2018年5月生效的欧盟《通用数据保护条例》（GDPR），其影响远远超越了地理疆域进而辐照数据流通的全球网络空间。原本是在欧盟网信行业总体发展和政策导向背景下出台的条例，却“一反常态”地使保护欧盟公民个人数据的“域内效力”上升为“全球标准”。从立法理念的根本出发，理解该条例的精髓，客观地比较与其相关的法律法规，才能在“合规”成本最小化的当下，探索具有中国特色且更能适合中国国情的应对策略和措施。

一、GDPR特征分析

理解欧盟《通用数据保护条例》（GDPR），需要将其放置在欧盟的网信行业总体发展状况和政策导向的背景之下。从欧盟数据整体政策看，GDPR基本上延续了1995年《数据保护指令》（Data Protection Directive），即1995年《指令》的思路，同时表现出与当前欧盟的法律生态、经济业态和技术特征的新的契合。首先，就法律生态而言，欧盟已经从政策-立法-执法-司法四个维度，建立起较为严密的立体式人权保障体系，在此基础上发展起来的个人信息保护机制同样表现出四个层面的闭环衔接。其次，就经济业态而言，欧盟主要作为信息技术服务的消费方而非提供方，大型网络或信息技术产业发展较慢。第三，就技术特征而言，欧盟原有个人数据保护规则体系受到新技术冲击严重，这与其境内信息技术发展相对滞后的现状形成鲜明对比。基于以上三个层面，GDPR呈现出以下五方面的特征。

（一）改变判定标准以扩张管辖权

国际数据流通攻防策略的核心在于传统主权项下的管辖权分配。虚拟空间的弱地域化特征使管辖权的划定需要转变以往以地理位置为主要标准的静态划定思路。从维护数据主权的角度出发，管辖权的标准转换一则需要避免形成管辖权国际适用漏洞，二则需要确保相关执法活动的有效实施，扩张数据管辖权是必然趋势。GDPR中数据管辖权的扩张主要是通过弱化数据所在地对于管辖范围的限制，以动态的数据管理和处理行为为管辖权核心关注点，从而使欧盟在个人信息保护方面的管辖权不仅大幅扩张，并且为主管机关建构起较大的自由裁量空间。

（二）捆绑产业以强化个人信息保护

尽管GDPR强调个人信息的保护与区域内数据无障碍流通的双重价值，但是在规则设计上明显偏重前者。这种价值取向一方面与欧洲的互联网业态相关，即作为互联网产业的服务需求方而非服务供给方；另一方面也与欧盟已有的人权保障传统和已经建立起来的人权保障机制相关。以上两者共同构成GDPR的立法背景，同时也直接反映在其具体制度设计上。从这个角度讲，区域内数据无障碍流通是个人信息保护规则协同之后的附带效果，而非立法的直接意图。从保护策略上来看，GDPR尽管强调监管和罚则，但是这两者主要围绕强化网信产业自律和主动管理建立，目的在于促使网信产业将自身的市场运营考量与欧盟的个人信息保护政策紧密捆绑，从而将个人信息保护嵌套入动态市场活动中去，这也是“设计中的隐私保护”（privacy by design）的基本思路。

（三）着重关注中小微企业利益

GDPR在强化网信产业个人数据保护义务和法律责任的同时，强调对产业规模的层级划分，并且着重关注中小微企业的利益，避免GDPR对其形成过重的合规负担。这种关注与欧盟地区网信产业的业态紧密相关。例如GDPR强调各成员国在制定行为指南（codes of conduct）（第40条）、建立数据保护认证机制（data protection certification mechanisms）（第42条）时应当特别考虑中小微企业的特殊需求；同时，GDPR在制定违规罚则时，就罚金数额而言，采用的是具体金额和全球年营业额百分比的双标准制，两者以高者计算。这意味着对于大型国际网信企业而言，违反GDPR相关规定可能产生巨额罚金，而对于营业额较低的中小微企业而言，两千万或一千万欧元的罚金则可封顶。

（四）强调规则设计的技术中立

GDPR的出台与新信息技术的发展密切相关，从统一区域内个人数据保护规则的角度出发，GDPR在制定时强调保持规则涉及的技术中立，即避免因技术变革形成规则漏洞。例如基于微软爱尔兰案的冲击，GDPR特别强调相关规则同样适用于云计算。该思路也与欧洲委员会主导制定的《布达佩斯公约》相契合。需要注意的是，该要求能否有效实现，存在争议，例如GDPR赋予数据主体要求对自动决策进行解释的权利，并有权在对算法不满意时选择退出，该规则本身可能与当前神经网络与机器深度学习技术发展之间存在冲突。这也是《布达佩斯公约》出台之后不断需要通过议定书针对新技术对《公约》进行补充的原因。

