欧洲是世界上对个人隐私保护最为严格的地区,这其中的原因在于欧洲是政府调查和社会调查发展历史悠久,影响了其后续对个人信息的保护力度。二十世纪初期,荷兰曾经建立了详细的人口记录,内容包括姓名、住址以及最关键的种族信息。这份记录建立的初衷是有为了政府便捷高效地管理人口和提供福利,但是当纳粹攻占荷兰并获得了这份记录的时候,这份记录被用来实施种族清洗和屠杀。历史的教训使得欧洲人对他人包括政府控制自己的数据极其不信任。基于此,欧洲认为,个人的隐私信息的保护,属于公民所应当享有的、不可剥夺的基本人权之一。[1]为此,1948年《世界人权宣言》、1966年《公民权利和政治权利国际公约》均将个人的隐私权作为基本权利写入公约。1950年颁布的《欧洲人权公约》第8条规定:“任何人享有私人、家庭生活及其各项通讯被尊重的权利。”这被认为是欧洲第一代个人信息保护法。但是在此阶段,个人信息的保护也是有限的,一般出现侵犯权利的情形时按照传统的侵权法规则解决。[2]
从20世纪60年代到80年代,信息时代的前期快速发展促进了企业以电子方式收集和处理个人信息。计算机的运用提高了个人信息收集的便捷和速度,同时也带来了个人信息处理的初期运用,如信息筛选和匹配、利用信息进行分析和比对,甚至会出现信息的大规模披露和公开,个人信息的价值日益凸显。此时,欧洲国家带头实施旨在控制政府机构和大公司使用个人信息的立法。其中包括奥地利、丹麦、法国、德国联邦共和国、卢森堡、挪威以及瑞典,其他国家也计划立法。在西班牙、葡萄牙和奥地利这三个欧洲国家,数据保护也被纳入其宪法的一项基本权利。
在新兴技术的背景下,人们愈发担心国家立法难以充分保护《欧洲人权公约》第8条的要求。鉴于这种担心,欧洲理事会决定建立一个包含具体保护原则和标准的文本,以防止个人信息的不当收集和滥用。
1968年,欧洲理事会出台了《关于人权和现代科学技术发展的建议(509号)》(Recommendation 509, Human rights and modern scientific and technological development)(以下称“509建议”)。随后,1973年和1974年欧洲理事会陆续出台了两份决议73/22(Resolution 22 on the protection of privacy of individuals vis-à-vis electronic data banks in the private sector)和74/29(Resolution 29 on the protection of individuals vis-à-vis electronic data banks in the public sector),建立了在私人和公共领域自动化处理个人数据的保护原则,希望能够基于这些决议推动欧洲各国的立法。因为当时各成员国在这方面的法律已经存在分歧,所以立法的工作日益紧迫。
此后,最为重要的两部文件问世,奠定了全球数据保护的基本原则和框架。它们分别是1980年9月23日欧洲经济合作发展组织颁布了《关于保护隐私和个人数据国际流通的指南》(the OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)(以下称“OECD指南”);以及1981年1月28日,欧洲理事会成员国在法国斯特拉斯堡市签订了欧洲系列条约第108号《关于自动化处理的个人数据保护公约》(the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)(以下称“108号公约”)。
(1)OECD指南
OECD指南创立了一系列数据控制者在处理个人数据时应当遵循的原则,并且这些原则被极大的吸收和演化成如今全球通用的数据保护原则,因此可以说OECD指南几乎影响了整个世界的个人数据保护立法,是一部奠基石式的条约文本。OECD指南在1980年发布,确定了闻名遐迩的“八大原则”,为最初的数据保护立法奠定了基本原则和立法精神。但经过计算机领域和新兴信息技术与数字产业的发展,复杂的技术产品层出不穷,OECD指南也不得不适应外部环境,解决新技术带来的隐私难题,如大规模监控、GPS位置追踪、人脸和指纹、眼球、牙齿等生物特征敏感数据。自2010年开始,OECD指南即进入修订状态,2013年7月11日,OECD发布了《关于保护隐私和个人数据国际流通的指南的建议》(以下称“2013指南”)。
