欧盟用户或许记得微软承诺通过 “ 通用数据保护条例 ”（简称 GDPR）来加强成员国内的数据安全，且这家公司会在 2018 年 5 月 28 日正式遵从 GDPR 。

在一篇博客文章中，微软全球副总裁兼总顾问 Rich Sauer 披露，该公司已经开始向公众提供符合欧盟法律规定的服务，旨在带来‘ 与 GDPR 相关的重要保障 ’。Sauer 表示：“ 我们坚信隐私是基本权利，而 GDPR 是澄清这点的重要一步。借助后续更新，我们可以让你遵从新规。在这个过程中，我们会继续推进个人隐私的防护 ”。

对于大企业来说，迎合新法规需要预先经过诸多调整，不过这家软件巨头在 “ Trust Center ”页面给出了一些建议（涵盖所有必须的信息，提到了 Windows / Windows Server，以及 Azure 和 Office 365 等云服务），以供业内参考。

GDPR 向欧盟用户提供了对自己部分数据集的控制权利（data subject rights）这包括 ——

● 用通俗语言阐明如何访问现有信息、以及将个人信息用于何处；

● 访问个人数据；

● 删除或更正错误的数据；

● 可在某些情况下调整和擦除个人数据；（简称 “ 被遗忘权 ”）

● 限制或反对处理个人数据；

● 索取一份个人数据的副本；

● 反对将数据用于某些特定的用途，比如营销和分析。

稿源：cnBeta；封面源自网络

from hackernews.cc.thanks for it.

拓展阅读(点评/知识)：

欧盟《通用数据保护条例》详解（附PPT简析+专访）

Part1：详解

欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR，以下简称《条例》）将在2018年5月25日正式生效。考虑《条例》所作出的一系列的重大制度改革，2年过渡期并不是那么宽裕。为踏上数字时代新秩序的起跑线，全球企业都在积极准备。合规不仅因为高昂的处罚而攸关企业生死线，更决定了如何合法地应用新技术、业务创新来获取基于个人数据的巨大价值。本文全面梳理《条例》带来的重大变化，既为企业参考，也为我国政府考虑大数据背景下的数据保护规则提供新视角。

条例适用范围从属地主义向属人主义扩展

1995年《个人数据保护指令》（以下简称《指令》）的适用范围取决于属地因素，要么机构的成立地在欧盟，要么利用了欧盟境内的设备进行了个人数据的处理活动（仅仅是传输通道除外）。《条例》不仅考虑属地因素，还增加了属人因素，总体来说有以下几点。

对于成立地在欧盟的机构来说，法律的适用范围并没有发生大的变化，但强调了无论数据处理的活动是否发生在欧盟境内，都统一遵循条例。

对于成立地在欧盟以外的机构来说，则适用属人因素。只要其在提供产品或者服务的过程中（不论是否收费）处理了欧盟境内个体的个人数据，将同样适用于《条例》。

任何网站甚至手机软件（APP）只要能够被欧盟境内的个人所访问和使用，产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元，都可以被理解为该产品、服务的目标用户包括欧盟境内用户，从而需要适用《条例》。这也是缘何《条例》在全球引起极大震动的核心原因之一。不论是银行、保险、航空等传统行业，还是电子商务、社交网络等新兴领域，只要涉及向欧盟境内个人提供服务并处理个人数据，都将落入《条例》适用范围，除非放弃欧盟5亿发达人口市场！

统一的法律规则，但仍有例外

此次立法主旨之一是结束1995年《指令》以来各成员国之间的数据保护法律制度差异问题，条例的统一规定将直接适用于各成员国。但值得注意的是，《条例》仍然为各成员国预留了一定自主空间，例如：

1.《条例》对于儿童个人数据做出了特殊保护规定，但允许成员国对于儿童的年龄标准在13-16岁之间做出调整（第8条）。

2.在处罚方面，《条例》规定了实施行政罚款的一般性条件，但同时也授权成员国规定其他处罚类型的规则，这些处罚可以适用于违反了条例但并不符合行政罚款条件的违法行为（第84条）。

3.数据保护官的设立，除了《条例》规定的必须设立数据保护官的情形，还授权成员国可以扩展必须设立数据保护官的其他情形（第37条）。

4.成员国可以在未来针对基因、生物识别以及健康数据的保护做进一步规定。（第9条）。

5.成员国可以依据条例的基本原则，针对雇佣领域的数据保护，做出进一步的规定（第88条）。

除以上列举之外，此类授权成员国可作出进一步具体规定的条款在《条例》中还有很多。因此，尽管统一的《条例》为企业大大降低了合规的复杂性，但仍需注意到统一之外的差异性。

