点击蓝字|关注我们
随着互联网和大数据等新一代信息技术的飞速发展,数据量呈现爆炸式增长,同时也带来了个人数据泄露、商业秘密侵害和大数据杀熟等数据治理难题。党的十九届四中全会首次将“数据”列为与“劳动、资本、土地、知识、技术、管理”等传统生产要素并列的新型生产要素。数据基础制度建设被视为国家发展和安全的关键,需要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通和使用,助力实体经济发展,并统筹推进数据产权、流通交易、收益分配和安全治理,加快构建数据基础制度体系。如今,加强数据权利保护,尊重数据资产价值已成为普遍共识。其中,个人数据作为数据的重要组成部分,其隐私保护的重要性愈加显著。2018年5月25日,欧盟发布了《通用数据保护条例》(GDPR),该条例从强化数据主体的权利保护、明确各相关主体的责任制度以及建立完善的监管体系等多个方面构建了全面的数据保护机制。GDPR在欧盟个人数据保护领域具有里程碑意义,是迄今为止发达国家通过的最为严格的个人数据保护法,为全球各国建立个人数据保护法律制度树立了新的标杆。
以下,本文将围绕欧盟数据保护立法的发展经过、GDPR的主要内容、欧盟数据保护对中国的启示三个方面展开。
01
一、欧盟数据保护立法的发展经过
欧盟数据保护立法的发展经历了数十年的演变和完善,主要可分为以下几个关键阶段:
1. 启蒙阶段(1970年代-1990年代)
1970年代:欧盟的数据保护意识萌芽于1970年代,当时一些成员国最初,数据保护的规定仅存在于各国的国内法中。如1970年由德国黑森州颁布的《黑森州数据保护法》,这部法律的出台开创了全球数据保护立法的新篇章。紧接着,1973年5月11日,瑞典颁布了《数据法》,成为世界上首部国家级的数据保护立法。1984年,英国议会也通过了《数据保护法》。
由于各国法律存在差异,导致欧盟范围内的数据保护水平参差不齐。随着时间的推移,越来越多的欧洲国家认识到,需要制定一套统一的规则,甚至超越国内法的国际或区域性数据保护框架。
1980年:经济合作与发展组织(OECD)制定了《保护隐私和跨境个人数据流通指南》。该指南基于经合组织提出的七项原则,即通知、目的限制、同意、安全保障、信息披露、访问权以及问责制,旨在鼓励各国政府将这些原则融入其未来的数据保护体系中,成为现代数据保护法的重要基础。然而,这些原则并不具有法律约束力。欧洲委员会意识到,由于欧盟成员国之间国内法的差异,数据的跨境流动仍然面临障碍。
1981年:欧洲理事会通过了《个人数据自动处理保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,简称《108号公约》),这是世界上首个数据保护领域的国际条约,旨在协调成员国的数据保护法律。
2. 雏形阶段(1995年代-2012年代)
1995年:欧盟发布了《数据保护指令》(Directive 95/46/EC),这是欧盟首个统一的数据保护法规。数据保护指令在一定程度上继承了《108号公约》中的部分规定,例如继续坚持合法性原则,并赋予数据主体一系列保障性权利,如拒绝权、访问权、知情权和更正权等。同时,数据保护指令在《108号公约》的基础上进行了进一步扩展,例如将“同意”作为数据处理的依据之一,并明确了五种合法处理个人数据的情形。此外,指令对特殊个人数据制定了更加严格的保护规则,并在欧盟层面设立了专门的工作组,以确保数据保护指令的有效实施。该指令在协调个人数据保护与数据自由流通方面起到了重要作用。
虽然《数据保护指令》在当时是一个重大进步,但随着互联网和技术的迅猛发展,它逐渐显现出局限性,如对跨境数据流动的规制不足、执法力度不够等。
3. 立法体系化阶段(2012年-至今)
2012年:欧盟委员会提出《通用数据保护条例》(GDPR)的立法草案,旨在替代1995年的《数据保护指令》。此举标志着欧盟数据保护立法向更高统一性和更强执行力的转变。
2016年:经过数年的讨论和修订,欧盟最终通过了《通用数据保护条例》(GDPR)。该条例不仅加强了对个人数据的保护,还在法律适用范围、跨境数据流动、数据主体权利、数据控制者和处理者的责任等方面做出了更为严格和全面的规定。
