曾丽洁

(湖北大学 政法与公共管理学院，湖北 武汉 430062)

旅游已成为国际服务贸易中的最大组成部分，全球旅游投资快速增长。在线旅游电子商务发展迅猛，旅游生产端、产业链都以智慧旅游、“互联网+”旅游为主要表现，旅游消费端也发生变化，旅游消费关系深受互联网影响。[1]大数据技术助力跨境旅游服务智慧发展的同时，也给旅游企业带来新的挑战。跨境旅游企业开展海外运营应全面把握境外机构管理和运营涉及国家(地区)的相关法律法规，如数据保护等方面的监管要求，确保境外机构管理和运营始终合法合规。鉴于欧盟是我国跨境旅游的主要市场，欧盟《通用数据保护条例》(GeneralDataProtectionRegulations，GDPR)的域外适用，必然会影响到我国跨境旅游业的发展。因此，有必要深入了解这一国际立法，积极探讨我国跨境旅游企业的合规竞争之道。

一、厘清企业经营中受GDPR管辖的数据处理行为的范围

(一)明确GDPR的适用范围

第一，适用于中国旅游企业在欧盟境内设立的业务机构或合作者的个人数据处理行为，不论实际数据处理行为是否发生在欧盟境内。业务机构的形式不必是分公司或具有法人资格的子公司，在欧盟境内设有唯一代表即符合主体适用条件。

第二，即便中国旅游企业未在欧盟境内设立业务机构，但在向欧盟境内自然人提供商品或服务的过程中处理其个人数据，无论该商品或服务是否要求数据主体支付对价，也适用于GDPR。从欧盟《布鲁塞尔条例》带来的在消费者合同中为消费者提供特别保护的一贯做法以及欧盟法院司法实践来看，判断是否在欧盟境内提供商品或服务要看销售者或服务提供者是否有“指向行为”，关键在于其是否“意图”以欧盟成员国的消费者为目标，而不是仅通过向消费者提供“可进入的提供货物或服务的网址”。如果一个非欧盟组织提供其分支机构或代理机构在欧盟的位置、在网站上使用的搜索引擎中有针对欧盟成员国的广告或使用与欧盟相关的顶级域名、使用欧盟成员国的语言或货币、在线支付程序便于欧盟成员国的消费者等，即使不实际发生业务，也被视为“意图”向欧盟境内自然人提供商品或服务。

第三，中国旅游企业对发生在欧盟境内数据主体的活动进行监控而做出的个人数据处理行为，受GDPR规制。如，在网站上使用具有追踪和监控功能的应用程序处理个人数据的行为，包括用户画像技术的后续使用，尤其是为了做出关于该个人的决定或为了分析其旅游偏好、行为和态度而在互联网上追踪个人的行为；通过旅游服务APP持续收集欧盟境内用户信息；通过智慧旅游平台移动计算、移动定位等技术准确判定消费者的移动位置和潜在目的地等行为。

(二)廓清欧盟个人数据的范畴

跨境旅游企业要注意欧盟个人数据的范畴远大于中国。旅游消费者个人数据通常应包括个人特征数据、可推测主体身份和行为的数据、电子旅游身份与行为记录。需要注意的是，欧盟语境中“身份”(identity)的内涵远比中文语境中更宽泛，包括身体的、生理的、基因的、精神的、经济的、文化与社会的身份。[2]另外，欧洲法院最近裁定，在某些情况下，动态IP地址也可视为个人数据。[3]

跨境旅游企业还要格外注意欧盟扩展了个人敏感数据的目录。欧盟成员国普遍以2018年欧洲理事会成员国签署的《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，又被称为“108号公约”)修订议定书来界定个人敏感数据，将基因数据、与违法行为、刑事诉讼和定罪以及相关的安全措施有关的个人数据、唯一识别个人的生物特征数据、揭示与种族或族裔出身、政见、工会会员、宗教或其他信仰、健康或性生活有关信息的个人数据列为个人敏感数据。

