刘恩泽

2021年11月3日，中国人民银行行长易纲在香港金融科技周的演讲中提到：中国个人信息保护的法律体系已初步建立，有关部门将依法实施公平监管;个人信息保护的最终目的是促进数据的合理使用，央行及监管当局会进一步完善金融领域个人信息保护的法律制度，并加大对个人信息保护的监管力度。当前的信息时代已将信息对社会的影响力提升到绝对重要的地位。伴随着科技的发展，个人信息的收集、储存、分析与价值实现方式变得更加多元，信息的泄露也变得愈加容易，这些在某些极端情况下甚至会对人们的生命与财产安全造成威胁。因此，政府及监管当局理应承担责任，保证公民的个人权利不受侵害。

在個人信息保护方面，欧盟走在了世界前列。欧盟在数据保护方面始终采用综合性的立法方式。从欧洲理事会1981年发布的首个关于个人数据保护的司法文件《有关个人数据自动化处理的个人保护公约》，到欧盟1995年颁布的《关于个人数据处理保护与自由流动指令》，再到2018年欧洲议会和欧盟理事会通过的《一般数据保护条例》（General Data Protection Regulation， GDPR），经历了从具有指导性、建议性特点的软法（softlaw）到强制性的硬法（hard law）规范过程。

GDPR于2018年5月25日全面施行，取代了1995年的《数据保护指令》。GDPR因极为严苛的规定、宽泛的适用范围和高数额的罚金要求，又被外界称作“史上最严格的个人数据保护法”。GDPR创新性地明确个人对自身信息享有的权利和数据处理机构应当承担的责任，为世界各国制定数据保护相关法律贡献了有益借鉴，也对全球数据治理生态产生广泛、深刻的影响。GDPR已出台三年有余，其实施成果及实践经验对我国当下建立个人信息保护体系有着极为重要的现实意义。

GDPR的出台背景和立法原则

出台背景。保护公民隐私信息具有维护公民权利和遏制市场创新活力的“双刃剑”属性。从西方发达国家互联网发展经验看，客户的私人数据一步一步成为各类商业巨头重要收益的源头。例如，搜索引擎和社交软件之类从事信息收集与再生产的企业，在广泛收集公民注册信息的同时，有针对性地提供定制化服务，以达到提高用户使用率和增加企业收益的目的。从2013年斯诺登事件爆料出的“棱镜计划”可以看到，Facebook、Twitter、Google等一众美国科技巨头持续不间断地对欧洲互联网用户的个人信息进行收集和加工，欧盟在全社会都处在“心理危机”之际，提出以立法形式将个人隐私信息保护划归政府公共服务范畴之中。

立法原则。基本原则方面，GDPR遵循了“权利与自由”“处理正当性”和“最小侵害性”三原则。GDPR的第一条便规定“本条例保护自然人的基本权利和自由，特别是自然人享有的个人数据保护的权利”，将“自然人在个人数据的处理活动中获得保护”定性为一项基本权利。GDPR指出，一切数据进一步存储、处理、转移的根本前提是“个人数据处理的正当性”，应严肃叫停所有不正当的数据处理，严重时甚至应让拥有者和传播者面临牢狱之灾;GDPR指出正当性主要体现在“同意的要件、处理的合法性、禁止处理行为”等三方面。在“最小侵害性”原则中，GDPR提出应首先做到“数据最小化”，即数据控制者对个人数据的处理应与初始目的充分相关并限制在最小限度以内，且数据的处理应该是准确的、在必要情形下持续更新的，同时需保证数据的完整性和保密性。

GDPR主要特点解析

对个人数据行政管理机制的创新。GDPR从机构、模式以及方法三个微观层面改进了个人数据保护的行政管理机制。在管理机构设置上，GDPR成立了欧盟数据保护委员会（European Data Protection Board， EDPB）。GDPR在第68条中指出：“特别设立法人机构欧盟数据保护委员会，其成员应当包括各成员国个人数据行政监管机构首脑或其代表和欧盟数据保护监督局首脑或其代表，并明确该委员会的秘书处由欧洲数据保护局担任。”EDPB的设立使欧盟数据保护局的权力被极大地提升，从而确保GDPR在各成员国的统一适用。在管理模式上，GDPR提出设立了“一站式（one-stop-shop）”监管原则，明确领导机构和成员机构的共同协作原则，并构建了详细的一站式管理规则。具体而言，主要责任由数据控制者和处理者的主要营业机构所在国当地的数据监管机构承担，而其他成员国的对应数据监管机构与主要营业机构所在国的监管机构保持紧密合作和信息共享。在管理方法上，GDPR将与个人数据处理相关的活动区分为“较高风险”“一般风险”和“较低风险”三类风险等级，实行等级差异化管理方法，并明确指出数据控制者在开展规定的“较高风险”活动前应做好影响评估，并需按照规定流程向数据保护局进行咨询与报告。

