论欧盟通用数据保护法律制度与中国的法律应对 以欧盟《通用数据保护条例》

来源: 未知 作者:paper 发布时间: 2020-04-16 17:39
论文地区:中国 论文语言:中文 论文类型:法律论文
导 言 \问题的提出 经济和网络日益全球化,使服务与数据的国界变得日益模糊,互联网、云计 算、人工智能等技术的发展也使得个人数据在全球范围内快速流动成为现实,全 球进入数
导 言
—\问题的提出
经济和网络日益全球化,使服务与数据的国界变得日益模糊,互联网、云计 算、人工智能等技术的发展也使得个人数据在全球范围内快速流动成为现实,全 球进入“数据驱动”的时代,在数字经济时代,实现数据的有效治理是掌握信息 全球化主动话语权的途径。2018年5月25日生效的欧盟《通用数据保护条例》 具有宣誓性意义,反观我国的个人信息保护法进程,拒不完全统计,我国当前有 关通用数据保护方面的规范就有一百余部,除《全国人大常委会关于加强网络信 息保护的决定》和工信部《电信和互联网用户个人信息保护规定》夕卜,其他规范 多散见于刑法、行政法规和其他部门规章中。1截至本文完成之日,正式的《个 人信息保护法》版本尚处于讨论审议阶段,所以对欧盟立法动态的关注和研读具 有必要性,因其新型权利的设置和“长臂管辖”对全世界范围内的多种产业产生 了较大影响,基于欧盟该法案所产生的方方面面的影响,我国立法应当移植哪些 先进的权利设置、应当如何设立通用数据的跨境流通规则,是否应当跟随趋势设 立更新“长臂管辖”原则都是需要进一步结合我国国情探讨的问题。总之,对该 法案的研读以及我国应对策略的制定会成为未来个人信息保护的重要议题。
二、研究价值及意义
在全球个人数据保护大融合的背景下,欧盟《通用数据保护条例》旨在通过 立法的形式保护欧盟境内公民个人数据信息,同时为国际范围内其他法域的数据 保护提供了立法蓝本,对我国个人数据保护立法具有重要的借鉴意义。并且,该 1张哲:《探微与启示:欧盟个人数据保护法上的数据可携权研究》,载《广西政法管理干部学院学报》第 31卷第6期,第43页。
法案具有较强的域外效力,对于对欧贸易并提取欧盟公民个人信息的商事主体而 言,违反便面临高额罚款,因此必须对其带来的影响加以深入研究,以提示规避 由其带来的商业和法律风险,也能够更有针对性的反映在立法需求上,使得立法 的专向性、针对性更强。
三、文献综述
(一)关于全球数据保护的必要性和欧盟个人数据保护发展历程
随着大数据、云计算、移动互联网、物联网、人工智能、区块链、虚拟现实 等一系列数据处理技术的兴起,个人信息的收集存储和转移逐步数字化,个人信 息日益成为公共管理、社会服务和商业拓展的重要资源,在当下的跨国贸易往来 中,谁掌握数据资源的控制权,谁就站在了商业谈判的制高点,广泛的数据收集 使得广告投放更加精准,海量信息形成用户画像,对精准营销起到不可小觑的作 用。欧委会消费者事务委员库内娃(Meglena Kuneva) (2009)女士曾在一次演讲 中说过:“个人数据是互联网的新能源、数字世界的新货币。”朱尔斯•波罗奈 特斯基Jules Polonetsky (2013)认为信息分享和信息采集规模的加速进程,令 信息成为材料生产的原动力,有着巨大的经济和社会价值。这一特点促进了数字 产业的进一步发展,大量的数据收集活动顺势而行,但与此同时,产生了许多网 络安全和数据保护事件,2007年谷歌街景侵犯隐私案件、2011年索尼游戏机数 据遭窃案、2011年奥地利学生斯勒姆斯诉Facebook案、2013年斯诺登棱镜门、 2017年Gma订和雅虎账户售卖案、2018年Facebook泄密大选门等数据违规事件, 2017年暗网市场中从中国多家互联网巨头盗取的数据被抛售,数据条数达到10 亿以上,信息泄漏事件呈现高速增长趋势,带来十分严重的消极影响,这迫使数 据保护的主题被提上日程。全球各国都陆续完成了各自的数据保护立法,将数据 控制与处理行为规制在法律框架下,其中欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)被称为史上最严数据保护法。 第二次世界大战期间,纳粹利用详实完备的公民个人数据大肆侵略屠杀犹太民族, 迫害反纳粹人士,这也使得欧洲人民较早便有了个人信息保护的意识,这一情形 也反映在了立法中,最早可以追溯到1950年《欧洲人权公约》,随后欧洲各国 陆续颁布个人信息保护法,1981年欧共体成员国签订《关于自动化处理的个人 信息保护公约》,是在欧洲层面建立统一的公民数据保护体系的第一次尝试,其 中的许多内容仍然被保留到今日的GDPR法案中,随后1995年欧盟出台《关于个 人信息处理保护及个人信息自由传输的指令》(以下简称“《1995年指令》”), 但是该指令只能适用于欧盟成员国,不能直接适用于欧盟的公民,所以在其适用 范围上存在局限,虽然后来通过颁布许多细则加以细化,但其转化适用的程序(转 化为国内法加以适用)带来许多法律适用的冲突,增加了运行成本,实则各国还 是在遵守自己本国的个人信息保护法,刘云(2017)认为如此一来会使不同国家 的欧洲公民的数据保护水平参差不齐,索海(Sohin Gautam) (2014)认为这样 的首要影响是迫于上述法律适用上的障碍,企业在欧盟境内从事经营活动时必须 学习且遵守欧盟域内不同国家有关数据保护的法律规定。但其仍然存在较多的积 极意义,对个人信息保护的力度和重视程度是全球领先的,为《欧盟基本权利宪 章》中“个人信息得到保护”的权利起到了制度上的保障作用。互联网技术的发 展,云计算、定位服务等个人数据的处理活动使得数据规制遇到新的挑战,在
《1995指令》不能够满足对数据处理的规制要求时,欧盟委员会从2012年起经 过不断地征集意见、修改草案,终于在2016年投票通过了 GDPR,并于2018年5 月25日生效。京东研究院出版的《欧盟数据宪章一一〈一般数据保护条例〉GDPR 评述及实务指引》认为数据保护从“指令”上升为“条例”,意味着GDPR生效 即成为成员国国内法的一部分,具有直接适用的法律效力。不用再转化为国内法 就可以直接适用于欧盟范围内的公民和企业,着实大大提高了数据保护的力度和 实操性。
(二)关于《通用数据保护条例》重点条款
新法案的第三条对地域范围作出了规定,尤其突出了长臂管辖这一特征。不 仅对设立在欧盟境内的控制者或处理者产生规制,管辖效力甚至扩展到了向欧盟 境内数据主体提供商品或服务或者对其进行了监控的商事主体或者机构,都要受 GDPR的管辖。鉴于数据的自由流动的特性和跨境传输的便携性,纵观全球范围 内的个人数据保护立法,许多国家都已经对管辖事项设立了域外适用条款。张建 文(2017)认为这种规定与其看作是属地管辖的例外,不如说是创制的一种按照 行为结果来确立法律适用与否的管辖原则,这一点被称为“效果原则” o这一点 可以在讨论我国个人信息保护法的立法时加以借鉴。其中,对于欧盟境外企业在 欧盟境内设立机构的情况,遵守条例的主体是否不局限于被设立机构,其背后的 数据控制者是否也要受到约束是一个值得探讨的问题。
