論歐盟《一般數(shù)據(jù)保護(hù)條例》及對(duì)我國(guó)的啟示

胡超南

廣東外語(yǔ)外貿(mào)大學(xué)歐洲研究中心，廣東 廣州 510420

一、《一般數(shù)據(jù)保護(hù)條例》出臺(tái)的背景

經(jīng)濟(jì)社會(huì)的發(fā)展和信息技術(shù)的飛速進(jìn)步不僅給人們帶來(lái)了生活的便利，也加重了人對(duì)相關(guān)技術(shù)和設(shè)備的依賴。用戶在使用智能手機(jī)和互聯(lián)網(wǎng)服務(wù)的同時(shí)，將不可避免地把相關(guān)的使用“痕跡”留在互聯(lián)網(wǎng)上?；ヂ?lián)網(wǎng)服務(wù)提供商在對(duì)用戶的數(shù)據(jù)進(jìn)行處理時(shí)，難免會(huì)濫用支配地位，侵犯?jìng)€(gè)人隱私。生活中用戶的個(gè)人數(shù)據(jù)被販賣用于營(yíng)銷、詐騙的案例已屢見不鮮。更有甚者，一旦海量的個(gè)人隱私數(shù)據(jù)被別有用心的外國(guó)政府部門利用，更將會(huì)對(duì)本國(guó)的安全造成極大威脅。無(wú)論是出于對(duì)個(gè)人隱私權(quán)的保護(hù)還是維護(hù)國(guó)家安全，在當(dāng)今社會(huì)加強(qiáng)保護(hù)個(gè)人隱私數(shù)據(jù)的立法工作都極有必要。早在1995年，歐盟就立法實(shí)施了《歐洲數(shù)據(jù)保護(hù)指令》，為歐盟成員國(guó)立法保護(hù)個(gè)人的數(shù)據(jù)建立了最低標(biāo)準(zhǔn)。隨著歐盟的擴(kuò)大和信息技術(shù)的不斷創(chuàng)新，歐盟在2016年4月頒布《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)，旨在加強(qiáng)個(gè)人數(shù)據(jù)的保護(hù)，以實(shí)現(xiàn)一個(gè)自由、安全與正義之歐洲的目標(biāo)。

二、《一般數(shù)據(jù)保護(hù)條例》的主要特點(diǎn)

《一般數(shù)據(jù)保護(hù)條例》是在延續(xù)加強(qiáng)個(gè)人隱私數(shù)據(jù)保護(hù)基本思路的基礎(chǔ)上，擴(kuò)大并加強(qiáng)了九十年代指令的最新立法成果，原有的34條法律擴(kuò)展到99條，同時(shí)也增加了一些新規(guī)定、新權(quán)利，其主要特點(diǎn)有：

(一)條例的適用范圍擴(kuò)大化，明確其域外適用性

1995年《歐洲數(shù)據(jù)保護(hù)指令》用所在地因素來(lái)界定管轄權(quán)，只有機(jī)構(gòu)的所在地在歐盟，或者使用了歐盟內(nèi)的設(shè)施，其相關(guān)的數(shù)據(jù)問題才受到管轄。而新的《一般數(shù)據(jù)保護(hù)條例》第3條明確規(guī)定：“1.本條例適用于設(shè)立在歐盟境內(nèi)的控制者或處理者對(duì)于個(gè)人數(shù)據(jù)的處理，無(wú)論其處理行為是否發(fā)生在歐盟境內(nèi)。2.對(duì)于設(shè)在歐盟境外的控制者或處理者對(duì)歐盟境內(nèi)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)進(jìn)行處理，如果涉及下列情況，則適用本條例：(a)向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體向其支付對(duì)價(jià)；或(b)對(duì)數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控?！北热鐚?duì)一家中國(guó)企業(yè)來(lái)說，對(duì)于其在歐盟境內(nèi)設(shè)立的分部，不管該公司進(jìn)行數(shù)據(jù)處理的行為是否位于歐盟，皆需合乎條例的相關(guān)規(guī)定。另外，如果一家位于中國(guó)的企業(yè)為向歐盟境內(nèi)的個(gè)體提供服務(wù)而處理相關(guān)的信息，也在GDPR的管轄范圍內(nèi)。今天的互聯(lián)網(wǎng)和手機(jī)APP服務(wù)幾乎是面向全世界開放的，只要其能夠被歐盟境內(nèi)的個(gè)人所訪問和使用，都有可能適用于GDPR。

(二)GDPR加強(qiáng)了對(duì)數(shù)據(jù)主體的保護(hù)