一站式监管

对于向欧盟不同国家提供业务的企业或者在不同国家都有设立地的企业来说，《条例》会极大减轻合规成本。企业不再需要与多个不同成员国的数据监管机构打交道，企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力，其效力辐射于全欧境内。

当然，为保证监管的协调统一性，《条例》为此精心设计了一套复杂的咨询机制。主导监管机构的监管决定要最大程度上反映其他成员国监管机构的意见。如果不能达成一致意见，则交由欧盟数据保护委员会来处理（第56、60、61条等）。

处理数据须有合法理由

处理个人数据必须要有合法理由，包括数据主体的同意、为了履行合同需要、履行法定义务的需要以及数据控制者的合法利益等。

1.关于同意的认定标准更加严格。同意必须是具体的、清晰的，是用户在充分知情的前提下自由做出的。如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围，则需要向用户做出单独明确的说明；如果将同意数据处理作为签订合同的前提条件，而这种数据处理事实上超出了提供服务所必需，将违反有关“同意应当是自由做出”的规定（第7条）。

在这种高标准下，虽然《条例》并没有明确禁止“默示同意”模式（敏感数据处理、数据画像活动例外），但在实践中通过推定方式获得用户同意将很难被认为是有效合法的。也就是说，当前实践中普遍存在的通过冗长晦涩的隐私政策来获取用户同意，或者让用户在签订业务协议时通过“打钩”方式作出一揽子授权的方式将失去合法性。业界普遍认为，《条例》关于有效合法同意的严格规定，使得用户的同意不会像现在这样被轻易获得。

更重要的是，《条例》赋予了数据主体可以随时撤回同意的权利。数据控制者应当明确告知用户现有该权利，并为用户方便的行使该权利提供便利。

在处理儿童个人数据时，必须获得其父母或者其他监护人的同意。并且该举证责任在于数据控制者，数据控制者必须能够证明其从监护人那里获得了同意（第8条）。

2.关于敏感数据的处理。敏感的个人数据包括能够揭示个人的种族、政治倾向、宗教和哲学信仰、商业团体资格、以及关于个人健康或者性生活的数据，在敏感数据类型中，条例还明确加入了基因数据和生物数据，这类数据的处理能够唯一的识别出特定个人。（第9条）

敏感个人数据的特殊性在于，作为一般法则，禁止处理敏感数据，除非特定的例外条件能够满足。这些例外条件包括数据主体的同意，或者数据主体已经将上述信息公开；为了建立、履行或者保护合法的诉求必须处理上述敏感信息；为了公共利益的需要，或者与公共利益相关的归档、科学、历史或者统计目的之用。但总体的原则是，这些对于敏感数据处理的例外情况的解释将会非常狭窄。

3.关于数据控制者的合法利益。《指令》和《条例》都规定除了获得同意以外的其他的数据处理的合法理由，其中包括符合数据控制者的合法利益。数据控制者可以以营销为目的使用用户个人数据，但用户随时可以提出反对，数据控制者必须立即停止使用。除此之外，将数据控制者的合法利益作为数据处理的合法理由的情形在实践中非常有限。数据控制者必须能够证明，其合法的利益显著高于数据主体的个人权利和自由。（第6条）

坚实强大的数据主体权利

相比于《指令》，《条例》对数据主体的权利规定细致入微，为个人有效行使权利提供了坚实的法律保障。

1.知情权。《条例》规定数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。可以想见的是，当前企业普遍应用的隐私政策必须进行大幅改革，才能满足合规要求。

2.访问权。数据控制者应当为用户实现该权利提供相应的流程，如果该请求是以电子形式提出的，则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费，除非数据主体的请求明显过量，超过负担（第15条）。

3.反对权。对于两种情形，数据主体享有绝对的拒绝权：始终有权随时拒绝数据控制者基于其合法利益处理个人数据，始终有权拒绝基于个人数据的市场营销应为。条例还引入了限制处理的权利，例如当数据主体提出投诉时（例如针对数据的准确性），数据主体并不要求删除该数据，但可以限制数据控制者不再对该数据继续处理（第21条）。

除了以上权利之外,《条例》还全面引入了新型的权利类型，其中最引入注目的是“数据可携权”，（第20条）、“被遗忘权”（第17条）。

“个人数据可携权”，是指用户可以无障碍的将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。例如脸书的用户可以将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。当然，该权利不仅适用于社交网络服务，还包括云计算、网络服务以及手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利，还需要配合用户提供数据文本。从目前第20条规范看，数据可携权适用于数据主体提供给数据控制者的数据，因此个人的网络行为轨迹是否属于该范畴，还有待于欧盟数据保护委员会做出解释。