2018年:GDPR正式生效,取代了1995年的《数据保护指令》。GDPR以条例形式直接适用于所有欧盟成员国,无需各国再进行转化,这确保了欧盟范围内数据保护的统一性和一致性。条例的适用范围不仅限于欧盟境内,还包括处理欧盟居民数据的全球企业。
GDPR的实施对全球数据保护产生了深远影响,许多国家和地区参考GDPR的标准制定或修改了本国的数据保护法,例如巴西的《通用数据保护法》(LGPD)和加州的《消费者隐私法案》(CCPA)。
另外,尽管GDPR是一部覆盖范围广泛的法律,但它只是欧盟层面数据保护法律的一部分。此外,还有多部法律涉及数据保护,适用于不同的主体和情境。例如,2002年7月12日颁布的《数字隐私指令》、2000年12月18日发布的《第45/2001号条例》、以及2016年4月27日生效的《法律执行指令》等。
由上可见,欧盟的数据保护立法经历了从零散的国家立法到统一的欧盟指令,再到具有全球影响力的GDPR的演变过程。这一发展历程不仅反映了数据保护的重要性日益提升,也体现了欧盟在全球数据治理中的引领地位。
02
二、GDPR的主要内容及实施现状
GDPR旨在同时实现数据保护和数据自由流动的双重目标。这种平衡是至关重要的,因为在数字经济中,数据既是重要的经济资产,也是需要保护的个人隐私。GDPR通过设立严格的数据保护标准,同时保障数据能够在欧盟内部自由流动,从而支持了数据驱动的创新和经济增长。
在加强个人数据保护方面,与1995年的《数据保护指令》相比,GDPR的保护范围从“隐私权”扩展到“个人数据保护权”,并引入了新的概念和原则。其中,根据GDPR第4条的定义,“个人数据”是指任何与已识别或可识别的自然人(数据主体)相关的数据。可识别的自然人是指能够通过姓名、身份证号、定位数据、网络标识符或特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符直接或间接地被识别出来的自然人。特别是,“识别分析”(profiling)指的是对个人数据的任何自动化处理方式,包括对某个自然人在特定方面的情况进行评估,尤其是用于分析和预测其工作表现、经济状况、健康、个人喜好、兴趣、可信度、行为举止、位置或活动轨迹。根据EDPB的指引和GDPR的条款,只要数据内容、处理目的或处理数据所造成的影响能够与某个个人相关联,该数据就被视为个人数据。这三部分并不是叠加的,即只要满足其中的任何一项即可被认定为个人数据。
关于个人数据保护权与隐私权的关系,欧盟1995年的数据保护指令同时使用了数据保护和隐私保护这两个概念,当时二者的关系尚不明确。例如,该指令第一条第一款规定,各成员国应“特别保护个人数据处理中的隐私权”。而在2000年制定的《欧盟基本权利宪章》中,第7条和第8条分别规定了“尊重私人及家庭生活”以及“保护个人数据”,其中“尊重私人及家庭生活”指的是传统意义上的隐私权,并与“个人数据”并列,标志着个人数据成为一个独立的权利。在2007年的《里斯本条约》中,明确要求欧盟制定数据保护规则,并完全采用个人数据的概念,不再使用隐私概念。在GDPR中,数据保护被视为一个完全独立的领域,与传统的隐私权有所区分。
同时,GDPR确保了跨境数据流动的统一性。通过在所有欧盟成员国内直接适用GDPR,消除了成员国之间的数据保护差异。这种统一的法律框架有助于简化数据管理和合规程序,促进了数据在欧盟内部的自由流动,并增强了欧盟市场的整体竞争力。
主要来说:GDPR的主要内容涵盖了以下几个关键方面:
1. 数据保护原则
GDPR确立了数据处理的基本原则,要求个人数据的处理应当符合以下原则:
合法、公正、透明:数据处理必须合法、以公正的方式进行,并对数据主体透明。
目的限制:数据必须仅用于特定、明确的目的,并不得用于其他目的。
数据最小化:仅收集和处理实现目的所必需的数据。
准确性:数据应保持准确且最新,必要时进行更正。
存储限制:数据只应保存到实现处理目的所需的时间。
完整性和保密性:数据应以适当的安全措施保护,防止丢失、破坏或未经授权的访问。
2.数据主体的同意
GDPR对于数据主体的同意的有效标准比《个人数据保护指令》严格的多。根据GDPR第4条第11款,同意指数据主体“基于自愿、具体、知情和明确的表示”同意其个人数据被处理。具体而言:
自愿:同意必须是自由给予的,不应受到胁迫或压力。
具体:同意应当针对特定的处理活动,而非泛泛而谈。
知情:数据主体必须被充分告知数据处理的目的、范围及可能的后果。
