丁立江 王鵬

摘 ?要：近年來(lái)， 大數(shù)據(jù)、云計(jì)算、人工智能、區(qū)塊鏈等新興技術(shù)的應(yīng)用不僅重塑了全球經(jīng)濟(jì)發(fā)展模式，也引發(fā)了潛在的隱私安全風(fēng)險(xiǎn)，給各國(guó)網(wǎng)絡(luò)治理帶來(lái)全新挑戰(zhàn)。文章首先回顧了新興技術(shù)對(duì)數(shù)字政府建設(shè)的機(jī)遇與挑戰(zhàn)，并以此切入，介紹了2016年歐盟通過(guò)的最嚴(yán)數(shù)據(jù)保護(hù)法《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）的主要內(nèi)容。其次，剖析了GDPR在數(shù)據(jù)定義、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理相關(guān)責(zé)任方、數(shù)據(jù)泄漏事故處理制度等各項(xiàng)內(nèi)容上相較《數(shù)據(jù)保護(hù)指令》（Data Protective Directive，DPD）的新變化。再次，探討了GDPR對(duì)于數(shù)字政府中政府?dāng)?shù)據(jù)界定、數(shù)據(jù)管理、政企信息共享及網(wǎng)絡(luò)空間的影響。最后，指出了GDPR對(duì)我國(guó)數(shù)字政府建設(shè)的啟示、對(duì)完善我國(guó)相關(guān)法律的借鑒意義及對(duì)社會(huì)數(shù)據(jù)管理的若干對(duì)策與建議，希望為我國(guó)的數(shù)據(jù)治理提供有益參考。

關(guān)鍵詞：通用數(shù)據(jù)保護(hù)條例;數(shù)字政府;政府?dāng)?shù)據(jù)治理;網(wǎng)絡(luò)治理

中圖分類號(hào)：D63;F49 文獻(xiàn)標(biāo)識(shí)碼：A

DOI：10.19881/j.cnki.1006-3676.2021.03.03

GDPRs Effects on Digital Government under the Perspective of Network Governance

Ding Lijiang1 ?Wang Peng2

（1.Administration and Management Institute of Ministry of Agriculture and Rural Affairs，Beijing，102208;2.Beijing Academy of Social Science，Beijing，100101）

Abstract：In recent years， the application of emerging technologies such as big data， cloud computing， artificial intelligence，and blockchain has not only reshaped the global economic development paradigm，but also led to potential privacy and security risks，posing new challenges to cyber governance in various countries.This paper first reviews the opportunities and challenges of emerging technologies for the construction of digital government，and introduces the main contents of the General Data Protection Regulation （GDPR），which is the strictest data protection law adopted by the European Union in 2016. Secondly， this paper analyzes the new changes of GDPR compared with the Data Protection Directive （DPD）in terms of data definition， data subject rights， parties responsible for data processing，and data breach handling system. Furthermore，this paper discusses the impact of GDPR on the definition of government data， data management， government-enterprises information sharing and cyberspace governance. Lastly，this paper concludes by pointing out the inspirations of GDPR on the construction of China's digital government，the reference significance to improve China's relevant laws and some policy suggestions on social data management，which provides some useful references on the future data governance in China.

Key words：GDPR;Digital government;Government data governance;Cyber Governance

2017年10月，黨的十九上的報(bào)告中提到了關(guān)于建設(shè)數(shù)字中國(guó)與提高社會(huì)治理智能化水平的內(nèi)容。2017年12月8日，習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時(shí)強(qiáng)調(diào)：“要建立健全大數(shù)據(jù)輔助科學(xué)決策和社會(huì)治理的機(jī)制，推進(jìn)政府管理和社會(huì)治理模式創(chuàng)新?！朴讷@取數(shù)據(jù)、分析數(shù)據(jù)、運(yùn)用數(shù)據(jù)，是領(lǐng)導(dǎo)干部做好工作的基本功。”

一、相關(guān)理論與文獻(xiàn)綜述：新興技術(shù)對(duì)數(shù)字政府建設(shè)的影響

數(shù)據(jù)產(chǎn)業(yè)的發(fā)展影響著我國(guó)的經(jīng)濟(jì)模式，同時(shí)在政府治理模式的轉(zhuǎn)化過(guò)程中發(fā)揮著重要作用。在大數(shù)據(jù)的浪潮中，我國(guó)積極運(yùn)用新興的數(shù)據(jù)技術(shù)，推動(dòng)數(shù)字政府的建設(shè)。然而，在使用新興技術(shù)處理數(shù)據(jù)時(shí)，政府也面臨著數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

