歐盟《通用數(shù)據(jù)保護(hù)條例》之中國效應(yīng)及應(yīng)對

胡文華 孔華鋒

(公安部第三研究所 上海 201204)

0 引 言

2016年4月14日，歐洲議會通過了《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)，以下簡稱“GDPR”，2018年5月25日該條例開始正式實施。作為歐盟1995年頒布《歐洲議會和歐盟理事會關(guān)于保護(hù)涉及個人數(shù)據(jù)處理與數(shù)據(jù)自由流動的95/46/EC號指令》(以下簡稱“95指令”)后，隱私與數(shù)據(jù)保護(hù)領(lǐng)域20年來最引入矚目的立法變革，GDPR旨在賦予數(shù)據(jù)主體以個人數(shù)據(jù)控制力，在歐盟境內(nèi)建立一個高水平的、統(tǒng)一的、適應(yīng)數(shù)字時代的個人數(shù)據(jù)保護(hù)框架。

值得注意的是，GDPR采用屬地加長臂管轄原則，不再以“營業(yè)機(jī)構(gòu)所在地”作為地域管轄的依據(jù)，而是以“數(shù)據(jù)”是否為歐盟境內(nèi)產(chǎn)生作為管轄權(quán)重要依據(jù)，將適用范圍擴(kuò)展至了“未在歐盟境內(nèi)設(shè)立營業(yè)地，但向歐盟提供商品或服務(wù)”涉及到個人數(shù)據(jù)處理的機(jī)構(gòu)。鑒于GDPR所確立的域外效力，GDPR的落地實施將對我國帶來諸多影響。我國應(yīng)如何應(yīng)對上述影響亟需研究。

1 GDPR的頒布背景

任何立法的背后都有經(jīng)濟(jì)價值和社會效應(yīng)的考量，歐盟GDPR的出臺也不例外。在數(shù)字經(jīng)濟(jì)高速發(fā)展的背景下，數(shù)據(jù)尤其是個人數(shù)據(jù)成為經(jīng)濟(jì)增長和社會進(jìn)步的重要資源。歐盟統(tǒng)計，2015年歐盟數(shù)據(jù)經(jīng)濟(jì)的價值超過2 850億歐元，占?xì)W盟 GDP的 1.94%以上。2016年這一數(shù)字增加到3 000億歐元，占2016年歐盟GDP的 1.99%。歐盟認(rèn)為如果及時制定有利的政策和立法，到2020年歐洲數(shù)據(jù)經(jīng)濟(jì)的價值可能會增加到7 390億歐元，占?xì)W盟 整體國內(nèi)生產(chǎn)總值的 4%[1]。但與此同時，隱私保護(hù)、數(shù)據(jù)泄露、數(shù)據(jù)歧視等問題不斷涌現(xiàn)，給數(shù)據(jù)產(chǎn)業(yè)的發(fā)展以及個人數(shù)據(jù)保護(hù)帶來了諸多新挑戰(zhàn)。

1.1 建立數(shù)字單一市場，刺激數(shù)字經(jīng)濟(jì)發(fā)展

為迎接數(shù)字革命為歐洲帶來的機(jī)遇，2015年5月6日，歐盟提出了“數(shù)字單一市場”的詳細(xì)規(guī)劃，以保障歐洲民眾和企業(yè)能夠無障礙地、公平地訪問在線商品和服務(wù)。同時打破監(jiān)管壁壘，將28個成員國市場轉(zhuǎn)化為單一的歐盟市場，以促進(jìn)歐洲數(shù)字經(jīng)濟(jì)增長潛力的最大化[2]。

