2018年5月25日，全球第一部以正式法典形式出現(xiàn)的歐盟《一般數(shù)據(jù)保護(hù)條例》(簡稱GDPR)將正式生效。GDPR采取了“長臂”管轄原則，只要中國的企業(yè)為歐盟境內(nèi)的數(shù)據(jù)主體提供了服務(wù)，即使其在歐盟境內(nèi)沒有設(shè)立任何分支機(jī)構(gòu)，也依然受到GDPR的管轄。由此，GDPR與中國的關(guān)系不再是“事不關(guān)己”，而是息息相關(guān)。與歐盟業(yè)務(wù)相關(guān)的中國企業(yè)必須認(rèn)真學(xué)習(xí)GDPR的基本精神與內(nèi)核，盡快在企業(yè)內(nèi)部完善相應(yīng)的數(shù)據(jù)保護(hù)合規(guī)制度建設(shè)，以一種積極主動的態(tài)度迎接這部堪稱世界史上最嚴(yán)格的數(shù)據(jù)保護(hù)法律。

GDPR之所以被稱為“史上最嚴(yán)”，主要體現(xiàn)在兩方面：一方面，GDPR賦予了數(shù)據(jù)主體同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)及自動化自決權(quán)等廣泛的數(shù)據(jù)權(quán)利和自由，同時明確了數(shù)據(jù)控制者和處理者應(yīng)盡到采取合法、公平和透明的技術(shù)和組織措施保護(hù)數(shù)據(jù)權(quán)益的法定義務(wù)，以及履行對監(jiān)管部門及數(shù)據(jù)保護(hù)認(rèn)證組織的法定義務(wù)。另一方面，GDPR設(shè)定了天價的罰款，起步就是1000萬歐元或企業(yè)上一財年全球營業(yè)總額2%，并以較高者為準(zhǔn)。

無論是對數(shù)據(jù)違法行為及嚴(yán)重后果的認(rèn)定，還是最終罰款額度的確定，歐盟成員國的監(jiān)管機(jī)關(guān)都具有很大的自由裁量權(quán)。GDPR試圖以這種近似嚴(yán)酷的監(jiān)管手段來倒逼數(shù)據(jù)經(jīng)濟(jì)企業(yè)建立完善的數(shù)據(jù)合規(guī)制度，以實現(xiàn)對自然人數(shù)據(jù)權(quán)益的保護(hù)。

同時，GDPR在強(qiáng)化自然人基本數(shù)據(jù)權(quán)利的同時提供了統(tǒng)一的數(shù)據(jù)規(guī)則，在某種意義上也簡化了跨國企業(yè)的合規(guī)程序，提升了跨國企業(yè)在數(shù)據(jù)經(jīng)濟(jì)中的創(chuàng)新能力和競爭力。歐盟的立法經(jīng)驗毫無疑問值得中國借鑒，其啟示如下：

其一，單一的數(shù)據(jù)保護(hù)立法有利于統(tǒng)一市場的建設(shè)。差異化和不協(xié)調(diào)的數(shù)據(jù)保護(hù)方案和執(zhí)法機(jī)制不僅影響到公民基本數(shù)據(jù)權(quán)利的保護(hù)效果，也會阻礙數(shù)據(jù)的自由流通和再利用。同時，還會讓數(shù)據(jù)經(jīng)濟(jì)企業(yè)在開拓市場時面臨著很大的法律不確定性，無形之中增加了企業(yè)的守法成本和合規(guī)風(fēng)險。

其二，從保護(hù)基本權(quán)利的角度規(guī)范數(shù)據(jù)控制者的數(shù)據(jù)處理行為，這是各國普遍性接受的世界性規(guī)則。由于大數(shù)據(jù)的爆炸性增長和云計算能力的指數(shù)級進(jìn)步，人人都變成了“透明人”，并深陷于一個巨大的“黑箱社會”之中。由此，旨在防范他人或公權(quán)力打擾生活安寧的“隱私”概念在人工智能時代面臨著迭代更替，實現(xiàn)從個人隱私到個人數(shù)據(jù)的轉(zhuǎn)變顯得非常必要，強(qiáng)調(diào)數(shù)據(jù)主體有效控制權(quán)的“個人數(shù)據(jù)”概念應(yīng)運而生。

其三，強(qiáng)調(diào)公法救濟(jì)機(jī)制的重要性。GDPR強(qiáng)制性要求歐盟各成員國建立獨立的數(shù)據(jù)監(jiān)管機(jī)構(gòu)以及數(shù)據(jù)主體向監(jiān)管機(jī)構(gòu)投訴、受理及處理的一整套完備的行政救濟(jì)制度框架。對于人工智能時代的數(shù)據(jù)權(quán)利保護(hù)，GDPR并非通過私法權(quán)利體系及個人的司法救濟(jì)來實現(xiàn)。

其四，“軟法和硬法”的結(jié)合以及監(jiān)管部門與平臺企業(yè)的“合作治理”是歐盟的未來發(fā)展方向。從《數(shù)據(jù)保護(hù)指令》到《統(tǒng)一數(shù)據(jù)保護(hù)條例》，歐盟事實上一直致力于建立“行業(yè)行為準(zhǔn)則+法律強(qiáng)制性規(guī)范”的雙重規(guī)范體系和“數(shù)據(jù)控制者自律+政府?dāng)?shù)據(jù)監(jiān)管機(jī)構(gòu)的監(jiān)督管理”的雙重管理體系。