新法案对知情同意原则进行了相关完善,在现代巨大庞杂的数据流中,若要 求数据控制者对所接触的数据都要经过数据主体同意的程序,势必影响数据处理 的效率,使数据的经济性、真实性、有效性都受到影响,由此会进入罗伯特(Rober t H. Sloan) (2014)所认为出现的“同意困境”。任龙龙(2016)认为同意基础 的规定既缺乏紧迫的必要性,又无法保障真实性,故而其并不具有有效的实践意 义。因此知情同意原则虽然是信息自决的基础,但对其功能和价值定位的设计不 能够当作信息处理正当性的唯一依据,还要考虑合同义务、法律义务或者公共利 益等情形。王进(2018)认为GDPR中对于知情同意原则的完善在于明确了有效 同意的五个要素:自由要素即同意是数据主体完全自主不受限制的情况下做出; 具体要素即清楚而明确地指明信息处理的范围和后果;知情要素即信息控制者向 信息主体提供了相关资讯;明确要素即信息主体必须明确体现其真实意愿,不可 以是含糊不清的;形式要素即作出的同意在形式上应构成一种表示行为,是声明 或明确的肯定行动,但不包括不作为的同意。在GDPR第9条,列举了七类敏感 个人信息,对该类别的信息原则上是禁止处理的,但存在但书规定,额外情况中 信息主体的同意是首要,而且标准也被提高到必须是直接的、正面清晰(explicit) 的同意,这也就将“行动”这种间接同意排除在外了。王进(2018)认为GDPR 对于第七条将同意的证明责任分配给信息控制者的机制是合理的,笔者同意该观 点,因为信息主体与信息控制者因对信息的处理技术水平相差甚大导致地位本身 就是不平等的,个人数据保护的立法就应当力求消除这种不平等,所以将举证责 任分配给信息控制者是具有合理性的。同时,GDPR还构建了对儿童信息的同意 规则,未满16周岁儿童的个人信息的收集必须通过相应技术手段取得监护人的 同意或授权,提供给儿童的信息应使用与儿童理解程度相契合的用词和语言方式, 以使儿童尽可能参与同意的程序。
GDPR引入了 “数据可携权”这一新型数据权利概念,其包括数据主题的副 本获取权和数据转移权。GDPR的核心观点是保障信息主体的信息自决权,自决 信息的采集、处理、访问、转移、使用、存储与删除,可携便是对访问及转移事 项的自决体现。在GDPR草案的修改中,存在数据可携权和数据主体访问权应否 合并的争论,原本根据立法者的设想,数据可携权包括获取与转移两个维度,但 是条例第15条允许数据主体访问的多为有关数据处理的确认性信息,如果把获 取的权能作为访问权的具体内容加以规定,就会导致访问权权利内容的混乱,所 以他坚持数据可携权应当作为与访问权相独立的一项权利。该项独立的权利的行 使也并非毫无限制,从副本获取权的角度看,必须基于数据主体的同意或合同义 务而实施,若是数据控制者基于履行法定义务、为公共利益目的而使用数据时, 不当然具有提供给数据主体副本的义务。数据转移权这一权能,是数据可携权和 数据主体访问权最核心的区别,是指数据经数据主体要求在不同控制者之间的转 移,但必须是在技术可行的条件下(technically feasible),在数据控制者的 技术支持下径行实现信息转移,而非先下载个人数据再上传至另一控制者处。张 哲(2016)认为在数据可携权的设置上存在着制度缺陷和适用上的不确定性,存 在不合理的适用范围,过分加重了以非通用方式处理个人数据的中小企业的法律 义务(因为该权利适用于以电子化实施的处理行为,范围太广);存在数据来源 上的歧视,只能适用于数据主体提供给控制者的个人数据,而不适用于控制者因 合法授权而处理的个人数据;未规定在数据主体行使数据可携权后应当被通知享 有删除权,但笔者认为该条完全可以通过删除权的增加权利内容得以实现,例如 规定数据主体的删除权不因数据可携权的行使而消灭即可,不必额外再增加数据 控制者额外的通知义务;其中还有涉他数据的转移问题,当该数据主体将数据迁 移到另一控制者领域,如果其中牵涉其他权利主体的数据,由此就产生了个人数 据自决权和数据可携权的冲突。所以,张哲(2016)认为在中国没有必要引入数 据可携权,因为中国的数字经济发展规模和速度都远超欧盟,盲目引入一个增加 数据处理者法律义务与运营成本的权利概念很大程度上将阻碍整个产业的快速 发展前景。笔者同意该观点,在个人信息保护法尚且不健全、人口数量庞大的我 国,没有充分的理论论证和实务支撑,不能确保新型权利预期实现情况的背景下, 贸然引入该权利有很大的风险,甚至会导致法律成为经济发展的绊脚石。
被遗忘权是GDPR中格外引人注目的一项新权利概念,被规定在GDPR的第 17条,数据主体有权要求控制者无不当延迟地删除其个人数据,适用情形主要 包括:数据收集和处理已不再必要的、撤回同意、同意到期、行使反对权、个人 数据被非法处理的以及根据成员国法定义务必须被删除的o该项权利包含了删除 权的权能,但两项权利的请求基础是不同的,删除权所针对的对象数据是缺乏法 律基础的,被遗忘权针对的是信息是合法收集、加工,但已经过期、不相干、不 再准确的。关于“被遗忘权”核心争议点有二,其一是与个人信息自决权、遗忘 权、删除权的区别和联系,张里安、韩旭至(2017)认为自决权是被遗忘权的根 基,删除权和遗忘权是被遗忘权的两个维度;其二是被遗忘权与其他合法利益, 如表达自由权、知情权所保护的公共利益之间的冲突。被遗忘权并非绝对权,需 要运用比例原则、必要性原则进行法益平衡后再对是否支持做出判断。纵观美欧 数据保护立法与判例,两方坚持不一样的利益平衡标准,美国模式倡导表达自由 与商业自由在价值标准衡量中占首位,保罗•伯纳尔(Paul Bernal)认为由于 数据起到告知信息、启发思想的作用,在美国法上,就可以认定数据就是言论, 所以在公共新闻自由面前,个人利益要让步于真实言论的表达,美国法院很难认 定个人对网络信息的删除权。但在欧盟数据保护的观念中,这便是数据保护的自 然延伸,具有被创设被树立的天然趋势,笔者认为如此的差异也将导致GDPR中 被遗忘权对美国企业适用上的障碍。
(三)中国数据保护的法律应对
