到目前為止，介紹歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的中文文獻(xiàn)、評論已經(jīng)汗牛充棟。大多數(shù)集中于以下幾點(diǎn)：歐盟將個(gè)人數(shù)據(jù)保護(hù)當(dāng)成基本人權(quán)；歐盟通過一部單行法GDPR覆蓋了包括公私部門在內(nèi)的各行各業(yè)的個(gè)人信息處理行為；GDPR詳細(xì)規(guī)定了個(gè)人信息處理的基本原則，如最少夠用、目的限定、存儲期限最小化等；GDPR賦予了個(gè)人對其信息非常廣泛的控制權(quán)利，如數(shù)據(jù)可攜帶權(quán)、被遺忘權(quán)、反對自動化決策機(jī)制權(quán)利等；GDPR對大規(guī)模處理個(gè)人信息的企業(yè)，要求設(shè)立數(shù)據(jù)保護(hù)官（DPO）；GDPR要求產(chǎn)品和服務(wù)應(yīng)實(shí)現(xiàn)通過設(shè)計(jì)和默認(rèn)設(shè)置實(shí)現(xiàn)隱私保護(hù)（Privacy by Design and by Default）；GDPR重構(gòu)了歐盟層面的個(gè)人數(shù)據(jù)保護(hù)的落實(shí)機(jī)制；GDPR處罰額度可高達(dá)2000萬歐元或年收入4%，兩者取其高GDPR要求個(gè)人數(shù)據(jù)流出歐盟，應(yīng)確保足夠的（adequate）保護(hù)水平等。

　　對GDPR實(shí)體規(guī)則的譯介很有必要，但還要從立法理念來掌握GDPR的精髓。因?yàn)橹挥欣卫伟盐樟薌DPR的立法理念，才能撥開云霧見青天，有的放矢地開展GDPR相關(guān)的工作。對于這點(diǎn)，尚沒有中文文獻(xiàn)深入剖析。

　　那GDPR的立法理念是什么呢？其實(shí)很簡單，特別對于從事網(wǎng)絡(luò)安全行業(yè)的同仁來說非常容易理解：GDPR是一部以“風(fēng)險(xiǎn)為路徑”（Risk-based）的個(gè)人數(shù)據(jù)保護(hù)法。無論是與歐盟委員會官員的私下交流，還是與德國、比利時(shí)、希臘的數(shù)據(jù)保護(hù)局（Data Protection Authority）的正式會面和合作中，筆者都能經(jīng)常聽見“風(fēng)險(xiǎn)為路徑”的字眼。在2018年發(fā)布的宣介材料“GDPR：新機(jī)會、新義務(wù)”（The GDPR: New Opportunities, New Obligations）中，歐盟委員會也將“風(fēng)險(xiǎn)為路徑”作為GDPR的主要特征。因此，筆者將根據(jù)自己的理解和分析，從四個(gè)方面闡述，圍繞著“風(fēng)險(xiǎn)為路徑”，GDPR如何構(gòu)造出精妙的個(gè)人數(shù)據(jù)保護(hù)體系。

　　一、個(gè)人數(shù)據(jù)

　　常見的論述都注意到了GDPR對個(gè)人數(shù)據(jù)的劃分，特別是專門提出了“特殊類型個(gè)人數(shù)據(jù)”。GDPR第9條規(guī)定：“處理個(gè)人數(shù)據(jù)，能夠揭露出其種族、民族、政治觀點(diǎn)、宗教和哲學(xué)信仰，或工會成員身份；處理基因數(shù)據(jù)、生物識別數(shù)據(jù)，以識別出特定個(gè)人；處理健康數(shù)據(jù)、與自然人性取向或性經(jīng)歷有關(guān)的數(shù)據(jù)”，上述數(shù)據(jù)為特殊類型的個(gè)人數(shù)據(jù)。顯然，這是依風(fēng)險(xiǎn)的一種劃分方式。誠如GDPR前言第51段所述，這些所謂的特殊類型個(gè)人數(shù)據(jù)，“依其性質(zhì)對基本權(quán)利和自由特別敏感的個(gè)人數(shù)據(jù)，因其處理過程中可能對于基本權(quán)利和自由造成顯著風(fēng)險(xiǎn)，故值得受到特別保護(hù)”。

