数字经济视野中的欧盟《一般数据保护条例》

文|许可 对外经济贸易大学数字经济与法律创新研究报告中心执行主任

数字经济正成为中国以及世界经济发展的新动能。通过人均资本、人均劳动产出和全要素生产率的提升，数字经济不但培育了新市场和产业新增长点，更推动了社会的包容性增长和可持续增长。透过数字经济的棱镜，2018年5月生效的欧盟《一般数据保护条例》（下称“GDPR”）便显现出别样的意义。

基于此，本文首先揭示GDPR背后欧盟的政经考量，进而探寻GDPR对数字经济的不利后果，并在此基础上，提出中国的应对建议。

一、GDPR与欧盟数字经济的愿景

（一）数字经济的落后者

发达国家、发展中国家均把数字经济转型视为优先政策,而各国的发展并不均衡。中美两国在这波数字经济浪潮中的领先地位在科技企业的市值上得到鲜明体现，在各个细分领域更加显著。较诸中美，欧洲在数字经济中暂时落后了。欧盟数字经济落后的恶果已经显现：自2009年以来，欧盟信息和通讯技术产业（ICT）一直处于结构性下滑的状态，当今全球市值最高的20家互联网公司也没有一家来自欧盟。

（二）通过制度发展数字经济

早在1993年，欧盟就发布了《增长、竞争、就业——迈向21世纪的挑战和道路》白皮书。1996年3月，欧盟理事会签署《关于数据库的法律保护的指令》。然而，法律本身的模糊性使得人们对其保护范围以及他人正当行为的边界充满分歧，[1]并未让欧盟数据产业蓬勃兴起，2004年，欧盟数据库的发展已经回落到1996年的水平。[2]

面对这一不利局面,2010年欧盟发布《2010倡议——为了促进增长和就业的欧洲信息社会》，提出深耕三大重点领域[3]。作为数字经济法律的重要一环，2012年，欧洲议会公布GDPR草案。草案出台后，4400多份修改意见反映了GDPR早已超越纯粹的个人数据规范，成为深层次融合国际政治博弈、产业经济竞争以及社会文化扩张等诸多元素的复杂综合体。[4]2015年，欧盟委员会再次确立欧洲“数字一体化市场”战略，推进制定GDPR。为此，欧盟需要消除一系列的技术障碍和法律障碍，[5] GDPR便是其中最重要的举措之一。故此，倘若只将GDPR视为在信息科技迅速发展背景下，欧盟对欧洲公民人格尊严和人格自由的重申，未免小觑了它的意义。

（三）GDPR推进欧盟数字一体化市场

1．以数据自由流动为宗旨

GDPR第1条“主旨与目标”开宗明义：“不得以保护自然人个人数据处理为由，限制或禁止个人数据在欧盟的自由流动。” 2014年，价值约30万亿美元的商品、服务和金融发生跨境移转，其中数据流动带来的价值约为2.8万亿美元。[6]然而，欧洲企业和消费者对于数据自由流动始终缺乏足够的信心，[7]为此，GDRP从提升了数据主体对个人数据的控制力和取消了数据本地化的要求两方面重塑数字经济的信任，强化数据流动性。

2.以规则和执法的统一为依归

与95指令相比，GDPR大大提升了个人数据保护的法律位阶,意味着GDPR一经发布立即生效即具备同等法律效力。不仅于此，执行GDPR构成欧盟各成员国必须履行的、不可克扣的政治责任。GDPR特别在涉及多成员国监管的情形下，规定了主导监管机构的监管权力，通过一致性机制相互合作和协助，实现一站式执法。个人数据和信任是当今数字经济的货币，GDPR意图建立一个强大且面向未来的监管框架，增强消费者和企业的信心和相互信任，为欧洲铺平数字时代的道路。

