5月25日，欧盟酝酿两年之久的《通用数据保护条例》（GDPR）正式施行，成为迄今为止全球围绕个人数据保护问题所指定的最严厉法规，吸引了全球社会和信息技术产业的目光。

GDPR最具关注的一点是，其提出监管范围将是“所有向欧盟公民提供产品和服务的企业”，意味着一旦与欧盟公民产生联系并发生数据来往，就将纳入GDPR的监管体系，使得外国企业“无故中枪”的可能性大大提升。

部分观察家在称赞个人数据保护出现重大进步的同时，也担心GDPR是否将延伸欧盟的长臂执法范围，使其成为国际数据保护领域的规则制定者和执法者。

文 | 牛帅 中国现代国际关系研究院信息与社会研究所

          董一凡 中国现代国关院欧洲研究所

1

占据道义高地

随着个人数据的爆炸式增长以及在数字经济各个方面应用的不断深化，世界各国政府及民众在享受数字产业各种红利的同时，也对个人数据应用无约束、无监管、无规则的“丛林生态”担忧渐增。

从快递物流信息中泄露个人地址、电话招致无数骚扰，到互联网公司利用浏览痕迹推送广告，再到“剑桥分析”结合脸书个人信息开展政治活动，个人数据监管已经涉及到政治、经济、社会生活和个人隐私的方方面面，任何使用互联网的民众都希望自己的信息安全能够得到较好的保护。

因此，欧盟正式推行GDPR占据了道义高地，也呼应了民众的诉求。

实际上，欧盟近年来在民意压力及应对数据安全挑战等因素的刺激下，正逐步加强数据保护。

2013年，奥地利隐私权益保护人士施雷姆斯在爱尔兰法院控诉脸书公司的爱尔兰分公司，认为其不受监管地在欧美间传输用户个人数据侵害用户权益。

2015年，欧洲法院认定欧盟与美国2000年签署的数据传输“安全港协议”无效。

2016年，欧盟与美国签署了新的数据传输监管协议“隐私盾协议”，欧盟监管机构对企业的约束权力大大增强。

而此次GDPR生效，标志着欧盟对其全球公民个人数据的保护的手段升级，从国际协议上升至国内法，事实上的“内法外用”使执法机构执行动力上提高了保护个人数据的决心。

2

对数据保护实施“全覆盖” 

从内容上看，GDPR更是以一种“全覆盖”的方式囊括了传统上难以界定的个人数据的保护范围，有评论精辟地总结为“管得宽，罚得狠，覆盖广”。

 “管得宽”体现在监管范围的扩大。

GDPR提出，任何向欧盟公民提供产品和服务的企业，均将受到该条例的监管，无论该企业是否是欧盟企业或在欧盟境内设有分支机构。这将数据监管对象以“属地划线”的规则变成了“属人划线”，也是为何GDPR受到全世界数字业界关注的原因。

此外，“管得宽”还体现在“个人数据”的定义被大幅扩展。在GDPR的定义下，个人数据不仅包括姓名、住址、电话、银行账户等公众熟知的基本信息，更包括健康状况、参加工会情况、基因信息、宗教信仰、种族甚至性取向等方面，几乎是一个自然人的各种社会属性的全覆盖。

 “罚得狠”体现在处罚力度上。

GDPR规定，企业违反相应条例将被处以1000万欧元或全球年营收2%的罚款，取两者间较高者征收，若出现“严重违规”的行为，标准则将分别提高到2000万欧元或4%，同样取两者高者。这就意味着，即使是初创企业，一旦出现了违规行为，就将至少付出1000万欧元的惨痛代价。

有媒体曾经测算出，GDPR实行的第一年就可能为欧盟实现60亿欧元的“创收”。

在落实层面，GDPR以对企业全方面的要求来覆盖公民权益的保护。

企业不仅在获取和搜集数据前要征得用户同意，并且要以清晰通俗的语言告知用户其搜集和使用数据的目的、种类、去向及处理数据者的身份等各方面信息，在用户提出对其信息做出变动或了解信息使用情况的要求后，必须回应用户需求。

在安全保障方面，企业不仅被要求要设立专门的数据管理官专职负责数据安全，且一旦出现“数据泄露”事件，必须在72小时内将相关情况事无巨细地通知监管部门，同时在合适的事件通知相关用户。

由此看，欧盟此条例以严格要求企业的方式来保障作为弱势一方用户的知情权、选择权和隐私权。客观上讲，是用户权利的一大保证。

3

对内对外巨大影响力 

事实上，欧盟正是以其在数字经济领域巨大的市场权力转化为对境内外企业的制度约束力。

2015年，欧洲的数字产业产值可达到全球的34.2%，正是著名国际政治经济学者苏珊·斯特兰奇提出的“结构性经济权力”。在数字全球化的进程中，无论消费者还是国家行为体在数字巨头的信息优势和技术优势面前都是弱势一方，而政府的立法、执法发展均远不及数字经济的发展速度，唯一能约束企业的抓手即在掌握市场准入的权力。因此，GDPR在全世界企业面前摆出一道选择题，即放弃所有和欧盟居民产生关联的业务，还是接受全方位的监管措施。

对于谷歌、亚马逊、微软这样的大企业而言，无论从业务还是道义角度，均需要以正面的方式来应对GDPR。从发布支持GDPR的声明，到早在数月前即成立法律团队和安全团队应对新型的监管要求，从清点个人信息库存，到产品和服务的再设计，甚至是对欧洲用户发布邮件海以适应“用户通知”的要求，均体现了GDPR巨大的影响力，而不愿付如此高昂成本的中小企业则不得不选择拒绝为欧盟用户提供服务。

GDPR巨大影响力还在于其高监管规则的国际化进程。

作为历时数年酝酿而来的数据监管条例，GDPR全面反思了传统行业数字化、移动终端广泛普及、社交网络全方位扩展影响力给个人数据保护到来的冲击。

而其对数据保护前沿问题的探索，如对个人数据、责任主义的定义等，也将塑造各国监管部门及数字企业的响应。如英国虽然正处于“脱欧”进程，但英国却同时在2018年适用了GDPR相关规则，同时将一般违规的罚金下限提升到1700万英镑，显示维护数据安全的决心。

《华尔街日报》引用美国部分企业首席信息官的话表示，美国若效仿GDPR的部分措施将极大提升数据保护的水平。同时，跨国企业为了适应GDPR而调整其产品、技术和用户服务政策时，也会将相应调整引入其在全球的运营之中，使得GDPR的间接影响力得以扩大。

4

滥用监管之忧

GDPR的新政策对欧盟外企业的约束扩大不可避免地提升了人们对欧盟未来是否滥用监管的担忧。

由于GDPR的诸多重要方面仍然表述模糊，同时当前并没有对具体条款的补充说明，如“向欧盟公民提供产品或服务”这一概念的范围或定义，欧盟公民以虚假身份注册使用他国企业提供的产品等情况该如何界定等，而欧盟自身既是规则制定者又是裁判员的情况下，其执行GDPR是否对他国企业待遇公正均存有疑问。

毕竟，欧盟及成员国曾经多次以“反垄断”、“反逃税”、“反侵犯隐私”等为幌子，向谷歌、苹果、亚马逊等外国数字巨头发起罚款或诉讼。

因此，欧盟在个人数据保护领域已经向全世界展示“我的地盘听我的”的姿态，其能否公正、透明、高效地执行GDPR，仍需要继续加以观察。