其五，GDPR注重“個人數(shù)據(jù)權(quán)利保護(hù)”與“個人數(shù)據(jù)自由流通”之間的平衡，特別強(qiáng)調(diào)個人數(shù)據(jù)的自由流通不得因為在個人數(shù)據(jù)處理過程中保護(hù)自然人權(quán)利而被限制或禁止。而根據(jù)最近公布的《歐盟企業(yè)間數(shù)據(jù)共享報告》顯示，嚴(yán)格的數(shù)據(jù)權(quán)利保護(hù)制度并沒有實質(zhì)性影響歐盟境內(nèi)的規(guī)模化和商業(yè)化數(shù)據(jù)共享，而歐盟精英階層也并沒有把“個人數(shù)據(jù)權(quán)利保護(hù)”定性為絕對的“政治正確”，而是采取柔性策略平衡數(shù)據(jù)共享中的價值沖突。

歐盟最新的一份人工智能報告將中國數(shù)據(jù)模式總結(jié)為：相比于歐盟和美國，在中國收集數(shù)據(jù)相對容易，其發(fā)展人工智能項目的成本較低而發(fā)展速度更快。該報告進(jìn)一步認(rèn)為，這種模式從長遠(yuǎn)看并不可行，因為成功的科技發(fā)展應(yīng)該給予個人更大的權(quán)利和自由。在筆者看來，歐盟對中國數(shù)據(jù)模式的總結(jié)帶有極大的偏見，當(dāng)然也有失偏頗。中國數(shù)據(jù)模式與歐盟和美國并沒有本質(zhì)區(qū)別，而只是發(fā)展階段和實現(xiàn)機(jī)制有所不同。

事實上，中國的相關(guān)數(shù)據(jù)立法也是建構(gòu)在個人數(shù)據(jù)權(quán)利和自由的基礎(chǔ)上，而突出數(shù)據(jù)公共利益也正是新時代社會主義立法的特色和優(yōu)勢之所在。

我國憲法本身特別重視對公民人格權(quán)的保護(hù)，而隱私主要是被放在民法總則中的名譽權(quán)范疇中加以保護(hù)，主要指的是個人的生活信息；全國人大早在2003年就提出了制定“個人數(shù)據(jù)保護(hù)法”，并一直在為此努力；2009年刑法修正案增設(shè)了“侵犯公民個人信息罪”，2013年的消費者權(quán)益保護(hù)法增加了對消費者個人信息保護(hù)的內(nèi)容；2016年的網(wǎng)絡(luò)安全法更是明確了數(shù)據(jù)控制者和處理者的法定義務(wù)，以保障網(wǎng)絡(luò)安全及保護(hù)數(shù)據(jù)主體的合法權(quán)益；2016年的最高檢和最高法聯(lián)合出臺的《關(guān)于侵犯公民個人信息刑事案件解釋》也明確解釋或細(xì)化規(guī)定了“個人信息”“違反國家有關(guān)規(guī)定”“提供公民個人信息”及“情節(jié)嚴(yán)重”等不確定概念；2017年的推薦性國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》更是從信息權(quán)利保護(hù)的角度全面規(guī)定了個人信息的收集、保存、使用以及委托處理、共享、轉(zhuǎn)讓及公開披露等內(nèi)容。

由此，與歐盟相比，中國數(shù)據(jù)治理模式同樣注重個人數(shù)據(jù)權(quán)益的保護(hù)，也強(qiáng)調(diào)以大數(shù)據(jù)和算法為基礎(chǔ)的人工智能是否能給全體人民帶來福祉。

中國的理想圖景如下：

未來的中國數(shù)據(jù)治理應(yīng)當(dāng)首倡試驗主義治理模式，這是數(shù)據(jù)監(jiān)管領(lǐng)域的“摸著石頭過河”。由于人工智能時代的不確定性和變動性，我國應(yīng)當(dāng)構(gòu)建一種試驗主義的治理模式，建立的是臨時性的數(shù)據(jù)保護(hù)框架，并且根據(jù)不同環(huán)境下執(zhí)行效果的遞歸評估而不斷對這些框架進(jìn)行深化并修正，等到時機(jī)成熟和經(jīng)驗豐富，再最終上升為法律。事實上，這也是我國為何遲遲不出臺強(qiáng)制性的硬法——個人信息保護(hù)法，而僅僅制定軟法性質(zhì)的指導(dǎo)性國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》的主要原因之一。

未來的中國數(shù)據(jù)治理，強(qiáng)調(diào)數(shù)據(jù)權(quán)利等個人利益與數(shù)據(jù)流通、共享及利用等公共利益的平衡，是一個以多元、開放、分享為基本特征的整體性體系，市場、社會及國家這三種治理機(jī)制循環(huán)往復(fù)，同時還包括國家內(nèi)部的立法與行政、中央與地方之間的雙向自循環(huán)系統(tǒng)，共同形成一個整體的四重雙向治理生態(tài)。

(作者系上海交通大學(xué)法學(xué)院副教授)

融合網(wǎng)|DWRH.net關(guān)于本文的聲明：

文章來源及作者信息：本文作者為上海交通大學(xué)法學(xué)院副教授何淵，刊登在法制日報·法治周末報第419期。

自2017年4月1日開始，《法治周末》報社與融合網(wǎng)|DWRH.net正式簽署相關(guān)合作協(xié)議，其中包括上述兩大平臺原創(chuàng)內(nèi)容的互相轉(zhuǎn)載、共同撰寫等相關(guān)事宜。

在合作期間，融合網(wǎng)|DWRH.net已獲得《法治周末》報社文章轉(zhuǎn)載的合法權(quán)益，敬請周知。在貴機(jī)構(gòu)尚未從相應(yīng)版權(quán)方處獲得正式授權(quán)前，請勿轉(zhuǎn)載。

本文僅代表作者觀點，不代表融合網(wǎng)立場。如對本文有異議，請及時與融合網(wǎng)值班編輯（具體聯(lián)系方式請見融合網(wǎng)首頁底部的“聯(lián)系我們”）聯(lián)系與溝通。