欧盟数据宪章——《一般数据保护条例》（GDPR)评述及实务指引

　　在大数据和人工智能时代，数据关系到个人的生活、企业的命运甚至是国家的未来。如何平衡数据收集、存储、传输和处理过程中的个人信息保护和数据商业利用之间的关系，是全球数据治理面临的共同课题。数据保护规则正在全球加速形成，*法律研究院对《欧盟一般数据保护条例》进行了编译、评述及实务指引，主要从立法背景、适用范围、原则条款、主体权利、控制者处理者义务、跨境流动规则等方面进行深入评述，在对相关国家进行立法比较后，进而提出对我国企业数据保护的实务指引建议。

　　法律研究院是集团设立的法律和公共政策研究机构，依托在无界零售、智慧物流、科技创新等方面积累的丰富业务场景和案例，立足中国鲜活实践，放眼全球科技产业，聚焦前沿法律政策问题，以产业共赢为目标，为产业生态的健康、正向发展输出前瞻性研究成果。

章全球数据保护面临的突出问题
一、突出问题
（一）私营主体
（二）公共部门
（三）前沿技术
二、原因分析
（一）全球数据保护问题是一种必然现象
（二）数据资产化刺激了数据的商业化利用
（三）数据权益复杂化
（四）数据治理的全球共识仍然缺失，难以协调
三、治理探索
第二章欧盟GDPR立法背景
一、从公约到指令
二、从指令到条例
三、电子通信领域个人信息保护的立法实践
四、刑事犯罪领域个人信息保护的立法实践
五、跨境数据流动的立法实践
六、执法机构域外调取数据权限增加趋势
七、结语
第三章欧盟GDPR内容概述
一、适用范围大幅扩展
二、扩充原则性规定
三、增加数据主体的权利
（一）增设“删除权（被遗忘权）”
（二）增设“数据可携带权”
（三）在“免受自动化决策权”基础上提出“数据画像”
（四）延展“知情权”及“访问权”
四、加重数据控制者和处理者的责任义务
（一）数据处理活动记录义务
（二）数据保护影响评估
（三）事先协商
（四）数据泄露报告及通知
（五）安全保障措施
（六）针对数据处理者责任的特别规定
五、完善跨境数据传输机制
（一）在充分性决定的基础上的传输
（二）受到适当保障的传输
（三）以国际条约为基础的法院判决或行政机构决定
（四）特殊例外情况下的传输
六、设立数据保护官
七、欧盟监管机构一致性机制
八、欧洲数据保护委员会
九、巨额行政罚款
第四章欧盟GDPR适用范围述评
一、管辖范围
（一）“属地”：欧盟境内的数据处理行为
（二）“属人”：欧盟境内的数据控制者和处理者
（三）“保护”：保护欧盟数据主体的合法权益
（四）国际公法
二、数据类型
（一）一般类型的个人数据
（二）特殊类型的个人数据
三、数据处理行为
（一）处理
（二）数据画像
四、例外和保留
（一）管辖范围的例外
（二）数据类型的例外
（三）数据主体和数据控制者或处理者的例外
（四）数据处理行为的例外
五、结语
第五章GDPR的原则条款及其评析
一、GDPR原则条款的功能与角色
二、原则条款的结构与内容
（一）原则：第5条
（二）合法性基础：第6条
（三）同意的条件：第7条
（四）处理儿童信息中的同意：第8条
（五）敏感信息与刑事定罪相关个人信息的处理：第9条与第1条
（六）无须识别数据主体的处理行为：第11条