明确:同意应当通过明确的行动表示,例如填写同意书、点击同意按钮等,而非默许或隐含同意。
其中,对于处理特殊类别的数据(如种族、宗教信仰、健康信息等),GDPR要求获得数据主体的显式同意。显式同意需要数据主体对数据处理有明确且具体的知情同意。
对于未满16岁的儿童,GDPR要求数据控制者在处理儿童个人数据时,必须获得家长或监护人的同意。然而,各成员国可以将年龄限制下调至13岁。
另外,在高标准的“同意”规则下,虽然GDPR并未明确禁止“推定同意”模式,但实际操作中,利用“推定同意”来获取用户同意通常难以被视为合法有效。这意味着,当前普遍采用的通过冗长复杂的隐私政策获取用户同意,或在签署业务协议时通过“勾选”方式进行广泛授权的方法,将可能不再符合合法性要求。因此,数据控制者应当不仅重新修订隐私政策,还需全面调整同意机制。
更为重要的是,根据GDPR第七条第3款的规定,数据控制者必须确保数据主体能够轻松撤回其同意,就如同给予同意一样方便。数据控制者需要明确告知数据主体撤回同意的权利,并提供便捷的撤回方式。此外,数据控制者必须确保数据主体在撤回同意时不会面临额外费用或服务水平的下降。
3. 数据主体权利
GDPR增强了个人对其数据的控制权,包括以下权利:
知情权:个人有权知道其数据如何被收集、使用和存储。
访问权:个人可以要求访问其个人数据,并获得副本。
更正权:个人可以要求更正不准确或不完整的数据。
删除权(被遗忘权):个人可以要求删除其数据,在特定情况下,例如数据不再必要或同意被撤回。
限制处理权:个人可以要求限制数据处理,例如在数据准确性存在争议时。
数据可携带权:个人有权以结构化、常用和机器可读的格式接收其数据,并有权将其传输到另一数据控制者。
反对权:个人可以反对其数据的处理,包括用于直接营销目的。
4. 数据控制者和数据处理者的义务
数据控制者:负责确定数据处理的目的和方式。必须确保数据处理符合GDPR的要求,并与数据处理者签订合同。
数据处理者:代表数据控制者处理数据。必须根据合同规定处理数据,并采取适当的技术和组织措施来保障数据安全。
5. 数据保护影响评估
GDPR要求在处理可能对数据主体权利和自由产生高风险的情况下,进行数据保护影响评估(DPIA)。此评估旨在识别和减轻潜在风险,并确保数据处理活动符合GDPR要求。
6. 数据保护官(DPO)
对于设立在欧盟的数据控制者或处理者,以下情况下需要指定一名数据保护专员(DPO):
(1)当数据处理由行政机关或公共机构进行时,法院在其司法职能内的行为除外;
(2)数据控制者或处理者的核心业务涉及数据处理,并且该处理由于其性质、范围或目的,需要对数据主体进行定期且系统化的大规模监控;或者数据处理活动与刑事定罪相关。
DPO的指定必须基于其专业素养,特别是对数据保护法律的专业知识和实践经验,并且需要具备足够的能力和独立性来履行职责。数据控制者或处理者应公布DPO的联系方式,并向监管机构进行备案。如果DPO能轻易接触到每个部门,则集团公司可以指定一名DPO来处理相关事务。此外,GDPR允许成员国通过国内立法扩展其他需要指定DPO的情形。
7. 数据泄露通知
GDPR规定数据控制者必须在发现数据泄露后72小时内通知监管机构,并在某些情况下通知数据主体。数据泄露通知应包括泄露的性质、影响及采取的补救措施。
8. 跨境数据转移
GDPR(通用数据保护条例)对数据跨境流动有明确的规定,旨在确保数据在欧盟内外的传输符合严格的数据保护标准。以下是GDPR数据跨境规则的主要内容:
(1) 数据跨境流动的基本原则
根据GDPR,第44条至第50条规定了数据跨境流动的原则。GDPR强调个人数据在欧盟境外的流动必须确保与欧盟内相同的保护水平。这是为了防止数据在传输过程中受到不当保护,确保数据主体的权利和自由不受影响。
(2)充分性决定
第45条:如果欧盟委员会认定某个国家或地区的数据保护水平与欧盟的水平“足够”,则数据可以在欧盟和该国家或地区之间自由流动。这个“充分性决定”是依据该国家的数据保护法律和实践是否足够保护数据主体的权益来做出的。
(3)适当保障措施
第46条:如果没有充分性决定,数据控制者或处理者可以通过实施适当的保障措施来进行数据跨境流动。这些措施包括:
标准合同条款(SCCs):由欧盟委员会制定的合同条款,用于确保数据传输的保护标准符合GDPR要求。