“被遗忘权”，《条例》第17条删除权共计三款。其中第1款的核心仍然是传统个人信息保护法中已经确立的删除权：当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据。关于“被遗忘”的精神更多体现在第17条第2款：如果数据控制者将符合第1 款条件的个人数据进行了公开传播，他应该采取所有合理的方式予以删除（包括采取可用的技术手段和投入合理成本），数据控制者有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接、复制件。也就是说，数据控制者不仅要删除自己所控制的数据，还要求数据控制者负责对其公开传播的数据，要通知其他第三方停止利用、删除。这是对传统“删除权”的扩张。

总体看，《条例》对于数据主体权利的补充完善，不仅极大增强了数据主体对于个人数据的控制能力，也将对企业如何保障实现数据主体的权利提出了具体的要求，对企业的制度建设，措施配置、业务流程乃至信息技术系统设计产生直接影响。

数据控制者的问责机制

条例大大简化了企业日常的合规负担，特别是废除了目前各成员国关于数据处理及境外转移的许可或者备案程序，但是取而代之的是要求企业在内部建立完善的问责机制，以实现《条例》规定的真正落地。特别是，条例旨在对个人数据处理中的个人权利和自由提供充分的尊重和保障，因此，对于数据控制者和处理者的约束规范十分严格。

1.数据保护官(DataProtection Officer,DPO)。对于设立地在欧盟的机构来说，以下是必须设立数据保护官的法定情形：政府部门及公共机构作为数据控制者的；机构核心业务涉及以下大规模活动：日常的以及系统性的监控数据主体；处理特殊类型的个人数据，或者数据处理活动与刑事定罪相关。数据保护官的联系方式必须予以公布，且向监管机构报备。

2.文档化管理（Documentation）。数据控制者必须全面记载其数据处理活动，做到一举一动都有据可查。包括数据处理的目的、数据的类型、数据接收者的类别以及转移至第三国的数据接收者、数据保存的时间、采取的安全保障措施等等，保留有与数据处理者的合同附件。文档化管理不仅是企业内部的管理措施，而且是数据保护监管机构履行职责的重要抓手。（第30条）

3.数据保护影响评估（Data Protection Impact Assessments ）。对于高风险的数据处理活动，要事先进行数据保护影响评估。条例并没有对高风险进行界定，但以下情形，应当事前评估：对个人特征的系统性评价，该评价会对数据主体产生法律上的影响；对大量敏感数据的处理；以及对公共领域大规模的系统性监控（第35条）。

4.事先协商（PriorConsultation）。如果数据保护影响评估的结果显示是高风险，且数据控制者没有有效降低风险的措施，数据控制者应当就数据处理活动向相关的数据保护监管机构进行事先协商。监管机构应当在收到协商申请的特定期限内提出处理意见，并可以采取纠正措施。除了之外，成员国在制定涉及到数据保护的立法时，也应当事前征求数据保护监管机构的意见。（第36条）。

5.数据泄露报告（Data Breach Notification）。条例将数据泄露定义为导致偶然的或者非法的数据破坏、损失、改变、非授权的披露等（第4（12）条）。一旦发生数据泄露事故，数据控制者需要及时通知监管机构，如果可行，应不超过72小时，除非该泄露不可能会造成对个人权利和自由的破坏风险，若未在72小时内报告监管机构，则后续报告应当说明迟延报告的理由。对于数据处理者而言，其应当在意识泄露事故及风险后及时报告数据控制者。（第33条）。

数据泄露报告中至少应当包含以下内容：关于数据泄露事故的描述、涉及的数据主体的总量、类型以及数据记录的总量；企业数据保护官的姓名和联系方式，泄露可能造成的结果，企业已经采取的止损措施。数据控制者应当将所有的数据泄露事故予以文档化，以便监管机构能够检查其合规工作（第33条）。

如果数据控制者采取了适当的保护措施，特别是采取的措施能够使得数据难以被一般人所理解，比如加密，或者其后续采取的措施能够使得威胁不会成为实际的结果。则数据控制者可以不必履行数据泄露报告义务，但这些证明责任都在数据控制者。当然，数据监管机构可以否决数据控制者做出的风险判断，强制要求做出通知。（第34条）

