申晨

图片来源：腾讯研究院

2018年5月25日，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）正式施行，旨在为自然人在个人数据处理以及自由流动问题上提供法律保障。GDPR的前身是1995年的《数据保护指令》，其出台标志着20多年来欧盟数据保护法规的重大变革，它将对企业自身发展、全球产业布局及跨境数据流动规则走向产生深刻影响。

一、GDPR的出台背景

欧盟是国际上较早对数据保护和跨境流动规则展开研究并积极立法的国际主体之一，拥有较为完善的数据保护法律框架。早在1995年，欧盟就出台了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》（简称《数据保护指令》），为欧盟成员国立法保护个人数据设立了最低标准。

21世纪以来，互联网等信息技术迅猛发展，使得电子化个人数据不论是在数量上还是流通渠道上都急剧增加。在此背景下，《数据保护指令》等数据保护规范显露出其弊端，程序过于复杂以及成员国执行不协调导致相关规则难以应对不断出现的安全风险，不能平衡迅速发展的信息科技和个人数据保护之间的矛盾。根据欧盟委员会电信领域司法专员Viviane Reding的报告，欧盟每年因数据保护执法无序而产生的成本高达23亿欧元。因此，需要构建一个更强大、更一致的数据保护框架，提高数据保护法律的针对性和效率。

2011年，欧洲数据保护监督组织（EDPS）在欧盟委员会沟通会议中，提出了对欧盟个人数据保护采取综合手段的建议。半年后，欧盟委员会提议全面改革《数据保护指令》，以加强网络隐私权，推动欧洲的数字经济。2012 年1月25日，欧盟委员会公布了 GDPR 草案，经过4年的探讨与协商，于2016年4月8日和4月16日分别由欧盟理事会和欧洲议会投票通过，替代了1995年《数据保护指令》。根据效力条款，GDPR于2018 年 5月25日正式全面施行。

二、GDPR的主要内容

与欧盟此前一系列的数据保护法案相比，GDPR 的内容更为丰富、具体，它在《数据保护指令》的基础之上，对各成员国的监督协调加入了新规定，要求它们应将 GDPR 与本国法律结合起来，设立专门负责机构保障其实施，并增加了数据主体权利以及数据控制、处理者义务等具体内容，还对违反条例的行为设定了高额罚款。GDPR包括序言和正文两大部分。其序言部分包含了173条辅助性条款，以帮助成员国具体理解与适用。正文部分条款共99条，分为总则，原则，数据主体权利，控制和处理者，个人数据向第三国或国际组织的传输，独立监督机构，合作与协调，救济、责任和处罚，特定处理情形，授权与实施行为，最终条款等11章内容。

GDPR的前两章对其宗旨和原则进行了阐释，构建了个人数据保护规则的总体框架。第一章“总则”共4条，阐明了GDPR的主旨和目标、适用范围、地域范围以及相关定义。其中指出，GDPR旨在保护自然人的基本权利和自由，特别是其个人数据保护权，但不因为保护个人数据而限制或禁止数据在欧盟境内的自由流动。在地域范围上，GDRP采取“长臂”管辖原则，扩大了法律适用的域外效力，数据控制者或处理者在两种情况下会受到其规制，即在欧盟域内或是成员国法律基于国际公法能够适用的地区设立机构，或者即使无实体机构，但是为域内数据主体提供商品、服务或进行监控。第二章“原则”共7条，前3条规定了个人数据处理原则、处理的合法性、同意的条件等内容，第4到10条规定了涉及儿童、特殊群体以及违法犯罪相关数据的处理原则，第11条规定了控制者在处理不需要识别的数据情况下的豁免条件。

