深入剖析欧盟GDPR立法理念：以‘风险为路径’的个人数据保护法

2018年，欧盟的《通用数据保护条例》，也就是GDPR生效并开始实施，这部被叫做“史上最严”的数据保护法案，它的核心精髓不是复杂的处罚条款，而是一个很容易被中文文献忽视的立法理念，即“风险为路径”。

理解这一理念，是解锁GDPR全部规则的关键。

GDPR不是不加区分不加区别地去规制全部所有的数据处理活动，而是把处理行为针对个人权利以及自由所产生的风险等级当作立法的基点所在。

欧盟委员会，在二零一八年，那些官方宣介材料里，清楚明白地，把“风险为路径”，列为它的主要特征。

这在表明，法案的实体规则设计，从本质上来说，是一组精密的风险管理工具，其目的在于，把监管资源以及合规义务，集中于高风险场景。

和德国、比利时等国家的数据保护局进行交流期间，官员们再三着重强调这一核心观念。

GDPR对个人数据的划分体现了风险分级思想。

前言的第51段表明，特殊类型数据包含了种族、政治观点以及基因数据等，这些数据由于在处理时，有可能给基本权利带来显著风险，所以需要特别保护。

这是基于数据敏感度的纵向风险划分。

与此同时，GDPR 又于识别度层面开展横向的分级工作，先是从已被识别的数据，接着到能够被识别的数据，随后是第 11 条所规定的不可被识别的数据，最后直至匿名化的数据，其风险呈现出逐步递减的态势。

GDPR文本中实际存在四种识别度的个人数据。

首先是已识别数据，如直接包含姓名的信息。

接着是能够被识别的数据，也就是那种经过了使名字变成假的方式处理，然而却依旧留存着原始数据的副本的信息。

第三，是GDPR第11条所规定的去标识化数据，要是控制者能够证实其没办法识别特定个人，那么就可以豁免部分数据主体权利条款。

第四，存在着一种数据，它是完全没办法关联到特定某个人的匿名化数据，这种数据已经不属于GDPR所规制的范围了。

不同识别度的数据在合规要求上享有不同待遇。

针对可识别的数据而言，GDPR在判定目的兼容性之际赋予了特别的考量，使得二次利用的门槛得以降低。

但是，针对第11条所规定的那种没办法识别的数据而言，如果数据主体不去主动提供额外的一些信息以便能够达成再识别的状况，那么，控制者是不需要去履行数据主体所拥有的访问、更正等相关权利的。

这种差异化安排，正是基于风险高低配置合规资源的体现。

判断数据是否属于可识别，GDPR引入了客观的合理性标准。

要考虑控制者或者他人能够合理运用的全部方式，包蕴识别所需要的成本跟时间，以及对付彼时的技术发展水准。

这表明，不是所有理论层面上具备的识别可能性都会构成风险，仅有那些于现实当中能够实行、成本处于可控状态的识别方式才会被纳入考虑范围，如此便避免了个人数据范围的无限制扩大。

“风险为路径”的理念为数据控制者提供了灵活的操作空间。

企业并非要对全部数据施加一样强度的保护，而是应当把资源汇聚于高风险处理活动，像是大规模监控、特殊类型数据处理之类。

这种依照风险构建的动态合规思路，一方面可以切实有效地保护个人权利，另一方面还规避了刻板僵化的合规负担，这正是GDPR得以适应未来技术发展的关键精髓之处。

在贵单位进行业务处理期间，你有没有因为没办法精准拿捏“已识别”以及“可识别”数据的标准，从而陷入困扰呢？

请于评论区域踊跃分享你的经历，通过点赞促使更多人明晰GDPR的风险逻辑。