依照《条例》规定，强制性的数据泄露报告是没有门槛的，因此企业应当为此建立周密的制度安排，包括数据安全管理流程、泄露事故发现、上报预案等，以符合《条例》的严格要求。

6.安全保障措施（Security of Processing）。《条例》对于安全保障措施给与了更具体的规定，特别强调了以下措施：对个人数据的匿名化和假名化；确保提供持久的机密性、完整性、可用性和系统可恢复性的能力；在物理或者技术事故下及时回复数据可用性、可访问性的能力；建立定期测试、评估、评价技术和管理措施是否有效的体系（第32条）。

关于其中对于个人数据匿名和假名有所区别，假名数据是指在缺乏其他信息的前提下（且该信息被独立存储）不再能指向特定的个人的数据。依据《条例》，假名数据仍然属于个人数据，因此适用于对于个人数据的安全保障要求。而匿名数据是指已经完全移除了个人可识别信息之后的数据，该数据不能够再识别出特定个人。匿名数据不再属于个人数据，不受《条例》规范。

数据处理者的问责机制

对于数据处理者而言，《条例》带来了重大变化。《指令》主要适用于数据控制者，数据处理者主要通过合同的方式承担数据保护责任。然而《条例》对于数据控制者、数据处理者在大数情况下提出了相同的要求，例如数据处理者也承担对数据的安全保障义务，在管理措施、技术上采取必要的措施，包括指定数据保护官,在发生数据泄露事故时，应及时报告数据控制者等。

此外，《条例》还细致规定了数据控制者和数据处理者之间的合同应当至少包含哪些内容，例如数据处理的目的，期限，个人数据的类型，数据主体的类别以及双方的权利业务。

数据处理者仅能按照数据控制者书面的要求处理数据，必须确保其员工能够遵守有关保密的要求；在数据安全、数据泄露、数据保护影响评估等方面对数据控制者提供协助。

如果没有数据控制者的同意，数据处理者不得二次分包业务；数据控制者可以对分包采取概括性授权，但如果具体的分包商发生了变化，数据处理者有义务及时告知数据控制者，后者有权提出反对。数据处理者对其分包商的数据处理活动完全负责，其有义务将数据保护的要求施加给二级分包商。

在数据处理服务终止时，数据处理者应当删除或者将数据全部返还给数据控制者，除非根据法律的要求必须保留这些数据

数据处理者的违规行为同样将受到条例规定的严格处罚，数据监管机构所扩展的监管权力也同时及于数据处理者，包括进入数据控制者的工作场所，发布警告，发布数据处理禁令等。用户个人也有权直接从数据处理者处主张赔偿，当然如果是因为数据控制者的错误指令，则数据处理者可以再行向数据控制者索赔。（第28条）

《条例》中对数据处理者构建的一系列规范要求，将对当前的云计算生态体系带来重大影响。按照《条例》，数据控制者和数据处理者之间的合同在很多情形下需要重新谈判达成。特别是由于条例对于数据处理者大大增加了合规风险，二者合同中关于安全保障措施、风险管理以及服务的价格都会受到影响。

完善跨境数据流动机制

关于跨境数据流动的限制是在《指令》中提出的，欧盟公民的个人数据不得转移至不能达到与欧盟同等保护水平的国家，除非满足特定条件。在实践中，部分成员国针对跨境数据流动进一步增加了事前的备案或者许可要求。《条例》明确禁止了这种增设许可的做法，只要符合了条例中跨境数据流动的条件，则成员国不得再予以限制。

《条例》关于跨境数据流动的合法路径如下：

1.充分性决定（Adequate Decision）。相比于《指令》，欧盟委员会除了对国家可以作出评估外，还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断，这进一步增加了通过“充分性”决定的灵活性。毕竟自《指令》实施以来，通过充分性决定的国家还不超过10个。

2.有约束力公司规则（Binding Corporate Rules,BCR）。有约束的公司规则最早由欧盟第29条工作组发展而来，初衷是让跨国公司或者公司集团能够在公司内部进行跨境的数据转移，是欧盟委员会提出的标准化格式合同的一个替代选择。《条例》对该规则给与了正式的法律地位，并详细规定了该规则获得认可的程序和内容标准(第47条)。

3.标准合同条款（Standard Contractual Clauses）。目前欧委会通过的三个格式合同条款仍然有效。《条例》增加了成员国数据监管机构可以指定标准合同条款的渠道，但必须要经过欧委会的认可 (第63条)；

4.经批准的行为准则(codes of conduct)：数据控制者可以成立协会并提出遵守《条例》的详细行为准则。这种情形主要针对不适用于《条例》但从欧盟接收数据的主体。（第46条）

