文/劉權(quán)

近日，歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）將正式生效。GDPR序言共173條，正文分為11章99條。歷經(jīng)多年商討的GDPR新條例的實施，意味著歐盟的數(shù)據(jù)保護水平將達到前所未有的高度?？胺Q世界史上最嚴格的數(shù)據(jù)保護法律，必將對未來全球數(shù)字經(jīng)濟產(chǎn)生深遠影響。

GDPR即將生效，中國發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《信息規(guī)范》）也于2018年5月1日起實施。

國內(nèi)一些企業(yè)長期缺乏規(guī)則意識，可能并沒有嘗到應(yīng)有的苦果。由于多種因素導(dǎo)致的執(zhí)法不嚴、違法不究的情形，一旦到了國外可能就不靈。企業(yè)的不合規(guī)經(jīng)營行為，一旦被其他國家政府發(fā)現(xiàn)追究起來，處以巨額罰款或禁止業(yè)務(wù)往來，可能是滅頂之災(zāi)。特別是在近幾年全球貿(mào)易保護主義似乎有所抬頭的新時代背景下，企業(yè)不合規(guī)經(jīng)營，必將產(chǎn)生數(shù)年甚至永遠難以消化的“惡果”。

面對即將落下的GDPR利劍，全球數(shù)字經(jīng)濟企業(yè)需要積極應(yīng)對，努力減少合規(guī)風(fēng)險，防止入“罪”被“罰”。各國政府也需要積極擔(dān)當(dāng)作為，為本國數(shù)字經(jīng)濟企業(yè)的海外發(fā)展保駕護航。

G DPR一大“殺手锏”：重罰

除了擴大個人數(shù)據(jù)的保護范圍、賦予數(shù)據(jù)主體一系列強大的權(quán)利外，GDPR有兩大“殺手锏”：一是設(shè)定了重罰；二是確立了“長臂”管轄原則。

對于數(shù)據(jù)處理的違法行為，GDPR主要設(shè)定兩個等級的處罰。第一等級最高可處以1000萬歐元，或上一財年全球營業(yè)額2%的行政處罰，以較高者為準。如果根據(jù)全球營業(yè)額進行處罰，在地域上是全球范圍內(nèi)，而非在歐盟境內(nèi)的營業(yè)額；在基數(shù)上，是全球營業(yè)額（annual turnover），而非全球凈利潤。該等級的處罰究竟適用哪些情形，GDPR第83條第4款規(guī)定三大類數(shù)據(jù)違法行為：第一，數(shù)據(jù)控制者與處理者沒有盡到相應(yīng)數(shù)據(jù)保護義務(wù)。譬如未實施適當(dāng)?shù)募夹g(shù)和組織措施、未盡職責(zé)保持數(shù)據(jù)處理活動的記錄、沒有及時向監(jiān)管機構(gòu)通知數(shù)據(jù)已泄露、未進行數(shù)據(jù)保護影響評估等；第二，沒有對數(shù)據(jù)保護認證組織履行義務(wù)；第三，沒有對監(jiān)管部門履行義務(wù)。

針對嚴重違法的數(shù)據(jù)處理行為，GDPR設(shè)定了第二等級的行政處罰：最高可處以2000萬歐元，或上一財年全球營業(yè)額4%的行政處罰，以較高者為準。GDPR第83條第5款規(guī)定了五大類嚴重違法的具體情形：第一，違反數(shù)據(jù)處理的基本原則與條件。數(shù)據(jù)處理應(yīng)當(dāng)遵循六大原則：合法、正當(dāng)與透明原則，目的有限原則，數(shù)據(jù)最小化原則，準確性原則，儲存限制原則，完整性與保密性原則。數(shù)據(jù)處理應(yīng)當(dāng)符合相應(yīng)的合法性條件；第二，侵犯數(shù)據(jù)主體的同意權(quán)、訪問權(quán)、糾正權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、拒絕權(quán)、獲得救濟權(quán)等多項權(quán)利；第三，不符合條件將個人數(shù)據(jù)傳輸給第三國或國際組織；第四，沒有對成員國履行相應(yīng)的義務(wù)；第五，未能遵守監(jiān)管機構(gòu)的相關(guān)要求。

可見，GDPR設(shè)定的“罪”是相當(dāng)多的，“罰”是非常嚴厲的。制定任何法律的目的不在于處罰，處罰只是保障法律有效實施的必要手段?！爸氐渲蝸y”未必總能取得良好效果，但確實可以起到一定威懾作用。GDPR以重罰為理念，試圖倒逼數(shù)字經(jīng)濟企業(yè)完善數(shù)據(jù)保護制度。

