2016年4月，歐盟議會(huì)通過(guò)《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）。至2018年5月25日，兩年過(guò)渡期已過(guò)，GDPR正式生效，真的來(lái)了。一部歐盟的法律，緣何引發(fā)世界各國(guó)的熱議，紛紛感慨其為“史上最嚴(yán)格大數(shù)據(jù)管理法規(guī)”？

在 GDPR正式生效之際，以下筆者與大家一起漫談GDPR，掃除若干對(duì)GDPR的誤解。

一、GDPR的理想：保護(hù)個(gè)人數(shù)據(jù)權(quán)利與促進(jìn)數(shù)據(jù)流通并重

從法條本身出發(fā)，GDPR的立法目的并不單一，除了保護(hù)歐洲公民的基本權(quán)利，還要促進(jìn)個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流通。

在歐洲，個(gè)人數(shù)據(jù)保護(hù)權(quán)是一項(xiàng)公民的基本權(quán)利，GDPR毫無(wú)疑問(wèn)旨在強(qiáng)化對(duì)公民這一權(quán)利的保護(hù)。作為歐盟唯一的法令起草機(jī)構(gòu)，歐盟委員會(huì)發(fā)布的改革公告中也指出，有超過(guò)90%的歐洲公民渴望在整個(gè)歐盟范圍內(nèi)具有相同的數(shù)據(jù)保護(hù)權(quán)利。

但是，過(guò)于嚴(yán)苛的個(gè)人數(shù)據(jù)保護(hù)必然損害歐盟數(shù)字經(jīng)濟(jì)的發(fā)展，因而，歐盟立法者在進(jìn)行GDPR立法的時(shí)候，希望通過(guò)統(tǒng)一的立法來(lái)平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的關(guān)系，建立簡(jiǎn)明及現(xiàn)代化的法律規(guī)則，為歐盟企業(yè)創(chuàng)新發(fā)展和促進(jìn)歐盟“數(shù)字單一市場(chǎng)”創(chuàng)造良好的法律環(huán)境，促進(jìn)數(shù)據(jù)流通。

GDPR是一部個(gè)人（數(shù)據(jù)主體）友好型法律，但也并非完全對(duì)企業(yè)（數(shù)據(jù)控制者）不友好。從GDPR設(shè)計(jì)的初衷來(lái)看，GDPR建立單一法律規(guī)范，是為了使歐盟企業(yè)開展商務(wù)活動(dòng)變得更加簡(jiǎn)單和成本低廉；GDPR要求各國(guó)設(shè)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)，是為了使企業(yè)只和單一的監(jiān)管機(jī)構(gòu)對(duì)接，節(jié)省不必要的行政和企業(yè)開支；GDPR鼓勵(lì)企業(yè)在產(chǎn)品和服務(wù)開發(fā)較早階段嵌入保護(hù)機(jī)制（即privacy by design），除了保護(hù)個(gè)人數(shù)據(jù)，也是提高企業(yè)競(jìng)爭(zhēng)力的良好初衷。

因此，與其說(shuō)GDPR是“史上最嚴(yán)格大數(shù)據(jù)管理法規(guī)”，不如說(shuō)，GDPR是“史上最全面的大數(shù)據(jù)管理法規(guī)?！?/p>

二、GDPR的現(xiàn)實(shí)：并未充分考慮大數(shù)據(jù)時(shí)代需求

大數(shù)據(jù)時(shí)代，數(shù)據(jù)是人工智能（AI）、深度學(xué)習(xí)（deep learning）的基石，也是企業(yè)競(jìng)爭(zhēng)力的體現(xiàn)，因而數(shù)據(jù)被譽(yù)為“石油”。作為數(shù)據(jù)資源的一部分，個(gè)人數(shù)據(jù)應(yīng)當(dāng)有規(guī)則地流通利用。GDPR規(guī)定了嚴(yán)格的同意規(guī)則，但是，其強(qiáng)化個(gè)人權(quán)利的思路，又賦予個(gè)人對(duì)個(gè)人數(shù)據(jù)的后續(xù)使用具有強(qiáng)有力的控制，這必然對(duì)數(shù)據(jù)經(jīng)濟(jì)造成羈絆。