　　實(shí)際上GDPR從另外一個(gè)維度對個(gè)人數(shù)據(jù)進(jìn)行了劃分：個(gè)人數(shù)據(jù)的識別度。這一點(diǎn)為幾乎所有的中文文獻(xiàn)所忽略。在GDPR的文本中，實(shí)際上存在四種識別度的個(gè)人數(shù)據(jù)。

　　一是已識別的數(shù)據(jù)：與已識別出（identified）的自然人相關(guān)的任何信息。

　　二是可識別的數(shù)據(jù)（Readilyidentifiable data）： 假名化且保留額外的數(shù)據(jù)、保留原始數(shù)據(jù)副本、數(shù)據(jù)能夠可逆變形且控制者知曉變形方式等。

　　三是GDPR第11條所規(guī)定的去標(biāo)識化程度的個(gè)人數(shù)據(jù)： 即如果數(shù)據(jù)控制者能“表明其無法識別出特定個(gè)人時(shí)（the controller is able to demonstrate that it is not in a position toidentify the data subject），數(shù)據(jù)控制者應(yīng)在可能的情形中通知數(shù)據(jù)主體，同時(shí)，第15條至20條的規(guī)定將不予適用，除非數(shù)據(jù)主體為行使其權(quán)利，向數(shù)據(jù)提供者額外提供了信息使數(shù)據(jù)控制者能夠重新識別出特定個(gè)人”。

　　四是匿名化數(shù)據(jù)：指無法與已識別或可識別的自然人相關(guān)聯(lián)（related to）的數(shù)據(jù)。GDPR規(guī)定，判斷是否可識別，應(yīng)考慮到控制者本身或他人所能采用的、所有可合理用以直接或間接地識別數(shù)據(jù)主體的方式。為確認(rèn)何為可合理使用作為識別數(shù)據(jù)主體的方法，應(yīng)考慮所有客觀因素，諸如：識別所需的成本與時(shí)間，并考慮到數(shù)據(jù)處理當(dāng)時(shí)現(xiàn)有的技術(shù)及科技發(fā)展。

　　四種識別度的數(shù)據(jù)，如何體現(xiàn)了風(fēng)險(xiǎn)的思路？首先，已識別和可識別的數(shù)據(jù)，毫無疑問屬于個(gè)人數(shù)據(jù)，但是由于可識別數(shù)據(jù)相對于已識別的數(shù)據(jù)，對個(gè)人的識別度相對較低，GDPR對前者給了一些特殊“優(yōu)待”，突出體現(xiàn)在判斷目的兼容的條款中。GDPR中目的限制原則規(guī)定，“個(gè)人數(shù)據(jù)收集必須符合明確、明示、正當(dāng)?shù)哪康?，處理個(gè)人數(shù)據(jù)時(shí)應(yīng)與這些目的相匹配”。第6條第二款同時(shí)規(guī)定，“當(dāng)個(gè)人數(shù)據(jù)處理超出數(shù)據(jù)收集時(shí)出于的目的時(shí)，且沒有數(shù)據(jù)主體的同意或歐盟、成員國法律作為基礎(chǔ)時(shí)，數(shù)據(jù)控制者應(yīng)判斷另外的目的，是否與數(shù)據(jù)收集出于的目的相匹配，在判斷時(shí)應(yīng)考慮下述因素……”。這些因素之一就包括“是否采取了合適的保護(hù)措施，例如加密和假名化處理”。換句話說，如果采取了假名化等降低識別度的措施，新目的和原有目的的“距離”可以稍微“遠(yuǎn)”些，也可被認(rèn)定為新舊的目的之間相互兼容。這個(gè)規(guī)定直接激勵(lì)數(shù)據(jù)控制者主動降低數(shù)據(jù)的識別度，識別度降低，對個(gè)人合法權(quán)益的風(fēng)險(xiǎn)當(dāng)然就更低。