無論是對于數(shù)據(jù)處理違法行為的認定及其嚴重程度判斷，還是對于處罰金額的最終作出，歐盟監(jiān)管機構(gòu)都享有巨大的執(zhí)法裁量權(quán)。如何減少數(shù)據(jù)保護監(jiān)管的權(quán)力尋租，防止監(jiān)管“俘獲”，消除腐敗，確保公正執(zhí)法，是接下來歐盟當(dāng)局特別是法治水平不高的一些成員國需認真對待的問題。

另一“殺手锏”：“長臂”管轄原則

確立“長臂”管轄原則，或稱為效果原則，是GDPR的另一大“殺手锏”。法律是國家主權(quán)的體現(xiàn)，一般只在一國領(lǐng)土范圍內(nèi)發(fā)生效力，即屬地原則。但隨著近些年來網(wǎng)絡(luò)技術(shù)的不斷提高，具有虛擬性、無國界性的電子商務(wù)、互聯(lián)網(wǎng)金融，在全球范圍內(nèi)得到蓬勃發(fā)展。在數(shù)字經(jīng)濟時代，再繼續(xù)堅持傳統(tǒng)的屬地主義原則，或許無法有效保護本國公民的權(quán)益和國家利益。

GDPR的適用范圍極廣，將法律適用的屬地主義與屬人主義原則結(jié)合起來，擴大法律適用的域外效力。

首先，在歐盟境內(nèi)設(shè)立數(shù)據(jù)控制或處理機構(gòu)，不管其對個人數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內(nèi)，都受GDPR的拘束。此管轄規(guī)則屬于傳統(tǒng)的屬地主義原則，在歐盟內(nèi)設(shè)有機構(gòu)，當(dāng)然應(yīng)受歐盟法的約束。

其次，即使在歐盟境內(nèi)沒有設(shè)立數(shù)據(jù)控制或處理機構(gòu)，有兩類數(shù)據(jù)處理行為也受GDPR的約束。一類是向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論是否收費或免費；另一類是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控。此管轄規(guī)則實際上確立了GDPR的屬人主義原則，即不管企業(yè)在歐盟內(nèi)有沒有設(shè)立機構(gòu)，只要其對歐盟數(shù)據(jù)主體提供了商品、服務(wù)，或?qū)ζ溥M行了監(jiān)控，就受GDPR的拘束。屬人主義原則的確立，大大擴大了GDPR的管轄范圍。

再次，在歐盟內(nèi)沒有設(shè)立機構(gòu)，但數(shù)據(jù)處理行為，依國際公法可適用歐盟成員國法律，受GDPR的拘束。根據(jù)此管轄規(guī)則，歐盟監(jiān)管機構(gòu)既不依據(jù)屬地主義，也不依據(jù)屬人主義，仍然可能依國際公法規(guī)則對數(shù)據(jù)處理行為進行監(jiān)管。

GDPR所確立的三大管轄制度，可稱之為“長臂”管轄原則。通過分析該規(guī)則可以發(fā)現(xiàn)，世界上任何一家與歐盟有相關(guān)貿(mào)易往來的數(shù)字經(jīng)濟企業(yè)，即使沒有在歐盟境內(nèi)設(shè)立任何機構(gòu)，也可能受GDPR的管轄。重罰機制，加上“長臂”管轄原則，使GDPR威力無比。

“罪”與“罰”都是明確的。GDPR帶給數(shù)字經(jīng)濟企業(yè)的是實實在在的可預(yù)測的法律風(fēng)險。GDPR已經(jīng)為數(shù)字經(jīng)濟企業(yè)畫出一張數(shù)據(jù)保護的操作紅圖。與其擔(dān)驚受怕抱有歐盟“執(zhí)法不嚴、違法不究”的僥幸心理，不如早日“退而結(jié)網(wǎng)”完善數(shù)據(jù)保護合規(guī)制度建設(shè)?！跋氤源蟮案?，又不愿失去更多面包”的全球數(shù)字經(jīng)濟企業(yè)，應(yīng)當(dāng)抓緊按圖行事不斷完善企業(yè)數(shù)據(jù)治理。

企業(yè)應(yīng)對GDPR的當(dāng)務(wù)之急

歐盟對于數(shù)據(jù)保護設(shè)定比較嚴格的高標準，必然會有很多數(shù)字經(jīng)濟企業(yè)一時滿足不了要求，或一直不愿花大成本滿足標準，所以罰款也必將蜂擁而至。那到底罰誰？