在大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)法律規(guī)則必須考慮個(gè)人數(shù)據(jù)流通的需要。每個(gè)人的數(shù)據(jù)都是有限的，數(shù)據(jù)只有結(jié)合起來(lái)作為整體才具有價(jià)值，才能更好地為現(xiàn)代化的生活服務(wù)。因此，合法的數(shù)據(jù)流通是大數(shù)據(jù)時(shí)代數(shù)據(jù)聚集、集合的必然渠道。數(shù)據(jù)流通包括一切向第三人提供數(shù)據(jù)供其使用的情形，既包括合法的數(shù)據(jù)共享，也包括合法的數(shù)據(jù)交易。但是，數(shù)據(jù)流通必須在流程可控和風(fēng)險(xiǎn)可控的前提下進(jìn)行。如何在不侵犯隱私權(quán)或個(gè)人數(shù)據(jù)保護(hù)權(quán)的前提下，實(shí)現(xiàn)數(shù)據(jù)的合法流通，是這個(gè)時(shí)代需要解決的問(wèn)題。只有平衡好個(gè)人利益和和經(jīng)營(yíng)者的利益，個(gè)人數(shù)據(jù)法律才能回應(yīng)社會(huì)的需求，規(guī)則也才能得到有效的遵守。

GDPR規(guī)定了嚴(yán)格的同意規(guī)則，但是，并沒有清晰規(guī)定在何種情形下，需要取得數(shù)據(jù)主體的同意。尤其是，沒有規(guī)定從數(shù)據(jù)控制者處間接獲取不能直接識(shí)別個(gè)人的個(gè)人數(shù)據(jù)時(shí)要不要同意，如何實(shí)現(xiàn)同意。

大數(shù)據(jù)的優(yōu)勢(shì)在于可以即時(shí)處理大規(guī)模多樣化的行為數(shù)據(jù)，這些行為數(shù)據(jù)的收集規(guī)則如果不清晰，那么大數(shù)據(jù)應(yīng)用就會(huì)受限。按照GDPR并不清晰的規(guī)則，假如在數(shù)據(jù)初次收集目的完成后，數(shù)據(jù)主體可以請(qǐng)求刪除數(shù)據(jù)，要求被遺忘的話（數(shù)據(jù)清除權(quán)），這可能影響數(shù)據(jù)的連續(xù)性或完整性，影響數(shù)據(jù)的再利用。假如數(shù)據(jù)主體可以向數(shù)據(jù)控制者取回加工處理后的個(gè)人數(shù)據(jù)文檔，并提供給其他人（數(shù)據(jù)可攜權(quán)）的話，這會(huì)不會(huì)導(dǎo)致?lián)p害前一數(shù)據(jù)控制人，而讓其他數(shù)據(jù)控制人搭便車，導(dǎo)致不公平競(jìng)爭(zhēng)？

因此，筆者對(duì)GDPR的前景并不看好，它設(shè)置的規(guī)則并未比20世紀(jì)80年代經(jīng)濟(jì)合作與發(fā)展組織（OECD）指南中的數(shù)據(jù)處理規(guī)則走的更遠(yuǎn)。筆者對(duì)它能否給歐盟經(jīng)濟(jì)帶來(lái)繁榮，實(shí)現(xiàn)與美國(guó)數(shù)據(jù)經(jīng)濟(jì)抗衡，能否真正實(shí)現(xiàn)歐盟數(shù)字單一市場(chǎng)的目標(biāo)持懷疑態(tài)度。

三、GDPR的未來(lái)：歐盟的規(guī)則并非世界的規(guī)則

個(gè)人信息保護(hù)是為保護(hù)個(gè)人尊嚴(yán)和自由及促進(jìn)數(shù)據(jù)流通、服務(wù)數(shù)字經(jīng)濟(jì)而建立的一套個(gè)人信息收集、使用和流通規(guī)則，并不存在統(tǒng)一的模式或方法。

歐洲的個(gè)人數(shù)據(jù)保護(hù)模式和美國(guó)的信息隱私保護(hù)模式，均源自于歐美特有的社會(huì)政治、文化背景及其司法體制。GDPR反映的是歐洲解決方案，與歐洲對(duì)人的基本權(quán)利的尊重是分不開的，其中也隱藏著歐盟統(tǒng)一市場(chǎng)的政治目的。我國(guó)如果照搬歐盟模式，必然落入歐洲國(guó)家制定的“人權(quán)標(biāo)準(zhǔn)”，受制于人。

