岳鑫

摘要：欧盟《通用数据保护条例》即《GDPR》的出台，意味着欧盟正式进入到统一法律层面的“数据保护时代”。这份被称为“史上最严格的个人数据保护法律”在出台伊始，就将Google、Facebook作为重点管制对象，并开出天价罚单。在这个数据的世界中，人类的姓名、性别、身份、种族、性取向等都被构建出来。数据已经不简单是一种资产，或者说是一种工具，它已经成为数字化时代人类社会的基石。既然数据已经成为人类社会基础性的现实存在，对其进行法律上的规制和管理也就理所应当。数据主体也开始意识到自己的数据信息重要性。各国政府也开始着手立法，加强网络信息安全的法律规范。对于一个企业来说，如何有效评估数据安全法律风险，制定数据安全合规性制度，完善合规性审查手段，是《通用数据保护条例》出台以后，企业首先要面临和解决的问题。

关键词：数据隐私;数据保护;数据侵权

一、一般数据侵权法律适用原则的问题

（一）侵权行为地法原则

在一般涉外侵权案件中，由于侵权行为地往往具有确定性和可预见性的特点，因此传统国际私法在解决法律适用问题时，各国广泛适用该原则。对于“侵权行为地”的界定，各国法律有不同的规定，大致可分为侵权行为实施地和侵权结果发生地两种。2但由于网络数据的虚拟性和全球性，使得侵权行为实施地和侵权结果发生地的确定都产生了一定困难。一方面，互联网用户可以通过一些技术手段显示虚假的IP地址，这导致确认的计算机所在地址有可能并非是真实的。另一方面，网络数据侵权的行为实施和结果发生并不一定局限于同一地区或国家，如利用计算机病毒来破坏他人财产，由于病毒的传播往往会波及世界各地，这就使得侵权结果发生地过多而难以选择。

（二）共同属人法原则

共同属人法即指当双方当事人的国籍或住所地相同时，采用其共同国籍或住所地法律。3在一般涉外民事案件中，确定当事人的国籍或经常居所地相对较为方便，但在互联网环境下这却成为了一个难题。近些年来，一些涉及金钱支付功能的网络数据活动纷纷开始需要用户进行身份验证，但仍然有许多网络数据活动不需要进行身份验证，这是由网络数据的虚拟性、隐私性和自由性所决定的。侵权人可以在任何非国籍所在地或经常住所地进行网络数据侵权活动，由于没有真实的信息认证，很难确认侵权人的国籍或住所地。

（三）最密切联系原则

最密切联系原则是指受案法院在选择准据法时，应避免僵硬适用冲突规范，而是在多个连接点中，综合评价对本国利益和秩序、他国相关法规以及当事人双方期望可能产生的影响，从中确定最合理的一個作为准据法，该国法律与存在纠纷的事实和双方之间有最紧密的关联。然而这个原则在网络数据环境下有着一定的缺陷。该原则的使用需要法官考量各个要素，进行自由裁量，确定各个连结点的密切程度，这就对法官的专业素养有很高的要求。由于网络数据技术的专业性和复杂性，一般法官很难做出正确的判断，因此最密切联系原则很容易造成一些不合理的法律被适用。

可以说最密切联系原则的产生就肩负着协调功能主义与概念主义的使命。1954年，美国纽约州最高法院法官富尔德在审理“奥汀诉奥汀案”案中正式使用了“重力中心地”和“关系聚集地”的概念，认为不应机械地依传统的冲突规范来适用法律，而应极力找出法律关系本身的重力中心地或连结关系的聚集地，并适用这个地方的法律。这是最密切联系原则的雏形。1963年富尔德法官审理“贝柯克诉杰克逊”案再次运用了“最密切联系说”来选择与涉外侵权行为有最密切联系的法律作为侵权行为之债的准据法，放弃了美国判例法上机械的照搬“侵权行为地法”的传统做法。“贝柯克诉杰克逊”案对最密切联系原则的确立，具有里程碑式的意义。里斯以最密切联系原则为依据，编撰的《第二次冲突法重述》使得最密切联系原则在美国冲突法中得以确立。至此，当代国际私法最流行的法律适用理论之一的最密切联系原则大体形成。

（四）意思自治原则

意思自治原则是指当事人可以通过自愿选择相互适用在国际民商事法律关系上的准据法。4当事人可以通过意思自治自己选择准据法，大大减少了司法成本，也体现了国际私法对实质正义的追求。但是现实情况是，在网络数据环境下意思自治原则并不是总能发挥作用。一方面，网络数据活动一般来说很少事先签订合同，即使签订合同，也往往是格式合同，其关于法律适用方面条款也往往是不利于受害人的。另一方面，在侵害结果已经发生后，双方当事人一般无法找到同时有利于双方的准据法，这就很难协商一致。在大数据容量和利用方式都飞速发展的今天，数据国际化趋势愈加明显。互联网由信息时代走向数据时代，互联网企业甚至不需要设立实体营业机构，就可以为当地的客户提供数据服务。而这些客户的数据都存在于“云端”。所以一旦发生数据侵权的争端，就很难通过一般的准据法选择原则来解决。