由于人力、物力、財力等執(zhí)法資源的有限性，未來歐盟對于數(shù)據(jù)保護的“選擇性執(zhí)法”在所難免。名企首當(dāng)其沖?！皹尨虺鲱^鳥”，選擇“殺”一些名企，達到“儆百”的目的，可能是歐盟未來數(shù)據(jù)保護執(zhí)法的常態(tài)。

然而，不管是名企還是非名企，既然選擇歐盟大市場，就應(yīng)當(dāng)根據(jù)GDPR的要求，建立健全合規(guī)的數(shù)據(jù)保護制度。名企財力雄厚，盡管被高額罰款，可能還承受得起。但是，對于非名企，特別是一些中小企業(yè)來說，歐盟的一次罰款或制裁，可能馬上就會使其瀕臨破產(chǎn)。

“羊未亡，牢需補?！比驍?shù)字經(jīng)濟企業(yè)應(yīng)當(dāng)高度重視GDPR。隨著中國《信息規(guī)范》也將實施，中國企業(yè)可以從以下幾個方面，盡快完善數(shù)據(jù)保護制度：

第一，高度重視個人數(shù)據(jù)保護。企業(yè)高管團隊應(yīng)當(dāng)對GDPR有清醒的認識和準確的預(yù)判，盡早制定周密的戰(zhàn)略計劃，不計成本消除各種不合規(guī)隱患，加強人員管理與培訓(xùn)。企業(yè)相關(guān)業(yè)務(wù)部門應(yīng)及時全面分析已經(jīng)采集、存儲的個人數(shù)據(jù)的種類、用途與獲取方式，刪除不合法、不必要的個人數(shù)據(jù)，實現(xiàn)個人數(shù)據(jù)保存時間的最小化，并不斷加強數(shù)據(jù)安全保障。

第二，完善數(shù)據(jù)主體的權(quán)利設(shè)置與行使操作規(guī)程。GDPR賦予了數(shù)據(jù)主體一系列強大的權(quán)利，對于這些權(quán)利的保護不足和侵犯屬于嚴重違法行為，歐盟監(jiān)管機構(gòu)可處以最高額度的罰款。在賦予數(shù)據(jù)主體同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利外，還應(yīng)當(dāng)核實這些權(quán)利設(shè)置與行使是否符合GDPR的要求，例如檢查設(shè)置的同意權(quán)是否符合GDPR的要求。我國《信息規(guī)范》要求收集個人數(shù)據(jù)時原則上應(yīng)獲得授權(quán)同意，收集個人敏感信息還需明示同意，另外還明確了撤回同意權(quán)。

第三，完善數(shù)據(jù)處理機制。運用適當(dāng)?shù)慕M織措施與技術(shù)措施，確保數(shù)據(jù)處理符合GDPR的基本原則與合法性條件。以透明的方式，使用簡明易懂的語言，及時如實告知收集、存儲、使用個人數(shù)據(jù)的情況。建立健全數(shù)據(jù)保護影響評估機制與事先協(xié)商制度，對個人數(shù)據(jù)進行去標識化處理，完善數(shù)據(jù)匿名化處理規(guī)程，提高數(shù)據(jù)處理過程的安全性，并對個人數(shù)據(jù)處理活動進行記錄。

第四，必要時任命數(shù)據(jù)保護官。GDPR要求相關(guān)企業(yè)以透明的方式，任命具有專門數(shù)據(jù)保護知識的數(shù)據(jù)保護官（Data Protection Officer，DPO）。DPO可以確保數(shù)據(jù)控制者和處理者遵從GDPR的相關(guān)規(guī)定，同時也扮演著與監(jiān)管機構(gòu)之間的聯(lián)系人和合作者的角色。如果經(jīng)評估必須設(shè)立DPO，則應(yīng)保障DPO的任命、權(quán)利和職責(zé)符合強制性規(guī)定，并為DPO獨立履行職責(zé)提供充足的資源。另外，企業(yè)可考慮聘請外部數(shù)據(jù)保護顧問。

第五，完善數(shù)據(jù)泄密報告與處理機制。GDPR要求原則上自知道個人數(shù)據(jù)泄露72小時內(nèi)，向監(jiān)管機構(gòu)報告，并將可能產(chǎn)生高風(fēng)險的泄露信息通知受到影響的個人。企業(yè)應(yīng)詳細記錄個人數(shù)據(jù)泄露情況，及時采取補救措施，不斷修改完善現(xiàn)有的數(shù)據(jù)泄露管理流程。我國《信息規(guī)范》要求企業(yè)定期組織內(nèi)部相關(guān)人員，進行個人信息安全事件應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，及時更新應(yīng)急預(yù)案。

