引子：一罚再罚 号角响起

2018年10月19日，葡萄牙政府主管部门对一家违反个人隐私保护和安全规定的医院作出了罚款40万欧元的决定；2019年1月21日，法国政府主管部门对谷歌实施了5000万欧元的罚款决定；而根据有关消息，欧盟相关执法机构正在针对微软Windows 10和Office软件服务进行有关个人数据保护的调查。

上述处罚及调查的直接依据是欧盟各成员国自2012年起经过四年的充分协商后于2016年4月27日通过的《通用数据保护条例》（General Data Protection Regulation, GDPR）。经过2年过渡期后，这部具有里程碑意义的GDPR于2018年5月25日正式开始实施，从而统合了此前欧盟内部各国相对零散的个人数据保护规定（各成员国原有数据保护相关规定并不当然失效，但不得与GDPR的规定相斥）。

现在，GDPR几乎吹响了全球个人数据保护权利的号角。在史上最严厉的数据监管背景下，Facebook、 Amazon、 Instagram、 Whatsapp等涉及个人数据采集和运营的公司连连受到关注和投诉。

GDPR：知GDPR 百战不殆

GDPR虽然只有99条，但篇幅不小，有近100页的内容。本文拟对GDPR有关适用主体、个人数据范围、数据处理合规等进行初步的整理。

1. 适用主体

（1）在欧盟境内有业务机构的数据控制方或数据处理方：涉及个人数据处理的行为。不论上述机构从事的数据处理工作是否在欧盟境内进行。例如，一家欧盟企业在华有其控制的数据处理中心（作为子公司、供应商或紧密合作机构），虽然处理的是中国公民的个人数据，但因其控制方设立于欧盟成员国，因此该在华数据处理中心应当遵守GDPR。

（2）于欧盟境外的数据控制方或数据处理方：因下述事由而从事的涉及欧盟公民个人数据处理行为：（1）在提供产品和服务过程中或（2）针对欧盟公民在欧盟地域范围内的个人行为的监控。例如中国国际航空公司服务于大量欧洲客户，那么欧洲乘客身份信息的录入、复制、维护和销毁就需要遵守GDPR的规则。

 （3）于欧盟境外的数据控制方：根据国际法原则应当适用欧盟成员国法律对其适用的个人数据处理行为。

2. 权利范围

GDPR确认和赋予个人更为广泛的数据保护权利。比如个人明确授权的原则，即使个人信息授权同意必须是信息主体在被充分告知的情况下做出的自愿、明确、肯定、清晰的授权。沉默和预设同意不被GDPR视为同意。

此外GDPR还强化了“透明原则”，即个人信息的收集、使用和处理应当向信息主体公开。个人数据泄露等违法时候，信息主体拥有被及时告知的权利。根据GDPR要求，在发生客户或者员工个人数据泄露等违法行为时，数据控制方应当在知道之时起72小时内通知政府数据保护监督机构。

如果个人数据违法行为可能导致个人权利和自由处于高风险状态，数据控制方应当毫不迟延地与信息主体进行沟通。信息主体还拥有接触、提取、使用或批准他人使用的权利、要求删除数据的权利、要求限制数据处理的权利和可携带权（Right of Data Portability）。

根据GDPR规定，个人数据范围可以包括如下内容：

i. 身份信息，如年龄、性别、指纹、兴趣、观点。

ii. 个人爱好信息：如网址偏好、消费习惯。

iii. 金融信息：如个人收入、交易活动。

iv. 社交媒体上的信息，如参与的组织、兴趣、朋友、亲戚、同事信息。

v. 通信信息，如招聘、视频、短信、视频通话、电子邮件

vi. 个人定位信息，如个人地理定位轨迹、旅行信息。

针对上述个人数据，数据处理方的下列行为都被视为数据处理行为：收集、录制、汇编（organization）、存储、适应（adaptation）、使用、销毁。与上述行为相对应，数据处理方可能是以数据控制方的名义处理个人数据的任何自然人、法人、政府部门、机构和组织。例如，伺服器提供方、工资结算机构、通讯运营商、数据管理提供方、数据循环和存储服务提供商。