在建立歐洲數(shù)字單一市場的目標(biāo)下，歐盟亟需一個統(tǒng)一的、適用于全部成員國的數(shù)據(jù)保護(hù)框架。但95指令并不能實現(xiàn)該目標(biāo)。首先，從法律效力來看，95指令并不屬于“條例”，不具有強(qiáng)制性，不能直接適用于成員國，而需要成員國將其轉(zhuǎn)化為國內(nèi)法方可落實。其次，從95指令的實施情況來看，歐盟各國對于數(shù)據(jù)保護(hù)保護(hù)水平參差不齊，甚至存在沖突的情況。這一方面，加大了企業(yè)的合規(guī)成本，也不利于歐洲民眾的個人數(shù)據(jù)保護(hù)。在此背景下，GDPR作為歐盟推進(jìn)數(shù)字單一市場、刺激歐洲數(shù)字經(jīng)濟(jì)發(fā)展的重大舉措應(yīng)運而生。

1.2 重建歐洲民眾對數(shù)字經(jīng)濟(jì)的信任

與早期的互聯(lián)網(wǎng)時代相比，大數(shù)據(jù)背景下，個人數(shù)據(jù)化現(xiàn)象更加普遍，數(shù)據(jù)收集和共享的規(guī)模也不斷擴(kuò)大。經(jīng)自然人之手， 越來越多的個人信息被公諸于眾。個人對其數(shù)據(jù)的控制力進(jìn)一步弱化，數(shù)據(jù)處理者的數(shù)據(jù)處理能力進(jìn)一步加強(qiáng)[3]。與此相應(yīng)地，間諜、數(shù)據(jù)泄露等傳統(tǒng)風(fēng)險不斷加大，數(shù)據(jù)歧視、人格物化等新型問題不斷凸顯。

在此背景下，產(chǎn)生于互聯(lián)網(wǎng)早期的95指令已不能為個人數(shù)據(jù)提供充分保護(hù)，歐洲民眾對于數(shù)字經(jīng)濟(jì)的信任逐漸降低。歐盟表示92%的歐洲人擔(dān)心手機(jī)應(yīng)用程序在未經(jīng)他們同意的情況下收集他們的數(shù)據(jù)。89%的人表示他們想知道智能手機(jī)上的數(shù)據(jù)何時與第三方共享[4]。歐盟亟需通過數(shù)據(jù)保護(hù)改革，加強(qiáng)個人數(shù)據(jù)保護(hù)水平，重建歐洲民眾對數(shù)字經(jīng)濟(jì)的信任。

2 GDPR的主要內(nèi)容

GDPR建立了完善的數(shù)據(jù)權(quán)利體系、義務(wù)履行機(jī)制、數(shù)據(jù)跨境傳輸機(jī)制、監(jiān)管機(jī)制以及法律責(zé)任機(jī)制。

2.1 權(quán)利機(jī)制

本次歐盟個人信息保護(hù)法改革，力圖通過完善和細(xì)化個人信息權(quán)利，從而實現(xiàn)全面保障個人對其信息的控制權(quán)[5]。GDPR框架下，數(shù)據(jù)主體享有訪問權(quán)、更正權(quán)、反對權(quán)、限制處理權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)，以及限制自動化決策等諸多權(quán)利。其中，被遺忘權(quán)賦予了數(shù)據(jù)主體在撤回同意、數(shù)據(jù)不再必要、數(shù)據(jù)處理行為違法或違規(guī)，或涉及兒童的個人數(shù)據(jù)等情形下刪除個人數(shù)據(jù)的權(quán)利。數(shù)據(jù)可攜權(quán)賦予了數(shù)據(jù)主體從數(shù)據(jù)控制者處獲取、轉(zhuǎn)移其個人數(shù)據(jù)的權(quán)利。在技術(shù)可行的情況下，依據(jù)數(shù)據(jù)可攜權(quán)，數(shù)據(jù)主體還有權(quán)直接將個人數(shù)據(jù)轉(zhuǎn)移至另一控制者處，數(shù)據(jù)控制者應(yīng)當(dāng)提供技術(shù)支持。此外，限制自動化決策權(quán)賦予了數(shù)據(jù)主體在特定情形下，不受自動化決策制約，要求數(shù)據(jù)控制者提供相關(guān)人為干預(yù)機(jī)制的權(quán)利。

