中國“一帶一路”的握手肯定是友好的，然而握手不一定每次都是友好的。5月25日歐盟的《通用數據保護條例》正式生效，這部法律被稱為史上最嚴苛的數據保護法案，罰金最高達到2000萬歐元，相當于1.5億人民幣，要么是罰全球的4%的營業額，兩者取其一最高的。所以我們看到，中國企業有更多的服務全球的用戶，但企業如何規避相關的法律風險。對此，北京信息資源中心副主任穆勇先生，在7月7日，由企業網D1Net主辦的“2018一帶一路與信息化發展研討會”現場為大家解讀《一帶一路上新壁壘，歐盟《通用數據保護條例》對我國企業影響與應對》。

以下為現場速記：

【北京信息資源中心副主任 穆勇】

穆勇：各位領導，下午好!我把學習《通用數據保護條例》的一些體會向各位領導做一下簡單的匯報，很多方面可能是我們自己的觀點，不見得對，歡迎大家批評。

“一帶一路”為什么叫新壁壘呢?其實這個壁壘是相對來說的，對于我們的企業特別是我們的互聯網企業，還有一些所謂的數字經濟企業電商之類的，確實是我們所遇到的一種壁壘。而且這個壁壘與我們相關的經濟進行比較，會發現這個壁壘還是一種非常高的壁壘，我們現在很多企業還做不到這一步。

《保護條例》是5月25日正式生效的，這個《條例》可以說目前為止是已經正式生效的最嚴苛的個人數據保護的法律，而且是正式實施的法律。它把數據主體的個人數據權利可以等同于他的基本人權，特別是像隱私權，而且這里面對于個人數據的保護，我總結一下主要是有三方面的權利是非常重要的：

第一是知情權，所有的數據處理，不管是采集、加工、處理、還是交易、還是怎么來處理，我必須知道數據主體，這是一個知情權。

第二是選擇權，這些數據怎么來處理、處理得合不合規、找誰來處理、這個選擇是不是讓你處理、處理的結果能不能用、包括轉移，這些選擇和操作的權利也是信息主體個人的。

第三是所有權，這個數據不管是經過怎樣的加工，最后它的權利還是這個人的，不是說經過加工之后，這個數據的權利就變成了我們企業的、變成第三方的或者其他機構的。而且這個權利是不但給出詳細的規定，而且有具體的要求和方法。所以說，這個《條例》是非常重要的一個條例。

這里面有七個方面的原則，而且實施是在31個歐盟國家和歐洲自由貿易聯盟實施的。它不同于一般的指令，它是直接的法令，這些國家要實施這些法令，這是它的一個特點。另外它對于數據處理的原則，大家可以看一下，是非常嚴格的，合法、公正、透明。雖然我們國內的相關法律也是這么說的，但是實際上我們缺少非常詳細具體可操作的規定，這里面是非常詳細的。包括它的限制、包括它的最小化準確數據處理、保密、安全、問責和責任等等一系列具體的原則，包括一些具體的數據主體的權利，拒絕數據處理、糾正或刪除請求處理的數據被遺忘。

這里面可能有很多具體的條款，由于時間關系我就不展開說了。比如說糾正或者說刪除，大家看一下具體的權利。某個企業用你們的數據進行個人畫像，這些畫像必須經過信息主體的同意，我認為這個像畫的是我，我認可了，你這個企業才能用。如果不同意，你是不能用的，你要修正。而且我開始的時候同意你采集了數據，后來我覺得我不需要你繼續處理了，我可以要求你刪除等等。具體的條款非常詳細和具體。

里面有一個非常有特點的是數據可攜帶權，這個打一個比方，比如說我在某一個互聯網上進行了操作，在互聯網上留下了我的相關信息、包括相關的衍生數據，我現在不想再上你這個網，我想上另外一個網，你這個企業要把我的數據多打一個包，按照我要求的格式傳給我，我可以拿它同時到別的網上繼續來開展我的業務。你看這個個人的權利多大，而且這些都是企業的相關義務，必須要做到的。

其實這一條也說明了什么呢?歐盟的《條例》看起來是一個個人信息保護的條例，其實他在個人信息保護的同時，也在促使信息的流動和共享，這個權利也是這么一個典型的例子。這里面有很多的具體規定，時間關系我就不具體說了。另外這里面有一些規定是對于數據流通的，也就是說不同地區的數據保護條例的水平不一樣，比如說你在歐盟歐美國家進行了評估，他認為他的保護水平比較高，他認為保護高的數據在跨國公司，這個數據在傳輸的時候只能是從低的往高的地區流動，不能反過來操作。