因此，中國(guó)亦應(yīng)當(dāng)立足于國(guó)情，探索我國(guó)特有的個(gè)人信息保護(hù)模式和方法。

我國(guó)自2012年確立個(gè)人信息保護(hù)的基本原則以來(lái)，已經(jīng)通過(guò)《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《民法總則》等法律，形成了我國(guó)個(gè)人數(shù)據(jù)（個(gè)人信息）保護(hù)的基本規(guī)則。依據(jù)上述法律，收集和使用個(gè)人信息，必須經(jīng)個(gè)人同意，非經(jīng)同意使用個(gè)人信息構(gòu)成違法使用，輕者承擔(dān)行政責(zé)任，重者承擔(dān)刑事責(zé)任。

但是個(gè)人信息不完全屬于個(gè)人，個(gè)人信息的使用是社會(huì)運(yùn)行和社會(huì)活動(dòng)開展的必要因素。顯然，非經(jīng)同意使用個(gè)人信息規(guī)則，不僅不符合個(gè)人信息的本身屬性，也與大數(shù)據(jù)時(shí)代數(shù)據(jù)的社會(huì)化利用相矛盾，不是一個(gè)面向未來(lái)的規(guī)則。在國(guó)家布局大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)字經(jīng)濟(jì)的形勢(shì)下，我們應(yīng)當(dāng)重新審視個(gè)人信息在社會(huì)經(jīng)濟(jì)發(fā)展當(dāng)中的作用，創(chuàng)新既有效保護(hù)個(gè)人尊嚴(yán)和自由，又能促進(jìn)個(gè)人信息流通利用的法律制度和規(guī)則，而不是一味效仿歐美個(gè)人信息保護(hù)模式。

在筆者看來(lái)，歐美個(gè)人信息保護(hù)理念和規(guī)則形成于前網(wǎng)絡(luò)時(shí)代，彼時(shí)的個(gè)人信息來(lái)源和使用方式與今天我們所處的網(wǎng)絡(luò)化、數(shù)據(jù)化、智能化時(shí)代有著巨大的差異。而歐美受制于傳統(tǒng)，很難在大數(shù)據(jù)時(shí)代走出一條適應(yīng)當(dāng)今社會(huì)發(fā)展的個(gè)人信息保護(hù)之路。在筆者看來(lái)，我國(guó)有條件也有能力創(chuàng)制引領(lǐng)數(shù)字經(jīng)濟(jì)發(fā)展的法律規(guī)則。也只有這樣，中國(guó)才能夠在數(shù)字驅(qū)動(dòng)的創(chuàng)新經(jīng)濟(jì)時(shí)代彎道超車，引領(lǐng)全球數(shù)字經(jīng)濟(jì)的發(fā)展。

個(gè)人信息是社會(huì)運(yùn)行的普遍要素，其收集、使用和流通具有隱蔽性強(qiáng)、可控制性弱的特點(diǎn)，個(gè)人信息保護(hù)需要巨大的法律執(zhí)行成本。因此，培養(yǎng)和塑造尊重個(gè)人隱私的文化和守法意識(shí)，推進(jìn)行業(yè)自律自治，是個(gè)人信息保護(hù)制度建設(shè)的重要內(nèi)容。

在此，我們呼吁中國(guó)企業(yè)將個(gè)人信息保護(hù)貫穿到企業(yè)產(chǎn)品設(shè)計(jì)、業(yè)務(wù)流程管理的每個(gè)環(huán)節(jié)，建立尊重和保護(hù)個(gè)人信息的數(shù)據(jù)治理和合規(guī)體系，將企業(yè)的數(shù)據(jù)治理和合規(guī)能力作為核心競(jìng)爭(zhēng)力加以建設(shè)，同時(shí)鼓勵(lì)行業(yè)自治，發(fā)展具有行業(yè)特點(diǎn)的個(gè)人信息保護(hù)規(guī)則和標(biāo)準(zhǔn)。