2.2 義務(wù)機(jī)制

基于風(fēng)險管理理論，GDPR建立了以“數(shù)據(jù)控制者”為核心的問責(zé)制。數(shù)據(jù)控制者對GDPR的遵從負(fù)責(zé)，數(shù)據(jù)處理者的責(zé)任則原則上交由合同調(diào)整(除安全保障、設(shè)置數(shù)據(jù)保護(hù)官義務(wù)外)。GDPR框架下，數(shù)據(jù)控制者應(yīng)當(dāng)履行的義務(wù)可分為一般義務(wù)和特殊義務(wù)。前者是所有數(shù)據(jù)控制者均須遵守的義務(wù)，后者則是滿足相關(guān)條件的數(shù)據(jù)控制者才須遵守的義務(wù)。一般義務(wù)包括隱私設(shè)計、數(shù)據(jù)處理記錄、數(shù)據(jù)泄露通知和安全保障。特殊義務(wù)則包括設(shè)置數(shù)據(jù)保護(hù)官、數(shù)據(jù)保護(hù)影響評估。GDPR首次引入了“隱私設(shè)計理念”。通過設(shè)計保護(hù)隱私旨意于從產(chǎn)品的設(shè)計之初融入隱私保護(hù)的理念，在數(shù)據(jù)的全生命周期中均提供保護(hù)[6]。數(shù)據(jù)泄露通知義務(wù)對數(shù)據(jù)控制者的內(nèi)部監(jiān)測和反應(yīng)機(jī)制提出了較高的要求，明確數(shù)據(jù)控制者原則上應(yīng)當(dāng)在發(fā)現(xiàn)數(shù)據(jù)泄漏事件72小時內(nèi)，通知監(jiān)管機(jī)構(gòu)。數(shù)據(jù)泄露會對個人的權(quán)利和自由帶來較高風(fēng)險的還須通知個人。

2.3 數(shù)據(jù)跨境傳輸機(jī)制

針對數(shù)據(jù)向歐盟境外的傳輸，GDPR建立了三種機(jī)制。第一種也是最主要的一種，目標(biāo)國的個人數(shù)據(jù)保護(hù)水平被歐盟認(rèn)定為達(dá)到“充分保護(hù)水平”。此外，采用歐盟制定的標(biāo)準(zhǔn)合同條款或滿足歐洲數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)的有約束力的公司規(guī)則的要求，也是有效的數(shù)據(jù)傳輸機(jī)制。截至目前，歐盟委員會認(rèn)定的滿足為個人數(shù)據(jù)提供充分保護(hù)的國家或地區(qū)為安道爾、阿根廷、加拿大、法羅群島、格恩西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國。我國尚不屬歐盟認(rèn)定的滿足“充分保護(hù)水平”的國家。

2.4 監(jiān)管機(jī)制

為促進(jìn)個人數(shù)據(jù)保護(hù)規(guī)則的落實，GDPR建立了完善的個人數(shù)據(jù)保護(hù)監(jiān)管機(jī)制。其中在公權(quán)力監(jiān)管機(jī)構(gòu)方面，GDPR規(guī)定，成員國應(yīng)當(dāng)設(shè)立一個或一個以上獨立的監(jiān)管機(jī)構(gòu)來處理個人數(shù)據(jù)保護(hù)問題，監(jiān)管機(jī)構(gòu)的主要職責(zé)在于監(jiān)督和促進(jìn)GDPR的實施[7]。目前，歐盟成員國基本都設(shè)立了本國的個人數(shù)據(jù)保護(hù)機(jī)構(gòu)，例如：法國的國家數(shù)據(jù)保護(hù)委員會、芬蘭的數(shù)據(jù)保護(hù)辦公室、德國的聯(lián)邦數(shù)據(jù)保護(hù)與信息自由保護(hù)專員等。在監(jiān)管機(jī)構(gòu)的權(quán)力設(shè)置方面，GDPR授予了監(jiān)管機(jī)構(gòu)調(diào)查權(quán)、矯正權(quán)、 授權(quán)與建議權(quán)、司法參與權(quán)等諸多權(quán)力。

