在經歐洲議會通過并給予企業兩年的適應期后，歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）于5月25日正式生效。由于其“管得寬，罰得狠，覆蓋廣”等特點，以及在個人信息定義、企業責任等方面的巨大創新，而早在數月前就受到國際社會及數字信息產業界的廣泛關注，并被稱為“自互聯網誕生以來最嚴格的”的數據監管法案。GDPR的確立，也將開啟歐盟這一超國家共同體與跨國數字企業就數據領域權力博弈的新篇章，同時深刻影響包括中國企業在內的各國企業的數據運營模式和經營策略。

數據保護，人心所向

隨著人類生活的信息化、網絡化、移動化程度的不斷提升，全球的政府和民眾在享受數字經濟帶來的便利與經濟利益的同時，對于個人數據是否被企業或其他非國家行為體濫用深切擔憂。從通過分析用戶瀏覽記錄以針對性地推送商業內容，甚至如“劍橋分析”那樣為政治活動打廣告，個人數據保護領域缺乏行為體的約束使得隨意收集和使用個人數據的造成的問題愈發嚴重。

實際上，歐盟近年來在民意壓力及應對數據安全挑戰等因素的刺激下，逐步加強數據保護。2013年，奧地利隱私權益保護人士施雷姆斯在愛爾蘭法院控訴臉書公司的愛爾蘭分公司，認為其不分監管地在歐美間傳輸用戶個人數據侵害用戶權益。2015年，歐洲法院認定歐盟與美國2000年簽署的數據傳輸“安全港協議”無效。2016年，歐盟與美國簽署了新的數據傳輸監管協議“隱私盾協議”，歐盟監管機構對企業的約束權力大大增強。

而在GDPR生效前夕，臉書的CEO扎克伯格前往歐洲議會接受質詢，既是歐盟欲就“劍橋分析”事件與扎克伯格當庭對質，以緩解民眾對于“技術操控政治生活”的擔憂，同時也在GDPR正式生效前顯示超國家行為體對企業的監管能力，甚至有人將扎克伯格參加質詢看作是GDPR的“路演”，而扎克伯格以積極態度面對和準備質詢，也意味著個人數據保護不僅是民眾的訴求，更是互聯網時代的道義高點，在這一點的失分極有可能導致用戶對企業失去信任最終流失的風險。因此，像臉書這樣的數據巨頭無論是否真心愿意，也必須打出嚴格保護個人數據的旗號。

管得寬，罰的狠，覆蓋廣

從內容上看，GDPR更是以一種“全覆蓋”的方式囊括了傳統上難以界定的個人數據的保護范圍。

首先，“管得寬”體現在監管范圍的擴大。GDPR提出，任何向歐盟公民提供產品和服務的企業，均將受到該條例的監管，無論該企業是否是歐盟企業或在歐盟境內設有分支機構。這將數據監管對象以“屬地劃線”的規則變成了“屬人劃線”，也是為何GDPR受到全世界數字業界關注的原因。此外，管得寬還體現在“個人數據”的定義被大幅擴展，在GDPR的定義下個人數據不僅包括姓名、住址、電話、銀行賬戶等公眾熟知的基本信息，更包括健康狀況、參加工會情況、基因信息、宗教信仰、種族甚至是性取向等方面，幾乎是一個自然人的各種社會屬性的全覆蓋。

在落實層面，GDPR以對企業全方面的要求來覆蓋公民權益的保護。企業不僅在獲取和搜集數據前要征得用戶同意，并且要以清晰通俗的語言告知用戶其搜集和使用數據的目的、種類、去向及處理數據者的身份等各方面信息，在用戶提出對其信息做出變動或了解信息使用情況的要求后，必須回應用戶需求。

在安全保障方面，企業不僅被要求要設立專門的數據管理官專職負責數據安全，且一旦出現“數據泄露”事件，必須在72小時內將相關情況事無巨細地通知監管部門，同時在合適的時間通知相關用戶。由此看，歐盟此條例以嚴格要求企業的方式來保障作為弱勢一方用戶的知情權、選擇權和隱私權?？陀^上講，是用戶權利的一大保證。

