征信宝官网
赢在信用时代

欧盟个人信息保护法的发展及其全球影响

来源:《中国征信》2016年第7期。

作者:齐爱民,法学博士、博士后,重庆大学法学院教授、博士研究生导师,重庆市协同创新知识产权研究中心主任,重庆大学国家网络安全与大数据法治战略研究院院长。

u=2596939804,2806498915&fm=21&gp=0

欧盟以“数据保护”制度,实现着“隐私”在美国的功能和价值,两者的基本目标是确保取得和利用个人数据的行为合法,并把对个人的侵扰降低到最小。欧盟通过立法保护个人信息已有较长的历史,其立法宗旨和保护规范逐步完成了由规范处理到人权保护的转变。欧盟《个人数据保护指令》(以下简称《指令》)为成员国立法保护个人信息设立了最低标准,确立了数据质量原则,赋予信息主体广泛的权利,对后来的个人信息保护法的制定影响甚巨,而在欧盟《通用数据保护条例》(以下简称《条例》)中,进一步强调了欧盟个人信息保护的可操作性和合作性。

欧洲个人信息保护立法发展

欧盟个人信息保护立法的演变历史,是国际社会个人信息保护立法的重心转移历程的真实写照。对这个过程的了解,可以让我们更清晰地理解现有的个人信息保护法的制度和灵魂。

欧洲可谓个人信息保护的发祥地。到现在,欧洲个人信息保护已经经历了五个发展阶段。第一个阶段是指20世纪70年代早期的个人信息保护立法。在这个历史时期,欧洲个人信息保护立法并不是以个人的权利为中心进行的,其目的是为了适应个人信息管理者对个人信息的处理,满足社会对信息处理的实际需要。这个阶段没有选择“隐私”、“信息”等概念,而是使用了“数据”、“数据记录”和“数据文档”等技术性很强的概念。

第二阶段是指20世纪70年代晚期,个人信息立法开始真正以个人权利为核心。但是该阶段保护范围仅仅限于隐私信息,被保护的权利往往仅具有宣示意义,个人很少有机会参与自己信息的处理过程。

第三个阶段是指20世纪90年代。该阶段的立法主要是针对第二个阶段的弊端展开,直接目的是保障个人信息处理中个人权利的实现,个人参与个人信息处理的权利得到明显加强并逐步制度化。

第四个阶段是指20世纪90年代后期。反映这一阶段立法的主要思想的是欧洲议会和欧盟理事会于1995年发布的《指令》。在这一阶段,立法者开始意识到个人面对信息处理的弱势地位。第五个阶段以2016年欧盟颁布《条例》为标志。在这一阶段,欧盟通过《条例》的颁布,进一步扩大了个人信息的保护力度,增加了数据可携带权、被遗忘权、限制数据处理权等内容,体现出了欧盟国家对于个人信息保护的明确态度和趋势,也是对《指令》的进一步强化和扩展。

欧盟个人信息保护法的主要内容

适用范围

《指令》是规范“个人数据”处理的法律文件,其保护的客体“个人数据(personal data)”。按照《指令》第2条第1款的规定,个人数据是“确定或者可以确定身份的自然人(信息主体)的一切信息”。根据《指令》第2条第2款的规定,“处理”的含义非常宽泛,包括了所有对个人数据进行收集、加工和利用的行为,从个人数据的收集到销毁之间的任何处置行为都构成“处理”。根据《指令》第2条第3款的规定,和第3条第1款的规定,《指令》不仅适用于个人数据的自动化处理,还适用于手工处理(如手工利用纸张记录并存储个人信息)。《指令》陈述第14段清楚地说明了该指令适用于对声音与图像数据的处理。根据《指令》第2(d)条的规定,处理个人信息的主体被称为数据管理者(data controller),既包括组织体(包括政府机构和民事主体),也包括个人。无论社会组织体还是个人,只要进行个人数据的处理,均受指令规范。在适用范围方面,指令既适用于政府机关也适用于商业机构和私人。但根据《指令》第3条的规定,公共安全、国防、国家安全以及与国家刑法执行有关的活动中的个人数据处理不适用;同时,纯粹私人的或家庭目的的个人数据处理也不适用。