面对数据在全球范围内自由且加速流通,以及欧盟建立严格的数据保护立法 的现状,中国国家层面和企业的实操运营都不可避免要进行制度的更新与合规工 作的升级。从国家层面看,国内立法与国际合作两方面要齐头并进,我国目前的 关于信息和数据规范的立法,趋于碎片化,位阶总体不高,2016年颁布的《中 华人民共和国网络安全法》可算作目前对大数据时代数据安全最有利的回应,虽 已“网络安全”命名,但数据安全构成了其重要组成部分。齐爱民(2017)以《网 络安全法》为视角,提出要建立关键基础设施数据安全保护法律机制、数据跨境 流动监管法律机制以及个人数据保护法律机制的完善我国大数据安全保护的法 律对策。齐爱民、盘佳(2014)认为大数据保护应当在遵循数据主权原则、数据 保护原则和数据安全原则、数据自由原则的基础上构建数据主权和数据权法律制 度,也就是说,主权国家行使数据主权绝对不意味着对数据实行完全控制,而要 把握数据自由流通和管控的平衡点,做到真正的积极促进与合理限制。因此,有 必要在我国《个人信息保护法》的立法设计中明确国家数据主权和基本原则、充 分保障数据主体的各项权利,对数据控制者和处理者的义务规定清晰,切实顺应 我国的数字行业发展趋势,推动该行业的健全合法运作。由全国信息安全标准化 技术委员会提出,国家质量监督检验检疫总局和国家标准化管理委员会共同发布 的《信息安全技术个人信息安全规范》制定了较为完备的个人信息保护机制,对 信息的收集、保存、适用以及其他使用事项都做出了对应安排,为《个人信息保 护法》建立了雏形。同时,还要遵守国际条约和国家协定,加强与欧盟的对话, 对GDPR的适用和法律安排有深入的认知,以便形成更有针对性的指导意见,帮 助我国企业更好地参与到与欧盟的贸易活动中,另外,进行跨国的数据传输流通 时坚持对等原则,若外国对我国公民或团体的数据权利加以额外限制,我国对该 外国公民或团体也将施加同样的限制。对于中国的数字经济企业,面对GDPR两 个等级的“重罚”以及种种义务的配置,如果不采取退出欧盟市场的战略,就应 当根据其要求,建立健全合规的数据保护制度。刘权(2018)认为中国企业对此 要完善数据主体的权利设置,核实企业的操作规程是否能够保障权利的实现,并 要完善数据处理机制,对技术措施和组织措施都进行升级,建立数据影响保护的 评估机制与事先协商制度,增加个人数据去标识化处理以及匿名化处理的配套功 能,必要时按照GDPR的要求任命数据保护官,最后完善数据泄密报告与处理机 制。可以看到,在GDPR生效前后,众多企业网站更新了隐私声明与政策,取消 一些侵害数据主体权利的不合理条款,都在尽力朝数据合规的方向改进,无论法 规如何严苛,对于数字经济企业而言,保护数据主体信息权利是一切数据处理行 动的底线。
四、主要研究方法
1.实证分析和规范分析:综合米取了实证分析与规范分析两种分析方法。在 梳理欧盟《通用数据保护条例》的条文后,结合具体判例分析在具体情境下其影 响的宽度和深度,分析该立法在法律层面的质变和量变影响,将这些影响有针对 性地落脚到我国的通用数据保护法律应对方案之中,从我国立法和执法实际出发, 切实分析规则设置的可行性。
2.比较分析:为准确探究全球对数据保护的立法动态,比较分析美国、巴西、 印度、中国的数据保护立法模式,参考了美欧双边协定框架中的规则与共识,从 中总结出符合时代发展规律、具有进步性的保护理念和实操规范。
3.交叉研究:由于选题涉及大数据背景下的云计算、精准算法等知识,采用 了计算机学科与法学学科交叉的研究方式。在深入分析了网络数据平台的运作模 式、数据控制者、处理者的技术手段后,论证对其进行法律规制、分配法律责任 的必要性和合理性。
4.文献研究法:通过书籍、国内外学术期刊、互联网以及官方文献等渠道, 对全球主要数据保护立法、欧盟《通用数据保护条例》的相关资料进行搜集、整 理和评述,为开展研究提供理论支撑。
五、论文结构
本篇论文正文共分为四章,每章中有三至五节的内容。第一章对全球数据保 护立法的基本情况和欧盟《通用数据保护条例》进行了概要性的介绍,为论文的 重点内容“欧盟GDPR法案的立法影响”做铺垫;第二章和第三章分别是该法案 立法带来的质变影响和量变影响,从权利义务分配、司法管辖、网络执法、域外 效力、跨境传输规则、促进立法等方面对立法影响进行了阐述,属于“提出问题” 的部分;论文的第四章是“解决问题”的部分,针对影响找出对策,第四章中针 对前述立法影响,对应地提出了我国在《个人信息保护法》立法中某些重要规则 的立法构想。
六、论文主要创新及不足
本篇论文的落脚点在于为我国《个人信息保护法》的立法提出有建设性的立 法建议。解决问题的前提是找到问题,欲使立法建议具有针对性、实用性,准确 把握国情和面对的国内外立法动向,深刻理解我国在数据保护、个人信息采集、 存储、处理方面的实际需求是关键。本文没有单采用介绍性视角,简单地从欧盟 法案的立法内容上着手来考虑我国的立法方向和具体的立法举措,并加以法律移 植。而是在对欧盟GDPR法案中的创新点进行介绍的基础上,从该法案的立法影 响着手,从立法的质变影响和量变影响两个维度综合考虑该法案带来的立法冲击。 质变影响旨在说明于法案生效后,引发的权利义务产生或消灭,法律关系变革和 更新等具有颠覆性而非渐进性的立法效果。该类别的影响较为剧烈,需要在立法 上做出及时迅速、具有针对性的应对措施。量变影响旨在说明在法律层面上进行 的和缓渐进的变化,揭示了全球范围内数据保护立法的前行趋势,为此我国作为 世界第二大经济体理应顺应立法形势,与国际数据保护标准相衔接。由质变和量 变影响为导向去考虑针对性的立法建议,是本文写作思路上的创新点。
本文的不足之处在于,由于欧盟GDPR法案距今生效时间较短,具有代表性 的判例不多,截至本文完成之时,许多由此提起的诉讼还悬而未决,导致本文的 个别论述部分没有十分充足的案例予以支撑说明。
第一章 全球数据保护立法溯源和欧盟GDPR法案概
第一节全球数据保护立法的基本情况
一'全球数据保护立法溯源
提起全球通用数据保护的历史,就不能不提及历史上技术结合信息酿成的最 大悲剧一一德国纳粹对犹太民族的荼毒。欧洲是近代政府调查和社会调查发展较 早的地方。2纳粹德国使用国际商业机器公司(IBM)生产的计算机,分析和处理 人口普查结果获得通用数据,锁定犹太民族的民众,确定其身份信息和住所地, 有目标地搜寻并屠杀犹太人,造成了万千令人发指的惨剧,是对人类尊严的蔑视 和践踏。二战后全球各地,尤其是欧洲大陆为保护个人隐私,以防再度因信息泄 漏遭受类似于法西斯的荼毒,纷纷树立起保护个人数据的理念,建立个人信息保 护制度,将个人信息作为人格权的一类进行捍卫,欧洲公众普遍非常警觉无论出 于何种目的进行的个人数据采集。1948年《世界人权宣言》第12条规定“任何 人的私生活、家庭、住宅和通信不得任意干涉,他人的荣誉和名誉不得加以攻击。 人人有权享受法律保护,以免受这种干涉和攻击。”这被认为是对公民隐私权保 护最初的立法渊源。欧洲更是走在个人信息保护的立法前端,1950年以公约的 形式对此进行规制,《欧洲人权公约》第8条规定:“任何人享有私人、家庭生 活及其住宅被尊重的权利”,在这个阶段,个人信息的保存形式和传播速度都较 为有限,如若权利受到侵害,侵害后果的严重程度也是有限的,仅依靠侵权责任 法就可以使受损的个人信息权得到救济。
京东法律研究院著:《〈一般数据保护条例〉评述及实务指引》,法律出版社2018年版,第14页.
