GDPR實(shí)施之后我國(guó)應(yīng)該如何應(yīng)對(duì)

林 麟 中國(guó)信息通信研究院數(shù)據(jù)研究中心工程師

1 宗旨和適用范圍

在歷經(jīng)兩年的過渡期后，被稱為歐盟有史以來(lái)最嚴(yán)厲的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）于2018年5月25日直接在歐盟全體成員國(guó)正式生效。GDPR是歐盟立法機(jī)構(gòu)于2016年4月通過的，對(duì)1995年制定的《數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱《指令》）進(jìn)行了全面升級(jí)，標(biāo)志著歐盟對(duì)個(gè)人數(shù)據(jù)的保護(hù)掀開了新篇章。

1.1 立法宗旨

GDPR強(qiáng)化了自然人的個(gè)人數(shù)據(jù)保護(hù)權(quán)，協(xié)調(diào)了現(xiàn)有的各類數(shù)據(jù)保護(hù)規(guī)則，簡(jiǎn)化了跨國(guó)公司的合規(guī)程序，是一部適應(yīng)信息和通信技術(shù)發(fā)展和應(yīng)用外部環(huán)境的個(gè)人數(shù)據(jù)保護(hù)法。該法不僅是立法形式上有所變化，而且還在強(qiáng)化數(shù)據(jù)時(shí)代的公民基本權(quán)利的同時(shí)為歐盟企業(yè)提供單一數(shù)據(jù)規(guī)則，提升企業(yè)在數(shù)據(jù)經(jīng)濟(jì)中的創(chuàng)新能力和競(jìng)爭(zhēng)力。GDPR確立了保護(hù)歐洲公民的基本權(quán)利與促進(jìn)數(shù)據(jù)流通并重的立法宗旨。

在歐洲，個(gè)人數(shù)據(jù)保護(hù)權(quán)是一項(xiàng)公民的基本權(quán)利，GDPR毫無(wú)疑問旨在強(qiáng)化對(duì)公民這一權(quán)利的保護(hù)。歐盟委員會(huì)（European Commission）發(fā)布的改革公告中也指出，無(wú)論數(shù)據(jù)是在哪里被處理的，有超過90%的歐洲公民渴望在整個(gè)歐盟范圍內(nèi)具有相同的數(shù)據(jù)保護(hù)權(quán)利。個(gè)人數(shù)據(jù)保護(hù)權(quán)已經(jīng)被歐洲廣泛接受為一項(xiàng)公民的基本權(quán)利，GDPR則旨在強(qiáng)化對(duì)公民這一權(quán)利的保護(hù)，如GDPR在進(jìn)一步確認(rèn)和完善個(gè)人既有的權(quán)利外，還增加了被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利，給予個(gè)人對(duì)數(shù)據(jù)更有效的控制。同時(shí)，GDPR對(duì)個(gè)人數(shù)據(jù)權(quán)利的保護(hù)并非絕對(duì)的，同時(shí)也注重促進(jìn)個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流通，如GDPR建立了單一法律規(guī)范，使歐盟企業(yè)開展商務(wù)活動(dòng)變得更加簡(jiǎn)單和成本低廉；要求各國(guó)設(shè)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)，是為了使企業(yè)節(jié)省不必要的行政和企業(yè)開支；鼓勵(lì)企業(yè)在產(chǎn)品和服務(wù)開發(fā)較早階段嵌入保護(hù)機(jī)制（Privacy by design），除了保護(hù)個(gè)人數(shù)據(jù)，也能夠提高企業(yè)的競(jìng)爭(zhēng)力。

1.2 適用范圍

GDPR在第2條中對(duì)其適用范圍做出了相應(yīng)的規(guī)定，明確GDPR適用于全部或部分通過自動(dòng)化手段進(jìn)行的個(gè)人數(shù)據(jù)處理行為，以及通過自動(dòng)化手段以外的其他方式進(jìn)行的、構(gòu)成或旨在構(gòu)成存檔系統(tǒng)一部分的數(shù)據(jù)處理行為，這里的數(shù)據(jù)處理包括了數(shù)據(jù)收集、記錄、組織、建構(gòu)、存儲(chǔ)、改編或修改，恢復(fù)、查詢、使用、通過傳播、分發(fā)方式進(jìn)行披露或者其他使個(gè)人數(shù)據(jù)可被他人獲得、排列或組合、限制、清除或銷毀的操作。