(ⅰ)OECD指南[3]
OECD指南所确立的八大原则,不仅影响了全世界各国的国内立法,也对国际组织的数据保护事业做出了指导。如1990年联合国大会通过的《计算机处理的个人数据文档规范》(Guidelines for the Regulation of Computerized Personal Data Files)确立了十项原则,与OECD的八大原则基本一致。具体而言八大原则规定在第二章第7-14条,如下述所列:
限制收集原则(collection limitation):个人数据的收集应受到限制,数据应当通过合法、公平的方式获取,适当时,应当在个人知晓和同意的情况下进行;
质量原则(data quality):个人数据应当与其使用目的相关、并在目的范围内保持完整、准确和及时更新;
目的明确原则(purpose specification):个人数据的用途必须在收集之前指明,使用数据的行为都必须符合该用途或是不相符的目的应在每次变更时予以说明。
限制使用原则(use limitation):数据披露应当遵循所指明的目的,除非已得到个人的同意或者是数据控制者有合法授权;
安全保障原则(security safeguards):采取合理的安全措施防止数据的丢失或被未经授权地获取、销毁、使用、修改和披露。
公开原则(openness):出具处理数据的相关政策,内容包含使用数据的目的、数据控制者的身份等信息;
个人参与原则(individual participation):个人有权从数据控制者处基于自己的请求,获得关于自己数据的信息;
问责制(accountability):数据控制者有责任保证处理数据遵循原则。
(ⅱ)2013指南
时代革新后的指南着重在以下几个方面进行了修订:[4]
基于风险管理的方法,重点关注在实践中如何加强隐私保护的实际措施。2013指南在19条中提出了各成员国应当建立“隐私执法机构(privacy enforcement authorities)”的要求,并要求能够具备有效行使权力的管理机构、专家和相关资源,以便于实施隐私执法机构的权力和职能,做出客观、公证和有持续效力的决定。
此次修订有两个重要的新概念:隐私管理计划(privacy management program)和数据泄露通知(data security breach notification),分别在新设的“实施责任(implementing accountability)”中,施加给数据控制者的两项义务。前者要求控制者必须针对其自身特殊性制定隐私管理计划,确保其有效控制和实施2013指南的规定,类似于后来发展的“设计的隐私保护和默认的隐私保护(privacy by design and by default)”,都是要求数据控制者进行隐私保护的系统搭建,建立完整的制度和规划。后者泄露通知则是要求控制者在发生重大安全事故时应当及时通知执法机构或其他有关机构,这种事后的安全补救措施也延续到了后期的立法,成为控制者的强制义务,并在时间上加以进一步的限定。
第六章强调了国际跨境执法合作的重要性,鼓励成员国之间达成协议,建立全球性隐私执法机构合作环境和信息共享,例如数据主体可以异国投诉,获得统一高效的执法保护,例如各国执法机构可以相互授权,减少域外执法的障碍。
OECD指南自1980问世后虽然取得了深刻且深远的影响力,但是作为国际指南性建议文本,对各个国家发挥的指导作用远超于其作为文件的效力本身。
(2)108公约
为了对个人信息进行保护,欧洲普遍认为,应当通过具有约束力的国际标准进一步加强这种保护规则。因此,1981年1月28日欧洲理事会各成员国签署了108公约,它没有被称为欧洲公约也就意味着,108公约开放给欧洲以外的国家并准许其他国家自由选择加入并签署该公约。
108公约巩固和重申了1973年和1974年各项决议的内容,是数据保护领域中第一个具有法律约束力的国际文书。该公约宣布除非有适用法律,否则对敏感的个人数据的处理活动均为非法行为,个人有权知道与其有关的任何数据的处理情况,必要时可以更正错误,以及个人数据保护的例外和限制条款等许多内容。
