欧盟《通用数据保护条例》影响研究

【摘 要】 欧盟是立法相对严苛和严谨的国家，在立法实践方面对其成员国乃至世界范围内的其他国家产生了极为深远的影响。欧盟的数据保护立法常常被学者用来作为数据保护立法的典范，因此将对GDPR对欧盟成员国以及其他非欧国家的影响进行研究。

【关键词】 GDPR 影响 数据保护

一、研究背景

大数据的时代背景下，数据泄露问题是当前困扰数字经济进一步发展的一大主要障碍。法律的出台既能够从权威的角度来保护消费者的隐私权益，同时也能够给企业足够空间有的放矢。欧盟是立法相对严苛和严谨的国家，在立法实践方面对其成员国乃至世界范围内的其他国家产生了极为深远的影响。欧盟的数据保护立法常常被学者用来作为数据保护立法的典范，而我国虽然在2016年出台了《网络安全法》，但却因为该法律中对消费者的权利界定尚有模糊之处，直到2018年《电子商务法》的正式实施弥补这一缺陷后，我国才被认为是拥有数据保护立法的国家[1]。即便如此，《电子商务法》中提及“隐私”一词的条例仍然极为有限，在数据保护的具体规范上依然存在不足，数据产生者的权益也仍旧不能得到系统性的保障。因此研究各国在GDPR背景下的立法进展对我国接下来出具更完备的数据保护立法的具有重大的借鉴意义，因此将对GDPR对欧盟成员国以及其他非欧国家产生的影响进行研究。

二、欧盟数据保护历史

（一）欧盟数据保护历史回顾。世界上共231个国家和独立立法主体，截止到2019年1月，132个立法主体已经颁布相关立法，全球范围内的数据保护法律覆盖率约为57%，其中欧盟是世界范围内最早实现数据保护法完全覆盖的组织，而欧洲的数据保护法覆盖率已经达到了约95%，远远高于世界平均水平。

回顾欧洲国家的数据保护立法，大概可以分为三个阶段：第一阶段：萌芽期。根据一项报告显示显示，瑞典是世界上第一个出台数据保护法的国家（1973年），20世纪70年代世界范围内所出台的7部数据相关法律均是由欧洲国家所出台，分别是瑞典、德国、奥地利、丹麦、法国、挪威和卢森堡[2]。这是法律界最早展开的数据保护立法探索。第二阶段：发展期。20世纪80-90年代，欧洲的立法覆盖率迎来了一个加速，大部分欧洲国家已经完成了数据保护的初步立法。第三阶段：成熟期。进入2000年，欧洲的立法已经进入修正阶段，这样的速度领先世界平均水平约10年左右。

（二）欧盟数据保护现状——通用数据保护条例（GDPR）。GDPR，全称为General Data Protection Regulation，即通用数据保护条例。经过四年多的协商，2016年4月由欧洲议会和欧洲理事会通过。从2016年5月开始，除非有明确的法律依据，否则企业将不再被允许收集或处理一个欧洲公民的消费者数据，例如获得公民自愿给予和“明确的”同意。如果没有提供适当通知或管理办法，公司也将被禁止使用以前收集的数据。2018年5月25日，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）正式执行，在1995年出台的《个人数据保护指令》的基础上将数据保护范圍扩大到欧盟全境以及跨境进入欧盟的实体公司。除此之外，这项条例赋予欧洲公民更多的合法权利，包括限制处理权（18条）、持续控制权（20条）、清除权（17条）、更正权（16条）、获取必要信息的权利（12-14条）、访问权（12、15条）、拒绝权（14、21条）等，其中，被遗忘权和删除权是欧盟的的特别规定[3]。

欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）一经出台，对欧洲各国均产生了巨大的影响。GDPR第83条就不同的违法行为设定了不同的罚款标准，例如对违反个人信息收集和使用的基本原则以及没有保障数据主体权利的数据控制者或处理者，最高可处以2000 万欧元或全球营业额的 4%作为罚款，并且取两者中的较高者。许多在欧行商的企业已经因此受到了巨额罚金，如2019年1月，法国数据保护监管架构CNIL针对对谷歌LLC案作出审查决定，认定谷歌美国违反GDPR多项条款并处以5000万欧元的罚款。