另外，根據(jù)第3條的規(guī)定，GDPR適用范圍極廣，除了適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理（不論其實(shí)際數(shù)據(jù)處理行為是否在歐盟內(nèi)進(jìn)行外），如果存在以下幾種情況，即使控制者和處理者沒有設(shè)立在歐盟內(nèi)，GDPR同樣適用于其對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理：向歐盟境內(nèi)數(shù)據(jù)主體提供商品和服務(wù)的（不論該商品或服務(wù)是否需要支付對(duì)價(jià)）；監(jiān)控?cái)?shù)據(jù)主體在歐盟境內(nèi)行為的；對(duì)個(gè)人數(shù)據(jù)的處理由歐盟外控制者進(jìn)行，但根據(jù)歐盟成員國(guó)法律可以通過國(guó)際公法適用于該控制者所在地的。同時(shí)，GDPR還適用于非設(shè)立于歐盟境內(nèi)但根據(jù)國(guó)際公法的規(guī)定適用成員國(guó)法律的數(shù)據(jù)控制者所進(jìn)行的個(gè)人數(shù)據(jù)處理行為。

GDPR較廣的適用范圍將對(duì)中國(guó)企業(yè)的移動(dòng)應(yīng)用安全、數(shù)據(jù)收集、處理和交易產(chǎn)生重大影響。例如，一家中國(guó)的電子商務(wù)公司在中國(guó)境內(nèi)為歐盟數(shù)據(jù)主體提供電子商務(wù)服務(wù)，收集有關(guān)個(gè)人數(shù)據(jù)，也應(yīng)當(dāng)遵循GDPR的相關(guān)要求。

2 具體規(guī)則

GDPR完善了數(shù)據(jù)主體的權(quán)利，除規(guī)定了95指令中已有的知情權(quán)、訪問權(quán)、糾正權(quán)等，還增設(shè)了一系列新的權(quán)利給數(shù)據(jù)主體，例如刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、持續(xù)控制權(quán)（數(shù)據(jù)可攜權(quán)）和拒絕權(quán)等。我國(guó)《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)安法》）及2017年發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》）中也規(guī)定了數(shù)據(jù)主體的多項(xiàng)權(quán)利，但與GDPR規(guī)定的內(nèi)容及保護(hù)程度存在差異。

2.1 知情權(quán)

知情權(quán)是數(shù)據(jù)主體行使權(quán)利的前提和基礎(chǔ)，沒有知情權(quán)這一基礎(chǔ)，數(shù)據(jù)主體就無(wú)法有效地參與到其個(gè)人數(shù)據(jù)的收集利用活動(dòng)當(dāng)中，控制者也就缺乏了相應(yīng)的監(jiān)督。根據(jù)GDPR相關(guān)條文的規(guī)定，在收集階段，不論控制者是否從數(shù)據(jù)主體處直接收集其個(gè)人數(shù)據(jù)，都要向數(shù)據(jù)主體告知收集處理的目的、處理的合法性基礎(chǔ)等內(nèi)容；在利用階段，控制者要將GDPR規(guī)定的數(shù)據(jù)主體享有的權(quán)利告知數(shù)據(jù)主體；在發(fā)生了個(gè)人數(shù)據(jù)泄露的情形時(shí)，控制者要及時(shí)告知數(shù)據(jù)主體相應(yīng)的泄露情形、可能產(chǎn)生的后果等信息。我國(guó)《網(wǎng)安法》僅原則性規(guī)定應(yīng)公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，而《規(guī)范》中列舉了更詳細(xì)的要求，如規(guī)定“隱私政策”涵蓋的具體范圍與GDPR要求的直接收集時(shí)的告知范圍大致相同。但在間接獲取個(gè)人信息時(shí)，《規(guī)范》沒有像GDPR一樣規(guī)定獲得個(gè)人數(shù)據(jù)的一方要告知數(shù)據(jù)主體并征得同意的義務(wù)，而是規(guī)定了發(fā)起共享、轉(zhuǎn)讓的一方的義務(wù)——其應(yīng)當(dāng)先進(jìn)行個(gè)人信息安全影響評(píng)估，向數(shù)據(jù)主體告知并征得明示同意，同時(shí)承擔(dān)造成損害的責(zé)任。另外，《網(wǎng)安法》和《規(guī)范》均沒有規(guī)定免于告知的情形。

