欧洲“史上最严”的数据保护条例(GDPR)今实施 京东、南都、专家齐献策

京东集团首席人力资源官兼总法律顾问隆雨

GDPR基于对新技术这样一些前瞻性思考，综合平衡个人信息的各种数据的应用场景，还有各个利益方相关的需求，创新了数据保护工具和规则，为全球提供了一套综合严谨的个人信息保护的一个保护框架，在数字经济的时代谁首先发现，首先实现了数据的有效治理，谁就掌握了全球数字经济发展的主动权和话语权。GDPR的实施具有重要的宣誓意义，有利于建立以欧盟规则为蓝本的全球数据治理规则体系，使欧盟成为全球数字经济持续的这样一个引领者和发生者，这也是GDPR作为一部区域性的这样一个法规，或者说国家性的，就是我们所说的国家联盟性质的这样一个区域性的法规，却引起了中美等主要经济体还有国家相关的监管部门、研究机构、跨国公司广泛的关注，这个也是相应的原因所在。

中国社科院法学研究所的研究员周汉华

GDPR从指令制订的开始到出台，应该说欧盟不是不想发展，它一直想在两个价值之间实现平衡，一要保护，因为在大数据时代个人信息被滥用的后果比过去更加严重，另外一个方面他也要追求单一的数字市场的形成，推动欧盟经济的发展，所以说这样一种双重的价值既体现在指令GDPR的名称当中，大家知道这个名称当中一直是这两个都放在里面的，第一是保护，第二是数据，促进数据的自由流动，所以既在名称当中也体现在立法结构的整体安排上，同一天欧盟通过的是三个文件，GDPR是679，后面有680、681两个指令，一个条例两个指令同时通过，一个是对付一般犯罪的，一个是对付恐怖主义和严重犯罪的，那个就对个人信息的保护进行了检索，就是要维护公共利益，所以他是要两个价值是平衡的，更体现在指令GDPR的前沿、基本原则和具体规定当中，所以他们做的很好，把前沿也给翻译过来了，我们现在移动互联网的时代，微信的时代，GDPR刚出现之后很多地方翻译，为了图省事只把条文给译出来，前沿都给删了，其实前沿的内容有的比后面的条文还很小，所以如果整体来认识GDPR，它其实是体现了这么一个原则，就是要激励相容。

中国人民大学法学院的杨东教授

数据治理隐私保护方面，既要借鉴外国和先前的一些规则，但是也要有所突破，有所创新，敢于担当。

外经贸大学法学院教授梅夏英教授

欧盟GDPR第17条还是保留了关于被遗忘权的规定，它上面的表述是第17条删除权来规定，后面括号被遗忘权，说明现在对于被遗忘权的理解已经从权利转向到一个制度了，也就是说它其实是一种删除制度的表述，被遗忘权只是一个惯性，一个人请求删除他自己的信息，把它弄成被遗忘权，其实它是删除制度。如果从删除的角度理解被遗忘权，我们之前理论上大量进行权利论述的东西，我看它可能都要修正，因为它不具备民事权利的基本特点，它只是一种请求的形式，按照民法来讲，它通过这一条请求别人删除我们的信息，至于说什么被遗忘权，它不能脱离于这条规则之外起的作用，另外这个权利是通过实体法规定，没有实体法这个权利就不存在，所以对于被遗忘权我们首先了解到他不是一项跟正式的一个民事权利，另外它要解决的问题也不是说隐私权或者个人信息保护能解决的，我们发现他所要求，它对法律的要求已经超出了我们传统个人信息保护的内容，因为我们传统个人信息保护是对信息收集、流通的一个合规性，对它的一种数据最小化的能力，而被遗忘权他倡导的是说在数据流通、收集、合规的情况下还要照顾到信息相关人，有对他遗忘的这种需要，这种需要真是后来叠加上去的，也是前所未有的，所以它不能够认为是个人信息保护法，但是我们可以把它加进去作为另外一个纬度的问题来考虑。

被遗忘权究竟怎么理解，它是个人的社会心理，说不清道不明的，它只是一种不适应，它没有违反性的前提，另外被遗忘权确确实实从公共利益角度看他也有他的合理性，就像我们讲个人信息保护是私权的体现，事实上他要解决的是公共安全问题，我们看到很多我们个人信息保护法解决不了犯罪，为什么呢?因为它只是通过个人信息保护的一种限制来消除公共信息领域，我们看到很多案件都是用别人掌握的信息，本身并不构成什么对他人利益的侵害，只是公共信息在流通的过程当中产生的隐患，是个人受到了其他形式的侵害，比如说中国知道一个什么，上次的九千块钱的事情，是他的信息被别人掌握以后通过诈骗来犯罪，信息披露本身没有什么，个人信息保护还是公共安全增加了很大部分，它增加了受侵害的可能性，被遗忘权也是这样，一个人的信息尤其是在不利的，还有不必要的信息长时间不能消除以后，它可能对个人的生活带来其他方面的影响，比如说在求职的时候，或者在入境的时候都会产生影响，这可能是我们要关注的问题，在这种前提下我们对于被遗忘权一定要结合个人利益和公共利益一起来考虑，并且不能够完全从隐私权个人信息权这方面考虑，这样我们才能够把他放到一个相对的自由裁量，通过裁判来发展，而不能够先入为主的，把他作为司法上的一项利益，或者人格利益，或者一项权利来入手，这仅仅是开始，今后我们还会面临着一个又一个问题。

