在經(jīng)歐洲議會(huì)通過(guò)并給予企業(yè)兩年的適應(yīng)期后，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）于5月25日正式生效。由于其“管得寬，罰得狠，覆蓋廣”等特點(diǎn)，以及在個(gè)人信息定義、企業(yè)責(zé)任等方面的巨大創(chuàng)新，而早在數(shù)月前就受到國(guó)際社會(huì)及數(shù)字信息產(chǎn)業(yè)界的廣泛關(guān)注，并被稱為“自互聯(lián)網(wǎng)誕生以來(lái)最嚴(yán)格的”的數(shù)據(jù)監(jiān)管法案。GDPR的確立，也將開啟歐盟這一超國(guó)家共同體與跨國(guó)數(shù)字企業(yè)就數(shù)據(jù)領(lǐng)域權(quán)力博弈的新篇章，同時(shí)深刻影響包括中國(guó)企業(yè)在內(nèi)的各國(guó)企業(yè)的數(shù)據(jù)運(yùn)營(yíng)模式和經(jīng)營(yíng)策略。

數(shù)據(jù)保護(hù)，人心所向

隨著人類生活的信息化、網(wǎng)絡(luò)化、移動(dòng)化程度的不斷提升，全球的政府和民眾在享受數(shù)字經(jīng)濟(jì)帶來(lái)的便利與經(jīng)濟(jì)利益的同時(shí)，對(duì)于個(gè)人數(shù)據(jù)是否被企業(yè)或其他非國(guó)家行為體濫用深切擔(dān)憂。從通過(guò)分析用戶瀏覽記錄以針對(duì)性地推送商業(yè)內(nèi)容，甚至如“劍橋分析”那樣為政治活動(dòng)打廣告，個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域缺乏行為體的約束使得隨意收集和使用個(gè)人數(shù)據(jù)的造成的問(wèn)題愈發(fā)嚴(yán)重。

實(shí)際上，歐盟近年來(lái)在民意壓力及應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)等因素的刺激下，逐步加強(qiáng)數(shù)據(jù)保護(hù)。2013年，奧地利隱私權(quán)益保護(hù)人士施雷姆斯在愛(ài)爾蘭法院控訴臉書公司的愛(ài)爾蘭分公司，認(rèn)為其不分監(jiān)管地在歐美間傳輸用戶個(gè)人數(shù)據(jù)侵害用戶權(quán)益。2015年，歐洲法院認(rèn)定歐盟與美國(guó)2000年簽署的數(shù)據(jù)傳輸“安全港協(xié)議”無(wú)效。2016年，歐盟與美國(guó)簽署了新的數(shù)據(jù)傳輸監(jiān)管協(xié)議“隱私盾協(xié)議”，歐盟監(jiān)管機(jī)構(gòu)對(duì)企業(yè)的約束權(quán)力大大增強(qiáng)。

而在GDPR生效前夕，臉書的CEO扎克伯格前往歐洲議會(huì)接受質(zhì)詢，既是歐盟欲就“劍橋分析”事件與扎克伯格當(dāng)庭對(duì)質(zhì)，以緩解民眾對(duì)于“技術(shù)操控政治生活”的擔(dān)憂，同時(shí)也在GDPR正式生效前顯示超國(guó)家行為體對(duì)企業(yè)的監(jiān)管能力，甚至有人將扎克伯格參加質(zhì)詢看作是GDPR的“路演”，而扎克伯格以積極態(tài)度面對(duì)和準(zhǔn)備質(zhì)詢，也意味著個(gè)人數(shù)據(jù)保護(hù)不僅是民眾的訴求，更是互聯(lián)網(wǎng)時(shí)代的道義高點(diǎn)，在這一點(diǎn)的失分極有可能導(dǎo)致用戶對(duì)企業(yè)失去信任最終流失的風(fēng)險(xiǎn)。因此，像臉書這樣的數(shù)據(jù)巨頭無(wú)論是否真心愿意，也必須打出嚴(yán)格保護(hù)個(gè)人數(shù)據(jù)的旗號(hào)。

管得寬，罰的狠，覆蓋廣

從內(nèi)容上看，GDPR更是以一種“全覆蓋”的方式囊括了傳統(tǒng)上難以界定的個(gè)人數(shù)據(jù)的保護(hù)范圍。

首先，“管得寬”體現(xiàn)在監(jiān)管范圍的擴(kuò)大。GDPR提出，任何向歐盟公民提供產(chǎn)品和服務(wù)的企業(yè)，均將受到該條例的監(jiān)管，無(wú)論該企業(yè)是否是歐盟企業(yè)或在歐盟境內(nèi)設(shè)有分支機(jī)構(gòu)。這將數(shù)據(jù)監(jiān)管對(duì)象以“屬地劃線”的規(guī)則變成了“屬人劃線”，也是為何GDPR受到全世界數(shù)字業(yè)界關(guān)注的原因。此外，管得寬還體現(xiàn)在“個(gè)人數(shù)據(jù)”的定義被大幅擴(kuò)展，在GDPR的定義下個(gè)人數(shù)據(jù)不僅包括姓名、住址、電話、銀行賬戶等公眾熟知的基本信息，更包括健康狀況、參加工會(huì)情況、基因信息、宗教信仰、種族甚至是性取向等方面，幾乎是一個(gè)自然人的各種社會(huì)屬性的全覆蓋。

