个人信息保护法（草案）对企业合规的趋势影响（中上）： GDPR不只是背景

当我们在讨论《个人信息保护法》（草案）的时候，GDPR绝对是一道绕不过的坎，它不仅是参照、比对的对象，更是飘荡在网络空间的一个系列的、活化的样本。因此，审视GDPR实施后的欧盟企业、数字市场、消费者变化，实际上也是提前对我国《个人信息保护法》立法后评估的“立法前评估”。

考虑到《个人信息保护法》（草案）部分内容与GDPR的实质性近似，但国情地缘又有很大不同，因此GDPR实施后欧盟各国的不良反应，未必会同步到国内；反之，欧盟未见不良的状况，《个人信息保护法》实施后也可能产生。

从目前公开信息看，主要的不良和立法前评估的焦点主要有以下几个方面，本文不再照搬GDPR的条款，而直接引用了《个人信息保护法》（草案）的近似条款：

2019年德国贸易协会的调查数据显示，受访欧盟企业中约有四分之三认为来自GDPR的数据保护要求是企业技术研发的主要限制与障碍。

而对于初创型企业，数据显示2019年的“数据相关型”企业如金融、医疗的月度交易（风险投资）减少了约三成，这不仅是就业问题，也直接影响到技术创新的微观单位的生存、发展。当然略显黑色幽默的是：个人信息与数据保护类型的企业投资并未有明显增长。

对应《个人信息保护法》（草案）典型条款，除了知情同意的原则性限制外，还有如第28条：个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途；超出与该用途相关的合理范围的，应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的，个人信息处理者应当合理、谨慎地处理已公开的个人信息；利用已公开的个人信息从事对个人有重大影响的活动，应当依照本法规定向个人告知并取得其同意。

对于公开的个人信息，如何确认之前的公开用途，企业可能会无所适从。《个人信息保护法》（草案）也未体现对个人信息与数据保护类型企业的鼓励条款。

2018年中美林证券的数据显示，来自欧盟、中东的并购业务有一半因担心未遵守GDPR而取消交易。

对应《个人信息保护法》（草案）典型条款如第23条：个人信息处理者因合并、分立等原因需要转移个人信息的，应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意。

尽管很多企业已经通过分析草案的“漏洞”寻求了通过合并、分立的数据转移规避，但这些“漏洞”是否可行尚未得到监管的默许，除了增加了交易成本外，也没有个案可以印证。

2018年福布斯的数据估计500强企业为GDPR花费了超过70亿欧元的成本，这一数据也得到了安永、普华永道等渠道的分析支撑，而对于已经设立数据保护官（DPO）的企业，有半数表示这一职位的设立就是为了合规GDPR，并没有起到重要的业务作用。

对应《个人信息保护法》（草案）典型条款如第50条、第51条等。以第51条为例：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等，并报送履行个人信息保护职责的部门。

极具功利性的职位设计，缺失的人才培养机制，繁杂的备案和在线报送，将会使企业不堪重负。

据称是华尔街日报的统计，2018年中，谷歌的cookies等跟踪技术显示对脸书的广告影响大致是下降一成，中小广告企业则接近三分之一。作为对比，美国同期的广告企业则有明显增长。

对应《个人信息保护法》（草案）典型条款如第25条：利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

由于广告模式和跟踪技术的局限性，GDPR限制了广告推送业务，且目前尚未发展出替代性方案（苹果公司等推出的隐私保护措施进一步“恶化”了既有模式）。

在2018年安永的一项调查中，受访企业有近半数对是否已经或者能够符合GDPR持不确定态度，同样也是半数人士认为GDPR与其他国家间的法律冲突是个操心的问题。而英国同期ICO披露，考虑到GDPR的严苛，企业就信息泄露事件疲于报告，但有三分之一实际上未达到需要报告的程度。

对应《个人信息保护法》（草案）典型条款如第40条：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

数据本地化政策的各国差异，以及数据出境的复杂评估过程，将令企业望而生畏。而美国的《云法案》、欧盟的数据主权提法等等，未来只会使对数据资源的“争夺”与“分配”问题更加复杂。

欧委会的报告显示GDPR对增进消费者对数字经济的信任没有正向影响（GDPR生效6个月时，消费者信任度处于最低水平）。2019年中欧委会报告显示，五分之四的欧洲人认为对在线信息（至少部分）没有控制权。由此其认为：在国家层面上，GDPR的立法意旨与现实中受访者反馈的对在线个人信息的控制水平之间并没有一致性。

对应《个人信息保护法》（草案）典型条款是第1条，当然还包括《民法典》精心构造的个人信息相关条款：为了保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用，制定本法。

保护个人信息的进一步的目的是什么，这是一个触及灵魂的根本问题。

GDPR生效后，美国最大的新闻网站中有三分之一因尚未遵守而阻止进入欧盟，部分网站中断或下线了欧盟的在线服务。2018年芬兰最高法院裁判GDPR的被遗忘权可能会与欧盟的言论自由和获取信息的权利冲突。

对应《个人信息保护法》（草案）典型条款还是第1条，以及第47条：有下列情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：（一）约定的保存期限已届满或者处理目的已实现；（二）个人信息处理者停止提供产品或者服务；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。

此外还包括所有的《网络安全法》《数据安全法》（草案）等在内的网络基础性立法——评估下没有网络的情况下，对个人信息的影响。

据欧委会表示，2019年中仍有三分之二的人对GDPR（至少不完全）了解，约有半数的欧洲人不知道是否存在国家层面的数据保护机构，或者在发生个人信息问题时如何投诉。法国的DPA（CNIL）2019年表示其资源不足，无法充分行使GDPR的职责——这很法国。

对应《个人信息保护法》（草案）典型条款是第57条：履行个人信息保护职责的部门履行下列个人信息保护职责：（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；（二）接受、处理与个人信息保护有关的投诉、举报；（三）调查、处理违法个人信息处理活动；（四）法律、行政法规规定的其他职责。

《个人信息保护法》（草案）规定的是集中受理投诉的模式，应从GDPR的实践中吸取教训；此外《网络安全法》规定了个人信息保护的意识培训，对网络运营者的网络安全保护义务的处理投诉的内容，应当作为必要的补充。但目前的首要问题是，第56条规定的“履行个人信息保护职责的部门”尽管体现出于GDPR不同的职责部门设立机制，但如何组建、实施尚无定论。

本文作者：

原   浩，江苏竹辉律师事务所合伙人律师，苏州信息安全法学所研究员

黄道丽，公安部第三研究所研究员

联系咨询：

谢老师，13771998064（微信同号）