（一）新興技術(shù)帶來(lái)的數(shù)據(jù)安全問(wèn)題

新型數(shù)據(jù)技術(shù)主要包括大數(shù)據(jù)、云計(jì)算、人工智能、區(qū)塊鏈等。從數(shù)據(jù)來(lái)源上看，平臺(tái)內(nèi)部員工泄露、第三方接入、技術(shù)入侵等都可能造成用戶數(shù)據(jù)的泄露。2017年，趣店旗下的校園貸平臺(tái)就曾因內(nèi)部數(shù)據(jù)管理問(wèn)題深陷數(shù)據(jù)泄露風(fēng)波，百萬(wàn)學(xué)生的個(gè)人信息和借貸信息因此在黑市上傳播，經(jīng)該平臺(tái)的離職員工證實(shí)，該平臺(tái)創(chuàng)立初期確實(shí)存在數(shù)據(jù)管理不善的問(wèn)題，很多員工都可以導(dǎo)出未經(jīng)脫敏處理的用戶數(shù)據(jù)[1]。

云計(jì)算是一種以資源租用、應(yīng)用托管、服務(wù)外包業(yè)務(wù)為核心的新型計(jì)算模式，其計(jì)算環(huán)境不再受到時(shí)間和地點(diǎn)的限制，分布式資源可以被系統(tǒng)整合共享，并構(gòu)建出滿足多種服務(wù)要求的計(jì)算環(huán)境，實(shí)現(xiàn)對(duì)用戶的個(gè)性化服務(wù)。云計(jì)算的運(yùn)營(yíng)特點(diǎn)催生了許多潛在的數(shù)據(jù)安全問(wèn)題：多租戶共享資源時(shí)，同一主機(jī)上多租戶的隱私數(shù)據(jù)可能會(huì)被惡意租戶用側(cè)信道（Side Channel）方法獲取;云端管理降低了數(shù)據(jù)處理過(guò)程的可控性，有可能出現(xiàn)提供商利用特權(quán)竊取租戶的隱私信息的風(fēng)險(xiǎn)，第三方軟件的安全性難以實(shí)現(xiàn)完全認(rèn)證[2]。

人工智能可以基于大數(shù)據(jù)對(duì)用戶進(jìn)行智能推薦，也可以應(yīng)用于車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等。人工智能在數(shù)據(jù)安全問(wèn)題方面除了存在與大數(shù)據(jù)類似的因描繪用戶畫像等多數(shù)據(jù)源造成數(shù)據(jù)系統(tǒng)性泄露的風(fēng)險(xiǎn)外，其對(duì)硬件的控制還可能產(chǎn)生生命安全問(wèn)題。例如，黑客侵入用戶的汽車自動(dòng)駕駛系統(tǒng)并控制汽車可能導(dǎo)致安全事故。

區(qū)塊鏈技術(shù)起初是用于解決交易的信任和安全問(wèn)題，通過(guò)分布式賬本、非對(duì)稱加密和授權(quán)技術(shù)（交易信息公開(kāi)，賬戶信息有授權(quán)才可見(jiàn)）、共識(shí)機(jī)制和智能合約提升交易的安全性。區(qū)塊鏈驗(yàn)證與儲(chǔ)存數(shù)據(jù)具有去中心化、可追溯、不可篡改、不可偽造、不可否認(rèn)和可編程等特點(diǎn)[3]。然而，這樣一個(gè)本是為了解決信任問(wèn)題、提升交易安全性的技術(shù)也存在著安全漏洞：1.區(qū)塊鏈理論模型無(wú)中心節(jié)點(diǎn)的安全性依賴于多網(wǎng)絡(luò)節(jié)點(diǎn)，即可避免單一節(jié)點(diǎn)被攻擊問(wèn)題，然而實(shí)際區(qū)塊鏈網(wǎng)絡(luò)各節(jié)點(diǎn)安全防護(hù)等級(jí)不同，給了攻擊者利用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)攻擊系統(tǒng)的機(jī)會(huì)[4];2.區(qū)塊鏈包含的關(guān)鍵環(huán)節(jié)共識(shí)算法、智能合約等缺少系統(tǒng)漏洞代碼評(píng)估機(jī)制，對(duì)等網(wǎng)絡(luò)也不完全適用傳統(tǒng)的防火墻和入侵檢測(cè)[5];3.匿名區(qū)塊鏈系統(tǒng)無(wú)法對(duì)非法攻擊者和用戶追責(zé)，且由于其自身的不可篡改性，產(chǎn)生的非法交易是無(wú)法撤回的，用戶由此產(chǎn)生的經(jīng)濟(jì)損失不可逆轉(zhuǎn)[6]。