《条例》对适用的主体做出了覆盖性更为广泛的突破性规定。在适用范围方面,第3条规定该条例适用于:(1)营业地或者住所在欧盟的数据控制者和数据处理者;(2)营业地和住所虽不在欧盟的数据控制者、处理者,但是其在向欧盟内数据主体提供商品和服务的过程中需要处理欧盟境内的数据主体的个人数据,或对数据主体进行检测;(3)营业地和住所虽然不在欧盟的数据控制者,但在根据国际条约欧盟成员国法律适用的地方。

数据质量原则

《指令》第二章是“个人数据处理的合法性的一般规定”,第1节(即第6条)规定了“与数据质量有关的原则(Principles Relating To Data Quality)”。第6条规定,数据质量原则包括以下内容:(1)正当处理原则。该原则是指个人数据应被公平合法地处理。(2)目的明确和限制原则。该原则要求必须保证个人数据系为了特定、明确和合法的目的而收集。之后所进行的进一步处理必须与该目的相符。这一款的例外规定是:如果成员国提供适当的保护,为了历史、统计和学术目的所进行的进一步处理不被认为与收集目的不符。(3)适当原则。该原则是指个人数据的收集与处理范围应该符合“充足”和“相关”的要求,不能超越收集和或处理的目的为进一步的处理。(4)准确原则。该原则是指个人数据应该保持正确和时新;必须采取合理的措施,保证相对于其收集的目的或处理的目的而言不正确的或不完整的数据得到删除或者更正。(5)保存时限原则。该原则是指个人数据的保存时间应该适当。保存可以识别本人的个人数据的时间,不应长于为数据收集或进一步处理的目的所必要的时间。这一款的例外规定是:如果各成员国对为了历史、统计和学术使用目的而长期存储的个人数据提供了适当的安全保护措施,也允许长期保存该类个人数据。

《条例》除了包含了《指令》第6条的规定以外,还规定数据控制者的义务:

(1)数据安全义务。“采取技术和管理措施以保护数据的安全”及“数据控制者有责任并应能够证明其做到了以上几点”。

(2)儿童数据处理原则。根据《欧盟一般个人数据保护条例》第8条规定:处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可对上述年龄进行调整,但是不得低于13岁。

(3)敏感数据处理原则。《条例》第9条规定:禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。这实际上加强了数据控制者对于所控制的个人数据的保护责任。

权利和义务

《指令》的最大特色之一是关于数据主体权利的制度构建。根据《指令》的规定,数据主体享有以下权利:(1)访问权。根据《指令》第12条的规定,数据主体可以不受每隔一段合理时间的约束,无需过度的延迟及费用开支,就可以获知是否对自己个人数据进行处理的确认。在数据处理不符合指南的规定时,要求适当的更改、删除。(2)拒绝权。根据《指令》第14条的规定,数据主体有权拒绝对其相关的个人数据进行处理,或者拒绝将自己的个人数据用于直营等。(3)自主决策权。根据《指令》第15条的规定,如果对于一个人的决定(比如他的工作表现、信用度、可靠性、行为等作出评价),仅以自动化处理的个人数据为基础,如果这个决定将会对数据主体产生法律影响或对他造成重大影响,各成员国应赋予该主体不服从此决定的权利。(4)获得救济的权利。根据《指令》第23条的规定,由于非法处理和任何违反根据该指令所采取的国家行为而遭受损害时,数据主体有权要求赔偿。

在数据主体权利方面,《条例》进行了大刀阔斧的改进,增加了以下内容:(1)被遗忘权。《欧条例》第17条规定当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求数据控制者删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。(2)数据可携带权。《条例》第20条规定数据主体有权从数据控制方获取个人数据的副本。(3)反对“数字画像”和“数据自动处理”的权利。数据主体有权利反对利用个人数据对自己勾勒人格或者其他“形象”。数据主体有权利反对,对于仅仅依据数据自动处理作出的对自己的决定,数据主体有权要求免于受这样的决定的制约。

欧盟主张,个人对其数据的控制权是一种自我决定权,属于人权。根据《指令》的规定,商业机构在收集个人数据之前,必须取得数据主体的明示同意。这在《条例》中得到了更为严格的规定,即数据主体做出了明确的表示,如声明或者其他的肯定性动作,同意规则才适用,这彻底改变了此前默认、提前勾选、不反对等被动状态也会被认为同意的规则。数据主体可以随时要求更正、删除其个人数据。根据《指令》及《条例》,个人数据不可以被传送到一个不能达到适当保护标准的非欧盟的国家。

