現在，包括Airbnb、LinkedIn、Instagram、Twitter、谷歌在內的多家公司都已經更新了它們的政策以此來滿足GDPR的規定。另外它們還向使用者發出郵件告知他們擁有選擇是否加入資料收集服務的權利。雖然歐洲使用者是GDPR的唯一受益者，但由於一些公司選擇只制定一套規定所以它還是可能會間接地影響到歐洲以外的市場。

雖然更改內部資料收集政策看起來相對簡單，但卻會給公司的財務收入帶來重大影響。許多公司都是依賴於從使用者那裡收集資料獲得廣告收入，而正因為如此它們才有獲得免費的服務。由於新規將允許使用者刪掉他們的資料，所以一些公司可能會損失掉數十億的營銷收入。這意味著使用者未來將可能需要為自己喜歡的服務付費。

分析|“史上最嚴”歐盟資料保護法將生效 如何倒逼全球企業歐盟推出首部個人資料保護法，且管轄範圍不限於歐盟境內。包括面向歐洲市場的中國電商，甚至是中企與歐洲子公司的資料溝透過程，都面臨新的合規風險

歐盟《資料保護基本條例》（General Data Protection Regulation，下稱《資料條例》），將在5月25日全面生效。近日，已有不少海網路站與應用發出使用者條款更新提示，使用者若遲遲未點選同意，則將無法繼續使用服務。

《資料條例》要保護的是自然人的“個人資料”，只要該資訊能被用於識別個人身份即為個人資料，例如：姓名、地址、電子郵件地址、電話號碼、生日、銀行帳戶、汽車牌照、IP地址以及cookies等。此外，健康、宗教信仰、政治觀點、性取向更是屬於高敏感級別個人資料，保護力度更大。

值得注意的是，這部歐盟法律的管轄範圍並不侷限於歐盟境內。因為《資料條例》採用了“市場地原則”，亦即任何企業只要在歐盟市場提供商品或服務，或收集個人資料，都在這部法律的管轄範圍。

舉例而言，如果一家中國線上銷售公司的網站上，使用“面向歐洲的特惠產品”、“歐洲區包郵”的字樣，或者標註了商品的歐元價格，就可以被視為在歐盟市場提供商品或服務，並受到該法律管轄。

收集個人資料的行為包括所有形式的網路追蹤，例如透過“cookies”（某些網站為了辨別使用者身份，儲存在使用者裝置上的資料）或社交媒體外掛，來觀察、收集、評估客戶、員工或其他人的購物習慣、行蹤、行蹤等。

企業如果違反了《資料條例》，罰金最高可達2000萬歐元（約合1.5億人民幣）或全球營業額的4%，以高者為準。

受《資料條例》規範的行為主體包括任何處理歐盟地區個人資料的自然人、法人、公共當局等，統稱為“責任人”。包括網頁運營者、搜尋引擎服務商、社交媒體服務商、酒店、線上電商等都可能是責任人。接受委託處理資料的“受託資料處理人”，例如雲服務提供商，原則上也要遵守《資料條例》相關義務。

為維護企業利益，《資料條例》允許歐盟企業在集團內部進行資料交流，但如果位於歐盟的企業要向歐盟以外傳輸資料，則需要滿足特定的條件。例如：中國企業的德國子公司，若要把收集到的客戶個人資訊傳給中國母公司，就屬於這種情況。

首先，如果資料傳輸目的地屬於歐盟委員會認定“具有適當資料保護水平”的地區，就可以自由傳送。這些國家有安道爾、阿根廷、加拿大、法羅群島、根西、以色列、馬恩島、紐西蘭、瑞士和烏拉圭。

如果目的地沒有獲得這樣的認可，責任人則需要充分保證和該資料相關的個人（下稱相關人）的權利。《資料條例》規定了幾種可能性，例如：確保位於目的地的公司，實施了具有約束力的資料保護規則。

此外，在相關人全面瞭解風險後明確同意，為了履行與相關人的合同，為了公共利益，或是為了行使和防禦法律權利所必需的情況下，責任人也可以向第三國傳輸資料。責任人必須明確記錄對資料的處理活動、資料傳輸可能的風險，以及第三國適當資料保護的保證。