它与OECD指南的不同之处在于,它要求签署国在其国内立法中采取必要步骤,以适用公约内容中规定的处理个人数据的原则。欧洲理事会认为,持有和使用个人数据(保存在电脑设备和服务器上)的一方有强烈的社会责任去保护这些个人数据,特别是在当时的环境中,影响到个人的数据活动以及相应的行为大多都是以储存在电脑或类似载体中的数据为基础做出的。108公约所确立的应当保护的个人数据范围直到GDPR的改革中页予以保留,即欧盟强调立法保护的对象是容易引起数据泄露的自动化数据处理,而非普通的个人机构或自然人不当处理个人数据引发的纠纷。
108公约主要由三部分组成,基本原则的实体法规定(第二章)、跨境数据流动特别规定(第三章)、协商机制(第五章)。
第二章基本原则的内容是基于1973年和1974年两项决议的内容进行扩展,并且与OECD指南非常相似,围绕着数据收集和使用的目的限制原则展开,要求自动化处理的个人数据应当是:
合法、公正的被收集和处理;
以合法、特定的目的被存储且不以与该目的不相容的方式使用;
就储存目的而言,应当是足够、相关及不过分的;准确,并在必要时保持更新;
以一种允许识别个人身份的形式保存,其保存时间不超过存储信息的目的所需要的时间。
除此之外,在第三章跨境数据传输流动的语境下,108公约强调在签署国之间传输个人数据,不能以保护隐私为借口而实行任何禁令或要求任何特别授权。这种阻碍数据流通并非公约的本意,因此公约要求签署国一致同意对数据的定义并提供最低程度的个人数据传输保障。这时,当数据输出国对特定种类的数据或是自动化处理的数据有特殊规定,而数据输入国没有提供同等的保护或是传输至非108公约签署国的地区,条约适用受到影响。为了解决此类传输问题,扩展除了新的概念和要求。此类规定在2001年开放签署的《关于个人数据自动化处理、监管机关和跨境数据传输的附加议定书》(the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows)(以下称“附加议定书”)中得到进一步发展。附加协定书的目的是为处理非108公约签署国数据传输的问题。对这一问题,附加议定书引进了一个非常重要的概念,即对传输到不在输出方管辖范围内的国家的个人数据给予“充分性(adequate)”保护,而非同等(equivalent)保护,使其符合公共利益,或根据监督当局允许的合同条款进行传输。
第五章协商机制中的重要举措是要求缔约国必须制定一个监督机关,监督各国遵守数据保护法的情况,并与其他司法管辖区域内的监督机关进行联络,以便就执行情况进行协商和互助。监机关还必须协助个人行使其数据保护方面的权利。附加议定书也在其规定中进一步加强了这些要求。
值得注意的是,公约自1999年简单修订后,直到2011年提出修改的建议稿,最终于2012年11月正式通过了修订108公约的建议案,扩大了公约的保护范围。此次修订中也有不少新亮点。首先,在公约的全球化趋势上,对于非成员国加入的流程做了更多的细化;而且在数据跨境流通这种作为潜在加入标准的条件上,修订后的公约将附加议定书中的“充分性”修改为“适当保护水平(appropriate level)”,并要求考察国家的法实施水平和执行情况判断数据保护法律的水平和救济程度。其次,在个人数据保护权利方面,修订后的公约明确了数据合法处理的理由仅限于同意与法律规定;调整了敏感数据的条件和控制者的通知义务,允许存在例外规定。总体来说,公约体现出对控制者处理数据行为的控制权的管制,而非赋予个人数据权利的支配或控制权,也就是说,公约意图从规范控制者的角度实现对个人数据权利的保护。[5]
因此,有学者总结道,在条约时代,欧盟数据保护法的这个阶段明确了个人数据保护的独立地位,并且将自动化数据处理的保护问题从一般民事侵权原则中独立出来。[6]但是否批准加入公约以及如何实施公约最终还是取决于成员国的自由选择。最终,加入108公约的成员国并没有预期的多,且多数成员国没有根据公约的内容制定个人信息保护的国内法,难以发挥出公约的实际效果。这种担忧逐渐引发了新的立法需求,欧盟立法走入里程碑阶段——指令时代。
2. 指令时代