2.5 法律責(zé)任機(jī)制

在GDPR框架下，數(shù)據(jù)控制者或處理者違反個人數(shù)據(jù)保護(hù)規(guī)定的責(zé)任包括民事責(zé)任和行政責(zé)任。其中：民事責(zé)任部分，以損失存在為前提，GDPR賦予了數(shù)據(jù)主體以損害賠償請求權(quán)。行政責(zé)任部分，GDPR設(shè)置了高昂的罰款數(shù)額。根據(jù)數(shù)據(jù)控制者或處理者違反的規(guī)則不同，GDPR設(shè)定了兩檔罰則：(1) 對于違反默認(rèn)隱私保護(hù)設(shè)計、數(shù)據(jù)安全保障、數(shù)據(jù)泄露通知、數(shù)據(jù)影響評估等義務(wù)的行為，處1 000萬歐元或上一年度全球營業(yè)額2%的罰款(取高者罰)。(2) 對于違反數(shù)據(jù)處理原則、違反同意規(guī)則的要求、損害數(shù)據(jù)主體的合法權(quán)利等行為，處2 000萬歐元或者上一年度全球營業(yè)額4%的罰款(取高者罰)。

3 GDPR的中國效應(yīng)

作為數(shù)字經(jīng)濟(jì)治理的集大成者，同時也是個人數(shù)據(jù)保護(hù)的重要依據(jù)，GDPR既是我國企業(yè)走出去的合規(guī)參照，也是我國數(shù)據(jù)治理的借鑒對象[8]。與此同時也應(yīng)注意，GDPR的落地實施將對我國帶來諸多影響。

3.1 國家層面：沖擊我國執(zhí)法機(jī)構(gòu)的執(zhí)法效力

GDPR通過適用長臂管轄原則將諸多中國企業(yè)納入其管轄范疇，又通過設(shè)置高水平的保護(hù)規(guī)則導(dǎo)致中國企業(yè)面臨巨大合規(guī)風(fēng)險。最終通過完善的監(jiān)管機(jī)制，保障落實其監(jiān)管權(quán)限。三大舉措相輔相成，極有力地促進(jìn)了歐盟監(jiān)管機(jī)構(gòu)對中國企業(yè)的監(jiān)管實質(zhì)影響的擴(kuò)大。這直接導(dǎo)致的后果為：歐盟的監(jiān)管機(jī)構(gòu)將有權(quán)依據(jù)GDPR對中國企業(yè)，即使未在歐盟境內(nèi)設(shè)立機(jī)構(gòu)的企業(yè)行使其監(jiān)管權(quán)。其中，依據(jù)調(diào)查權(quán)，歐盟的數(shù)據(jù)監(jiān)管機(jī)構(gòu)有權(quán)要求該企業(yè)提供其履行職責(zé)所需的所有信息，甚至包括依據(jù)歐盟方面的程序法，進(jìn)入在華企業(yè)的經(jīng)營場所、相關(guān)設(shè)備或工具進(jìn)行個人數(shù)據(jù)保護(hù)事件調(diào)查的權(quán)力。

歐盟調(diào)查權(quán)的落實將直接沖擊我國網(wǎng)安法第37條個人數(shù)據(jù)和重要數(shù)據(jù)出境制度的實施，同時也對我國數(shù)據(jù)主權(quán)帶來潛在的威脅?？梢灶A(yù)見的場景是：一方面，歐盟基于調(diào)查權(quán)要求獲取在華企業(yè)的數(shù)據(jù)或進(jìn)入其設(shè)備系統(tǒng)的訪問權(quán)限;另一方面，我國依據(jù)網(wǎng)安法確立的數(shù)據(jù)出境評估制度而要求數(shù)據(jù)不予出境，或基于捍衛(wèi)數(shù)據(jù)主權(quán)的考量要求企業(yè)對于歐盟調(diào)查權(quán)的行使要求不予執(zhí)行。該法律沖突的產(chǎn)生，將導(dǎo)致企業(yè)需在GDPR的遵從和網(wǎng)安法的遵從之間做出選擇，鑒于GDPR高額的罰款機(jī)制，企業(yè)極可能選擇遵守GDPR的規(guī)定，進(jìn)而降低我國執(zhí)法機(jī)構(gòu)的執(zhí)法效力。