新的條例進(jìn)一步明確細(xì)化了數(shù)據(jù)主體的權(quán)利。如GDPR要求數(shù)據(jù)主體應(yīng)當(dāng)在充分知情的前提下同意數(shù)據(jù)控制者對(duì)數(shù)據(jù)信息的收集，數(shù)據(jù)主體的書面聲明同意必須是易理解的以及使用清楚、平實(shí)的文字。如果是涉及到未滿16周歲兒童的個(gè)人數(shù)據(jù)，必須獲得兒童監(jiān)護(hù)人的同意或授權(quán)。尤為重要的是，數(shù)據(jù)主體可以撤回其同意，但是撤回其同意的行為不應(yīng)損害之前的合法行為。但數(shù)據(jù)主體應(yīng)被告訴其撤回權(quán)以及對(duì)同意的撤回應(yīng)與作出同樣簡(jiǎn)單。此外，數(shù)據(jù)主體還明確地?fù)碛兄闄?quán)、訪問權(quán)、反對(duì)權(quán)、限制處理權(quán)、被遺忘權(quán)以及數(shù)據(jù)可攜權(quán)等。其中被遺忘權(quán)規(guī)定數(shù)據(jù)主體有權(quán)要求控制者對(duì)其個(gè)人數(shù)據(jù)進(jìn)行刪除。以往數(shù)據(jù)控制者以技術(shù)問題或保障公眾知情權(quán)為借口，濫用其支配地位限制甚至侵害數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的所有權(quán)，被遺忘權(quán)的確立改變了這一現(xiàn)狀，具有重要的進(jìn)步意義。

(三)大幅提高的違規(guī)處罰力度

對(duì)于違法行為極為嚴(yán)肅的處罰也是GDPR引起世界范圍內(nèi)法學(xué)家重視的重要因素。按照條例規(guī)定，可對(duì)違法行為進(jìn)行高額的處罰。根據(jù)違法對(duì)象身份與違法程度，有兩種不同的罰金設(shè)定：(1)1000萬(wàn)歐元罰款或違法主體為企業(yè)時(shí)，處以最高1000萬(wàn)歐元或上一年度全球年?duì)I業(yè)總額的2%的罰款，兩者取其高。(2)2000萬(wàn)歐元的罰款或違法主體是企業(yè)時(shí)，處以最高2000萬(wàn)歐元或上一年度全球年?duì)I業(yè)總額的4%的罰款，兩者取其高。由于使用全球年?duì)I業(yè)額為基準(zhǔn)，并且以其較高者作為罰金額，因此條例對(duì)如谷歌、微軟等大型跨國(guó)公司可謂毫不留情。

三、《一般數(shù)據(jù)保護(hù)條例》對(duì)我國(guó)的啟示

(一)中資企業(yè)應(yīng)進(jìn)行相關(guān)法律的合規(guī)工作

作為中國(guó)企業(yè)來(lái)說，有必要注意的是：在一些細(xì)分市場(chǎng)擁有涉歐業(yè)務(wù)，或許在歐盟已經(jīng)是行業(yè)翹楚但還沒有進(jìn)行《一般數(shù)據(jù)保護(hù)條例》法律風(fēng)險(xiǎn)消除的中資企業(yè)。這些企業(yè)的本地競(jìng)爭(zhēng)者在條例合規(guī)方面可能占據(jù)優(yōu)勢(shì)。此時(shí)，還沒進(jìn)行合規(guī)的中資企業(yè)則很有可能成為歐盟法律所制裁的對(duì)象。成員國(guó)政府出于履行司法職責(zé)或保護(hù)本國(guó)企業(yè)的角度，也有可能啟動(dòng)相關(guān)調(diào)查，未合規(guī)的中資企業(yè)將面臨高額行政罰款的法律風(fēng)險(xiǎn)。近年來(lái)中興在美國(guó)被巨額罰款的案例警示企業(yè)只能走合乎當(dāng)?shù)胤梢?guī)范的道路。當(dāng)然合乎GDPR要求也并非易事，相應(yīng)的人力和物力投入也并不小。在我國(guó)進(jìn)行一帶一路建設(shè)的大背景下，再加上信息技術(shù)、電子商務(wù)等本身就是我國(guó)的優(yōu)勢(shì)產(chǎn)業(yè)，中資企業(yè)近年來(lái)在海外，尤其是歐盟境內(nèi)頻頻發(fā)力?！兑话銛?shù)據(jù)保護(hù)條例》出臺(tái)后，在歐盟的中資企業(yè)毫無(wú)疑問是要遵守的。中資企業(yè)要及時(shí)敲響警鐘，加強(qiáng)保護(hù)用戶數(shù)據(jù)信息，以促使自身的行為符合條例的要求。

