GDPR影響下我國涉歐企業(yè)的數(shù)據(jù)合規(guī)路徑

鐘靈

摘 要：歐盟正式頒布實(shí)施《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）至今，各成員國企業(yè)在其影響下已紛紛采取措施適應(yīng)GDPR的合規(guī)要求，但還是面臨著難以跟進(jìn)監(jiān)管要求、合規(guī)成本高昂、違規(guī)成本高昂等巨大挑戰(zhàn)。GDPR基于其寬泛的管轄權(quán)，也給我國涉歐企業(yè)帶來了數(shù)據(jù)合規(guī)挑戰(zhàn)。面對這一挑戰(zhàn)，我國涉歐企業(yè)應(yīng)將其視為機(jī)遇而非負(fù)擔(dān)，積極構(gòu)建數(shù)據(jù)合規(guī)路徑，提升企業(yè)的核心競爭力。基于此，主要從以下幾個方面構(gòu)建數(shù)據(jù)合規(guī)之路：一是構(gòu)建成熟的數(shù)據(jù)合規(guī)組織體系，二是建立完備的數(shù)據(jù)合規(guī)防范體系，三是形成健全的數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)對體系，四是積極運(yùn)用智能化方式推進(jìn)數(shù)據(jù)合規(guī)建設(shè)。

關(guān)鍵詞：GDPR;涉歐企業(yè);數(shù)據(jù)合規(guī)路徑

中圖分類號：DF92 ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? ?文章編號：1673-291X（2020）21-0166-02

在當(dāng)今的大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為一種寶貴的資源，國際組織、各國政府管理部門高度重視完善自身的數(shù)據(jù)保護(hù)框架，企業(yè)也在不斷增強(qiáng)適應(yīng)數(shù)據(jù)規(guī)則的能力。2018年5月25日，歐盟正式頒布實(shí)施堪稱“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），歐盟各成員國企業(yè)在其影響下已紛紛構(gòu)建起數(shù)據(jù)合規(guī)路徑。由于GDPR賦予數(shù)據(jù)監(jiān)管部門寬泛的管轄權(quán)，我國涉歐企業(yè)也受其約束和影響。隨著我國與歐盟間的業(yè)務(wù)不斷擴(kuò)大，數(shù)據(jù)合規(guī)的需求也不斷增加。因此，我國涉歐企業(yè)構(gòu)建數(shù)據(jù)合規(guī)之路具有重大戰(zhàn)略意義，一方面有利于促進(jìn)涉歐企業(yè)的全球化發(fā)展，另一方面有利于涉歐企業(yè)規(guī)避數(shù)據(jù)風(fēng)險(xiǎn)，從而提升企業(yè)的核心競爭力。

一、GDPR中企業(yè)數(shù)據(jù)合規(guī)的相關(guān)規(guī)定

1.數(shù)據(jù)控制者、處理者義務(wù)規(guī)則。根據(jù)GDPR第4條的規(guī)定，控制者是指能夠單獨(dú)或聯(lián)合決定個人數(shù)據(jù)的處理目的及方法的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或者非法人組織;處理者是指接受控制者委托、代表控制者處理個人數(shù)據(jù)的自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或者非法人組織。GDPR的數(shù)據(jù)控制者、處理者義務(wù)規(guī)則對企業(yè)的數(shù)據(jù)合規(guī)進(jìn)行了規(guī)制，一定程度上加重了企業(yè)的數(shù)據(jù)合規(guī)義務(wù)和負(fù)擔(dān)，主要體現(xiàn)在以下幾個方面：第一，數(shù)據(jù)處理活動記錄義務(wù)。企業(yè)應(yīng)依職責(zé)保存并向數(shù)據(jù)監(jiān)管機(jī)構(gòu)提供數(shù)據(jù)處理活動的記錄。第二，個人數(shù)據(jù)泄露的報(bào)告和告知義務(wù)。發(fā)生個人數(shù)據(jù)泄露時(shí)，企業(yè)應(yīng)在規(guī)定時(shí)間內(nèi)向數(shù)據(jù)監(jiān)管機(jī)構(gòu)報(bào)告，并及時(shí)通知數(shù)據(jù)主體。第三，數(shù)據(jù)保護(hù)影響評估和事前咨詢義務(wù)。企業(yè)在處理數(shù)據(jù)前，應(yīng)就自身預(yù)想的保護(hù)個人數(shù)據(jù)的操作方法及影響做出評估，根據(jù)評估結(jié)果體現(xiàn)出的數(shù)據(jù)風(fēng)險(xiǎn)高低決定是否應(yīng)咨詢數(shù)據(jù)監(jiān)管機(jī)構(gòu)。第四，設(shè)置數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）義務(wù)。GDPR規(guī)定企業(yè)應(yīng)設(shè)置DPO，并詳細(xì)規(guī)定了DPO的地位及任務(wù)。