（五）以私权切入强化公权介入

GDPR以个人信息保护这一私权视角作为规则设计的切入点，以私权保护之名拓展了公权介入数据国际治理的空间。一方面，私权保护为数据监督执法提供了行为依据和正当化事由，例如GDPR明确对数据控制者和处理者设置了配合监督机关执法的义务（第31条），该义务意味着数据控制者和处理者需要按照规定存储数据处理的主要记录，并在监督机关要求时，向其提供这些记录（第82节）。另一方面，私权保护可以直接启动司法救济，通过个案处理推动区域数据规则的对外辐射，微软爱尔兰案就是这一辐射的典型例证。

二、GDPR影响国际数据流通攻防关系

（一）数据跨境流通的旧方式与新挑战

放置在数据跨境流通攻防策略的语境下，可以看到旧方式与新挑战之间的冲突。早期数据流通主要依赖于传统的跨境协作机制，主要包括以下四种类型：1.双边司法协助协议（MLAT）；2.国际或区际公约及示范法，例如《布达佩斯公约》、联合国《有组织犯罪公约》和《刑事事件互助示范条约》等；3.多国国家机关合作机制，例如国际刑警组织（Interpol）、欧洲刑警组织（Europol）等；4.多国企业与监管机构合作机制，例如计算机安全应急响应组（CERT）、应急事件及安全组（FIRST）等。

已有机制在数据跨境流通方面面临诸多挑战。首先是数据的去地域化挑战，双边或国际司法协助往往具有强烈的属地属性，但是数据本身的去地域化特征导致数据属地难以判断。其次是数据的高速复制、传输、扩散要求相应措施的及时性，但是传统数据跨境获取方式效率较低。第三是数据流通涉及数据安全问题，既包括数据相关性判断困境，也包括开设后门对于数据安全的减损。第四是数据控制困境，即执法人员并不直接掌握数据本身及其流动过程，同时也不直接掌握数据处理机制和算法，因此由其主导的传统方式难以有效适用。

（二）当前数据跨境流通的攻防形势

基于数据跨境流通的旧方式与新挑战之间的张力，当前国际数据攻防策略呈现出较为鲜明的特征。

从进攻角度看，核心在于加强境外数据的获取，美国的《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data）和欧盟《涉刑事电子证据生成和存留命令条例（建议稿）》（Proposal for a Regulation on European Production and Preservation Orders for Electronic Evidence in Criminal Matters）均以此为核心。数据跨境流通中的进攻策略主要包括以下三个方面。第一是强化企业的配合执法义务，从以往公对公的数据流通模式转变为直接针对企业本身的模式。第二是弱化程序性限制，特别表现为强烈的去司法化和强行政化特征。第三是加强数据获取方对流通过程的控制，即以企业配合为原则，辅之以特殊情形下与第三国的沟通机制。

从防守角度看，核心在于限制境内数据的出境，GDPR和欧盟《有权机关为刑事犯罪预防、侦查、起诉、刑罚执行处理个人数据中的自然人保护指令》（Directive on the Protection of Natural Persons with Regard to the Processing of Personal Data by Competent Authorities for the Purposes of the Prevention,Investigation,Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties），即《2016/680指令》，即承担该任务。数据防守相关策略的核心在于制造权益冲突，具体表现为两套思路。第一套思路是强化本国监管，主要表现为对于数据属地的强制性规定，以及对于数据安全的评估和审查，该思路的运行结果是形成数据监管层面“权力——权力”冲突。第二套思路是强化基本权利保护，主要表现为加强数据主体对于个人信息的控制和司法救济，同时强化企业的数据保护义务，该思路运行的结果是形成数据保护层面“权力——权利”冲突。

（三）GDPR为代表的欧盟数据攻防机制

GDPR对于国际数据跨境流通秩序的影响必须放置在欧盟整体数据策略之下进行分析。这主要包括两个方面的含义。

首先，对于GDPR的影响分析需要结合欧盟其他相关立法活动。GDPR仅涉及欧盟数据攻防策略的一小部分，对于基于公共利益和刑事司法等方面考量的数据流通需求，在防守的层面有与GDPR同期制定的《2016/680指令》，在进攻层面有《涉刑事电子证据生成和存留命令条例（建议稿）》，这些立法活动彼此相互配合、补充，共同构成欧盟的数据攻防法律体系。

其次，对于GDPR的影响分析还需要结合相关判例。包括欧洲人权法院（European Court of Human Rights，ECtHR）和欧洲法院（European Court of Justice，ECJ）等在内作出的司法裁判不仅会直接涉及GDPR相关条文，还会通过对特定概念的解释影响GDPR的实际应用效力。例如欧洲法院在2018年6月5日作出判决（第C-210/16号判决），就认定在Facebook上创建粉丝页面（fan page）的企业在获取用户数据的问题上同属于“数据控制者”。尽管ECJ的判决针对的是1995年《指令》，但是鉴于GDPR照搬了1995年《指令》关于“控制人”（controller）的定义，该判决将同样影响GDPR的适用，进而意味着未来可能面临违规风险的不仅仅是网信企业，还可能涉及普通企业。