三、同意原则的边界及对中国的启示
第六章GDPR数据主体权利评论
一、数据主体权利保护的关键问题
（一）数据主体权利保护的理论基础
（二）数据主体权利保护的主要模式
（三）数据主体权利保护中的利益平衡
二、GDPR数据主体权利保护体系评述
（一）欧盟数据主体权利保护立法发展
（二）获取信息的权利
（三）修改、删除与限制处理的权利
（四）拒绝权与免受自动化决策限制权
（五）可携带权
（六）被遗忘权
（七）权利的限制
（八）权利的救济
三、GDPR主体权利的规定对我国的启示
（一）我国个人信息保护的立法情况
（二）欧盟主体权利保护模式移植的困境
（三）我国数据主体权利保护模式的选择与借鉴
第七章GDPR数据控制者和处理者义务评述
一、GDPR数据控制者和处理者义务介评
（一）GDPR基本原则中数据运营者的实质性义务
（二）与数据主体权利对应的运营者义务
（三）数据运营者义务的直接规定
（四）结语
二、数据控制者的义务和责任：一个比较的视角
（一）何为“数据控制者”
（二）数据控制者的义务体系
（三）数据控制者的具体义务：基于风险的进路
第八章GDPR数据跨境流动规则研究
一、GDPR数据跨境传输规则
（一）数据接收方所在国家或地区获得欧盟“充分决定”
（二）提供适当保护措施的数据跨境传输
（三）有约束力的公司规则
（四）特定情况下的例外规定
（五）小结
二、欧盟与美国之间数据跨境传输问题
（一）《安全港框架协议》
（二）《安全港框架协议》失效
（三）隐私盾框架协议
三、我国的因应
（一）中国数据跨境监管规则因应
（二）中国企业的因应
第九章GDPR与各国相关立法比较
一、GDPR的全球性影响
二、GDPR or美国模式
三、安全需求驱动下的全球趋势
（一）“影响”原则的“长臂管辖”被广泛适用
（二）个人信息的内涵不断扩大
（三）对个人敏感信息进行特殊保护
（四）个人信息保护原则趋向统一
（五）强化个人信息自决权趋势
（六）对未成年人的个人信息保护的普遍共识
（七）成立独立的监管主体成主流
（八）加强企业安全责任
（九）数据跨境限制的数据本地化趋势
四、发展需求驱动下的GDPR个人信息自决权保留
（一）对用户同意的适用要求不同
（二）删除权比被遗忘权更有市场
（三）“可携带权”遇冷
第十章GDPR对跨国企业的影响
一、GDPR对跨国企业的积极影响
二、GDPR对跨国企业的业务挑战
（一）强大的数据主体自决权
（二）严格的问责制
（三）严格受限的数据出境规则
三、GDPR对跨国企业的人事管理影响
四、GDPR对跨国企业的伦理考验
五、对企业的建议
（一）主动迎接GDPR的合规挑战
（二）考虑欧盟战略本土化
第十一章中国的应对建议
一、中国公共部门数据保护管理建议
（一）树立风险管理和激励驱动的数据保护理念
（二）建立以数据安全管理为核心的统一的数据保护管理体制
（三）制定专门的个人信息保护法
（四）健全数据保护的技术标准和认证机制
二、中国企业数据保护的应对建议
（一）充分的准备
（二）调整隐私政策
（三）通过技术设计保护隐私功能
（四）企业数据安全管理升级
（五）企业外部合作数据安全机制的完善
附 件
《一般数据保护条例》GDPR
鉴于条款
正文
致谢代后记

