歐盟《一般數(shù)據(jù)保護條例》監(jiān)管實效與影響

劉恩澤

2021年11月3日，中國人民銀行行長易綱在香港金融科技周的演講中提到：中國個人信息保護的法律體系已初步建立，有關(guān)部門將依法實施公平監(jiān)管;個人信息保護的最終目的是促進數(shù)據(jù)的合理使用，央行及監(jiān)管當局會進一步完善金融領(lǐng)域個人信息保護的法律制度，并加大對個人信息保護的監(jiān)管力度。當前的信息時代已將信息對社會的影響力提升到絕對重要的地位。伴隨著科技的發(fā)展，個人信息的收集、儲存、分析與價值實現(xiàn)方式變得更加多元，信息的泄露也變得愈加容易，這些在某些極端情況下甚至?xí)θ藗兊纳c財產(chǎn)安全造成威脅。因此，政府及監(jiān)管當局理應(yīng)承擔(dān)責(zé)任，保證公民的個人權(quán)利不受侵害。

在個人信息保護方面，歐盟走在了世界前列。歐盟在數(shù)據(jù)保護方面始終采用綜合性的立法方式。從歐洲理事會1981年發(fā)布的首個關(guān)于個人數(shù)據(jù)保護的司法文件《有關(guān)個人數(shù)據(jù)自動化處理的個人保護公約》，到歐盟1995年頒布的《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》，再到2018年歐洲議會和歐盟理事會通過的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation， GDPR），經(jīng)歷了從具有指導(dǎo)性、建議性特點的軟法（softlaw）到強制性的硬法（hard law）規(guī)范過程。

GDPR于2018年5月25日全面施行，取代了1995年的《數(shù)據(jù)保護指令》。GDPR因極為嚴苛的規(guī)定、寬泛的適用范圍和高數(shù)額的罰金要求，又被外界稱作“史上最嚴格的個人數(shù)據(jù)保護法”。GDPR創(chuàng)新性地明確個人對自身信息享有的權(quán)利和數(shù)據(jù)處理機構(gòu)應(yīng)當承擔(dān)的責(zé)任，為世界各國制定數(shù)據(jù)保護相關(guān)法律貢獻了有益借鑒，也對全球數(shù)據(jù)治理生態(tài)產(chǎn)生廣泛、深刻的影響。GDPR已出臺三年有余，其實施成果及實踐經(jīng)驗對我國當下建立個人信息保護體系有著極為重要的現(xiàn)實意義。

GDPR的出臺背景和立法原則

出臺背景。保護公民隱私信息具有維護公民權(quán)利和遏制市場創(chuàng)新活力的“雙刃劍”屬性。從西方發(fā)達國家互聯(lián)網(wǎng)發(fā)展經(jīng)驗看，客戶的私人數(shù)據(jù)一步一步成為各類商業(yè)巨頭重要收益的源頭。例如，搜索引擎和社交軟件之類從事信息收集與再生產(chǎn)的企業(yè)，在廣泛收集公民注冊信息的同時，有針對性地提供定制化服務(wù)，以達到提高用戶使用率和增加企業(yè)收益的目的。從2013年斯諾登事件爆料出的“棱鏡計劃”可以看到，F(xiàn)acebook、Twitter、Google等一眾美國科技巨頭持續(xù)不間斷地對歐洲互聯(lián)網(wǎng)用戶的個人信息進行收集和加工，歐盟在全社會都處在“心理危機”之際，提出以立法形式將個人隱私信息保護劃歸政府公共服務(wù)范疇之中。

