肖君拥 王朕宇：个人数据保护立法的新发展

发布时间：2018-07-20 作者：肖君拥 王朕宇

    现在新《条例》取代了旧《指令》，并直接适用于欧盟各成员国。《条例》设有11章共99条，加强对数据主体（Data Subject）权利的保护，设置了一系列严密的预防、保护和惩戒制度体系，突出强调数据控制者（Data Controller）和数据处理者（Data Processor）的义务，体现了个人数据保护立法的最新进展……



    欧洲议会于2016年4月14日通过了《通用数据保护条例》（General Data Protection Regulation，以下简称《条例》）。在欧盟官方杂志公布正式文本的两年后，即2018年5月25日正式生效。过去20年里，欧盟对个人数据保护的立法主要是1995年发布的《数据保护指令》（Directive 95/46/EC，以下简称《指令》）。现在新《条例》取代了旧《指令》，并直接适用于欧盟各成员国。《条例》设有11章共99条，加强对数据主体（Data Subject）权利的保护，设置了一系列严密的预防、保护和惩戒制度体系，突出强调数据控制者（Data Controller）和数据处理者（Data Processor）的义务，体现了个人数据保护立法的最新进展。在《条例》生效之际，我国相关企业也需要对其深入研究，强化合规举措，以适应欧盟方面市场准入和监管方面的刚性要求。《条例》中创制诸多新规定，特节选其中最富特色的条款进行重点解读。

　　第一，适用地域范围大幅扩展。《条例》第3条规定，“适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：（a）发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或（b）是对数据主体发生在欧盟内的行为进行监控的”。这项有关《条例》适用范围的规定至关重要，尤其是对于设立地、营业地位于欧盟以外国家的企业而言。1995年《指令》采取的是属地主义，只针对欧盟成员国的公民、企业、数据控制者，对于欧盟以外的数据处理主体不受《指令》的约束。而新《条例》抛弃属地主义，采用了属人主义，即无论企业的成立地、设立地、营业地、登记地是否在欧盟境内，只要被处理的数据的主体是欧盟成员国公民，那么该数据处理者、控制者以及该处理行为就要受《条例》的约束，这也是《条例》之所以在世界上被广泛关注的原因。除非放弃欧洲5亿多发达人口市场，不论是餐饮、交通、金融等传统行业，还是电子商务、社交网络等新兴领域，只要涉及向欧盟成员国公民提供服务或处理个人数据的企业，都必将受到《条例》的监管约束。

　　第二，增设数据主体权利。数据主体的权利规定在《条例》第三章之中，与《指令》相比，《条例》对数据主体权利的保护更加全面和完善。以第17条有关“被遗忘权”的规定为例，“数据主体有权要求控制者无不当延误地删除有关其的个人数据，并且在下列理由之一的情况下，控制者有义务无不当延误地删除个人数据：（a）不必要；（b）数据主体撤回同意；（c）数据主体反对处理；（d）个人数据被非法处理；（e）欧盟或欧盟成员国法律规定必须被删除的个人数据；（f）个人数据是为获得信息社会服务目的提供而收集的……”该条是对数据主体被遗忘权的规定。被遗忘权也称删除权、擦除权，是指数据主体有权利要求数据控制者、数据处理者删除其个人数据。《指令》对“删除权”有简单的原则性规定，但《条例》对此则规定较为详尽。第一款规定的是数据主体行使被遗忘权的若干情形；第二款规定的是除了数据控制人，由于控制人的公开行为获得个人数据的第三人也应当删除数据主体的个人数据，这项义务也应由公开数据的控制人负担；第三款规定了被遗忘权行使的限制情形。任何权利都是有边界的，数据主体对于个人数据的删除权也要受到诸如言论自由、公共利益等方面的限制。《条例》中关于数据主体的权利的规定，除了被遗忘权还有数据可携带权（第20条）、限制处理权、纠正权、“被数据画像”反对权（第22条）、自主决定权等权利，延展“知情权”和“访问权”（第15条和第12条），对数据主体的权利提供了更加完善保护。