（四）GDPR成为面向非欧盟国家的新壁垒

推动欧盟内部市场的一体化并不是GDPR的唯一效果，对欧盟外市场参与者来说，GDPR更承担着贸易和投资新壁垒的角色。

1.GDPR为全球个人数据保护竖立新标杆

迄今为止，全球个人数据保护法经历了三代。[8]第一代以1980年《关于隐私保护与个人数据跨境流通指引》以及1981《有关个人数据自动化处理之个人保护公约》为起点，奠定了现代个人数据保护法的基本框架。第二代以欧盟95指令为代表，其在第一代基础上加入了 “数据最少够用”、“敏感信息”等要素。第三代的GDPR拓展了数据主体权利，并确立一系列新型保护制度，如“企业内部设立数据保护官”、“数据保护影响评估”、“集体诉讼制度”等。

截止2018年6月，世界已有126个国家拥有个人数据保护法，各国均达到了第一代的标准。所有欧盟国家均已完成了转变，在非欧盟的75个国家中，大体也行程过半。其中，南非和韩国实现了90%，阿根廷、哥伦比亚、马来西亚80%，加拿大、中国台湾70%，澳大利亚、新西兰、中国香港60%，但美中两国均不在这一表单中。[9]随着GDPR的出台，欧盟个人数据保护高地的地位进一步稳固。

2. 作为国际经济新壁垒的GDPR

所谓国际经济新壁垒，是指包括技术壁垒、绿色壁垒和社会壁垒在内的所有阻碍国际商品、服务、资金、数据自由流动的新型壁垒。[10] GDPR包含着“同意”、“透明度”、“数据记录”等标准，体现出技术壁垒特征；同时，通过宣示《欧洲人权公约》第 8 条、《欧盟基本权利宪章》第 7 条项下的“个人数据获得保护的基本权利”，GDPR又有鲜明的社会壁垒特征。[11] GDPR对跨境经济活动的阻碍集中反映在如下层面：

首先，GDPR限制了跨境提供货物或服务。根据GDPR第3条第2款规定了相关长臂管辖。在涉及个人特殊数据处理时，企业还应在欧盟境内授权一名“代表”，以履行GDPR下所有的义务和责任。

其次，GDPR限制了数据的跨境流动。GDPR第五章规定，欧盟内的个人数据只允许流入欧盟认可的的国家或地区。获得欧盟的充分性认定是数据跨境流动的最佳途径，但由于个人数据保护整体水平以及与欧盟的政治、贸易关系等相关标准严苛，中国等大多数国家近乎不可能完成。而在所谓“适当保护措施”中，实质均在于通过柔性规则，将GDPR的强制性规定扩张适用到欧盟外国家。

最后，GDPR限制了资金的跨境流动。根据GDPR第3条第1款，只要营业机构/营业场所设在欧盟境内，企业均不得不承担GDPR施加的高昂合规成本，而不论其个人数据处理活动是否发生在欧盟境内，让计划进入欧盟的企业进退维谷。

总之，GDPR具有双重效果：推动欧盟境内数字经济的发展和搅动欧盟外的全球数字市场。就后者来说，欧盟实际上是利用GDPR，向中美两国企业和政府开出了一道难以回答的选择题：要么让企业操作规程或国内法与GDPR保持一致，要么被5亿富有消费者的市场排除在外。

二、GDPR对数字经济的不利后果

甘瓜苦蒂，物无全美。鉴于欧盟在数字经济领域的相对落后地位以及数字生产和消费不平衡的市场结构，其无须过多顾忌GDPR的副作用，可从全球数字经济的宏观视角观察，GDPR绝非福音。

（一）GDPR可能戕害创新

企业合规成本的飙升是GDPR对数字经济最直观的影响，但仅是合规成本的增多并不当然损及创新。正如波特假说所洞见的，基于安全的规制有可能激励企业进行创新补偿，实现双赢。[12]但有研究表明：规制可以提升合规成本相对较低的大企业利润率和数量，却降低了小企业利润率和数量。[13]

