GDPR对我国数字经济企业的影响及建议

魏书音

（赛迪智库网络空间研究所，北京100846）

1 引言

2018年5月25日，《通用数据保护条例》（以下简称GDPR）正式实施。GDPR致力于建立数字时代欧盟统一的数据保护规则，将替代《1 9 9 5年个人数据保护指令》，在诸多方面做出了重大变革，如赋予个人数据删除权和携带权、限制数据分析（Prof iling）活动等，给予公民更多对个人数据的控制权，并要求企业承担更多数据保护责任。对数字经济企业而言，如何清楚认识GDPR新规则，重新构建符合GDPR要求的合规体系，以及合法开展个人数据相关的技术研发和业务模式，开拓欧洲市场，成为需要解决的重要问题。

2 GDPR对我国数字经济企业的影响

2.1 企业将面临极大的合规运营挑战

一是以个人自决权为核心的严格个人信息保护需要企业投入大量资源。GDPR对个人信息的保护及其监管达到了前所未有的高度，以个人权益出发，赋予用户查阅权、拒绝权、删除权、更正权、携带权、获得救济权等一系列权利，并要求各成员国将之提升到保护自然人基本人权和自由以及消费者特殊权利的高度，强调公民对个人信息从数据收集到删除全生命周期的控制权和决定权。这些合规要求将迫使企业改变处理、存储和保护用户个人数据的方式。如“被遗忘权”“可携带权”要求企业完整地了解自己掌握的用户个人信息，包括信息的数量、类型、存储位置、应用的场景等，并在用户提出索求时能够准确、及时地提供。满足此类合规性要求需要投入大量的人力、财力才能得以实现，有调查显示，为符合GDPR，超过60%的公司需要额外支出100万美元。

二是法律的模糊性和不确定性对企业构建合规体系造成极大挑战。一方面，GDPR规则多以“原则、要求及其所达到的效果”为主，没有对网络运营商如何落实规则的详尽步骤和规范，如“采取措施确保……”需要根据业务特征和组织架构构建适合企业自身发展的数据保护体系。这即为企业数据保护留下空间，也弱化了对行为的指导性，增加了合规的不确定性。另一方面，全新的法律原则、权利体系都尚存争议，有待进一步澄清和解释，例如数据可携带权、数据保护官制度、自动决策和画像等问题，在实务中可供参考的案例也寥寥无几。

三是需要面对不同国家法律冲突的难题。在法律适用问题上，由于GDPR确立“长臂管辖”原则，设定了广泛的司法管辖权，可能产生与他国法律之间的冲突。法律冲突问题将导致企业在建立统一的合规体系、降低运营成本方面需兼顾多国法律，在某些情况下不可避免地产生合规矛盾问题，比如微软隐私案中就存在欧盟GDPR与美国SCA（存储通讯法案）间的法律冲突。

2.2 企业在欧盟经营业务将受到一定限制

一是限制企业间合作形式。对于云计算业务，GDPR规定了云服务商和云客户之间的权利义务配置，为了实现对数据安全的全面保障，要求数据控制者（云客户）和数据处理者（云服务商）承担同等数据保障责任，如果没有数据控制者授权，数据处理者不应再委托其他数据处理者，对于涉及到补充或替换其他数据处理者的变动，数据处理者都应当告知数据控制者，数据控制者有权反对变更。在此要求下，目前市场上云服务的集成、转售业态都将面临业务风险。同时，这意味着得不到上层应用的书面通知，底层的基础设施和平台就不能对数据进行处理，如PaaS平台发展任何一个用户、开发任何一个应用，都必须事先征得IaaS厂商的同意，这条规定在目前云服务场景中很难实现。

二是挑战企业的运营模式。利用收集和掌握的大量用户个人信息，通过对用户行为的分析产生直接（如精准广告投放）或间接（如根据行为进行画像来提供一些更精准、个性化的服务）的收益这是目前很多国内互联网企业的盈利模式。GDPR赋予了欧洲公民可以拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利。这种拒绝权可能会导致企业在欧盟不能利用个人信息来进行客户画像和自动推荐等，给很多强调用户体验和个性化服务的大数据企业和互联网企业带来了商业模式上的冲击。

三是技术发展资源获取更为困难。如对于人工智能，作为其核心技术的深度学习需要通过收集海量数据不断成熟，进而智能分析并得出结论。根据GDPR，网络运营者收集用户数据需满足严格的条件，并且必须满足用户删除数据的要求，没有用户数据信息或者收集的用户信息不全面势必影响到人工智能的分析结果。

2.3 可能面临以“隐私保护”为由的贸易壁垒

一是WTO规则将隐私保护作为限制跨境服务贸易的正当依据。1994年WTO框架下的《服务贸易总协定》(GATS)中明确了成员国可以隐私保护为由限制跨境服务贸易。欧洲各国可通过WTO将成员国对数据处理和传播过程中的个人数据保护立法转变为一种合法限制国际自由贸易的措施。而在国际法律层面，各国之间关于个人信息保护的分歧并未得到有效解决，由此引发的国际贸易战将不可避免。

二是我国的数据保护现状不符合欧盟要求。在跨境数据流动方面，GDPR设立白名单制度作为一种数据流动途径，规定欧盟公民的个人数据只能向那些已经达到与欧盟数据保护水平相一致的国家或地区流动，审查标准参照欧盟数据保护水平，主要考虑两方面的因素：（1）第三国个人数据保护法律法规的内容；（2）相关法律法规落实的情况。具体衡量标准包括对人权和基本自由的尊重等西方价值观。