跨境旅游企业在向欧盟境内自然人提供跨境旅游服务时，尤其要注意儿童个人信息保护。儿童在用户画像和收集等方面受到特殊保护，禁止自动化处理儿童个人数据。首先，要判断儿童的主体范围。GDPR规定16岁以下为儿童，成员国也可以降低年龄标准(不能低于13岁)，企业要仔细考量经营所涉欧盟成员国的规定，需要合理设计核实儿童年龄的线上或线下机制。其次，要识别“专门针对儿童的行为”，从而制定儿童隐私政策申明，对涉及儿童个人信息的数据处理行为须以合理有效的方式取得其父母同意。

二、构建以风险为合规路径的数据地图

GDPR的主要特征是“以风险为路径”。在电子商务领域，交易成本的降低和交易效率的提高是“双赢”内涵的最好诠释。如果消费者的利益不能够得到有效保护，将对消费者和经营者均造成损害。[4]跨境旅游企业要实现数据权利保护和数据价值利用的平衡，应从产品或服务的设计着手构建数据地图，做到合规风险可知可控可追溯，在风险最小化的前提下实现数据商用价值最大化。

(一)构建隐私数据图谱

构建隐私数据图谱，有利于将个人数据分级分类，分别采取不同的保护措施。

1.区分一般数据、敏感数据、特殊数据根据GDPR目的限定原则、最小范围原则、存储限制原则，跨境旅游企业应确保从目的、数量、时间三个维度对数据收集进行过滤、筛选、分类。对一般数据、敏感数据和特殊数据实行分类存储和采取不同的必要存储期间。可设计让用户通过更改隐私设置来限制企业对其信息的收集类别，并可经权限验证后对其个人数据进行审查、纠正或要求删除。按照数据的类别和敏感程度，存储时需要区隔禁止中心化存储的数据或必须要加一定措施才能中心化存储的数据，分离身份识别数据与具体的业务行为数据，对一些敏感数据加密或降解技术脱敏后存储，隐私数据授权的必要存储期满后及时销毁。

2.区分不同识别度的数据GDPR所定义的个人数据包括“已识别”与“可识别”的，包含了识别路径的个人数据(由信息本身特殊性识别出特定自然人)和关联路径的个人数据(已识别的个人后续的动作被系统记录显示出的偏好和行为轨迹)。可识别的数据对个人的识别度相对较低，GDPR允许对该类加密和假名化数据的处理可以有与收集时的原始目的相兼容的新目的。去标识化的个人数据不适用数据主体相关权利的规定，匿名化数据被排除在GDPR管辖范围之外。

跨境旅游企业通过技术手段降低数据识别度，可降低风险。在收集个人信息后，宜立即采用差分隐私技术进行去标识化处理，通过数据的失真扰动，使得采集的数据具备统计性但无法定位到具体的个人，并与可用于恢复识别个人的数据分开存储，且从技术上确保在后续的数据处理中不能重新识别出特定个人。如此，企业则可豁免相关数据保护义务。将数据做匿名化处理，即，在数据发布、使用、共享交换时，对可链接的属性(即使做了标识数据的去标识脱敏，但攻击者可以通过多个可链接的属性关联回来，比如身高、性别、区域、年龄组合在一起关联)进行模糊化处理，以减少被链接攻击的可能。如此处理过的数据因无法与已识别或可识别的自然人相关联，不受GDPR管辖。

(二)确保数据应用图谱各环节有效可控

1.尽告知义务须合法有效GDPR的核心原则之一就是透明性原则，要求数据控制者必须以透明的方式、清晰简明的语言，如实告知数据主体处理其个人数据的方式及程度。GDPR规定“数据主体授权”必须是数据主体被告知情况下自愿给出的特定明确表示，并明确了“授权”的要件：①数据控制者必须保证授权是用于特定目的；②必须区分数据主体的书面授权与其他事项授权；③授权可撤回；④在数据控制者和数据主体地位显著不平衡时，授权不能作为处理数据的合法依据。可见，数据主体的缄默或不回应不能构成授权，企业不能推定数据主体的授权，更不能以“霸王条款”强获授权。并且，企业要保证授权与授权目的对应及授权可随时撤销。