二、全球数据保护立法现状
截至2017年,全球已经有120个国家(地区)施行了个人信息保护法律,且这一数 字还在不断增长。彳欧盟始终走在全球数据保护治理的前端,其对信息保护监管 治理的经验可以作为世界上其他立法体进行个人信息保护的重要参照。2016年 颁布、2018年5月正式生效的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)被称为“史上最严格的数据保护法”,以容易引起 大面积信息泄漏的信息自动化处理活动为主要调整对象,通过扩大适用主体、明 确权责分配,构造了一套权利义务分明、监管方式统一的立法执法机制。
美国不像欧盟对于通用数据保护有综合性立法,而是在联邦和州的不同层级 中、分散于宪法或侵权法等各类成文法中,在征信、通讯、金融等不同领域中, 对一般数据进行一般性保护,对敏感信息进行特殊保护,分门别类地设定保护规 则。并且美国对于数据的监管倾向于在行业监管运作也可以称为行业自律下,进 行通用数据保护法律的实施,通过各行业的核心机构发布指导意见或行为规范, 以及各个公司设置隐私政策来践行“公平信息实践原则”。
亚洲地区关于数据保护的立法举措既有来自内部的管理需求,也有外部压力。 在《1995年欧盟指令》中,欧盟对数据保护不健全的国家进行了数据的限制流 通政策,这极易导致对欧贸易的阻碍。基于此,日本、韩国、新加坡、我国台湾 和香港地区,纷纷将个人信息保护的相关法律完善工作提上日程,提升本国或本 地区的数据保护水准。步调也较为一致,都经历了分散型立法向统一式立法的转 变。°
总体而言,全球范围内已经逐步树立了通用数据保护的意识,也努力通过各 自符合国情自身体制的立法、执法、监管等手段践行兼顾信息流通与隐私保护并行的理念, 是不可阻挡的全球趋势。对号称“全球史上最严数据保护法”的欧盟《通用数据 保护条例》的解读和借鉴对研究全球数据保护立法具有重要的价值和意义。
3 Graham Greenleaf: Global Data Privacy Laws 2017:120 National Data Privacy Laws, Including Indonesia and Turkey,(2017) 145 Privacy Laws & Business International Report,ppl0-13, UNSW Law Research Paper No.45,14 Jul,2017,载 https ://papers. ssm. com/sol3/papers. cfin?abstract_id=2993 03 5.最后访问日期:2018 年 12 月 25 日。 4个人信息保护课题组著:《个人信息保护国际比较研究》:中国金融出版社2017年版,第73页。
第二节 欧盟GDPR法案的立法背景
一、 历史背景
正如前文所述,第二次世界大战中纳粹利用计算机技术记录的人口信息对犹 太民族实施了精准地迫害和打击,激发了欧洲人民关于“信息自决”的觉醒。所 以,在1982年的德国,当联邦政府颁布了《人口普查法》,准备在全国范围内 进行广泛的人口及身份、住所、工作等个人信息采集之时,遭到了绝大多数民众 的抵制。在该法案生效前夕,有公民将该法案告上了法庭,要求法院宣布该法案 违宪,最终德国联邦宪法法院认定了其违宪性质,才使得该法案失效、推进无果。 这标志着德国在个人信息使用上对个人自决权的肯定,个人基于人格权拥有合法 且合理的依据决定其信息的使用目的和具体用途,进而在欧洲范围内、在欧洲未 来的通用数据保护立法道路上,以“个人信息自决权”为精神要旨的立法理念正 式被确立,这也是为何欧洲会是世界上对个人隐私保护最为严格的地方的原因。
二、 经济要求
金融的本质实际上是数据和数据处理,在金融时代经历传统的电子化到移动 化,再到智能化,金融行业正在发生着非常巨大的变化,从获客到服务,再到风 控和信息技术的基础设施建设,金融业正因为技术的变革而经历着一场全面的革 新,以用户画像为基础,将信息精准地触达用户,以大数据和智能算法为手段为 每位用户提供个性化的服务,提升用户体验、扩展服务边界,每一步都涉及海量 数据的控制和处理。而为了让金融数据在一定规则下有序流动、稳健运作,防止 不当竞争和强势垄断,就必须加入对数据处理的监管。
有人认为,相较于欧盟,美国的数据保护规则似乎更加宽松,由此美国的互 联网产业获得了蓬勃的发展,而欧盟因为强劲的监管力度导致没有大型的互联网 金融企业生于此。但监管真的会阻碍金融或互联网业的发展吗?实则不然。监管 提出的要求无非是鞭策数据控制者及处理者可以在保护数据主体权利、合采集目 的的基础上对数据加以使用,而非限制其使用,因此提高运用和管理数据的水平, 反而获得用户的信任,提升了数据处理的效率和安全性,必将使企业自身受益, 促进科技引领下的金融经济的发展。
三、立法沿革
如前文所述,1950年颁布的《欧洲人权公约》中对私人、家庭生活及住宅 被尊重的权利的确认,通常被认为是欧洲第一代个人信息保护法。[ European Commission Study on Legal analysis of a Single Market for the Informationsociety.at: https://ec.europa.eu/digitalsingle_market/en/news/legal_analysis_single_market_infdrmation_society_smart_2007 0037, Jan.7,2019. — ~~ ]在该时代, 鉴于数字经济还未达到高水平发展的程度,采集、处理个人数据的技术还不成熟, 即便发生损害,影响的范围和深度都是有限的,大多可以通过侵权责任法加以权 利救济。
欧盟个人信息保护法的第一个阶段可以追溯到二十世纪60年代。信息技术 大规模推广,个人信息采集、处理的需求骤增,欧共体各成员国纷纷注意到其经 济价值,逐步在二十世纪70年代起将个人信息的保护纳入到国家法律规制的轨 道上,德国黑森州在1970年颁布《信息保护法》,英国在1984年颁布《信息保 护法》。[刘云:《欧洲个人信息保护法的发展历程及其改革创新》,载《暨南学报(哲学社会科学版)》2017年第2 期,第73页。]这个时期各国逐步将信息的自动化处理活动从普通民事行为中独立出 来,米用特别法加以规制。
第二个阶段可以总结为探索欧洲层面数据保护法律制度设计的阶段。在各成 员国信息保护法建立和完善的基础上,欧共体在1981年出台《关于自动化处理 的个人信息保护公约》(以下简称“《1981年公约》”),尝试在欧共体层面 建立统一的个人数据保护立法,可算作欧盟数据保护制度建立的有益实践。在该 公约中,明确信息保护法的调整对象是容易引起大规模信息泄露的自动化信息处 理活动,这一保护范围直到在2016年的信息保护法改革中仍被确认和保留。但 此时该公约并没有直接适用于成员国的效力,只被部分欧共体成员国批准,批准 的国家也没有在国内建立起配套实施的国内法规。但值得肯定的是,《1981年 公约》的出台增强了欧洲民众对个人信息施加保护的法律观念,为后续的数据立 法变革奠定了基础。