但互联网时的“颠覆性创新”中小企业才是创新的主体。针对高新技术产业的调查表明: 企业规模和颠覆性创新的成功负相关。[14]因此，大企业继续保持其行业领先地位的惟一办法，是成立一个完全独立的组织，并全权授权它使用全新商业模式创建一个全新的企业。GDPR中数据控制者、数据处理者周密而细致的义务，对于小企业而言难以承受，对大企业的成本影响有限。用户更可能通过他们熟悉的网络服务提供者或者必不可少的网络平台（例如领先的社交和商业网络），而非新的不熟悉的竞争对手来进行数据处理。

欧盟考虑到小企业缺乏充分的财力、人力来履行GDPR规定的书面记录义务，第30条第5款对雇员人数少于250人的企业或组织，给予了特别豁免。但GDPR同时指出：该等义务免除有着涉及数据处理行为和特别信息的三种限制[15]。鉴于敏感数据和犯罪数据一旦泄露就会给数据主体造成威胁，因此与该等数据相关的处理，不论方式如何均不得豁免。

综合上述限制情形，不难发现，因为GDPR表述的模糊性，小企业将面临不确定的执法，不得不费时费力保留数据，削弱小微企业豁免的立法功能。5月底，几家小型美国公司和科技创业公司已退出欧盟市场，以免与监管相冲突并影响其存续。

（二）GDPR可能伤及互联网成熟业态

2013年12月，为评估GDPR对数字经济的影响，著名会计师事务所德勤与英国、法国和德国的750家企业和6000名消费者进行了访谈，深入分析四大数据产业：直销、行为定向广告、网页分析和信用信息，发现GDPR将导致1730亿欧元的GDP损失以及280万人的就业损失。考虑到GDPR的跨境管辖和数据的跨境管控，这一数字肯定会进一步放大。[16]

1.直销产业

直销是指通过信件、电话和电子邮件等方式向选定的潜在用户直接进行商业推广的广告活动。随着GDPR的到来，只有在用户主动、明确、具体地授权企业使用其个人数据之时，直销才能开展。但调查发现：一旦转为明示授权，人们的决定就非常谨慎，只有40%左右的人同意企业利用直接收集的数据直销，而同意利用间接收集数据直销的更是不足20%，这将大幅影响直销获取客户、维系客户和交叉行销的范围和效率，从而进一步影响直销行业的收入、直销使用企业的投资回报率和消费者福利。

2.“行为定向广告”行业

行为定向广告是指通过深入观察网站用户的行为，利用网页特性，准确地把握用户的特征、需求，针对性地投放广告。但在GDPR下，用户的IP地址、Cookies和设备ID等个人数据的处理变得非常困难。

3.网页分析行业

网页分析是指通过收集和分析网页访问者的访问数据以及电子邮件回应率、销售与客户资料、使用者效能资料等基础数据，以帮助企业满足客户的访问期待。为了不影响用户使用，网页分析所使用的数据搜集技术（如“网页埋点”）大多是嵌入式和隐蔽性的，这使其难以满足GDPR的要求。

4.信用信息行业

GDPR增加了相关信息收集、使用和分享的成本，且用户的删除权可能导致信用评分失真。经济学研究发现，个人数据权利的提升与信用的有效利用并不兼容。以金融隐私指数为指标，美国的个人数据保护弱于欧盟，但美国的信贷获取比例高于欧盟各国。[17]就个人信息共享是否需要明示同意，美国加州各地采取了不同的规定，政策差异的经济学分析表明：在需要用户明示同意才能共享信息的情形下，贷款违约率上升了。[18]金融机构风控能力下降导致其面临更高的信用风险，因此不倾向于向小企业放贷，而消费者获得房屋、汽车等消费贷款的几率亦随之下降。

（三）GDPR可能阻碍新兴产业的发展

众所周知，信息技术的ABC——人工智能（AI）、区块链（Blockchain）和云计算（Cloud Computing）——将塑造数字经济的未来，然而，GDPR对此却缺乏远见，无法回应其挑战。