5.经批准的认证机制、封印或者标识（ approved certification me-chanism,seal or mark）。此类情形主要适用于公共机构之间的数据转移活动。行为准则与认证机制是条例中引入的新型的合规机制，以最大化发挥第三方监督与市场自律作用。

对数据画像活动的特别规制

根据《条例》界定，“数据画像”（profiling）概念外延广泛，它是指任何通过自动化方式处理个人数据的活动，该活动服务于评估个人的特定方面，或者专门分析及预测个人的特定方面，包括工作表现，经济状况、位置、健康状况、个人偏好，可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析活动。例如对个人偏好的分析，可涵盖市场中最普遍的大数据分析市场营销活动。

画像活动如果对用户个人产生法律上的影响或者其他重大影响，仅仅在符合以下条件之一时才是合法的：1.数据主体明确的同意；2.欧盟或者成员国法的明确授权；3.是数据主体和数据控制者之间签订、执行合同所必需。（第22条）

考虑到2、3仅仅是个别特殊情形，因此，实践中绝大部分的数据画像的合法基础将建立在用户明确同意基础之上。而根据条例对于“同意”的高标准要求，业内专家认为，获得用户在数据画像方面的同意将是难以操作的，这将对大数据背景下的分析营销活动带来极大的负面影响。

在数据画像活动中，获得用户合法有效的同意，首先应当向数据主体全面介绍数据画像处理活动是怎么进行的，收集了用户的那些数据，算法的基本原理是什么，评估结果是否会对用户产生法律上的影响。其次，应当明确告知用户其享有对画像的反对权。此类信息应当明确无误地表达，并足够引起用户注意的范式，独立于其他信息。

此外，基于个人敏感数据的数据画像活动是被禁止的，除非数据主体出于一个或者多个特定的目的给与了明确的同意，但是成员国可以通过立法明确规定即使在用户同意的情况下，也禁止基于敏感数据的画像活动；或者该数据画像活动对于重大的公共利益是必须的。

因此，对于依赖于数据画像（包括利用存储在用户本地终端上的数据等跟踪工具开展精准营销）的企业来说，如何设计一套有效的机制，既能够符合《条例》有关透明性和用户同意的要求，同时也能使得数据分析活动得以继续，是摆在面前的一道难题。

监管权力、处罚与司法救济

1.《条例》大大增强了监管机构的执法权，包括：通知数据控制者、处理者相关违反行为；要求违法者提供相关信息，或者向监管机构提供访问此类信息的接口；现场调查、审计；命令修改、删除或者销毁个人数据；可以采取临时性的或者限定性的数据处理禁令；课以罚金。（第58条）

2 .《条例》规定了严苛的罚金，分为两档：（1）处以1千万欧元或者上一年度全球营收的2%，两者取其高。针对的违法行为包括：没有实施充分的IT安全保障措施，或者没有提供全面的透明的隐私政策，没有签订书面的数据处理协议等；（2）处以2千万欧元或者企业上一年度全球营业收入的4%，两者取其高。此类处罚针对的违法行为包括：无法说明如何获得了用户的同意，违反数据处理的一般性原则，侵害数据主体的合法权利，以及拒绝服从监管机构的执法命令等。（第83条）

3.司法救济。对于不服监管机构作出的决定或者对监管机构的不作为，主体可寻求司法救济。数据主体也可以通过司法途径向数据控制者、数据处理者主张因其违反条例而致使数据主体遭受物质上或者非物质上的损害。如果一个以上的数据控制者、处理者涉及侵权，则共同承担连带责任，除非其能证明其对损害的产生没有责任。上述司法救济的权利可以由消费者机构代表数据主体行使（第26、80、82条）。

结语：

从《指令》的34个简单条文扩展到99条（263页）的详细规范，欧盟《条例》带来了全面制度改革，其核心目标是将个人数据保护深度嵌入组织运营，真正将抽象的保护理论转化为实实在在的行为实践。对于企业而言，小至隐私政策、业务流程，大到信息技术系统、战略布局，无一不需要重新审视规划。从当下着手的准备工作，决定了企业能否有底气在两年之后站立在数字时代新的起跑线上。（来源：《中国征信》2016年第7期）

