歐洲個人信息保護法的發(fā)展歷程及其改革創(chuàng)新

劉 云

(中國政法大學 比較法學研究院， 北京 100088)

歐洲個人信息保護法的發(fā)展歷程及其改革創(chuàng)新

劉 云

(中國政法大學 比較法學研究院， 北京 100088)

歐洲個人信息保護法起源于隱私權(quán)，與信息技術(shù)的產(chǎn)生和發(fā)展緊密相連。在歐盟個人信息保護法的發(fā)展歷程中，經(jīng)歷了分別以《1981年個人信息保護公約》為主要表現(xiàn)形式、《1995年個人信息保護指令》為主要表現(xiàn)形式、《歐盟一般個人信息保護條例》和《2016年刑事犯罪領(lǐng)域個人信息保護指令》為主要表現(xiàn)形式的三個階段，最終提高了歐洲個人信息保護法律的協(xié)調(diào)一致水平和深度。在2016年頒布的兩個個人信息保護法規(guī)文件中，歐盟改革創(chuàng)新了個人信息行政管理機制，全面保障了個人對其信息的控制權(quán)，重新分配了信息控制者、處理者之間的義務(wù)和責任，完善了信息跨境和刑事活動領(lǐng)域的特殊信息保護規(guī)則。通過該改革創(chuàng)新，歐盟旨在協(xié)調(diào)統(tǒng)一各個成員國的法律，提高個人信息的保護力度，為信息技術(shù)和經(jīng)濟的發(fā)展提供制度保障，這對于中國的個人信息保護法制定提供了良好的參考借鑒。

個人信息； 歐盟； GDPR； 信息控制

個人信息保護在中國是一個長期沒有得到有效改進的社會難題，目前已經(jīng)形成了一條繁榮的個人信息產(chǎn)業(yè)鏈，由此導致公民的信息安全感普遍較低。2016年下半年，山東、廣東等地連續(xù)發(fā)生三起學生遭電信網(wǎng)絡(luò)詐騙案件，導致受害人猝死或自殺，這一連串的案件引起了輿論的熱議，也促使有關(guān)部門對困擾了民眾多年的電信網(wǎng)絡(luò)詐騙案件的高度重視。經(jīng)過官方的特別關(guān)注，上述三起案件得以破獲，28名犯罪嫌疑人落網(wǎng)。然而，悲劇發(fā)生的根本原因在于采集公民個人信息的一些部門、單位沒有承擔起應有的信息管理責任，信息泄露后也未承擔法律責任。對于我國的這一問題，學界很早就認為歐盟的個人信息保護立法具有極高的參考借鑒意義。本文結(jié)合歐盟個人信息保護法的發(fā)展歷程，充分挖掘2016年的改革創(chuàng)新內(nèi)容，以期為我國全面了解歐盟個人信息保護法并作出準確的參考借鑒提供指引。

一、歐洲個人信息保護法的發(fā)展歷程

(一)以公約為主要表現(xiàn)形式的發(fā)展階段

歐洲個人信息的保護最初起源于個人的住宅等傳統(tǒng)隱私信息的保護，屬于公民所應當享有的、不可剝奪的基本人權(quán)之一。Bartosz M. Marcinkowski，“Privacy Paradox(es): in Search of a Transatlantic Data Protection Standard”， ，Vol.74,No.6，2013，pp.1188-1189. 第二次世界大戰(zhàn)后，世界各國(尤其是歐洲國家)認為有必要保護個人隱私以避免遭受類似法西斯的迫害。為此，1948年《世界人權(quán)宣言》、1966年《公民權(quán)利和政治權(quán)利國際公約》均將個人的隱私權(quán)作為基本權(quán)利寫入公約。1950年頒布的《歐洲人權(quán)公約》第8條規(guī)定：“任何人享有私人、家庭生活及其住宅被尊重的權(quán)利。”這被認為是歐洲第一代個人信息保護法。在此階段，個人信息的收集和擴散規(guī)模都比較有限，即使發(fā)生個人信息泄露，其產(chǎn)生的損害也是有限的，通過傳統(tǒng)的侵權(quán)責任法規(guī)則即可解決。