1.人工智能

针对算法向数据主体作出的自动化决定，GDPR予以明确规制。其第13条（f）和第14条（g）规定，若个人数据将用于自动化决定，那么至少应当向个人提供相关决定的重要性、对个人预期的影响以及有关运算逻辑的“有用信息”。且根据GDPR第22条，若个人对自动化决定不满，有权主张人工介入，以表达自己的观点并提出质疑。上述两个条款产生了针对人工智能的所谓“解释权”。根据WP29指南的要求，一旦用户提出质疑，数据控制者必须确保关于该决定的审查是有意义的。审查必须由有授权和有能力改变决定的人执行。鉴于算法模型的复杂，人工审查成本必将最终影响对AI的投资。[19]

2.区块链

区块链的分布式、不可篡改性等特性与GDPR的规定存在先天抵牾。一方面，区块链的去中心架构使得识别数据控制者很困难。若将参与多点记账和多方共识的所有节点都视为控制者，那么令每个节点均承担同等且严苛的数据控制者义务是不现实的；这荒谬的意味着只要在欧盟境内存在任一节点，全球化的公共链（如比特币或以太坊）就全部落入GDPR的管辖下。另一方面，除非以超过全系统一半以上的算力改写，计入区块链的信息将被永久储存，与GDPR的删除权、被遗忘权冲突。总之，GDPR这一以数据控制者和数据处理者为对象的中心化规制思路与去中心化的区块链格格不入 [20] 。

3.云计算

GDPR将对云计算造成严重影响。首先，GDPR对作为数据处理者的云服务商（CSP）施加了与数据控制者几乎同等的义务和责任，例如设定数据保护官、数据泄露报告义务、数据可携带权等，即便CSP在欧盟境外亦是如此。其次，GDPR不当介入到云计算客户与CSP的合同关系中，限制了双方的经营自由。最后，GDPR默认的数据控制者与处理者二元主体划分不能涵盖云计算中多样化的业务角色，CSP的地位在IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）的不同场景中各有差异，难以统一适用GDPR。[21]

三、GDPR的中国应对之道

（一）积极化解我国法律与GDPR的冲突

考虑到GDPR对于欧盟的重大意义，其后续执法力度和持续影响不可轻忽。2000万欧元或者企业上一年度全球营业收入的4%的重罚与长臂管辖相结合，构成了针对中国企业的真实威吓。因此，中国政府和企业应对GDPR保持高度关注，避免因法律冲突将中国企业陷入首鼠两端的境地。

1.数据主体权利的法律限制问题

GDPR允许国家通过立法限制数据主体和数据控制者权利，但根据23条“限制条款”，该等限制有严格条件：一是实质要件，即相关法律应符合基本权利和自由的本质，且是民主社会应采取的必要的适当的措施，以维护国家安全、公共利益、司法程序等[22]。二是形式要件，即任何立法措施均应至少包括目的、保障、存储、风险等八方面的具体措施[23]。

GDPR的上述规定，是基于“数据权利是一项基本权利”这一共识。2007年《欧盟基本权利宪章》和2016年《欧盟数字基本权利宪章》均规定了数据权利。法律方可限制数据权利。但在中国，尽管《民法总则》第111条规定了“个人信息应受法律保护”，但其权利性质仍无定论。在实践中，一方面行政法规、部门规章，甚至规范性文件来限制数据权利，另一方面，法律的限制大多缺乏形式要件。因此，在企业遵守中国法律而降低个人数据的保护标准或违反其对数据主体的承诺，将难以使用GDPR第23条作为责任免除或减轻的抗辩理由。针对数据报送问题，我国宜及时立法，合理确定数据报送范围、确立报送数据的合法性原则、比例原则以及相关法定程序，进一步明确政府相关部门的数据保护义务与责任。

