论欧盟《一般数据保护条例》及对我国的启示

胡超南

广东外语外贸大学欧洲研究中心，广东 广州 510420

一、《一般数据保护条例》出台的背景

经济社会的发展和信息技术的飞速进步不仅给人们带来了生活的便利，也加重了人对相关技术和设备的依赖。用户在使用智能手机和互联网服务的同时，将不可避免地把相关的使用“痕迹”留在互联网上。互联网服务提供商在对用户的数据进行处理时，难免会滥用支配地位，侵犯个人隐私。生活中用户的个人数据被贩卖用于营销、诈骗的案例已屡见不鲜。更有甚者，一旦海量的个人隐私数据被别有用心的外国政府部门利用，更将会对本国的安全造成极大威胁。无论是出于对个人隐私权的保护还是维护国家安全，在当今社会加强保护个人隐私数据的立法工作都极有必要。早在1995年，欧盟就立法实施了《欧洲数据保护指令》，为欧盟成员国立法保护个人的数据建立了最低标准。随着欧盟的扩大和信息技术的不断创新，欧盟在2016年4月颁布《一般数据保护条例》(简称GDPR)，旨在加强个人数据的保护，以实现一个自由、安全与正义之欧洲的目标。

二、《一般数据保护条例》的主要特点

《一般数据保护条例》是在延续加强个人隐私数据保护基本思路的基础上，扩大并加强了九十年代指令的最新立法成果，原有的34条法律扩展到99条，同时也增加了一些新规定、新权利，其主要特点有：

(一)条例的适用范围扩大化，明确其域外适用性

1995年《欧洲数据保护指令》用所在地因素来界定管辖权，只有机构的所在地在欧盟，或者使用了欧盟内的设施，其相关的数据问题才受到管辖。而新的《一般数据保护条例》第3条明确规定：“1.本条例适用于设立在欧盟境内的控制者或处理者对于个人数据的处理，无论其处理行为是否发生在欧盟境内。2.对于设在欧盟境外的控制者或处理者对欧盟境内数据主体的个人数据进行处理，如果涉及下列情况，则适用本条例：(a)向欧盟境内的数据主体提供商品或服务，无论此项商品或服务是否需要数据主体向其支付对价；或(b)对数据主体发生在欧盟境内的行为进行监控。”比如对一家中国企业来说，对于其在欧盟境内设立的分部，不管该公司进行数据处理的行为是否位于欧盟，皆需合乎条例的相关规定。另外，如果一家位于中国的企业为向欧盟境内的个体提供服务而处理相关的信息，也在GDPR的管辖范围内。今天的互联网和手机APP服务几乎是面向全世界开放的，只要其能够被欧盟境内的个人所访问和使用，都有可能适用于GDPR。

(二)GDPR加强了对数据主体的保护

新的条例进一步明确细化了数据主体的权利。如GDPR要求数据主体应当在充分知情的前提下同意数据控制者对数据信息的收集，数据主体的书面声明同意必须是易理解的以及使用清楚、平实的文字。如果是涉及到未满16周岁儿童的个人数据，必须获得儿童监护人的同意或授权。尤为重要的是，数据主体可以撤回其同意，但是撤回其同意的行为不应损害之前的合法行为。但数据主体应被告诉其撤回权以及对同意的撤回应与作出同样简单。此外，数据主体还明确地拥有知情权、访问权、反对权、限制处理权、被遗忘权以及数据可携权等。其中被遗忘权规定数据主体有权要求控制者对其个人数据进行删除。以往数据控制者以技术问题或保障公众知情权为借口，滥用其支配地位限制甚至侵害数据主体对个人数据的所有权，被遗忘权的确立改变了这一现状，具有重要的进步意义。