　　第三，建构数据保护的基本法律原则。《条例》超越了《指令》中确立的“正当处理、目的明确与限制、知情同意、特殊数据处理、资料安全”等原则，进一步明确建构了一系列符合新时期数据保护现实需要的法律原则：合法公平透明原则、目的限制原则、数据最小必要原则、准确完整原则、保密性原则、知情同意原则等。这其中，数据最小必要原则要求个人数据处理要充分考虑处理目的与处理活动之间的相关性，强调数据处理最小化利用。

    第四，强化数据控制者和数据处理者的法律责任。《条例》对与数据保护相关的三方主体都作出了细致严谨的规定，对于数据控制者和数据处理者的要求更加严格，对于数据处理行为不但提出了苛刻的条件；同时也要求强化企业内部问责机制，对于本企业的数据收集处理行为，要有相关的主管部门负责并定期作出报告。《条例》第30条规定，数据控制者和处理者有义务以书面形式（含电子形式）记录数据处理活动；第32条规定，数据控制者必须加强个人数据的匿名加密等安全保障措施；第35条规定，当数据处理有可能给自然人权利与自由带来高风险时，数据控制者应事先进行“数据影响评估”；第33条、第34条规定，在个人数据泄露时，数据控制者应当在知道时起72小时内向监管机构报告，否则需要对延迟原因作出解释，如果个人数据泄露，数据控制者应通知数据处理主体。《条例》考虑到大数据产业发展，也为数据处理者构建了行为指引，在大多数情况下对其提出与数据控制者同等的安全保障、报告、设置数据保护官（Data Protection Officer， DPO）等同等要求。

　　第五，完善跨境数据传输机制。《条例》在保护自然人权利的大原则下设置了跨境数据流动的条件，在充分性决定的基础上传输（第45条），受保障的传输（第46条），对于跨境数据传输的灵活性安排，允许数据传输的兜底条款，在满足相应条件时，跨境数据传输被允许（第48条和第49条）。

　　第六，设立联合监管机制。《条例》设立了欧盟有关数据监管机构的一致性机制。第60条规定，“主管监管机关应当与其他有关监管机关进行合作，并互相交换相关信息。主管监管机关可随时要求其他有关监管机关根据第61条提供互助，并可根据第62条进行联合行动”。联合监管，对于那些在欧盟不同国家都有设立地的企业或者在欧盟不同国家同时存在业务的企业无疑是个福音，大大减轻了企业的合规成本，对于营业地在不同国家的企业以及数据主体存在于不同国家的数据处理行为，将受到监管机关的联合管制。对于联合管制，《条例》进行了两方面的规定，一方面细致规定了主管监管机关与其他机关之间的合作分工原则与规则。另一方面规定了监管者与被监管者之间的管理机制，作为被监管者的数据控制者和数据处理者，若位于不同的成员国或其数据处理行为涉及不同成员国国家公民的个人数据，那么任何一个成员国的监管机关都有权对此进行处理并加入到与此相关的联合管制之中。此次《条例》修订还有一处最为耀眼的规定是规定了数额极大的行政罚款。针对数据控制者或处理者的违法，可处以1000万欧元的处罚，或企业上一财年全球年营业额的2%，按价高者取算；针对违反数据处理基本原则、侵害数据主体权利等违法行为，可处以高达2000万欧元的行政罚款，或者上年全球年营业额的4%，按价高者取算。

　　综上可以看出，此《条例》可操作性强，突出了强化个人信息数据权利保护的立法宗旨。《条例》适用结果的统一，在降低企业合规成本的同时，对于企业内部的问责机制提出了更加严格的要求。在整部《条例》中大量可见这种配套成龙、彼此呼应的规定，其立法理念与技术值得参考借鉴。

    （作者单位：国际关系学院法律系）



原文标题：个人数据保护立法的新发展——以欧盟《通用数据保护条例》为鉴

原文来源：中国社会科学网