相較於世界上其他區域，歐盟素來更重視隱私和個人資料保護制度。《資料條例》全面涵蓋了適用範圍、原則和定義、責任人的義務、相關人的權利、監管機關、罰則等內容，堪稱“史上最嚴”。相對於中國的資料隱私保護立法，目前中國僅有《電信和網際網路使用者個人資訊保護規定》、《徵信業管理條例》和《網路安全法》等少數幾部法律檔案涉及個人資訊保護問題，但這些立法層級不一、內容碎片化，且多為原則性規定，在實踐中效果有限，個人資料保護在中國還沒有引起法制面的足夠應對。

在《資料條例》之前，歐盟關於資料保護的統一指引是1995年的《個人資料保護指令》。

那時還沒有智慧手機，社交網路、電商平臺和線上廣告還在初始階段。為了適應20多年間技術的快速發展，歐盟成員國又陸續出臺了自己的法律，導致各個國家之間的資料保護水平各異，不利於歐盟內部市場的發展，統一立法的呼聲漸起。

指令和條例是兩種不同的歐盟法律形式：指令不直接適用於各國，要由成員國轉化成國內法，在轉化過程中，成員國還有一定的裁量空間；條例則直接在成員國適用。因此，《資料條例》是首部直接適用歐盟各國的資料保護法律，經過兩年的過渡期後，即將全面生效。

《資料條例》保留了歐盟法律中既有的資料保護原則，同時又有新的發展。其中，最重要的原則就是“合法性原則”。它的意思是，只有在兩個條件下才能收集和處理個人資訊：要麼有法定事由，例如為了國家安全和公共利益，要麼有相關人的同意。

《資料條例》擴充套件了歐盟原有法令中關於相關人權利的規定。

傳統上，只有物質損害才能獲得賠償。但這一新法實施後，相關人還可以要求精神損害賠償。

相關人有權要求責任人免費提供一份儲存資訊的副本，還擁有更正資訊、限制處理的範圍、提出抗告、向監管機關申訴、尋求法律救濟的權利。

《資料條例》還首次明文規定了“遺忘權”，個人可以要求責任人刪除關於自己的資料，只要滿足法定的理由，責任人就應當立即刪除。這些理由包括：該資料對於收集資料的原目的而言，已不再是必需；個人撤回其關於收集資料的同意；責任人對資料的處理不合法；刪除資料是履行歐盟或其成員國法律義務所必需的；媒體、網店或線上遊戲服務商等收集了兒童的個人資訊。

此外，可以依據《資料條例》提出法律救濟的物件不只有權利受侵害的個人。消費者保護協會或資料保護領域的團體既可以代表個人，也可以主動地對違反《資料條例》的責任人採取行動。

在德國，如果提告人結合使用德國《反不正當競爭法》和歐盟《資料條例》，理論上，市場競爭者也有可能對責任人違反資料保護的行為進行法律行動。因為《資料條例》的目的之一，就是透過統一的資料保護法，創設公平的市場環境。具體情況還有待《資料條例》生效後進一步觀察。

概括而言，網頁上應當有資料保護宣告，這份宣告必須能夠使每一位訪問者清楚地知道，是誰在提取、使用自己的個人資訊，在多大範圍內、出於什麼目的使用和提取。

此外，宣告必須告知網頁使用者所享有的權利，以及提出抗告的方式。因此，網頁上要有運營者的聯絡方式，還要說明負責資料保護法律事務的聯絡人。

有一個普遍的誤解是，網頁運營者常認為，一旦使用者登入網頁，就已經表示他同意網頁收集他的資料。

雖然，單純收集使用者的動態IP地址是屬於法定許可範圍，但若要收集和處理其他資訊，例如透過聯絡表單的方式要求使用者提供姓名、電子郵箱地址和電話號碼等，符合《資料條例》的做法是要取得使用者事前的同意。