结合以上两点，可以看到，GDPR不仅仅是欧盟个人信息保护规则体系的组成部分，还是当前各国或各区域数据主权争议的集中映射。从这个角度讲，不应仅将GDPR理解为一部私权保护法，而是需要关注到其在制造“权力—权利”冲突方面的重要作用，这种冲突形成欧盟对于数据出境的重要保护屏障，特别是考虑到充分性认定的相关规定，第三国的权利保护水平也会成为欧盟数据跨境流通中的防守机制的组成部分。

三、数据跨境流通攻防的中国应对

面对以GDPR为代表的欧盟数据攻防策略，中国从维护本国数据主权和数据安全的角度出发，需要及时作出回应。这种回应需要考虑到中国与欧盟的业态差异，即欧盟主要作为信息服务的需求方而非提供方，因此可以采用符合需求方利益的高个人信息保护水平，并以此为基点对外辐射欧盟的数据控制。但是，中国既是信息服务的需求方，同时随着几大互联网企业的领头发展，中国也是信息服务的主要提供方。这种双重身份意味着中国不可能采用欧盟的规则思路和体系，更意味着中国对于GDPR的回应不能仅仅是被动回应，还需要形成相应的主导国际规则制定的具体策略和步骤。

（一）数据攻防战略策略转变

当前中国的数据攻防策略即不清晰也不完整，其一表现为相关探讨主要放置在网络安全的语境之下，但是数据跨境流通问题已经远远超出该范围；其二表现为主要采用“权力—权力”冲突的防守模式，尚未有效将个人信息权纳入到攻防策略中来；其三表现为进攻规则不明确，主要依靠低层级规范和个案式运行机制予以实现，使中国在国际谈判过程中容易受到攻击。

结合以上三点，中国要有效应对欧盟包括GDPR在内的一系列数据跨境策略，首先需要整合当前数据治理活动，明确不同政策和立法在数据攻防上的分工和配合。其次，需要强调数据治理方式的多元化，贯通政策导向、行政执法、司法救济。再次，充分调动和发挥非政府组织、研究机构、产业团体、行业协会在促进数据国际标准和策略制定过程中的作用。

（二）数据攻防立法思路调整

首先，转变以数据地理位置为管辖划定主要标准的立法思路。当前立法仍然多以地域为管辖依据，例如《网络安全法》适用于“境内建设、运营、维护和使用网络，以及网络安全的监督管理”，缺乏对域外关键信息处理能力和安全情况评估，以及数据出境后的全程评估。该思路本身即会形成中国域外执法的自我限制。

其次，强化个人信息保护在数据防守层面的功能。个人信息相关权利不仅仅可以对抗网信企业，还可以有效对抗域外执法活动。需要注意的是，由于权利的对抗属性依托于其普遍适用，因此这种强化不可避免地可能产生本国内部“权力—权利冲突”，需要立法者进行进一步权衡。

第三，强化网信企业的分级，并辅之以相应的国家支持。GDPR等域外数据规则在形成合规成本方面，对不同体量的企业产生的影响截然不同。中小型网信企业的发展是整个信息行业不可或缺的组成部分，在整体的数据攻防行动中，中小型企业一方面需要相应支持，另一方面也可以有效利用域外的相关优惠规定。

（三）数据攻防执行能力强化

数据跨境流转的攻防策略和立法需要政府、企业、公民个人、相关团体的执行落实，攻防目标的实现需要辅之以各方执行能力的强化，具体表现为以下三个方面。

首先，政府需要提升政策和具体法律规定的落实能力，重点在于建立较为客观、稳定、统一的数据境外流通评估、管理机制；提升执法过程的透明性和外部可评估性；强化中方数据出境和入境标准的域外辐射效力以及全流程监控机制；建立外国企业在涉中国公民数据出入境细则并及时对外进行规范谈判和输出。

其次，国家需要统筹强化企业跨境数据管理能力，一是整合并实时更新域内外数据出入境相关规定，形成较为明确和可操作的数据出入境系列规范指南；二是形成动态式的合规企业示范名录；三是促进大型企业与中小微型企业间的合规工具箱的共享。

再次，需要强化公民对于个人信息保护的自觉性，通过提升公民和相关权利保护组织主动运用法律和司法程序实行权利救济的能力，增强中国数据出入境规则对域外网信企业和机构的可见度和约束力，进而辐射双边或多边国际数据规则谈判。

（本文刊登于《中国信息安全》杂志2018年第7期）

第三届中国移动金融安全大会将探讨GDPR对金融行业的影响：http://www.mpaypass.com.cn/MFSC2018/