三、GDPR对欧盟成员国数据保护影响

欧盟作为特殊的跨法域组织的代表，其境内存在双重法制：欧盟法和欧盟成员国法。二者之间的关系遵循“欧盟法优先适用原则”、“相互合作原则”、“直接效力原则”，即二者是一种相互影响且相互包容的关系，因此欧盟的立法与法律修订会对其成员国的法律产生影响，成员国往往需要结合各国具体情况稍有调整地修订立法或订立新法。因此，自2016年后的GDPR通过起，截止到《全球数据隐私法律条例框架（2019版）》中所记载的2018年数据，27个欧盟成员国中的23个国家已经根据GDPR修改了相关法律于2018年对法律进行了修改，其中包括奥地利（Datenschutzgesetz）、比利时（Law on the Protection of Individuals regarding the Processing of their Personal Data）、塞浦路斯（The Processing of Personal Data （Protection of the Individual） Law）、克罗地亚（Act on Personal Data Protection）、丹麦（Act on Processing of Personal Data）、爱沙尼亚（Personal Data Protection Act）、芬兰（Data Protection Act）、法国（Law relating to the protection of individuals against the processing of personal data）、德国（Federal Data Protection Act）、匈牙利（Act on Informational Self-Determination and Freedom of Information）、爱尔兰（Data Protection Act）、意大利（Data Protection Code）、拉脱维亚（Law on Personal Data Processing）、立陶宛（Law on Legal Protection of Personal Data）、卢森堡（Data Protection Law （GDPR implementing law of 16 August 2018））、马耳他（Data Protection Act）、荷兰（Personal Data Protection Act）、波兰（Act on the Protection of Personal Data）、罗马尼亚（GDPR implementation law）、斯洛伐克（Act No. 18/2018 on the Protection of Personal Data）、斯洛文尼亚（Personal Data Protection Act）、西班牙（Ley Orgánica 3/2018， de 5 de diciembre， de Protección de Datos Personales y garantía de los derechos digitales.）、瑞典（Data Protection Act）。除此之外，保加利亚、希腊、葡萄牙、捷克4个国家的法律还在草拟阶段[1]。

四、GDPR对非欧国家的影响

虽然GDPR是用于对欧盟以及在欧盟进行贸易的国家和地区内的数据活动进行规范，但因为GDPR本身的完备性与权威性，部分国家以此为原型进行了引用，所以GDPR对除欧盟成员国外的其他国家的立法也产生了影响[1]。

（一）贝宁。贝宁在2017年6月13日出具了与GDPR极为相似的立法，这是一份非常具有综合性的立法，有超过650条的的条款用于规范网络。与GDPR极为相似的一点就是，将治外法权、处理器隐私设计责任、设立数据保护官、数据被遗忘权、数据可以执行等包含进了该国网络法中。

（二）乌拉圭。乌拉圭作为第一个签署《第108号公约》的非欧洲国家，乌拉圭需要更新其数据保护法。乌拉圭分别从四个方面加强了该国立法：域外范围、数据违反通知、问责制（要求控制人员实施其他gdpr要素）、和数据保护官员。

（三）毛里求斯。毛里求斯在2017年12月22日更新了他们在2004年就订立的数据保护法。毛里求斯虽然是一个国土面积仅有2040平方公里的岛国，但是作为第二个服从108号公约的非欧盟国家以及他们较为发达的经济，他们在GDPR的影戏下对自己的法律也进行了修正。

五、GDPR对中国产生的影响

欧盟GDPR对全球多个国家的政府、企业乃至个人产生了极大的影响。国内学者在GDPR出台后纷纷依据该条例提出我国的借鉴方案，因为我国还未结合建立数据保护法案，接下来我们主要分析GDPR对我国跨国企业产生的影响。

（一）跨国企业消费者意识的影响。一项调查显示，截止到2019年5月，欧盟民众中已经有67%的受访者接受过对于数据保护的条例，57%的受访者表示知道歐盟成员国的数据保护机构，73%的受访者至少知道GDPR中的一项条款[4]。因此对于许多依跨国数字经济公司，需要随着公民隐私意识的提升以及GDPR将所有的涉欧企业企业均纳入了新条例的管辖范围，所以涉欧企业均需要出台相关的隐私保护政策以及改良销售模式来加强个人数据保护，从而避免高额的罚款以及其他的违规处理。

（二）跨国企业在欧行商条件的影响。为了防止企业因为违反欧盟《通用数据保护条例》，我国学者许济沧针对GDPR中的具体条款按照8原则建立了17个指标的评价指标体系，从而为有效防止我国企业在欧行商提出宝贵的事前准备[5]，其中八项原则分别是：目标明确原则、选择同意原则、最少够用原则、合理管护原则、主体参与原则、公开透明原则、确保安全原则、与自我管护原则，而17项指标分别是：个人数据收集合法程度、个人数据获取授权意识、个人数据收集最小化程度、保存时间最小化程度、加密安全程度、记录有序性、数据库存分析、设备管理、数据保护人员独立性、访问控制程度、主体请求响应程度、数据处理可追溯性等。

总而言之，GDPR已经在世界范围内引起了广泛的影响，我国学者对其的研究也已经较为广泛，政府可以参考学者或别国的借鉴经验，从而为我国的数据保护法立法提供支持。

【参考文献】

[1] Graham Greenleaf， 157 Privacy Laws & Business International Report[R]. Australia ：UNSW，2019：14-18.

[2] Graham Greenleaf， 76 Privacy Laws & Business International Report[R]. Australia ：UNSW，2011：1.

[3] 杨一泽，欧盟个人数据保护条例适用研究[D]哈尔滨：哈尔滨工业大学，2017：24-31.

[4] 王灏晨.通用数据保护条例（ GDPR）的实践评价及启示[J]，中国物价2019.12.

[5] 许济沧.基于GDPR的个人数据保护企业自评指标体系研究：图书情报工作. 2018.12.

作者简介：唐煜（1996—） ，女，汉族，四川成都人，硕士研究生，单位：云南财经大学商学院市场营销专业，研究方向：营销伦理