第三个阶段,是指令为主要立法形式的发展阶段。1995年,欧盟通过了《关 于个人信息处理保护及个人信息自由传输的指令》(下称“《1995年指令》”), 建立了现代数据保护的一般性原则,设置了数据保护的最低标准,该指令需要由 成员国转化为国内法后才能适用。由于转化涉及到各国不同的法律解释和价值判 断,导致这一时期各国个人信息保护法律制度适用的繁杂和不确定性,大大增加 了行政成本。了不同国家的数据保护水平不一致,公民信息安全程度无法在同一 水平,并且对欧贸易的企业需要遵守欧盟内不同国家的数据法规,大大增加了运 营成本。
在第四阶段即当下,为进一步改进上述缺陷,增强该法律的实用性,欧洲委 员会倡导实施一个综合性的欧洲个人信息保护计划,《通用数据保护条例》于 2016年被通过,取代了先前的《1995年指令》。由“指令”向“条例”的转变, 昭示着该条例生效即成为成员国国内法的一部分,具有直接适用的法律效力,[刘云:《欧洲个人信息保护法的发展历程及其改革创新》,载《暨南学报》2017年第2期,第73页。 京东法律研究院著:《〈一般数据保护条例〉评述及实务指引》,法律出版社2018年版,第16页。]欧 盟域内统一的个人信息保护规则和格局逐步被建立。
第三节 欧盟GDPR法案的创新之举
欧盟GDPR法案从2012年提议至2016年通过,经历了长达四年的改革讨论 时间,其间有许多在《1981年公约》和《1995年指令》之上的创新之举是史无 前例的,变革着数据管理和流通的方式手段,在地域适用范围、权利义务配置、 机构设置、传输机制、罚则等方面对原有立法框架进行了重大调整。大大强化了 作为国家间博弈关键的数据主权力量,具体表现为对内如何对其政权管辖范围内 的数据产生、编辑、处理、传播进行管理和规制,对外如何与其他国家进行数据 交换和流通,如何在国际数据活动中采取有效政策应对来自其他国家的侵犯。对 数据的管理和把控的制度设计,推动全球数据保护立法和欧盟单一数字市场战略 的开展。
一、法律适用范围较过往大幅扩展
欧盟GDPR法案的适用范围较《1981年公约》和《1995年指令》的扩展体现 在三个方面,一为属地管辖权向属人管辖权的扩张,二是责任主体的增多,三是 规制内容上的扩充。
《1995年指令》的管辖权只触及到设立在欧盟或是数据处理设备在欧盟的 数据控制者。如今,GDPR将传统的管辖范围拓展到以“影响主义”为要旨的辐 射范围,不再仅仅依据地域确定管辖权,只要在向欧盟的数据主体提供商品或服 务的过程中收集处理了数据或是对数据主体发生在欧盟的行为实施了监控,无论 是否支付对价,无论是否设立在欧盟,一律都要受GDPR的制约。从属地管辖到 属人管辖的跨越,跨国互联网巨头首当其冲,若坚持对欧贸易则必须被强行纳入 欧盟数据保护法的约束。这也昭示了国际数据保护规则、数字贸易规则正从国家 主体边域到数字主体国际边域延伸的趋势,对现代数字经济时代,数据跨境流动 频繁、超出领土范围的管辖诉求作出了回应。其次,从前责任条款的重点规制对 象主要针对数据控制者,鲜有对数据处理者的规制,如今数据处理者要为控制者 提供协助,并为自身不当的处理行为承担与控制者同等的责任,可以成为索赔对 象。最后,对数据的定义,严格按照“可识别性”进行判断,并扩充列举了个人 信息的内涵,同时增加特定类型个人数据的分类,将部分可揭露数据主体种族、 信仰、基因数据、性取向的相关敏感信息纳入其中。
二、数据主体权利增加
在数据主体权利方面,传统的数据保护立法中,数据主体的同意是数据处理 的基本前提,在GDPR中更是强化了这一原则。有效的同意必须是在被充分告知 情况下,做出的具体、清晰、确定的意思表示,并且该同意是随时可撤销的,侧 面也对数据控制者的采集工作提出了高标准的要求;另外增设了诸如“被遗忘权” (又称“删除权”),数据主体有权基于非必要处理、撤销同意、不合理使用等 主张要求控制者删除或修改其数据;“数据可携带权”,数据主体有权要求控制 者提供可读形式的数据副本,并且实现其数据从一个控制者转移至另一控制者; 对数据画像可行使“反对权”,在《1995年指令》中“免受自动化决策权”的 基础上,细化出数据主体对自动化处理形成“数据画像”并应用的拒绝权;延展 T “知情权”和“访问权”,数据主体有权获知关于自身数据处理的所有进程和 细节,并有权免费获得正在处理中的个人数据的副本。
三、 数据控制者与处理者的责任加重
在《1995年指令》的基础上欧盟GDPR法案将数据的处理者增设为直接、独 立的义务主体。处理者有义务在控制者发出违反法律规定指示的情况下,直接通 知数据主体;处理者违反或没有控制者指示而径行对数据主体的数据进行处理时, 要将其视为控制者论处。在数据控制者和处理者的共同的义务维度里,控制者和 处理者应当对处理活动做完备的纪录;完善数据处理机制,对个人数据进行去标 识化、匿名化处理,从技术层面保障安全性;在必要时,企业需要设立数据保护 官作为与监管机构之间的桥梁,独立履行职责,专司数据处理中的内部监管;当 发生数据泄漏的事项时,72小时内及时履行通知和报告义务。9以上皆为较《1981 年公约》和《1995年指令》的创新之处。并且在法律责任方面,违反数据跨境 流动规则或未经数据主体同意进行的信息采集和处理行为,最高处罚额可达到 2000万欧元或当年全球营业额的4%o
四、 健全数据跨境传输规则
跨境传输机制可通过两种途径予以实现,一是国内立法规则,规范境内数据 外流,设置数据跨境条件;二是通过加入国际条约、签订双边协定的方式,在两 国或多国间针对跨境传输问题形成统一的商榷意见。
《1995年指令》确立了在跨境数据传输中对第三国数据保护水平的评估标 准,被称作“充分性决定”,即只有在某第三国能够确保一定的数据保护水平时 才允许将成员国的个人数据传输至该国。欧盟GDPR法案对此进行了灵活性的改
9 Jocelyn Krystlik, With GDPR, preparation is everything, Computer Fraud& Security,Vol.6,2017, pp.7-8. 进,不仅开放“充分性决定”基础上的传输渠道,还许可了 “受到适当保障”的 传输、“以国际条约为基础的法院判决或行政决定”为基础的传输、“特殊例外 情况下”的传输,以及兜底条款,细化操作准则,囊括各类适用情景。
在双边协定方面,为协调美国主张事后救济、欧盟提倡事前监管的路径分歧, 欧盟与美国在2000年签订《安全港协议》,形成了 “美国一欧盟安全港”框架, 从审查国家数据保护标准挪移到审查相对国公司数据处理能力。但在随后的棱镜 门事件〔°后,美国数据处理机制信任感大幅下降,Schrems案"中,欧盟最高法律 机构一一欧盟法院判决在跨境数据传输中“相等保护水平”意味着第三国必须与 欧盟区域内对基本权利和自由的保护标准实质上相等,由此昭示了作为跨大西洋 数据传输主导机制的“安全港”框架的失效。I?在这之后,美国的大型科技企业 再也不能随意将欧盟的个人数据转移到美国处理了,大多选择在欧盟设立数据中 心。
但为避免对欧美间贸易产生冲击,保全两地数据经济中的商业利益,几经谈 判,达成了欧美《隐私盾协议》,更新了美国的隐私保护义务,也折射出美国对 欧盟数据保护要求的让步,美国所有获得传输资质的公司每年都要经过一次资质 审核,提高了政府在数据访问中的执法透明度,可以有效地减少美国企业在欧盟 域内遭受起诉的法律和政治风险,同时也为欧盟居民在美国数据处理侵权案件中 提供了更多权利救济途径,从多方面提升跨境数据传输中的权利保护力度。