立法原則?；驹瓌t方面，GDPR遵循了“權(quán)利與自由”“處理正當性”和“最小侵害性”三原則。GDPR的第一條便規(guī)定“本條例保護自然人的基本權(quán)利和自由，特別是自然人享有的個人數(shù)據(jù)保護的權(quán)利”，將“自然人在個人數(shù)據(jù)的處理活動中獲得保護”定性為一項基本權(quán)利。GDPR指出，一切數(shù)據(jù)進一步存儲、處理、轉(zhuǎn)移的根本前提是“個人數(shù)據(jù)處理的正當性”，應(yīng)嚴肅叫停所有不正當?shù)臄?shù)據(jù)處理，嚴重時甚至應(yīng)讓擁有者和傳播者面臨牢獄之災(zāi);GDPR指出正當性主要體現(xiàn)在“同意的要件、處理的合法性、禁止處理行為”等三方面。在“最小侵害性”原則中，GDPR提出應(yīng)首先做到“數(shù)據(jù)最小化”，即數(shù)據(jù)控制者對個人數(shù)據(jù)的處理應(yīng)與初始目的充分相關(guān)并限制在最小限度以內(nèi)，且數(shù)據(jù)的處理應(yīng)該是準確的、在必要情形下持續(xù)更新的，同時需保證數(shù)據(jù)的完整性和保密性。

GDPR主要特點解析

對個人數(shù)據(jù)行政管理機制的創(chuàng)新。GDPR從機構(gòu)、模式以及方法三個微觀層面改進了個人數(shù)據(jù)保護的行政管理機制。在管理機構(gòu)設(shè)置上，GDPR成立了歐盟數(shù)據(jù)保護委員會（European Data Protection Board， EDPB）。GDPR在第68條中指出：“特別設(shè)立法人機構(gòu)歐盟數(shù)據(jù)保護委員會，其成員應(yīng)當包括各成員國個人數(shù)據(jù)行政監(jiān)管機構(gòu)首腦或其代表和歐盟數(shù)據(jù)保護監(jiān)督局首腦或其代表，并明確該委員會的秘書處由歐洲數(shù)據(jù)保護局擔(dān)任?！盓DPB的設(shè)立使歐盟數(shù)據(jù)保護局的權(quán)力被極大地提升，從而確保GDPR在各成員國的統(tǒng)一適用。在管理模式上，GDPR提出設(shè)立了“一站式（one-stop-shop）”監(jiān)管原則，明確領(lǐng)導(dǎo)機構(gòu)和成員機構(gòu)的共同協(xié)作原則，并構(gòu)建了詳細的一站式管理規(guī)則。具體而言，主要責(zé)任由數(shù)據(jù)控制者和處理者的主要營業(yè)機構(gòu)所在國當?shù)氐臄?shù)據(jù)監(jiān)管機構(gòu)承擔(dān)，而其他成員國的對應(yīng)數(shù)據(jù)監(jiān)管機構(gòu)與主要營業(yè)機構(gòu)所在國的監(jiān)管機構(gòu)保持緊密合作和信息共享。在管理方法上，GDPR將與個人數(shù)據(jù)處理相關(guān)的活動區(qū)分為“較高風(fēng)險”“一般風(fēng)險”和“較低風(fēng)險”三類風(fēng)險等級，實行等級差異化管理方法，并明確指出數(shù)據(jù)控制者在開展規(guī)定的“較高風(fēng)險”活動前應(yīng)做好影響評估，并需按照規(guī)定流程向數(shù)據(jù)保護局進行咨詢與報告。

明確個人對自身數(shù)據(jù)的控制權(quán)。GDPR在現(xiàn)有法律基礎(chǔ)上，進一步結(jié)合實踐明確了個人對自身數(shù)據(jù)的控制權(quán)內(nèi)容。GDPR對個人數(shù)據(jù)范圍進行了明確規(guī)定：“個人數(shù)據(jù)指的是任何已識別或可識別的自然人（信息主體）的數(shù)據(jù)”，任何“特定自然人”的數(shù)據(jù)都是GDPR保護的對象;GDPR提出“獲得本人明確同意”是第三方機構(gòu)收集和處理個人信息的首要且必要條件;GDPR首次定義了數(shù)據(jù)的被遺忘權(quán)（公民在其個人數(shù)據(jù)信息不再有合法之需時要求將其刪除或不再使用的權(quán)利）、刪除權(quán)（數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)及避免其個人數(shù)據(jù)被傳播）以及可攜帶權(quán)（數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者索取本人數(shù)據(jù)并自主決定使用用途）;GDPR確保了個人查詢自身數(shù)據(jù)的便捷性，要求當信息主體向信息控制者行使查詢權(quán)利時，控制者除在規(guī)定指出的特別情況外均應(yīng)提供免費服務(wù)，只有當查詢要求是重復(fù)的、顯然不存在的、過分的或者要求復(fù)印時，方可索取費用。