108公约虽然建立起了数据保护的原则和框架,但是其并未取得令人满意的实践效果,尤其是截止至1995年,仅约10个成员国批准加入公约。[7]而且,108公约和OEDC指南的目标是在关于原则的国际协定的基础上对数据保护采取协调一致的办法,而执行则由各会员国自行决定。实践证明,这些原则在国家立法中的执行显然导致了不同的数据保护制度。人们认为,各成员国在通过这些原则时缺乏协调一致的做法,将会导致对个人的基本权利产生严重影响,同时也阻碍其他条约,如《罗马条约》中所规定的自由贸易。
在这种各国内部对于数据保护立法发展的差异日渐增长的背景下,早在1976年,欧洲议会(European Parliament)就敦促欧盟委员会(European Commission)为协调各国之间的数据保护法律起草一份提案,对正在出现的碎片式的数据保护法表现出担忧。随着成员国对数据保护立法多样性的关切加强,欧盟委员会决定起草一个指令提高这种法律统一性,1990年欧盟委员会提交了一份草案,并于1995年正式颁布《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下称“95指令”)。指令是对成员国具有约束力的一种立法形式,但它们并不僵硬地立法,而是“将执行形式和选择留给当局”。正如其指令名称所述,95指令旨在能够协调对个人基本隐私权的保护与成员国之间数据自由流通,如果在统一的层面无法保障个人的基本权利,特别是他们的隐私权,数据的流动将受到阻碍。
95指令以108公约所拟定的原则为基础,因为这些原则率先构成了一套共同的标准。95指令则在此基础上做出补充,规定了公正合法处理、目的明确和限制、信息准确、储存限制、知情同意、特殊数据的处理、保障安全等原则,以提供高层次的同等保护。为达到这一目标,95指令的范围很广泛,涵盖公共和私人的、自动化以及非自动化处理的数据保护。95指令的内容对数据保护立法产生了深远的影响,其中,最为著名的举措则是依据该指令成立了第29条工作组(The article 29 Data Protection Working Party,以下称“WP29”),负责持续跟进研究和报告欧盟个人数据保护发展状况的独立机构,对之后的数据保护立法改革有着至关重要的作用。
由于95指令本身没有法律效力,因此需要成员国立法转化国内法之后才能够得到实施的可能性。截止到1998年,大部分成员国均依据该指令颁布了国内数据保护法。但不幸的是,各成员国在具体实施和适用95指令时有较大的差异。欧盟委员会2003年发布的第一份关于指令实施情况的报告也证实了这一问题:首先是,在某些情况下,指令国内化的结果难以令人满意,因此有一些成员国的法律仍需要进行修改,如果成员国并未进行相应举措的话,欧盟委员会有权就此事提起诉讼。其次,即使按照指令行事,但是各国在指令允许的范围内选了不一样的做法,再加上各国的法制环境和文化氛围的差异,极易导致分歧的出现。例如,各辖区内的数据保护监管机构会要求企业进行报告其处理数据的活动情况,各成员国的国内法在这方面的要求有很大差异,便导致了大量的官僚作风和企业成本,特别是那些还将个人数据传输到欧盟以外国家的企业。这种差异化不仅影响了执法的协调性,也影响了数据保护的效果,不同国家内的欧盟公民受到的保护力度不一样,水平参差不齐;而且,这样的差异还增加了企业合规的成本,即必须遵循20多个不同国家的数据保护法律,这成为了欧盟建立数字单一市场的障碍。随着市场以及互联网的发展,95指令也越来越难适应社交互联网出现后的大量个人数据收集与使用的行为规制,欧盟不得不重新考虑建立更有效力的、与时俱进的法律文本以改善这种情况。
3. GDPR(条例)时代
2012年,欧盟委员会向欧洲理事会提交了《关于个人数据处理中的数据保护以及相关数据自由流动的条例建议》(COM/2012/011 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data, general data protection regulation, 以下称“GDPR”),此一提案奏响了改革先锋的号角。
经过四年的谈判和酝酿,GDPR于2016年4月14日通过,并将于2018年5月25日生效,取代95指令,成为欧盟范围内可以直接适用的法律。这一改变是划时代的,因此也受到了全世界的关注。作为最先进的数据立法区域,欧盟在GDPR里做出了许多引领性的规定。