由此,域内立法和双边协定的双重保障,既保证了欧盟跨境数据传输的严密 性和高标准,又不失数据在国际交流间流动的灵活性,为全球数据跨境提供了可 借鉴的先进范式。
10美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际 网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头 皆参与其中。
11Schrems案的原告奥地利公民马克西米安•施雷姆斯于2013年6月就爱尔兰数据保护机构拒绝对 Facebook公司在美国的存储数据的安全保护情况进行检查向爱尔兰高等法院提出申诉。爱尔兰高等法院向 欧盟法院提出咨询。欧盟法院最终认定:欧洲公民的个人数据在美国被大规模地搜集而没有得到应有的保 护。“安全港协议”应被废止。
12Paul M. Schwartz*&Karl-Nikolaus Petfer, Transatlantic Data Privacy law, The Geoggetown law Journal,
Vol.106, 2017, pp.115-160. 〜
第二章 欧盟GDPR法案的质变影响
数据问题本身就是一个多法益集结的复杂体,既包括数据主体对数据的支配 权,又包括数据控制者和处理者对数据的使用收益权,还涉及国家(地区)的数 据主权3所以任何对数据保护的立法都可产生牵一发而动全身的效应。立法的 质变影响在此处代指立法引发的法律效果的彻底翻转,如在某个行业内,因立法 中权利义务的产生或消灭而引发法律关系的变革或法律行为合法到违法、不合规 到合规的具有颠覆性而非渐进性的转变。例如,欧盟GDPR法案出台后,因新设 或细化了某些权利类型,以数据为导向的行业中的权利义务关系发生变化,个别 数据处理行为的法律性质由合法变为非法;在立法层面上对司法审判管辖规则进 行了更新,赋予数据主体就数据保护问题径行提起私人的损害赔偿诉讼的权利, 并且以成文法的方式明确司法管辖权不可转移至欧盟境外;再如在打击网络犯罪 方面,数据隐私保护与通过数据追踪进行犯罪执法二者之间的利益冲突,使得网 络犯罪执法活动亦由合法向违法演变。
第一节数据导向型行业中的权利义务关系更新
欧盟《通用数据保护法案》因适用范围广、保护水平高、处罚力度大等特点 牵动着诸多行业的发展动向,尤其是以跨境数据分析处理为导向的行业首当其冲。 其中关于权利义务的分配机制,迫使全球性的征信行业、电子商务业在GDPR法 案出台后纷纷调整隐私政策,或是暂闭对欧的数据服务器,寻求应对政策、提升 技术服务水平。下文选取征信行业和电子商务行业为例,论述其间权利义务的博 弈和法律行为性质的变化。
一、征信行业的数据处理行为受限
征信是现代金融体系的基础设施,征信的业务都是围绕着数据展开的,是极 能体现数据和财富直接挂钩的行当,因此征信与数据有着天然的联系。
金晶:《欧盟〈一般数据保护条例〉:演进、要点与疑议》,载《欧洲研究》2018年第4期,第1页。
欧盟GDPR法案新增权利类型,如“可携带权”、“被遗忘权”、“反对自 动化特征分析(即'画像')”的权利,对无论是对央行建立还是市场化征信机 构建立的征信系统都产生了前所未有的挑战。数据的交换、“数据可携带权” 都对技术操作和业务开展提出了不低的要求,征信平台之间原是基于“互惠原则” 进行数据交换,现今数据主体被赋予了自主在不同数据平台转移征信信息的权利。 征信机构采集、加工、分析、保存的信息,伴随数据主体“数据可携带权”的行 使,便可以让另一个控制者控制处理并受益,这打破了传统的征信机构的业务路 径,在这个思路下,征信平台的用户对自身数据有多大程度的控制权,移转的方 式和内容是不是可以限制在原始数据而非加工完成的数据,都是征信机构需要斟 酌、向立法机构明确的问题。
在欧盟GDPR法案被通过后,欧洲征信协会强烈建议“被遗忘权”给予征信 机构例外3试想倘若个人可以主张在信用报告中擦除某些信息,定会损害信用 报告的完整度和可信性,对资金提供者的决策造成误导,侵害其知情权。所以对 于该权利的实施也要考虑在征信业进行细化处理,例如规定仅允许遗忘差错数据 或过期数据,否则会违背行业建立为提供真实资讯的初衷。
二、电商行业中运营者的义务增重
对于电子商务行业,因GDPR法案的出台,从前的许多合规运营行为都变成 了违法操作,譬如电子商务中的销售行业,采用大数据算术公式,便可以轻易对 消费者进行数据画像,了解消费者需求,对其进行精准的广告投放或是作为产品 研发设计的源灵感,在GDPR法案的“反对自动化特征分析”的规制下,这一功 能就不能再任意开展;另外,电商平台集结了大量的包含姓名、通讯地址、职业、 家庭背景等在内的个人信息,对于这些数据的不当使用或不完善管理很容易造成 公民隐私信息的泄漏,要求企业的信息安全管理部门要尽职维护信息安全的保障; 另外,GDPR法案对所有的自动化处理行为均予以适用,不拘于采用电子化、结 构化和通用方式实施的处理行为,如此一来,虽然阻断了数据控制者以非通用方
14彭星:《欧盟〈一般数据保护条例〉浅析及对大数据时代下我国征信监管的启示》2016年第9期,第43页。 ^个人信息保护课题组著:《个人信息保护国际比较研究》,中国金融出版社2017年版,第146页。
式处理数据以规避GDPR适用的路径,但同时也大大加重了以非通用方式处理个 人数据的中小企业的义务
第二节对司法审判管辖的影响
该议题涵盖两个方面,一是欧盟居民就数据保护问题直接提起独立的私人损 害赔偿诉讼的权利;另一为对司法审判管辖地的选择。
一、 取消数据保护诉讼前置程序
欧盟GDPR法案明确规定数据主体可以就控制者或处理者的行为向法院提起 私人的损害赔偿诉讼。GDPR法案第79条第1款规定,“如果他认为其在法案项 下的权利被侵害,每个数据主体都有权获得有效的司法救济”,该权利不影响数 据主体可能具有的任何寻求行政救济措施的机会,例如向数据保护行政机构
(Data Protection Authority, DPA)提出投诉。戸同时也不同于《1995年指令》 中要求穷尽所有行政救济后才可寻求司法救济的权利救济思路,可以不经行政程 序直接向法院寻求司法救助。所以,在欧盟GDPR法案下,欧洲成员国居民可以 完全绕过DPA直接对数据控制者、处理者提起损害赔偿诉讼。该项变革彰显了 对欧盟地区数据权利司法保护力度的提升,为数据主体提供了以最快速度取得最 高效力的权利救济的途径。
二、 施雷姆斯与Facebook数据保护案
数据主体认为数据传输侵犯了自身权益的场景里,寻求司法救济时要如何选 择正确的管辖机构,关于司法审判管辖权是否可以转移的问题,欧盟法院的判例 也间接给出了解释。
16张哲:《探微与启示:欧盟个人数据保护法上的数据可携权研究》,载《广西政法管理干部学院学报》2016 年11月第31卷第6期,第46页。
17Article 79(1) of GDPR :"Without prejudice to any available administrative or nonjudicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing ofhis or her personal data in non- compliance with this Regulation^^.