(二)我國(guó)應(yīng)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)方面的立法

我國(guó)是人口大國(guó)，同時(shí)也是信息產(chǎn)業(yè)大國(guó)，近年來(lái)個(gè)人數(shù)據(jù)相關(guān)權(quán)利受侵害案件的頻發(fā)已經(jīng)為我們敲響了加強(qiáng)相關(guān)立法的警鐘。目前關(guān)于個(gè)人數(shù)據(jù)保護(hù)的立法模式有兩種：歐盟的統(tǒng)一立法和美國(guó)的分散立法。雖然兩者之間有著不同的特點(diǎn)，但根據(jù)中國(guó)的國(guó)情，應(yīng)選擇統(tǒng)一立法模式，制定統(tǒng)一的《個(gè)人數(shù)據(jù)保護(hù)法》?！秱€(gè)人數(shù)據(jù)保護(hù)法》首先要強(qiáng)化對(duì)數(shù)據(jù)主體的保護(hù)，要清晰地界定數(shù)據(jù)主體的同意要件，保護(hù)其可撤銷權(quán)。第二，要明確數(shù)據(jù)控制者和處理者的義務(wù)，壓縮其不合理的支配空間，不能任由數(shù)據(jù)控制者和處理者肆意支配數(shù)據(jù)主體信息。第三，把握好我國(guó)現(xiàn)階段的基本國(guó)情，歐盟數(shù)據(jù)保護(hù)條例有其自身的特殊性，不可以一味地照搬照抄，要在保護(hù)個(gè)人信息數(shù)據(jù)和發(fā)展信息產(chǎn)業(yè)中找到平衡。

(三)增強(qiáng)個(gè)人隱私保護(hù)意識(shí)，避免個(gè)人隱私的泄露

今天的社會(huì)生活中，每個(gè)人都離不開互聯(lián)網(wǎng)和信息處理設(shè)備，這是我們不得不承認(rèn)的一個(gè)事實(shí)。但是離不開互聯(lián)網(wǎng)和相關(guān)設(shè)備并不意味者我們就只能任由自身的隱私數(shù)據(jù)被不法使用。在生活中，我們可以采用一些方式減少自己隱私數(shù)據(jù)被泄露的風(fēng)險(xiǎn)，比如不要隨便把大量自身數(shù)據(jù)信息上傳到手機(jī)的云空間，也不要在一些不知名網(wǎng)站隨便注冊(cè)個(gè)人賬戶等。另外，當(dāng)自身隱私數(shù)據(jù)被不法者放到網(wǎng)上或被濫用時(shí)，我們要及時(shí)要求相關(guān)網(wǎng)站撤下個(gè)人隱私數(shù)據(jù)，也要勇敢地拿起法律武器同違法行為作斗爭(zhēng)。同時(shí)，嚴(yán)于律己，尊重他人的隱私權(quán)，不隨意窺探、傳播他人隱私數(shù)據(jù)，自覺地為保護(hù)個(gè)人數(shù)據(jù)信息做貢獻(xiàn)，良好的社會(huì)秩序需要我們每個(gè)人的努力和參與。

四、結(jié)語(yǔ)

隨著《一般數(shù)據(jù)保護(hù)條例》于2018年5月25日的生效，這一條例受到世界的關(guān)注，這不僅是因?yàn)樵摋l例設(shè)定了嚴(yán)厲的處罰標(biāo)準(zhǔn)，而且因?yàn)槿澜绶秶鷥?nèi)面向歐盟公民服務(wù)的企業(yè)都有可能受其管轄?！兑话銛?shù)據(jù)保護(hù)條例》讓歐盟在個(gè)人信息保護(hù)立法上走在了前列，然而《一般數(shù)據(jù)保護(hù)條例》不可能是完美的，所產(chǎn)生的影響也不可能僅僅是加強(qiáng)了個(gè)人數(shù)據(jù)信息保護(hù)，據(jù)美國(guó)國(guó)家經(jīng)濟(jì)研究局近期發(fā)表的文章《GDPR對(duì)科技創(chuàng)業(yè)投資的短期影響》表示，短期來(lái)看GDPR對(duì)歐洲科技創(chuàng)業(yè)投資者帶來(lái)了不利影響。如何去看待和評(píng)價(jià)GDPR，還需要長(zhǎng)遠(yuǎn)的和司法實(shí)踐的研究視角。