歐盟《通用數(shù)據(jù)保護(hù)條例》對(duì)我國數(shù)據(jù)安全立法的啟示

張利國

（西華大學(xué)知識(shí)產(chǎn)權(quán)學(xué)院/法學(xué)院 四川成都 610039）

2018 年5 月歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱 GDPR）[1]正式生效，對(duì)世界很多國家的數(shù)據(jù)保護(hù)都產(chǎn)生了非常重要的影響，但經(jīng)過兩年多的運(yùn)行也暴露了一些問題。本文分析歐盟《通用數(shù)據(jù)保護(hù)條例》中與數(shù)據(jù)安全保護(hù)有關(guān)的主要內(nèi)容，以及出臺(tái)、運(yùn)行兩年多來發(fā)現(xiàn)的主要問題，從比較法的視角提出了對(duì)我國數(shù)據(jù)安全立法的啟示。

歐盟GDPR 是一個(gè)比較全面的數(shù)據(jù)保護(hù)立法，并不僅限于數(shù)據(jù)安全保護(hù)，其中涉及到數(shù)據(jù)安全保護(hù)的內(nèi)容主要包括兩方面的內(nèi)容。

首先，歐盟GDPR 中規(guī)定了涉及到數(shù)據(jù)安全的四項(xiàng)基礎(chǔ)原則。第一，合法性、合理性和透明性原則，這個(gè)原則要求對(duì)個(gè)人數(shù)據(jù)應(yīng)當(dāng)以合法、合理和透明的方式來進(jìn)行處理；第二，目的限制原則，要求數(shù)據(jù)的收集應(yīng)當(dāng)具有具體、清晰和正當(dāng)?shù)哪康?，?duì)數(shù)據(jù)的處理不應(yīng)當(dāng)違反初始的目的；第三，數(shù)據(jù)最小化原則，要求數(shù)據(jù)的處理應(yīng)當(dāng)是為了實(shí)現(xiàn)數(shù)據(jù)處理目的而適當(dāng)?shù)?、相關(guān)的和必要的；第四，數(shù)據(jù)的完整性與保密性原則，要求數(shù)據(jù)處理過程中應(yīng)確保個(gè)人數(shù)據(jù)的安全，采取合理的技術(shù)手段、組織措施，避免數(shù)據(jù)未經(jīng)授權(quán)即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失。GDPR 要求數(shù)據(jù)控制者有義務(wù)證明其遵守了上述各項(xiàng)原則。

其次，基于上述原則，GDPR 規(guī)定了數(shù)據(jù)控制者和處理者的具體義務(wù)。這些義務(wù)主要包括：第一，通過設(shè)計(jì)以默認(rèn)方式保護(hù)數(shù)據(jù)的義務(wù)，數(shù)據(jù)控制者在確定處理方式時(shí)，應(yīng)當(dāng)采取合適的技術(shù)與組織措施，并且在處理中整合必要的保障措施；第二，記錄處理活動(dòng)的義務(wù)，數(shù)據(jù)控制者和處理者都應(yīng)當(dāng)保持其處理活動(dòng)的記錄；第三，與監(jiān)管部門合作的義務(wù)，在監(jiān)管機(jī)構(gòu)的要求下，數(shù)據(jù)控制者和處理者應(yīng)當(dāng)配合監(jiān)管機(jī)構(gòu)的工作；第四，安全處理數(shù)據(jù)的義務(wù)，數(shù)據(jù)控制者和處理者應(yīng)當(dāng)采取適當(dāng)技術(shù)與組織措施，以便保證和風(fēng)險(xiǎn)相稱的安全水平；第五，數(shù)據(jù)泄露通知義務(wù)，發(fā)生數(shù)據(jù)泄露后，數(shù)據(jù)控制者在知悉后應(yīng)當(dāng)在72 小時(shí)內(nèi)告知監(jiān)管機(jī)構(gòu)，數(shù)據(jù)處理者在獲知個(gè)人數(shù)據(jù)泄露后，應(yīng)當(dāng)及時(shí)告知控制者；第六，開展數(shù)據(jù)保護(hù)影響評(píng)估的義務(wù)，當(dāng)處理個(gè)人數(shù)據(jù)采用新技術(shù)，企業(yè)在開展個(gè)人數(shù)據(jù)處理之前，應(yīng)當(dāng)先行對(duì)新技術(shù)可能給個(gè)人數(shù)據(jù)保護(hù)帶來的影響進(jìn)行評(píng)估；第七，設(shè)立數(shù)據(jù)保護(hù)官的義務(wù)，要求數(shù)據(jù)控制者和處理者應(yīng)當(dāng)委任數(shù)據(jù)保護(hù)官。此外，GDPR 對(duì)于違反上述義務(wù)的行為規(guī)定了巨額的行政罰款。