3.2 企業(yè)層面： 增加我國企業(yè)的合規(guī)成本

作為歐盟乃至全球范圍內(nèi)個人數(shù)據(jù)水平最高的立法，GDPR通過強(qiáng)化知情同意規(guī)則的要求、新增被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等新權(quán)利，增設(shè)數(shù)據(jù)泄露通知、數(shù)據(jù)影響風(fēng)險評估、數(shù)據(jù)保護(hù)專員等義務(wù)，加大違規(guī)處罰力度，全面提升了個人數(shù)據(jù)保護(hù)水平。對于企業(yè)而言，小至隱私政策、業(yè)務(wù)流程，大到信息技術(shù)系統(tǒng)、戰(zhàn)略布局，無一不需要重新審視規(guī)劃[9]。

鑒于GDPR所確立的域外效力，GDPR的落地實施將對我國境內(nèi)航空、金融等傳統(tǒng)領(lǐng)域，以及通信、互聯(lián)網(wǎng)等新興領(lǐng)域的企業(yè)對歐業(yè)務(wù)的開展帶來沖擊。部分在華企業(yè)將須同時滿足GDPR與網(wǎng)安法兩部法律的合規(guī)要求。為遵守GDPR的規(guī)定，企業(yè)的合規(guī)成本將大幅度增加。

(1) 作為歐盟層面通用型的規(guī)定，GDPR從95指令的34個條款發(fā)展為如今的99個條款，且創(chuàng)設(shè)了大量的新概念、新權(quán)利、新義務(wù)，內(nèi)容本身復(fù)雜且相對抽象。雖然目前歐盟已經(jīng)出臺了一些適用指南以對具體規(guī)范加以細(xì)化，但對于GDPR的釋明仍然任重道遠(yuǎn)。

(2) 在大數(shù)據(jù)背景下，GDPR設(shè)置的諸多機(jī)制實難達(dá)到。例如，嚴(yán)苛的知情同意如何落實、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)如何實現(xiàn)等。同時，GDPR目前的諸多規(guī)則的不明確性導(dǎo)致合規(guī)工作的不確定性，也給予了歐盟監(jiān)管當(dāng)局大量的可解釋和可裁量空間。

(3) 鑒于我國長久以來在個人數(shù)據(jù)保護(hù)方面比較薄弱，受GDPR沖擊的中國企業(yè)基本都面臨違規(guī)的現(xiàn)實風(fēng)險。

因此，無論是從GDPR規(guī)范本身的不明確性，還是從技術(shù)的不可行性，抑或中國企業(yè)的合規(guī)能力角度出發(fā)，GDPR給中國企業(yè)帶來的違規(guī)風(fēng)險是現(xiàn)實的，且遠(yuǎn)超歐盟以往頒布的任何一部個人數(shù)據(jù)保護(hù)規(guī)范。

