GDPR前言强调个人信息保护与自由流动的平衡

2018年5月25日，欧盟《通用数据保护条例》(GDPR)正式生效。GDPR称得上是个人信息保护立法的标志性法规。数据的收集和使用已经成为数字经济时代的常态性活动，个人信息保护的价值取向成为了权利保护和经济发展相互影响的重点领域。GDPR的监管体系同时能覆盖到欧盟境外的个人数据处理活动。因此，其涉及面广、影响深远，引发了各方的深入研究和激烈讨论。政府、企业、专家以及用户立足于不同的认识角度、知识背景和本位诉求，提出了GDPR的各种看法，其中有些观点甚至相左。不过值得注意的是，国内很多GDPR的中文翻译稿中，都没有GDPR前言部分的翻译。那么GDPR的前言，到底说了什么呢？

GDPR的前言一共有173段文字，篇幅上占到GDPR文本的三分之一多。大致内容包括三个部分，一是说明了GDPR的起草过程，对整个立法过程作了程序性介绍；二是阐明了立法思路，表达了《条例》制定的深刻法旨；三是解释了《条例》适用的有关理念，对《条例》正文中的有关概念、规则作出了适用说明。

程序性介绍是法规经过欧盟委员会审议通过的必要内容。《条例》中概念和规则的适用，对于《条例》生效后的企业合规和监管执法具有指导意义。值得关注的是立法思路部分，这部分内容决定了该部法规的价值取向，或者说是此法之品格。仔细研读这一部分，能够找到立法者起草时平衡与博弈的蛛丝马迹。

GDPR在前言中首先肯定了个人信息保护是一项基本权利(fundamental right)，意味着欧盟将个人信息保护与基本权利保护放在同等层面，“史上最严的个人信息保护规定”的说法想必也以此为前提。不过如果认真读一读GDPR的前言，特别是有关立法思路的部分，就会发现有一个关键词出现了很多次——自由流动(free flow)。

那么不妨来看看欧盟和美国在个人信息保护问题上的纠结。1995年欧盟实施了95指令，这部指令同样是一部较为严格的个人信息保护法规。2000年，美欧之间达成“安全港协议”，为美国企业开展95指令框架下的活动提供了一个“安全港”(safe harbor)。2016年5月，欧盟公布GDPR，并于2018年实施。2016年7月，美欧之间达成“隐私盾协议”，又为美国企业开展GDPR框架下的活动提供了一个“盾牌”(shield)。在个人信息保护立法的价值取向上，有个比较流行的观点是，美国信息通信业发达，因而更为主张数据自由跨境流动。欧盟注重权利保护，因而倾向于对个人信息从严监管。表面上水火不容的两个经济主体何以能够连续达成协议？实际上是美欧双方在经济利益上取得了共识。有数据显示，美欧之间的跨境数据交易规模达到2600亿美元。这个数字是美国和亚洲之间的1.5倍，美国和拉美之间的两倍。

相信欧盟必为巨大规模的数字经济贸易规模所触动，虽然注重公民权利保护，但也不会一味追求个人权利保护，将之凌驾于经济发展之上。从欧盟95指令的名称上(《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》)就可以看出，促进数据自由流动和保护个人权利是并列的关系。GDPR前言中的有关内容，也反映了这一思路。它具体指出，个人信息保护是一项基本权利，但是并非绝对权利，需要结合个人信息本身在社会活动中的作用来实施对其保护。欧盟始终在致力于建设内部单一市场(internal market)。95指令的出台，就是旨在协调个人信息保护与欧盟成员国之间个人信息自由流动之间的关系。科技的发展改变了经济生活和社会生活，因此GDPR有必要在打造高水平个人信息保护环境的同时，进一步促进个人信息跨境自由流动。GDPR之所以在95指令的基础上进一步构建强壮、持续的个人信息保护体系，就是要明确构建信任基础的重要性，以促进欧盟内部市场的数字经济发展。(责任编辑：方向)