18Lydia Lundstedt, International Jurisdiction Over Cross-border Private Enforcement Actions Under the GDPR, Stockholm F acuity of Law Research Paper Series No.57,2017, p.45.
2013年,奥地利律师兼隐私社会活动家马克斯•施雷姆斯(Maxim订ian Schrems )于Facebook在美国以外的海外运营总部所在地爱尔兰,就阻止 Facebook将个人数据从爱尔兰传输到美国的行为向爱尔兰数据保护委员会投诉, 认为因Facebook美国参与了棱镜计划(Prism)大规模监控项目,未能达到当时 欧盟数据法规所要求的“充分保护”要求,所以不能将数据传输到美国。饭寸 Facebook的系列数据传输行为的审查和裁决持续到2018年。2018年爱尔兰高等 法院决定将系列审查移交给欧盟最高法院,Facebook向爰尔兰最高法院提出申 请,对案件的移交提出上诉,并且请求将案件转回美国的法院审理。但最终爱尔 兰高等法院仍旧下令将此案移交给欧盟最高法院,并且表示并不会因其申请而推 迟欧盟最高法院对案件的审理。欧盟最高法院担心美国法律缺乏与欧盟法律规定 对等的有效救济措施,不能够完备地提供法律解释和法律适用、高标准地保护数 据主体的权利,至今也未做出同意移交美国法院管辖的决定。
三、对司法管辖权的影响
从上述案件的发展脉络中,可以看到欧盟对于隐私权案件的司法管辖权问题 一贯持严格把控且愈发限缩的态度。
首先,在《1995年指令》阶段,司法管辖要以行政救济为前置,行政机构 是欧盟内各成员国的个人信息保护机构,各成员国法院对本国内的行政机构做出 的行政行为有着绝对的管辖权,所以由最初的数据权引发的纠纷最终的管辖权还 是归于欧盟内成员国法院。其次,GDPR法案延续并从法律上强化了这一强势的 司法管辖权。GDPR法案第79条规定,针对控制者或处理者等诉讼应在控制者或 处理者营业地的成员国法院提起,或者在数据主体有经常居住地的成员国法院提 起,除非控制者或处理者是某个成员国行使公权力的公共机构。营业地本来就在 欧盟成员国内的,诉讼管辖权没有争议。而对于营业地设立在欧盟境外,但因为 控制或处理的是欧盟境内居民的数据的,因为其营业地不是成员国,所以不符合 前一管辖指引,只能适用后一“数据主体经常居住地”即欧洲居民的经常居住地
Ia Maximillian Schrems v. Data Protection Commissioner, joined party: Digital Rights Ireland Ltd, Case
C-362/14,at http://curia.europa.eu/juris/documents.jsf?mim=c-362/14, Jan.7,2019.
法院,如此一来,管辖权仍然是归欧盟境内法院所有。不论是依据营业地还是数 据主体经常居住地寻找有管辖权的法院,最后落脚点无论是哪个法院,都必须是 成员国法院,所以审判地被当然地限制在了欧盟境内,不能够移转到欧盟境外。 欧盟当局通过上述规定,将数据保护诉讼案件归于专属管辖范畴,排除当事人基 于意思自治原则所达成的协议管辖。此举的法律效果可以分为两方面,第一,彰 显了欧盟对数据保护水准的绝对要求。根据欧盟GDPR法案的高标准对数据采集、 处理行为进行判断,促使控制者、处理者不断提升数据保护水准,有力地推动欧 盟境内的数据治理走向更加科学规范化的运作模式;第二,不为科技巨头请求将 案件移交欧盟外法院处理、规避法律留丝毫空间。为使高标准的数据保护的要求 落到实处,明确将案件审判、适用法律的环节严格控制在欧盟境内,避免了外国 司法机关在审判中对数据处理中低标准操作的放任,以强势的司法管辖规则宣示 了欧盟的数据主权,也间接地对欧盟数字经济提供了制度上的保护。
第三节对网络犯罪执法产生的负面影响
一、网络犯罪执法机构执法行为受限
GDPR法案下对数据交换、数据处理做出了各类限制,在对数据主体权利进 行全面保护的同时,也为网络保护工作的顺畅进行带来了阻碍,若无法使现有规 则与网络犯罪执法的操作实践很好的衔接,很容易与GDPR保护个体数据隐私的 初衷相去甚远。
在国际间网络犯罪组织的运作中,通常采用共享数据的方式联合打击网络犯 罪,例如,目前充当网络犯罪事件数据交换中心的国际反钓鱼工作组
(Anti-Phishing Working Group, APWG) 一直在微软和众多金融机构之间分享数 百万网络钓鱼站点报告和其他指标,以使得各大平台有充足的信息资源,对恶意 的网络犯罪行为有所防范。如今却面临着GDPR实施后各合作方不敢再共享威胁 数据的棘手问题,因为GDPR法案规定数据在不同控制者间的流通需要取得数据 主体的明示同意或基于其他公共利益的考量,但打击网络犯罪并不在前述公共利 益的列举范围内。再例如,GDPR法案要求对于敏感信息或在信息传输中进行匿 名化处理,此举在发生网络犯罪时,会严重延迟对恶意行为的追踪速度,妨碍网 络犯罪执法的推行。
二、ICANN与域名服务机构合同纠纷案
互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers, ICANN)是一个致力于协调全球互联网标识符系统及其安全稳 定运营的国际组织笃 其管理之下的“Whois”数据库,是一个可以用来查询域名 地址以及所有者信息的数据库。在产生网络攻击、网络犯罪时,可以迅速通过该 数据库的记录追踪滥发信息溯源、关停攻击源域名,提供网络犯罪执法线索,尽 快锁定犯罪主体,因此在全球网络犯罪打击中彰显了不可磨灭的功效。2014年, ICANN与德国域名注册服务机构签订了协议,由该德国机构负责收集网络注册人 个人信息并提供给ICANN。在欧盟GDPR法案颁布后,该德国域名注册服务机构 拒绝向ICANN提供相关的域名信息,因为认为该行为有悖于GDPR的立法规定。 在2018年5月28日即GDPR生效当日,ICANN向德国法院申请颁布初步禁令, 要求禁止与其签署协议的德国域名服务机构拒绝根据协议收集提供域名注册人 的个人信息,主张其采集行为的合法性在于其处理数据是履行合同的必要条件, 并且是为实现制止网络犯罪、保护消费者权益等合法利益所必需。作为抗辩,被 告德国域名服务机构立刻向法院提出收集个人信息合同义务初步禁令的申请,主 张合同中要求其尽力全面收集域名注册人的各类信息的行为违反了 GDPR中的
