中国“一带一路”的握手肯定是友好的，然而握手不一定每次都是友好的。5月25日欧盟的《通用数据保护条例》正式生效，这部法律被称为史上最严苛的数据保护法案，罚金最高达到2000万欧元，相当于1.5亿人民币，要么是罚全球的4%的营业额，两者取其一最高的。所以我们看到，中国企业有更多的服务全球的用户，但企业如何规避相关的法律风险。对此，北京信息资源中心副主任穆勇先生，在7月7日，由企业网D1Net主办的“2018一带一路与信息化发展研讨会”现场为大家解读《一带一路上新壁垒，欧盟《通用数据保护条例》对我国企业影响与应对》。

以下为现场速记：

【北京信息资源中心副主任 穆勇】

穆勇：各位领导，下午好!我把学习《通用数据保护条例》的一些体会向各位领导做一下简单的汇报，很多方面可能是我们自己的观点，不见得对，欢迎大家批评。

“一带一路”为什么叫新壁垒呢?其实这个壁垒是相对来说的，对于我们的企业特别是我们的互联网企业，还有一些所谓的数字经济企业电商之类的，确实是我们所遇到的一种壁垒。而且这个壁垒与我们相关的经济进行比较，会发现这个壁垒还是一种非常高的壁垒，我们现在很多企业还做不到这一步。

《保护条例》是5月25日正式生效的，这个《条例》可以说目前为止是已经正式生效的最严苛的个人数据保护的法律，而且是正式实施的法律。它把数据主体的个人数据权利可以等同于他的基本人权，特别是像隐私权，而且这里面对于个人数据的保护，我总结一下主要是有三方面的权利是非常重要的：

第一是知情权，所有的数据处理，不管是采集、加工、处理、还是交易、还是怎么来处理，我必须知道数据主体，这是一个知情权。

第二是选择权，这些数据怎么来处理、处理得合不合规、找谁来处理、这个选择是不是让你处理、处理的结果能不能用、包括转移，这些选择和操作的权利也是信息主体个人的。

第三是所有权，这个数据不管是经过怎样的加工，最后它的权利还是这个人的，不是说经过加工之后，这个数据的权利就变成了我们企业的、变成第三方的或者其他机构的。而且这个权利是不但给出详细的规定，而且有具体的要求和方法。所以说，这个《条例》是非常重要的一个条例。

这里面有七个方面的原则，而且实施是在31个欧盟国家和欧洲自由贸易联盟实施的。它不同于一般的指令，它是直接的法令，这些国家要实施这些法令，这是它的一个特点。另外它对于数据处理的原则，大家可以看一下，是非常严格的，合法、公正、透明。虽然我们国内的相关法律也是这么说的，但是实际上我们缺少非常详细具体可操作的规定，这里面是非常详细的。包括它的限制、包括它的最小化准确数据处理、保密、安全、问责和责任等等一系列具体的原则，包括一些具体的数据主体的权利，拒绝数据处理、纠正或删除请求处理的数据被遗忘。

这里面可能有很多具体的条款，由于时间关系我就不展开说了。比如说纠正或者说删除，大家看一下具体的权利。某个企业用你们的数据进行个人画像，这些画像必须经过信息主体的同意，我认为这个像画的是我，我认可了，你这个企业才能用。如果不同意，你是不能用的，你要修正。而且我开始的时候同意你采集了数据，后来我觉得我不需要你继续处理了，我可以要求你删除等等。具体的条款非常详细和具体。

里面有一个非常有特点的是数据可携带权，这个打一个比方，比如说我在某一个互联网上进行了操作，在互联网上留下了我的相关信息、包括相关的衍生数据，我现在不想再上你这个网，我想上另外一个网，你这个企业要把我的数据多打一个包，按照我要求的格式传给我，我可以拿它同时到别的网上继续来开展我的业务。你看这个个人的权利多大，而且这些都是企业的相关义务，必须要做到的。

其实这一条也说明了什么呢?欧盟的《条例》看起来是一个个人信息保护的条例，其实他在个人信息保护的同时，也在促使信息的流动和共享，这个权利也是这么一个典型的例子。这里面有很多的具体规定，时间关系我就不具体说了。另外这里面有一些规定是对于数据流通的，也就是说不同地区的数据保护条例的水平不一样，比如说你在欧盟欧美国家进行了评估，他认为他的保护水平比较高，他认为保护高的数据在跨国公司，这个数据在传输的时候只能是从低的往高的地区流动，不能反过来操作。