2.數(shù)據(jù)跨境傳輸規(guī)則。GDPR對于個人數(shù)據(jù)向第三國或國際組織的傳輸?shù)囊?guī)定主要集中于第五章，其中可能影響企業(yè)數(shù)據(jù)合規(guī)的主要有以下幾個方面的規(guī)定：首先，基于充分性決議傳輸數(shù)據(jù)。根據(jù)GDPR第45條的規(guī)定，除特殊情況外，第三國或國際組織要接收來自歐盟境內(nèi)的個人數(shù)據(jù)傳輸需要經(jīng)歐盟認(rèn)證確定“具有充分性保護(hù)”。因此，若企業(yè)所在國家未獲歐盟充分性決議認(rèn)可，企業(yè)應(yīng)通過滿足GDPR的其他條款進(jìn)行合法的數(shù)據(jù)跨境傳輸。其次，數(shù)據(jù)傳輸受到適當(dāng)保障。在缺乏GDPR第45條第3款規(guī)定條件的情況下，僅當(dāng)在企業(yè)提供適當(dāng)?shù)谋Ｕ洗胧掖嬖诰葷?jì)數(shù)據(jù)主體權(quán)利的有效法律措施的情況下，企業(yè)才能向第三國或國際組織傳輸數(shù)據(jù)。最后，約束性公司規(guī)則（Binding Cooperate Rules，BCRs）。BCRs是監(jiān)管機(jī)構(gòu)為使數(shù)據(jù)跨境傳輸合法化而設(shè)立的一種內(nèi)部公司規(guī)則，GDPR對BCRs施加了嚴(yán)格的要求。

3.巨額行政處罰規(guī)則。為了保障數(shù)據(jù)保護(hù)的權(quán)利，GDPR的一個顯著特征是對違法企業(yè)進(jìn)行巨額行政處罰，罰款分為以下兩檔：一是處以最高達(dá)1 000萬歐元的行政罰款，或處以企業(yè)上一財(cái)政年度全球年?duì)I業(yè)總額的2%以下的行政罰款，兩者中以較高數(shù)額為準(zhǔn);二是處以最高達(dá)2 000萬歐元的行政罰款，或處以企業(yè)上一財(cái)政年度全球年?duì)I業(yè)總額的4%以下的行政罰款，兩者中以較高數(shù)額為準(zhǔn)。

4.實(shí)施現(xiàn)狀及評價(jià)。GDPR正式實(shí)施至今，絕大多數(shù)成員國已經(jīng)根據(jù)GDPR更新了國家數(shù)據(jù)保護(hù)法律，各國企業(yè)也紛紛隨之建立數(shù)據(jù)合規(guī)路徑。湯森路透（Thomson Reuters）的調(diào)查數(shù)據(jù)顯示，79%的企業(yè)要么沒有滿足GDPR的監(jiān)管要求，要么在跟進(jìn)規(guī)則方面遇到困難;91%的企業(yè)表示知道GDPR，但其中1/4表示自己沒有熟悉了解其規(guī)定;這些企業(yè)在數(shù)據(jù)保護(hù)方面的年平均支出為130萬美元，預(yù)計(jì)合規(guī)成本還將不斷提高[1]。據(jù)中興通訊數(shù)據(jù)保護(hù)合規(guī)部不完全統(tǒng)計(jì)，截至2019年9月24日，22家歐盟成員國的數(shù)據(jù)保護(hù)機(jī)構(gòu)對87件案件共做出 373 650 857 歐元的行政處罰決定[2]。處罰力度之大前所未有，為企業(yè)合規(guī)敲響了警鐘。

GDPR的最終效果還需要時(shí)間來檢驗(yàn)，但確定性的影響則是GDPR的實(shí)施已經(jīng)給相關(guān)企業(yè)的合規(guī)性帶來了極大挑戰(zhàn)。隨著未來GDPR及其配套適用規(guī)范、解釋的更新，隨著歐盟成員國乃至受GDPR影響的非成員國根據(jù)GDPR做出的法律法規(guī)的更新，企業(yè)面臨的挑戰(zhàn)將會只增不減。企業(yè)應(yīng)直面挑戰(zhàn)，構(gòu)建合理的數(shù)據(jù)合規(guī)路徑，并及時(shí)跟蹤數(shù)據(jù)保護(hù)法律法規(guī)框架日益擴(kuò)展的動態(tài)。將GDPR視為機(jī)遇而非負(fù)擔(dān)，會為企業(yè)帶來更多可能性。

二、GDPR下我國涉歐企業(yè)面臨的數(shù)據(jù)合規(guī)挑戰(zhàn)

1.GDPR與《網(wǎng)絡(luò)安全法》存在一定的沖突。我國對數(shù)據(jù)合規(guī)規(guī)定得較為詳盡的法律是《網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)安法”），我國涉歐企業(yè)面臨著GDPR和網(wǎng)安法的雙重管轄，而GDPR與《網(wǎng)絡(luò)安全法》間存在一定的法律沖突。根據(jù)GDPR第58條規(guī)定，歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)對涉歐企業(yè)享有調(diào)查權(quán)，有權(quán)要求涉歐企業(yè)提供其履職所需的信息。而我國網(wǎng)安法第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者因業(yè)務(wù)需要確需向境外提供個人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)進(jìn)行安全評估。由此可見，我國涉歐企業(yè)在向歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)提供有關(guān)信息時(shí)，可能會受到“安全評估”的阻礙，甚至不能向歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)提供調(diào)查所需信息[3]。