《通用数据保护条例》实施对中国出口效率的影响

数字经济时代,数据是重要生产要素,生产和贸易活动中数据跨境流动成为必然环节,而数据跨境流动限制对生产和贸易活动产生重要影响。基于欧盟《通用数据保护条例》(GDPR),运用2005—2022年面板数据,考察GDPR实施对中国出口效率的影响及作用机制。研究发现,GDPR实施对中国出口效率产生了显著的负面影响,这一发现在系列稳健性检验后依然成立。拓展分析发现,GDPR实施对中国出口效率的负面影响在目的地国发展水平、发展速度、营商环境和政治环境等层面存在差异;在发展水平越高、发展速度越快以及营商环境和政治环境越好的目的地国,GDPR实施对中国出口效率的影响也越大。机制分析显示,GDPR实施会导致各类贸易成本上升进而降低中国对其出口效率,目的地国对数据保护越不敏感,GDPR实施对出口效率的抑制作用可能会降低;GDPR实施会影响目的地国监管情况进而影响中国出口效率,目的地国政府效率、法治水平和居民话语权越高,GDPR实施对出口效率的抑制作用可能会越低;GDPR实施会影响目的地国的进口需求,降低中国对目的地国出口效率;GDPR实施会影响目的地国国内供给水平,进而影响中国对目的地国出口效率,技术能力越强、人力资本和资本存量越充足的国家,GDPR实施对其国内供给影响越小,对中国出口效率的负面影响也越小。据此,应加强国际沟通与协作以降低制度阻碍,有效利用区域贸易协定签订数据相关条款,积极参与国际数据流动相关规则制定。同时,针对差异化市场寻求合适应对策略,并引导企业提高生产效率和数据规制的应对能力。

论欧盟《通用数据保护条例》的域外效力

2018年欧盟《通用数据保护条例》的实施被视为“数字人权”项下个人数据权保护的“典范”,其重要原因在于其以条例的域外效力契合数据跨境治理的现实需要。条例第三条通过两个维度的设计去搭建个人数据保护的域外适用框架:第一,“经营场所标准”:倘若欧盟境外数据控制、处理、使用等主体采取的数据行为与欧盟境内经营场所具有不可分割的某种联系,那么就要受到条例的规制;第二,“目标指向标准”:若境外数据控制者、处理者等所展开的数据行为是针对欧盟境内的数据主体,那么其亦受到条例的约束。虽然两个标准相互补充,但条例的域外效力仍然面临着考验。条例域外效力的经验和考验,也为我国提供了宝贵的经验和启示。

GDPR对我国跨境数字贸易企业个人数据保护研究——基于数据生命周期理论

[研究目的]通过分析欧盟《通用数据保护条例》(GDPR)的相关内容,为我国跨境数字贸易企业中个人数据保护提供理论参考意见。[研究方法]采用文献分析法与内容分析法,基于数据生命周期理论梳理建构跨境数字贸易个人数据生命周期模型,并解构分析跨境数字贸易中个人数据保护问题。[研究结论]研究从宏观与微观两个角度出发,提出了强化GDPR认识、组织GDPR合规工作部门、设立数据保护官三项全局统制策略及建立集约化数据采集模式、细化并公布个人数据清单、构建完整的数据传输体系等五项阶段举措,由此实现跨境数字贸易企业对个人数据的全流程安全保护。

欧盟精细化数据立法下的数据保护与流通

近年来欧盟数据领域的立法重点产生了一定的价值转向,欧盟法作为大陆法系的重要组成部分与我国法律体系一脉相承。研究欧盟数据立法进程所彰显的法治精神和价值导向对于我国数据治理工作具有一定借鉴意义。以欧盟有关数据治理的宪章、公约、条约、战略、法律与法案为分析文本,对欧盟系列规范性文本进行共时性与历时性的双维度研究以厘清其立法思路演变与路径选择。在研究过程中发现欧盟对于数据这一新型生产要素在被纳入法律视野中后而产生的数据权这一概念存在着从传统人格权向财产权的认知转变,进而梳理出欧盟从传统的数据保护转向数据流通与赋能的立法嬗变趋势,并得出对我国数据治理的三点启示:数据战略建构应追求结构体系化、数据权利创设应考虑利益多元化和数据流通模式设计应遵循场景类型化。

区块链技术与个人数据保护规范的内源性冲突及调和路径——以欧盟GDPR为例

[研究目的]基于集中式数据保护模式的GDPR与基于分布式架构的区块链技术之间存在张力,难以实现GDPR所赋予数据主体的数据权利。通过研究区块链技术与个人数据保护规范冲突的归因逻辑及实质,为完善我国个人信息保护法提供可资借鉴的经验。[研究方法]根据欧盟第29条工作组出台的GDPR相关术语解释指南,基于区块链技术本身的技术性架构,整理欧盟为调和区块链与GDPR冲突出台的文件,研究其冲突的根源,探求调和二者冲突的可能路径。[研究结论]我国应从理念与实体两个层次应对这一冲突。理念上,短期内需解释法律并调适区块链技术,长远来看仍需寻求法律代码化进路。实体上,鉴于公有链与许可链不同的去中心化程度,采取公有链的技术路径与许可链的法律路径分别予以规制,由此实现区块链与个人信息保护法律规范的有效衔接。