也就是说，如果有一个企业是全球化公司，他的数据存在了欧盟的相关国家，他要向中国的地区传输数据，他是不允许的，实际上是一个对于数据保护的要求。如果说不按照这些具体要求进行操作，他的处罚是非常严格的，而且也是非常高的。他有两个选择，如果你处理了，没有承担相关的义务和责任的时候，他的处罚是1000万欧元和2%的全球营业额，两者选最高的，这是一类。还有一类是说你对于个人信息处理，如果是侵犯了相关的规定、违反了相关的规定，他的处罚是2000万欧元会全球营业额4%的处罚，也是以两者为高的选择一个。

如果说我们的一些企业触犯了他这部法律的相关规定，他的处罚是非常高的。同时还有一个管辖原则方面的规定，要求也是非常高的。所谓的场地管辖原则，第一个是说如果你这个公司在我欧盟相关的地区设立企业，特别是我们的相关企业必须要遵守本地的法律法规，这是毫无疑问的，这是可以理解的。另外还有一个原则是只要我欧盟的人在世界各地，如果你这个企业触犯了我的相关规定是同样的，如果说欧盟的成员国相关的人员到了北京，北京的企业处理我的数据没有按照我的规定来进行处理，我也可以按我们的规定来对你进行处罚，这就是所谓的场地原则。

大家可以想想看，这两个原则加在一起，其实是对我们的企业是相当不利的，而且我们看一下“一带一路”，因为今天的题目是“一带一路”，我们看一下其实和欧盟的国家直接相关的东欧有16个国家，还有一些其他的欧盟国家，像希腊等其他国家都在这个范围之内。我们中国的企业走出去，其实除了我们传统的一些建筑修路修桥之外，可能还有点优势的就是我们的互联网金融企业、互联网企业或者电商企业。

我们要想到国外去发展，这肯定是我们的一个很大的无形中的非关税的壁垒，如果你做不到这样的话，一是你在那边没法开展业务，二是就算你开展了业务，在国内你做得很好，你要到那儿去开展相关的业务也会面临方方面面的阻碍。平时他可能说我不管你，但是他真想罚你的时候，我估计就不是像美国对中兴的事罚你10亿美金了。你想如果阿里被罚一下，他的全球营业额的4%，而且处罚肯定是上限，包括我们的百度、包括我们的京东、包括我们的BAT，因为不见得是到他们那边去开展相关的业务，欧盟的人在北京，你给我提供了服务，你没有按照这个要求做，我就可以罚你。

所以说，从这个角度来说，《通用数据保护条例》的发布其实无形中给我们增加了一个新的阻碍，这是我的一个观点。另外一个，这个事情对于一些大企业来说，可能稍微还可以处理，比如说我们也问过相关的大企业，他说我们有两个版本，第一个是对欧洲国家采用的一个版本，就是按照他的要求来做。我说国内的怎么办，万一欧盟的人到这儿来旅游，你不小心触犯了怎么办?他说现在还没有想到相关的对策，这是一个。

另外一个最大的影响是我们相关的中小企业，这个成本无形中会增加很多，原来我们很多的业务都是通过免费的或者不受影响的开展个人画像、广告、推送等东西来做的，现在变成这样，第一个是你原来的业务很多做不了，第二个是增加了一大块很大的关于数据保护方面的成本。而且同时现在给我们造成压力的，不仅是欧盟国家这么做的，相关的一些发达地区像澳大利亚、新加坡、美国等也都是在做这样的工作。这确实是给我们无形中产生一个压力，但这既是机遇，也是挑战。

5月25日我特意上网看了一下，我们国内的企业其实已经开始应对了，比如说这是中国国际航空公司，我在网上看了一下，他在25号马上就把他的所有隐私政策全调回来了。因为他觉得他自己是最可能会被处罚的一个企业，因为他要飞欧盟国家，另外他的乘客乘员肯定有大量的是欧盟国家的人员。同时我们看了一下我们国内的一些跨国五星级酒店，你看他的隐私政策，他已经变过来了。特别是一些大的，虽然不是互联网企业，但是他要想和欧盟进行对接，他必须要做这项工作。

同时相关的《通用数据保护条例》在欧洲国家已经开始实施，并且首个违反相关规定的判例已经出来了，他设立了专门的法庭或者保护人员来处理这方面的案件。现在首个具体的案例我就不展开说了，这个大家能看到。同时相应的美国相关的一些洲、一些国家也在不断的抬高个人数据保护的门槛，其实我觉得这从某种程度来说，对我们国内造成了压力。

我们再看一下，比较一下国内的相关法律法规，比较起来才知道我们现在走到哪一步。国内相关的法律法规也有，但是相对来说都是比较宏观、模糊、不可操作的，缺少可操作性。除非是你触犯了非常严重的问题，包括相关的标准，其实这是一个国家推进个人信息保护的相关标准，因为它是一个推荐性标准，所以没有法律、没有约束力，你可以使用、也可以不使用。特别是他违反了之后，你还没法处罚。所以我们国内在这个方面，我们的起点和欧盟国家相比较而言，我们是非常低的。