GDPR 在生效執(zhí)行兩年多以來，在實(shí)踐中產(chǎn)生了很多問題，這些問題對(duì)于我國制定數(shù)據(jù)安全法具有參考意義。

第一個(gè)問題是各國執(zhí)法標(biāo)準(zhǔn)和力度不統(tǒng)一。由于歐盟特殊的體制，以及GDPR 規(guī)定的內(nèi)容本身比較原則和靈活，這給執(zhí)法機(jī)構(gòu)解釋和適用條例提供了很大的空間，結(jié)果是GDPR 在有的國家執(zhí)行寬松，處罰力度小，有的國家執(zhí)行嚴(yán)格，處罰力度大。這對(duì)我國數(shù)據(jù)安全立法中執(zhí)法標(biāo)準(zhǔn)的一致性和執(zhí)法主體的統(tǒng)一提供了啟示。

第二個(gè)問題是GDPR 給中小企業(yè)帶來了很高的合規(guī)成本和不確定性。因?yàn)镚DPR 涉及了很多嚴(yán)格的程序、要求、義務(wù)和處罰規(guī)定，違反這些義務(wù)會(huì)導(dǎo)致巨額罰款，谷歌、Facebook 等大型的企業(yè)可以投資幾百萬美元使企業(yè)的運(yùn)行達(dá)到合規(guī)，但是中小企業(yè)往往沒有這樣的資本和能力來確保合規(guī)，導(dǎo)致很多中小企業(yè)面臨法律風(fēng)險(xiǎn)，經(jīng)營活動(dòng)受到很大限制。我國數(shù)據(jù)安全立法中要考慮合規(guī)和執(zhí)法對(duì)相關(guān)中小企業(yè)的經(jīng)營所帶來的潛在影響。

第三個(gè)問題是數(shù)據(jù)安全保護(hù)和新技術(shù)開發(fā)和利用之間的矛盾。數(shù)據(jù)處理技術(shù)發(fā)展的如此之快，一些新技術(shù)的應(yīng)用會(huì)不可避免的和條例中規(guī)定的義務(wù)產(chǎn)生沖突。如區(qū)塊鏈要求所有的信息數(shù)據(jù)要進(jìn)行記錄，這就與GDPR 的數(shù)據(jù)最小化等條款產(chǎn)生了矛盾[2]。GDPR 對(duì)數(shù)據(jù)安全保護(hù)的高標(biāo)準(zhǔn)要求，往往限制了企業(yè)對(duì)新技術(shù)的開發(fā)利用，也直接沖擊了以免費(fèi)服務(wù)獲取顧客個(gè)人數(shù)據(jù)推送精準(zhǔn)廣告的互聯(lián)網(wǎng)商業(yè)模式，直接影響了歐盟境內(nèi)的互聯(lián)網(wǎng)業(yè)務(wù)經(jīng)營。GDPR 也對(duì)嚴(yán)重依賴大規(guī)模數(shù)據(jù)資源的大數(shù)據(jù)和人工智能技術(shù)的發(fā)展產(chǎn)生了一定的約束[3]。

第四個(gè)問題是對(duì)國際合作和跨境數(shù)據(jù)流動(dòng)的阻礙。在GDPR 的框架下，歐盟與中國、美國、日本等國的數(shù)據(jù)跨境合作交流都在執(zhí)行層面存在一定的障礙。