重新界定個人數(shù)據(jù)相關(guān)單位的責(zé)任。GDPR創(chuàng)新性地對數(shù)據(jù)控制者和處理者的責(zé)任和義務(wù)進行了重新界定。與往常認為的數(shù)據(jù)處理者只負責(zé)數(shù)據(jù)的分析工作而與數(shù)據(jù)的收集和使用無關(guān)（控制者的外包服務(wù)人員）不同的是，GDPR增設(shè)了數(shù)據(jù)處理者為直接、獨立的義務(wù)主體;GDPR開創(chuàng)性地設(shè)立了數(shù)據(jù)保護官制度，規(guī)定數(shù)據(jù)的控制者和處理者通常情況下必須設(shè)立保護官，以增強數(shù)據(jù)保護力度;GDPR要求數(shù)據(jù)控制者應(yīng)當記錄每一次的數(shù)據(jù)處理活動，并保證保護措施的公開透明。此外，GDPR還規(guī)定了數(shù)據(jù)控制者在數(shù)據(jù)泄露時的報告和通知義務(wù)，要求數(shù)據(jù)控制者應(yīng)當在數(shù)據(jù)泄露后的72小時內(nèi)向數(shù)據(jù)保護局報告情況，在特殊情況下，數(shù)據(jù)控制者還需及時準確地向每一個信息主體通知信息泄露情況。

加大處罰力度，增加特殊情況下的保護規(guī)則。GDPR明顯加大了處罰力度，規(guī)定在歐盟境內(nèi)違規(guī)公司將最高面臨其全年營業(yè)額4%的罰款。對數(shù)據(jù)的跨境流動和數(shù)據(jù)犯罪等特別情況，GDPR也作了細化要求，如“明令禁止數(shù)據(jù)控制者與處理者將歐盟內(nèi)的數(shù)據(jù)信息轉(zhuǎn)移至境外地區(qū)，除非滿足一定條件并證明數(shù)據(jù)能在歐盟外的特定地區(qū)得到充分保護”，同時對“境外數(shù)據(jù)保護水平”的判定標準進行約束。在刑事犯罪領(lǐng)域，歐盟同時期頒布《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸和保護個人數(shù)據(jù)的指令》，明確刑事罪犯、犯罪嫌疑人和被調(diào)查人的個人信息同樣應(yīng)受到有效保護。

GDPR的相關(guān)運用效果及主要案例分析

案例執(zhí)行情況

歐盟數(shù)據(jù)保護委員會（EDPB）近期在其官網(wǎng)公布了自2018年5月GDPR實施以來至2021年5月，歐盟各成員國數(shù)據(jù)保護資源投入及案例執(zhí)行情況（見圖1）。在成員國本國（非跨國）案例方面，據(jù)不完全統(tǒng)計，三年來歐盟成員國共有近50萬件執(zhí)行案例登記在冊，2020年案件登記數(shù)量達到頂峰，總計近18萬件。三年來案件數(shù)量最多的三個國家分別是德國（165641件）、荷蘭（68907件）和愛爾蘭（48131件）?？鐕咐矫妫瑩?jù)歐盟網(wǎng)絡(luò)市場信息（Internet Market Information， IMI）記錄，自GDPR實施至2021年5月31日，全歐盟上報至IMI系統(tǒng)的跨國執(zhí)行案例共計13493件，其中排名前三的國家分別為德國（1070件）、法國（767件）和西班牙的（693件）件。

從歐盟案例情況可以看出，案件執(zhí)行總量及大部分國家案件統(tǒng)計數(shù)量均為2019年和2020年的急劇上升到達頂峰后在2021年快速下降，案件數(shù)量曲線較為一致。而在國家層面，案件執(zhí)行數(shù)量比較多的國家通常為歐盟中較為發(fā)達、科技信息公司注冊地較多且國際化和法制化程度較高的國家。