明确个人对自身数据的控制权。GDPR在现有法律基础上，进一步结合实践明确了个人对自身数据的控制权内容。GDPR对个人数据范围进行了明确规定：“个人数据指的是任何已识别或可识别的自然人（信息主体）的数据”，任何“特定自然人”的数据都是GDPR保护的对象;GDPR提出“获得本人明确同意”是第三方机构收集和处理个人信息的首要且必要条件;GDPR首次定义了数据的被遗忘权（公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利）、删除权（数据主体有权要求数据控制者删除其个人数据及避免其个人数据被传播）以及可携带权（数据主体有权向数据控制者索取本人数据并自主决定使用用途）;GDPR确保了个人查询自身数据的便捷性，要求当信息主体向信息控制者行使查询权利时，控制者除在规定指出的特别情况外均应提供免费服务，只有当查询要求是重复的、显然不存在的、过分的或者要求复印时，方可索取费用。

重新界定个人数据相关单位的责任。GDPR创新性地对数据控制者和处理者的责任和义务进行了重新界定。与往常认为的数据处理者只负责数据的分析工作而与数据的收集和使用无关（控制者的外包服务人员）不同的是，GDPR增设了数据处理者为直接、独立的义务主体;GDPR开创性地设立了数据保护官制度，规定数据的控制者和处理者通常情况下必须设立保护官，以增强数据保护力度;GDPR要求数据控制者应当记录每一次的数据处理活动，并保证保护措施的公开透明。此外，GDPR还规定了数据控制者在数据泄露时的报告和通知义务，要求数据控制者应当在数据泄露后的72小时内向数据保护局报告情况，在特殊情况下，数据控制者还需及时准确地向每一个信息主体通知信息泄露情况。

加大处罚力度，增加特殊情况下的保护规则。GDPR明显加大了处罚力度，规定在欧盟境内违规公司将最高面临其全年营业额4%的罚款。对数据的跨境流动和数据犯罪等特别情况，GDPR也作了细化要求，如“明令禁止数据控制者与处理者将欧盟内的数据信息转移至境外地区，除非满足一定条件并证明数据能在欧盟外的特定地区得到充分保护”，同时对“境外数据保护水平”的判定标准进行约束。在刑事犯罪领域，欧盟同时期颁布《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输和保护个人数据的指令》，明确刑事罪犯、犯罪嫌疑人和被调查人的个人信息同样应受到有效保护。

GDPR的相关运用效果及主要案例分析

案例执行情况

欧盟数据保护委员会（EDPB）近期在其官网公布了自2018年5月GDPR实施以来至2021年5月，欧盟各成员国数据保护资源投入及案例执行情况（见图1）。在成员国本国（非跨国）案例方面，据不完全统计，三年来欧盟成员国共有近50万件执行案例登记在册，2020年案件登记数量达到顶峰，总计近18万件。三年来案件数量最多的三个国家分别是德国（165641件）、荷兰（68907件）和爱尔兰（48131件）。跨国案例方面，据欧盟网络市场信息（Internet Market Information， IMI）记录，自GDPR实施至2021年5月31日，全欧盟上报至IMI系统的跨国执行案例共计13493件，其中排名前三的国家分别为德国（1070件）、法国（767件）和西班牙的（693件）件。

从欧盟案例情况可以看出，案件执行总量及大部分国家案件统计数量均为2019年和2020年的急剧上升到达顶峰后在2021年快速下降，案件数量曲线较为一致。而在国家层面，案件执行数量比较多的国家通常为欧盟中较为发达、科技信息公司注册地较多且国际化和法制化程度较高的国家。

罚金情况

报告显示，据不完全统计，截至2021年5月31日，欧盟各成员国针对违反GDPR而处理的罚金金额合计约2.75亿欧元，2020年总计1.4亿欧元，较2019年增长28%，是2018年罚金金额的26倍有余（见图2）。其中，意大利以0.6亿欧元的罚金位居首位，德国的0.56亿欧元和瑞典的0.12亿欧元分别位居第二和第三。值得注意的是，统计范围之外的2021年7月16日，卢森堡国家数据保护委员会对亚马逊开出7.46亿欧元天价罚单，目前亚马逊表示已决定上诉，如果此次处罚落实，罚金将创GDPR实施以来的最高记录。

总体来看，自2018年5月GDPR实施以来，案例数量及罚金数额并未在当年出现迅速增加，而是在随后的2019年和2020年到达顶峰，在2021年又进一步回落。从曲线整体走势可以大致判断，在2018年新政实施后，各成员国经历了新政缓冲期，在案件的调查取证方面，尤其针对中大型跨国公司，司法程序较为复杂，战线通常较长，因此直至GDPR实施后的一两年时间才达峰值。该曲线同样值得我国相关部门借鉴并作好前瞻应对。