二、我国涉外侵权法律适用规制

（一）我国《涉外民事关系法律适用法》意思自治原则分析

我国《涉外民事关系法律适用法》吸收国际先进立法思想，首次将当事人意思自治原则引入涉外侵权法律适用领域，在一般侵权责任和特殊侵权责任的法律适用规则中作了不同规定，实现了涉外侵权领域法律适用规则的突破和创新。当事人意思自治原则是合同法律适用领域的首要原则，与合同领域不同的是，作为法定之债的侵权领域，在引入当事人意思自治原则时一般都要求施加一定的限制。我国《涉外民事关系法律适用法》的规定也不例外，其中，第四十四条只允许当事人事后选择法律，不允许事前选择法律;第四十五条只赋予被侵权人单方选择适用侵权人主营业地法或损害发生地法的权利;第五十条也是只允许当事人事后选择法律，并将事后选择的范围限于法院地法。

此外，从规制视角分析，涉外侵权法律适用规则体现了所涉各国在规制侵权行为方面的实体政策利益，而这种规制利益主要体现在侵权行为发生之前对当事人的激励和引导上，待侵权行为发生之后，侵权人和被侵权人已处于对抗局面，允许当事人事后选择侵权准据法，一般来讲不会对一国在侵权法律适用规则上的实体政策利益产生实质影响，因此，《涉外民事关系法律适用法》第四十四条和第五十条均将选择方式限定为事后选择。

（二）我国《涉外民事关系法律适用法》中最密切联系原则

《法律适用法》第二条：“涉外民事关系适用的法律，依照本法确定。其他法律对涉外民事关系法律适用另有特别规定的，依照其规定。本法和其他法律对涉外民事关系法律适用没有规定的，适用与该涉外民事关系有最密切联系的法律。”《法律适用法》第41条规定了在当事人没有进行法律选择的情况下，适用最密切联系原则以确定准据法，这符合在合同领域中国一直以来的做法。尤其值得一提的是，第41条明确表示应当“适用履行义务最能体现该合同特征的一方当事人经常居所地法律”。但无可否认的是，最密切联系原则在适用的时候无确切标准，法官在适用的时候往往难以把握。

三、欧盟《GDPR》下的数据安全保护政策

GDPR关于控制者和处理者的定义继承了《1995年个人信息保护指令》的内容，其第4条规定：控制者（controller）是指，独立或者与他人共同决定个人信息处理目的、方式的自然人、法人、公共机构、代理机构或者其他组织，该目的和方式应当由欧盟法或者成员国法律决定，控制者的具体认定标准可以由欧盟法或者成员国法另行规定。处理者（processor）是指代替控制者处理个人信息的自然人、法人、公共机构、代理机构或者其他组织。为了避免个人信息被滥用，GDPR在不同领域分别扩大了信息控制者、处理者的义务，包括保存某些文件备查，对高风险活动进行影响评估，对数据进行加密处理等等。

（一）设立数据保护官

根据GDPR第37条的规定，信息控制者、处理者在三种情况下需要设立一名信息保护官（DataProtectionOfficer，DPO）。这三种情况包括：（1）公共机构或其组成部门处理个人信息的，但是法院履行司法职能的情况除外;（2）根据其本性、范围或目的，控制者或处理

者的核心业务包含大规模定期的或者系统监督信息主体的;（3）控制者或处理者的核心业务包含大规模处理第9条所规定的特殊信息和第10条所规定的违法犯罪信息的。由此可知，除法院外的所有的公共机构均有义务设置专门的信息保护官，其他机构的核心业务涉及大量信息处理时才有必要设立信息保护官。GDPR没有对信息保护官的资质证书作出明确要求，但是要求信息保护官应当具有充分的专业知识。

（二）加强数据安全技术保护手段

通过技术措施不能彻底解决隐私的保护问题，但是至少可以解决一些低端的信息窃取活动。根据GDPR第6条的规定，鼓励信息控制者采取加密（encryption）或变形（pseudonymisation）措施处理增强信息保护级别。第25条则规定信息服务开发阶段就应当具备隐私保护功能（privacybyde-sign），在信息服务运行阶段应当将个人信息默认设置为不公开（privacybydefault）。这是一个新的信息保护观念和保护方法的进步，也即信息必须以主动调取的方式获取，而不能简单的暴露在外。

根据GDPR第30条的规定，所有的信息控制者及其代表、处理者及其代表在信息处理活动中应当将每一次信息处理活动以书面或者电子形式记录存档，以备信息保护监管机构查验。

