將重要信息反饋給有關(guān)機(jī)構(gòu)和行業(yè)組織。加強(qiáng)有關(guān)數(shù)據(jù)安全問(wèn)題的外貿(mào)摩擦準(zhǔn)備工作，針對(duì)以隱私保護(hù)為由的貿(mào)易壁壘措施，聯(lián)合行業(yè)協(xié)會(huì)建立完善的應(yīng)對(duì)體系。

二是積極主動(dòng)發(fā)聲，對(duì)不合理的、明顯有失公平的貿(mào)易壁壘，有針對(duì)性地采取反擊手段，并在必要時(shí)向世界貿(mào)易組織提出上訴, 利用WTO裁決機(jī)構(gòu)對(duì)歐濫用以數(shù)據(jù)保護(hù)為由的貿(mào)易壁壘形成制約。

三是制定數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)國(guó)際化戰(zhàn)略，積極參與相關(guān)國(guó)際標(biāo)準(zhǔn)的制定，提升我國(guó)在數(shù)據(jù)保護(hù)方面的國(guó)際話語(yǔ)權(quán)和規(guī)則制定權(quán)。

3.3 企業(yè)應(yīng)理清義務(wù)責(zé)任和違規(guī)風(fēng)險(xiǎn)點(diǎn)，加強(qiáng)數(shù)據(jù)安全監(jiān)管

一是理清各項(xiàng)業(yè)務(wù)中所擔(dān)任的法律主體及其相對(duì)應(yīng)的責(zé)任，以及與第三方企業(yè)的責(zé)任劃分，加強(qiáng)對(duì)第三方的數(shù)據(jù)安全管理，限定與第三方進(jìn)行數(shù)據(jù)服務(wù)交換的范圍和方式，明確第三方使用數(shù)據(jù)的規(guī)則，并與第三方簽訂權(quán)責(zé)清晰的數(shù)據(jù)使用協(xié)議。

二是全面掌握企業(yè)所存儲(chǔ)的數(shù)據(jù)種類(lèi)和類(lèi)型，以及不同數(shù)據(jù)的泄露風(fēng)險(xiǎn)的可能性，對(duì)其所搜集和掌握的個(gè)人信息有一個(gè)清晰的脈絡(luò)圖，并據(jù)此建立的數(shù)據(jù)風(fēng)險(xiǎn)模型予以分類(lèi)管理。

三是參照《個(gè)人信息保護(hù)規(guī)范》等國(guó)家標(biāo)準(zhǔn)完善數(shù)據(jù)監(jiān)管制度措施，其中包括數(shù)據(jù)收集、使用和監(jiān)管等，并在此基礎(chǔ)上按照GDPR要求補(bǔ)齊短板。

3.4 企業(yè)應(yīng)加快創(chuàng)新服務(wù)模式和安全技術(shù)，通過(guò)轉(zhuǎn)型升級(jí)鞏固歐盟市場(chǎng)

GDPR將會(huì)在一定程度上淘汰那些低水平、侵犯?jìng)€(gè)人信息權(quán)的數(shù)據(jù)營(yíng)利模式，從而涌現(xiàn)更多高水平、科學(xué)性的服務(wù)模式。企業(yè)在應(yīng)對(duì)合規(guī)性的同時(shí)，要把握機(jī)遇，加快轉(zhuǎn)型升級(jí)，以此鞏固歐盟市場(chǎng)。

一是創(chuàng)新大數(shù)據(jù)技術(shù)服務(wù)模式，規(guī)避法律風(fēng)險(xiǎn)。加快大數(shù)據(jù)服務(wù)模式創(chuàng)新，改變簡(jiǎn)單依靠搜集個(gè)人信息并不加處理直接利用的商業(yè)模式，提升企業(yè)的數(shù)據(jù)分析、建模能力等大數(shù)據(jù)服務(wù)能力，圍繞數(shù)據(jù)全生命周期各階段需求，發(fā)展數(shù)據(jù)采集、清洗、分析、交易、安全防護(hù)等技術(shù)服務(wù)，培育數(shù)據(jù)服務(wù)新模式和新業(yè)態(tài)。

二是提升大數(shù)據(jù)安全技術(shù)產(chǎn)品研發(fā)水平，以新技術(shù)應(yīng)對(duì)新要求，降低合規(guī)成本。針對(duì)網(wǎng)絡(luò)信息安全新形勢(shì)，加強(qiáng)大數(shù)據(jù)安全技術(shù)產(chǎn)品研發(fā)，重點(diǎn)研究大數(shù)據(jù)環(huán)境下的統(tǒng)一賬號(hào)、認(rèn)證、授權(quán)和審計(jì)體系及大數(shù)據(jù)加密和密級(jí)管理體系，推廣防泄露、防竊取、匿名化等大數(shù)據(jù)保護(hù)技術(shù)，研發(fā)大數(shù)據(jù)安全保護(hù)產(chǎn)品和解決方案，通過(guò)技術(shù)措施降低合規(guī)成本。

4 結(jié)束語(yǔ)

目前，國(guó)內(nèi)企業(yè)個(gè)人信息保護(hù)水平還亟待提高。僅就隱私條款來(lái)說(shuō)，網(wǎng)絡(luò)運(yùn)營(yíng)者以“一攬子協(xié)議”強(qiáng)迫用戶(hù)同意、隱秘收集、誘騙收集個(gè)人信息的現(xiàn)象屢見(jiàn)不鮮。2017年全國(guó)人大常委會(huì)的“一法一決定”執(zhí)法檢查“萬(wàn)人調(diào)查報(bào)告”顯示：有49.6%的受訪者曾遇到過(guò)度收集用戶(hù)信息現(xiàn)象。許多受訪者反映，當(dāng)前免費(fèi)應(yīng)用程序普遍存在過(guò)度收集用戶(hù)信息、侵犯?jìng)€(gè)人隱私問(wèn)題，但幾乎沒(méi)有受到任何監(jiān)管和依法懲處。中國(guó)的互聯(lián)網(wǎng)企業(yè)對(duì)于個(gè)人信息保護(hù)的重要性認(rèn)識(shí)可能并不缺乏，但是因?yàn)樾姓块T(mén)多年來(lái)執(zhí)法不嚴(yán)，多停留在約談、責(zé)令整改等階段，實(shí)質(zhì)性的行政處罰非常少，即使發(fā)生大規(guī)模嚴(yán)重的數(shù)據(jù)泄露事件，也只是運(yùn)動(dòng)式的專(zhuān)項(xiàng)行動(dòng)打擊等，未真正觸及過(guò)其痛點(diǎn)，以致于很多企業(yè)高管對(duì)于個(gè)人信息保護(hù)問(wèn)題已經(jīng)麻木。但是，GDPR對(duì)個(gè)人信息的保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，需要大多數(shù)企業(yè)投入大量的人力、財(cái)力才能得以實(shí)現(xiàn)，將迫使企業(yè)改變他們處理、存儲(chǔ)和保護(hù)用戶(hù)個(gè)人數(shù)據(jù)的方式，應(yīng)引起企業(yè)的高度重視，尤其對(duì)于有意開(kāi)拓歐洲市場(chǎng)的企業(yè)，加強(qiáng)預(yù)判研究，積極進(jìn)行合規(guī)性評(píng)估。