歐盟《通用數(shù)據(jù)保護(hù)條例》影響研究

【摘 要】 歐盟是立法相對(duì)嚴(yán)苛和嚴(yán)謹(jǐn)?shù)膰?guó)家，在立法實(shí)踐方面對(duì)其成員國(guó)乃至世界范圍內(nèi)的其他國(guó)家產(chǎn)生了極為深遠(yuǎn)的影響。歐盟的數(shù)據(jù)保護(hù)立法常常被學(xué)者用來(lái)作為數(shù)據(jù)保護(hù)立法的典范，因此將對(duì)GDPR對(duì)歐盟成員國(guó)以及其他非歐國(guó)家的影響進(jìn)行研究。

【關(guān)鍵詞】 GDPR 影響 數(shù)據(jù)保護(hù)

一、研究背景

大數(shù)據(jù)的時(shí)代背景下，數(shù)據(jù)泄露問(wèn)題是當(dāng)前困擾數(shù)字經(jīng)濟(jì)進(jìn)一步發(fā)展的一大主要障礙。法律的出臺(tái)既能夠從權(quán)威的角度來(lái)保護(hù)消費(fèi)者的隱私權(quán)益，同時(shí)也能夠給企業(yè)足夠空間有的放矢。歐盟是立法相對(duì)嚴(yán)苛和嚴(yán)謹(jǐn)?shù)膰?guó)家，在立法實(shí)踐方面對(duì)其成員國(guó)乃至世界范圍內(nèi)的其他國(guó)家產(chǎn)生了極為深遠(yuǎn)的影響。歐盟的數(shù)據(jù)保護(hù)立法常常被學(xué)者用來(lái)作為數(shù)據(jù)保護(hù)立法的典范，而我國(guó)雖然在2016年出臺(tái)了《網(wǎng)絡(luò)安全法》，但卻因?yàn)樵摲芍袑?duì)消費(fèi)者的權(quán)利界定尚有模糊之處，直到2018年《電子商務(wù)法》的正式實(shí)施彌補(bǔ)這一缺陷后，我國(guó)才被認(rèn)為是擁有數(shù)據(jù)保護(hù)立法的國(guó)家[1]。即便如此，《電子商務(wù)法》中提及“隱私”一詞的條例仍然極為有限，在數(shù)據(jù)保護(hù)的具體規(guī)范上依然存在不足，數(shù)據(jù)產(chǎn)生者的權(quán)益也仍舊不能得到系統(tǒng)性的保障。因此研究各國(guó)在GDPR背景下的立法進(jìn)展對(duì)我國(guó)接下來(lái)出具更完備的數(shù)據(jù)保護(hù)立法的具有重大的借鑒意義，因此將對(duì)GDPR對(duì)歐盟成員國(guó)以及其他非歐國(guó)家產(chǎn)生的影響進(jìn)行研究。

二、歐盟數(shù)據(jù)保護(hù)歷史

（一）歐盟數(shù)據(jù)保護(hù)歷史回顧。世界上共231個(gè)國(guó)家和獨(dú)立立法主體，截止到2019年1月，132個(gè)立法主體已經(jīng)頒布相關(guān)立法，全球范圍內(nèi)的數(shù)據(jù)保護(hù)法律覆蓋率約為57%，其中歐盟是世界范圍內(nèi)最早實(shí)現(xiàn)數(shù)據(jù)保護(hù)法完全覆蓋的組織，而歐洲的數(shù)據(jù)保護(hù)法覆蓋率已經(jīng)達(dá)到了約95%，遠(yuǎn)遠(yuǎn)高于世界平均水平。