我国数据安全管理水平远未到达欧盟要求，在立法方面，尚未制定关于个人信息保护的专门法律，对于个人信息使用的相关规定还停留在“合法使用”等模糊、笼统规则上；在执法方面，行政部门执法不严，多停留在约谈、责令整改等阶段，内容目前还集中在对隐私条款等规章制度的审查方面，未深入到数据使用的层面。

三是可能面临以隐私保护为由的贸易壁垒。在贸易保护主义、“中国威胁论”重新抬头的环境下，“隐私保护”这一事由可能被国外监管机构或者竞争对象滥用，如借用人权问题否定中国政府的隐私保护水平，中国企业可能面临“隐私保护不力”等贸易壁垒，成为实施双重标准、构建新式贸易壁垒的借口。

3 应对建议

3.1 政府应完善数据安全管理制度，引导企业培养个人信息安全保护的战略意识

一是推动《个人信息保护法》尽快出台，完善数据安全管理制度，细化数据收集阶段的规定，强化数据处理阶段的透明度等要求，建立健全数据备案、分享、评估认证等制度。

二是持续跟踪研判欧盟最新执法动向和趋势，对GDPR有清醒的认识和准确的预判，指导企业加强重视，及时有效应对违规问题和风险。

三是积极组织专题宣传培训和研讨交流活动，在执法检查过程中加强监督引导，培养企业个人信息保护战略意识，将个人信息安全保护作为占有市场和增强用户粘性的战略举措。采取闭环管理的理念，在设计系统架构之初就应该把安全因素纳入架构设计范围，变被动为主动，逐步培养起安全与发展并重的良性大数据产业生态环境。

四是鼓励数字经济企业与网络安全企业建立长期合作伙伴关系，为其数据安全管理提供全方位的咨询和服务，尤其加强对企业技术负责人、重点岗位员工的个人信息保护培训。

3.2 政府应完善有关数字贸易争端的预警机制，及时应对以隐私保护为由的贸易壁垒

一是建立高效的预警和应对机制。时刻关注WTO的通报和有关国家的最新动态, 做好对欧贸易政策的跟踪和分析，及时将重要信息反馈给有关机构和行业组织。加强有关数据安全问题的外贸摩擦准备工作，针对以隐私保护为由的贸易壁垒措施，联合行业协会建立完善的应对体系。

二是积极主动发声，对不合理的、明显有失公平的贸易壁垒，有针对性地采取反击手段，并在必要时向世界贸易组织提出上诉, 利用WTO裁决机构对欧滥用以数据保护为由的贸易壁垒形成制约。

三是制定数据保护标准国际化战略，积极参与相关国际标准的制定，提升我国在数据保护方面的国际话语权和规则制定权。

3.3 企业应理清义务责任和违规风险点，加强数据安全监管

一是理清各项业务中所担任的法律主体及其相对应的责任，以及与第三方企业的责任划分，加强对第三方的数据安全管理，限定与第三方进行数据服务交换的范围和方式，明确第三方使用数据的规则，并与第三方签订权责清晰的数据使用协议。

二是全面掌握企业所存储的数据种类和类型，以及不同数据的泄露风险的可能性，对其所搜集和掌握的个人信息有一个清晰的脉络图，并据此建立的数据风险模型予以分类管理。

三是参照《个人信息保护规范》等国家标准完善数据监管制度措施，其中包括数据收集、使用和监管等，并在此基础上按照GDPR要求补齐短板。

3.4 企业应加快创新服务模式和安全技术，通过转型升级巩固欧盟市场

GDPR将会在一定程度上淘汰那些低水平、侵犯个人信息权的数据营利模式，从而涌现更多高水平、科学性的服务模式。企业在应对合规性的同时，要把握机遇，加快转型升级，以此巩固欧盟市场。

一是创新大数据技术服务模式，规避法律风险。加快大数据服务模式创新，改变简单依靠搜集个人信息并不加处理直接利用的商业模式，提升企业的数据分析、建模能力等大数据服务能力，围绕数据全生命周期各阶段需求，发展数据采集、清洗、分析、交易、安全防护等技术服务，培育数据服务新模式和新业态。

二是提升大数据安全技术产品研发水平，以新技术应对新要求，降低合规成本。针对网络信息安全新形势，加强大数据安全技术产品研发，重点研究大数据环境下的统一账号、认证、授权和审计体系及大数据加密和密级管理体系，推广防泄露、防窃取、匿名化等大数据保护技术，研发大数据安全保护产品和解决方案，通过技术措施降低合规成本。

4 结束语

目前，国内企业个人信息保护水平还亟待提高。仅就隐私条款来说，网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集个人信息的现象屡见不鲜。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示：有49.6%的受访者曾遇到过度收集用户信息现象。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，但几乎没有受到任何监管和依法惩处。中国的互联网企业对于个人信息保护的重要性认识可能并不缺乏，但是因为行政部门多年来执法不严，多停留在约谈、责令整改等阶段，实质性的行政处罚非常少，即使发生大规模严重的数据泄露事件，也只是运动式的专项行动打击等，未真正触及过其痛点，以致于很多企业高管对于个人信息保护问题已经麻木。但是，GDPR对个人信息的保护及其监管达到了前所未有的高度，需要大多数企业投入大量的人力、财力才能得以实现，将迫使企业改变他们处理、存储和保护用户个人数据的方式，应引起企业的高度重视，尤其对于有意开拓欧洲市场的企业，加强预判研究，积极进行合规性评估。