3.3 行業(yè)層面：沖擊現(xiàn)行商業(yè)模式

GDPR新增的數(shù)據(jù)權(quán)利將對現(xiàn)行互聯(lián)網(wǎng)商業(yè)模式帶來巨大沖擊。尤其從國內(nèi)互聯(lián)網(wǎng)企業(yè)的實際情況來看，在掌握大量用戶的個人信息之后，通過對用戶行為的分析提供的收益，這是目前互聯(lián)網(wǎng)企業(yè)主流的盈利模式。但根據(jù)GDPR的規(guī)定，對于個人數(shù)據(jù)收集的知情同意要求更為嚴(yán)格，使得大量的用戶數(shù)據(jù)難以被收集。另一方面，GDPR對自動化決策行為也做出了限制，明確用戶可以拒絕該自動化決策。在此規(guī)定下，以往簡單的，通過獲取用戶個人信息并進(jìn)行數(shù)據(jù)分析進(jìn)而提供精準(zhǔn)服務(wù)的模式將面臨極大的合規(guī)成本。而該合規(guī)成本最終可能轉(zhuǎn)嫁至用戶，進(jìn)而也將導(dǎo)致現(xiàn)行互聯(lián)網(wǎng)服務(wù)以免費模式為主走向付費模式。現(xiàn)行商業(yè)模式的改變可能會對現(xiàn)行的整個互聯(lián)網(wǎng)市場帶來巨大的沖擊。

4 GDPR的中國應(yīng)對

面對GDPR的落地實施，我們既要學(xué)習(xí)其個人數(shù)據(jù)保護(hù)方面的先進(jìn)理念，為我國個人數(shù)據(jù)保護(hù)立法提供借鑒。也要注意立足本國國情理性謹(jǐn)慎對待從而達(dá)到有效應(yīng)對GDPR帶來的全方位的沖擊和挑戰(zhàn)。

4.1 國家層面：批判借鑒

1) 完善數(shù)據(jù)出境評估制度。GDPR帶來的國家安全風(fēng)險主要來源于歐盟監(jiān)管機(jī)構(gòu)對中國企業(yè)的監(jiān)管權(quán)限。在GDPR監(jiān)管機(jī)制下，尤其需要注意的是歐盟監(jiān)管機(jī)構(gòu)的調(diào)查權(quán)。一旦歐盟方面行使調(diào)查權(quán)，作為被調(diào)查對象的中國企業(yè)將需要提交諸多信息，包括所有涉事的個人數(shù)據(jù)，以及歐盟監(jiān)管機(jī)構(gòu)認(rèn)為需要提交的其他數(shù)據(jù)。這極有可能產(chǎn)生的風(fēng)險在于：中國企業(yè)迫于歐盟的監(jiān)管壓力，向歐盟監(jiān)管機(jī)構(gòu)傳輸相關(guān)個人數(shù)據(jù)和其他數(shù)據(jù)，進(jìn)而給中國帶來國家安全隱患。鑒于此，我國亟需完善數(shù)據(jù)出境評估制度。

2) 盡快出臺專門的個人信息保護(hù)法。近年來，我國通過《網(wǎng)絡(luò)安全法》《民法總則》等一系列的法律提升個人信息保護(hù)水平。但整體來看，目前我國尚未出臺專門的個人信息保護(hù)法，相關(guān)規(guī)定較為分散、缺乏體系化和系統(tǒng)性。隨著我國數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，我國也亟需一部統(tǒng)一的、專門的個人信息保護(hù)法。但同時也需注意，GDPR諸多規(guī)定尚不明確，需要進(jìn)一步的細(xì)化，其具體的落地實施情況仍待觀察。另一方面，鑒于我國個人數(shù)據(jù)保護(hù)水平的現(xiàn)狀以及數(shù)據(jù)產(chǎn)業(yè)發(fā)展情況，采用GDPR如此高的個人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)是否適宜，也需要審慎考量。

3) 在數(shù)據(jù)立法部分考慮使用長臂管轄原則，擴(kuò)大本國立法的域外效力。無論是歐盟的GDPR還是美國2018年通過的《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act)均將屬地管轄擴(kuò)展至長臂管轄原則，擴(kuò)大其法律的域外效力。隨著數(shù)據(jù)在全球范圍內(nèi)的自由流動，對于數(shù)據(jù)的監(jiān)管突破原有的屬地管轄已成國際立法趨勢。國際空間圍繞數(shù)據(jù)主權(quán)的爭奪態(tài)勢日益嚴(yán)峻，我國也亟需對此作出立法上的應(yīng)對，以爭取我國在國際博弈中的主動性。

