围绕司法系统的另一问题是，在GDPR规定的“行政-司法”双轨规制-救济模式中，法院和数据保护机构的职能应如何协调？奥地利在其报告中指出，由于数据保护机构和法院都是完全独立的，且遵循不同的程序守则，因此GDPR规定的这种双重救济模式导致GDPR的适用不成体系，在某些情况下数据保护机构的决定还会与法院相冲突。

    相比于GDPR中完整的行政规制体系，欧盟对于司法救济的态度仅仅停留在认可阶段。实践中投诉到行政监管的案件，也只有1%左右会上诉到法院，考虑到维权的时间和经济成本、维权的灵活性等问题，绝大多数的数据主体会主动选择行政规制模式。[9]

    数据跨境流通问题是欧盟此次GDPR评估的重点，欧盟理事会提出数据自由流通是GDPR的一大目标，各成员国也就实践中遇到具体问题进行了反馈。

    首先，各国都肯定了GDPR设置多类型、多层次数据跨境流动方式的必要性：充分性决定（第45条），适当保障措施和行为准则（第46、40条），有约束力的公司规则（第47条）都有其不同的适用场景，需予以保持。比利时提出：充分性决定对于私营公司数据跨境交换、简化手续和法律合规有重要意义，有助于实现单一（数字）市场的目标，但问题是这项制度属于“正面白名单”，适用标准较高，因此没有得到充分利用，建议进一步扩充“白名单”，以纳入更多可以合法流动的区域。

    德国也支持上述观点：目前，通过欧盟充分性决定的国家与地区数量偏少（仅有13个）。其中，关于日本的充分性决定中，只认可了商业部门，而没有为政府机构之间的信息共享提供合法基础。欧盟理事会在其总结报告中吸收了成员国的上述观点，指出要继续扩充“白名单”，以进一步扩展可以合法自由流动的区域与部门。

    此外，对于“白名单”之外的其他合法流动机制，欧盟在报告中也指出，将发布更多的标准合同模板，以满足不同类型的数据控制者和处理者的数据跨境流动需求。

    自2012年启动GDPR立法时，欧盟就负有着建立数字时代新秩序的雄心，对当时的新技术应用予以了制度回应。例如：针对云计算业态中数据收集和处理相分离的情况，在法律主体上区分了控制者和处理者；针对数据分析，规定“画像”条款；针对人工智能技术，规定了自动化决策条款。然而技术的迭代发展，仍然持续带来新问题。最为典型的即区块链技术。直到今天，围绕该技术的GDPR适用，仍然存在极大争议（详见：GDPR的真实面貌,十个误解与争议）。

    随着2016年的正式公布，GDPR的制度已经固化。相比之下，技术发展却仍在以惊人的速度高歌猛进。在区块链之外，无人驾驶、面部识别、可穿戴设备、智能家居、医疗监测器械、行为生物数据、无人机等一个又一个技术应用，不断点燃数据驱动的新领域。对于这些新技术，是严格套用GDPR予以规范，还是适度平衡隐私保护与创新发展，是摆在欧盟面前的问题。

    正如欧盟理事会在此次评估报告中所强调：我们也应该看到这些技术在某些领域的应用也可能是一个巨大的优势，并有可能加强欧洲公民的隐私保护。例如：基于区块链的“零知识证明技术”能够实现使用尽可能少的个人信息，同时验证某一特定主体的身份；[10]差异隐私技术能够实现数据集中而带来的价值，但同时保持特定自然人身份不被识别。[11]法律的适用应当为技术发展留有“一定空间”，而不是完全抵制。欧盟在今年3月发布的《人工智能白皮书》，最终删除了原本写入的人脸识别禁用条款，也再次体现了这种权衡。[12]

    正如两年前GDPR生效时，我们所预言的那样：立法文本的正式通过，并不意味着制度规范都已成熟，相反，秩序建设才刚刚拉开序幕。面临挑战的不仅是GDPR的适用对象，也包括GDPR本身。而让一项制度日臻完善的路径，是不断结合实践，持续对制度本身予以客观评估，识别问题并总结经验。

注释：

[1]欧盟理事会已将这19个报告汇总在一起，下文提到的各国报告都可通过查阅汇总报告获得。Preparation of the Council position on the evaluation and review of the General Data Protection Regulation (GDPR) - Comments from Member States,https://data.consilium.europa.eu/doc/document/ST-12756-2019-REV-1/en/pdf.

[2] Council position and findings on the application of the General Data Protection Regulation (GDPR) – Adoption,https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf.

[3] https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

[4] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

[5] Harris M, Patten K, Regan E, Fjermestad J, Harris M (2012) Mobile and connected device security considerations : a dilemma for small and medium enterprise business mobility? In: AMCIS 2012

[6] See Lothar Determann , Representatives under Art. 27 of the GDPR: All your questions answered,https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/2018/10/representatives-under-art-27-of-the-gdpr-iapp-2018.pdf?la=en

[7] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en

[8] Se https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_ene Bulgaria, fines in millions for personal data breaches, https://www.lexology.com/library/detail.aspx?g=6356ed78-03c2-48d0-add2-c8848bfc60c9.

[9] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

[10]零知识证明技术指的是证明者能够在尽可能少向验证者提供甚至不提供任何有用的信息的情况下，使验证者相信某个论断是正确的。AHN Gail-Joon, “Zero-knowledge proofs of retrievability”, Science China (Information Sciences), Vol.10(8), 2011, pp.1608-1617.

[11]差异隐私技术指的是从统计数据库查询时，最大化数据查询的准确性，同时最大限度减少识别其记录的机会，这种机制的核心是给查询的结果增加一定的噪点。Mannhardt, Felix, “Privacy-Preserving Process Mining”, Business & information systems engineering, Vol.61(5), 2019, pp.595-614.

[12] See European Commission, White Paper on Artificial Intelligence: a European approach to excellence and trust,https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en

作者 | 王   融  腾讯研究院资深专家

作者 | 朱军彪 腾讯研究院助理研究员