另外，數(shù)字經(jīng)濟企業(yè)還應(yīng)當(dāng)從更新隱私聲明與政策、刪除相關(guān)協(xié)議文本中侵犯數(shù)據(jù)主體權(quán)利的“霸王”條款、完善數(shù)據(jù)跨境流動機制等方面積極采取應(yīng)對措施，減少不合規(guī)風(fēng)險。

政府應(yīng)為數(shù)字經(jīng)濟發(fā)展保駕護航

經(jīng)濟基礎(chǔ)決定上層建筑。GDPR是法律，屬于歐盟的上層建筑，但其所要調(diào)整的卻是全世界的數(shù)字經(jīng)濟企業(yè)。由于不同國家的經(jīng)濟發(fā)展水平存在很大差別，所以不同的經(jīng)濟基礎(chǔ)與同一的上層建筑之間，必然存在難以調(diào)和的矛盾。一方面?zhèn)€人數(shù)據(jù)權(quán)利要保護，另一方面技術(shù)要創(chuàng)新、市場要發(fā)展，二者之間發(fā)生沖突在所難免。

GDPR是一把雙刃劍。歐盟GDPR選擇了偏重保護個人數(shù)據(jù)權(quán)利，可能會對技術(shù)與市場的發(fā)展產(chǎn)生一定的阻礙。發(fā)展數(shù)字經(jīng)濟，建設(shè)數(shù)字中國，不僅需要靠企業(yè)不斷提升數(shù)據(jù)治理水平，還需要靠政府主動采取措施，解決企業(yè)無法克服的實際困難。

首先，政府應(yīng)當(dāng)高度重視GDPR給數(shù)字經(jīng)濟帶來的挑戰(zhàn)。嚴格的個人數(shù)據(jù)保護，帶來高額合規(guī)成本。由于信息資產(chǎn)管理的運營成本會顯著增加，而且擔(dān)心被重罰，一些企業(yè)已經(jīng)暫停歐盟的相關(guān)業(yè)務(wù)。GDPR的實施可能不利于中小數(shù)字經(jīng)濟企業(yè)成長，并可能助長巨頭企業(yè)的壟斷地位。因而，政府應(yīng)當(dāng)在戰(zhàn)略上予以重視，積極制定各種鼓勵扶持政策，有效支持企業(yè)提升數(shù)據(jù)治理水平，消除數(shù)據(jù)壟斷，降低GDPR合規(guī)風(fēng)險。

其次，與歐盟積極溝通，完善對話協(xié)商機制。相關(guān)政府職能部門需要認真研究歐盟GDPR的監(jiān)管規(guī)則，緊密協(xié)同配合，擔(dān)當(dāng)有為。在積極制定政策法律不斷完善企業(yè)數(shù)據(jù)保護水平的基礎(chǔ)上，與歐盟監(jiān)管當(dāng)局開展平等對話協(xié)商，表明難點與決心，贏得理解，減少不必要的處罰與貿(mào)易糾紛。

再次，完善數(shù)據(jù)保護執(zhí)法合作機制。對于GDPR 的監(jiān)管挑戰(zhàn)，各國政府應(yīng)當(dāng)充分研究歐盟數(shù)據(jù)保護監(jiān)管的利益關(guān)切和行動計劃，加強信息開放與共享，健全實體法之間的協(xié)調(diào)機制，尋找監(jiān)管標準的最大公約數(shù)，積極尋求產(chǎn)業(yè)合作和個人信息保護執(zhí)法合作，實現(xiàn)全球數(shù)據(jù)保護的共商共治。

除了作為重罰的依據(jù)，歐盟還可能將GDPR作為新的技術(shù)壁壘，阻礙全球數(shù)字經(jīng)濟企業(yè)在歐盟的發(fā)展擴張。在我國正在推行“一帶一路”倡議的大背景下，GDPR也可能成為阻擋我國數(shù)字經(jīng)濟企業(yè)“走出去”的障礙。但無論如何，在互聯(lián)網(wǎng)時代，合規(guī)經(jīng)營是數(shù)字經(jīng)濟企業(yè)做大做強的不二法則。盡管“規(guī)”可能很嚴厲，但只要“規(guī)”是合法有效的存在，企業(yè)就應(yīng)當(dāng)嚴格遵守。