4.2 企業(yè)層面：提升合規(guī)能力

從現(xiàn)狀來看，我國境內(nèi)有諸多企業(yè)與歐洲有業(yè)務(wù)往來，包括銀行、電子商務(wù)、互聯(lián)網(wǎng)等諸多涉及個人數(shù)據(jù)處理的業(yè)務(wù)，這意味著我國諸多企業(yè)也將成為GDPR規(guī)制的對象。此類企業(yè)需高度重視開展GDPR的合規(guī)工作，提升自身的合規(guī)能力，以免承擔(dān)高額的違規(guī)成本。具體而言，企業(yè)應(yīng)當(dāng)：

1) 梳理業(yè)務(wù)情況，確定合規(guī)對象。在華企業(yè)準(zhǔn)確定位自己是否屬于GDPR框架下的合規(guī)義務(wù)主體是開展合規(guī)工作的首要環(huán)節(jié)。企業(yè)應(yīng)當(dāng)首先全面梳理其業(yè)務(wù)開展情況，了解各業(yè)務(wù)處理的個人數(shù)據(jù)的來源、類型、存儲位置、用途、訪問權(quán)限、共享和披露情況、安全保障措施等信息，確定合規(guī)對象。

2) 區(qū)分?jǐn)?shù)據(jù)來源，針對性合規(guī)。鑒于GDPR與網(wǎng)安法規(guī)范的諸多差異，對于企業(yè)合規(guī)而言，做好來源于歐盟境內(nèi)的數(shù)據(jù)和其他數(shù)據(jù)來源的區(qū)分，有利于后續(xù)針對性合規(guī)業(yè)務(wù)的開展。在系統(tǒng)數(shù)據(jù)難以區(qū)分的情況下，為降低企業(yè)合規(guī)風(fēng)險，建議從嚴(yán)落實。再者，完善內(nèi)控機(jī)制，加強(qiáng)合規(guī)記錄。在GDPR框架下，傳統(tǒng)的個人數(shù)據(jù)管理機(jī)制已不能滿足要求。企業(yè)應(yīng)當(dāng)重新規(guī)劃、建設(shè)自身的個人數(shù)據(jù)管理內(nèi)控機(jī)制。通過默認(rèn)隱私保護(hù)、數(shù)據(jù)保護(hù)專員、數(shù)據(jù)影響評估、數(shù)據(jù)泄露通知等機(jī)制建立一套從產(chǎn)品設(shè)計到應(yīng)用、從管理到流程、從規(guī)范到技術(shù)的最佳實踐， 以最大限度地降低合規(guī)風(fēng)險。此外，合規(guī)文檔記錄對于企業(yè)內(nèi)部的風(fēng)險評估以及應(yīng)對外部合規(guī)審查均非常重要。無論是GDPR還是網(wǎng)安法下的合規(guī)工作，均應(yīng)當(dāng)加強(qiáng)合規(guī)文檔記錄，包括隱私政策、數(shù)據(jù)傳輸協(xié)議、與第三方合作協(xié)議、人員培訓(xùn)計劃等。

3) 放眼全球，整體布局。鑒于GDPR與網(wǎng)安法可能帶來的數(shù)據(jù)出境合規(guī)困境。企業(yè)應(yīng)當(dāng)以全球化視野重新考慮數(shù)據(jù)中心或服務(wù)器在全球的戰(zhàn)略布局，尤其是面向歐盟服務(wù)相對應(yīng)的服務(wù)器或數(shù)據(jù)中心的位置設(shè)計，以應(yīng)對數(shù)據(jù)跨境傳輸限制及國際法律沖突難題。此外，隨著數(shù)據(jù)經(jīng)濟(jì)在全球范圍內(nèi)發(fā)展，全球范圍內(nèi)的數(shù)據(jù)合規(guī)審查將成為必然趨勢。無論是為GDPR還是其他未來立法帶來的合規(guī)沖擊，企業(yè)均應(yīng)及時跟進(jìn)全球立法動態(tài)，以全球化的視野為企業(yè)的發(fā)展戰(zhàn)略和合規(guī)工作做好預(yù)判。