(三)大幅提高的违规处罚力度

对于违法行为极为严肃的处罚也是GDPR引起世界范围内法学家重视的重要因素。按照条例规定，可对违法行为进行高额的处罚。根据违法对象身份与违法程度，有两种不同的罚金设定：(1)1000万欧元罚款或违法主体为企业时，处以最高1000万欧元或上一年度全球年营业总额的2%的罚款，两者取其高。(2)2000万欧元的罚款或违法主体是企业时，处以最高2000万欧元或上一年度全球年营业总额的4%的罚款，两者取其高。由于使用全球年营业额为基准，并且以其较高者作为罚金额，因此条例对如谷歌、微软等大型跨国公司可谓毫不留情。

三、《一般数据保护条例》对我国的启示

(一)中资企业应进行相关法律的合规工作

作为中国企业来说，有必要注意的是：在一些细分市场拥有涉欧业务，或许在欧盟已经是行业翘楚但还没有进行《一般数据保护条例》法律风险消除的中资企业。这些企业的本地竞争者在条例合规方面可能占据优势。此时，还没进行合规的中资企业则很有可能成为欧盟法律所制裁的对象。成员国政府出于履行司法职责或保护本国企业的角度，也有可能启动相关调查，未合规的中资企业将面临高额行政罚款的法律风险。近年来中兴在美国被巨额罚款的案例警示企业只能走合乎当地法律规范的道路。当然合乎GDPR要求也并非易事，相应的人力和物力投入也并不小。在我国进行一带一路建设的大背景下，再加上信息技术、电子商务等本身就是我国的优势产业，中资企业近年来在海外，尤其是欧盟境内频频发力。《一般数据保护条例》出台后，在欧盟的中资企业毫无疑问是要遵守的。中资企业要及时敲响警钟，加强保护用户数据信息，以促使自身的行为符合条例的要求。

(二)我国应加强个人数据保护方面的立法

我国是人口大国，同时也是信息产业大国，近年来个人数据相关权利受侵害案件的频发已经为我们敲响了加强相关立法的警钟。目前关于个人数据保护的立法模式有两种：欧盟的统一立法和美国的分散立法。虽然两者之间有着不同的特点，但根据中国的国情，应选择统一立法模式，制定统一的《个人数据保护法》。《个人数据保护法》首先要强化对数据主体的保护，要清晰地界定数据主体的同意要件，保护其可撤销权。第二，要明确数据控制者和处理者的义务，压缩其不合理的支配空间，不能任由数据控制者和处理者肆意支配数据主体信息。第三，把握好我国现阶段的基本国情，欧盟数据保护条例有其自身的特殊性，不可以一味地照搬照抄，要在保护个人信息数据和发展信息产业中找到平衡。

(三)增强个人隐私保护意识，避免个人隐私的泄露

今天的社会生活中，每个人都离不开互联网和信息处理设备，这是我们不得不承认的一个事实。但是离不开互联网和相关设备并不意味者我们就只能任由自身的隐私数据被不法使用。在生活中，我们可以采用一些方式减少自己隐私数据被泄露的风险，比如不要随便把大量自身数据信息上传到手机的云空间，也不要在一些不知名网站随便注册个人账户等。另外，当自身隐私数据被不法者放到网上或被滥用时，我们要及时要求相关网站撤下个人隐私数据，也要勇敢地拿起法律武器同违法行为作斗争。同时，严于律己，尊重他人的隐私权，不随意窥探、传播他人隐私数据，自觉地为保护个人数据信息做贡献，良好的社会秩序需要我们每个人的努力和参与。

四、结语

随着《一般数据保护条例》于2018年5月25日的生效，这一条例受到世界的关注，这不仅是因为该条例设定了严厉的处罚标准，而且因为全世界范围内面向欧盟公民服务的企业都有可能受其管辖。《一般数据保护条例》让欧盟在个人信息保护立法上走在了前列，然而《一般数据保护条例》不可能是完美的，所产生的影响也不可能仅仅是加强了个人数据信息保护，据美国国家经济研究局近期发表的文章《GDPR对科技创业投资的短期影响》表示，短期来看GDPR对欧洲科技创业投资者带来了不利影响。如何去看待和评价GDPR，还需要长远的和司法实践的研究视角。