也就是說，如果有一個企業是全球化公司，他的數據存在了歐盟的相關國家，他要向中國的地區傳輸數據，他是不允許的，實際上是一個對于數據保護的要求。如果說不按照這些具體要求進行操作，他的處罰是非常嚴格的，而且也是非常高的。他有兩個選擇，如果你處理了，沒有承擔相關的義務和責任的時候，他的處罰是1000萬歐元和2%的全球營業額，兩者選最高的，這是一類。還有一類是說你對于個人信息處理，如果是侵犯了相關的規定、違反了相關的規定，他的處罰是2000萬歐元會全球營業額4%的處罰，也是以兩者為高的選擇一個。

如果說我們的一些企業觸犯了他這部法律的相關規定，他的處罰是非常高的。同時還有一個管轄原則方面的規定，要求也是非常高的。所謂的場地管轄原則，第一個是說如果你這個公司在我歐盟相關的地區設立企業，特別是我們的相關企業必須要遵守本地的法律法規，這是毫無疑問的，這是可以理解的。另外還有一個原則是只要我歐盟的人在世界各地，如果你這個企業觸犯了我的相關規定是同樣的，如果說歐盟的成員國相關的人員到了北京，北京的企業處理我的數據沒有按照我的規定來進行處理，我也可以按我們的規定來對你進行處罰，這就是所謂的場地原則。

大家可以想想看，這兩個原則加在一起，其實是對我們的企業是相當不利的，而且我們看一下“一帶一路”，因為今天的題目是“一帶一路”，我們看一下其實和歐盟的國家直接相關的東歐有16個國家，還有一些其他的歐盟國家，像希臘等其他國家都在這個范圍之內。我們中國的企業走出去，其實除了我們傳統的一些建筑修路修橋之外，可能還有點優勢的就是我們的互聯網金融企業、互聯網企業或者電商企業。

我們要想到國外去發展，這肯定是我們的一個很大的無形中的非關稅的壁壘，如果你做不到這樣的話，一是你在那邊沒法開展業務，二是就算你開展了業務，在國內你做得很好，你要到那兒去開展相關的業務也會面臨方方面面的阻礙。平時他可能說我不管你，但是他真想罰你的時候，我估計就不是像美國對中興的事罰你10億美金了。你想如果阿里被罰一下，他的全球營業額的4%，而且處罰肯定是上限，包括我們的百度、包括我們的京東、包括我們的BAT，因為不見得是到他們那邊去開展相關的業務，歐盟的人在北京，你給我提供了服務，你沒有按照這個要求做，我就可以罰你。

所以說，從這個角度來說，《通用數據保護條例》的發布其實無形中給我們增加了一個新的阻礙，這是我的一個觀點。另外一個，這個事情對于一些大企業來說，可能稍微還可以處理，比如說我們也問過相關的大企業，他說我們有兩個版本，第一個是對歐洲國家采用的一個版本，就是按照他的要求來做。我說國內的怎么辦，萬一歐盟的人到這兒來旅游，你不小心觸犯了怎么辦?他說現在還沒有想到相關的對策，這是一個。

另外一個最大的影響是我們相關的中小企業，這個成本無形中會增加很多，原來我們很多的業務都是通過免費的或者不受影響的開展個人畫像、廣告、推送等東西來做的，現在變成這樣，第一個是你原來的業務很多做不了，第二個是增加了一大塊很大的關于數據保護方面的成本。而且同時現在給我們造成壓力的，不僅是歐盟國家這么做的，相關的一些發達地區像澳大利亞、新加坡、美國等也都是在做這樣的工作。這確實是給我們無形中產生一個壓力，但這既是機遇，也是挑戰。

5月25日我特意上網看了一下，我們國內的企業其實已經開始應對了，比如說這是中國國際航空公司，我在網上看了一下，他在25號馬上就把他的所有隱私政策全調回來了。因為他覺得他自己是最可能會被處罰的一個企業，因為他要飛歐盟國家，另外他的乘客乘員肯定有大量的是歐盟國家的人員。同時我們看了一下我們國內的一些跨國五星級酒店，你看他的隱私政策，他已經變過來了。特別是一些大的，雖然不是互聯網企業，但是他要想和歐盟進行對接，他必須要做這項工作。

同時相關的《通用數據保護條例》在歐洲國家已經開始實施，并且首個違反相關規定的判例已經出來了，他設立了專門的法庭或者保護人員來處理這方面的案件?，F在首個具體的案例我就不展開說了，這個大家能看到。同時相應的美國相關的一些洲、一些國家也在不斷的抬高個人數據保護的門檻，其實我覺得這從某種程度來說，對我們國內造成了壓力。

我們再看一下，比較一下國內的相關法律法規，比較起來才知道我們現在走到哪一步。國內相關的法律法規也有，但是相對來說都是比較宏觀、模糊、不可操作的，缺少可操作性。除非是你觸犯了非常嚴重的問題，包括相關的標準，其實這是一個國家推進個人信息保護的相關標準，因為它是一個推薦性標準，所以沒有法律、沒有約束力，你可以使用、也可以不使用。特別是他違反了之后，你還沒法處罰。所以我們國內在這個方面，我們的起點和歐盟國家相比較而言，我們是非常低的。

