欧盟《一般数据保护条例》的主要内容及对我国的启示

会员服务 ·

欧盟《一般数据保护条例》的主要内容及对我国的启示

2018 年 6 月 29 日 百度公共政策研究院

百度金融政策研究院

特邀作者：伍旭川王达

伍旭川系中国人民银行金融研究所互联网金融研究中心副主任兼秘书长。本文仅代表作者本人独立研究思考的成果，旨在促进学术交流，不代表作者单位及本公众号的立场和观点。

一、《条例》出台的背景

一是互联网基础设施升级和技术进步使欧盟个人数据保护面临新情况。

近年来，智能手机和移动互联网迅速普及，个人在使用移动互联网便捷服务的同时，也在互联网上留下了大量个人隐私数据。互联网企业在全面掌控和利用个人数据进行深加工的过程中，往往会触碰侵犯个人隐私权的法律底线。此外，一旦海量个人用户数据被跨国互联网公司所属国家的政府部门利用，则有可能对本国国家安全构成威胁。因此，欧盟出台《条例》既有在加强个人隐私权保护的考虑，也是维护自身国家安全的需要。

二是全球互联网产业竞争格局的变化对欧盟提出了新挑战。

目前，全球互联网产业发展呈现美国一家独大、中国紧随其后的格局，欧盟则处于全面落后状态。在全球排名前20的互联网公司当中，基本上都是美国和中国企业。在社交媒体和搜索服务等基础应用方面，欧盟市场几乎被美国企业垄断。如欧洲地区超过90%以上的搜索服务都由美国的Google公司提供。在移动端设备和电信基础设施等硬件设施方面，欧盟与美国甚至中国的公司相比都处于弱势地位。因此，欧盟不得不以一种新的策略来扭转其所处的不利地位，即以个人数据保护为名参与全球互联网产业竞争和利益角逐。

三是欧盟建立统一数据规则参与全球数据市场竞争的新举措。

近年来，欧盟试图统一其成员国个人数据保护标准，从而建立统一的欧洲数据市场。在个人数据的经济价值、文化价值以及地区安全价值越来越大的情况下，欧洲各国在个人数据立法以及相关标准方面的巨大差异，不利于欧盟统一数据市场的形成。《条例》的出台不仅有利于欧盟地区在数据保护方面一致对外，使欧盟在全球数据博弈过程中获得更大利益，也有助于提升成员国之间数据流动的效率，使欧盟成员国控制范围内的个人数据产生更大的政治、经济、文化和商业效益。

二、《条例》的主要内容

1.全面加强个人数据权利

一是重新定义个人数据授权。

《条例》规定，数据主体授权必须是其被告知情况下自愿并特定给出的明确表示。授权须包含四个要素：（1）数据控制者必须保证主体授权是用于特定目的；（2）数据主体的书面授权必须与其他事项授权进行区分；（3）授权可撤回；（4）在数据控制者和数据主体地位显著不平衡时，授权不能作为处理数据的合法依据；数据主体的缄默不能构成授权。从中可以看出，《条例》大幅加强了数据主体对自身数据的控制力。

二是明确定义了被遗忘权、删除权以及可携带权。

《条例》首次明确规定，数据主体有要求数据控制者删除与其相关的个人数据及避免其数据被传播的权利。可携带权是指，数据主体有权向数据控制者索取本人数据并自主决定使用用途。同时，只要数据主体已向数据控制者进行了授权，那么数据主体有权将其自身数据转移到其他系统，数据控制者不得阻碍此类数据转移行为。数据的可携带权意味着数据主体不仅能转移自身数据，还能将其作为一项资产进行管理。

三是对特殊风险数据的处理做出规定。

《条例》对个人具有重大影响的数据设置了数据保护影响评估条款。其规定针对特殊数据，只要数据处理操作会给数据主体的权利和自由带来特定的风险，数据控制者就必须设置数据保护影响评估环节，评估结果将会直接影响数据处理的条件，并需设计专项的数据保护措施。

四是赋予数据主体申请司法救济和赔偿的权利。

《条例》分别就数据主体向监管机构提出异议的权利、对监管机构的监管决定申请司法救济的权利、对数据控制者或处理者的违规行为申请司法救济的权利进行了原则性说明，规定数据主体有权要求本国数据监管机构在规定时限内对违规侵害数据的行为进行调查，并有权向法院起诉数据监管机构、数据控制者和处理者。

2.明确相关主体的安全保护责任

一是明确数据处理者的责任确认。

数据处理者（data processor）区别于数据控制者之处在于其并不直接参与数据的搜集和使用两个环节。在一般意义上，它并不直接接触数据主体，只是按照数据控制者的要求或指定的程序对数据进行加工处理。《条例》重新对数据处理者进行了定义，并将其纳入了监管范围，明确其必须承担数据保护的责任并与数据控制者一样遵守《条例》的各项规定。

