政策法规2018年第9期：欧盟《一般数据保护条例》解读

欧盟最新的个人数据保护法案《一般数据保护条例》（英文简称“GDPR”）已于2018年5月25日正式实施。GDPR在1995年颁布的《个人数据保护指令》基础上做出了一系列重大调整，如扩展管辖范围、加强个人数据权利保护、强化企业维护数据安全责任、限制企业针对个人的数据分析活动等。GDPR的颁布在全球范围内产生了广泛而深刻的影响，对我国构建公民隐私保护体系以及维护国家数据主权具有重大借鉴意义。

一、GDPR的出台背景

随着互联网基础设施升级和新技术发展，个人信息数据保护的必要性和重要性不断提高。一方面个人在使用移动互联网便捷服务时，留下大量隐私数据，利用不当容易造成对数据主体的权利侵害。另一方面，大数据时代个人数据信息跨境流动还可能构成对国家安全的重大威胁。另外，欧盟也需要建立统一数据规则，并通过加强个人数据权利保护的方式提高互联网产业的竞争力和话语权。

二、GDPR的主要内容特点

（一）设定宽泛管辖范围

GDPR第3条第1款规定：“本条例适用于营业机构或营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动，而不论该处理行为是否发生在欧盟境内。”据此，GDPR管辖主体既包括欧盟境内的数据控制方、数据处理方，也包括欧盟境外的数据控制方、数据处理方。只要其数据处理活动与向欧盟境内的数据主体提供商品、服务（无论免费与否）有关，或其数据处理活动涉及到监测欧盟境内数据主体的行为。GDPR扩展了欧盟的域外管辖范围，确立了对企业管辖的基本空间。

（二）增强数据主体权利

GDPR明确规定了删除权、可携带权等一系列数据主体权利。当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方机构（或网站），数据控制者应通知该第三方删除该数据。数据主体有权向数据控制者索取本人数据并自主决定使用用途。此外，GDPR还限制数据处理的权利以及反对数字画像和数据自动处理的权利。

（三）更加清晰的个人同意规定

相对于1995年的指令，GDPR中仍将个人同意作为个人信息收集和使用的前提，但对何为有效的个人同意的前提，做出了更加严格的要求。GDPR规定有效个人同意的前提有三个方面：一是数据主体作出声明，或者作出清晰的肯定性动作，同意被认为才有效。个人沉默、提前勾选的选项、静止等状态，不足以认定个人同意表达。二是明确了何种情况下，同意不是由数据主体自由地做出的。三是数据控制方还应当告知数据主体收回同意的权利。三方面规定使GDPR个人同意的规则设定更具可操作性。

（四）数据处理者责任

GDPR对数据处理者赋予新的合规要求，主要体现在以下四方面：一是直接对数据处理者课以义务，而且不履行这些义务时，将会直接问责；二是数据控制方和数据处理方应当签署详细的数据处理协议。GDPR详细地规定了协议的条款；三是数据处理方只有在获得数据控制方的事先同意后，才能使用次一级数据处理方。次一级数据处理方与上一级数据处理方应当签署数据处理协议，协议中规定的义务，和上一级数据处理方与数据控制方签署的协议的内容相同；四是数据处理方在数据控制方允许的范围外，开展的数据处理行为，将被GDPR认定为数据控制方，同时应履行数据控制方相同的责任。GDPR对数据处理责任的规定与我国涉欧企业经营密切相关。

（五）执法和处罚

GDPR将会统一各成员国监督机构的权力和任务，并大幅增加处罚标准。对重大违规事件，罚款可高达2000万欧元或前一财年全球收入的4%。

三、GDPR对我国的启示

（一）提高数据控制者收集与处理个人数据活动的透明度

个人数据收集与处理活动的透明性要求企业收集、处理个人信息须经数据主体明确授权；企业或组织采集个人数据时，必须以适当方式说明数据使用目的、应用情境以及潜在的风险情况；在应用情境发生变化时，数据采集方必须进行突出说明。在此基础上，全面提高个人数据收集与处理活动的透明度、保障数据主体的知情权和隐私权。我国于 2017 年 12 月颁布的《信息安全技术个人信息安全规范》（简称《安全规范》）首次从国家技术标准的层面提出了个人数据采集的规范，其中对数据采集的透明度进行了明确规定。应当在此基础上进一步加快相关立法工作，尽快出台适合我国国情的个人数据保护法律法规。

（二）明确相关数据主体的权利与责任

一是应借鉴欧盟立法经验，明确赋予数据主体知情权、数据获取权、修改权以及携带权等基本权利，对于《条例》开创的个人数据被遗忘权和删除权，则应当根据我国互联网产业发展以及个人隐私保护的需要认真研究制定执行细则。

二是明确数据使用主体保护个人隐私和数据安全的法律责任，要求其采取必要的技术和管理措施全面加强数据保护。应当借鉴GDPR经验，引入数据泄露通知制度和确立隐私保护的缺省原则（数据采集最小化原则）。此外，数据保管方在委托第三方进行数据处理或分享数据的，数据使用主体应当履行监督义务并承担相应法律责任。

（三）控制个人隐私权与企业发展权之间的平衡

大数据时代加强个人数据隐私保护的法律设定应当考虑权利平衡原则。从微观层面看，应当维持个人数据的被遗忘权和删除权、企业发展权和社会责任之间的平衡。从宏观层面看，维护国家数据安全、鼓励互联网技术创新和培育互联网产业的全球竞争力也需要平衡。 公民隐私数据保护应当“有理、有利、有度”，不应以牺牲互联网企业的利益和整体产业发展为代价。为个人隐私数据提供司法保护时，也应建立和完善对互联网企业的司法和行政救济体系，从而平衡好双方利益，促进我国互联网行业健康持续发展。

（四）监管数据分析活动和跨境数据转移

大数据分析如果不受法律约束，就可能在利益的驱动下侵犯公民个人隐私权，并为国家数据安全带来隐患。我国应参考欧盟GDPR的相关规定，对相关企业使用个人隐私数据进行大数据分析的行为进行规范和监管。此外，应构建符合我国特殊国情的跨境数据传输审查和安全评估机制，对个人数据跨境转移实施严格监，维护数据主权，推动我国从“数据大国”向“数字强国”迈进。

（作者：中国信息通信研究院安全研究所 李晓伟）