“最小化收集原则”,是对数据主体的权利的侵犯。最终德国法院驳回了 ICANN 的禁令申请,作出了同意该德国域名服务机构拒绝履行合同义务的法院命令,判 决理由是虽然该德国域名服务机构有义务按照合同收集注册域名的主体的各类 信息,但依德国民法第242条规定的诚信原则,合同义务只在与适用法律的规定 相一致的情况下才须被遵守,而该合同中所约定的收集、处理行为超过了 GDPR 所允许的限度,与GDPR第5条第1款(C)项即最小化处理原则相违背,所以该 合同可以不被遵守。
20ICANN Bylaws Article One, Section 1.1,
Mission. at:https://www.icann.org/resomces/pages/govemance/bylaws-en/#articlel Jan. 7,2019
可见,在GDPR法案颁布后,该类数据库作为网络犯罪执法的重要工具受到 极大牵制。没有通过此类数据库轻松定位查找黑客或其他恶意犯罪主体的权限, GDPR所设定的新规则极可能会削弱犯罪打击力度,致使网络犯罪、欺诈行为的 激增。因此,若GDPR法案不存留一些额外空间,设立个别但书条款来为打击网 络犯罪的数据库提供合法存续的依据,虽有共同维护网络空间安全稳定的理念, 也会使致力于打击网络犯罪的组织举步维艰,潜在地为互联网罪犯提供犯罪的便 利,对互联网整体安全产生负面影响。
第三章 欧盟GDPR法案的量变影响
此处的量变影响旨在说明GDPR法案以一种渐进性、和缓推进的方式在法律 层面发生的作用。基于欧盟地区的数字经济实况及对全球数据保护前景的合理预 判,GDPR法案具备较强的科学性和一定的超前性,为世界范围内的国家提供了 通用数据保护法的立法范式,在立法技术上给世界上其他国家提供指引,例如其 扩大域外效力的条款、数据跨境传输的规则皆带动了全球数据保护的立法的发展, 并在客观上增强了民众对个人信息保护的法律认知。
第一节扩大数据保护法律域外效力成为普遍共识
一'数据保护法案的域外适用效力
欧盟GDPR法案使得全球瞩目的一个突出原因是法案的域外适用效力,在原 有基础上继续扩大适用范围,是对当今以及未来世界信息经济发展的合理预判, 随之带来的是一个国家的执法机构对世界范围内更广泛的数据管辖权。该做法既 有效保护了数据主体的权利,又强化了国家的数据主权,但同时也给其他国家带 来了公民个人信息安全保障的隐患,必然地与其他国家的数据主权和法律适用产 生冲突。
从国家数据安全的角度考量,如若其他国家设置了该域外适用条款,而本国 没有该条款予以制衡,很大程度上会在数据经济竞争中处于弱势地位,也对本国 的公民个人数据安全形成威胁。因此随着欧盟GDPR法案的生效,越来越多国家 尝试或已经设立域外适用条款,以扩大法律的地域适用范围,保障数据主体的信 息权利,避免本国处于数据经济竞争中的被动地位。这个理念逐渐成为了普遍共 识。同时,法律域外效力的扩张可以通过不同的形式作用在数据控制者、处理者 或数据本身上,既可以通过管辖境内机构将法律长臂延伸到机构控制的境外数据, 也可以通过对境外的本国数据主张数据主权达到对境外机构的限制。
二、各地数据保护法律域外适用条款
欧盟在GDPR法案的第3条中对法案适用的地域范围作出了规定。其中第1 款提到“本条例适用于设立在欧盟境内的控制者或处理者对个人数据的处理,无 论其处理行为是否发生在欧盟境内”,此处的规制对象指向营业场所或营业机构 在欧盟境内的企业。并且此处的营业机构应当作广义解释,涵盖公司法人以及其 子公司、分公司等机构形态,如此一来,法案对境内营业机构建立了绝对的法律 适用标准,一旦认定其为欧盟境内营业机构,其所控制与处理数据的行为都需要 遵循GDPR的数据处理标准。例如,如果一家中国的企业在欧盟开设了一个营业 机构,即便在该企业内收集的是中国国民的个人数据,且此数据由一家巴西的机 构负责处理,同样控制与处理行为都要受到欧盟GDPR法案的规制。
2013年美国司法部因调查一起毒品走私案件,向法院申请了搜查令,要求 微软提供与该案件相关的、存储在爱尔兰服务器上的电子邮件信息。微软认为此 举不具备法律依据,并且会侵犯客户的隐私信息,遂就该搜查令提起上诉。美国 司法部认为作为检方,有权要求企业提供相关数据,最终微软公司与美国司法部 就境外数据隐私权问题争执到美国最高法院。针对该问题的立法空白,在微软的 倡议下,美国国会于2018年制定了《澄清境外数据合法使用法案》(又称“《云 法案》”),为美国执法机构获取存储在海外服务器上的数据提供了法律基础。 自此,无论数据的存储位置和创立地点在何处,美国可以凭借该法案从分布在世 界各处的美国企业服务器中调取本国公民的个人数据,不可否认的是通过扩张域 外效力,美国政府加强了对本国公民数据的监视。
2016年7月,新加坡个人数据保护委员会发布《关于个人数据保护法中重 要概念的建议指南》,其中第11条的第1款规定,如果个人数据是在境外收集, 即数据来源于境外,随后被传输至新加坡境内,那么在新加坡境内处理境外数据 的行为同样应当受到新加坡法案的约束铁扩展了法案对境外数据的管辖权。
结语
在数字经济高速发展,各国愈发注重数据保护法律建设的背景下,欧盟GDPR 法案旨在提高境内数据主体权利的保护力度,维护数据环境安全有序,为全世界 范围内的国家提供了先进的立法范本。笔者从欧盟GDPR法案立法的质变和量变 影响切入,剖析该法案的立法效果,并以此发觉其中创新之处和可借鉴规则,最 终落脚到中国的数据保护立法之中。
通过对欧盟GDPR法案中法律条文的分析和论述,笔者认为在我国具体的数 据保护立法中,应当在权利义务设置、司法管辖权、法律域外适用效力、数据跨 境传输规则方面做出积极应对。
第一,细化先进的数据主体权利,结合我国国情辩证地进行法律移植;第二, 设立数据保护法律的域外适用条款,以属地原则为基本规定,辅之扩张域外效力 的适用情形,以防在国际竞争中处于被动地位;第三,明确个人信息跨境传输规 则,设立数据传输“白名单”,保护本土数据安全的同时鼓励数据在国际间流动、 协同发展;第四,建立数据权利民事诉讼司法管辖规则,设置行政申诉前置程序, 对行政裁决不服的可起诉至行政机构所在地的基层人民法院,并且考虑到数据权 利具有财产权和人格权双重属性,数据主体可以选择在侵权行为地或其经常居住 地寻求权利救济。
总之,面对日益激烈的数字经济竞争和各国数据保护法律制度日益完善的情 况,我国应当深入分析先进数据立法的前沿规则和立法影响,采取积极的应对策 略,提高对个人数据的立法保护水平,推动立法的进一步完善和深化。