摘要：二战中，德国纳粹基于人口数据对犹太人实施的种族灭绝行为对整个欧洲人民造成了巨大的心理阴影，欧洲人对任何涉及政府、企业或机构的个人数据采集行为，天生具有高度的敏感性和警觉性。因此，欧洲对隐私保护和数据主权的立法比其他任何一个大洲更加保守和严格。2018年5月25日欧盟出台了《通用数据保护条例（GDPR）》，因其广泛的适用性，欧盟之外的许多国家、企业和组织也随着GDPR的实施而不得不相继选择主动去适用欧盟隐私法律。 [1]

关键词：《通用数据保护条例（GDPR）》；数据跨境

数字经济与大数据企业跨境数据合规专栏之——

数据主权与数据跨境规制之欧盟

邹杨¹      齐佳音^2*

(1：尼尔森市场研究公司，上海 200001；上海对外经贸大学 ，上海200336

                       2：通讯作者，上海对外经贸大学 人工智能与变革管理研究院 ，上海200336）

二战期间的欧洲，无数无辜的犹太人因为自己犹太人的身份被德国纳粹迫害和屠杀。可是自公元4世纪起犹太人便开始定居德国，使得犹太人在德国的民族融合程度非常之高，并且，没有人会主动表明自己的犹太身份，如何定义和识别出“犹太人”成为纳粹迫切需要解决的问题。1933年4月12日，德国的人口普查项目由此启动，纳粹分子对犹太人进行专门的身份普查和户籍管理——为大规模犹太集中营的建立提供了人口数据。德国纳粹对犹太人实施的种族灭绝行为对整个欧洲人民造成了巨大的心理阴影，欧洲人对任何涉及政府、企业或机构的个人数据采集行为，天生具有高度的敏感性和警觉性。

因此，欧洲对隐私保护和数据主权的立法比其他任何一个大洲更加保守和严格。欧洲的个人数据保护与隐私权保护，起始于1995年欧盟颁布的“数据保护指令”（Data Protection Directive），也称“95指令”。该指令第一次提出并明确了与个人数据的处理有关的自然人的隐私权属于自然人的基本权利，不允许任何企业或组织未经消费者授权，使用其个人数据。

随着科技日新月异的发展，欧盟不断更新并出台个人数据保护与隐私权相关的指令。2002年发布电子隐私指令（E-Privacy Directive）定义了用户可以选择以主动退出（Opt-out）的方式拒绝相关企业或机构使用其个人数据。2009年修订版中此项规定被更改为用户主动许可（opt-in），也就是说，只有当在企业或机构向用户说明了清晰的使用意图，并事先获得了用户或消费者个人许可的前提下，企业或机构才能使用用户信息。

1.     《通用数据保护条例》的广泛适用性

2018年5月25日欧盟出台了《通用数据保护条例》（General Data Protection Regulation，简称GDPR） [2] 。该条例在欧洲国家和地区的适用范围极为广泛，任何采集、传输、留存或处理涉及到欧盟成员国内的个人信息的企业、机构或组织均受到该条例的约束。鉴于GDPR的适用范围持续扩大，欧盟之外的许多国家、企业和组织也随着GDPR的实施而不得不相继选择主动去适用欧盟隐私法律。      

截至2020年1月1日，全球已有151个国家和地区有隐私相关法律，全球隐私立法正在向GDPR趋同。GDPR规定违规收集、违规跨境、未有效管理处理者、不遵守监管机关的纠正命令等属于严重的违法行为，行政罚款上限为相关违规企业全球营收的4%或2000万欧元中取高者 [3] 。

2.     《通用数据保护条例》规制下的数据跨境可选路径

对个人数据跨境转移的监管是欧盟GDPR的重要内容之一。总体上，欧盟对他国的个人数据保护水平持怀疑态度，数据控制者或处理者只有依循适当的路径，才能将个人数据转移出境。

2.1 “保护水平认定”