作者：王融，中国信息通信研究院互联网法律中心副主任，高级工程师，长期从事电信、互联网立法与监管政策研究。

Part2：PPT简析

简析来源：数据保护Barometer，作者：洪延青

Part3：专访

欧盟《通用数据保护条例》及其对征信行业的影响

——专访欧洲征信协会主席内尔?门罗

由以上所述可知，《通用数据保护条例》（以下简称《条例》）以欧盟法规的形式确定了个人数据保护原则和监管方式，将于2018年5月替代1995年的《个人数据保护指令》（以下简称《指令》）在欧盟正式实施。从34条的“指令”到99条的“条例”，不仅仅是内容的更新和修正，而是在数字时代新秩序下对个人数据保护的重大制度改革。对个人数据的严格保护势必会对征信行业产生影响，在《条例》制定过程中，欧洲征信协会一直代表行业与欧洲立法机构沟通游说，为欧洲征信业争取有利的外部环境。本期主编访谈特别邀请欧洲征信协会主席内尔·门罗先生，为读者分享《条例》出台背景、重点内容及对征信行业的影响。

»嘉宾：内尔?门罗（Neil Munroe），欧洲征信协会主席，英国艾克飞公司顾问，拥有多年银行信贷和征信行业从业经验。

王晓蕾（以下简称“王”）：首先非常感谢内尔先生做客《中国征信》杂志。能否请先介绍下《条例》制定的目的和对个人数据的认识？

内尔·门罗（以下简称“内”）：在欧洲，一直以来，公民有权决定个人数据为何目的、以何种方式被处理和使用，公民对本人数据的自决权一直作为一项基本人权加以保障。但是，近年来，公民越来越担心互联网上个人数据的失控会威胁公民的基本人权，影响欧盟境内个人数据的流动和使用。为此，作为欧盟个人数据保护改革的主要成果,《条例》有两大主要目的：一是巩固公民对个人数据的自决权和控制权，保障欧盟公民的基本人权，重拾对个人数据处理的信任；二是统一欧盟数据保护规则，简化欧盟个人数据保护和监管的流程，降低跨国公司的合规成本，促进一体化的“数字欧洲”进程。

在《条例》制定过程中，欧洲征信协会与个人数据保护领域的专家进行了充分的交流并形成了共识：一是个人数据（或者说隐私权）是人的基本权利，“谁的数据谁做主”的数据保护原则，即使在互联的、大数据时代也要坚持，在未经授权的情况下他人不得使用个人数据。二是为了让普通公民和企业都从数字经济中受益，欧洲境内的个人数据必须坚持“为特定目的、合法、最小化”的处理原则，任何处理个人数据的组织和个人都有责任避免个人数据的滥用和乱用，保障欧盟法律框架下的公民数据权利。三是统一的欧洲需要一个统一的数据保护法规和监管框架，为欧盟公民提供一站式个人数据保护，为欧盟企业提供统一的监管标准。

王：欧洲征信协会一直跟进《条例》制定过程，能否介绍下《条例》出台的背景？

内：要理解《条例》的制定背景，先要了解1995年的欧洲《个人数据保护指令》。《指令》是在数字化时代还未来临的背景下，通过欧盟委员会的批准并在各个成员国分别实施。但它是一种指引而非法规，不具有强制性，在各国的实施情况不尽相同。同时，面对互联网时代新技术和新的数据处理与应用方式对个人数据保护的挑战，旧《指令》显得有些招架不住。为此，早在2009年，欧洲征信协会开始与欧盟委员会商讨《指令》的不足，尝试从新技术和数据全球化的角度，对当时的个人数据保护法律框架进行完善。

2010年11月，欧盟委员会提出了强化欧盟个人数据保护的计划，并于2012年1月，提出针对《指令》的综合改革方案——《关于提高用户对个人数据控制、降低企业成本的个人数据保护方案》，以加强网络隐私权的保护，加速发展欧洲数字化经济。当时，欧盟委员会明确指出：一是科技进步和全球化彻底改变了原有的数据收集、处理和使用方式，冲击了原来的个人数据保护原则；二是1995年《指令》在27个成员国的差异化落地，导致企业每年在个人数据保护上额外支付了23亿欧元成本。为此，新的个人数据保护法律框架应该是条例而不是指令，应该具有法规的强制性和欧盟范围内的统一性。同时，新的个人数据保护法律框架应从便捷公民查询、携带和删除个人数据方面，进一步提高公民对本人数据的控制权。