如数据主体提出被遗忘权或要求限制处理，企业都应告知已披露个人数据的接收者——除非不可能或需付出不相称的工作。如应数据主体要求，企业还应向其告知上述有关接收者的情形。履行告知义务还有形式和期限上的要求：须以书面形式(如隐私政策)提供，也可使用适当的可视化方法(如标准化图标)，在适当的时候可通过电子公告(如网站公告)提供；对不同使用目的的数据应在相应的期限内履行告知义务。

2.数据处理须有合法性根据GDPR规定了数据处理的六个合法性根据：同意、履行合同之必要、数据主体重大利益、法律义务、公共利益或官方职权、正当利益。其中最常用也是最为强调的事由就是数据主体的同意。

数据主体的同意在收集、处理、流通各个环节都有相应的要求。实务中常见的不合规获取同意的方式有：让消费者注册时默认勾选(大多与服务捆绑，不同意则无法享受服务)、“一揽子”授权同意(开启所提示的权限却“一揽子”授权同意了后台开启其他未经提示的权限)、概括式同意(通过格式条款使消费者在不可预见的情况下概括性地同意了数据处理的各种情形)。2019年1月，法国数据保护机构就因谷歌未向用户提供透明和清晰的处理个人数据的方式，所涉收集的同意既不“具体”也不“明确”，以违反GDPR的同意规则为由处罚谷歌5000万欧元。跨境旅游企业应对标修改隐私政策或用户协议：首先应建立确保同意有效性及可撤回的机制。只有充分告知用户所存在的风险后的同意才是有效的。必须在数据主体作出同意前，以易于理解的语言且与其他事项显著区别的形式提醒并告知消费者同意的法律后果：不再拥有反对处理权，但拥有撤回和删除权，且撤回不溯及在撤回前基于同意对其个人数据的处理。隐私政策需明确告知消费者收集信息的目的和方式，用于新的目的需用弹窗模式再次提醒并征得消费者同意，确保有消费者同意的点击动作。未作出清晰的确认动作，均不视为“明确的”同意。其次，要分隔数据使用的不同权限，区分核心功能和附加功能、双方协议功能和第三方协议功能。消费者对不同权限和功能应有选择权，只有当消费者针对诸多特定目的分别给予认可时才是GDPR所要求的“具体的”同意。跨境旅游企业不得采用“霸王条款”让消费者没有选择权而失去对其个人数据的控制，且不能因消费者拒绝授权附加功能、第三方协议功能影响核心功能、双方协议功能的使用。另外，为避免自增风险，不要文本雷同地照搬标杆企业的隐私政策，要契合自身业务及数据流情况、合规能力建设水平，结合从设计着手隐私保护所构建的数据地图，作出相应的隐私政策承诺。

适用“履行合同之必要”规则，一般是依据消费者主动发起的合同，应在订立合同前让消费者知悉法律后果：不享有撤回权和反对处理权，且在合同存续期间不享有被遗忘权，但享有可携带权。另外四种合法事由，对一般的跨境旅游企业来说，适用的可能性不大。如需适用，要注意公共利益和正当利益更多的是依赖于数据控制者的判断，数据主体参与程度很低，GDPR相应地赋予了数据主体事中、事后的反对、限制、删除的权利。而在适用保护数据主体重大利益和履行法律义务的合法事由的情况下，数据主体没有撤回权和可携带权。

3.关注不同情形下数据权利实现的条件除了传统的查询、更正、删除权利，GDPR还赋予个人反对权、免受自动化决策权以及被遗忘权、限制处理权和数据可携带权。个人不再是被动地“受制”于数据控制者，而能及时、简便、深入地参与、介入、干预数据处理活动。数据主体权利升级给企业数据控制力带来更多限制，但企业也需注意，这些权利的实现也有条件。被遗忘权不是绝对权利，只在消费者撤回同意或企业不再有合理理由继续处理数据等情形下适用。对消费者的反对处理权，在不同情况下企业的义务是不同的。对出于直接营销目的的处理，如用户画像和定向推送等自动化决策，反对权是绝对的。企业应单独、清晰地告知数据主体拥有这种绝对反对权，并有义务对自动化处理采取适当的保障措施：告知数据主体具体信息，允许其质疑此类自动化决策、要求对自动化决策进行解释或人为干预。对基于公共利益、正当利益或履行法律义务所必需的数据处理，反对权不是绝对的，但企业必须证明拥有令人信服的、优先于数据主体利益的正当理由。可携带权的实现前提是“技术可行”。

