最严数据保护法GDPR的中国治理启示

2018年5月25日，全球第一部以正式法典形式出现的欧盟《一般数据保护条例》(简称GDPR)将正式生效。GDPR采取了“长臂”管辖原则，只要中国的企业为欧盟境内的数据主体提供了服务，即使其在欧盟境内没有设立任何分支机构，也依然受到GDPR的管辖。由此，GDPR与中国的关系不再是“事不关己”，而是息息相关。与欧盟业务相关的中国企业必须认真学习GDPR的基本精神与内核，尽快在企业内部完善相应的数据保护合规制度建设，以一种积极主动的态度迎接这部堪称世界史上最严格的数据保护法律。

GDPR之所以被称为“史上最严”，主要体现在两方面：一方面，GDPR赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由，同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务，以及履行对监管部门及数据保护认证组织的法定义务。另一方面，GDPR设定了天价的罚款，起步就是1000万欧元或企业上一财年全球营业总额2%，并以较高者为准。

无论是对数据违法行为及严重后果的认定，还是最终罚款额度的确定，欧盟成员国的监管机关都具有很大的自由裁量权。GDPR试图以这种近似严酷的监管手段来倒逼数据经济企业建立完善的数据合规制度，以实现对自然人数据权益的保护。

同时，GDPR在强化自然人基本数据权利的同时提供了统一的数据规则，在某种意义上也简化了跨国企业的合规程序，提升了跨国企业在数据经济中的创新能力和竞争力。欧盟的立法经验毫无疑问值得中国借鉴，其启示如下：

其一，单一的数据保护立法有利于统一市场的建设。差异化和不协调的数据保护方案和执法机制不仅影响到公民基本数据权利的保护效果，也会阻碍数据的自由流通和再利用。同时，还会让数据经济企业在开拓市场时面临着很大的法律不确定性，无形之中增加了企业的守法成本和合规风险。

其二，从保护基本权利的角度规范数据控制者的数据处理行为，这是各国普遍性接受的世界性规则。由于大数据的爆炸性增长和云计算能力的指数级进步，人人都变成了“透明人”，并深陷于一个巨大的“黑箱社会”之中。由此，旨在防范他人或公权力打扰生活安宁的“隐私”概念在人工智能时代面临着迭代更替，实现从个人隐私到个人数据的转变显得非常必要，强调数据主体有效控制权的“个人数据”概念应运而生。

其三，强调公法救济机制的重要性。GDPR强制性要求欧盟各成员国建立独立的数据监管机构以及数据主体向监管机构投诉、受理及处理的一整套完备的行政救济制度框架。对于人工智能时代的数据权利保护，GDPR并非通过私法权利体系及个人的司法救济来实现。

其四，“软法和硬法”的结合以及监管部门与平台企业的“合作治理”是欧盟的未来发展方向。从《数据保护指令》到《统一数据保护条例》，欧盟事实上一直致力于建立“行业行为准则+法律强制性规范”的双重规范体系和“数据控制者自律+政府数据监管机构的监督管理”的双重管理体系。

其五，GDPR注重“个人数据权利保护”与“个人数据自由流通”之间的平衡，特别强调个人数据的自由流通不得因为在个人数据处理过程中保护自然人权利而被限制或禁止。而根据最近公布的《欧盟企业间数据共享报告》显示，严格的数据权利保护制度并没有实质性影响欧盟境内的规模化和商业化数据共享，而欧盟精英阶层也并没有把“个人数据权利保护”定性为绝对的“政治正确”，而是采取柔性策略平衡数据共享中的价值冲突。

欧盟最新的一份人工智能报告将中国数据模式总结为：相比于欧盟和美国，在中国收集数据相对容易，其发展人工智能项目的成本较低而发展速度更快。该报告进一步认为，这种模式从长远看并不可行，因为成功的科技发展应该给予个人更大的权利和自由。在笔者看来，欧盟对中国数据模式的总结带有极大的偏见，当然也有失偏颇。中国数据模式与欧盟和美国并没有本质区别，而只是发展阶段和实现机制有所不同。

事实上，中国的相关数据立法也是建构在个人数据权利和自由的基础上，而突出数据公共利益也正是新时代社会主义立法的特色和优势之所在。

我国宪法本身特别重视对公民人格权的保护，而隐私主要是被放在民法总则中的名誉权范畴中加以保护，主要指的是个人的生活信息；全国人大早在2003年就提出了制定“个人数据保护法”，并一直在为此努力；2009年刑法修正案增设了“侵犯公民个人信息罪”，2013年的消费者权益保护法增加了对消费者个人信息保护的内容；2016年的网络安全法更是明确了数据控制者和处理者的法定义务，以保障网络安全及保护数据主体的合法权益；2016年的最高检和最高法联合出台的《关于侵犯公民个人信息刑事案件解释》也明确解释或细化规定了“个人信息”“违反国家有关规定”“提供公民个人信息”及“情节严重”等不确定概念；2017年的推荐性国家标准《个人信息安全规范》更是从信息权利保护的角度全面规定了个人信息的收集、保存、使用以及委托处理、共享、转让及公开披露等内容。

由此，与欧盟相比，中国数据治理模式同样注重个人数据权益的保护，也强调以大数据和算法为基础的人工智能是否能给全体人民带来福祉。

中国的理想图景如下：

未来的中国数据治理应当首倡试验主义治理模式，这是数据监管领域的“摸着石头过河”。由于人工智能时代的不确定性和变动性，我国应当构建一种试验主义的治理模式，建立的是临时性的数据保护框架，并且根据不同环境下执行效果的递归评估而不断对这些框架进行深化并修正，等到时机成熟和经验丰富，再最终上升为法律。事实上，这也是我国为何迟迟不出台强制性的硬法——个人信息保护法，而仅仅制定软法性质的指导性国家标准《个人信息安全规范》的主要原因之一。

未来的中国数据治理，强调数据权利等个人利益与数据流通、共享及利用等公共利益的平衡，是一个以多元、开放、分享为基本特征的整体性体系，市场、社会及国家这三种治理机制循环往复，同时还包括国家内部的立法与行政、中央与地方之间的双向自循环系统，共同形成一个整体的四重双向治理生态。

(作者系上海交通大学法学院副教授)

融合网|DWRH.net关于本文的声明：

文章来源及作者信息：本文作者为上海交通大学法学院副教授何渊，刊登在法制日报·法治周末报第419期。

自2017年4月1日开始，《法治周末》报社与融合网|DWRH.net正式签署相关合作协议，其中包括上述两大平台原创内容的互相转载、共同撰写等相关事宜。

在合作期间，融合网|DWRH.net已获得《法治周末》报社文章转载的合法权益，敬请周知。在贵机构尚未从相应版权方处获得正式授权前，请勿转载。

本文仅代表作者观点，不代表融合网立场。如对本文有异议，请及时与融合网值班编辑（具体联系方式请见融合网首页底部的“联系我们”）联系与沟通。