如果是數據保護過于嚴苛，可能會對我們的企業產生很大的影響，所以我們現在采用的政策更多的是比較寬容的，為了促進產業的發展比較寬容的對待個人數據的使用，所以才出現了現在的各種問題。比如說有些企業家就說了，我們中國人愿意占便宜，愿意通過使用我們的個人數據來換取免費的服務，實際上這是不對的。而且它不僅是說我收集你我應該用的數據，而是說相關的數據我要大量的采集。所以我們國內比較起來，我們國內對個人信息的使用更多的是包容。我總結出來實際上是過度的包容，沒有守住審慎的底線，造成了相關的侵犯個人信息的事件，包括惡性事件不斷有發生，影響了用戶對企業的信心。

我想了一下，這是不是和我們以前走過的路有點類似，我們改革開放之初，我們為了發展經濟，忽略了環保，走的是一條“先發展、后治理”，以至于現在拼命治理，下最大的決心、最大的力度來治理，花很大的成本來糾正以前的錯誤的道路。是不是這樣，我現在無法判斷，但是我們現在的政策，我的總結認為是過度的包容。而且這樣對我們以后“一帶一路”的發展是極為不利的，現在你要走出去，國外的環境條件和我們是有很大差別的。

我們的一些產品、我們的一些服務，你在國內的時候沒有做大的時候，人家是不會管你、不會處理你、不會處罰你。但是你一旦做大的時候，他關注你的時候，特別是你要到歐盟國家去發展的時候，你就會面臨這樣的問題。而且你要從頭來，重新設計你的產品、設計你的服務的時候，我估計那個成本也是會很高的。所以說，我們應該采取相應的對策來解決這方面的問題。包括高度的重視個人數據保護，怎么來行使相關的權利和操作的規程，包括數據處理機制、數據保護關、應急等等具體的規定，具體就不展開說了。

同時我們國家應該提高我們自己的個人數據保護的門檻，我的一個感覺是現在從兩頭來走，歐盟國家是從保護往使用、共享中間這邊過度，我們是從使用、共享再往保護階段來過度，他們兩可能會在一個階段進行交匯。如果說我們要在全球數據保護的網絡空間治理上有一定的話語權，我們一直在強調中國互聯網和國際互聯網增加網絡空間的話語權，我們需要占領所謂的道德高地，同時也是保護我們自己的利益。在這里政府部門要起到重要的作用，而且政府部門是作為數據處理的所謂的公共當局，也是和一般企業要承擔相應的責任的。

所以我們應該限制政府對個人數據的使用方面的要求，特別是像我們的一些國際化大都市，像北京這樣的幾個地區，你要舉辦奧運會，你要舉辦冬奧會，舉辦大型的國際活動，大量的國外人員在這邊開展相關的工作，如果你這方面做得不夠，肯定是會有問題的。同時在這個階段，我們要注意支持我們的中小企業開展相關的工作。特別是降低我們的風險，幫扶小企業采取相關的措施來應對。同時和歐盟相關的國家進行協商，看看能不能做談判。像貿易關稅一樣，確定對我們國家適用的個人數據處理的一種協調機制，來減少不必要的貿易糾紛。

個人數據為什么說在我們這一塊處理起來難呢?其實第一個問題是，一個數據的處理不僅涉及到你這個人提交一次，而且在不同的環節有不同的主體來進行處理。第二個是多元主體多步驟操作，第三個是數據的確權，確權問題一直在我們國內沒有解決。當然了，國外也有一些不同的方法來進行相關的處置，可以供我們參考。這是所謂的財產權利，一個是確權問題，一個是財產權利如何進行平衡。平衡這里面有一種機制，我們叫做保護與共享的平衡機制，怎么來通過確權和利益的保護進行平衡，保護各方的權利，一個是責任規則、一個是財產規則。

我們稍微解釋一下什么叫財產規則，一個主體授予他財產規則之后，如果別人要獲得這個權利必須要經過他的同意，這個叫財產規則。還有一個叫責任規則，責任規則是說他獲得權利之后，你要征得他的同意，如果他不同意，由第三方來給一個價格或者一個方式來進行處理。打個比喻，像我們蓋樓或者修路，有一個房子要拆遷，如果是一般的房地產商業的開發，這個屋子的權利就是財產權利。你要想拆我的房子，你必須給我一個滿意的價格，我同意了你才能拆。但是如果是修路，公共利益，對不起，你要2000萬我沒有，我只能給你1000萬或者說500萬，這是屬于責任規則。

我們認為，個人信息的保護和使用，根據不同的情況，不能一刀切。特別是我們的政府部門，我們不管是向外開放數據、還是政府購買企業和個人的數據的時候，也都是根據不同的情況采用不同的規則來進行處置。

時間關系就說到這里，如果說得不對的地方，歡迎大家批評指正，謝謝大家!