经批准的行为准则:数据控制者和处理者遵守经欧盟批准的行业行为准则,以确保数据保护。
经批准的认证机制:通过第三方认证机制来证明符合GDPR的要求。
(4) 特定合同条款和协议
第47条:数据控制者和处理者可以采用经欧盟委员会批准的合同条款和合同义务,以保证数据保护水平。这些合同条款必须确保数据在处理过程中始终得到适当保护。
(5) 跨境数据处理的额外要求
第49条:在没有充分性决定或适当保障措施的情况下,数据跨境流动可以基于数据主体的明示同意、合同的必要性、重要公共利益等特殊情况进行。但这些情况通常被认为是例外,适用范围有限。
(6)监督和执法
GDPR要求数据控制者和处理者在进行跨境数据流动时,应确保遵守欧盟的数据保护监管要求。如果数据处理涉及第三国,数据控制者和处理者必须确保与第三国的数据保护机构建立有效的合作关系,以处理数据保护方面的问题和投诉。
(7)数据保护影响评估(DPIA)
在某些情况下,数据控制者可能需要进行数据保护影响评估,以评估跨境数据流动对数据主体权利的潜在影响,并采取适当措施减轻风险。
9. 监管机构和执法
GDPR设立了监管机构(数据保护监管机构)来监督数据保护法规的实施和合规情况。各成员国的监管机构具有权力进行调查、处罚和强制执行。数据主体可以向监管机构投诉其数据保护权利被侵犯的情况。
10. 处罚和赔偿
GDPR对违反其规定的组织设定了严格的处罚机制,最高罚款可达全球年营业额的4%或2000万欧元(以较高者为准)。数据主体还可以因数据保护权利被侵犯而向法院寻求赔偿。
11. 有效性和适用
GDPR适用于所有在欧盟内开展业务的公司,无论公司所在地,并且直接适用于所有欧盟成员国,无需转化为国内法。它确保了欧盟内部数据保护法规的一致性,并促进了数据的自由流动。
03
三、欧盟数据保护对中国的启示
欧盟数据保护法(GDPR)对中国的数据保护制度具有重要的启示,具体体现在以下几个方面:
1.强化数据保护法规
(1)对标国际标准:GDPR的实施为全球数据保护标准设立了新的标杆,中国可以借鉴GDPR的规范和标准,制定更加严格和全面的数据保护法律,以提升对个人数据的保护水平。
(2)法律框架建设:GDPR为数据保护提供了一个完整的法律框架,包括数据主体的权利、数据控制者和处理者的责任等。中国在完善其数据保护法律体系时,可以考虑引入类似的法律结构,以保障个人数据的安全和隐私。
2.提升数据主体的权利
(1)数据主体权利:GDPR赋予数据主体多项权利,如知情权、访问权、更正权、删除权和数据可携权等。中国可以在数据保护法律中加强对这些权利的保护,确保个人能够有效管理和控制自己的数据。
(2)撤回同意的便利:GDPR规定数据主体可以像给予同意一样方便地撤回同意。中国可以在数据保护法律中明确数据主体撤回同意的机制和要求,以提升数据主体的控制权。
3.规范数据处理和跨境流动
(1)数据处理的合法性:GDPR规定了数据处理的合法性基础,并对数据处理的透明度和公正性提出了要求。中国的数据保护法律的完善可以借鉴这些原则,确保数据处理活动合法、透明。
(2)跨境数据流动:GDPR对跨境数据流动提出了严格的要求和保护措施。中国在推动数据跨境流动的同时,也应考虑如何确保数据的安全和隐私保护,进一步完善跨境数据传输的法律框架和保护机制。
4.建立数据保护的监管机制
(1)独立的数据保护机构:GDPR设立了独立的数据保护机构(如数据保护专员)来监督数据保护实施。中国可以考虑建立或强化独立的数据保护监管机构,负责监督数据保护法律的执行和处理相关投诉。
(2)监管与执行:GDPR规定了具体的监管和执行机制,包括数据保护影响评估、数据保护官的职责等。中国应建立完善的监管和执行机制,以确保数据保护法律的有效实施。
5.企业的合规负担与成本
(1)合规成本:GDPR要求企业在数据保护方面进行大量的合规工作,包括制定隐私政策、进行数据保护影响评估等。中国企业需要了解这些要求,并做好相应的合规准备,以减少法律风险和潜在的经济损失。
(2)技术和管理措施:GDPR强调企业应采取适当的技术和管理措施来保护数据。中国企业可以借鉴这些措施,提高数据保护的技术水平和管理能力。
可见,GDPR的实施经验为中国提供了数据保护立法和监管方面的宝贵参考,有助于中国在保护个人数据、促进数据流动和提升法律合规性方面做出更加全面和有效的改进。
