欧盟数据保护的理想、现实和未来

2016年4月，欧盟议会通过《通用数据保护条例》（General Data Protection Regulation，GDPR）。至2018年5月25日，两年过渡期已过，GDPR正式生效，真的来了。一部欧盟的法律，缘何引发世界各国的热议，纷纷感慨其为“史上最严格大数据管理法规”？

在 GDPR正式生效之际，以下笔者与大家一起漫谈GDPR，扫除若干对GDPR的误解。

一、GDPR的理想：保护个人数据权利与促进数据流通并重

从法条本身出发，GDPR的立法目的并不单一，除了保护欧洲公民的基本权利，还要促进个人数据在欧盟境内的自由流通。

在欧洲，个人数据保护权是一项公民的基本权利，GDPR毫无疑问旨在强化对公民这一权利的保护。作为欧盟唯一的法令起草机构，欧盟委员会发布的改革公告中也指出，有超过90%的欧洲公民渴望在整个欧盟范围内具有相同的数据保护权利。

但是，过于严苛的个人数据保护必然损害欧盟数字经济的发展，因而，欧盟立法者在进行GDPR立法的时候，希望通过统一的立法来平衡数据保护与数据流通之间的关系，建立简明及现代化的法律规则，为欧盟企业创新发展和促进欧盟“数字单一市场”创造良好的法律环境，促进数据流通。

GDPR是一部个人（数据主体）友好型法律，但也并非完全对企业（数据控制者）不友好。从GDPR设计的初衷来看，GDPR建立单一法律规范，是为了使欧盟企业开展商务活动变得更加简单和成本低廉；GDPR要求各国设立数据监管机构，是为了使企业只和单一的监管机构对接，节省不必要的行政和企业开支；GDPR鼓励企业在产品和服务开发较早阶段嵌入保护机制（即privacy by design），除了保护个人数据，也是提高企业竞争力的良好初衷。

因此，与其说GDPR是“史上最严格大数据管理法规”，不如说，GDPR是“史上最全面的大数据管理法规。”

二、GDPR的现实：并未充分考虑大数据时代需求

大数据时代，数据是人工智能（AI）、深度学习（deep learning）的基石，也是企业竞争力的体现，因而数据被誉为“石油”。作为数据资源的一部分，个人数据应当有规则地流通利用。GDPR规定了严格的同意规则，但是，其强化个人权利的思路，又赋予个人对个人数据的后续使用具有强有力的控制，这必然对数据经济造成羁绊。

在大数据时代，个人数据法律规则必须考虑个人数据流通的需要。每个人的数据都是有限的，数据只有结合起来作为整体才具有价值，才能更好地为现代化的生活服务。因此，合法的数据流通是大数据时代数据聚集、集合的必然渠道。数据流通包括一切向第三人提供数据供其使用的情形，既包括合法的数据共享，也包括合法的数据交易。但是，数据流通必须在流程可控和风险可控的前提下进行。如何在不侵犯隐私权或个人数据保护权的前提下，实现数据的合法流通，是这个时代需要解决的问题。只有平衡好个人利益和和经营者的利益，个人数据法律才能回应社会的需求，规则也才能得到有效的遵守。

GDPR规定了严格的同意规则，但是，并没有清晰规定在何种情形下，需要取得数据主体的同意。尤其是，没有规定从数据控制者处间接获取不能直接识别个人的个人数据时要不要同意，如何实现同意。

大数据的优势在于可以即时处理大规模多样化的行为数据，这些行为数据的收集规则如果不清晰，那么大数据应用就会受限。按照GDPR并不清晰的规则，假如在数据初次收集目的完成后，数据主体可以请求删除数据，要求被遗忘的话（数据清除权），这可能影响数据的连续性或完整性，影响数据的再利用。假如数据主体可以向数据控制者取回加工处理后的个人数据文档，并提供给其他人（数据可携权）的话，这会不会导致损害前一数据控制人，而让其他数据控制人搭便车，导致不公平竞争？

因此，笔者对GDPR的前景并不看好，它设置的规则并未比20世纪80年代经济合作与发展组织（OECD）指南中的数据处理规则走的更远。笔者对它能否给欧盟经济带来繁荣，实现与美国数据经济抗衡，能否真正实现欧盟数字单一市场的目标持怀疑态度。

三、GDPR的未来：欧盟的规则并非世界的规则

个人信息保护是为保护个人尊严和自由及促进数据流通、服务数字经济而建立的一套个人信息收集、使用和流通规则，并不存在统一的模式或方法。

欧洲的个人数据保护模式和美国的信息隐私保护模式，均源自于欧美特有的社会政治、文化背景及其司法体制。GDPR反映的是欧洲解决方案，与欧洲对人的基本权利的尊重是分不开的，其中也隐藏着欧盟统一市场的政治目的。我国如果照搬欧盟模式，必然落入欧洲国家制定的“人权标准”，受制于人。

因此，中国亦应当立足于国情，探索我国特有的个人信息保护模式和方法。

我国自2012年确立个人信息保护的基本原则以来，已经通过《消费者权益保护法》、《网络安全法》、《民法总则》等法律，形成了我国个人数据（个人信息）保护的基本规则。依据上述法律，收集和使用个人信息，必须经个人同意，非经同意使用个人信息构成违法使用，轻者承担行政责任，重者承担刑事责任。

但是个人信息不完全属于个人，个人信息的使用是社会运行和社会活动开展的必要因素。显然，非经同意使用个人信息规则，不仅不符合个人信息的本身属性，也与大数据时代数据的社会化利用相矛盾，不是一个面向未来的规则。在国家布局大数据战略，推进数字经济的形势下，我们应当重新审视个人信息在社会经济发展当中的作用，创新既有效保护个人尊严和自由，又能促进个人信息流通利用的法律制度和规则，而不是一味效仿欧美个人信息保护模式。

在笔者看来，欧美个人信息保护理念和规则形成于前网络时代，彼时的个人信息来源和使用方式与今天我们所处的网络化、数据化、智能化时代有着巨大的差异。而欧美受制于传统，很难在大数据时代走出一条适应当今社会发展的个人信息保护之路。在笔者看来，我国有条件也有能力创制引领数字经济发展的法律规则。也只有这样，中国才能够在数字驱动的创新经济时代弯道超车，引领全球数字经济的发展。

个人信息是社会运行的普遍要素，其收集、使用和流通具有隐蔽性强、可控制性弱的特点，个人信息保护需要巨大的法律执行成本。因此，培养和塑造尊重个人隐私的文化和守法意识，推进行业自律自治，是个人信息保护制度建设的重要内容。

在此，我们呼吁中国企业将个人信息保护贯穿到企业产品设计、业务流程管理的每个环节，建立尊重和保护个人信息的数据治理和合规体系，将企业的数据治理和合规能力作为核心竞争力加以建设，同时鼓励行业自治，发展具有行业特点的个人信息保护规则和标准。