个人信息保护的发展历程
欧洲对传统隐私权的保护拉开了欧盟构建个人信息保护制度的序幕,1950年颁布的《欧洲人权公约》第8条通过保护个人私生活、家庭生活和通信的方式,确立了个人隐私权的法律地位。
随着计算机技术的发展,欧洲在20世纪下半叶开始围绕个人信息构建新的保护规则,1981年颁布的《个人数据自动化处理中的个人保护公约》(下文简称《个人数据保护公约》)和1995年《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》(下文简称《个人数据保护指令》)是这一时期欧盟最具代表性的法案。步入21世纪,为了应对新信息环境下的各种挑战,欧盟在2016年颁布《通用数据保护条例》,取代了《个人数据保护指令》,建立起一个严格、统一的个人信息保护法。
在欧盟个人信息保护制度的立法过程中,学界和实务界对个人信息权利内容以及法律严格的规制与处罚产生过较大争论。英国上议院的欧盟委员会认为,删除权在原则上具有误导性,在实践中缺乏可操作性。学者杰弗里·罗森称,删除权将会与言论自由原则产生巨大冲突。彼得·斯怀尔和雅尼·拉格斯研究发现,数据可携权可能降低消费者福利。前美国驻欧大使威廉·肯纳德曾批评欧盟严格的事前保护政策将不利于信息的交流。许多实务人士指出,《通用数据保护条例》规定的巨额行政罚款可能使企业面临倒闭的风险。蒂尔堡大学普尔托娃教授也质疑巨额罚款的合理性,认为它可能使企业忽视个人信息处理行为本身的公正性和必要性,转而创建形式性合规表象。上述观点表明,欧盟个人信息保护法律体系是伴随着争议建立和发展起来的。
个人信息保护制度的立法内容
在欧盟个人信息保护法中,“个人信息”和“个人数据”的含义基本一致,个人信息权的权利主体被称为信息主体,义务主体是个人信息控制者和处理者,具体规则主要包括以下内容。
首先,确立合理完备的基本原则。原则性条款是欧盟个人信息保护法的基础与核心,主要包括合法、公平和透明原则、目的特定原则、数据最小化原则、准确性原则、存储限制原则、完整性和机密性原则以及责任制原则。
其次,明确系统全面的权利内容。信息主体的权利主要有知情权、访问权、更正权、数据可携带权、限制处理权、删除权以及有关自主化决策和分析的权利。相对应的,个人信息控制者和处理者需承担记录处理活动、告知、预先设计保护措施、开展数据保护影响评估、设立数据保护官和配合监管机构的工作等义务,以确保信息主体的权利得到实现且不被侵犯。
再次,构建限制性的个人信息跨境转移规则。考虑到个人信息被转移至欧盟境外可能会面临缺乏严格法律保护的风险,欧盟个人信息保护法对个人信息跨境转移施加了许多限制性规则。一般而言,只有当信息接收者所在国家或组织符合欧盟认定的“充足保护”标准或信息控制者、处理者提供适当安全保障措施以及在某些特殊情形下,个人信息方可限制性地转移至欧盟境外。
最后,建立严厉的监管机制和处罚措施。欧盟成员国须设立至少一个独立的监管机构来监督和促进个人信息保护法的实施,该机构被赋予调查权、矫正权、授权与建议权、处罚权等诸多权力。对于违法处理个人信息的行为,监管机构可以采取警告、申诫或责令整改以及巨额行政罚款等处罚措施。
个人信息保护制度的立法特点
欧盟作为一个超国家组织,既有国际组织的属性,又有联邦的特征。因此,欧盟委员会起草与实施、欧洲议会和欧洲理事会部长理事会通过的法案,既要考虑欧盟的一体性,也需注意各个国家的差异性。这种特别的组织结构,加之欧洲区别于世界其他国家和地区的个人信息保护传统,使得欧盟个人信息保护制度的立法呈现出鲜明的特点,具体表现为以下五个方面:
第一,立法渊源多样且独特。由于欧盟组织体系的特殊性,其个人信息保护制度形成了以下四种独特的立法渊源:
一是条约。在欧盟法律体系内,条约一般具有宪法性地位,是其他欧盟立法的法律基础,《欧盟基本权利宪章》(该宪章在2009年《里斯本条约》生效后具有和条约相同的法律价值)第8条和《欧盟运行条约》第16条,即为欧盟个人信息保护立法提供了宪法性依据。
二是公约。公约的影响力主要体现在国际层面,对缔约国具有较强的约束力,《个人数据保护公约》就被公认是最重要的关于个人信息保护的国际公约性法律文件。