第三、四章是GDPR的核心部分，它们分别设定了数据主体的权利和数据控制、处理者的义务。第三章分为5小节，共12条。其中前11条对数据主体拥有的权利进行了细致的规定，包括获取相关信息的透明度及其形式，信息及个人数据的获取，更正和擦除权，反对权及个体决策自动化等内容。第5节列举了10项对个人数据权利的合法限制，包括涉及国家安全、公共安全、国防、刑事犯罪、其他重大公共利益、司法独立和诉讼保护，或者出于保护数据主体或其他人的权利和自由的需要，以及为实现民事法律主张的需要。第四章规定数据控制、处理者在技术、组织和数据保护政策等方面有保护数据主体合法权利的义务，并列明了这些义务的详细内容，且规定“共同控制者”应当显名化并承担连带责任。其余各章对核心部分未尽事项进行了补充和支撑。

三、GDPR的重要影响

尽管GDPR是一个区域性法律规范，但是其施行对企业自身发展、全球经济产业布局乃至跨境数据流动规则走向都有着重要的影响。

从企业自身发展来看，GDPR一方面增加了其合规成本，另一方面也能够通过提高合规意识增强其全球竞争力。2017年，STEALTHbits展开了一项以36万余家欧美企业及社群为样本的调查。调查报告指出，尽管超过90%的受访者熟悉GDPR的规则，但是其中仅有32%的企业已经或者正在进行合规性安排，而美国企业对该条例的熟悉度要明显弱于欧盟企业。大部分企业没有对GDPR做出有效应对是由于合规成本过高，其目前能力达不到相关合规标准。面对“史上最严新规”，这些企业宁愿退出欧洲市场，或静观其变，或蓄势待发。而一些实力比较雄厚的企业则能够在新的一轮洗牌中站稳脚跟。中国BAT（百度、阿里、腾讯）在欧盟地区并没有受到新条例影响，而此前腾讯和阿里也都公开表露了它们对此有足够的底气。反观国内规则，尽管《网络安全法》对个人信息的保护作出了原则性规定，但《个人信息保护法》酝酿多年迟迟未能出台。中国“数据主体”的权益遭受侵害已经司空见惯，国内企业似乎早已被过于宽松的监管制度“宠坏”。GDPR或许能够通过中国企业涉外业务的改革倒逼中国相关规则的完善。所谓“真金不怕火炼”，从长远来看，GDPR能够筛选出更有全球竞争力的企业，进而打造一个更具消费者友好度的信息社会。

从全球产业布局来看，GDPR的施行将可能使欧盟成为一块监管“高地”，许多不能满足其合规要求的企业将外流至其他监管较为宽松的地区。根据STEALTHbits的调查报告，对GDPR关注度最高的前三类产业是科技、能源和金融服务，其中科技和金融服务都是面向客户的数据密集型产业。在GDPR施行当日，美国两大科技巨头Facebook和Google都遭到了控诉，并分别面临39亿欧元（约合人民币290亿元）和37亿欧元（约合人民币276亿元）的天价罚单。这种敲山震虎的做法将对其他相关行业起到威慑作用。中国的智能家居产业也受到了影响，如小米旗下的智能灯具厂商Yeelight目前已经退出了欧洲市场，这主要是因为其涉及较多的用户隐私数据，且为符合合规要求而需要从底层架构进行改造，成本过大。对金融科技等新兴行业的初创企业来说，它们大有可能远离欧盟而选择其他监管“洼地”，这也将带来整个产业链的变化。

从跨境数据流动规则走向来看，GDPR的施行将可能进一步推动数据权利的明晰化。当前，数据及其权利主体和权利内容在国际法上的界定尚处于模糊地带，这给世界各国在跨境数据流动规则的谈判过程中造成了不小的障碍，它直接影响了数据主权这一核心问题的构建。GDPR明确了数据主体及其具体权利，可以预见在其施行过程将会积累大量的诉讼实践，这些经验将有助于我们对相关概念进行理解和反思。

    （作者为武汉大学中国边界与海洋研究院2015级硕士研究生）

Overview of GDPR and Its Influence

SHEN Chen

On May 25, 2018, the General Data Protection Regulation（GDPR) of EU which lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal dataformally implemented, GDPR is a major change in EU`s data protection regulations over the past 20 years and will have a profound impact on the development of enterprises themselves, the layout of global industries and the trend of cross-border data flow rules.