主要处罚案例分析

GDPR对拥有庞大用户基础并对海量数据进行处理的大型科技公司惩戒力度较大，其域外管辖权也将对世界各国科技巨头产生较大影响（见表1）。

可以看出，受GDPR影响较大的均为大型科技和服务企业，其中尤以美国、英国公司为主。处罚原因主要集中在违反GDPR对数据处理的基本原则、个人数据行为基本要求、数据处理合法性基础和数据处理过程的安全性的相关要求，开出的罚单数额均十分巨大。GDPR的实施对国际数据治理生态带来较大影响，特别在国际监管方面，GDPR以个人数据跨境制度为有利抓手，增强欧盟在互联网和信息产业的地位，提升欧盟在全球数据治理的话语权。我国相关部门及企业应实时追踪全球规则变动，深入研究、领会GDPR对数据处理的基本要求，从顶层设计、标准体系、管理体制等方面着手，结合自身信息数据特点完善个人信息保护体系，提升自身在国际数据管理中的地位及话语权。

启示及建议

2021年11月1日，《中华人民共和国个人信息保护法》正式实施，完善了我国多年来一直缺失的针对个人信息保护领域的特别法律设置。我国《个人信息保护法》充分吸收、借鉴国内外成功经验，对个人信息处理活动、属地管辖范围、“告知同意”为核心的个人信息处理原则、自动化决策、人脸识别管制、数据主体权利、信息处理者义务、惩罚措施、个人信息权益的过错推定责任等方面作出全方位规范。在法律规定内容之外，结合对GDPR的相关执行情况的分析，我们提出如下政策建议以供相关部门参考。

实时追踪和研判全球规则变动，加强国际合作。当今信息时代的数据主权问题已经成为世界范围内各方高度关注的国际性问题，各国已逐步根据自身实际情况和政策标准完善该领域的制度规范，而这也无可避免地会对其他国家造成“规范溢出”的影响，且很可能会受到其他国家规则的反向约束。这就提醒我国在构建、运用、完善相关制度的实践过程中，主动与各国在司法机关和行政当局在相关领域如反垄断、数据监管和消费者权益保护等加强跨国合作与监管协调，并更加注重实时跟踪全球主要区域相关规则的变动，及时主动地发现在国际博弈中各方力量的变化，并在恰当的时机果断调整国内规范，以便更加有效地应对国际挑战，提升国际地位。

关注基本权利与促进创新之间的平衡关系。GDPR在个人数据保护方面走在全球前列，但其本质是為集中收集、存储和处理数据的系统而设计，与个别创新技术存在冲突，如代表当前数据存储和管理新范式的分布式区块链。为集中式数据库制定的GDPR似乎很难适用于采取分散式数据存储的区块链，尤其是关于跨境传输与被遗忘权的规定。GDPR与区块链之间的紧张关系也揭示了保护基本权利与促进创新的不同目标之间的冲突。

当前金融机构正不约而同地推动数字化转型，随着互联网金融与开放银行概念的兴起，传统金融大跃进式地向金融与科技相融合转型的趋势已经明朗。鉴于金融信息的特殊性，金融机构一直以来都受到各国数据安全方面的强监管，因此在数据安全和隐私保护方面较其他行业整体水平较高。金融科技的不断创新必将为个人信息的有效保护带来挑战，因此如何平衡个人权利保护和科技创新是当前需要解决的一个重要理论与实践问题。

完善顶层设计及合作模式。健全法律法规和监管体系是实现个人信息保护的基础。当前我国大力推进金融对外开放的前提下，跨境金融机构及跨境并购子公司数量稳步增多，但面临不同地区自身的数据管理规则与跨境数据传输原则，往往会在集团内部形成数据获取障碍。值得注意的是，港澳地区属中国特别行政区，且其与境外各国联系紧密，当前国家大力支持粤港澳大湾区发展，因此对于港澳地区与大陆内地数据的传输与共享问题理应给予特殊规定，未来也可适时延伸至台湾地区。因此，建议由国家网信部门牵头，联合公安、工信、安全等部门，依据《个人数据保护法》中相关要求，尽快落实大中华区内的个人数据的转移原则与相关政策，可借鉴欧盟一站式监管原则。同时，从欧盟成员国GDPR执行情况来看，我国未来两年或将迎来案例数量及处罚高峰，建议相关部门作好前瞻应对，在科技水平较高、科技注册公司较多的地区适当进行资源倾斜。

（作者单位：厦门国际银行博士后工作站、复旦大学博士后流动站）

责任编辑：杨生恒