要点

随着互联网的普及，大数据、云计算、物联网等新一代信息技术的发展和应用，数据安全问题成为全球热点问题，而数据本地化和限制数据出境则成为一种新型贸易“壁垒”。尤其是欧盟于2016年4月出台《统一数据保护条例》（下称《条例》），又给包括我国在内的许多国家和地区的个人数据保护合规提出了挑战。该条例不仅具有域外效力，而且对数据跨境流通采保护主义策略，如果不被欧盟认可达到充分保护水平（进入“白名单”），将会妨碍中欧之间的经贸往来，削弱中国企业在欧盟范围内的竞争力。面对欧盟法律的压力，我国应当积极应对，通过谈判加入“白名单”或达成“个人数据流通协议”，扫清我国企业进入欧洲市场的法律障碍。为了实现这样的目的，我们迫切需要开展以下四个方面的工作：其一，起草和发布我国“个人信息保护白皮书”，向国际社会表明我国个人数据保护的现状。其二，充分研究欧盟《条例》的内容和制定目的，以争取中欧谈判机会和砝码。其三，深度研究大数据应用对个人数据保护的挑战，提出大数据应用背景下个人数据保护的新规则。其四，将隐私保护的国际合作和执法协作纳入重要国际谈判和外交事务，争取更多国际话语权。

正文

一、欧盟个人数据保护新规出台：我国面临的问题

随着互联网的普及，大数据、云计算、物联网等新一代信息技术的发展和应用，个人数据成为企业竞争的重要筹码。而个人数据上不仅存在个人利益、企业利益，也关系国家利益，网络安全和数据安全成为国家安全的重要组成部分。于是数据本地化和限制重要数据出境成为当今国际社会的主要问题。

网络安全威胁着数据安全，而数据安全又威胁国家安全。2013年斯诺登事件曝光后，对国外监控和国家安全的焦虑导致全球出现数据本地化趋势。20多个国家采取了数据本地化限制措施，主要包括阻止信息发送到国外，要求信息本地化存储。例如，2014年7月21日俄罗斯联邦通过了一部法律（No. 242-FZ，2015年11月1日生效），确立了个人数据处理的本地化要求，个人数据的处理者应于俄罗斯的数据库内处理和存储俄公民的个人数据。

在数据中，可识别个人的数据被称为个人数据（或个人信息），个人数据涉及个人利益，因此个人数据保护已成为国际社会普遍的作法。为强化对本国公民个人信息的保护，出现了限制本国公民个人信息流向国外的制度。这项制度首创于欧盟1995年《个人数据保护指令》（下称《指令》），强化于2016年4月出台的《条例》。而《条例》将取代《指令》成为在全欧盟范围内直接适用的法律。

尽管《条例》要到2018年5月才生效，但是《条例》已经给包括我国在内的整个国际社会带来了巨大压力，尤其是对个人数据的国际流通带来了挑战。这主要是因为《条例》有直接和间接的域外效力：其一，《条例》不仅适用于设立于欧盟境内的企业，还适用于向欧盟居民销售产品或跟踪欧盟居民行为（收集个人信息）的境外企业；如果这些企业违反《条例》的规定使用个人数据，则会被处以全球营业额2%-4%的行政罚款。其二，《条例》延续1995年《指令》的保护主义原则，“只有在充分的个人数据保护水平得到保证的情形下”才能向非成员国转移数据，而是否达到“充分保护水平”，则是由欧盟机构进行评判。目前，在全球范围内，欧盟仅认可了12个国家（即所谓“白名单”）达到“充分保护水平”。

由于美国特殊的法律体制，没有统一的个人数据保护立法，这导致欧盟很难判断美国企业是否满足“充分保护水平”要求。为解决该问题，2000年美国与欧盟达成“安全港协议”，欧盟认可美国商务部列出的企业名单达到“充分保护水平”，扫清了欧美之间的贸易障碍。2015年“安全港协议”被欧盟法院判定无效，这导致美国和欧盟之间再次启动双边谈判，并于《条例》通过前夕（2016年2月）达成了新的“隐私护盾协议”。可见，美国也非常重视欧盟《条例》的域外效力，正在努力防止个人数据保护成为新的国际贸易壁垒。

我国企业正在积极地走向世界，当然包括进军欧洲市场，但我国却并非“白名单”的成员国，这使得我国企业在与欧洲企业或公民进行业务往来时不断地面临个人数据保护的合规问题。甚至在2016年6月17日，有四位议员向欧盟委员会提出了许多质疑，如通过云端向中国传输的欧盟公民个人数据显然没有欧盟“充分性认定”（adequacy decision）的支持，那么欧盟委员会如何能够保证这些传输至中国境内的个人数据享受与欧盟相当的隐私和数据保护水平？在个人数据已然成为企业核心竞争力之一的背景下，中国企业想要打入国际市场就必须正视和积极应对《条例》所带来的合规挑战。