歐盟GDPR 執(zhí)行過程中出現(xiàn)的上述問題對(duì)我國數(shù)據(jù)安全立法具有重要的啟示作用。第一，要高度關(guān)注數(shù)據(jù)安全監(jiān)管的執(zhí)法統(tǒng)一和標(biāo)準(zhǔn)統(tǒng)一問題。我國近期面向公眾征求意見的《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）第七條規(guī)定多個(gè)部門分工負(fù)責(zé)的監(jiān)管規(guī)則，有可能導(dǎo)致各個(gè)部門執(zhí)行標(biāo)準(zhǔn)不一致、不統(tǒng)一的風(fēng)險(xiǎn)，不同的部門監(jiān)管的行業(yè)存在交叉和重疊，如果實(shí)施不一致的標(biāo)準(zhǔn)和細(xì)則會(huì)增加被監(jiān)管對(duì)象的負(fù)擔(dān)，影響監(jiān)管的效率?！稊?shù)據(jù)安全法（草案）》第七條規(guī)定的數(shù)據(jù)安全監(jiān)管主體，需要增加一個(gè)機(jī)制以避免形成多頭管理、互相推諉、互相掣肘的局面。此外，《數(shù)據(jù)安全法（草案）》不僅要考慮到部門之間的協(xié)調(diào)，還要考慮到各個(gè)地區(qū)之間的協(xié)調(diào)問題，因?yàn)閿?shù)據(jù)的收集、存儲(chǔ)、處理和流動(dòng)以及利用是可能分散在全國各地的，具體的數(shù)據(jù)安全監(jiān)管問題由哪個(gè)地區(qū)的機(jī)構(gòu)來進(jìn)行管轄有可能會(huì)存在著沖突和重疊的問題。

第二，數(shù)據(jù)安全保護(hù)措施要為新技術(shù)的應(yīng)用預(yù)留政策空間，盡量避免給前沿技術(shù)的發(fā)展和應(yīng)用造成不必要的障礙。因此《數(shù)據(jù)安全法（草案）》可以對(duì)前沿技術(shù)的應(yīng)用規(guī)定安全影響評(píng)估程序和豁免機(jī)制。

第三，數(shù)據(jù)安全立法設(shè)定的保護(hù)措施和具體義務(wù)要考慮中小微企業(yè)的負(fù)擔(dān)。法律中規(guī)定的看起來微不足道的義務(wù)在實(shí)踐中有可能會(huì)給中小微企業(yè)造成比較大的負(fù)擔(dān)。例如《數(shù)據(jù)安全法（草案）》第三十一條規(guī)定數(shù)據(jù)處理服務(wù)的經(jīng)營者應(yīng)當(dāng)依法取得經(jīng)營業(yè)務(wù)的許可和備案，這和我國當(dāng)前發(fā)展?fàn)I商環(huán)境的要求實(shí)際上是不相協(xié)調(diào)的，會(huì)給中小微企業(yè)進(jìn)入增加一個(gè)門檻，要考慮許可和備案的目的是什么，這樣的程序是不是必要的，要同發(fā)展良好營商環(huán)境的整體要求銜接，此外還要考量第四十四條對(duì)數(shù)據(jù)處理行業(yè)發(fā)展的影響。

第四，在數(shù)據(jù)安全事件的報(bào)告義務(wù)方面，《數(shù)據(jù)安全法（草案）》第二十七條只規(guī)定了數(shù)據(jù)安全事件的報(bào)告義務(wù)，但是沒有規(guī)定具體的報(bào)告時(shí)限。我國可以借鑒GDPR 的經(jīng)驗(yàn)，設(shè)定一個(gè)明確的報(bào)告時(shí)限，在發(fā)生數(shù)據(jù)安全事件后，要在規(guī)定的時(shí)限內(nèi)進(jìn)行報(bào)告，避免隱瞞和拖延，有利于及時(shí)對(duì)事件進(jìn)行處理。

第五，要考慮到我國企業(yè)走出去在海外經(jīng)營過程中，遵守不同國家和地區(qū)的數(shù)據(jù)管理法規(guī)同我國數(shù)據(jù)安全法中規(guī)定的義務(wù)相沖突和銜接問題。