回顧歐洲國(guó)家的數(shù)據(jù)保護(hù)立法，大概可以分為三個(gè)階段：第一階段：萌芽期。根據(jù)一項(xiàng)報(bào)告顯示顯示，瑞典是世界上第一個(gè)出臺(tái)數(shù)據(jù)保護(hù)法的國(guó)家（1973年），20世紀(jì)70年代世界范圍內(nèi)所出臺(tái)的7部數(shù)據(jù)相關(guān)法律均是由歐洲國(guó)家所出臺(tái)，分別是瑞典、德國(guó)、奧地利、丹麥、法國(guó)、挪威和盧森堡[2]。這是法律界最早展開(kāi)的數(shù)據(jù)保護(hù)立法探索。第二階段：發(fā)展期。20世紀(jì)80-90年代，歐洲的立法覆蓋率迎來(lái)了一個(gè)加速，大部分歐洲國(guó)家已經(jīng)完成了數(shù)據(jù)保護(hù)的初步立法。第三階段：成熟期。進(jìn)入2000年，歐洲的立法已經(jīng)進(jìn)入修正階段，這樣的速度領(lǐng)先世界平均水平約10年左右。

（二）歐盟數(shù)據(jù)保護(hù)現(xiàn)狀——通用數(shù)據(jù)保護(hù)條例（GDPR）。GDPR，全稱(chēng)為General Data Protection Regulation，即通用數(shù)據(jù)保護(hù)條例。經(jīng)過(guò)四年多的協(xié)商，2016年4月由歐洲議會(huì)和歐洲理事會(huì)通過(guò)。從2016年5月開(kāi)始，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個(gè)歐洲公民的消費(fèi)者數(shù)據(jù)，例如獲得公民自愿給予和“明確的”同意。如果沒(méi)有提供適當(dāng)通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱(chēng)GDPR）正式執(zhí)行，在1995年出臺(tái)的《個(gè)人數(shù)據(jù)保護(hù)指令》的基礎(chǔ)上將數(shù)據(jù)保護(hù)范圍擴(kuò)大到歐盟全境以及跨境進(jìn)入歐盟的實(shí)體公司。除此之外，這項(xiàng)條例賦予歐洲公民更多的合法權(quán)利，包括限制處理權(quán)（18條）、持續(xù)控制權(quán)（20條）、清除權(quán)（17條）、更正權(quán)（16條）、獲取必要信息的權(quán)利（12-14條）、訪問(wèn)權(quán)（12、15條）、拒絕權(quán)（14、21條）等，其中，被遺忘權(quán)和刪除權(quán)是歐盟的的特別規(guī)定[3]。

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱(chēng)GDPR）一經(jīng)出臺(tái)，對(duì)歐洲各國(guó)均產(chǎn)生了巨大的影響。GDPR第83條就不同的違法行為設(shè)定了不同的罰款標(biāo)準(zhǔn)，例如對(duì)違反個(gè)人信息收集和使用的基本原則以及沒(méi)有保障數(shù)據(jù)主體權(quán)利的數(shù)據(jù)控制者或處理者，最高可處以2000 萬(wàn)歐元或全球營(yíng)業(yè)額的 4%作為罰款，并且取兩者中的較高者。許多在歐行商的企業(yè)已經(jīng)因此受到了巨額罰金，如2019年1月，法國(guó)數(shù)據(jù)保護(hù)監(jiān)管架構(gòu)CNIL針對(duì)對(duì)谷歌LLC案作出審查決定，認(rèn)定谷歌美國(guó)違反GDPR多項(xiàng)條款并處以5000萬(wàn)歐元的罰款。