数字经济时代，数据的应用和保护是建设“网络强国”和“世界优企”的基本需求和内生动力。国家如何建设个人信息保护制度、企业如何符合个人信息保护规定、个人如何实现个人信息保护权益是全球数据治理面临的共同挑战。《欧盟数据宪章——〈一般数据保护条例〉GDPR评述及实务指引》一书全面梳理了GDPR规则，结合世界其他国家立法例和中国实践，提出了自己的思考和见解，对国家和企业建立规范、科学的个人信息保护制度皆有裨益。
张平教授（北京大学法学院）

放眼全球，数据量迅速增长，在大数据彻底改变人类工作和生活方式的同时，也带来潜在的隐私和安全风险，各国试图通过法律解决个人数据的合理使用问题，欧盟走在了世界前列，GDPR的颁行给全球个人数据保护提供了法律示范和借鉴，《欧盟数据宪章——〈一般数据保护条例〉GDPR评述及实务指引》一书评介了目前*引人关注的问题，对商业管理和消费者具有很强吸引力。
申卫星教授（清华大学法学院院长）

《欧盟数据宪章——〈一般数据保护条例〉GDPR评述及实务指引》一书充分发掘了欧洲数据保护经验，同时也探索了中国数据保护之路。本书是国内这一研究领域的精品，务求精准，观点权威，体系完整，重点清晰，材料翔实，理论联系实际。本书对于关注数据保护问题的互联网企业、相关管理者、理论研究者以及司法实务人员等都具有指引作用。
龙卫球教授（北京航空航天大学法学院院长）

　　序 一

　　在阅读本书之前，很多人或许都有这样的疑问：GDPR不是欧盟的《一般数据保护条例》吗，除非打算进军欧盟市场的企业，这和中国有什么关系？听说GDPR是严格的个人信息保护规范，而欧洲几乎没有大型互联网企业，那么，GDPR是否限制了欧盟境外的企业在欧盟的发展呢？

　　一、数据资产时代面临”数据污染”隐患

　　互联网、云计算、区块链、物联网、人工智能已渗透到社会生活和经济生活的方方面面，世界已进入”数字经济时代”。联合国贸易与发展组织《2017全球投资报告：投资和数字经济》指出，数字经济是全球投资增长和发展的主要动力，它可以提升所有行业的竞争力，为商业和创业活动提供新机会，帮助企业进入海外市场和参与全球电子价值链，也为解决可持续发展问题提供了新工具。

　　数据具有数量庞大、时效性强、价值密度低的特点，单个数据或者数据孤岛并不能实现社会应用，数据的价值必须通过流动、共享形成数据链条，再通过现代科技加工、利用才能限度地发挥出来。正如”大数据时代的预言家”维克托·迈尔舍恩伯（Viktor Mayer-schōnberger)所言，数据就像一个神奇的钻石矿，它的真实价值就像漂浮在海洋中的冰山，眼只能看到冰山的一角，而绝大部分都隐藏在表面之下。

　　全球进入”数据驱动”的时代，数据流动创造价值。但是，在数据流动创造价值的同时也带来更多的风险，个人信息的过度收集和滥用给数据主体的隐私、企业的信息安全和社会乃至国家的安定带来巨大的挑战。近年来，日趋严重的”数据污染”现象，严重扰乱社会秩序，破坏产业经济的可持续发展，诸如斯诺登事件的爆发和Facebook事件的发酵，引发了世界各国对人信息保护问题的广泛关注，如何平衡数据收集、保存、传输过程中的个人信息保护以及数据商业利用之间的关系，是全球数据治理的重要课题。

　　二、欧盟探索引领全球数据治理新规则

　　个人信息保护已成为世界性话题，个人信息保护立法正在全球兴起，据不完全统计，截至2017年，世界上已有120个国家施行了个人信息保护法律，且这一数字仍在增长中。一国如何制定符合本国国情的个人信息保护规范、企业如何应对不同法律规范体系下的合规要求、个人如何在保障自身数据安全的同时享受数字经济带来的福祉，是大数据发展和应用带给各个国家甚至是每个人的挑战。

　　欧盟具有尊重个人隐私权利的传统，长期致力于个人隐私保护，欧盟立法者基于对新技术发展的前瞻性思考，尽量平衡个人信息的各种数据应用场景和各方利益需求，为全球提供了一套综合严谨的个人信息保护框架。GDPR不仅可以为欧盟公民个人权利免受侵害提供保障，更是欧盟全球战略关键的一步。在数字经济时代，谁首先实现了数据的有效治理，谁就掌握了信息全球化的主动权和话语权。GDPR实施具有宣誓意义，有利于建立以欧盟规则为蓝本的全球数据治理规则体系，使欧盟成为全球数字经济秩序的引领者。

　　GDPR以”知情同意”为基础，建构了用户的访问、查询、更正、删除、撤回、限制、拒绝等个人信息自决权体系，同时，还引入了全新的被遗忘权和数据可携带权概念，从制度上保证了个人信息处理的小化、目的限定和透明度原则，但”同意”不是数据处理的合法途径，个人信息的自决权须让位于基于合同履行之必要、出于高于个人信息主体的合法利益和社会公共利益的个人信息处理；GDPR虽给予用户宽泛的被遗忘权，但也注意协调个人信息保护与言论和信息自由之间的平衡；GDPR虽规定了较为理想的数据携带权，但却将权利的适用限定在基于同意获取，且技术可行的框架内。GDPR还关注了对涉及个人隐私的敏感个人信息的限制处理和对未成年人的个人信息的特殊保护。