　　其次，GDPR合規(guī)工作中最難實(shí)現(xiàn)的個(gè)人數(shù)據(jù)主體的權(quán)利。而如果數(shù)據(jù)控制者能做到GDPR第11條所規(guī)定的去標(biāo)識化程度，GDPR明確規(guī)定包括查詢、更正、刪除（包括被遺忘權(quán)）、限制數(shù)據(jù)處理、攜帶等權(quán)利（也就是第15到20條），數(shù)據(jù)控制者是無需實(shí)現(xiàn)的。也就是說，數(shù)據(jù)控制者主動降低識別度至其本身無法識別個(gè)人，則GDPR相應(yīng)地給予了這些“優(yōu)待”，能夠節(jié)省巨大的合規(guī)成本。

　　最后，匿名化數(shù)據(jù)，由于無法指向個(gè)人，因此GDPR將其排除在管轄范圍之外。

　　因此，隨著識別度的依次降低，GDPR也區(qū)別對待，或者給予合規(guī)“優(yōu)待”或“豁免”，直至排除適用，這都體現(xiàn)了經(jīng)典的風(fēng)險(xiǎn)管理的思路。

　　二、個(gè)人數(shù)據(jù)處理的合法事由

　　GDPR要求，處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)具備合法事由（lawful processing grounds）。第6條第一款規(guī)定了六項(xiàng)合法事由可供數(shù)據(jù)控制者選擇，分別是：“數(shù)據(jù)主體對出于單個(gè)或多個(gè)特定目的而處理其個(gè)人數(shù)據(jù)表示同意；處理是為向身為合同當(dāng)事人之?dāng)?shù)據(jù)主體履行合同所必須的，或在締約前，應(yīng)數(shù)據(jù)主體的要求所必須采取的步驟；因履行數(shù)據(jù)控制者承擔(dān)的法律義務(wù)而必須處理個(gè)人數(shù)據(jù)的；為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益而必須處理個(gè)人數(shù)據(jù)的；為公共利益而執(zhí)行任務(wù)，或數(shù)據(jù)控制者履行賦予的公共職能時(shí)，必須處理個(gè)人數(shù)據(jù)的；因數(shù)據(jù)處理者正當(dāng)利益或第三方正當(dāng)利益而必須處理個(gè)人數(shù)據(jù)的，但當(dāng)數(shù)據(jù)主體的利益或基本權(quán)利和自由（特別當(dāng)數(shù)據(jù)主體尚未成年時(shí)）高于上述正當(dāng)利益時(shí)，不得使用該事由?！?/p>

　　上述合法事由，實(shí)際上與個(gè)人數(shù)據(jù)主體權(quán)利差異化配置，依然體現(xiàn)了風(fēng)險(xiǎn)路徑。首先看同意和合同事由。因?yàn)橥庠贕DPR中應(yīng)當(dāng)是“數(shù)據(jù)主體通過書面聲明或經(jīng)由一個(gè)清楚確定的動作，表示同意對其個(gè)人數(shù)據(jù)進(jìn)行處理。該意愿表達(dá)應(yīng)是自由給出的（freely given）、特定的（specific）、顯示出數(shù)據(jù)主體對前因后果清楚的（informed）、清晰明確的（unambiguous）”。因此，為了確保同意的合法有效，數(shù)據(jù)控制者需要把數(shù)據(jù)處理相應(yīng)的風(fēng)險(xiǎn)告訴個(gè)人。而在獲得用戶的同意后，用戶就不擁有第21條反對數(shù)據(jù)處理的權(quán)利，但擁有撤回和要求刪除的權(quán)利。如果是基于合同事由，一般來說合同應(yīng)是用戶主動發(fā)起，顯然用戶對風(fēng)險(xiǎn)是知悉的，此時(shí)用戶并沒有撤回的權(quán)利也沒有反對的權(quán)利，且在合同存續(xù)期間，用戶沒有第17條規(guī)定的刪除權(quán)（被遺忘權(quán)）。同時(shí)，由于這兩個(gè)事由中，個(gè)人或是自主選擇，或是主動發(fā)起，為了一以貫之保障用戶的主觀能動性，GDPR還賦予個(gè)人第20條的數(shù)據(jù)可攜帶權(quán)。