二是提出了数据保护专员制度。

数据保护专员（DPO）是《条例》创新性地提出的企业内部数据保护的专职人员。DPO作为企业内部雇员具有相当的独立性，一方面要确保本企业遵守《条例》的各项规定，与监管机构进行沟通合作；另一方面数据主体也可以通过DPO与企业就自身的数据问题进行联系。

三是明确了企业数据采集的告知义务。

《条例》规定，企业作为数据控制者，必须在事前数据采集和事后数据泄漏两个环节履行告知义务。数据采集时的告知是数据处理透明原则的体现，数据采集告知义务对数据主体是否授权具有重要的判断价值；数据泄漏环节的告知是维护数据安全的重要内容，一旦发生泄漏，数据控制者须立即或在72小时之内向数据主体和监管机构履行告知义务，从而及时提醒并指导受害的数据个体采取必要的行为将负面影响降到最低。

四是数据保护的缺省隐私设计。

一方面，数据控制者要采取技术、制度手段来保证自身业务经营符合《条例》的规定以及数据主体隐私保护的需要；另一方面，数据保护的隐私设计需要有默认的两个原则：数据采集与数据使用目的一一对应原则以及数据采集的最小化原则（包括范围、数量、时间、接触主体等）。

3.完善数据资源的监管机制

一是优化监管机制。从立法层级上看，《条例》的法律效力优于欧盟成员国的国内法，从而为统一欧盟数据监管规则奠定了法律基础。《条例》提出了“一站式（one-stop-shop）”监管原则，即数据控制者与处理者的主营机构决定主数据保护机构，主数据保护机构行使统一管辖权；不同成员国数据保护机构与主数据保护机构之间进行监管合作；成员国数据保护机构对于《条例》解释具有统一性。“一站式”监管模式明确了各成员国的管辖权及监管规则，极大地提高了监管效率，降低了企业的合规成本。

二是加强统一监管。《条例》正式提出了设置欧盟数据保护理事会（European Data Protection Board），赋予其欧盟数据监管最高机构的地位，并保证其独立性。理事会可以单独行动，也可以直接对欧委会负责。

三是加重处罚力度。《条例》明确规定了各监管机构的行政执法权力范围、行政检查权、司法诉讼权以及行政处罚权。其共同的特点是处罚金额巨大且不论这些违规行为是否是主观上的故意或是疏忽。例如，欧盟可以对违反数据使用规则的公司，最高处以全年经营额4%的罚款。这表明了欧盟对于个人数据保护的重视程度，以及逼迫跨国大型企业正视数据保护问题的决心。

四是完善数据跨境转移监管规则。《条例》规定，数据接收国的法律、监管机构必须能够有效地保护欧盟数据主体的权利，并且有充分的司法救济权利；或者数据接收国是欧盟认可的数据保护充分的国家。

三、《条例》的社会影响及其评价

1.为全球个人隐私数据保立树立新标杆

《条例》是欧盟自2010年以来为保护个人数据而做出的一系列努力的重要成果。《条例》把个人使用互联网产生的数据视为个体基本人权，对出于商业目的存储、使用和交易个人数据设定了严格界限，并对涉嫌侵犯个人隐私的行为制定了严厉的制裁措施。因此，《条例》是迄今为止，主要发达经济体通过的最严厉的一部保护个人数据隐私的法律，为全球个人数据保护树立了新的标杆。其立法思路和体系化的保护措施对各国数据保护立法都产生了重要影响。一方面，《条例》对保护欧盟国家的个人隐私和数据安全起到了重要作用；另一方面，任何进入欧盟国家开展数据业务的企业都必须遵守《条例》的规定，这客观上要求其他国家也需要采取与欧盟标准相近的数据保护措施，从而获得对等地位。这在客观上对全球个人隐私数据保护起到了积极推动作用。

2.开创了与美国个人隐私保护不同的模式

欧盟《条例》在隐私保护理念、立法模式以及法律内容等方面都与美国存在显著差异。

从理念上看，在美国，公民隐私权并不在宪法保护的基本人权之列。个人信息可以被收集和处理，除非法律特别禁止。而欧盟则将隐私视为公民理应享有的基本人权。因此，在隐私权保护方面，欧盟走在世界前列。

从立法模式上看，欧盟实行的是统一保护模式，不区分行业，对个人隐私信息予以统一保护；美国则实行分类保护模式，基于各行业的特点、保护目的、保护手段等，分别给予不同的保护。从法律内容上看，在美国，不同的法律对“个人数据”有不同的界定，美国给予新公司相对自由的权利，使其能够尝试各种新型数据处理方法或者发现新的路径以规避隐私法律；以《条例》为代表的欧盟隐私保护法则具有广泛的适用性和灵活性，而且明确规定企业必须得到数据主体的同意，才可以收集和处理与个人敏感信息相关的数据。可以说，欧盟的个人隐私保护法为寻求完善数据立法的各国提供了良好的参照和范本。