经过3年多的谈判、磋商，欧盟委员会、欧洲议会和欧盟理事会终于在2015年6月，就“在欧盟建立一个现代、统一的数据保护新规则”达成了一致，开始共同推进新条例的制定。今年4月8日和14日，《条例》先后获得欧洲理事会和欧洲议会的批准，并在5月4日发布在欧盟官方媒体上，《条例》共有99条，对《指令》中的内容做出了多达3500处具体修改。根据规划，2018年5月份《条例》将正式施行，从现在起，欧盟各国将有两年过渡期以适应数据保护新规。这就是《条例》出台的背景和主要经过。

王：《条例》对欧洲征信行业的影响主要有哪些方面？

内：征信是处理个人数据的行业，应当遵守《条例》，这是毫无疑问的。但征信业本身又因维护金融稳定等公共利益的需要，要求个人在“个人数据保护”和“放弃部分数据权利从而获得更好的融资机会”的目标之间取得适度平衡。初衷是应对互联网大数据对个人隐私的威胁而强化个人数据权利的《条例》，某些方面可能会影响到征信机构的数据处理基础和信用报告的完整性，对于商业银行等信贷机构也会带来影响。大致来说，包括“反对权”、“可携带权”和“删除权”会影响征信的业务模式和数据完整性。例如，根据“反对权”，个人有权随时拒绝征信机构根据“合法利益”处理其数据等。同时，新规对“画像”和“自动化决策”的限制，会影响完全自动化的个人数据收集、处理和应用实践，特别是大数据技术在风控和征信领域的应用，以及基于此的个人信贷业务和风控流程。此外，新规首次提出的个人数据采集的“最小化”原则，要求包括征信机构在内的一切数据处理机构，不得采集和处理业务不必要的个人数据，一定程度上会限制征信机构可采集的数据。

王：被遗忘权和反对权是指什么？会对征信行业产生怎样的影响？

内：《条例》中被遗忘权和反对权主要是针对社交媒体的，其本意是为数据主体提供反对权和被遗忘的权利。打个比方，当一位父亲在朋友圈晒了一张和女儿一起喝酒的照片，如果以后女儿找工作的时候，企业因为以前的这张照片认为她酗酒而拒绝其求职申请，这张照片实质上就对女孩个人产生了影响。对于个人来说，要求消除之前社交媒体上的个人信息就是合理的。这一点对征信机构也同样适用，个人应该有这样的权利。

但是，这两项权利会影响征信业的业务模式和数据的完整性。因为根据这些权利，个人有权随时拒绝征信机构根据“合法利益”处理其数据，有权利撤回向征信机构提供的同意其采集、处理和对外提供其数据的授权，有权要求征信机构删除其数据，并且如果征信机构对应个人要求删除了的数据在此前已经进行了公开传播，还要负责通知其他第三方停止使用或删除公开传播的数据。

客观而言，如果完全允许删除个人信息，数据完整性缺失，可能会影响金融系统的正常风险管理，毕竟征信行业本身还有维护金融稳定等公共利益的需要。对此，对于这些权利如何在征信行业落地，有待欧盟委员会、各国个人数据保护监管部门在制定实施细则中予以明确。

王：如何理解《条例》中提到的个人“合法利益”？

内：个人数据必须“合法”处理是个人数据保护的首要原则。何为“合法”，《指令》规定了六种情形：本人授权、为签订或履行合同、为履行法定职责、为保护本人利益、为保护公共利益，以及为数据控制者或第三方的合法利益之需。其中，“合法利益”被认为是造成个人数据被秘密处理和大规模滥用的基础，因此在《条例》的制定过程中，如何明确其适用范围，甚至存废争议较大。

而征信行业从事的是“原始数据收集目的之外的数据再处理”业务，“合法利益”是征信机构收集个人数据和行业存在的法律基础。鉴于征信业在提高信贷可得性、促进信贷市场发展和维护金融稳定中的积极作用，在欧洲征信协会的积极争取下，《条例》最终保留了个人数据处理基础的“合法利益”条款。

王：随着互联网技术的发展，目前自动化决策工具广泛应用于信贷机构审批业务中，然而《条例》规定的严格授权条件势必会对此产生冲击，您如何看待这个问题？

内：用户画像、自动化决策是指以自动化数据处理的方式，对个人的信用风险、工作表现、经济状况、身体状况、个人偏好、可信赖程度等进行评估的活动，在当前信贷行业应用都很普遍。然而《条例》的初衷是保护信息主体的权益，为了限制数据处理机构利用网络自动收集、自动分析数据，对用户特征画像后进行定向营销活动、侵害数据主体权益，《条例》原则上要求信息的使用需征得数据主体的同意，不允许纯自动化的用户分析行为，以避免个人数据在本人失控和不知情的情况下，完全被计算机自动化收集、处理和应用，伤害数据主体的知情权、自决权。对此，我的建议是，在信贷评估过程中，适当增加人工评估的比例，以避免违规“触电”。同时，对诸如个人信用评分等自动化处理的征信业务，应保障公民对自动化处理所依托的个人数据，如个人信用报告具有完全的查阅权和对错误数据的纠错权，通过对自动化处理的技术、方法和流程的公开、透明，以确保公民的知情权。