　　其次看公共利益、正當(dāng)利益這兩個(gè)事由。與保護(hù)數(shù)據(jù)主體重大利益（一般為緊急情況下，如車禍）和履行法律義務(wù)這兩個(gè)事由相比，公共利益和正當(dāng)利益更多的是依賴于數(shù)據(jù)控制者自己的判斷，個(gè)人數(shù)據(jù)主體參與程度很低，GDPR相應(yīng)地賦予了個(gè)人數(shù)據(jù)主體事中、事后的反對、限制、刪除的權(quán)利。這樣的配置體現(xiàn)了一種風(fēng)險(xiǎn)動態(tài)平衡的思路，鼓勵(lì)個(gè)人主動參與到風(fēng)險(xiǎn)治理的過程，并提供了相應(yīng)的工具。值得注意的是，在這兩個(gè)事由中，乃至于重大利益和履行法律義務(wù)，個(gè)人并沒有撤回權(quán)和可攜帶權(quán)。

　　總的來說，GDPR用六個(gè)合法事由概括了現(xiàn)實(shí)生活中可能出現(xiàn)的各種個(gè)人數(shù)據(jù)處理的情形，并考慮個(gè)人和數(shù)據(jù)控制者處置個(gè)人數(shù)據(jù)處理所帶來風(fēng)險(xiǎn)中的相對優(yōu)勢地位，進(jìn)行了權(quán)利、義務(wù)的精細(xì)配置。

　　三、數(shù)據(jù)控制者的總體保護(hù)義務(wù)和DPIA

　　GDPR第24條總體規(guī)定了數(shù)據(jù)控制者的保護(hù)義務(wù)。第一款規(guī)定：“考慮到數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的，以及對自然人權(quán)利和自由的不同程度和大小的風(fēng)險(xiǎn)，數(shù)據(jù)控制者應(yīng)采取合適的技術(shù)和組織方面的措施，以保證數(shù)據(jù)處理符合GDPR的規(guī)定。這些措施應(yīng)經(jīng)常評估和更新”。第二款更規(guī)定上述“措施應(yīng)與數(shù)據(jù)處理的風(fēng)險(xiǎn)合乎比例，應(yīng)包括在內(nèi)部建立合適的數(shù)據(jù)保護(hù)政策?！?/p>

　　顯然，該條文的寫法也突出風(fēng)險(xiǎn)管理的路徑。用大白話說就是，你要干什么事，就要考慮會對外界造成什么風(fēng)險(xiǎn)；為了降低這些風(fēng)險(xiǎn)，需要提出與面臨風(fēng)險(xiǎn)相稱的保護(hù)措施；這些保護(hù)措施還必須經(jīng)常評估和更新，以適應(yīng)風(fēng)險(xiǎn)態(tài)勢的變化。

　　以上是對數(shù)據(jù)處理風(fēng)險(xiǎn)一般性的規(guī)定。對于高風(fēng)險(xiǎn)的數(shù)據(jù)處理行為，GDPR還專門規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)開展數(shù)據(jù)保護(hù)影響評估（data protection impact assessment）。第35條第一款規(guī)定：“在考慮數(shù)據(jù)處理性質(zhì)、范圍、情境、目的后，數(shù)據(jù)控制者如認(rèn)為數(shù)據(jù)處理，特別是采用新技術(shù)的處理，可能導(dǎo)致個(gè)人權(quán)益有較高的風(fēng)險(xiǎn)被侵害的，應(yīng)在處理前，進(jìn)行數(shù)據(jù)保護(hù)影響評估”。該條第三款還規(guī)定了“在以下場景中，數(shù)據(jù)保護(hù)影響評估被特別要求：a）基于自動化數(shù)據(jù)處理，包括數(shù)字畫像，對數(shù)據(jù)主體個(gè)人方面開展系統(tǒng)和廣泛的評估，且評估對個(gè)人能產(chǎn)生法律效力，或類似重大的影響；b）對特定類別的數(shù)據(jù)進(jìn)行大規(guī)模處理，或處理與刑事犯罪和刑事起訴相關(guān)的個(gè)人數(shù)據(jù)的；c）對公開區(qū)域進(jìn)行大規(guī)模、系統(tǒng)性監(jiān)控的”。