三、GDPR對(duì)歐盟成員國(guó)數(shù)據(jù)保護(hù)影響

歐盟作為特殊的跨法域組織的代表，其境內(nèi)存在雙重法制：歐盟法和歐盟成員國(guó)法。二者之間的關(guān)系遵循“歐盟法優(yōu)先適用原則”、“相互合作原則”、“直接效力原則”，即二者是一種相互影響且相互包容的關(guān)系，因此歐盟的立法與法律修訂會(huì)對(duì)其成員國(guó)的法律產(chǎn)生影響，成員國(guó)往往需要結(jié)合各國(guó)具體情況稍有調(diào)整地修訂立法或訂立新法。因此，自2016年后的GDPR通過(guò)起，截止到《全球數(shù)據(jù)隱私法律條例框架（2019版）》中所記載的2018年數(shù)據(jù)，27個(gè)歐盟成員國(guó)中的23個(gè)國(guó)家已經(jīng)根據(jù)GDPR修改了相關(guān)法律于2018年對(duì)法律進(jìn)行了修改，其中包括奧地利（Datenschutzgesetz）、比利時(shí)（Law on the Protection of Individuals regarding the Processing of their Personal Data）、塞浦路斯（The Processing of Personal Data （Protection of the Individual） Law）、克羅地亞（Act on Personal Data Protection）、丹麥（Act on Processing of Personal Data）、愛(ài)沙尼亞（Personal Data Protection Act）、芬蘭（Data Protection Act）、法國(guó)（Law relating to the protection of individuals against the processing of personal data）、德國(guó)（Federal Data Protection Act）、匈牙利（Act on Informational Self-Determination and Freedom of Information）、愛(ài)爾蘭（Data Protection Act）、意大利（Data Protection Code）、拉脫維亞（Law on Personal Data Processing）、立陶宛（Law on Legal Protection of Personal Data）、盧森堡（Data Protection Law （GDPR implementing law of 16 August 2018））、馬耳他（Data Protection Act）、荷蘭（Personal Data Protection Act）、波蘭（Act on the Protection of Personal Data）、羅馬尼亞（GDPR implementation law）、斯洛伐克（Act No. 18/2018 on the Protection of Personal Data）、斯洛文尼亞（Personal Data Protection Act）、西班牙（Ley Orgánica 3/2018， de 5 de diciembre， de Protección de Datos Personales y garantía de los derechos digitales.）、瑞典（Data Protection Act）。除此之外，保加利亞、希臘、葡萄牙、捷克4個(gè)國(guó)家的法律還在草擬階段[1]。

四、GDPR對(duì)非歐國(guó)家的影響

雖然GDPR是用于對(duì)歐盟以及在歐盟進(jìn)行貿(mào)易的國(guó)家和地區(qū)內(nèi)的數(shù)據(jù)活動(dòng)進(jìn)行規(guī)范，但因?yàn)镚DPR本身的完備性與權(quán)威性，部分國(guó)家以此為原型進(jìn)行了引用，所以GDPR對(duì)除歐盟成員國(guó)外的其他國(guó)家的立法也產(chǎn)生了影響[1]。

（一）貝寧。貝寧在2017年6月13日出具了與GDPR極為相似的立法，這是一份非常具有綜合性的立法，有超過(guò)650條的的條款用于規(guī)范網(wǎng)絡(luò)。與GDPR極為相似的一點(diǎn)就是，將治外法權(quán)、處理器隱私設(shè)計(jì)責(zé)任、設(shè)立數(shù)據(jù)保護(hù)官、數(shù)據(jù)被遺忘權(quán)、數(shù)據(jù)可以執(zhí)行等包含進(jìn)了該國(guó)網(wǎng)絡(luò)法中。

（二）烏拉圭。烏拉圭作為第一個(gè)簽署《第108號(hào)公約》的非歐洲國(guó)家，烏拉圭需要更新其數(shù)據(jù)保護(hù)法。烏拉圭分別從四個(gè)方面加強(qiáng)了該國(guó)立法：域外范圍、數(shù)據(jù)違反通知、問(wèn)責(zé)制（要求控制人員實(shí)施其他gdpr要素）、和數(shù)據(jù)保護(hù)官員。

（三）毛里求斯。毛里求斯在2017年12月22日更新了他們?cè)?004年就訂立的數(shù)據(jù)保護(hù)法。毛里求斯雖然是一個(gè)國(guó)土面積僅有2040平方公里的島國(guó)，但是作為第二個(gè)服從108號(hào)公約的非歐盟國(guó)家以及他們較為發(fā)達(dá)的經(jīng)濟(jì)，他們?cè)贕DPR的影戲下對(duì)自己的法律也進(jìn)行了修正。

五、GDPR對(duì)中國(guó)產(chǎn)生的影響

歐盟GDPR對(duì)全球多個(gè)國(guó)家的政府、企業(yè)乃至個(gè)人產(chǎn)生了極大的影響。國(guó)內(nèi)學(xué)者在GDPR出臺(tái)后紛紛依據(jù)該條例提出我國(guó)的借鑒方案，因?yàn)槲覈?guó)還未結(jié)合建立數(shù)據(jù)保護(hù)法案，接下來(lái)我們主要分析GDPR對(duì)我國(guó)跨國(guó)企業(yè)產(chǎn)生的影響。

