派智库

[摘要]欧盟2016年出台的《一般数据保护条例》（英文简称“GDPR”）已于今年5月25日全面实施。总体来看，GDPR延续欧盟对个人数据基本人权保护一贯立场的同时，以欧盟数字单一市场战略为政策背景，结束各成员国之间的数据保护法律制度差异问题，力图助推数字经济发展。欧盟发布GDPR是出于什么样的考虑？GDPR对积极在欧洲开展业务的中国科技企业有什么启示？GDPR对算法和数据的要求，对极度依赖数据的新兴产业造成什么影响？ dedecms.com

　　（世经评论·北京）被称为史上最严的个人信息保护法－－欧盟《一般数据保护条例》（GDPR）已经开始正式实施。欧盟发布GDPR是出于什么样的考虑？GDPR对积极在欧洲开展业务的中国科技企业有什么启示？GDPR对算法和数据的要求，对极度依赖数据的新兴产业造成什么影响？
　　
　　一、GDPR基本状况
　　
　　欧盟2016年出台的《一般数据保护条例》（英文简称“GDPR”）已于今年5月25日全面实施。总体来看，GDPR延续欧盟对个人数据基本人权保护一贯立场的同时，以欧盟数字单一市场战略为政策背景，结束各成员国之间的数据保护法律制度差异问题，力图助推数字经济发展。GDPR的显著特点包括：极大的适用范围和超高的罚款额度，违反GDPR将可能被处以最高2000万欧元或上一年度全球营业额的4%的罚金；强化数据主体对其个人数据的控制力，创新性地提出数据可携权、被遗忘权、免受自动化决策权等概念；进一步强调数据控制者的义务与责任，要求设置数据保护官（DPO），引入设计即隐私的理念；完善欧盟数据保护监管体系，设计“一站式”监管机制，优化个人数据跨境流动合法机制等。

织梦好，好织梦

　　
　　自2016年中开始，欧盟加紧开展GDPR实施的筹备工作并积极支持各方开展合规工作。建立数据保护委员会，促进欧盟成员国在法律适用（包括条例解释、案件处理等）方面的一致性，并为成员国数据保护部门间的合作提供支持；组织制定GDPR适用的各种实施指南，目前已发布数据可携权指南、数据保护专员指南、数据保护影响评估指南、行政罚款指南，未来还将陆续发布数据泄漏指南、数据同意指南、数据透明度指南等指导性文件；积极向主要贸易伙伴推广GDPR，以确保数据跨境流动至有关国家时可以享受更高水平的保护，据了解，日本将于年内获得欧盟关于数据保护水平的充分性认定，进入欧盟数据跨境流动白名单；与利益相关方合作，帮助其开展GDPR合规工作，例如，在WHOIS域名查询服务合规问题方面，欧盟正在积极与ICANN合作研究相应的解决方案。此外，爱尔兰、法国等欧盟成员国相继发布新版数据保护法案，为全面执行GDPR做好准备。

织梦好，好织梦

　　
　　二、GDPR掀起全球个人信息保护风潮
　　
　　欧盟借助GDPR已经成为全球数据安全和个人信息保护的引领者，并带动全球个人信息保护规则升级。此外，近期发生的“剑桥分析”事件持续发酵，在全球掀起一股个人隐私保护的风潮，对GDPR实施形成了有力的推动作用。互联网巨头企业已经纷纷采取行动，谷歌发布了新版隐私政策，Facebook暂停200个疑似存在数据滥用问题的应用，苹果推出新的隐私工具，可以让用户下载包括照片、文档、日历等在内的所有个人数据，甚至计划在未来几个月将此工具向全球用户提供。
　　
　　在GDPR影响范围波及全球的大背景下，GDPR对我国，特别是我国数据安全管理工作，会带来哪些启示和实际影响？
　　
　　三、GDPR对我国数据安全管理工作的启示
　　
　　从文本来看，其对我国数据安全相关法律政策制定的启示和借鉴意义主要在于从风险控制思想出发，通过设置例外规则，减轻数据控制者的合规负担，避免了因“一刀切”的做法导致法律过于严苛而企业难以落实。典型的例子是GDPR关于数据泄露通知的规定。欧盟引入了美国关于数据泄露通知的机制，要求数据控制者发生数据泄露事件后，要告知受影响的用户，并且及时采取补救措施。GDPR在设计具体条款时，基于风险控制的思想，考量用户承受伤害的可能性与数据控制者承担义务之间关系，并据此设置了例外规则，即如果数据控制者采取了适当的保护措施，例如事先采取了加密措施，使得数据泄露不会对用户造成实质性损害，则数据控制者可以不必履行数据泄露通知义务。我国《网络安全法》第四十二条第二款也规定了类似的内容，要求“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”。其中的“按照规定”为政府监管部门落实《网络安全法》，制定细化的管理规定留出了解释空间。因此，我国政府监管部门在制定具体规则时，也可以引入风险控制的思想，以减轻企业告知义务的方式，鼓励企业做好事前的安全防范措施，从实质上保护用户个人信息安全。GDPR对我国数据安全管理工作的影响

本文来自织梦

　　
　　从欧盟出台GDPR以及之后的一系列立法、政策举措来看，欧盟已经建立完善数据利用和保护法律体系，从外部迫使我国必须加快建设相关法律政策体系，以实现双方在数字经济领域的对等开放和合作。欧盟出台GDPR后，继续修订、制定数据保护相关法律，如2017年1月发布计划修订“电子隐私”指令（“E－Privacy Directive”）；2017年下半年，欧盟委员会出台《非个人数据自由流动框架条例》提案。事实上，欧盟已逐步建立以GDPR为核心，促进欧盟境内数据自由流动，控制数据向境外流动的法律保障体系，为实施数字单一市场战略、振兴欧洲数字经济创造数据治理良性生态。相比之下，我国《网络安全法》初步建立了国家数据安全保障体系，但落实的数据安全相关法规和部门规章迟迟未能出台，专门的个人信息保护法的立法工作推进缓慢，数据跨境流动、数据共享交易等细分领域的管理机制和具体政策还不明晰。如果维持这种现状，导致的结果是中国企业在欧洲受到非常严格的监管，而欧洲企业数据收集、处理行为将不会受到对等管理。 本文来自织梦
　　
　　总而言之，欧盟采取的一系列数据保护相关行动紧密围绕国家核心利益，服务于国家整体战略。我国也需要尽快从本国核心利益出发，兼顾发展和安全需求，形成维护数据安全的基本理念。加快建立完善涵盖数据确权、数据共享、个人信息保护、数据跨境流动等领域的数据保护法律体系，明确各方主体责任和法律义务。。同时，加快建设政府管理、企业履责、社会监督、网民自律等多主体共同参与，经济、法律、技术等多种手段相结合的数据治理生态，促进数据在社会生产生活全链条的高效、有序利用。