　　開展數(shù)據(jù)保護(hù)影響評估的目的，在于督促數(shù)據(jù)控制者主動考慮風(fēng)險(xiǎn)，主動提出降低風(fēng)險(xiǎn)的方案。GDPR還在第36條規(guī)定，“如前述的數(shù)據(jù)安全影響評估表明，數(shù)據(jù)控制者不采取額外措施的話，數(shù)據(jù)處理將帶來較高的風(fēng)險(xiǎn)，則數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前，征求監(jiān)管機(jī)構(gòu)的意見?！边@些規(guī)定再一次體現(xiàn)了GDPR對風(fēng)險(xiǎn)的審慎態(tài)度。目前，中國版的DPIA標(biāo)準(zhǔn)已經(jīng)制定完成，并已生效，有力地支撐了我國《個(gè)人信息保護(hù)法》第五十五和五十六條的實(shí)施?！尽秱€(gè)人信息安全影響評估指南》（GB/T 39335-2020）正式發(fā)布】

　　四、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的處罰

　　GDPR規(guī)定的高額處罰規(guī)定非常吸引人眼球。但處罰并非目的，更重要的是改變數(shù)據(jù)控制者的行為。因此GDPR第83條規(guī)定，個(gè)案中的行政罰款應(yīng)當(dāng)是“有效、合乎比例、懲戒性”（“effective, proportionate and dissuasive”）。該條第二款規(guī)定在決定處罰數(shù)額中應(yīng)當(dāng)考慮的因素中，許多都和數(shù)據(jù)處理所帶來的風(fēng)險(xiǎn)有關(guān)系，同時(shí)數(shù)據(jù)控制者事先采取的能夠降低風(fēng)險(xiǎn)的措施，也會在決定處罰數(shù)據(jù)中予以考慮。

　　在此例舉以此相關(guān)的因素：“（a） 違規(guī)的性質(zhì)、嚴(yán)重性及持續(xù)期間，并考慮到處理的性質(zhì)范圍或目的，以及受影響之?dāng)?shù)據(jù)主體人數(shù)及其受損程度；（b） 違規(guī)的故意或過失；（c） 所采減少數(shù)據(jù)主體損害的任何行為；（d） 控管者或處理者的責(zé)任程度，并考慮到其依第 25 條（PbD）及第 32條（Security）所實(shí)施的技術(shù)上及組織上的措施；……（g） 違規(guī)所影響的個(gè)人資料類型 ;……（k） 任何其他適用于該個(gè)案情形之加重或減輕因素，例如因違約而直接或間接獲得的經(jīng)濟(jì)利益或避免的損失?！?/p>

　　可見，在決定處罰數(shù)額中，GDPR依舊貫徹了風(fēng)險(xiǎn)路徑：涉事的數(shù)據(jù)處理行為是否高危、是否造成了嚴(yán)重后果、數(shù)據(jù)控制者是否事先采取降低風(fēng)險(xiǎn)的措施等等。這些因素都會影響處罰的力度。

　　五、結(jié)語

　　總的來說，GDPR貫徹的風(fēng)險(xiǎn)路徑，體現(xiàn)于文本中許多規(guī)定之中。正如歐盟委員會報(bào)告所述，堅(jiān)持風(fēng)險(xiǎn)路徑“避免繁重、僵化的義務(wù)，并根據(jù)不同風(fēng)險(xiǎn)定制化了不同的義務(wù)”（avoids a burdensome, one-size-fits-all obligation and instead tailorsobligations to the respective risks.）換句話說，面包店涉及的處理個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)，顯然和開展征信業(yè)務(wù)的公司所涉及的風(fēng)險(xiǎn)截然不同，GDPR并不要求前者采取和后者相同的個(gè)人數(shù)據(jù)保護(hù)義務(wù)，例如任命個(gè)人數(shù)據(jù)保護(hù)官、開展數(shù)據(jù)保護(hù)影響評估等。因此，許多中文文獻(xiàn)再對GDPR提出嚴(yán)厲批評之前，應(yīng)當(dāng)先花點(diǎn)時(shí)間理解GDPR的立法理念以及制度設(shè)計(jì)。在筆者看來，風(fēng)險(xiǎn)為路徑的思路，也應(yīng)當(dāng)為我國《個(gè)人信息保護(hù)法》相關(guān)的后續(xù)立法和標(biāo)準(zhǔn)制定所積極借鑒。（完）