罰金情況

報告顯示，據(jù)不完全統(tǒng)計，截至2021年5月31日，歐盟各成員國針對違反GDPR而處理的罰金金額合計約2.75億歐元，2020年總計1.4億歐元，較2019年增長28%，是2018年罰金金額的26倍有余（見圖2）。其中，意大利以0.6億歐元的罰金位居首位，德國的0.56億歐元和瑞典的0.12億歐元分別位居第二和第三。值得注意的是，統(tǒng)計范圍之外的2021年7月16日，盧森堡國家數(shù)據(jù)保護委員會對亞馬遜開出7.46億歐元天價罰單，目前亞馬遜表示已決定上訴，如果此次處罰落實，罰金將創(chuàng)GDPR實施以來的最高記錄。

總體來看，自2018年5月GDPR實施以來，案例數(shù)量及罰金數(shù)額并未在當年出現(xiàn)迅速增加，而是在隨后的2019年和2020年到達頂峰，在2021年又進一步回落。從曲線整體走勢可以大致判斷，在2018年新政實施后，各成員國經(jīng)歷了新政緩沖期，在案件的調(diào)查取證方面，尤其針對中大型跨國公司，司法程序較為復(fù)雜，戰(zhàn)線通常較長，因此直至GDPR實施后的一兩年時間才達峰值。該曲線同樣值得我國相關(guān)部門借鑒并作好前瞻應(yīng)對。

主要處罰案例分析

GDPR對擁有龐大用戶基礎(chǔ)并對海量數(shù)據(jù)進行處理的大型科技公司懲戒力度較大，其域外管轄權(quán)也將對世界各國科技巨頭產(chǎn)生較大影響（見表1）。

可以看出，受GDPR影響較大的均為大型科技和服務(wù)企業(yè)，其中尤以美國、英國公司為主。處罰原因主要集中在違反GDPR對數(shù)據(jù)處理的基本原則、個人數(shù)據(jù)行為基本要求、數(shù)據(jù)處理合法性基礎(chǔ)和數(shù)據(jù)處理過程的安全性的相關(guān)要求，開出的罰單數(shù)額均十分巨大。GDPR的實施對國際數(shù)據(jù)治理生態(tài)帶來較大影響，特別在國際監(jiān)管方面，GDPR以個人數(shù)據(jù)跨境制度為有利抓手，增強歐盟在互聯(lián)網(wǎng)和信息產(chǎn)業(yè)的地位，提升歐盟在全球數(shù)據(jù)治理的話語權(quán)。我國相關(guān)部門及企業(yè)應(yīng)實時追蹤全球規(guī)則變動，深入研究、領(lǐng)會GDPR對數(shù)據(jù)處理的基本要求，從頂層設(shè)計、標準體系、管理體制等方面著手，結(jié)合自身信息數(shù)據(jù)特點完善個人信息保護體系，提升自身在國際數(shù)據(jù)管理中的地位及話語權(quán)。

啟示及建議

2021年11月1日，《中華人民共和國個人信息保護法》正式實施，完善了我國多年來一直缺失的針對個人信息保護領(lǐng)域的特別法律設(shè)置。我國《個人信息保護法》充分吸收、借鑒國內(nèi)外成功經(jīng)驗，對個人信息處理活動、屬地管轄范圍、“告知同意”為核心的個人信息處理原則、自動化決策、人臉識別管制、數(shù)據(jù)主體權(quán)利、信息處理者義務(wù)、懲罰措施、個人信息權(quán)益的過錯推定責(zé)任等方面作出全方位規(guī)范。在法律規(guī)定內(nèi)容之外，結(jié)合對GDPR的相關(guān)執(zhí)行情況的分析，我們提出如下政策建議以供相關(guān)部門參考。