王：据悉在《条例》制定过程中，对于性别和一些公共信息属于一般性数据还是特殊数据有过较大争议，原因是什么呢？

内：数字化时代社交媒体如谷歌、脸书等进行个人数据的归集，往往涉及如宗教信仰、身份性别等一些敏感信息，法院的判决信息可能会涉及个人信息，所以对最初的《条例》草案，有人提出性别、行政处罚以及法院判决等属于特殊数据，其处理应该受到严格限制。

但事实是，如果照此限制会带来很大问题。比如，一些姓名中就能够看出信息主体的性别，如果认定所有暗示性别的数据都是敏感数据，则会在很大程度上影响征信机构的数据处理，使得征信机构难以正确识别个人以及与其相关的信用信息。再说公共信息，如法院债务、破产等判决数据对于银行判断借款人的信用风险、制定全面的贷款决策，维护安全的金融环境非常有用。

鉴于此，欧洲征信协会与欧盟相关部门几经沟通协商，《条例》没有将身份性别和行政处罚及法院判决信息列为特殊数据，而是作为一般性个人数据进行保护。

王：除上述方面，《条例》还有哪些新的变化和影响？

内：《条例》可能存在的影响范围相当广泛，具体包括地域管辖权、数据控制者和处理者各自的责任、违反规定时的罚则、数据的可转移性、数据保护专员设置、隐私权保护评估等。

关于地域管辖权问题，有一个例子可以很好地说明《条例》在这方面带来的变化和影响。一个居住在奥地利的欧盟公民，有一天突然发现自己的信息被爱尔兰的某个机构盗用了，跟据1995年制定的《指令》，奥地利当局无法处理这件事情；但是根据《条例》，欧盟各成员国受统一的法规约束，他国机构侵害了本国居民的个人信息权益后，本国有权对这类事件进行处理，所以在本案中，奥地利当局有权处理这件事。

关于数据控制者和处理者，《指令》对两者不作区分，《条例》则对此进行了明确，不同的角色对应不同的责任。还有罚则问题，《条例》中的处罚措施相当严格，如有违反最高可被课以全年营业收入2%的巨额罚款。再有就是数据的可携带权及数据保护专员设置问题，以往的《指令》对此没有涉及。最后是隐私权评估问题，现在的数据处理机构，往往将一揽子数据产品打包进行设计、出售。根据《条例》，数据处理机构在设计产品时首先应进行隐私权保护的评估，在确保个人权益不被新产品损害的前提下才可以进一步进行产品的研发、出售。

王：统一的规则降低了合规的复杂性，但欧盟各国情况不同，《条例》在实施过程中会面临哪些困难和挑战？

内：一项新法规的实施必然会遇到一些事前无法预料的情况，为此，欧盟专门成立了欧洲数据保护委员会，来协调新规实施后各成员国之间存在的一些问题。比如欧盟各国情况不一，对同一法规的落实情况势必不同，各国之间也会存在分歧，欧洲数据保护委员会对此的解决办法是，在统一规则的前提下兼顾本地化原则。具体来说，大概80%的情况主要参照《条例》的规定，留给欧盟各国20%的空间因地制宜适当调整。未来，欧洲还将提高对数据处理者和控制者的要求，督促他们加强内部数据保护体系的建设以确保合规。毕竟，《条例》的宗旨就是赋予数据主体更多的权益，并为此制定了严格的条款来维护其权益。

对于《条例》的实施，还有几个重要的问题尚未得到解决。一是欧盟各国对于个人权益（包括被遗忘权及反对权等）的理解和认识始终存在分歧，从《条例》制定伊始到现在，仍未达成共识；二是消费者和隐私权保护的支持者密切关注《条例》中的信息滥用条款，征信机构在信息使用时要保持谨慎；三是欧盟各国的数据保护当局也面临挑战，因为在统一的法律框架下，任何一国的政策和判决都会对欧洲其他国家的征信机构造成影响。协会也在继续加强与各国监管部门的沟通，力求为征信行业发展争取相对宽松的环境。

王：再次感谢您接受本刊访谈。（来源：《中国征信》2016年第8期）