2.数据本地化存储的问题

我国数据本地化的要求与GDPR的监管要求存在冲突。我国对数据本地化存储的规定主要见于《网络安全法》第三十七条，[24]数据的存储、处理、访问都必须在境内进行。GDPR第58条“权力”条款赋予了欧盟各监管机构普遍的调查权力[25]，可能使中国企业陷入违反我国数据本地化规定的两难。

3.跨境传输限制的问题

由于我国在短期内难以达到欧盟“充分性认定”的要求，GDRP对数据跨境传输的限制不可避免地与我国对中国企业及其数据的管辖权发生冲突。对此，GDPR第48条“未被欧盟法律授权的传输或披露”明确规定承认或执行判决和决定的限制。[26]为此，我国政府宜积极与欧盟委员会以及欧洲各层级数据保护机构进行双边谈判和磋商，通过国际条约协定，实现数据合理有序的跨境传输。

4.数据存储期限的问题

GDPR第5条“与个人数据处理相关的原则”中 “存储期限必要最短”原则[27]与GDPR第17条“删除权（被遗忘权）”相结合，构成了数据控制者对数据存储的期限要求。然而，由于中国法律、法规、规章对数据存储期限的强制性要求，个人数据可能被超过处理目的的长期存储，或无法毫不迟延地回应数据主体删除数据的主张。[28]我国宜及时进行法规清理，提升法律位阶，立足于公共利益，在坚持保存期限“必要最短”的前提下，统一规定个人数据保存期限，仅在例外情形下，才恰当、合理地设定特殊保存期限。

（二）审慎借鉴GDPR规则

我国正处于制定《个人信息保护法》的关键时期，如何平衡数字经济发展和个人信息权利之间的关系？GDPR成为多国竞相效仿的对象，但我们必须直抵其本质，发掘其内在的逻辑理路，权衡得失利弊，探索我国自己的发展道路。

GDPR在个人数据保护与数字经济间平衡远非成功。GDPR前言第2条将“加强欧盟内部市场经济体融合”和“增进自然人福祉”作为其双重目标，而GDPR具体规则设计却显著倒向前者。[29]首先，这是因为数据权利条款是明确和可执行的，而例外条款是模糊的。[30]其次，从法理上看，欧盟引入了风险概念，并没有根据数字经济业态和企业不同场景因地制宜地公法调整，与美国形成鲜明对照。2012年美国《消费者隐私权利法案》以“透明度”、“尊重场景”等为核心，并规定由业界根据此纲领性内容制定实施细则予以细化。[31]对比目的限定、存储期限必要最短等保护规则，美国更为缓和与富有弹性。[32]欧盟整齐划一的执法，就可能引发规制过分或不足的问题。最后，在更深的层次上，GDRP的这一失衡，未尝不服务于欧盟保护本地企业，抑制数字经济先发国家的隐藏企图。

在个人信息保护和数字经济之间，不可能有完美的中间点，而只有动态均衡一途。然则，如何取舍？要言之，我们应“执其两端，用其中于民”，这里的“民”就是坚持经济发展以满足人们对美好生活向往的大方向。在我国经济长期处在新常态的背景下，数字经济已经成为重要的增长点和就业渠道。[33]尽管我国数字经济的成就为世人瞩目，但正如麦肯锡《数字中国：为经济带来全球竞争力》报告所表明，美国的数字化水平仍比我国高出4.9倍，我们的长路漫漫。正因如此，在坚持个人数据保护底线的前提下，适当促进数字经济增长才是当下我国制度选择的“中道”。

结语

2018年4月20日到21日，在全国网络安全和信息化工作会议上。习近平总书记强调指出，要发展数字经济，加快推动数字产业化，依靠信息技术创新驱动，不断催生新产业新业态新模式，用新动能推动新发展。可以预见，在未来很长时期内，数字经济依然是我国优位目标。我们应洞察GDPR的经济实质和对数字产业的不利影响，立足中国问题、坚持中国立场，在我国未来制定《个人信息保护法》时应审慎借鉴相关规则，作出符合我国长远利益的制度设计。

【脚注】

[1] Summary report of the public consultation on the evaluation of Directive 96/9/EC on the legal protection of databases,https://ec.europa.eu/digital-single-market/en/news/summary-report-public-consultation-legal-protection-databases.