　　GDPR虽对企业规定了严格的问责制，但同时也考虑到企业的合规成本，根据企业的规模、数据处理的量级和频次，对业务设定了不同的数据安全要求。如GDPR给予用户信息访问权，但也规定了企业针对额外需求可根据管理成本收取合理的费用；当企业对数据主体定期进行大规模系统化监控时，或处理大量的涉及用户敏感信息的数据时，数据保护官的设置才是必要的；对于针对欧盟境内个人的偶然发生的数据处理，企业无须设代表一职，且这种情形下可基于合同履行之必要及用户同意进行数据跨境处理；GDPR对小于250人的企业还免除了一定的记录义务；对于企业须采取的技术措施，GDPR也在考虑现有的技术水平，以避免企业付出不成比例的工作量和成本；GDPR虽规定了天价的行政处罚金额，但却更关注处罚的有效、成比例及警示作用，其处罚将综合考虑违规的性质、严重程度和违规的持续时间、违规是故意的还是因疏忽而造成的、对个人信息保护的责任心和控制程度、违规是单个事件还是重复事件、受到影响的个人资料的种类、个人遭遇损害的程度、为了减轻损害而采取的行动、由违规产生的财务预期或收益等因素。因此，企业只要能够证明其在个人信息保护方面所做出的努力，则可减轻被处罚的风险。

　　同时，欧盟的”家长式”立法，并不意味着”家长式”的监管。GDPR更注重企业在个人信息保护方面的自主能动性。企业只有在遇到高风险的数据处理业务，且经影响评估后仍认为在可用的技术和合理的成本方面不能通过合理手段减轻风险时，方须咨询监管机构。

　　政府部门与产业的合作治理精神也在GDPR中得以体现，GDPR规定了”有约束力的企业规范””经批准的行为规范”具有证明跨境个人信息传输合法性的法律效力。

　　GDPR对基于大数据分析的自动化决策（包括数据画像）采取了谨慎的态度，这也是对”千人千面”的精准营销可能造成的数据过度收集和滥用及算法不透明可能造成的大数据歧视等前沿现实问题的立法回应。

　　三、坚持以用户为中心的个人信息保护理念是实现愿景的内在驱动

　　作为国家和社会的成员，企业对用户个人信息的保护不仅是自身生存和发展的需求，更是企业为保障国家安全应尽的社会责任。海量的用户信息不仅是企业的数据资产，更是国家战略资源。海量的用户信息一旦泄露，可能会给国家安全和社会公共利益造成严重的危害，因此，应从国家安全的战略高度理解个人信息保护的重要性。

　　有效保护用户个人信息，不仅是企业的合规需求，更是企业不断发展的内在自主需求和内驱力。2017年年底，我国网民规模已达7.72亿，仅用户也有近3亿；如此海量的用户群体，是企业赖以生存和发展的基础，也是中国互联网产业能够走在世界前列的核心竞争力。海量用户因信任选择了我们，我们也应当始终将用户体验放在首位。对个人信息的保护是用户起码的安全需求，是用户体验的基石，也是企业发展的生命线。

　　以用户为中心的个人信息保护理念是实现”成为全球值得信赖的企业”愿景的内在驱动力，我们将致力于向广大用户和消费者、向社会各界乃至向世界互联网同行，彰显我们不断提升个人信息保护、维护网络安全的决心、能力和水平。我们将全面落实国家法律规范要求，不断提高信息安全水平，切实提供更优质的用户体验，为我国网络经济的健康发展和国家安全的战略需求贡献力量。

　　全社会个人信息保护水平的提升绝非一部立法就能够实现，但当我们站在未来的视角下，来思考个人信息保护问题时，GDPR已为我们提供了一整套的个人信息保护框架。了解GDPR，了解其个人信息保护理念，有利于企业以全球的、发展的视角应对个人信息保护的合规需求，从而建立起具有前瞻性的企业数据安全框架。

