欧盟GDPR今起生效 社交、电商或纳入监管

GDPR生效

5月25日，被称为“史上最严”的欧盟《一般数据保护条例》（General Data Protection Regula-tion，以下简称“GDPR”）正式实施。它的“严”不仅体现在首度对欧盟公民的数据保护采取“长臂”管辖原则，扩大了法律适用的域外效力，也体现在违规企业可能面临高达全球营业额4%的巨额罚款。

欧盟人口基数大，经济水平高，是各大跨国企业的“必争之地”。记者注意到，以Google、Facebook、A irbnb为首的全球性企业均已针对GDPR合规做出了许多改变。记者采访了多个欧盟成员国数据保护主管机构的官员，他们普遍表示，制定GDPR是欧盟顺应时代变化采取的必要措施，而相比小型企业，GDPR将对大型企业产生更大的影响。

GDPR将更好地应对现代科技带来的挑战

GDPR出台之前，1995年欧盟通过的《数据保护指令》（以下简称“95指令”）已经施行了20余年。在此期间，互联网技术飞速发展，每天都有大量电子化的个人数据在欧盟境内甚至世界范围内流通。个人数据保护在云计算、大数据、智能终端等新技术的冲击之下，面临着新的风险。

“从当今的技术水平，以及个人数据在社会和经济中起到的作用来看，95指令显然已经不再适用。”瑞典数据保护主管机构新闻官PerLovgren对南都记者表示。根据欧盟委员会司法专员VivianeReding的报告，每年欧盟因数据保护执法无序导致的成本高达23亿欧元。因此，构建一个更强大、更一致的数据保护框架，提高数据保护法律的针对性和效率，成为GDPR的重要目标之一。

记者了解到，早在7年前，欧盟委员会就开始酝酿GDPR.2011年，欧洲数据保护监督组织（ED PS）在欧盟委员会沟通会议中，提出了对欧盟个人数据保护采取综合方法的想法。半年后，欧盟委员会提议，全面改革95指令，以加强网络隐私权，推动欧洲的数字经济。经过4年的商讨，2016年4月，欧洲议会投票通过了GDPR.

Lovgren提到，95指令在一定程度上统一了欧盟成员国的个人数据标准，而GDPR针对相关规则加入了进一步协调监督的规定。相比指令，GDPR细化和新增了数据主体的权利、数据控制者的义务，并设定了高额罚款。“希望这些规定能够改善欧盟的个人数据保护制度，让它更好地应对现代科技带来的挑战”，他说。

GDPR甫一出台，就被外界评为“史上最严”。对这部具有里程碑意义的域外法律，京东集团副总裁、法务部负责人焦娇及其团队进行了持续的、全方位的研究。她指出，GDPR的“严”表现在两个方面：从效力上，GDPR具有在欧盟成员国直接适用的法律效力，且高于成员国的国内法，促进了欧盟范围内个人数据保护立法的统一；从内容上，GDPR将适用范围从“属地主义”扩大到“影响主义”，扩充了原则性规定。

不过，斯洛伐克共和国个人数据保护办公室的Jana Sisakova表示，有95指令做“铺垫”，GDPR并没有给欧盟成员国带来太多“严”的感觉。

Lovgren则表现得更加乐观，他说，如果未来形成一个能有效协调各国隐私标准的国际协议或联合国公约，将会是件“非常理想的事情”。

涉及监测欧盟数据主体行为都将受到GDPR约束

GDPR共有十一个章节，分别为总则、原则、数据主体权利、控制者和处理者、个人数据向第三国或国际组织的传输、独立的监督组织、合作与协调、补救措施、责任及处罚、特定数据处理情形下的相关规定、委托与实施行为、最终条款。

记者梳理发现，GDPR在适用范围、数据主体的权利、数据控制者和处理者的责任以及数据跨境传输等方面都有明显的创新。不过，最引人注目的还是适用范围扩大和数据主体的权利类型增加。

GDPR规定，适用范围不仅限于欧洲境内的数据控制者和处理者，只要欧盟境外的数据控制者和处理者的数据处理活动涉及向欧盟境内的数据主体提供商品、服务（无论免费与否），或涉及监测欧盟境内数据主体，行为都将受到GDPR约束。