（三）提高信息安全的汇报与通知制度

根据GDPR第33条的规定，在发生信息泄露时，信息控制者应当在72小时内向信息保护局报告情况，但信息泄露范围小而没有造成任何损害的除外。控制者向信息保护局提交的报告应当包括：信息泄露总体情况，包含涉及的信息主体数量和信息类型;事件联系人和联系方式;可能发生的危害后果;控制者采取的挽救措施。信息控制者需要对每一次信息泄露做详细的记录。此外，根据GDPR第34条的规定，信息泄露对信息主体造成较高风险时，控制者应当及时地将情况通知给每一位受到影响的信息主体，通知内容与DPA的报告类似。同时，控制者在三种情况下可以免于向每一位信息主体作出通知：（1）由于信息加密等保护措施使得信息泄露的损害风险很低的;（2）控制者已经及时采取措施（例如终止受到影响的账户）解除风险的;（3）向每一位信息主体发出通知的要求显著失当而可以通过公开通知代替的。总而言之，信息泄露时的报告和通知义务可以有效提高个人信息保护工作的透明度，但是对风险是否需要报告的判断、短时间内作出报告和通知也将成为控制者的工作挑战。

（四）增强信息跨境流动监管

为了保障欧盟公民的个人信息处于安全的环境之中，GDPR首先将条例的适用范围扩大到一切与欧盟公民个人信息相关的信息控制者和处理者，也即欧盟公民的个人信息在欧盟境外也能受到欧盟法的保护。根据《欧盟一般个人信息保护条例》第3条的规定，本条例适用于控制者或者处理者位于歐盟的个人信息处理活动，而不论该信息处理行为是否发生在欧盟。如果控制者或者处理者不在欧盟范围内，但是该个人信息处理活动与在欧盟范围内提供的商品或服务相关，或者与监督欧盟范围内的行为相关，或者由于国际法而可以适用某一欧盟成员国法律的，也均适用本条例。此外，GDPR对欧盟内个人信息的向外流动进行了严格把关。《1995年个人信息保护指令》和GDPR均规定，除非满足一定条件可以证明个人信息能在欧盟境外某一地区得到充分保护，否则禁止控制者、处理者将欧盟内的个人信息转移至该境外地区。

结语

网络技术和大数据挖掘技术的进步，推动了社会发展，也给人们的生活带来了极大的益处。视频监控、数据挖掘、信息交换与信息分享已构成现代公民不可或缺的生活方式，借助这些行为，人们可以获得更多的生活便利，更多的财产和人身安全。面对大数据时代隐私信息的多重安全困境，最基础而本质的解决之道当然是法律保护。我国在2009年颁布的《侵权责任法》首次明确对隐私权进行法律保护，随后出台了一系列政策法规进一步对公民的隐私信息进行保护。我国2016年颁布的《网络安全法》更是明确对公民信息收集必须遵循“合法、正当、必要”的原则，并且必须“知情同意”。从“隐私权”到“被遗忘权”，再到“删除权”，隐私权的内涵在不断丰富，其呈现的形式也在不断发生变化。法律法规的相对稳定性要求虽然无法及时跟上这种变化，但这条底线的坚守显然意义非凡，而公民自身的坚守，则更有利于人类尊严的维护。

参考文献

[1]李婧.我国涉外侵权法律适用规则的完善——基于私人自治与政府规制的经济学思考[J].河南社会科学，2017，25（01）.

[2]殷骏.最重要联系原则法理辩谬[J].河北法学，2016，34（07）：52-60.

[3]冯术杰.欧盟知识产权冲突法规则及其启示[J].知识产权，2014（03）.

[4]李先波，谢文斌.我国有关涉外侵权民事关系法律适用立法评析[J].湖南师范大学社会科学学报，2013，42（01）.

[5]热西旦·依得力思.浅析涉外侵权行为法律适用的发展[J].中国经贸导刊，2009（13）.

[6]许军珂.论侵权领域的当事人意思自治原则[J].中国青年政治学院学报，2006（03）.

[7]金彭年.国际私法上侵权行为的法律适用[J].法学研究，1998（03）.

[8]吕岩峰.英国“适当法理论”之研究[J].吉林大学社会科学学报.

[9]冉从敬，张沫.欧盟GDPR中数据可携权对中国的借鉴研究[J].信息资源管理学报，2019，9（02）.

[10]胡文华，孔华锋.欧盟《通用数据保护条例》之中国效应及应对[J].计算机应用与软件，2018，35（11）.

[11]乔新生.欧盟《通用数据保护条例》的启示[J].青年记者，2018（19）.

[12]李雨明，聂圣歌，西楠.大数据隐私侵权界定及其应对策略研究[J].图书馆工作与研究，2017（S1）.

[13]蒋洁.云数据隐私侵权风险与矫正策略[J].情报杂志，2012，31（07）.