清华大学法学院教授、党委副书记程啸教授

保护个人数据也里面你究竟是保护什么东西，从欧盟的数据条例，或者欧洲人，尤其德国人喜欢从人权高度来谈论这个问题，特别是二战，两次世界大战，包括德国人到现在反思当年纳粹对人权的侵犯，尊重人格尊严人格自由，这个就有点抽象了，因为中国法的语境下讨论这个问题，必须考虑到中国老百姓，中国老百姓一般不考虑这个问题，当你要不同意给数据，然后你用不了APP的时候，你跟老百姓讲说这个时候个人的人格尊严很重要，我估计他不会搭理你，他想的是我先用了再说。

个人数据怎么保护?我觉得就是明确权利内容，以及从民法上讲，当然像公法上的保护欧盟的条例很多，我们中国的《网络安全法》也有相当多的规定。从民事上就是要明确权利内容还有权利被侵害的救济方法，权利的内容实际上可以看到我们现行的一些规定和GDPR的规定是有共性的，有些内容我们也做了规定，我这里做了个列举，包括同意权，下面红色列的是欧盟条例里规定的。第二个访问权，这个我们没有，但是更正权在我们《网络安全法》里是有规定的，还有删除权在《网络安全法》里也有规定。

民法典权编中如果能够对侵害个人数据权利的方式做出相应的规定，我们就可以双管齐下，不仅仅是通过公法方面来进行相应的规范，也可以通过私法，私法我们也不仅是通过个人的私人的民事诉讼，也包括我们的检察机关的公益诉讼，我们就可以形成一个多角度的一个数据保护的格局，这个和未来产业的发展，对于广大人民群众的人身和财产权的保护都是非常有利的。

中国信息通信研究院安全研究所数据安全研究部的副主任陈湉陈主任

域外管辖权背景就是为了应对美国法案的提出，所以可以看出来欧盟其实非常厉害，一方面整个欧盟境内的整套顶层设计建立完了，他还非常硬气，美国怎么干我就跟你对着干，当然对着干的时候我们观察到了一点，我觉得是值得我们警惕的一点，GDPR我们一直在讲适用范围的扩展，这个扩展还是对于数据控制者主体的适用范围扩展，对于数据来讲他还是强调你是在欧洲运营过程中收集产生的数据，这个数据应该是跟欧盟的居民是紧密相关，是它的个人信息，这是GDPR的一个考虑。

我们必须要警醒是：美国和欧盟都有类似的法律了，而我们还没有一个比较强硬的应对措施。所以要做好以下两点工作：

第一，我们还是尽快去完善自己本国的国内法，但是我觉得这个国内法应该是整个法律体系，从安全角度上我们有《网络安全法》，我们行业主管部门在《网络安全法》上位法基础上应该形成一套完整的，包括部门规章，包括标准在内的一套整个数据保护的法律法规还有标准体。

第二，如果要制订个人信息保护法，是咱们整个从国家层面上进一步完善法律的措施。另外一个在规则制订当中，是要引入风险控制思想，刚才谈到第一点启示，我觉得是在我们在做具体规则设置，部门规章或者标准当中需要考虑的一个问题。

我国的数字企业该如何应对GDPR?

南方都市报大数据研究员分析国外知名app发现，为满足的合规要求，绝大多数的隐私政策透明度更高，不仅文本通俗易懂，呈现方式多样，且上线了特殊的隐私保护功能。

相比于国外企业积极应对，国内涉及欧洲客户的跨国公司似乎还在观望。但即便不受限制，这些在隐私保护上的合规实践，仍可供国内企业借鉴和思考。

GDPR虽然是欧盟的法案，但全球化下，中国企业多少会受到影响。国内的网络安全法、《信息安全技术个人信息安全规范》等也已经有类似规定。结合GDPR和国内法律法规，建议企业进一步优化隐私政策和产品功能设计，保障用户进行数据访问、更正、删除、注销账户、撤回同意、获取个人信息副本的权利。

写在最后：究竟GDPR影响范围多大，实施效果如何，涉及欧洲业务的国内企业是否又会就此作出怎样的合规调整，这些问题有待后续观察。但是不管怎样，一家企业在隐私政策上愿意花费心思，且有诸多保障用户权利的功能设计，并非坏事。

( 责任编辑: 刘长利 )