投资欧洲如何通过欧盟数据保护大考

“我们的个人数据，就像视频里全身赤裸的男子一样，在互联网上‘裸奔’。”欧盟发布的《保护个人数据》的公益视频里这样描述数据安全问题。

“近年来，欧盟先后出台《通用数据保护条例》（GDPR）、《欧盟非个人数据自由流通条例》和《网络安全法案》等多项文件加强数据安全管理，今年还将提出《数字服务法》草案，进一步规范数据监管。”加拿大BCF律师事务所律师丹尼尔在接受《中国贸易报》记者采访时说，据国外媒体报道，爱尔兰数据保护委员会日前表示，其最终敲定了一份与推特数据泄露有关的决定草案，并要求欧盟其他国家的监管机构予以批准。

“这对每个前往欧盟的企业都是一次‘考试’。”丹尼尔建议，中企最好按照中国数据保护法进行制度完善后，再对比欧盟规范进行升级。4月9日发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》，将数据和土地、劳动力、资本、技术等传统生产要素并列，明确了数据这一新型生产要素的重要地位。

对比《通用数据保护条例》与《网络安全法》，丹尼尔向记者介绍说，欧盟《通用数据保护条例》对隐私原则规定包括合法性、公平性和透明性，目的限制，数据最小化，准确性，限期储存，数据完整性与保密性，可归责性。而我国《网络安全法》强调合法性、必要性和适当性。在知情权和同意原则方面，《通用数据保护条例》强调具体、知情且明确的同意。而我国法律没有明确规定，但在国家标准中，逐步引入细节标准，如《个人信息安全规范》和《个人信息告知同意指南》。《通用数据保护条例》规定了访问权，而我国没有直接的条文规定，访问权是市场惯例，且写入国家标准《个人信息安全规范》。《通用数据保护条例》规定可更正不准确的数据、完善不充分的数据。《网络安全法》允许更正错误信息。《通用数据保护条例》关于排除权（被遗忘权）的规定是，当个人数据有如下情形之一时，排除该数据：数据不再必要；同意已被撤回；反对数据处理，且没有进行处理的压倒性正当理由；非法的数据处理等。而《网络安全法》规定，如网络运营者违法收集，使用个人信息的，或收集、存储的个人信息有错误的，要求网络运营者删除其个人信息。

“同时，可以结合《民法典》中侵权责任部分的规定，进一步完善企业数据保护体系。”丹尼尔说。今年2月，欧盟委员会发布《欧洲数据战略》公报，概述了未来五年在人工智能、数据治理、网络安全等领域的政策走向。欧盟立法者已经认识到当前数字化转型给全球经济和社会环境带来的剧烈变化和巨大机遇，力求抓紧数据革命新机遇，建立欧盟数据经济竞争优势。

“在此过程中，既有限制也有机遇。”丹尼尔介绍说，《欧洲数据战略》公报强调跨部门治理、数据投资计划、赋能个人数据权利、数据空间计划。其中，数据投资计划强调构建数据存储、处理、使用和流通能力完善的基础设施和数据空间，值得中国企业关注。

“中国企业可以在构建符合标准的数据空间、满足监管需求等方面发掘商机，在数据保护方面领先竞争对手。”丹尼尔强调，面对人工智能与区块链等新科技给数据保护带来的挑战，不存在简单的应对方案。大部分数据保护法规以隐私原则为基础，但这些原则时常与人工智能、区块链等技术不相容。人工智能与区块链是具有革命性的技术，并且具有排除和误导的能力，在缺少更为清晰指令的情况下，建议投资欧洲的企业优先考虑数据保护原则。