如果是数据保护过于严苛，可能会对我们的企业产生很大的影响，所以我们现在采用的政策更多的是比较宽容的，为了促进产业的发展比较宽容的对待个人数据的使用，所以才出现了现在的各种问题。比如说有些企业家就说了，我们中国人愿意占便宜，愿意通过使用我们的个人数据来换取免费的服务，实际上这是不对的。而且它不仅是说我收集你我应该用的数据，而是说相关的数据我要大量的采集。所以我们国内比较起来，我们国内对个人信息的使用更多的是包容。我总结出来实际上是过度的包容，没有守住审慎的底线，造成了相关的侵犯个人信息的事件，包括恶性事件不断有发生，影响了用户对企业的信心。

我想了一下，这是不是和我们以前走过的路有点类似，我们改革开放之初，我们为了发展经济，忽略了环保，走的是一条“先发展、后治理”，以至于现在拼命治理，下最大的决心、最大的力度来治理，花很大的成本来纠正以前的错误的道路。是不是这样，我现在无法判断，但是我们现在的政策，我的总结认为是过度的包容。而且这样对我们以后“一带一路”的发展是极为不利的，现在你要走出去，国外的环境条件和我们是有很大差别的。

我们的一些产品、我们的一些服务，你在国内的时候没有做大的时候，人家是不会管你、不会处理你、不会处罚你。但是你一旦做大的时候，他关注你的时候，特别是你要到欧盟国家去发展的时候，你就会面临这样的问题。而且你要从头来，重新设计你的产品、设计你的服务的时候，我估计那个成本也是会很高的。所以说，我们应该采取相应的对策来解决这方面的问题。包括高度的重视个人数据保护，怎么来行使相关的权利和操作的规程，包括数据处理机制、数据保护关、应急等等具体的规定，具体就不展开说了。

同时我们国家应该提高我们自己的个人数据保护的门槛，我的一个感觉是现在从两头来走，欧盟国家是从保护往使用、共享中间这边过度，我们是从使用、共享再往保护阶段来过度，他们两可能会在一个阶段进行交汇。如果说我们要在全球数据保护的网络空间治理上有一定的话语权，我们一直在强调中国互联网和国际互联网增加网络空间的话语权，我们需要占领所谓的道德高地，同时也是保护我们自己的利益。在这里政府部门要起到重要的作用，而且政府部门是作为数据处理的所谓的公共当局，也是和一般企业要承担相应的责任的。

所以我们应该限制政府对个人数据的使用方面的要求，特别是像我们的一些国际化大都市，像北京这样的几个地区，你要举办奥运会，你要举办冬奥会，举办大型的国际活动，大量的国外人员在这边开展相关的工作，如果你这方面做得不够，肯定是会有问题的。同时在这个阶段，我们要注意支持我们的中小企业开展相关的工作。特别是降低我们的风险，帮扶小企业采取相关的措施来应对。同时和欧盟相关的国家进行协商，看看能不能做谈判。像贸易关税一样，确定对我们国家适用的个人数据处理的一种协调机制，来减少不必要的贸易纠纷。

个人数据为什么说在我们这一块处理起来难呢?其实第一个问题是，一个数据的处理不仅涉及到你这个人提交一次，而且在不同的环节有不同的主体来进行处理。第二个是多元主体多步骤操作，第三个是数据的确权，确权问题一直在我们国内没有解决。当然了，国外也有一些不同的方法来进行相关的处置，可以供我们参考。这是所谓的财产权利，一个是确权问题，一个是财产权利如何进行平衡。平衡这里面有一种机制，我们叫做保护与共享的平衡机制，怎么来通过确权和利益的保护进行平衡，保护各方的权利，一个是责任规则、一个是财产规则。

我们稍微解释一下什么叫财产规则，一个主体授予他财产规则之后，如果别人要获得这个权利必须要经过他的同意，这个叫财产规则。还有一个叫责任规则，责任规则是说他获得权利之后，你要征得他的同意，如果他不同意，由第三方来给一个价格或者一个方式来进行处理。打个比喻，像我们盖楼或者修路，有一个房子要拆迁，如果是一般的房地产商业的开发，这个屋子的权利就是财产权利。你要想拆我的房子，你必须给我一个满意的价格，我同意了你才能拆。但是如果是修路，公共利益，对不起，你要2000万我没有，我只能给你1000万或者说500万，这是属于责任规则。

我们认为，个人信息的保护和使用，根据不同的情况，不能一刀切。特别是我们的政府部门，我们不管是向外开放数据、还是政府购买企业和个人的数据的时候，也都是根据不同的情况采用不同的规则来进行处置。

时间关系就说到这里，如果说得不对的地方，欢迎大家批评指正，谢谢大家!