2016年4月，歐盟議會通過《通用數據保護條例》（General Data Protection Regulation，GDPR）。至2018年5月25日，兩年過渡期已過，GDPR正式生效，真的來了。一部歐盟的法律，緣何引發世界各國的熱議，紛紛感慨其為“史上最嚴格大數據管理法規”？

在 GDPR正式生效之際，以下筆者與大家一起漫談GDPR，掃除若干對GDPR的誤解。

一、GDPR的理想：保護個人數據權利與促進數據流通并重

從法條本身出發，GDPR的立法目的并不單一，除了保護歐洲公民的基本權利，還要促進個人數據在歐盟境內的自由流通。

在歐洲，個人數據保護權是一項公民的基本權利，GDPR毫無疑問旨在強化對公民這一權利的保護。作為歐盟唯一的法令起草機構，歐盟委員會發布的改革公告中也指出，有超過90%的歐洲公民渴望在整個歐盟范圍內具有相同的數據保護權利。

但是，過于嚴苛的個人數據保護必然損害歐盟數字經濟的發展，因而，歐盟立法者在進行GDPR立法的時候，希望通過統一的立法來平衡數據保護與數據流通之間的關系，建立簡明及現代化的法律規則，為歐盟企業創新發展和促進歐盟“數字單一市場”創造良好的法律環境，促進數據流通。

GDPR是一部個人（數據主體）友好型法律，但也并非完全對企業（數據控制者）不友好。從GDPR設計的初衷來看，GDPR建立單一法律規范，是為了使歐盟企業開展商務活動變得更加簡單和成本低廉；GDPR要求各國設立數據監管機構，是為了使企業只和單一的監管機構對接，節省不必要的行政和企業開支；GDPR鼓勵企業在產品和服務開發較早階段嵌入保護機制（即privacy by design），除了保護個人數據，也是提高企業競爭力的良好初衷。

因此，與其說GDPR是“史上最嚴格大數據管理法規”，不如說，GDPR是“史上最全面的大數據管理法規。”

二、GDPR的現實：并未充分考慮大數據時代需求

大數據時代，數據是人工智能（AI）、深度學習（deep learning）的基石，也是企業競爭力的體現，因而數據被譽為“石油”。作為數據資源的一部分，個人數據應當有規則地流通利用。GDPR規定了嚴格的同意規則，但是，其強化個人權利的思路，又賦予個人對個人數據的后續使用具有強有力的控制，這必然對數據經濟造成羈絆。

在大數據時代，個人數據法律規則必須考慮個人數據流通的需要。每個人的數據都是有限的，數據只有結合起來作為整體才具有價值，才能更好地為現代化的生活服務。因此，合法的數據流通是大數據時代數據聚集、集合的必然渠道。數據流通包括一切向第三人提供數據供其使用的情形，既包括合法的數據共享，也包括合法的數據交易。但是，數據流通必須在流程可控和風險可控的前提下進行。如何在不侵犯隱私權或個人數據保護權的前提下，實現數據的合法流通，是這個時代需要解決的問題。只有平衡好個人利益和和經營者的利益，個人數據法律才能回應社會的需求，規則也才能得到有效的遵守。

GDPR規定了嚴格的同意規則，但是，并沒有清晰規定在何種情形下，需要取得數據主體的同意。尤其是，沒有規定從數據控制者處間接獲取不能直接識別個人的個人數據時要不要同意，如何實現同意。

大數據的優勢在于可以即時處理大規模多樣化的行為數據，這些行為數據的收集規則如果不清晰，那么大數據應用就會受限。按照GDPR并不清晰的規則，假如在數據初次收集目的完成后，數據主體可以請求刪除數據，要求被遺忘的話（數據清除權），這可能影響數據的連續性或完整性，影響數據的再利用。假如數據主體可以向數據控制者取回加工處理后的個人數據文檔，并提供給其他人（數據可攜權）的話，這會不會導致損害前一數據控制人，而讓其他數據控制人搭便車，導致不公平競爭？

因此，筆者對GDPR的前景并不看好，它設置的規則并未比20世紀80年代經濟合作與發展組織（OECD）指南中的數據處理規則走的更遠。筆者對它能否給歐盟經濟帶來繁榮，實現與美國數據經濟抗衡，能否真正實現歐盟數字單一市場的目標持懷疑態度。

三、GDPR的未來：歐盟的規則并非世界的規則

個人信息保護是為保護個人尊嚴和自由及促進數據流通、服務數字經濟而建立的一套個人信息收集、使用和流通規則，并不存在統一的模式或方法。

歐洲的個人數據保護模式和美國的信息隱私保護模式，均源自于歐美特有的社會政治、文化背景及其司法體制。GDPR反映的是歐洲解決方案，與歐洲對人的基本權利的尊重是分不開的，其中也隱藏著歐盟統一市場的政治目的。我國如果照搬歐盟模式，必然落入歐洲國家制定的“人權標準”，受制于人。

因此，中國亦應當立足于國情，探索我國特有的個人信息保護模式和方法。

我國自2012年確立個人信息保護的基本原則以來，已經通過《消費者權益保護法》、《網絡安全法》、《民法總則》等法律，形成了我國個人數據（個人信息）保護的基本規則。依據上述法律，收集和使用個人信息，必須經個人同意，非經同意使用個人信息構成違法使用，輕者承擔行政責任，重者承擔刑事責任。

但是個人信息不完全屬于個人，個人信息的使用是社會運行和社會活動開展的必要因素。顯然，非經同意使用個人信息規則，不僅不符合個人信息的本身屬性，也與大數據時代數據的社會化利用相矛盾，不是一個面向未來的規則。在國家布局大數據戰略，推進數字經濟的形勢下，我們應當重新審視個人信息在社會經濟發展當中的作用，創新既有效保護個人尊嚴和自由，又能促進個人信息流通利用的法律制度和規則，而不是一味效仿歐美個人信息保護模式。

在筆者看來，歐美個人信息保護理念和規則形成于前網絡時代，彼時的個人信息來源和使用方式與今天我們所處的網絡化、數據化、智能化時代有著巨大的差異。而歐美受制于傳統，很難在大數據時代走出一條適應當今社會發展的個人信息保護之路。在筆者看來，我國有條件也有能力創制引領數字經濟發展的法律規則。也只有這樣，中國才能夠在數字驅動的創新經濟時代彎道超車，引領全球數字經濟的發展。

個人信息是社會運行的普遍要素，其收集、使用和流通具有隱蔽性強、可控制性弱的特點，個人信息保護需要巨大的法律執行成本。因此，培養和塑造尊重個人隱私的文化和守法意識，推進行業自律自治，是個人信息保護制度建設的重要內容。

在此，我們呼吁中國企業將個人信息保護貫穿到企業產品設計、業務流程管理的每個環節，建立尊重和保護個人信息的數據治理和合規體系，將企業的數據治理和合規能力作為核心競爭力加以建設，同時鼓勵行業自治，發展具有行業特點的個人信息保護規則和標準。