（二）數(shù)字政府建設(shè)的機(jī)遇與挑戰(zhàn)

從內(nèi)涵來(lái)看，數(shù)字政府是政府借助大數(shù)據(jù)、云計(jì)算、移動(dòng)物聯(lián)網(wǎng)等技術(shù)，精準(zhǔn)計(jì)算和高效配置各類數(shù)據(jù)資產(chǎn)，并應(yīng)用于政務(wù)管理、公共服務(wù)、經(jīng)濟(jì)社會(huì)發(fā)展等領(lǐng)域所構(gòu)建的政府形態(tài)[7]。

在大數(shù)據(jù)時(shí)代，海量基礎(chǔ)數(shù)據(jù)經(jīng)過(guò)3次轉(zhuǎn)化，最終幫助政府實(shí)現(xiàn)智能化治理：1.通過(guò)先進(jìn)數(shù)據(jù)技術(shù)分析政府業(yè)務(wù)數(shù)據(jù)和公眾行為數(shù)據(jù)，實(shí)現(xiàn)無(wú)序數(shù)據(jù)的關(guān)聯(lián)化、隱性數(shù)據(jù)的顯性化、靜態(tài)數(shù)據(jù)的動(dòng)態(tài)化、海量數(shù)據(jù)的智能化轉(zhuǎn)化;2.政府加大數(shù)據(jù)開(kāi)放力度，形成新的產(chǎn)業(yè)進(jìn)而創(chuàng)造利潤(rùn)，同時(shí)也可以利用數(shù)據(jù)加強(qiáng)績(jī)效考評(píng)提升政府人員、政府組織和IT資產(chǎn)的效率，為政府節(jié)省行政成本。3.政府應(yīng)加大數(shù)字技術(shù)在網(wǎng)絡(luò)反腐、輿情監(jiān)控等公共領(lǐng)域的應(yīng)用力度，實(shí)現(xiàn)政府決策由事后決策轉(zhuǎn)變?yōu)槭虑邦A(yù)警，利用大數(shù)據(jù)進(jìn)行科學(xué)決策，提升政府決策力[8]。

信息技術(shù)手段在給政府帶來(lái)各種便利的同時(shí)，還帶來(lái)了巨大的安全風(fēng)險(xiǎn)和挑戰(zhàn)[9]。技術(shù)故障、系統(tǒng)漏洞、人為欺詐等因素會(huì)導(dǎo)致政府?dāng)?shù)據(jù)存儲(chǔ)或控制系統(tǒng)無(wú)法有效應(yīng)對(duì)黑客的非法攻擊;關(guān)聯(lián)信息技術(shù)以及算法語(yǔ)言的升級(jí)，使得對(duì)平臺(tái)內(nèi)部多數(shù)據(jù)源的交叉融合與分析挖掘，極易導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)欺詐以及個(gè)人數(shù)據(jù)權(quán)侵害等安全事故，進(jìn)而對(duì)數(shù)據(jù)資產(chǎn)開(kāi)發(fā)安全、數(shù)據(jù)共享利用安全、數(shù)據(jù)治理的國(guó)家安全和個(gè)人/機(jī)構(gòu)的數(shù)據(jù)權(quán)益維護(hù)產(chǎn)生威脅[10]。

我國(guó)網(wǎng)絡(luò)空間治理主要面臨3個(gè)問(wèn)題：網(wǎng)絡(luò)安全問(wèn)題、網(wǎng)絡(luò)信息監(jiān)管問(wèn)題、網(wǎng)絡(luò)輿論監(jiān)管問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題中的個(gè)人信息安全是大眾關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)安全問(wèn)題涵蓋網(wǎng)絡(luò)運(yùn)行系統(tǒng)的技術(shù)安全問(wèn)題和網(wǎng)絡(luò)信息內(nèi)容的安全問(wèn)題。一方面，網(wǎng)絡(luò)平臺(tái)存在大量利用網(wǎng)絡(luò)病毒、黑客入侵等技術(shù)手段盜取用戶個(gè)人信息的違法行為;另一方面，掌握著大量用戶個(gè)人信息的網(wǎng)絡(luò)服務(wù)提供商存在著泄露、倒賣用戶信息的違法行為;此外，用戶移動(dòng)端存在的安全漏洞也是威脅用戶個(gè)人信息安全的一大隱患[11]。