2.2 訪問權(quán)

訪問權(quán)是知情權(quán)的延伸，指的是數(shù)據(jù)主體有權(quán)從控制者那里獲取其個(gè)人數(shù)據(jù)是否被處理的相關(guān)信息。為了防止數(shù)據(jù)主體不合理的過多請(qǐng)求增加控制者的負(fù)擔(dān)，GDPR規(guī)定了對(duì)于數(shù)據(jù)主體重復(fù)要求獲取副本的，控制者可以要求其支付合理的費(fèi)用。同時(shí)，數(shù)據(jù)主體的這一請(qǐng)求不能對(duì)他人的權(quán)利和自由產(chǎn)生不利影響。我國(guó)《規(guī)范》框架下應(yīng)數(shù)據(jù)主體的要求允許訪問的范圍遠(yuǎn)小于GDPR的范圍，僅限于個(gè)人信息或類型、來(lái)源、目的、已經(jīng)獲得上述信息的第三方身份或類型。而且，就信息主體的訪問請(qǐng)求，《規(guī)范》規(guī)定控制者可以綜合考慮后決定是否響應(yīng)。

2.3 更正權(quán)

更正權(quán)是指數(shù)據(jù)主體在其個(gè)人數(shù)據(jù)被收集、處理后，有權(quán)要求控制者更正與其相關(guān)的錯(cuò)誤的個(gè)人數(shù)據(jù)或者完善與其相關(guān)的不完整數(shù)據(jù)?！毒W(wǎng)安法》原則性規(guī)定“發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正”，《規(guī)范》中亦沒有對(duì)這一權(quán)利進(jìn)行更多拓展。

2.4 刪除權(quán)

刪除權(quán)，也被稱為被遺忘權(quán)，是指在特定的情形下，數(shù)據(jù)主體有權(quán)要求控制者刪除與其相關(guān)的個(gè)人數(shù)據(jù)，但是為了保障一些社會(huì)公共利益，在特定的情形下又會(huì)反過來(lái)禁止被遺忘權(quán)的行使，GDPR中規(guī)定了6種可以行使被遺忘權(quán)的情形，包括：數(shù)據(jù)對(duì)于收集或者處理時(shí)的目的已不再必要；數(shù)據(jù)主體撤銷同意，且沒有其他支持個(gè)人數(shù)據(jù)處理的法律依據(jù)時(shí)；數(shù)據(jù)主體反對(duì)處理，并且數(shù)據(jù)處理沒有合法性依據(jù)的；個(gè)人數(shù)據(jù)被非法處理；基于遵守歐盟或成員國(guó)法定義務(wù)需要清除個(gè)人數(shù)據(jù)；收集兒童個(gè)人信息的。我國(guó)《網(wǎng)安法》和《規(guī)范》中只規(guī)定了兩種情形下可以行使刪除權(quán)，即個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息。

2.5 限制處理權(quán)

限制處理權(quán)可以看做是對(duì)刪除權(quán)的一種補(bǔ)充，是在被遺忘權(quán)不適用或者不能直接適用時(shí)，去保護(hù)數(shù)據(jù)主體權(quán)益的一個(gè)手段，指的是在一些情形下（如數(shù)據(jù)主體質(zhì)疑數(shù)據(jù)準(zhǔn)確性，數(shù)據(jù)控制者核實(shí)準(zhǔn)確性的期間），數(shù)據(jù)主體可要求數(shù)據(jù)控制者停止處理數(shù)據(jù)，除非征得數(shù)據(jù)主體同意或?yàn)榱酥匾怖娴仍?。我?guó)《網(wǎng)安法》和《規(guī)范》中沒有規(guī)定此項(xiàng)權(quán)利。

2.6 持續(xù)控制權(quán)