在處罰上，GDPR規定，企業違反相應條例將被處以1000萬歐元或全球年營收2%的罰款，取兩者間較高者征收，若出現“嚴重違規”的行為，標準則將分別提高到2000萬歐元或4%，同樣取兩者高者。這就意味著，即使是初創企業，一旦出現了違規行為，就將至少付出1000萬歐元的慘痛代價。有媒體曾經測算出，GDPR實行的第一年就可能為歐盟實現60億歐元的“創收”。

既定規則又當裁判引擔憂

由此看出，GDPR是歐盟在個人數據保護領域的全方位探索，在個人數據的界定、企業的主體責任以及受監管的范圍上在全球率先拋出了獨特的標準和規則。而鑒于歐盟約占全球34%的數字市場規模，使得任何希望進入歐洲市場的企業受到這些方面的監管約束，使得其將市場力量轉化為了規范性權力。

從GDPR生效至今的情況看，這項條例已經達到了“一呼百應”的效果：歐洲民眾的郵箱內充斥著各種企業就使用個人數據的通知，微軟、谷歌等企業均發布遵守GDPR的聲明，并在數據存儲、產品設計等方面積極進行調整，《洛杉磯時報》等美國媒體網站甚至一度暫停對歐洲用戶的服務，這些現象體現了個人數據保護的道義力量和GDPR高額罰金的雙重震懾。同時，GDPR作為國內法，也將大幅增加歐盟數據監管領域的國際權力。

作為歷時數年醞釀而來的數據監管條例，GDPR全面反思了傳統行業數字化、移動終端廣泛普及、社交網絡全方位擴展影響力給個人數據保護到來的沖擊，而其對數據保護前沿問題的探索，如對個人數據、責任主體的定義等，也將塑造各國監管部門及數字企業的行為。如英國雖然正處于“脫歐”進程，但卻同時在2018年適用了GDPR相關規則，同時將一般違規的罰金下限提升到1700萬英鎊，顯示維護數據安全的決心?！度A爾街日報》引用美國部分企業的首席信息官的話表示，美國若效仿GDPR的部分措施將極大提升數據保護的水平。同時，跨國企業為了適應GDPR而調整其產品、技術和用戶服務政策時，也會將相應調整引入其在全球的運營之中，使得GDPR的間接影響力得以擴大。

而GDPR的新政策對歐盟外企業的約束擴大不可避免地提升了人們對歐盟未來是否濫用監管的擔憂。由于GDPR的諸多重要方面仍然表述模糊，同時當前并沒有對具體條款的補充說明，如“向歐盟公民提供產品或服務”這一概念的范圍或定義，歐盟公民以虛假身份注冊使用他國企業提供的產品等情況該如何界定等，而歐盟自身既是規則制定者，又是裁判員的情況下，其執行GDPR是否對他國企業待遇公正均存有疑問。

因此，GDPR對中國企業拓展歐洲業務將面臨挑戰。有民調顯示亞太地區的數字企業對于GDPR的了解和準備遠不及歐洲和北美的同行，若企業在未知情況下接觸到GDPR的管轄范圍，很可能遭遇其重罰。同時，隨著近年來中國科技企業和中國對歐制造業及科技產業投資的大幅增加，歐盟從保護市場和技術競爭力的角度考慮，對于中國在新型產業的發展逐漸轉向擔憂與防范，比如頻頻叫停中企投資項目、對于“中國制造2025”計劃消極評價等等。

相較于中國對于數字技術運用十分友好的市場和信息監管環境，后GDPR時代里在中國蓬勃發展的移動支付、電商、網上銀行的數字業務將在歐洲面臨更多關注，甚至招致歐盟數據監管機構有針對性的調查。而GDPR的運用尺度和解釋權均在歐盟行政、立法機構手中，中國互聯網企業若受到“特殊關注”將面臨及其不友好的市場環境甚至是無妄之災。因此，未來中國在學習GDPR等國外先進數據監管經驗的同時，應增強中國在全球數據保護等網絡空間治理規則上的制定權和話語權，切實推進我國網絡強國戰略，推動和塑造國際網絡空間治理環境向對中國維護國內利益與拓展海外利益有利的方向發展，警惕西方發達國家通過國內法規規制和影響他國企業經營模式的做法。

（牛帥，中國現代國際關系研究院信息與社會研究所助理研究員；董一凡，中國現代國際關系研究院歐洲研究所助理研究員）