對(duì)開(kāi)放的政府大數(shù)據(jù)進(jìn)行市場(chǎng)化利用，可能會(huì)挖掘出國(guó)家機(jī)密或個(gè)人隱私，這是一個(gè)比較普遍的問(wèn)題，因此需要發(fā)展大數(shù)據(jù)環(huán)境下應(yīng)對(duì)數(shù)據(jù)挖掘的防泄密與隱私保護(hù)技術(shù)。開(kāi)放數(shù)據(jù)需要經(jīng)過(guò)對(duì)數(shù)據(jù)的脫敏保護(hù)隱私。經(jīng)常采用的方式是匿名化或去標(biāo)識(shí)化。學(xué)術(shù)界先后提出了k-anonymity、L-diversity、T-Closeness匿名技術(shù)。另一種匿名化技術(shù)是差分隱私，即把噪聲加入數(shù)據(jù)集中，但仍保持它的一些統(tǒng)計(jì)屬性，使之支持典型的機(jī)器學(xué)習(xí)方法[12]。

二、歐盟《通用數(shù)據(jù)保護(hù)條例》概述

（一）隱私權(quán)與數(shù)據(jù)保護(hù)權(quán)

雖然隱私權(quán)和數(shù)據(jù)保護(hù)權(quán)是相關(guān)聯(lián)的，但它們被普遍認(rèn)為是兩個(gè)獨(dú)立的權(quán)利。世界上幾乎每個(gè)國(guó)家無(wú)論是在憲法中還是在其他條款中都以某種方式承認(rèn)隱私權(quán)，隱私權(quán)被認(rèn)為是普遍的人權(quán)，而數(shù)據(jù)保護(hù)權(quán)到目前為止還不是。

隱私權(quán)受《世界人權(quán)宣言》保護(hù)，該宣言的第12條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的榮譽(yù)和名譽(yù)不得加以攻擊。人人有權(quán)享受法律保護(hù)，以免受這種干涉或攻擊?！蔽覈?guó)的《中華人民共和國(guó)憲法》《中華人民共和國(guó)刑法》《中華人民共和國(guó)民法典》等法律法規(guī)也有保障公民隱私權(quán)的相關(guān)法律條款。

歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（European Data Protection Superviosr，簡(jiǎn)稱“EDPS”）將數(shù)據(jù)保護(hù)定義為涉及保護(hù)與已識(shí)別或可識(shí)別的自然（生物）人有關(guān)的任何信息，包括姓名、出生日期、照片、錄像、電子郵件地址和電話號(hào)碼等。與通信服務(wù)的最終用戶相關(guān)或由其提供的其他信息，如IP地址和通信內(nèi)容等也被視為個(gè)人數(shù)據(jù)。其認(rèn)為數(shù)據(jù)保護(hù)的概念源于隱私權(quán)，兩者都有助于維護(hù)和促進(jìn)權(quán)利的行使。數(shù)據(jù)保護(hù)的目標(biāo)就是確保公共部門和企業(yè)在收集、使用、存儲(chǔ)個(gè)人數(shù)據(jù)時(shí)受到公平對(duì)待。

（二）《通用數(shù)據(jù)保護(hù)條例》的出臺(tái)

幾十年來(lái)，歐盟一直遵守高標(biāo)準(zhǔn)《通用數(shù)據(jù)保護(hù)條例》。全球范圍內(nèi)，數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)越來(lái)越多，其中許多法律都受到《通用數(shù)據(jù)保護(hù)條例》影響。2016年，歐盟通過(guò)了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），該條例取代了歐盟于互聯(lián)網(wǎng)起步階段即1995年頒布的《數(shù)據(jù)保護(hù)指令》（Data Protective Directive，簡(jiǎn)稱“DPD”），并于2018年5月25日后全面實(shí)施。

DPD出臺(tái)的時(shí)代使用互聯(lián)網(wǎng)的人數(shù)相對(duì)較少，對(duì)個(gè)人數(shù)據(jù)的收集及處理還限定在收集用戶名、地址及金融信息等方面。隨著社交網(wǎng)站的出現(xiàn)，個(gè)人數(shù)據(jù)被泄露的風(fēng)險(xiǎn)大增，網(wǎng)絡(luò)的全球性與公開(kāi)化讓許多私人公司和公共機(jī)構(gòu)能夠規(guī)?？涨暗乩脗€(gè)人數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和分析[13]。

（三）《通用數(shù)據(jù)保護(hù)條例》的新變化

作為“史上最嚴(yán)格”的數(shù)據(jù)保護(hù)法，GDPR對(duì)個(gè)人信息保護(hù)的范圍之廣、實(shí)施標(biāo)準(zhǔn)之高、監(jiān)管力度之大都是前所未有的。GDPR為數(shù)字環(huán)境中的個(gè)人賦予了新的權(quán)利，并對(duì)組織提出了全新而詳細(xì)的義務(wù)。比較GDPR和DPD的區(qū)別，能更清晰地了解GDPR在數(shù)據(jù)保護(hù)領(lǐng)域的變化及其對(duì)金融科技公司的影響。