3.新的数据赋权具有“双刃剑”效应

欧盟《条例》赋予数据主体拥有对自身数据的被遗忘权和删除权，这被视为加强个人隐私保护的亮点。

然而，新的数据赋权在加强个人数据主体权利的同时，也产生了负面影响。首先，权利主体、客体范围不确定增加了互联网企业被诉风险，而法律属性界定不清导致互联网企业难以做出有效抗辩。例如，被遗忘权权利主体是否包括具有刑事定罪前科的自然人或商人界定不明确；内部搜索引擎是否为信息控制者没有明显界定。此外，被遗忘权权利的非现实性导致循环诉讼增加。由于信息一旦上传网络，将难以根本消除，因为链接的删除只是限制搜索结果的出现，信息本身依然存在，且仍会被大量转载和重新发布，将产生新的链接，导致互联网企业陷入连续删除的怪圈和面对循环诉讼的恶性循环。其次，执行被遗忘权导致互联网企业营业外支出增加。如谷歌公司自2014年5月至2017年6月已收到将近73万份要求删除链接的申请，处理移除超过89万条的链接，如此大规模的删除申请，互联网公司需要付出一定成本，但《条例》并未就成本补偿机制作出明确说明。

四、对我国的启示及政策建议

1.全面提高数据收集与处理活动透明度

从全球范围来看，加强大数据时代的个人隐私保护是不可逆转的潮流。尽管在个人数据隐私保护的理念、立法模式以及法律内容等方面，欧盟与美国存在显著差别。但二者的共同之处在于，都强调公民个人数据收集与处理活动的透明性。这应当成为我国完善个人数据隐私保护立法的首要原则。具体而言，企业收集、处理个人信息须经数据主体明确授权；企业或组织须将个人数据的应用情境、使用目的、使用情况等向数据主体作出说明；在应用情境与原有使用目的不一致时，应当进行突出说明；应当向数据主体说明与第三方分享个人信息的目的、范围等情况。从而全面提高个人数据收集与处理活动的透明度，保障数据主体的知情权和隐私权。

2.明确界定相关数据主体的权利与责任

数据确权是保障个人隐私和促进数字经济健康发展的法律基础。对于数据主体而言，应当借鉴欧盟立法经验，明确赋予数据主体知情权、数据获取权、修改权以及携带权等基本权利，对于《条例》开创的个人数据被遗忘权和删除权，则应当根据我国互联网产业发展以及个人隐私保护的需要认真研究制定执行细则。对于数据使用主体，应当明确其保护个人隐私和数据安全的法律责任，要求其采取必要的技术和管理措施全面加强数据保护。

应当借鉴欧盟的经验，一是引入数据泄露通知制度，在个人信息泄露、毁损、丢失等情况发生时，应当毫不迟延地通知监管部门和可能受影响的用户；二是确立隐私保护设计原则，要求企业仅收集、处理与其开展业务相关的个人信息，不会使不必要的其他人获得公民个人信息；三是委托第三方进行数据处理或分享数据的，数据使用主体应当履行监督义务并承担相应法律责任。

3.做好个人隐私权与企业发展权的平衡

从欧盟《条例》颁布实施后所产生的社会影响上来看，大数据时代加强个人数据隐私保护的法律设定应当考虑权利平衡原则。从微观层面来看，公民个人的被遗忘权和删除权、企业的发展权和社会责任承担需取得一定的平衡；从宏观层面来看，维护国家数据安全、鼓励互联网技术创新和培育互联网产业的全球竞争力也需要平衡。公民隐私数据保护应当“有理、有利、有度”，不应以牺牲互联网企业的利益和整体产业发展为代价。从各国的司法实践来看，被遗忘权执行往往以申请人为主线，忽视互联网企业的关键地位，导致互联网企业在执行时处于被动地位。当互联网企业的权益受到侵害时，权益如何维护缺乏明确指导。因此，在为个人隐私数据提供司法保护的同时，也应当建立和完善对互联网企业的司法和行政救济体系，从而平衡好双方利益，促进我国互联网行业健康持续发展。

4.从严监管数据分析活动和跨境数据转移

大数据时代，大数据分析十分普遍和频繁。目前我国立法对于这些行为没有规范，既不利于公民个人隐私数据保护，也不利于维护国家数据主权。应参考欧盟《条例》的相关规定：一方面对数据分析行为进行清晰界定，并明确，若自动化数据处理用于评估个人特定方面，如工作表现、信用、可信赖度、行为表现等，评估结果对个人产生法律效果或重大影响时，个人有权不受该评估结果的约束；另一方面，在我国从“数据大国”向“数字强国”迈进的过程中，维护数据主权至关重要，应借鉴欧盟经验，构建我国跨境数据传输规则和机制，如要求个人数据跨境传输前进行安全评估等，有效控制个人数据的跨境转移，切实维护公民个人隐私和国家数据安全。

往期文章推荐

AI版权征文│人工智能版权问题随想（上篇）

AI版权征文│人工智能版权问题随想（中篇）

AI版权征文│人工智能版权问题随想（下篇）