监督与执行

《指令》第29条建立了欧盟统一的个人数据保护监管机构——工作组,工作组的任务是监控欧盟指令的施行,并为欧洲委员会提供个人数据保护方面的建议,是欧盟内部个人数据保护的监督机构。《指令》第31条建立了一个委员会,由成员国政府代表组成,向欧洲委员会负责,主要职责是就成员国向欧盟以外国家传递个人数据时做出肯定或者否定的决策,并提出建设性意见。

《条例》于2016年4月14日经欧盟议会投票通过,并于 2018年生效,两年的宽限期是留给各国进行国内法修改和同步的时间。《条例》的生效意味着欧盟对于个人信息的保护达到了一个新的阶段和新的高度。

相较于《指令》,《条例》有了进一步的改进与创新,其中第37、38、39作出了设置数据保护官的规定,部分私营部门机构和大多数公共部门机构将被要求任命一名数据保护官。在执法处罚方面,《条例》将统一各成员国监督机构的权力和责任;在处罚标准方面,《条例》第33条规定,对于一般性的违法,罚款上限是1000万欧元或对企业而言是上一年度全球营业收入的2%(二者中取数额较大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(二者中取数额较大者)。这一规定给全球企业敲响了个人信息保护的警钟,在欧盟强大的经济影响力的推动下,势必引起全球企业个人信息保护水准的提升和向欧盟标准靠拢。

欧盟信息保护法的影响

内部影响

目前,欧盟现有27个成员国均依据指令的要求和宗旨制定了个人信息保护法,个人数据在欧盟成员国之间自由流动障碍已被消除,当前欧盟在个人数据保护方面存在的主要问题是:成员国对执行的支持和力度不够、数据管理者的遵守不够以及个人对其权利了解和行使不够。

《条例》得到欧盟各国承认,它将替代《指令》成为欧盟个人信息保护的主要法律,并且《指令》是在1995年通过的,。另外《条例》还起到了配合推进制定欧盟地区的相关条例,建立“数字统一市场”(Digital Single Market),以促进欧洲企业销售服务业的发展。

示范作用

1995年的《指令》以及2016年的《条例》不仅是欧盟成员国制定和修改个人信息保护法的一个标准,而且已经成为世界上众多国家制定个人信息保护法的范本。欧盟信息保护法何以产生如此巨大的示范效用呢?一方面,根据马太效应,受欧盟影响的国内立法越多,就会导致更多的国家采取欧盟模式。另一方面,欧盟信息保护法的影响也跟其本身的规定有关。导致其产生如此巨大示范作用的条款是《指令》和《条例》均规定如果欧盟之外的国家没有提供充分的个人信息保护,就禁止欧盟成员国向该欧盟之外的国家传输个人信息。

国际经济关系

欧盟进行个人信息保护,一开始就具有人权和经济两个目的。当欧盟通过立法来保护个人信息时,个人信息保护就不仅仅具有人权意义,还具有了经济功能,发挥着国际经济关系的调节器的作用。欧盟的立法很可能成为个人信息从欧盟传输到欧盟以外国家的法律障碍,因为欧盟要求不得把欧盟内的个人信息传入缺乏相应保护水平欧盟外国家。这对中国的影响也十分明显。

近年来,随着大数据价值的凸显和大数据交易的普遍开展,个人信息成为重要的战略资源,欧盟之所以将地区内的个人信息传输范围进行了限定,一方面在于保护公民权利,更重要的是构建数据经济的正常秩序。随着美国、欧盟等发达国家和地区进行的全面的个人信息保护的立法步伐,中国只有建立一个具有“充分”保护水平的个人信息保护体系,包括立法和执法以及行业自律,中国企业才能确保不受欧盟乃至同样主张的国家的执法处罚,正常开展国际贸易。

 

征信宝网站:zhengxinbao.com

微信公众号:征信宝

征信时代,伴你同行

qrcode_for_gh_08adb5951fc7_258

未经允许不得转载:征信宝官网 » 欧盟个人信息保护法的发展及其全球影响

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址