　　本书是法律研究院的成果，从理论和实践两个层面，全面介绍和深入评析了全球数据保护面临的突出问题、GDPR立法背景、概述、适用、保护原则、数据主体权利、数据控制者和处理者义务、跨境数据流动规则，并通过与我国以及其他主要法域的数据保护规则相对比，提出了数字经济时代我国监管部门和企业的因应，希望能对我国监管部门以及企业有所裨益。

　　集团首席人力资源官兼总法律顾问 隆 雨

　　序 二

　　我们处在一个怎样的时代？信息时代，互联网时代，大数据时代，人工智能时代。

　　在这样的时代，信息技术飞速发展，数据传输、储存、计算成本快速下降，数据资源成为国家战略资源，个人数据获得空前价值，然而数据泄露事件频频发生，立法与监管面临巨大挑战。

　　在这样的时代，信息控制者对数据的利用激励与保护激励明显失衡，为防止数据使用的”丛林法则”，各国纷纷进行信息与数据立法，以防止数据滥用。然而，由于技术的快速发展与更新，数据立法面临着巨大的挑战。如何面对和规制日新月异的新技术、新业态，如何在进行个人数据保护的同时推动技术创新和社会发展，是各国立法面临的难题。

　　事实上，我在以往的文章中也提到，立法规制的速度永远不可能赶上技术进步的步伐，所以立法者真正的挑战在于如何通过科学的立法与制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要。这是数据立法的目标和终评价标准。基于此，各国均进行了积极的探索。

　　欧盟的《一般数据保护条例》即为极富代表意义和典型意义的尝试。国内解读欧盟的数据立法，往往认为欧盟坚持信息自决权理论，强调权利保护的一面，对数据控制者以严格要求，甚至质疑其可能影响产业发展。然而，认真解读则可以看到欧盟GDPR在立法观念上有着较之以往立法的明显进步，思路更清晰、规定更翔实，在整体结构、基本原则、具体规定上都体现了大数据时代保护个人信息权利和促进个人信息自由流动的双重价值，对数据控制者能够产生更有效的激励。比较法研究看似容易，其实有不少陷阱。研究者往往会带着自己熟悉法系的先见来解读异域的制度，而两个不同法系的制度往往是不能直接对比的。因此，学习国外立法，不能只看到表面的制度或者条文，更应该看到其背后的作用机理。立法成败的关键不在于法律规定的模式差别，而在于个人数据治理的制度设计是否科学，这才是我们研究欧盟《一般数据保护条例》的目的与立足点。

　　我个人从十多年前开始研究个人信息保护法律问题，实证研究表明，信息立法不管哪种模式，只有激励相容才会取得预期保护成效。个人数据泄露会对企业造成重大的影响，隐私保护已经成为市场主体的核心竞争力。我始终提倡，在政府进行科学监管的情况下，应该发挥市场的作用，推动行业自律，发挥市场主体的首创性，鼓励个别行业领先企业进行内部治理机制探索。

　　因此，听闻法律研究院组织撰写了本书，我是欣慰的。这也说明我国的一些市场主体已经意识到个人数据保护的重要性，并放眼全球进行研究和探索。通读之后，我看到本书作者们认真的态度与国际的视角，不仅评述了欧盟的立法，也与美国等其他国家制度进行了比较；不仅立足于GDPR本身的规定，而且分析了GDPR之前的立法发展以及未来的展望；不仅对跨境企业合规性制定了策略，而且以企业角度对我国的立法模式提出了建议，体现了一个技术与业务上走在前沿的互联网企业对数据、对行业、对世界、对时代的认知以及对法律、对科技的敬畏。数据共同治理，离不开企业的参与，我相信本书从企业的视角对立法的探索，会给所有数据法律研究者以新的启发，也期待更多的专业人士、市场主体参与到数据研究和治理中，共同创造一个美好的大数据时代。

　　是为序。

　　中国社科院法学研究所研究员 周汉华