1.數(shù)據(jù)的定義范圍擴(kuò)大

GDPR最重要的變化是對(duì)個(gè)人數(shù)據(jù)的定義。個(gè)人數(shù)據(jù)先前在DPD中被定義為個(gè)人姓名、照片、電子郵件地址、電話號(hào)碼、地址或任何個(gè)人識(shí)別碼（社會(huì)保障、銀行賬戶等）等。GDPR對(duì)個(gè)人數(shù)據(jù)有更廣泛的定義，諸如IP地址、移動(dòng)設(shè)備標(biāo)識(shí)符、地理定位和生物識(shí)別數(shù)據(jù)（指紋、視網(wǎng)膜掃描等）等都將構(gòu)成個(gè)人數(shù)據(jù)。此外，GDPR還涵蓋了個(gè)人的身體、心理、遺傳、經(jīng)濟(jì)、文化或社會(huì)認(rèn)同等內(nèi)容。

個(gè)人數(shù)據(jù)定義的變化很重要，因?yàn)樗从沉思夹g(shù)的變化以及組織收集人員數(shù)據(jù)的方式。雖然這種變化對(duì)希望保護(hù)數(shù)據(jù)的歐盟居民有利，卻使?fàn)I銷工作更加復(fù)雜。具體而言，通過(guò)使用瀏覽器歷史、購(gòu)買歷史等來(lái)描繪用戶畫像的做法，除非已經(jīng)由個(gè)人明確同意，否則在GDPR下將不再被接受。

2.數(shù)據(jù)主體的權(quán)利擴(kuò)大

GDPR相比DPD賦予了數(shù)據(jù)主體新的權(quán)利，也對(duì)DPD中原有的一些權(quán)利，如被遺忘權(quán)和數(shù)據(jù)可攜權(quán)，賦予了新的含義。GDPR規(guī)定了數(shù)據(jù)主體的7項(xiàng)權(quán)利，包括知情權(quán)、訪問(wèn)權(quán)、糾正權(quán)、被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)可攜權(quán)、反對(duì)權(quán)。

知情權(quán)對(duì)用戶同意（Customers consent）作出了詳細(xì)的規(guī)定：數(shù)據(jù)使用的描述必須具體且簡(jiǎn)明扼要，不能要求消費(fèi)者通過(guò)同意合同條款來(lái)?yè)Q取他們的同意，這很可能會(huì)結(jié)束長(zhǎng)期以來(lái)幾乎沒(méi)有人閱讀的用戶協(xié)議。同時(shí)，要求不同類型的數(shù)據(jù)需要分別同意，不允許一次性授權(quán)，也不允許提前勾選或?qū)⒊聊挽o止視為同意，還應(yīng)該告知用戶有撤銷同意的權(quán)利。

訪問(wèn)權(quán)使數(shù)據(jù)的使用更加透明，數(shù)據(jù)主體有權(quán)訪問(wèn)其個(gè)人數(shù)據(jù)，有權(quán)從數(shù)據(jù)控制器中獲取有關(guān)其數(shù)據(jù)使用方式、地點(diǎn)和目的的信息。數(shù)據(jù)控制者必須免費(fèi)提供相關(guān)信息以及電子格式的請(qǐng)求者個(gè)人數(shù)據(jù)的副本。

糾正權(quán)是指數(shù)據(jù)主體有權(quán)得知與其相關(guān)的不正確信息的更正，也有權(quán)在考慮處理目的的前提下完善不充分的個(gè)人數(shù)據(jù)。

被遺忘權(quán)是指數(shù)據(jù)主體可以要求自己的數(shù)據(jù)“被數(shù)據(jù)控制者遺忘”，即要求數(shù)據(jù)控制者刪除他們所有個(gè)人數(shù)據(jù)，停止進(jìn)一步使用這些數(shù)據(jù)，并且如果適用，還要停止任何與數(shù)據(jù)控制者有關(guān)的第三方使用該數(shù)據(jù)。例如，當(dāng)個(gè)人數(shù)據(jù)與原始處理不再相關(guān)或數(shù)據(jù)主體撤回其同意時(shí)，個(gè)人可能會(huì)要求行使被遺忘權(quán)。

限制處理權(quán)是指數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭(zhēng)議，反對(duì)被遺忘但要求對(duì)個(gè)人數(shù)據(jù)的處理進(jìn)行限制，以及為了提起、行使或辯護(hù)法律性主張而需要更改個(gè)人數(shù)據(jù)時(shí)，要求數(shù)據(jù)控制者對(duì)其數(shù)據(jù)的處理進(jìn)行限制。