4.谨慎采取合规的用户画像可行方式旅游市场发展催生的“定制旅游”方式，以满足个性化的需求为原则，设计出最大限度符合旅游者心理预期产品。[5]使用用户数据关联用户需求，用户画像是关键。它基于用户属性、用户行为、用户使用产品或服务的场景了解用户的过程，收集消费者旅游记录、网站访问记录、电子邮件推送的旅游服务内容、甚至是跨类别、跨种类产品和服务等数据，解析消费者旅游行为特征及偏好，预测其未来取向，评估消费者服务模式与消费者个性化旅游需求的匹配度及旅游服务的可持续性。该项技术多用于内容推送、应用推荐、产品研发、广告投放、移动个性化服务，[6]为途牛、携程、同程、蚂蜂窝等在线旅游企业所青睐。根据GDPR第4条对“用户画像”的定义及第2条适用范围的规定，用户画像及“形成或旨在形成用户画像”的活动均属于个人数据处理。故网站浏览记录、软件使用记录、点击记录、行踪轨迹等为形成用户画像所收集的信息都属于个人数据。用户画像合规问题特别突出，GDPR下对于画像的形成、使用、共享环节中控制者的合规义务和数据主体权利的保障都进行了详细的规定。[7]

跨境旅游企业应谨慎采用合规的可行方式。首先，必须向数据主体提供关于其个人数据用于画像的简洁、透明、易懂和易于获取的信息。其次，需要评估生成画像的处理程序是否与最初收集数据时的目的相兼容。第三，必须确保和证明画像技术的运用符合数据最小化原则、用途限制和存储限制原则的要求。第四，画像处理过程所有阶段应遵守准确性原则的数据质量要求。第五，确保画像处理具有合法性基础。企业应当告知数据主体存在用户画像程序并提供相关逻辑、包括此类处理对于数据主体产生的预期后果，确保数据主体的同意确实是在充分知情基础上作出的选择。对作为画像处理的合法性基础的履行合同之必要、法定义务必要或保护重大利益必须等其他事由做缩限解释，在后两种情况下，也应保障数据主体对用户画像质疑和进行人工干涉的权利。第六，对于可在画像过程中推断出敏感性个人喜好和特征的特殊类别数据，只有数据主体明确同意，或为公共利益所必要且已采取保护措施，才可以进行画像。GDPR并不禁止用户画像的共享，只要共享方和接收方都能按照合规要求向用户清晰详细地告知并保障其各项权利的实现。

(三)严格监管数据流动图谱的动态

1.梳理数据在生态链的流动安全业务协作生态在线化使合作伙伴还有更大的一重风险：数据在生态链的流动安全。跨境旅游企业在需要与其他数据处理者合作时，要审慎选择第三方数据处理者，选择能够保证采取足够适当的技术和组织措施的处理者，并能控制其数据处理行为以及次级处理者链条。数据处理者的权利和义务由其与控制者之间的数据处理协议约定。GDPR明确了数据处理协议内容的强制性要求，企业应比照GDPR第28条的规定对现有数据处理协议做必要的修改，明确相关情形下的责任分担。

其次，要依角色确定责任而建立最小授权的访问控制策略。随着大数据技术的推广，大型跨境旅游企业也会自行承担数据处理者的义务。企业要确定在各类数据处理活动中的角色，对安全管理人员、数据操作人员、审计人员等企业内部、外部参与各类数据处理活动的当事人及其角色进行梳理、评估和分离设置，区隔作为控制者与处理者各自的职责及相应的义务，对这些人能接触的数据类型、脱敏级别、许可的数据加工和运算类型，都需要进行细粒度权限控制。