也就是说，即使域外企业在欧盟未设任何机构，一旦涉及使用欧盟成员国的货币进行结算，或向欧盟个人递送货物、定向投放广告，都可能被纳入GDPR的监管范围内。与这些行为密切相关的社交、电商、云计算等新兴领域，恰恰是中国互联网企业的主要“战场”。

在数据主体权利方面，除了95指令中已有的权利，GDPR还赋予了数据主体两个引人瞩目的新权利：数据可携权、删除权。

数据可携权包含两层意思：一是副本获得权，即数据主体可以从数据控制者处下载个人数据。比如Google于2011年推出的GoogleT akeout服务，用户可从Google+的“数据自由”选项下载自己的档案、信息流、联系人等数据；二是数据转移权，即用户可以无障碍地将其个人数据从一个数据控制者转移至另一个数据控制者。比如Facebook用户可以将其账号中的照片以及其他资料转移至其他社交网络服务提供商。

GDPR中的删除权又被称为“被遗忘权”，是对传统删除权的延伸。它的创新之处在于，如果数据控制者对数据主体的个人数据进行了公开传播，而此时数据主体要求删除，数据控制者应该采取所有合理的方式予以删除，并有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接、复制件。

提到被遗忘权，就不得不提2011年的经典案例：冈萨雷斯诉Google案。西班牙男子冈萨雷斯用Google搜索自己名字时，发现一篇1998年的新闻报道提到他因债务危机而拍卖房产。他认为，其债务已经还清，Google应删除相关搜索链接。该案件先后被诉至西班牙数据保护机构、西班牙法院、欧洲法院。2014年5月13日，欧洲法院作出最终判决：支持冈萨雷斯的诉求并要求Google删除相关链接。

事实上，类似案例在世界各地时有发生。对此，斯洛文尼亚共和国信息专员MojcaPrelesnik表示，删除权并不是绝对的，必须对每个案件的特殊情况进行具体分析。

总的来说，GDPR规定的数据主体权利极大的增强了数据主体对个人数据的控制能力，也对身为数据控制者和处理者的企业提出了更加严格的要求。

大型企业合规GDPR更具挑战性

值得一提的是，GDPR的出台也为世界其他国家和地区提供了参考和借鉴。今年5月1日实施的推荐性国家标准《个人信息安全规范》就参照了GDPR，比如其中“数据控制者”的概念。有专家预测，GDPR因其完善且符合时代发展的内容，生效后可能会成为国际数据隐私保护标准，成为未来主导世界数据隐私保护的国际治理模式之一。

在跨国企业层面，京东法律研究院最新出版的《欧盟数据宪章-G D PR评述及实务指引》（以下简称《指引》）中写到，GDPR对跨国企业的数据处理行为可实现“一站式”监管，企业只需与其主营业地所在国的数据保护主管机构沟通即可。与此同时，企业也面临本国法律与GDPR双重管辖的挑战，尤其在本国个人信息保护合规要求低于欧盟的国家，企业还将面临伦理考验。

GDPR从通过到实施，给企业留下了长达2年的过渡期。南都记者注意到，以Google、Facebook、Airbnb为首的全球性互联网企业已经纷纷修订了隐私政策，并上线了相关的隐私控制工具，帮助用户更便捷地了解自己的权利。

欧洲的数据保护官员对大企业的积极合规并不意外，他们普遍认为，GDPR对大企业的影响比小企业更大。Prelesnik指出，尽管GDPR并没有就企业规模做出不同规定，但是许多条款，比如在企业内设立数据保护官，明显更适用于每天处理海量数据的的大企业。Lovgren也认为，大企业的合规更具挑战性，尤其涉及到敏感数据的处理。

不过，GDPR对跨国企业的影响不仅仅局限在对其用户的个人信息处理上。《指引》提到，跨国企业如在欧盟境内有常设机构，还必须在人事管理上符合要求。比如在公共区域安装可能拍到员工的摄像头，安装行为须经员工同意。

目前看来，GDPR的个人信息保护规定得到世界公认，与国际标准对接也是大势所趋。《指引》建议，跨国企业应该主动迎接GDPR的合规挑战，努力与GDPR的水平接轨；也需要以“全球化”和“本土化”相结合的视角，破解数据管辖冲突困境。