在落實(shí)層面，GDPR以對(duì)企業(yè)全方面的要求來(lái)覆蓋公民權(quán)益的保護(hù)。企業(yè)不僅在獲取和搜集數(shù)據(jù)前要征得用戶同意，并且要以清晰通俗的語(yǔ)言告知用戶其搜集和使用數(shù)據(jù)的目的、種類、去向及處理數(shù)據(jù)者的身份等各方面信息，在用戶提出對(duì)其信息做出變動(dòng)或了解信息使用情況的要求后，必須回應(yīng)用戶需求。

在安全保障方面，企業(yè)不僅被要求要設(shè)立專門的數(shù)據(jù)管理官專職負(fù)責(zé)數(shù)據(jù)安全，且一旦出現(xiàn)“數(shù)據(jù)泄露”事件，必須在72小時(shí)內(nèi)將相關(guān)情況事無(wú)巨細(xì)地通知監(jiān)管部門，同時(shí)在合適的時(shí)間通知相關(guān)用戶。由此看，歐盟此條例以嚴(yán)格要求企業(yè)的方式來(lái)保障作為弱勢(shì)一方用戶的知情權(quán)、選擇權(quán)和隱私權(quán)?？陀^上講，是用戶權(quán)利的一大保證。

在處罰上，GDPR規(guī)定，企業(yè)違反相應(yīng)條例將被處以1000萬(wàn)歐元或全球年?duì)I收2%的罰款，取兩者間較高者征收，若出現(xiàn)“嚴(yán)重違規(guī)”的行為，標(biāo)準(zhǔn)則將分別提高到2000萬(wàn)歐元或4%，同樣取兩者高者。這就意味著，即使是初創(chuàng)企業(yè)，一旦出現(xiàn)了違規(guī)行為，就將至少付出1000萬(wàn)歐元的慘痛代價(jià)。有媒體曾經(jīng)測(cè)算出，GDPR實(shí)行的第一年就可能為歐盟實(shí)現(xiàn)60億歐元的“創(chuàng)收”。

既定規(guī)則又當(dāng)裁判引擔(dān)憂

由此看出，GDPR是歐盟在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的全方位探索，在個(gè)人數(shù)據(jù)的界定、企業(yè)的主體責(zé)任以及受監(jiān)管的范圍上在全球率先拋出了獨(dú)特的標(biāo)準(zhǔn)和規(guī)則。而鑒于歐盟約占全球34%的數(shù)字市場(chǎng)規(guī)模，使得任何希望進(jìn)入歐洲市場(chǎng)的企業(yè)受到這些方面的監(jiān)管約束，使得其將市場(chǎng)力量轉(zhuǎn)化為了規(guī)范性權(quán)力。

從GDPR生效至今的情況看，這項(xiàng)條例已經(jīng)達(dá)到了“一呼百應(yīng)”的效果：歐洲民眾的郵箱內(nèi)充斥著各種企業(yè)就使用個(gè)人數(shù)據(jù)的通知，微軟、谷歌等企業(yè)均發(fā)布遵守GDPR的聲明，并在數(shù)據(jù)存儲(chǔ)、產(chǎn)品設(shè)計(jì)等方面積極進(jìn)行調(diào)整，《洛杉磯時(shí)報(bào)》等美國(guó)媒體網(wǎng)站甚至一度暫停對(duì)歐洲用戶的服務(wù)，這些現(xiàn)象體現(xiàn)了個(gè)人數(shù)據(jù)保護(hù)的道義力量和GDPR高額罰金的雙重震懾。同時(shí)，GDPR作為國(guó)內(nèi)法，也將大幅增加歐盟數(shù)據(jù)監(jiān)管領(lǐng)域的國(guó)際權(quán)力。