持續(xù)控制權(quán)就是我們通常所稱的“數(shù)據(jù)可攜權(quán)”，主要包括兩個(gè)方面的內(nèi)容：一是當(dāng)個(gè)人數(shù)據(jù)以電子化方式處理時(shí)，數(shù)據(jù)主體有權(quán)獲得副本并進(jìn)一步使用，也即數(shù)據(jù)主體有權(quán)下載其個(gè)人數(shù)據(jù)；二是數(shù)據(jù)主體有權(quán)以通用的電子格式的形式將個(gè)人數(shù)據(jù)和由數(shù)據(jù)主體提供并被自動(dòng)處理的其他信息傳輸給第三人，并且不得被阻礙。這是GDPR新創(chuàng)設(shè)的結(jié)果之一，體現(xiàn)了歐盟希望積極進(jìn)行數(shù)據(jù)流通，從而創(chuàng)造更多的價(jià)值，促進(jìn)大數(shù)據(jù)時(shí)代的發(fā)展?！兑?guī)范》規(guī)定了該權(quán)利，但可攜范圍僅限于個(gè)人基本資料、身份信息、健康生理信息和個(gè)人教育工作信息。

2.7 拒絕權(quán)

拒絕權(quán)需要結(jié)合GDPR第6條數(shù)據(jù)處理的合法性基礎(chǔ)來(lái)看，是指如果數(shù)據(jù)處理的合法性是基于公共利益，或者官方職權(quán)的，或者控制者或第三方的合法利益，數(shù)據(jù)主體可依據(jù)其自身情況反對(duì)數(shù)據(jù)處理，包括用戶畫像。此時(shí)數(shù)據(jù)控制者必須停止處理，除非其有極具說(shuō)服力的、高于數(shù)據(jù)主體的權(quán)益和自由的理由，或者是為了法律索賠或應(yīng)訴。另外，如果數(shù)據(jù)處理是為了直銷的目的而進(jìn)行的，數(shù)據(jù)主體有權(quán)隨時(shí)拒絕與此目的有關(guān)的數(shù)據(jù)處理，包括與直營(yíng)有關(guān)的用戶畫像?！兑?guī)范》沒有提及這一類拒絕權(quán)。GDPR規(guī)定的第一類拒絕權(quán)針對(duì)的是基于公共利益等合法性基礎(chǔ)處理信息的情形，而《網(wǎng)安法》規(guī)定了同意是收集個(gè)人信息的前提，不存在基于其他基礎(chǔ)收集個(gè)人信息的情形，《規(guī)范》中只有撤回同意權(quán)，沒有另外的反對(duì)權(quán)。

GDPR歸根結(jié)底是一部歐盟層面的規(guī)范，然而歐盟各成員國(guó)都有自己的不同傳統(tǒng)和立法，因此為了尊重各國(guó)的司法差異，GDPR規(guī)定成員國(guó)可以通過立法的途徑來(lái)限制上述的數(shù)據(jù)主體享有的權(quán)利，但這些限制應(yīng)當(dāng)局限在國(guó)家安全、防衛(wèi)、公共安全等方面。

3 應(yīng)對(duì)建議

GDPR生效后，有必要針對(duì)其規(guī)定采取相應(yīng)措施。一方面，在歐盟開展業(yè)務(wù)的我國(guó)企業(yè)應(yīng)當(dāng)做好合規(guī)審查，應(yīng)對(duì)歐盟執(zhí)法。另一方面，我國(guó)政府相關(guān)部門應(yīng)加強(qiáng)管理，強(qiáng)化我國(guó)的數(shù)據(jù)安全監(jiān)管，同時(shí)應(yīng)當(dāng)順應(yīng)時(shí)代趨勢(shì)，制定個(gè)人信息保護(hù)相關(guān)立法，并處理好對(duì)外貿(mào)易談判等事宜。

3.1 強(qiáng)化中歐政府間談判交流

為應(yīng)對(duì)GDPR對(duì)我國(guó)可能造成的不利影響，有必要加強(qiáng)中歐國(guó)際磋商和政治談判，梳理化解中國(guó)法律和GDPR的沖突。首先要在中歐BIT談判等雙邊談判中，增加個(gè)人數(shù)據(jù)保護(hù)議題，在經(jīng)貿(mào)合作的宏觀視角下，尋求雙方的共識(shí)和爭(zhēng)議的解決。其次要針對(duì)GDPR本身，努力促成中歐數(shù)據(jù)流動(dòng)“隱私盾”協(xié)定，建立專門機(jī)制打通中歐數(shù)據(jù)流通渠道，為我國(guó)企業(yè)提供更多的、符合實(shí)際需求的跨境轉(zhuǎn)移合同文本選擇。最后要爭(zhēng)取針對(duì)技術(shù)創(chuàng)新和中小企業(yè)保留例外條款，避免GDPR限制人工智能、區(qū)塊鏈等技術(shù)的創(chuàng)新發(fā)展，打造良好的數(shù)字經(jīng)濟(jì)市場(chǎng)生態(tài)。