[2] DG Internal Market and Services published the first evaluation of Directive 96/6/EC on the Legal Protection of Databases. See http:// ec.europa.eu/ internal_market/copyright/ prot-databases/ index_en.htm#maincontentSec2.

[3] 具体包括：（1）整合欧盟委员会既有法律，建立一个市场导向的数字经济法律框架；（2）推动数字化的融合以及与私营部门合作，促进欧盟在数字创新技术方面的领导力；（3）提供高效、方便实用的在线服务，建立包容性的欧洲信息社会。

[4]参见吴沈括：“欧盟《一般数据保护条例》（GDPR）与中国应对”，《信息安全与通信秘密》2018年第2期，第13页。

[5] Shaping the Digital Single Market, https://ec.europa.eu/digital-single-market/en/policies/shaping-digital-single-market.

[6] Digital globalization: The new era of global flows, https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[7]一份调查显示：三分之二的欧洲人表示他们担心无法控制他们在网上提供的信息，而另一半则担心成为欺诈的受害者。See Special Eurobarometer 431, Data Protection Report, June 2015.

[8] Graham Greenleaf, International data privacy agreements after the GDPR and Schrems , 139 Privacy Laws & Business International Report, 2016.

[9] Graham Greenleaf, Global Convergence of Data Privacy Standards and Laws, http://www.ssrn.com/link/UNSW-LEG.html.

[10]彭继增：“新贸易壁垒的内容、特点及其对策”，《价格月刊》2005年第9期，第18页。

[11]类似地，欧盟同样将中国《网络安全法》视为贸易和投资壁垒，参见“欧委会发布2017年度贸易和投资壁垒报告”，http://www.mofcom.gov.cn/article/i/jyjl/m/201807/20180702762125.shtml。

[12] Adam B. Jaffe & Karen Palmer, 1997. "Environmental Regulation And Innovation: A Panel Data Study," The Review of Economics and Statistics, MIT Press, vol. 79(4), pages 610-619.

[13]参见龙小宁、万威：“环境规制、企业利润率与合规成本规模异质性”，《中国工业经济》2017年第6期，第171页。

[14] C. Markides, Disruptive Innovation: In Need of Better Theory, The Journal of Product Innovation Management, 23, No. 1 (2006): 19-25.

[15]具体而言，限制包括：（1）数据处理行为可能给数据主体的权利或自由带来风险。尽管该款在文意上没有说明权利或自由的具体内容，可从立法目的上看，只有处理行为有可能对数据主体的主要权利或实质自由造成侵害时，该款才有适用的余地，从而将较小的风险排除在外。（2）数据处理行为是经常性的。只有临时性和辅助性的数据处理才能豁免，换言之，如果数据处理构成营业的主要部分，则即便是小企业也不得免除书面记录的义务。（3）涉及到敏感数据或与刑事定罪或犯罪有关的信息。

[16] Deloitte, Economic impact Assessment of the Proposed European General Data Protection Regulation.

[17] N. Jentzsch, The Regulation of Financial Privacy: The United States vs Europe, ECRI Research Report No 5, European Credit Research Institute (Brussels, 2003).

[18] Jin-Hyuk Kim and Liad Wagman, Screening Incentives and Privacy Protection in Financial Markets: A Theoretical and Empirical Analysis, 46(1) The RAND Journal of Economics , 2015, PP.2-22.

[19] Nick Wallace and Daniel Castro, The Impact of the EU’s New Data Protection Regulation on AI, http://www2.datainnovation.org/2018-impact-gdpr-ai.pdf

[20] Michèle Finck，Blockchains and Data Protection in the European Union, Max Planck Institute for Innovation and Competition Research Paper No. 18-01.