再次，数据开放与共享时输出匹配的合规能力。为了提高数据的使用效率和价值密度，企业还可能会以协作的方式与其他服务商实现数据共享。尤其是随着场景旅游服务的兴起，越来越多的跨境旅游服务依赖合作者的技术、渠道及流量，而合作者也在积极开拓欧盟市场。开放平台成为跨产业、跨区域、跨市场融合的旅游产业发展趋势。平台型旅游企业利用平台跨界收集经营过程产生的交易数据、评价数据和日志数据，与第三方合作者进行匹配数据交易，除了输出系统、数据等技术能力外，也要输出与之匹配的合规能力。特别是在GDPR以同意为中心的合规体系下，一方面，后台数据关联应避免共享简化，不能事先利用“一揽子”协议将消费者所有相关授权穷尽，应分项明示，由消费者手动设置。不论第三方是否采取了同样的隐私保护政策，与之进行匹配数据交易，应符合消费者自愿原则，经其同意方可操作。另一方面，也可以跟第三方签订保密协议或对特定数据做去标识化处理。

2.数据跨境传输可采取的合规传输路径GDPR引入多种变通机制来调和不同的权利，构建多种合规数据传输路径。最正式的合规路径是数据输入国被欧盟委员会认定为“具有充足保护”，然而中国尚未获得欧盟委员会的充足保护认定。跨境旅游企业从位于欧盟的数据控制者或处理者处获得欧盟境内自然人的个人数据，可以采用其他的合规路径，只要输出方提供适当的保障措施。跨境旅游企业可与数据输出方签订具有法律约束力的文件、制定有约束力的公司规则、采用欧盟委员会或监管机构制定并为欧盟委员会批准的数据保护标准条款、遵守GDPR所认可的行为准则或经欧盟委员会批准的验证机制并对安全保障做出具有约束力和执行力的承诺，采取上述保障措施下的数据跨境传输不需要监管机构授权。跨境旅游企业还可与欧盟境内的控制者或处理者签订有关数据转移的合同并获得监管机构的授权。

三、构建有效的合规闭环

数据合规非一日之功，制度是数据治理最重要的范式。跨境旅游企业既要建立内部控制制度，又要设立合规治理机构协调企业数据全生命周期的合规治理。

(一)建立企业数据合规体系

GDPR“从设计着手隐私保护”原则(privacy by design)要求在产品和服务的初始设计阶段将数据隐私保护考虑在内。“默认隐私保护”原则(privacy by default)要求在数据全生命周期任何环节默认地采取必要的、适当的技术和组织保障措施，确保只处理每个特定处理目的所必需的个人数据。企业应基于这两项原则建设完备的数据合规体系。

第一，梳理数据流转情况。需要清楚、全面地了解企业内部对数据收集、使用、共享、转让、公开披露、存储、删除等环节的现状以及所有配套机制的实施情况，包括数据血缘追踪，即数据在存储环节的传递路径追踪(用于控制数据质量风险)；数据操作路径溯源，即数据在使用环节的路径链路(用于控制和数据服务相关的数据质量风险)；高敏数据去向溯源，即高敏数据最后的去向(用于数据滥用、数据泄露事件溯源)；数据外发溯源，即数据通过非在线系统的外发流转出去，数据泄露后可以追查外发途径(用于数据泄露事件溯源)。完成数据流转情况的梳理后，比对相关法律法规及标准，对不足部分及时改进。

第二，完善内部制度规程。主要包括设置访问权限控制机制、建立个人信息安全影响评估制度以及采取技术保护手段等。重点有两个方面。一是建立“数据保护管理体系”(Data Protection Management System，DPMS)，在技术上加强数据安全能力建设，提高数据保护的可操作性，确保数据处理系统能够持续保持完整性、可用性、保密性和自我修复性。跨境旅游企业对于会给消费者权利和自由带来风险的特殊数据，必须设置数据保护影响评估(data protection impact assessment，DPIA)程序，建立科学的DPIA模型，明确评估的内容、方法和标准，在收集和处理个人信息前系统地分析特定项目或系统对隐私的影响。评估结果直接影响数据处理的条件，并需更改企业内部技术系统和流程，设计专项保护措施，从而对数据风险早期预防、实时感知、即时反馈和动态监控。同时，发布DPIA报告是促进企业自证合规、配合监管的有效工具。若DPIA表明存在较高风险，企业应事先征求监管机构的意见。二是做好内部数据泄露应急处置预案，包括在事故发生时须采取的行动、检查事项清单和后续措施等。当发生意外事件时，第一时间将相关基本情况和可能的影响以邮件、信函、电话、推送通知等方式告知受影响的消费者，说明救济措施并建议和指导消费者先采取适当措施自主防范和降低风险。难以逐一告知时，应采取合理、有效的方式发布公告警示。同时向监管部门报告，并在内部立即采取初步补救措施。