《通用数据保护条例(GDPR)》的实践评价及启示

《通用数据保护条例(GDPR)》已实施一年有余,因法国依此条例对谷歌公司处以高额罚款而受到关注。一年多的实践,令欧盟的数据保护机构具有更强的权威性和执法手段,提高了欧盟民众保护隐私的意识,也让数据相关企业调整技术手段以适应新规定。此外,GDPR促使更多数据相关企业加强规范性,加强数据在国际间流动的安全性,还成为贸易谈判中使用的手段之一。面对GDPR的实施,我国企业及相关部门应跟踪国际动向并开展相关法律改进研究,政府管理部门可以鼓励企业做好数据保护工作,为企业出海提供法律支持,并评估贸易谈判中数据保护条例的影响,做好应对措施。

论司法实务对数据保护立法的推进--以欧盟《通用数据保护条例》(GDPR)为例

欧盟《通用数据保护条例》(GDPR)对个人数据保护的权利设计了具体的制度保障。欧盟司法实务对GDPR立法的推进起到了不容忽视的作用,在GDPR生效之后也暴露出其中一些不足,司法实务对该法的影响仍然在不断推进。目前,中国正在加快个人信息保护和数据安全相关法律法规的完善,涉及数据保护的司法案件在网络信息技术大规模快速发展的背景下不断涌现。与GDPR的制定过程相似,这些司法案例也为我国的相关立法提供了重要参考。本文主要通过比较研究和案例分析的方法,探讨GDPR数据的保护路径以及司法实务在GDPR制定出台前后产生的重要影响。同时,结合我国实际,发现其中值得借鉴的正反两方面启示。

欧盟《一般数据保护条例》生效后 内部审计如何推进GDPR的遵循

《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)自2018年5月25日正式生效后,成为目前最新的数据保护法规,主要影响世界范围内为欧盟公民提供商品和服务的企业。本文主要讨论内部审计在评价企业GDPR的遵循、实施差距评估以及向数据保护官提供咨询支持、提高企业合规意识等方面如何发挥重要作用。

欧盟《一般数据保护条例》指导下的数据保护官制度解析与启示

欧盟发布的《一般数据保护条例》对数据保护官的组织定位、设置条件、功能特征、资质要求等做出了明确的规定。《一般数据保护条例》指导下的数据保护官制度,启示着我国企业的组织机构需要对接国际标准、立足本土,从数据保护岗位设置来促进数据保护的合规实践;我国的数据管理人才培养,需要健全培养目标、丰富培养方式、创新培养内容、对接职业场景;有关学科专业需要积极参与到数据保护官的职业标准化和认知体系建设之中。

什么是数据权利?——从欧洲《一般数据保护条例》看数据隐私的保护

欧洲《一般数据保护条例》是全球个人数据保护的最重要立法之一。通过对该条文的分析,可以发现该法案采取了强化数据主体对个人数据控制的导向。通过对赋予数据主体的数据隐私权的分析,可以发现这种权利同时具有人格权与财产权的特征,其边界并不清晰,也并不一定能实现立法者所期望实现的目的。保护隐私权益,应当更多采取公法风险规制与消费者法保护的框架,而不是寻求一种具有确定性边界的隐私权或个人信息权。这是因为,数据隐私必须放在特定的语境与社群中才能理解,只有结合具体语境与社群中的信息流通,才能准确思考隐私的边界与个人数据流通的合理性,才能对相关权利进行合理的界定。

贸易壁垒视角下的欧盟《一般数据保护条例》

欧盟GDPR着力于自然人基本权利保护和内部统一市场构建,但对非欧盟国家而言,它具有贸易保护主义的实际效果,构成数字经济时代的新型贸易壁垒。GDPR一系列复杂而周密的制度安排,抬高市场准入门槛,产生扩张性的域外适用,强化了欧盟个人数据保护制度输出的影响力,进而深刻影响国际数据治理格局。美国为化解欧盟数据立法产生的贸易壁垒,一方面通过双边协议与欧盟达成妥协,另一方面试图通过区域协议与欧盟争夺国际话语权。中国目前还无法仿效美国从双边和区域层面作出有效应对,当务之急是构建符合国际立法趋势和我国现实需求的个人信息保护法。

智慧图书馆用户数据隐私保护研究——基于《中华人民共和国网络安全法》和《一般数据保护条例》的文本启示

智慧图书馆依托互联网开展服务,用户数据隐私等问题引起了图书馆领域有关学者的关注。文章通过比较《中华人民共和国网络安全法》与欧盟《一般数据保护条例》中有关条款,探索数据主体(用户)、数据控制者(图书馆)与数据处理者(业务)的权利与义务以及三者的关联性,为智慧图书馆用户数据的规范化使用以及相关规则的制定提供参考。