[21] Sohail Razi Khan, Luis Borges Gouvia, The implication and challenges of GDPR’s on

[22]具体包括：（a）国家安全；（b）防卫；（c）公共安全；（d）刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行，包括对公共安全威胁的防范和预防；（e）一般公共利益的其他重要目标，包括经济或财政利益、公共卫生或社会保障；（f）司法独立与司法程序的保护；（g）违反职业道德规范的预防、调查、侦查和起诉；（h）监督、检查或相关的监管职能：（i）对数据主体或其他人的权利与自由的保护：（j）民事请求权的执行。

[23]具体内容为：（a）处理的目的或处理的类别；（b）个人数据的分类；（c）限制的范围；（d）防止滥用或非法使用或传输的保障措施；（e）控制者具体情况或控制者类型；（f）存储期限和适用的保障措施，且需要考虑性质、范围和处理的目的或分类；（g）对数据主体权利和自由产生的风险；（h）数据主体被告知限制的权利。

[24]《网络安全法》第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

[25]特别是：命令数据控制者和处理者提供监管机构执行任务所需的任何信息；以数据保护审计的方式开展调查；获得所有个人数据的访问路径以及执行任务所必要的信息；获得控制者和处理者任何资产的访问路径，包括任何数据处理设备和处理方法。

[26]第48条规定：“根据第三国法庭或审理委员会的判决和行政机构的决定，要求控制者或处理者传输或披露个人数据的，当且仅当提出要求的第三国与欧盟或成员国存在有效的国际条约且不影响本章规定的其他传输依据时，判决和决定才可以被承认或执行。”

[27]该条（e）规定：“允许以数据主体可识别的形式保存数据的时间不得超过数据处理目的之必要。”

[28]例如，《电子商务法》第三十一条规定：“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”《征信业管理条例》第十六条：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”《网络预约出租汽车经营服务管理暂行办法》二十七条规定：“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年”。

[29]方禹：“GDPR前言强调个人信息保护与自由流动的平衡”，https://new.qq.com/omn/20180620/20180620A146VO.html

[30]例如，GDPR第6条规定了六种数据处理合法性基础，但除了“数据主体同意”外，其他如“公共利益”“数据控制者正当利益”等尚不存在明确的指引。

[31]Office of the Press Secretary, “We Can’t Wait: Obama Administration Unveils Blueprint for a‘Privacy Bill of Rights’to Protect Consumers Online”, https://obamawhitehouse.archives.gov/the-press-office/2012/02/23/we-can-t-wait-obama-administration- unveils-blueprint-privacy-bill-rights.

[32]LIBE Committee, A Comparison between US and EU Data Protection Legislation for Law Enforcement, http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536459/IPOL_STU(2015)536459_EN.pdf.

[33]2018年9月，发改委出台《关于发展数字经济稳定并扩大就业的指导意见》，要求以大力发展数字经济促进就业为主线，不断拓展就业创业新空间，着力实现更高质量和更充分就业。

The Economics of Privacy，Alessandro Acquisti, Curtis Taylor, and Liad

【参考文献】

[1]王融：《大数据时代数据保护与流动规则》，人民邮电出版社2017年版。

[2]吴沈括：“欧盟《一般数据保护条例》（GDPR）与中国应对”，《信息安全与通信秘密》2018年第2期。

[3] Adam B. Jaffe & Karen Palmer, "Environmental Regulation And Innovation: A Panel Data Study," The Review of Economics and Statistics, MIT Press, vol. 79(4), 1997.

[4] C. Markides, Disruptive Innovation: In Need of Better Theory, The Journal of Product Innovation Management, 23, No. 1 (2006).

[5] Deloitte, Economic impact Assessment of the Proposed European General Data Protection Regulation.

声明：本文来自腾讯研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。