4.3 行業(yè)層面：發(fā)揮協(xié)調(diào)指導(dǎo)作用

GDPR實施后，全國信息安全標(biāo)準(zhǔn)技術(shù)委員會發(fā)布了《網(wǎng)絡(luò)安全實踐指南—歐盟GDPR關(guān)注點》為我國企業(yè)的GDPR合規(guī)工作提供了有益的指引。但鑒于GDPR的復(fù)雜性，僅僅依靠該文件并不能滿足企業(yè)合規(guī)的需求。未來，行業(yè)層面仍需繼續(xù)推進(jìn)GDPR的合規(guī)指引工作。

再者，隨著GDPR的實施，歐盟必將以此為抓手向全球擴(kuò)張其影響力，并為世界個人信息保護(hù)法樹立新的標(biāo)準(zhǔn)。雖然GDPR通過歐盟自身市場的吸引性配之以嚴(yán)苛的罰則，使之具有一定的域外威懾力。但歐盟方面要進(jìn)一步擴(kuò)大其域外執(zhí)行力仍面臨諸多挑戰(zhàn)?？梢灶A(yù)見，歐盟可能會通過一系列雙邊協(xié)議或談判，鞏固其制度優(yōu)勢?；诖?，行業(yè)層面，應(yīng)當(dāng)積極加強(qiáng)與中歐監(jiān)管機(jī)構(gòu)的溝通協(xié)調(diào)，及時掌握中歐相關(guān)監(jiān)管機(jī)構(gòu)的最新動向，為企業(yè)GDPR合規(guī)爭取有利形勢。

此外，鑒于GDPR可能會對現(xiàn)行的商業(yè)模式造成沖擊，行業(yè)層面，相關(guān)機(jī)構(gòu)應(yīng)當(dāng)及時對后GDPR時代的互聯(lián)網(wǎng)發(fā)展模式進(jìn)行積極研判，推進(jìn)整個行業(yè)的進(jìn)一步發(fā)展。

5 結(jié) 語

作為數(shù)字經(jīng)濟(jì)治理的集大成者，GDPR通過強(qiáng)化知情同意規(guī)則的要求、新增被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等新權(quán)利，增設(shè)數(shù)據(jù)泄露通知、數(shù)據(jù)影響風(fēng)險評估、數(shù)據(jù)保護(hù)專員等義務(wù)，加大違規(guī)處罰力度，設(shè)立“一站式”投訴服務(wù)，全面提升了個人數(shù)據(jù)保護(hù)水平。

鑒于GDPR的域外效力，其落地實施對我國將帶來了巨大沖擊，體現(xiàn)在：國家層面，沖擊我國執(zhí)法機(jī)構(gòu)的執(zhí)法效力；企業(yè)層面，增加我國企業(yè)的合規(guī)成本；行業(yè)層面，沖擊現(xiàn)行商業(yè)模式。為應(yīng)對GDPR的沖擊，我國應(yīng)當(dāng)積極采取措施。國家層面，完善數(shù)據(jù)出境評估制度，盡快出臺個人信息保護(hù)法，但也需注意結(jié)合本國國情，切忌原搬照抄。企業(yè)層面，企業(yè)應(yīng)在全面梳理其業(yè)務(wù)開展情況的前提下，確定合規(guī)對象；區(qū)分?jǐn)?shù)據(jù)來源，開展針對性合規(guī)；完善內(nèi)控機(jī)制，加強(qiáng)合規(guī)記錄；以全球化視野制定合規(guī)策略。行業(yè)層面，應(yīng)充分發(fā)揮協(xié)調(diào)指導(dǎo)作用，及時對后GDPR時代的互聯(lián)網(wǎng)發(fā)展模式進(jìn)行積極研判，推進(jìn)行業(yè)的進(jìn)一步發(fā)展。