數(shù)據(jù)可攜權(quán)是指數(shù)據(jù)主體有權(quán)要求將數(shù)據(jù)從一個(gè)商品或服務(wù)提供商轉(zhuǎn)移到另一個(gè)商品或服務(wù)提供商。

反對(duì)權(quán)主要是數(shù)據(jù)主體有權(quán)隨時(shí)拒絕對(duì)個(gè)人數(shù)據(jù)的處理，包括利用這些數(shù)據(jù)進(jìn)行的用戶畫像或者自動(dòng)決策過(guò)程，以及拒絕個(gè)人數(shù)據(jù)被用于營(yíng)銷的處理。

3.數(shù)據(jù)處理相關(guān)責(zé)任方范圍擴(kuò)大

數(shù)據(jù)處理相關(guān)責(zé)任方范圍的擴(kuò)大是GDPR和DPD的關(guān)鍵區(qū)別之一。DPD只要求數(shù)據(jù)控制者對(duì)數(shù)據(jù)保護(hù)負(fù)責(zé)，而GDPR要求數(shù)據(jù)處理者和數(shù)據(jù)控制者要對(duì)數(shù)據(jù)安全共同負(fù)責(zé)，這意味著如果某組織將數(shù)據(jù)輸入或分析外包給第三方或代表另一個(gè)組織處理數(shù)據(jù)，則雙方都必須遵守GDPR并承擔(dān)違規(guī)責(zé)任。

數(shù)據(jù)處理者和數(shù)據(jù)控制者需要履行的義務(wù)范圍也擴(kuò)大了：

（1）保證安全，默認(rèn)保護(hù)

數(shù)據(jù)處理方式需要使用合適的技術(shù)和管理措施以保證數(shù)據(jù)的安全水平，最重要的是從設(shè)計(jì)之初就從隱私的角度，并保證默認(rèn)情況下僅處理實(shí)現(xiàn)目的所必需的最少用戶信息，并在不需要時(shí)丟棄個(gè)人數(shù)據(jù)。

（2）文檔化

要詳細(xì)記錄描述數(shù)據(jù)保護(hù)策略的文檔，以及數(shù)據(jù)處理活動(dòng)的文檔，并在監(jiān)管機(jī)構(gòu)要求時(shí)提供文檔。

（3）影響評(píng)估

如果處理數(shù)據(jù)時(shí)存在高度數(shù)據(jù)泄露風(fēng)險(xiǎn)，相關(guān)方將被要求進(jìn)行影響評(píng)估。需要進(jìn)行影響評(píng)估的情況包括自動(dòng)處理數(shù)據(jù)活動(dòng)、某些類型數(shù)據(jù)的大規(guī)模處理以及大規(guī)模公共可訪問(wèn)區(qū)域的系統(tǒng)監(jiān)測(cè)。

（4）數(shù)據(jù)保護(hù)官

當(dāng)核心活動(dòng)涉及“大規(guī)模定期和系統(tǒng)地監(jiān)控?cái)?shù)據(jù)主體”時(shí)，必須指定數(shù)據(jù)保護(hù)官（Data Protection Officer，簡(jiǎn)稱“DPO”），該官員將作為一個(gè)中心聯(lián)系人，了解公司如何收集或處理個(gè)人數(shù)據(jù)。

4.數(shù)據(jù)泄漏事故的通知制度統(tǒng)一，處罰力度更大

DPD時(shí)期，歐盟成員國(guó)可以自由采用不同的數(shù)據(jù)泄露通知法。這意味著當(dāng)一家公司在歐盟發(fā)生數(shù)據(jù)泄露時(shí)，必須研究并確保遵守每個(gè)成員國(guó)的數(shù)據(jù)泄露通知法，必然產(chǎn)生巨大的商業(yè)成本。隨著GDPR的應(yīng)用，規(guī)則得到了統(tǒng)一，該規(guī)則要求數(shù)據(jù)管理員在了解違規(guī)行為后的72小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)個(gè)人數(shù)據(jù)泄露事件，還應(yīng)在“沒(méi)有不當(dāng)延遲的條件”下通知受影響的數(shù)據(jù)主體。