第三，完善外部文件，包括用户协议、隐私政策以及与第三方的协议等。外部文件是评估企业合规水平的重要参考依据，最好结合之前对数据流转情况的梳理完成。还要定期对第三方进行审计，尽量识别和避免因事实上的数据处理合作而导致的责任。

(二)做好监管审计管理

GDPR规定了数据主体向监管机构申诉的权利、对监管机构的决定获取有效司法救济的权利、对数据控制者或处理者的违规行为申请司法救济的权利，且处罚金额巨大。赋予数据主体救济权加大了企业的违规成本，跨境旅游企业应建立合规监管机制降低合规成本。

1.设置数据合规官GDPR强制要求数据处理组织任命数据保护官(Data Protection Officer，DPO)。这一规定成为基于问责制合规框架的重要“基石”，其立法主旨是将个人信息的部分监管职能和相应责任由监管部门转移至企业内部。DPO梳理并全面了解本企业数据合规的执行情况，为不同场景设计合适的数据保护方案，确保企业隐私保护实践达到最佳效果；进行进一步的数据处理影响评估、安全事件可能性分析、隐私风险分析等环节，最终产出合规差距分析表；充当监督机构、数据主体和组织内的业务部门等各利益相关人之间的纽带。

2.符合合规监管的形式要求GDPR第5(2)条规定了问责原则，要求企业遵守数据处理原则并能自证其遵守。跨境旅游企业要以可见的形式合规，以便于痕迹审计。DPO完善合规要求的各项规范性文档，保存数据处理的书面(包括电子)记录，保留完整有效的合规证明，以符合形式合规。

具体而言，DPO对隐私协议进行更新和确认，对收集和存储的数据类型、收集目的、处理方式、保护措施、是否会转移到监管范围之外地区以及用户如何行使数据主体权利进行充分、明确的说明；并针对DPIA、跨境数据转移、数据泄露应急和个人数据保护等多方面的内容形成规范性文档；记录数据处理活动，建立全面、准确、完整地反映企业运营状况的数据地图，建立数据分级分类、数据打标、数据血缘关系的数据档案，描述数据获取途径、处理手段、流动过程及路径、存储位置、消费者权利的请求及行使等数据动态变化，尤其是对高敏数据的全程监控与审计。

记录作为留痕审计的重要证据，记载数据全生命周期每一环节的状态，为风险评估提供事实依据，在监管机构问责时可展示数据处理活动的合规性以完成举证义务。企业自我规制，遵守由国际组织、行业协会等拟定的行为规则，向认证机构申请国际标准的合格评定时也可将记录作为重要资料留存。

3.积极配合GDPR机构监管GDPR规定，不遵守监管机构的命令，行政罚款可增至2000万欧元或全球年营业总额的4%(以较高者为准)。高额的行政罚款已使一些大型跨国公司受到惩戒，使涉及个人数据相关业务的跨国经营组织感到风险重重。其实，最高罚金仅对最严重的违法行为适用。如果违法行为不会对数据主体权利构成重大风险，可以用警告、申诫、要求改正、要求更正或删除个人数据等取代罚款。第29条工作组《行政罚款的适用和设置指南》明确指出：在具体案件中，监管机构有责任采取审慎平衡的方法，选择有效的、恰当的、有说服力的措施。[8]同时，监管机构在评估是否适用罚款及确定罚金标准时，应考虑的因素有：违法的性质、严重性与持续时间；基于故意还是过失；控制者或处理者为了减轻数据主体损失而采取的所有行动；与监管机构的合作程度；监管机构得知违法行为的方式等等。因此，一旦发生不合规事件，跨境旅游企业对危机事件做出迅速反应、评估与处理的同时，需向监管机构报告并保持良好密切的沟通，有助于避免更为严厉的处罚。