在網頁上使用社交媒體外掛和Cookies，也必須得到使用者的同意。文章網頁設定的“分享按鈕”是種常見的社交媒體外掛，以分享一篇新聞文章至Facebook為例，使用者點選分享按鈕時，新聞網站會彈出一個預填了新聞網址的Facebook視窗，讓使用者再度確認貼文內容、點選“分享”。

在這過程中，新聞網站不僅向Facebook傳輸了文章網址，還把使用者的IP地址被傳輸到了Facebook。根據《資料條例》，新聞網站應提前向用戶取得傳送IP地址的許可，不然不得為之。

某些電商網站會用“Cookies”自動記錄客戶的搜尋和購物記錄，以便有目的性地推薦商品。

在《資料條例》框架下，網頁經營者必須事先向客戶說明Cookies的功能，並獲得使用者的同意，否則，“未告知記錄使用者行為”會違反法律。

為應對新條例的實施，企業網站經營者應儘早盤點資料安全標準，採取匿名化、資料加密等措施，特別是對於有內嵌網店或聯絡表單的網頁。這些機制能在傳輸過程中保護使用者的銀行卡或其他個人資訊。

《資料條例》沒有強制要求實施加密措施，加密僅是有助達到法定資料保護水平的措施之一，是否必須、在何種程度上實施加密，取決於個案考量。

此外，根據《資料條例》的“最少資料原則”，網站運營者未來只能在必需的時間內，儘可能少地儲存資料。這一要求可以透過技術設計或預置來實現。例如，透過資料聚合手段，彙總個人資料的處理，並由此實現最小化，或者實施軟體控制的刪除週期，以確保資料在規定的期限後將被自動刪除。

為了應對《資料條例》，涉足歐洲市場的企業應儘早進行內部自查，並採取相應的措施。

（作者為德國法學博士、法蘭克福SZA律師事務所中國業務部成員）

王劍一

德國 法蘭克福

責任編輯 | 餘佩樺

運營編輯 | 賈珍珍

版面編輯 | 彭寧楠

《一般資料保護法案》（General Data Protection Regulation，簡稱GDPR）將於今年5月25日正式生效，歐盟由此大大加強了對個人資訊保護。按照新法案的要求，任何能夠追溯到自然人的“個人資料”，例如姓名、地址、生日、身份證，乃至醫療檔案、IP地址、位置記錄等等，均將受到前所未有的嚴格保護。而資料控制人或使用者最高將面臨高達全球年營收4%或者2000萬歐元（約1.5億人民幣）的鉅額罰款，且以二者中較高者為準。

對此，普通網路使用者深表歡欣，但大多數企業都怨聲載道。舉兩個常見的例子：

例如，某自由職業作家開設了一家個人網站，對其工作感興趣的人可以訂閱最新動態，他累計了一定的讀者群體並以此作為主要宣傳渠道。隨著新法規的實施，這些訂閱者的姓名、郵箱等資訊必須受到嚴格保護，但這位自由職業者對資訊科技、法律事務缺少專業經驗，能否繼續使用原有的推送渠道、如何足夠安全地儲存個人資訊，都不得不打上問號。

又如，一位貨運公司有20輛卡車，聘請司機進行長途運輸。為了規範運營、控制油耗成本、避免司機疲勞駕駛，公司在卡車上安裝了定位，並通過後臺收集位置資料。隨著新法生效，這些位置資料也成為重點受保護物件，其收集、處理及儲存都面臨很高的技術和法律要求。

從大型公司到網店店主，紛紛對此憂心忡忡。最高興的大概是諮詢公司和律師，平時精打細算過日子的中小企業主不得不給他們提供了一大筆生意。

德國工商大會對媒體表示，GDPR是一項“巨大的挑戰”，尤其是中小型企業的合規性運營將受到顯著影響。鉅額罰金逼得企業不得不投入相當的成本，但違規風險仍然驚人。一旦涉嫌違反《法案》規定，就可能被使用者、競爭對手、監管機構告上法庭。

據統計，截至2018年4月，僅有13%的德國企業認為自己在技術和法律層面已經為新出臺的《法案》做好了充分準備。新法實施初期，預計歐盟境內將出現一個相關的案件訴訟高潮。