三是条例和指令。条例实际上相同于国内一般制定法,《通用数据保护条例》即可直接为欧盟成员国国内法院所援引;指令并不具有和条例相同的普遍适用性,其需以国家法律法规的形式,转化落实到本国法律体系后方可产生法律效力,《个人数据保护指令》就曾因一些国家没有将其有效地转化为国内法而被诟病实施效果不明显。
四是建议、决议等声明性文书。这类规范性文件不具有法律约束力,仅对其他欧盟个人信息保护法的解释和适用提供指导,属于软法的范畴。
第二,立法调整的范围较为广泛。“个人信息”是欧盟个人信息保护法调整和保护的对象,“个人信息”的广泛定义导致立法调整的范围较为广泛。根据《通用数据保护条例》第4条的规定,“任何已识别或可识别的与自然人有关的信息”都是“个人信息”,“可识别”包括直接识别和间接识别,在判断已有的信息是否足以识别一个自然人时,应考虑所有可能被合理使用的手段,而且,目前数据挖掘技术可以通过重组碎片化的信息来识别个人,这导致“个人信息”几乎可以囊括一切具有识别可能性的信息,其外延远大于仅指私生活安宁和私生活秘密的“隐私”。
欧盟法院也在最近通过相关判例重申了广泛解释“个人信息”的立场,其在裁判中指出,对于个人信息保护法调整范围较为广泛所带来的不利影响,可以通过适用特殊的信息保护规定或在执行时坚持比例原则来加以削弱,不应因此限缩对个人信息的解释。
第三,立法采取公、私一体模式。与域外有些国家公私分治的个人信息保护立法模式不同,从《个人数据保护指令》到《通用数据保护条例》,欧盟个人信息保护的主要立法都不区分公、私领域。在这两个法案中,个人信息保护的义务主体都包括公共机构,基本原则、具体规则也一视同仁地适用于公、私两个领域。而美国作为个人信息保护公私分治的代表性国家,其《隐私权法》仅规范联邦公共行政部门的个人信息处理行为,对于民事领域的个人信息,则主要通过判例法和其他个别立法予以保护。
此外,为了确保公民的个人信息在任何领域都得到一致的高水平保护,针对需要作出例外规定的特殊领域,欧盟也会颁布以指令为主的专门性法案予以规范。例如,欧盟在2002年针对电子通讯行业颁布了《隐私和电子通信指令》,在2016年颁布了旨在解决刑事司法中个人信息保护问题的《以犯罪预防、调查、侦查、起诉或者刑罚执行为目的的自然人个人数据保护指令》。这些特殊领域的立法并不会影响《通用数据保护条例》的一体化规制,相反,其作为具体法与《通用数据保护条例》一同建构起欧盟统一的个人信息保护法律体系。
第四,立法贯彻个人信息权利至上、兼顾利益平衡的理念。如前所述,欧盟个人信息保护法通过赋予信息主体诸多权利,以及向信息控制者、处理者施加严格的义务和责任,全面保障了个人对其信息的控制权。但是,欧盟个人信息保护法并没有将个人信息权绝对化,而是规定了一些限制条款,以使个人信息权与其他权利和正当利益保持适当平衡。例如,根据《通用数据保护条例》第20条的规定,当个人信息控制者为了公共利益,或者为了行使其被赋予的官方职权而进行必要处理时,数据可携权不适用。
《通用数据保护条例》规定的个人信息权利内容表明,针对不同利益群体在信息利益上的复杂矛盾,欧盟在强调保障信息主体利益的同时,也没有忽视其他正当利益,反映了其以保障个人信息权为核心、兼顾多方利益的立法理念。
第五,监管机制契合欧盟特殊的组织结构。由于欧盟各个成员国都至少有一个个人信息保护的监管机构,这些机构对于在本国进行的个人信息处理活动都具有独立的执法权,故多个监管机构之间可能存在执法不一的问题,欧盟内跨国经营机构因此也可能负担多重监管所造成的较高成本。对此,欧盟个人信息保护法创建了“一站式”服务机制。在该机制下,信息控制者和处理者主要经营地所在成员国的监管机构是主要监管机构。主要监管机构和其他相关监管机构之间应相互合作协助,并在必要时与欧盟信息保护委员会进行合作,以确保GDPR在适用与执行上的一致性。
同时,在欧盟多个成员国之间存在个人信息处理活动的企业,无须分别向各个成员国的监管机构履行监管服从义务,而是由主要监管机构按照“一站式”服务实现低成本且高效的监管。欧盟委员会前副主席维维亚娜·雷丁曾指出,在欧盟独特的组织结构下,“一站式”服务机制是取得个人、企业和监管机构“三赢”局面的唯一路径。
(作者单位:西南政法大学法学院)
京公网安备 11010502046778号