《通用数据保护条例》内容及实践浅析

《通用数据保护条例》内容及实践浅析

作者：冯梦琦

来源：《法制与社会》2019年第12期

摘要本文以欧盟《通用数据保护条例》（GDPR）的颁布和实施为背景，对GDPR的内容和影响进行简要的分析。GDPR规定的核心内容为对互联网企业占有和使用用户数据进行限制，以保护数据主体的个人信息自主权益。这一规定对全球范围内各大互联网企业造成了较大的冲击，但是规范数据的使用，保护个体用户的数据权益是现今互联网法制建设的主题。

关键词通用数据保护条例个人信息保护互联网作者简介：冯梦琦，哈尔滨商业大学法学院硕士研究生，研究方向：经济法。

2016年4月14日，欧盟议会和欧盟理事会通过了《通用数据保护条例》（以下简称“GDPR”），2018年5月25日，GDPR正式生效。自此，欧盟正式启动了史上最严格的个人信息保护规则。一方面，GDPR赋予了个体用户对于自身数据更多的自主权和选择权;另一方面，GDPR针对用户数据的控制主体和处理主体制定了十分严格的限制性规则。虽然GDPR作为市场监管类规则，并未解决数据作为无形资产的权利归属，但是规则明确地将数据的支配权利赋予了“数据主体”（datasubject），即产生数据的个体用户。

GDPR是在1995年欧盟议会出台的《数据保护指令》（以下简称“DPD”）的基础上重新制定而来，具体而言其变化注要体现在以下几个方面：

首先，GDPR的适用范围较DPD有明显的扩大，几乎涵盖了全球所有的跨境互联网服务提供商，其不仅适用于欧盟境内与用户数据有关的所有企业，而且适用于与向欧盟境内数据主体提供服务有关或涉及监测欧盟境内数据主体的企业。

其次，GDPR十分强调数据主体的权利保护，其赋予了数据主体更加广泛、更加细化且更具有可操作性的各项权利，内容包括但不限于对数据的知情权、修改权、注销权、限制处理权、可移植性决定权、拒绝处理权等。GDPR条款一旦落实，数据主体就能够基本实现随时接触、授权处理、取消授权、修改和注销自己产生的数据信息，可以很大程度避免作为数据控制者（controller）和处理者（processor）的企业在未授权的情况下形成数据主体的数据侧写并据此获利，企业也无法在未授权的情况下向数据主体进行偏好推送或差别定价。

数据主体的知情权包括数据主体有权知道其个体用户的哪些类型的数据被企业收集并进行处理，具体有哪些企业对相关数据收集和处理，企业收集和处理个体用户主体的目的以及处理后信息的用途，相关数据是否会对第三方披露等。数据主体的修改权是指其认为个体用户数据有错误、发生变动或内容不完整时，有权要求数据控制者立即进行修改。数据主体的注销权亦被译被遗忘权，是指在满足一定的条件时，数据主体有权要求数据控制者和处理者立即删除自己的用户数据，且这一规定赋予了数据主体对于删除用户数据独有的决定权，只要其认为个体

的用户数据对于收集者不在必要，数据主体主观上以任何理由撤销授权，或者企业违反法律对数据进行收集和处理等情况出现，数据主体即可行使该权利。限制处理权赋予数据主体对数据控制者和处理者处理其数据的行为享有的实施干预和限制的权利，且与行使注销权需要满足的条件相类似，数据主体主观拒绝或企业吃力数据的行为不合法或数据本身存在瑕疵时，数据主体即可行使该权利。数据可移植性决定权是数据主体有权决定数据控制者是否能够将其获得的常规数据直接移植（转移）给另一个数据控制者，数据的可移植性又被称为数据的可携带性，因此有人将这项权利称为数据可携带权。数据主体的拒绝处理权仅针对企业对數据的处理活动，数据主体有权直接拒绝数据控制者对其收集到的用户数据进行处理，包括利用算法和系统实现的自动处理，同时若技术层面无法避免系统对数据的自动处理，数据主体可拒绝企业依据自动处理系统所做出的决策。

此外，GDPR还对数据控制者和处理者设置了前所未有的严格限制性规定，赋予了其多项义务。例如，数据控制者和处理者必须以透明、简洁、易获得的方式向数据主体披露其享有的与数据有关的权利，并且在收集和处理用户数据时，必须获得明确的授权。同时企业必须采用适当的技术、设置恰当的组织机构等，以保证一定的数据安全水平。这不仅对提供互联网服务企业的内部控制处了较高的要求，还对二级服务商，即向互联网企业提供主机服务的处理器服务商提出了较高的要求。再比如，数据处理者必须详细记录数据处理活动，方便数据主体随时访问和查看;数据处理者及相关工作人员必须就数据安全事件在规定时间内向数据监管机构进行报告。