个人数据出境的首选路径是 “保护水平认定（Adequacy decision）”，基于欧洲数据保护委员会EDPB有限的工作效率、有限的资源，经过欧盟认定的对个人数据保护充分的国家、地区或国际组织，可以直接向其传输数据，不需要任何特别授权。自“95指令”实施以来,欧盟共给予了12个国家和地区以“保护水平认定”。其中，欧洲和美国数据跨境的“保护水平认定”解决方案是“欧盟-美国隐私盾”。

对跨国企业来讲，“保护水平认定”是最便捷的路径，但是获得“保护水平认定”的国家和地区很少，且欧盟委员会已在公开文件中表示，在之后相当长的一段时间内，不可能给予更多国家以“保护水平认定”，因此，12个国家和地区以外的企业想要接受来自欧盟的个人数据，必须寻找其他路径。

2.2 标准合同条款

标准合同条款（Standard Contractual Clause）是跨国企业可选的常规路径之一。对于跨境数据转移的监管，GDPR非常明确地规定，在采用标准合同条款、约束性公司规则等适当保障措施的情况下跨境转移数据不需要监管机关的个案审批，只有采用非标准合同条款的情况下才需要监管机关的批准。但是，标准合同条款和公司约束规则本身需要欧盟委员会的事先批准，因此，欧盟对跨境转移数据的基本监管思路是摈弃个案审批，采纳路径审批。目前有三套标准合同条款：SCC2001C、SCC2004C以及SCC2010P。SCC2004C与SCC2001C是并行关系，数据转移双方可以选择其一纳入合同。

标准合同文本由欧盟委员会或国际商会基于欧盟数据保护规则制定，采用该标准合同文本为基础，可保证个人数据的保护水平不会在谈判中发生偏离。“标准合同条款”可以在任何欧盟成员国内使用而无需向成员国内数据保护机构一一证明这些合同文本可提供充分保护水平，这大大节约了数据保护机构和企业双方的行政成本。

3.     新冠病毒大流行下的个人数据应用和保护对GDPR的挑战

2020年爆发的冠状病毒大流行正给全世界包括欧盟带来巨大挑战。欧洲数据保护机构指出，危机局势下不能忽略GDPR。对于企业而言，重要的是要了解企业在这种情况下该如何处理个人数据。然而，欧洲数据保护委员会的回应，说明了GDPR的规制在疫情爆发时的执行规范有些含糊，导致各欧盟国家产生了不同的解释。

几乎所有欧盟国家都发布了针对病毒传播的应对指南。德国推出的“新冠警报APP”下载量到达1500万人次的时候，在它的邻国法国，下载类似防疫应用的人数只有不到50万人次。各欧盟国家在平衡GDPR规定与抗击新冠病毒大流行下的个人数据应用之间进行的尝试非常困难。GDPR存在的模糊性和各国政府之间为平衡疫情大流行和隐私保护所面临的立法困难，挑战着欧洲数据保护机构的合作方式以及GDPR的信誉 [4] 。

4.     结语

欧盟的隐私权保护立法起源于人权保护，这是一把双刃剑。一方面，欧盟法更加看重公民个人作为数据主体的权益维护，立法节奏平稳绝不冒进；另一方面，欧盟法对待个人数据商用的相对保守态度，在某种程度上成为了限制欧盟高科技公司成长的因素。缺少宽松的容错环境，使得欧盟很难自生出Facebook、Twitter、Wechat、TikTok等这样具有国际竞争力的互联网产品。

但是毋庸置疑的是，《通用数据保护条例》以及其它隐私权相关的欧盟法，代表了有史以来最先进和最完善的数据立法实践。《通用数据保护条例》在数据主权定义和数据跨境规制上，深刻影响着欧盟以外国家和地区，包括我国即将生效的《个人信息保护法》和《数据安全法》，将可对标《通用数据保护条例》作为重要的宗旨之一，是我们非常期待的一次中国立法实践。