作為歷時(shí)數(shù)年醞釀而來(lái)的數(shù)據(jù)監(jiān)管條例，GDPR全面反思了傳統(tǒng)行業(yè)數(shù)字化、移動(dòng)終端廣泛普及、社交網(wǎng)絡(luò)全方位擴(kuò)展影響力給個(gè)人數(shù)據(jù)保護(hù)到來(lái)的沖擊，而其對(duì)數(shù)據(jù)保護(hù)前沿問(wèn)題的探索，如對(duì)個(gè)人數(shù)據(jù)、責(zé)任主體的定義等，也將塑造各國(guó)監(jiān)管部門及數(shù)字企業(yè)的行為。如英國(guó)雖然正處于“脫歐”進(jìn)程，但卻同時(shí)在2018年適用了GDPR相關(guān)規(guī)則，同時(shí)將一般違規(guī)的罰金下限提升到1700萬(wàn)英鎊，顯示維護(hù)數(shù)據(jù)安全的決心。《華爾街日?qǐng)?bào)》引用美國(guó)部分企業(yè)的首席信息官的話表示，美國(guó)若效仿GDPR的部分措施將極大提升數(shù)據(jù)保護(hù)的水平。同時(shí)，跨國(guó)企業(yè)為了適應(yīng)GDPR而調(diào)整其產(chǎn)品、技術(shù)和用戶服務(wù)政策時(shí)，也會(huì)將相應(yīng)調(diào)整引入其在全球的運(yùn)營(yíng)之中，使得GDPR的間接影響力得以擴(kuò)大。

而GDPR的新政策對(duì)歐盟外企業(yè)的約束擴(kuò)大不可避免地提升了人們對(duì)歐盟未來(lái)是否濫用監(jiān)管的擔(dān)憂。由于GDPR的諸多重要方面仍然表述模糊，同時(shí)當(dāng)前并沒(méi)有對(duì)具體條款的補(bǔ)充說(shuō)明，如“向歐盟公民提供產(chǎn)品或服務(wù)”這一概念的范圍或定義，歐盟公民以虛假身份注冊(cè)使用他國(guó)企業(yè)提供的產(chǎn)品等情況該如何界定等，而歐盟自身既是規(guī)則制定者，又是裁判員的情況下，其執(zhí)行GDPR是否對(duì)他國(guó)企業(yè)待遇公正均存有疑問(wèn)。

因此，GDPR對(duì)中國(guó)企業(yè)拓展歐洲業(yè)務(wù)將面臨挑戰(zhàn)。有民調(diào)顯示亞太地區(qū)的數(shù)字企業(yè)對(duì)于GDPR的了解和準(zhǔn)備遠(yuǎn)不及歐洲和北美的同行，若企業(yè)在未知情況下接觸到GDPR的管轄范圍，很可能遭遇其重罰。同時(shí)，隨著近年來(lái)中國(guó)科技企業(yè)和中國(guó)對(duì)歐制造業(yè)及科技產(chǎn)業(yè)投資的大幅增加，歐盟從保護(hù)市場(chǎng)和技術(shù)競(jìng)爭(zhēng)力的角度考慮，對(duì)于中國(guó)在新型產(chǎn)業(yè)的發(fā)展逐漸轉(zhuǎn)向擔(dān)憂與防范，比如頻頻叫停中企投資項(xiàng)目、對(duì)于“中國(guó)制造2025”計(jì)劃消極評(píng)價(jià)等等。

相較于中國(guó)對(duì)于數(shù)字技術(shù)運(yùn)用十分友好的市場(chǎng)和信息監(jiān)管環(huán)境，后GDPR時(shí)代里在中國(guó)蓬勃發(fā)展的移動(dòng)支付、電商、網(wǎng)上銀行的數(shù)字業(yè)務(wù)將在歐洲面臨更多關(guān)注，甚至招致歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)有針對(duì)性的調(diào)查。而GDPR的運(yùn)用尺度和解釋權(quán)均在歐盟行政、立法機(jī)構(gòu)手中，中國(guó)互聯(lián)網(wǎng)企業(yè)若受到“特殊關(guān)注”將面臨及其不友好的市場(chǎng)環(huán)境甚至是無(wú)妄之災(zāi)。因此，未來(lái)中國(guó)在學(xué)習(xí)GDPR等國(guó)外先進(jìn)數(shù)據(jù)監(jiān)管經(jīng)驗(yàn)的同時(shí)，應(yīng)增強(qiáng)中國(guó)在全球數(shù)據(jù)保護(hù)等網(wǎng)絡(luò)空間治理規(guī)則上的制定權(quán)和話語(yǔ)權(quán)，切實(shí)推進(jìn)我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，推動(dòng)和塑造國(guó)際網(wǎng)絡(luò)空間治理環(huán)境向?qū)χ袊?guó)維護(hù)國(guó)內(nèi)利益與拓展海外利益有利的方向發(fā)展，警惕西方發(fā)達(dá)國(guó)家通過(guò)國(guó)內(nèi)法規(guī)規(guī)制和影響他國(guó)企業(yè)經(jīng)營(yíng)模式的做法。

（牛帥，中國(guó)現(xiàn)代國(guó)際關(guān)系研究院信息與社會(huì)研究所助理研究員；董一凡，中國(guó)現(xiàn)代國(guó)際關(guān)系研究院歐洲研究所助理研究員）