四、對(duì)我國(guó)的啟示

（一）GDPR對(duì)我國(guó)數(shù)字政府建設(shè)的啟示

GDPR的出臺(tái)預(yù)示著未來(lái)會(huì)有更為嚴(yán)格的數(shù)據(jù)管控和網(wǎng)絡(luò)治理環(huán)境，這對(duì)我國(guó)數(shù)字政府建設(shè)中的數(shù)據(jù)管理有借鑒意義。由于政府所掌握的個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)性質(zhì)不同，管理方式也應(yīng)有所不同。對(duì)于政府個(gè)人數(shù)據(jù)的管理應(yīng)該建立更為嚴(yán)厲的數(shù)據(jù)保護(hù)制度，擴(kuò)大個(gè)人數(shù)據(jù)的定義范圍，賦予數(shù)據(jù)主體更多處理自己信息的權(quán)利，設(shè)立更為嚴(yán)格的懲罰制度。另外，在政企信息共享過(guò)程中，除了利用相關(guān)數(shù)字技術(shù)來(lái)降低信息泄漏的可能性，還需要明確哪些政府?dāng)?shù)據(jù)能夠共享，可以共享，明確信息共享過(guò)程中的權(quán)責(zé)關(guān)系。對(duì)于政府非個(gè)人數(shù)據(jù)的管理，由于非個(gè)人數(shù)據(jù)的特殊性，數(shù)據(jù)應(yīng)屬全民所有。

（二）GDPR對(duì)于我國(guó)相關(guān)法律的借鑒意義

GDPR的出臺(tái)不僅推動(dòng)了歐盟的數(shù)字保護(hù)，也為我國(guó)制定相關(guān)數(shù)字保護(hù)法提供了借鑒。我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》通過(guò)規(guī)則性條款形成了個(gè)人信息主體的知情、同意、刪除、修改等權(quán)利雛形，但并未包含GDPR法規(guī)內(nèi)的數(shù)據(jù)訪問(wèn)權(quán)、數(shù)據(jù)可攜權(quán)及數(shù)據(jù)限制處理權(quán)等。另外，在數(shù)據(jù)保護(hù)意識(shí)方面，與歐洲相比，我國(guó)從數(shù)據(jù)控制者到數(shù)據(jù)主體，都在一定程度上缺乏數(shù)據(jù)保護(hù)意識(shí)。以手機(jī)App為例，用戶“被授權(quán)”“被同意”的情況不勝枚舉。

出于社會(huì)制度、經(jīng)濟(jì)形態(tài)和歷史沿革的差別，在借鑒時(shí)，要根據(jù)我國(guó)的現(xiàn)狀對(duì)GDPR進(jìn)行甄別和轉(zhuǎn)化，制定出能夠全面對(duì)個(gè)人數(shù)據(jù)安全進(jìn)行保護(hù)并符合我國(guó)國(guó)情的法律文件。對(duì)于數(shù)據(jù)可攜帶或遷移的需求，我國(guó)未來(lái)的立法應(yīng)該予以回應(yīng)。對(duì)于個(gè)人數(shù)據(jù)，可將數(shù)據(jù)可攜權(quán)和數(shù)據(jù)遷移權(quán)在未來(lái)的立法中作出符合我國(guó)法治文化和立法技術(shù)的安排：在《民法典》第四編《人格權(quán)·隱私權(quán)和個(gè)人信息保護(hù)》有個(gè)人信息可攜權(quán)的原則性規(guī)定或指引性規(guī)定，在《中華人民共和國(guó)個(gè)人信息保護(hù)法》的制定中設(shè)置具體的個(gè)人信息可攜權(quán)規(guī)則性條款[17]。另外，在推行法律的過(guò)程中，可以先在某些城市或者某些領(lǐng)域進(jìn)行先行示范。

（三）社會(huì)數(shù)據(jù)的管理

由于企業(yè)掌握了大量個(gè)人數(shù)據(jù)，政府也應(yīng)當(dāng)設(shè)置更為嚴(yán)苛的數(shù)據(jù)保護(hù)法來(lái)保護(hù)個(gè)人的權(quán)益，并加大對(duì)企業(yè)在數(shù)據(jù)使用方面的監(jiān)督力度。然而，GDPR在對(duì)個(gè)人數(shù)據(jù)起到保護(hù)作用的同時(shí)，會(huì)給企業(yè)帶來(lái)了一定的負(fù)面影響。以被遺忘權(quán)為例，在2014—2017年間，谷歌公司收到了用戶發(fā)來(lái)的超過(guò)70萬(wàn)條的“刪帖”申請(qǐng)，其自行支付開(kāi)銷刪除了將近90萬(wàn)條網(wǎng)絡(luò)鏈接。從數(shù)據(jù)保護(hù)的角度來(lái)看，過(guò)于嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)會(huì)對(duì)中小企業(yè)帶來(lái)合規(guī)負(fù)擔(dān)，而GDPR對(duì)此并沒(méi)有設(shè)置補(bǔ)貼機(jī)制。所以，從整個(gè)市場(chǎng)的角度來(lái)看，過(guò)于強(qiáng)勢(shì)的數(shù)據(jù)保護(hù)態(tài)度，對(duì)于跨國(guó)公司和國(guó)際市場(chǎng)的發(fā)展都有負(fù)面效應(yīng)。因此，我國(guó)在建設(shè)個(gè)人數(shù)據(jù)保護(hù)法律體系時(shí)，應(yīng)對(duì)個(gè)人隱私權(quán)和企業(yè)發(fā)展進(jìn)行平衡。不僅要為個(gè)人數(shù)據(jù)保護(hù)提供法律保護(hù)，也要重視互聯(lián)網(wǎng)企業(yè)的法律保護(hù)和補(bǔ)貼機(jī)制建設(shè)，對(duì)個(gè)人數(shù)據(jù)權(quán)利和企業(yè)利益進(jìn)行平衡，促進(jìn)我國(guó)互聯(lián)網(wǎng)行業(yè)健康可持續(xù)發(fā)展[18]。