GDPR要求数据控制者和处理者以明示的方式询问数据主体是否允许搜集个体用户数据，即企业不得设置程序默认数据主体授权收集其个人数据，包括不得默认勾选“我已同意授权”或“同意上述条款”等。如果数据主体拒绝提供个体用户数据，企业即有义务修改程序使其无法获取用户数据，若数据主体撤销了之前的授权，企业则必须对其之前收集到的数据进行处理，使其成为non PII信息，即个体不可识别信息。GDPR不仅要求数据控制者和处理者自身对数据的收集和使用合法合规，还要求其对所收集和处理的个人信息数据采取严格的安全措施，避免数据的损坏、丢失或泄露。

GDPR同时要求满足一定条件的机构设置数据保护官（dataprotection officer），如要对数据进行处理的政府机构，因业务需要对数据主体进行大规模系统监测的控制者和处理者，需要对数据主体的特殊数据或涉及刑事记录的数据进行处理的控制者和处理者。

GDPR还规定了政府对数据监管的权限，当数据控制者和处理者出现违法活动时，政府可直接对其采取措施。GDPR被媒体称为史上最严数据保护条例还有一个很重要的原因是其对违法企业的处罚力度非常大，最高罚款金额可达违法企业全球年度营业额的4%。

2019年初欧盟委员会表示，社会各界已向欧盟国家累计提出了95000多起投诉。欧盟各国已经对一些企业展开调查并开出了部分罚单。

2018年9月19日，奥地利数据保护机构（DSB）开出了首张GDPR罚单，对违规的企业罚款4800欧元。理由是该企业在其建筑物前安装了一台摄像机，但摄像机没有标识明示其正在实施监控，同时GDPR明确规定了数据控制者和处理者不得对公共场所进行大规模监控。但此次奥地利监管机构并未按照GDPR规定的2000万欧元与年营业额2%二者取其高的金额进行处罚，理由是该企业年营业额仅数万欧元，对其适用2000万欧元的处罚明显过重。

2019年1月22日，法国国家互联网信息中心（CNIL）依据GDPR对谷歌处以5000万欧元的巨额罚款。理由是谷歌向用户提供了不充分的信息，在多个页面上分散提供信息，而且并未在广告个性化的问题上获得有效许可，这也是法国国家互联网信息中心依据GDPR开出的首张罚单。目前谷歌已就该罚款提起了诉讼。

GDPR的颁布和实施对互联网企业产生了巨大的影响，不仅因其适用范围十分广泛，除欧盟境内涉及用户数据企业，全球所有在欧盟国家发生数据相关的业务或提供设计数据收集的服务的企业都需要遵守GDPR。GDPR无疑将促使全球的互联网服务提供商对其提供服务的系统和模式进行全面升级，以满足其对于企业收集个人用户数据几乎苛刻的要求。

首先，相关企业需建立一套全新的内控体系，不仅要根据GDPR关于用户授权收集数据的规定更新提供服务的界面，还要重点关注已经收集到的用户数据，以及如何满足数据主体的知情权，如何向用户提供修改、删除数据的途径等问题。很多企业甚至缺乏满足GDPR规定的技术条件。

其次，GDPR要求企业具备准确识别和定位各个数据主体的用户数据的能力，然而大多数中小企业并不具备该能力，若要对其收集到的数据进行合规的处理，需要企业投入巨额的资金。但是若不满足GDPR的规定而在欧盟成员国境内开展业务，则可能导致巨额的罚款。GDPR若严格落实的话，中小企业的生存将面临严峻的挑战。

从另一个角度看，GDPR的严格规定或许会为互联网行业带来新的机遇。严格的规则和高昂的合规成本迫使一部分非正规经营的中小企业退出市场，也迫使数据管理混乱的大型企业重新搭建现有的数据收集、处理、使用流程，更清晰合规地对数据进行管理和利用，更大程度地防止数据泄露，保护数据主体个体信息安全的同时，也将提升企业的信誉。

此外，数据合规不仅仅是法律层面的问题，更是技术层面的问题。许多数据收集、处理活动混乱的企业不具备数据控制和数据保护的技术条件。GDPR的出台迫使这些企业进行技术升级，其明确规定了数据控制（含移动应用）和处理需要有足够的技术和措施来确保其数据和移动应用的完整性。这些安全措施必须能够应对数据处理面临的风险，例如所传输或存储的个人数据被篡改、丢失、未经授权披露或被恶意攻击;并且强制要求软件在整个开发階段和运行数据处理阶段必须能够保护个人数据隐私。为了保护数据主体对数据的支配性权利，企业在收集、处理用户数据的同时，还需要具备随时删除用户数据或停止/限制编辑数据的技术条件。这意味着如果不具备相应的技术条件，企业未来可能无法经营，这也在一定程度上提高了互联网行业的准入条件。