3.2 建立國(guó)內(nèi)數(shù)據(jù)分級(jí)分類管理制度

從保護(hù)和利用的平衡角度出發(fā)，建立分級(jí)分類管理標(biāo)準(zhǔn)和制度，對(duì)不同類型、不同級(jí)別的數(shù)據(jù)采取不同的監(jiān)管手段。實(shí)施大數(shù)據(jù)等級(jí)保護(hù)制度，按照行業(yè)領(lǐng)域、數(shù)據(jù)價(jià)值、數(shù)據(jù)特征等屬性進(jìn)行分類管理，強(qiáng)化落實(shí)數(shù)據(jù)脫敏、信息定密、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)流控、事態(tài)預(yù)警和應(yīng)急處置等“事中、事后”監(jiān)管措施，建立健全大數(shù)據(jù)保護(hù)的考核評(píng)估機(jī)制，將數(shù)據(jù)采集、存儲(chǔ)、分析、挖掘、使用、傳輸、開放等全生命周期的關(guān)鍵環(huán)節(jié)納入監(jiān)管范圍。通過數(shù)據(jù)分級(jí)分類制度，明確我國(guó)《網(wǎng)絡(luò)安全法》框架下個(gè)人信息、重要數(shù)據(jù)的具體范圍界限和管理要求，以進(jìn)一步協(xié)調(diào)我國(guó)國(guó)內(nèi)法與GDPR銜接的關(guān)系。

3.3 完善國(guó)內(nèi)個(gè)人信息保護(hù)立法

GDPR的出臺(tái)和實(shí)施是個(gè)人數(shù)據(jù)保護(hù)統(tǒng)一立法的典型代表，制定統(tǒng)一的個(gè)人信息保護(hù)法也是我國(guó)個(gè)人信息保護(hù)和社會(huì)經(jīng)濟(jì)法發(fā)展的現(xiàn)實(shí)需求。首先要切實(shí)回應(yīng)社會(huì)關(guān)注。近年來(lái)不斷發(fā)生的個(gè)人信息泄露事件引發(fā)高度關(guān)注，制定一部統(tǒng)一的個(gè)人信息保護(hù)法成為社會(huì)各界的一致呼聲；其次要有利于從國(guó)家層面明確重大問題和基本制度。通過制定統(tǒng)一的個(gè)人信息保護(hù)法，明確企業(yè)收集和使用個(gè)人信息的基本規(guī)范，并對(duì)數(shù)據(jù)跨境流動(dòng)規(guī)則等基本問題作出回應(yīng)；最后要促進(jìn)我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)做大做強(qiáng)，通過國(guó)家明確的個(gè)人信息保護(hù)政策為我國(guó)的互聯(lián)網(wǎng)企業(yè)明確行為指引，為其開拓海外市場(chǎng)提供良好的信譽(yù)保證。

3.4 推動(dòng)國(guó)內(nèi)企業(yè)自主合規(guī)管理

在歐盟開展相關(guān)業(yè)務(wù)的中國(guó)企業(yè)，有必要提高認(rèn)識(shí)，結(jié)合自身業(yè)務(wù)情況，由內(nèi)而外積極采取多種應(yīng)對(duì)措施。首先要全面進(jìn)行合規(guī)評(píng)估及分析。理順業(yè)務(wù)流程及架構(gòu)，明確業(yè)務(wù)中收集、處理的數(shù)據(jù)類型以及數(shù)據(jù)存儲(chǔ)、使用的現(xiàn)狀，對(duì)照GDPR的要求，全面厘清業(yè)務(wù)合規(guī)漏洞；其次要加快滿足合規(guī)要求。盡快從技術(shù)要求、制度建設(shè)、流程完善三個(gè)方面制定整改方案并實(shí)施，滿足合規(guī)要求；最后要加強(qiáng)溝通與協(xié)作。加強(qiáng)與歐盟相應(yīng)執(zhí)法部門的協(xié)調(diào)與交流，存在合規(guī)困難的中小企業(yè)必要時(shí)可向我國(guó)政府尋求幫助，由政府建立相應(yīng)指導(dǎo)機(jī)制，緩解自身合規(guī)壓力。