（一）跨國(guó)企業(yè)消費(fèi)者意識(shí)的影響。一項(xiàng)調(diào)查顯示，截止到2019年5月，歐盟民眾中已經(jīng)有67%的受訪者接受過(guò)對(duì)于數(shù)據(jù)保護(hù)的條例，57%的受訪者表示知道歐盟成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)，73%的受訪者至少知道GDPR中的一項(xiàng)條款[4]。因此對(duì)于許多依跨國(guó)數(shù)字經(jīng)濟(jì)公司，需要隨著公民隱私意識(shí)的提升以及GDPR將所有的涉歐企業(yè)企業(yè)均納入了新條例的管轄范圍，所以涉歐企業(yè)均需要出臺(tái)相關(guān)的隱私保護(hù)政策以及改良銷(xiāo)售模式來(lái)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)，從而避免高額的罰款以及其他的違規(guī)處理。

（二）跨國(guó)企業(yè)在歐行商條件的影響。為了防止企業(yè)因?yàn)檫`反歐盟《通用數(shù)據(jù)保護(hù)條例》，我國(guó)學(xué)者許濟(jì)滄針對(duì)GDPR中的具體條款按照8原則建立了17個(gè)指標(biāo)的評(píng)價(jià)指標(biāo)體系，從而為有效防止我國(guó)企業(yè)在歐行商提出寶貴的事前準(zhǔn)備[5]，其中八項(xiàng)原則分別是：目標(biāo)明確原則、選擇同意原則、最少夠用原則、合理管護(hù)原則、主體參與原則、公開(kāi)透明原則、確保安全原則、與自我管護(hù)原則，而17項(xiàng)指標(biāo)分別是：個(gè)人數(shù)據(jù)收集合法程度、個(gè)人數(shù)據(jù)獲取授權(quán)意識(shí)、個(gè)人數(shù)據(jù)收集最小化程度、保存時(shí)間最小化程度、加密安全程度、記錄有序性、數(shù)據(jù)庫(kù)存分析、設(shè)備管理、數(shù)據(jù)保護(hù)人員獨(dú)立性、訪問(wèn)控制程度、主體請(qǐng)求響應(yīng)程度、數(shù)據(jù)處理可追溯性等。

總而言之，GDPR已經(jīng)在世界范圍內(nèi)引起了廣泛的影響，我國(guó)學(xué)者對(duì)其的研究也已經(jīng)較為廣泛，政府可以參考學(xué)者或別國(guó)的借鑒經(jīng)驗(yàn)，從而為我國(guó)的數(shù)據(jù)保護(hù)法立法提供支持。

【參考文獻(xiàn)】

[1] Graham Greenleaf， 157 Privacy Laws & Business International Report[R]. Australia ：UNSW，2019：14-18.

[2] Graham Greenleaf， 76 Privacy Laws & Business International Report[R]. Australia ：UNSW，2011：1.

[3] 楊一澤，歐盟個(gè)人數(shù)據(jù)保護(hù)條例適用研究[D]哈爾濱：哈爾濱工業(yè)大學(xué)，2017：24-31.

[4] 王灝晨.通用數(shù)據(jù)保護(hù)條例（ GDPR）的實(shí)踐評(píng)價(jià)及啟示[J]，中國(guó)物價(jià)2019.12.

[5] 許濟(jì)滄.基于GDPR的個(gè)人數(shù)據(jù)保護(hù)企業(yè)自評(píng)指標(biāo)體系研究：圖書(shū)情報(bào)工作. 2018.12.

作者簡(jiǎn)介：唐煜（1996—） ，女，漢族，四川成都人，碩士研究生，單位：云南財(cái)經(jīng)大學(xué)商學(xué)院市場(chǎng)營(yíng)銷(xiāo)專(zhuān)業(yè)，研究方向：營(yíng)銷(xiāo)倫理