基于欧盟《一般数据保护条例》的我国征信法制建设研究

以欧盟《一般数据保护条例》为基础,在分析我国征信法规现状的基础上,提出制定我国个人数据保护法,建立完善征信业务配套机制,实现征信法制建设"法律+行政法规+规章及配套制度"三位一体的多层次、全方位征信法制体系。

欧盟《一般数据保护条例》的周年回顾与反思

欧盟《一般数据保护条例》正式实施已满一年。一年来,从制度细化到执法处罚,欧盟数据保护委员会和各成员国数据保护局各司其职,提升了欧盟公众对个人数据权利的关注度,并对全球的企业和立法者产生了深远影响,可谓成绩斐然。但另一方面,其执法并未达到“一致性”和“一站式”的承诺,没有实现建立企业与用户间信任的目的,并已阻碍了数字经济发展。我国应汲取其经验和教训,在《个人信息保护法》制定中,明确其“通用性”和“一般性”,灵活解释个人“知情同意”规则,并将“双边信任”而非“单边个人信息权利保护”作为制度设计的基点。

后《通用数据保护条例》时代反兴奋剂信息的法律保护

欧盟《通用数据保护条例》对反兴奋剂领域的个人信息保护规则产生了很大的影响,迫使世界反兴奋剂机构做出法律改革,但依然存在许多争议。最引人注目的是反兴奋剂信息处理的合法性问题,是否要在反兴奋剂领域引入被遗忘权和数据可携带权问题,反兴奋剂信息的跨境传输问题。只有厘清反兴奋剂领域自治与法治的关系,才能找到解决上述问题的正确路径。在反兴奋剂领域,应当进一步提高个人信息的保护标准,以必要性原则对反兴奋剂机构的信息处理和跨境传输做出限制,同时引入被遗忘权和数据可携带权,加强对信息主体的法律保护。

个人信息保护法域外效力研究——以欧盟《一般数据保护条例》为视角

大数据时代,随着智能设备的普及和数据处理技术的成熟,搜索引擎、社交网络、电子商务等互联网信息服务快速发展。信息以前所未有的方式自由流动和跨境传输,由此引发了个人数据保护法域外效力的扩张。相较于早期的《数据保护指令》,新近通过的欧盟《一般数据保护条例》增加了域外适用情形,将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业也纳入了规制范围。纵观世界范围内的个人数据保护法,多数国家已设立域外适用条款,扩大法律的域外效力已经成为国际社会的主流做法。就当前信息产业发展和个人信息保护规范的现状而言,我国应借鉴欧盟立法经验,在未来的个人信息保护法中设立域外适用条款,扩大法律的地域适用范围。

欧盟《一般数据保护条例》新规则评析

欧盟《一般数据保护条例》已于2016年5月4日正式颁布,将于2018年5月25日生效。《条例》扩大了地域适用范围,增强了数据主体的权利,特别是引入了'数据可携带权'和'被遗忘权',制定了更加多样化的跨境数据传输方式,对涉及'数据画像'的数据处理行为制定了更加严格的规则。这些规则反映了欧盟在个人数据保护立法方面的新趋势,值得分析和借鉴。

数字经济视野中的欧盟《一般数据保护条例》

数据是数字经济的关键生产要素,数据保护和利用规则构成了数字经济的底层架构。欧盟《一般数据保护条例》的出台与其重振数字经济、推动欧盟数字一体化市场的雄心密不可分。但在数据权利作为基本权利和欧盟各国作为数据经济消费国的背景下,《一般数据保护条例》对数字经济造成了不利影响,可能戕害创新、伤及互联网成熟业态、阻碍新兴产业的发展。我国应洞见其经济实质,作出有效的回应,并在《个人信息保护法》的制定中审慎借鉴相关规则。

论个人信息保护中知情同意原则之完善——以欧盟《一般数据保护条例》为例

对知情同意原则进行完善既是信息社会的时代要求,更是我国未来《个人信息保护法》立法工作的一项重要任务。欧盟2016年4月27日通过的《一般数据保护条例》对欧盟现有知情同意原则的完善对我国立法具有重要的借鉴意义。知情同意原则是信息自决权的前提和基础,是信息处理正当性的一般依据和特殊依据,但并非信息处理正当性的唯一依据。我国未来立法应正确认识同意的价值定位、明确有效同意的五个要素、构建敏感个人信息的特殊同意规则、规定同意的举证责任倒置、加强儿童信息处理同意的保护。

欧盟GDPR的健康数据保护及对我国的启示

2018年欧盟《通用数据保护条例》(GDPR)的出台,为欧盟境内的健康数据保护建立了全新的框架。通过“与健康有关的数据”“基因数据”“生物识别数据”等敏感数据的界定,GDPR为健康数据提出了高于一般个人数据的处理规则,并规定了医疗机构处理健康数据时应履行的基本义务。分析GDPR具体条文及执法案例对我国医疗机构的个人信息保护实践有重要的借鉴意义。