參考文獻(xiàn)：

[1] 趣店數(shù)據(jù)疑似外泄，十萬(wàn)可買百萬(wàn)學(xué)生信息，離職員工稱“內(nèi)鬼”所為[EB/OL].（2017-11-20）[2019-3-25].https：//baijiahao.baidu.com/s？id=1584584942600192763&wfr=spider&for=pc.

[2] 林闖，蘇文博，孟坤，等.云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（09）：1765-1784.

[3] 袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J].自動(dòng)化學(xué)報(bào)，2016，42（04）：481-494.

[4] Eclipse Attacks on Bitcoins Peer-to-Peer Network[EB/OL].（2015-10-12）[2021-1-25].https：//www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/heilman.

[5] Delmolino Kevin，Arnett Mitchell，Kosba Ahmed，et al.Step by Step Towards Creating a Safe Smart Contract： Lessons and Insights from a Crypto currency Lab[C].Berlin：Springer-Verlag，2016.

[6] 韓璇，袁勇，王飛躍.區(qū)塊鏈安全問(wèn)題：研究現(xiàn)狀與展望[J].自動(dòng)化學(xué)報(bào)，2019，45（01）：206-225.

[7] 王嘯宇，王宏禹.DT時(shí)代的治理模式：發(fā)展中的數(shù)字政府與數(shù)據(jù)政務(wù)[J].河北大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018，43（04）：133-143.

[8] 劉葉婷，唐斯斯.大數(shù)據(jù)對(duì)政府治理的影響及挑戰(zhàn)[J].電子政務(wù)，2014（06）：20-29。

[9] 摩根索.國(guó)家間政治[M].?？冢汉Ｄ铣霭嫔?，2008.

[10] 夏義堃.試論政府?dāng)?shù)據(jù)治理的內(nèi)涵、生成背景與主要問(wèn)題[J].圖書情報(bào)工作，2018，62（09）：21-27.

[11] 劉徐州，崔堯.網(wǎng)絡(luò)治理的主要成就與未來(lái)趨勢(shì)[J].網(wǎng)絡(luò)傳播，2018（08）：69-71.

[12] 范靈俊，洪學(xué)海，黃晁，等.政府大數(shù)據(jù)治理的挑戰(zhàn)及對(duì)策[J].大數(shù)據(jù)，2016，2（03）：27-38.

[13] 何治樂(lè)，黃道麗.歐盟《一般數(shù)據(jù)保護(hù)條例》的出臺(tái)背景及影響[J].信息安全與通信保密，2014（10）：72-75.

[14] 政企數(shù)據(jù)共享到底難在哪兒[EB/OL].（2019-09-09）[2020-12-20].http：//www.eeo.com.cn/2019/0909/365351.shtml.

[15] 穆勇：在財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則下的個(gè)人數(shù)據(jù)保護(hù)與共享[EB/OL].（2018-06-13）[2020-12-20].http：//www.echinagov.com/viewpoint/219017.htm.

[16] 葉戰(zhàn)備，王璐，田昊.政府職責(zé)體系建設(shè)視角中的數(shù)字政府和數(shù)據(jù)治理[J].中國(guó)行政管理，2018（07）：57-62.

[17] 鄭令晗，肖冬梅.歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)制度及其中國(guó)本土化[J].圖書情報(bào)工作，2019，63（13）：122-128.

[18] 冉從敬，張沫.歐盟GDPR中數(shù)據(jù)可攜權(quán)對(duì)中國(guó)的借鑒研究[J].信息資源管理學(xué)報(bào)，2019，9（02）：25-33，45.