与此同时，GDPR还对敏感信息进行了列举式的规定，例如个人健康数据、基因数据、种族归属、哲学和宗教信仰、性取向、刑事定罪和刑事违法、工会成员信息。上述信息的处理仅限于非常严格的十种场合才被允许，例如为保护实质性公共利益（Substantial Public Interest）之需要，或当信息主体在生理上或法律上无法做出同意的确认，但为保护信息主体或其他自然人之切身利益保护之需要。

3. 数据保护官

GDPR要求符合规定的数据控制方和数据处理方设置数据保护官（DPO）。按照GDPR规定，除法院因为司法职能需要外，任何从事个人数据处理的政府部门需要设立数据保护官职位；任何公司和组织，其主要业务或目的要求其需要对大范围个人数据进行常态化和系统性检测，也需要设置数据保护官（DPO）；公司或组织的核心活动涉及处理大范围的个人敏感信息（Sensitive Data）的，也需要设置数据保护官。

公司是否设置和任命数据官，事实上构成了公司是否遵守GDPR的重要事实。

应对：临“危”不乱 规行矩步

在欧洲，各国公民已经被充分告知其拥有了上述个人数据保护的权利。除了顾客，雇员也可以籍此针对雇主展开个人数据保护领域的索赔和维权。

根据GDPR的规定，对个人数据保护方面违规的企业，最高可能面临2000万欧元或相当于其在全球范围内营业收入的4%的罚款。GDPR甚至确认，丹麦法院可以对违反GDPR的行为处以刑罚，爱沙尼亚主管机构可以基于轻罪（Misdemeanour）来处以罚款。

GDPR不折不扣是一部个人隐私保护领域的里程碑式立法，在全球范围内产生了震慑力。自然，GDPR对全球范围内的企业的业务运营和合规管理提出了更高的要求。对从事涉欧业务的企业而言，除了需要遵守具体成员国既定的有关个人数据保护的法律还需要遵守GDPR的规定。

对此，作为负责任的中国企业，需要围绕客户和员工个人数据保护重塑公司内部管理结构，比如整合公司市场、数据处理中心、HR以及法务部门的力量并实现通力合作，对相关人员进行有关个人数据保护的培训，并随时准备好与雇员、客户等信息主体的开展有关个人数据保护的有效沟通和诉求回应。

当然，雇员隐私保护权利与公司商业秘密、专利等知识产权亦免不了产生冲突。这方面美国加州北区联邦地区法院已经走在了最前面。该法院在2019年2月24日的一份法院命令（Order）中就认定雇主调取其雇员的有关前雇主专利的往来邮件的行为不适用欧盟的GDPR规则。为了做出这个决定，美国联邦法院法官洋洋洒洒从信息存储位置、国家利益、替代救济途径角度阐述了不适用GDPR的六点理由。

可见，面对来势汹汹的GDPR，企业方面并非没有招架之力。

结语：危中有“机”合规先行

GDPR不必然是洪水猛兽，其实还孕育着商业机会。GDPR对跨国企业提出了更高的合规要求，这既是屏障，又是通道，因为对于及时建立和完善了公司内部个人数据保护机制的中国企业，往往更容易为欧洲合作伙伴和欧洲客户用户接纳。

这方面B2C的企业尤其需要注意。当然，对于B2B的企业，特别是涉及欧盟企业或合作伙伴的人员派遣、人才培训、技术支持等情形，往往涉及员工个人数据保护问题，也需要在相关合作或业务合同中添加员工数据保护的标准法律条款。对于通过租赁服务器开展“互联网+相关业务”的初创企业，如SaaS 行业的企业，则需要与数据中心和服务器提供商明确哪方属于数据处理方，以避免因为界限不清而招致不必要的第三方索赔。

致谢：

法国FIDAL律师事务所数据保护法专家Anne-Sophie Viard-Crétat及中国事务部法律顾问Shandy LI（李姗）对本文亦有贡献。