二、我国应对策略

面对欧盟法律的压力，我国应当积极应对，通过谈判加入“白名单”或达成“个人数据流通协议”，扫清我国企业进入欧洲市场的法律障碍。为了实现上述目的，笔者认为我国迫切需要开展以下四个方面的工作：

其一，起草和发布我国“个人信息保护白皮书”，向国际社会表明我国保护现状和成就。相对于欧美在上世纪80年代即开始着手个人数据保护立法事业，我国个人信息保护起步相对较晚，直到2009年《刑法修正案七》的出台才正式开始确立个人信息保护相关的立法规则和制度。为了向国际社会展示我国个人信息保护现状、问题和成就，尤其包括通过实践经验总结出的个人信息保护有效制度和措施，我们需要发出一个权威和一致的声音。因此，建议着手起草和发布“中国个人信息保护白皮书”，以应对来自欧盟或其他国家的质疑。

其二，充分研究《条例》的内容和制定目的，以争取中欧谈判机会和砝码。欧盟《条例》并非尽善尽美，我国不能一味地全面接受，而是要接受其中合理可行的部分。为此，我们首先要将《条例》研究透，真正理解该法。同时，我们还要看到《条例》出台的政治目的。个人数据保护权已经被欧洲广泛接受为一项公民的基本权利，《欧盟基本人权宪章》对此有明确规定：“人人有权保护涉及他或她的个人数据。”欧盟的个人数据保护法旨在保护欧盟成员国公民的基本权利（包括尊严、自由和隐私）不被不知情的个人数据处理行为所侵害。欧洲各国成立欧盟的目的是消除“商品、人员、服务和资本”自由流动的障碍，建立单一市场。而进入大数据时代，数据成为核心竞争资源，数据自由流动成为欧盟推动一体化、提升经济竞争力的“抓手”。因此，《条例》就成为推进欧盟2015年所提出的“数字单一市场”重要战略的制度保障。我们有理由认为，欧盟不能一厢情愿地将欧盟的人权保护标准施加给包括中国在内的其他国家或地区。综上，我国至少可以在政治和外交上具备与欧盟对话的基础。

其三，深度研究大数据应用对个人数据保护的挑战，提出大数据应用背景下个人数据保护的新规则。尽管《条例》起草时（2012年）已经考虑了信息通信技术应用的新场景，但是由于欧洲在个人数据保护方面具有悠久的历史传统，欧洲的个人数据保护规则已是“积重难返”，只能在既有的框架内发展新内容。此外，出于上述政治目的，《条例》明显地存在着强化个人权利、加重数据控制人义务的倾向和效果。但是，大数据时代给传统的个人数据保护原则和规则提出了新的挑战。比如，大数据应用与目的限定原则相冲突，在收集个人数据时还无法明确该数据的用途那该如何取得数据主体的有效同意？数据的价值是随着数据量和种类的增加而不断地被发现和分析才能得出的，如果坚持数据最小化原则，存储限于使用目的，采纳删除权等，大数据应用会受到严重限制。于是，国际社会出现了反思上世纪80年代形成的个人数据保护原则、重构大数据时代新原则的趋势。我国应当加大这方面的研究，形成中国政府认可的个人数据保护原则，并以此作为与欧盟谈判的另一筹码。

其四，将隐私保护的国际合作和执法协作纳入重要的国际谈判和外交事务，争取更多国际话语权。进入本世纪后，随着数据保护成为国际经济贸易的重要组成部分，跨境数据流通将成为今后的商业常态，隐私保护（也即个人数据保护）规则成为国际规则的重要组成部分，也成为国际话语权的重要内容。加强不同经济体或法域在个人数据保护方面的互相理解和对话，谋求在个人数据保护水平上保持基本一致，才是减小各国个人数据保护水平差异，扫除国际贸易障碍的唯一途径。在这方面，我国在开展上述工作同时，除了争取提出我国适应大数据时代需求的隐私保护规则外，还要积极地参与国际隐私对话和合作机制，如OECD成员国“全球隐私执法网络”（Global Privacy Enforcement Network (GPEN)）、欧洲委员会主导的“数据保护和隐私专员国际会议”（The International Conference of Data Protection and Privacy Commissioners ）等，传达中国声音。这两个机构在个人数据保护政策和规则的全球化方面扮演了非常重要的角色，我国应当努力争取成为这些组织的会员或参与这些组织活动，才能准确及时地了解国际社会数据保护规则的最新发展动态，并且及时传递我国的规则和态度。

为开展上述工作，建议设立中国的数据法律研究院，将其打造成为对数据保护和利用的法律制度有深入研究，能够应对国际数据保护谈判需求，为国家立法完善提供建议的智库。（本完成于2018年5月GDPR生效日）

责任编辑：马小涵