實時追蹤和研判全球規(guī)則變動，加強國際合作。當今信息時代的數(shù)據(jù)主權(quán)問題已經(jīng)成為世界范圍內(nèi)各方高度關(guān)注的國際性問題，各國已逐步根據(jù)自身實際情況和政策標準完善該領(lǐng)域的制度規(guī)范，而這也無可避免地會對其他國家造成“規(guī)范溢出”的影響，且很可能會受到其他國家規(guī)則的反向約束。這就提醒我國在構(gòu)建、運用、完善相關(guān)制度的實踐過程中，主動與各國在司法機關(guān)和行政當局在相關(guān)領(lǐng)域如反壟斷、數(shù)據(jù)監(jiān)管和消費者權(quán)益保護等加強跨國合作與監(jiān)管協(xié)調(diào)，并更加注重實時跟蹤全球主要區(qū)域相關(guān)規(guī)則的變動，及時主動地發(fā)現(xiàn)在國際博弈中各方力量的變化，并在恰當?shù)臅r機果斷調(diào)整國內(nèi)規(guī)范，以便更加有效地應(yīng)對國際挑戰(zhàn)，提升國際地位。

關(guān)注基本權(quán)利與促進創(chuàng)新之間的平衡關(guān)系。GDPR在個人數(shù)據(jù)保護方面走在全球前列，但其本質(zhì)是為集中收集、存儲和處理數(shù)據(jù)的系統(tǒng)而設(shè)計，與個別創(chuàng)新技術(shù)存在沖突，如代表當前數(shù)據(jù)存儲和管理新范式的分布式區(qū)塊鏈。為集中式數(shù)據(jù)庫制定的GDPR似乎很難適用于采取分散式數(shù)據(jù)存儲的區(qū)塊鏈，尤其是關(guān)于跨境傳輸與被遺忘權(quán)的規(guī)定。GDPR與區(qū)塊鏈之間的緊張關(guān)系也揭示了保護基本權(quán)利與促進創(chuàng)新的不同目標之間的沖突。

當前金融機構(gòu)正不約而同地推動數(shù)字化轉(zhuǎn)型，隨著互聯(lián)網(wǎng)金融與開放銀行概念的興起，傳統(tǒng)金融大躍進式地向金融與科技相融合轉(zhuǎn)型的趨勢已經(jīng)明朗。鑒于金融信息的特殊性，金融機構(gòu)一直以來都受到各國數(shù)據(jù)安全方面的強監(jiān)管，因此在數(shù)據(jù)安全和隱私保護方面較其他行業(yè)整體水平較高。金融科技的不斷創(chuàng)新必將為個人信息的有效保護帶來挑戰(zhàn)，因此如何平衡個人權(quán)利保護和科技創(chuàng)新是當前需要解決的一個重要理論與實踐問題。

完善頂層設(shè)計及合作模式。健全法律法規(guī)和監(jiān)管體系是實現(xiàn)個人信息保護的基礎(chǔ)。當前我國大力推進金融對外開放的前提下，跨境金融機構(gòu)及跨境并購子公司數(shù)量穩(wěn)步增多，但面臨不同地區(qū)自身的數(shù)據(jù)管理規(guī)則與跨境數(shù)據(jù)傳輸原則，往往會在集團內(nèi)部形成數(shù)據(jù)獲取障礙。值得注意的是，港澳地區(qū)屬中國特別行政區(qū)，且其與境外各國聯(lián)系緊密，當前國家大力支持粵港澳大灣區(qū)發(fā)展，因此對于港澳地區(qū)與大陸內(nèi)地數(shù)據(jù)的傳輸與共享問題理應(yīng)給予特殊規(guī)定，未來也可適時延伸至臺灣地區(qū)。因此，建議由國家網(wǎng)信部門牽頭，聯(lián)合公安、工信、安全等部門，依據(jù)《個人數(shù)據(jù)保護法》中相關(guān)要求，盡快落實大中華區(qū)內(nèi)的個人數(shù)據(jù)的轉(zhuǎn)移原則與相關(guān)政策，可借鑒歐盟一站式監(jiān)管原則。同時，從歐盟成員國GDPR執(zhí)行情況來看，我國未來兩年或?qū)⒂瓉戆咐龜?shù)量及處罰高峰，建議相關(guān)部門作好前瞻應(yīng)對，在科技水平較高、科技注冊公司較多的地區(qū)適當進行資源傾斜。

（作者單位：廈門國際銀行博士后工作站、復(fù)旦大學(xué)博士后流動站）

責(zé)任編輯：楊生恒