新闻内容
2018年05月29日 上一期 下一期

专访中国互联网协会研究中心秘书长吴沈括: 中国企业对GDPR规范和执法框架认识存在不足

王峰

     

    本报记者 王峰 北京报道

    2018年5月25日,关于个人数据(个人信息)保护的欧盟新一代制度规范《一般数据保护条例》(以下简称:GDPR)全面施行。这是欧盟数据治理的里程碑事件,在信息系统和数字经济改造人类生活的时代大潮下,将对全球数据治理生态产生广泛、深刻的影响。

    尽管GDPR的文本在2012年1月就浮出水面,并已于2016年4月正式通过,但这部被称为史上最严的数据保护法施行伊始,还是展露了锋利的牙齿。据报道,一些美国新闻网站在欧洲已经处于无法访问的状态,甚至一些公司近两日宣布永久撤出欧盟市场。

    值得注意的是,任何企业在欧盟向个人提供服务和商品,都被要求遵守GDPR。中国企业在欧盟开展业务时面临哪些合规风险,中国企业和有关主管部门应做好哪些应对工作,GDPR对中国的数据保护立法有哪些启示?对此,21世纪经济报道专访了北京师范大学法学院副教授、中国互联网协会研究中心秘书长吴沈括。吴沈括在意大利维罗纳大学获得法学博士学位,目前还担任联合国网络安全与网络犯罪问题高级顾问。

    GDPR对中国企业带来哪些影响?

    《21世纪》:GDPR在个人数据保护的制度层面有哪些革新意义?

    吴沈括:GDPR为欧盟公民和居民提供了一系列新型“数字权利”,包括被遗忘权、数据可携权等等。此外,GDPR还引入了极为严格的数据保护合规要求,并通过最高处罚为涉事主体全球营收总额4%的惩罚机制予以强化。

    具体而言,值得给予特别关注的GDPR制度规范包括以下各条:强化对数据持有第三方的监督(第7条);设定儿童保护特别规则(第8条);更高标准的权利人被告知权(第12-14条),尤其是对于权利人实现“知情同意”机制的强化保护;正式确认被遗忘权(第17条);规定数据可携权(第20条),强调权利人在法定情形下可以携带个人数据更换信息服务提供商;更清晰的数据挖掘限制规则(第21条),对于大数据挖掘应用的限制条件做了进一步的明确;引入严重数据侵权事件的知情权(第33、34条)。

    《21世纪》:由于GDPR适用于处理欧盟公民和居民个人数据的所有外国主体,总体而言,GDPR对中国企业带来哪些影响?

    吴沈括:信息软件、跨境电商、网络支付、航空物流等与欧盟有高频业务往来的中国企业是涉及的焦点行业,共同的呼声包括国内相关跨领域人才和顾问数量稀少,欧洲当局和媒体以及欧洲民众对中国出海企业的“歧视”和怀疑、对数据问题的敏感以及对中国互联网企业新营业模式的理解比较困难。

    中国企业对GDPR规范框架的认识水平可能存在相当不足,因此难以对GDPR相关判例、实施指南、标准文件和内部规则等形成的综合体系具备完整的认知理解。

    此外,中国企业普遍地对GDPR执法框架认识存在相当不足,难以对欧洲数据署以及各成员国数据署、司法机关等部门之间的联动工作关系具备系统的实操认知。

    《21世纪》:具体而言,中国企业在GDPR施行后面临哪些合规风险?

    吴沈括:从合规工作而言,中国企业亟待面对的重大问题包括:

    对于欧盟要求采取的数据安全措施,由于规则要求不是很清晰明确,而且可能与我国网络安全法的要求存在冲突,如何确定合规需要的技术安全措施难度很大,例如有关数据留存的保存期限问题,就与我国网络安全法有关网络日志保存期限的规定不一致。

    对于欧盟要求设立的数据保护官(DPO)等制度,如何予以满足并且符合中国网络安全法的要求,依然存在相当的不确定性;

    “被遗忘权”、“数据迁移权”等新设权利以及中欧数据跨境的落地实现,存在很大的模糊性,更缺少国内规范的支撑指引。举例而言,在网络安全法第37条有关数据跨境的基本制度设计以外,有关个人信息和重要数据出境相关管理办法和指南等有待进一步的出台,因此在操作层面还亟待更多的操作性规范支持。

    哪些数据管理制度需要完善

    《21世纪》:你认为除了企业层面的影响,GDPR对我国数据管理制度的完善是否产生影响?

    吴沈括:面对GDPR,单个企业的合规固然重要,但更加具有战略意义的是国家层面在整体上给予我国企业开展经营必要的支持法规和扶助措施,特别是应该迅速建立完善并及时细化我国数据管理制度,尤其是数据跨境管理制度,为我国企业的数据合规工作提供明确的行为指针,同时成为我国企业应对外国政府数据要求尤其是跨境数据执法行为的重要抗辩事由,也是开展国际博弈的基础准备工作。

    《21世纪》:国内有关数据产业、数据保护的主管部门应进行哪些应对或工作改进?

    吴沈括:我认为,国家网信部门可以建立专门的GDPR风险应对机制,支持我国企业在欧盟及海外市场的业务拓展,避免重大合规风险,尤其包括:强化能力建设,面向在海外开展业务的国内企业提供风险提示与业务指导;促进合规交流,特别是成功进入欧盟市场满足合规要求的案例分享;建立中欧政府间对话工作机制,同时加强我国企业等各类主体与欧盟及成员国数据保护机构多层次的交流对话。

    国家财政、商务部门可以建立专门的GDPR应对支持基金,特别是面向中小企业提供必要的应对支持,以实时掌握并避免行业性重大合规风险。

    此外,我认为可以培育建立与欧洲各层级数据保护机构在GDPR执法层面的实务交流,推动形成多样化的数据跨境流动方案,包括采取标准化协议方式的落地机制、针对中小企业数据跨境流动的特别机制、磋商中欧数据跨境机制的通用制度安排等。(编辑:吴红缨,如有意见和建议请联系:wangfeng@21jingji.com;wuhy@21jingji.com)