与之前的95指令相比,GDPR更加注重细化数据控制者和处理者的权利义务,以促使数据主体权利的保护得到落实。首先,变化最大的规定是GDPR中地域管辖范围扩大到非欧盟设立的实体,强调了目标在欧盟市场的标准。也就是说,只要数据控制者或处理者有意在欧盟境内运营、开展数据活动,或是有意向欧盟客户提供服务,即以欧盟市场为目标的,都会受到管辖并适用GDPR。其次,虽然管辖范围变广,但GDPR考虑到了企业合规的成本,提出了区别对待的做法。如小企业的核心业务并非数据处理业务的可以得到豁免;除非有高风险的可能,小企业可以不进行数据保护评估等等。这也意味着,GDPR规制的对象主要是以处理数据为核心活动的企业。第三,在数据保护的核心概念中,对个人数据的进行了系统性的分类,特别是特殊类型的数据。有学者指出,GDPR将特殊类型的数据分为三层次,并且采取了不同的做法[8]:第一层次是“揭露种族或民族、政治观点、宗教信仰工会成员资格等”,与一般个人数据相比,一样可以进行数据处理,但强调不得泄露;第二层次是“个人基因、生物特征数据”,可以处理,只能在限定目的下(不得以识别身份为目的);第三层次则是“健康、性生活、性取向等数据”一般禁止处理。可以看出,按照数据类型的敏感程度,保护层次也越来越高。第四,GDPR一方面了强化95指令原有的数据主体权利,并增加了修正权、删除权(被遗忘权)、限制处理权、可携带权;另一方面增加了许多数据控制者与处理者的义务,例如数据泄露报告义务、设计的和默认的数据保护(data protection by design and by default)、数据保护影响评估(data protection impact assessment)、任命数据保护合规官(Data Protection Officer,以下称“DPO”)。第五,关注数据处理者,此前的95指令中强调数据控制者的义务,而GDPR考虑到处理者与控制者在实践中的紧密联系,对处理者也科以活动记录、安全保障、数据影响评估、任命DPO、跨境传输合规等义务。如果处理者没有做到法律的要求,会与处理者一样面临高额罚款。第六,在跨境传输方面,GDPR保留了95指令的“适当保护措施”要求,但同时增加了一些“公司约束规则”、“行为准则”等文件进行辅助,并且增加了数据传输的例外规定,如数据主体的同意或是履行合同必需、追求合法利益目的等等,为跨境数据流通创造了弹性机制。最后,在执法设计上,GDPR专设第六章独立的监管机构详尽列举了数据执法的要求并提出了一站式执法(one-stop shop)机制的概念——由数据控制者唯一或主要营业所在地的机构作为“主要监管机构(lead supervisor authority”进行监管,有效地减少了企业的行政成本也能够避免管辖纠纷。为了实现一站式服务,GDPR专门设立了欧盟数据保护委员会(European Data Protection Board,以下称“EDPB”),取代了95指令中的WP29工作组。EDPB是一个独立的法人机构,并设有独立的秘书处,汇集了欧盟各成员国的数据监管机构负责人、EDPS以及欧盟委员会,拥有广泛的权利来解决国家间数据监管机构的争议,就GDPR和数据保护相关执法指令的内容提供指南文件。[9]
[3] “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”, see: https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm [2019-7-31]
[7] Cate, Fred H.,“The EU Data Protection Directive, Information Privacy, and the Public Interest”, Maurer School of Law: Indiana University, Iowa Law Review ,1995, p. 432
[9] The European Union, “Personal data protection achievement during the legislative term 2014-2019: the role of the European Parliament”, London, 2019, p. 8.
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