20世紀60年代開始，信息技術(shù)的推廣使得政府部門和企業(yè)開始通過電子方式收集和處理個人信息。信息技術(shù)和電子計算機提高了個人信息收集的威力和速度，創(chuàng)造了難以想象的個人信息比對、匹配、分析、使用和公開方式，Yee Fen，“The Data Protection Paradigm for the Tort of Privacy in the Age of Big Data”， ，Volume 27，2015，p.790. 個人信息獨立的經(jīng)濟價值也日益凸顯。20世紀70年代，歐洲理事會已經(jīng)意識到：有必要對可預期的個人信息收集和處理活動進行提前規(guī)制，從而保護公民的個人生活。歐洲理事會的部長委員會開始通過一些決議，建立基本原則和標準化指南，在各個成員國內(nèi)推動個人信息的保護。其中，德國黑森州早在1970年就頒布了《信息保護法》，英國也在1984年頒布了專門的《信息保護法》。1981年1月28日，歐共體的成員國在法國斯特拉斯堡市簽訂了《關(guān)于自動化處理的個人信息保護公約》(以下簡稱《1981年個人信息保護公約》)，第一次嘗試在歐洲層面建立統(tǒng)一的個人信息保護法律制度。該公約確立的個人信息保護法范圍直到2016年的改革中依然得到保留，即歐盟個人信息保護法的調(diào)整對象是容易引起大規(guī)模信息泄露的自動化信息處理活動，日常生活中非專業(yè)個人信息機構(gòu)或自然人不當處理個人信息而發(fā)生的糾紛不適用個人信息保護法。此外，該公約對個人信息的概念、保護原則和跨國傳輸?shù)茸隽顺醪揭?guī)定，其面向歐共體成員國和周邊非成員國開放，截至2016年已經(jīng)獲得了所有歐盟成員國和三個非成員國的批準。然而，上述公約在1989年底只獲得7個歐共體成員國的批準，意大利、荷蘭、比利時、葡萄牙等國遲遲未批準該公約，而已經(jīng)批準生效的成員國均沒有建立配套的國內(nèi)實施法規(guī)。

總而言之，歐盟個人信息保護法的第一個階段確立了個人信息保護法的獨立地位，將自動化處理的信息保護問題從普通民事法中獨立出來。目前，我國有學者認為，應擯棄“電腦處理”的限制，而將手工處理的個人信息納入保護范圍，走技術(shù)中立的道路，不以處理個人信息的技術(shù)而為取舍標準。筆者認為這種觀點沒有完全理解個人信息保護法產(chǎn)生的技術(shù)背景，因此是值得商榷的，對于普通的信息問題交給民事侵權(quán)法即可處理。與此同時，在以公約為主要表現(xiàn)形式的歐洲個人信息保護法階段，提高了歐共體各國的個人信息保護法律認知，但是歐共體成員國貫徹落實公約的積極性弱，是否批準加入公約以及如何實施公約取決于各國的自由選擇，因多數(shù)成員國沒有根據(jù)公約的內(nèi)容制定個人信息保護的國內(nèi)法，最終導致公約的實際效果大打折扣。

(二)以指令為主要表現(xiàn)形式的發(fā)展階段

《1981年個人信息保護公約》簽訂后未取得良好的預期效果，各國的信息保護法發(fā)展差異同時也對歐洲市場的通訊設(shè)備和服務(wù)發(fā)展等構(gòu)成貿(mào)易障礙，歐洲委員會遂決定起草一個指令以提高歐洲個人信息保護法律的統(tǒng)一程度。Colin Tappert，“New European Directions in Data Protection”， ，Vol.3,No.1，1992，p.15. 為此，歐洲委員會在1990年向歐洲理事會提交了一份《關(guān)于保護共同體個人信息及信息安全的指令草案》，該“指令草案”正式開始了歐洲信息保護法律制度一體化的進程。

1995年，歐盟正式頒布《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢?以下簡稱《1995年個人信息保護指令》)。該指令目標有兩個：一是推動個人信息受到保護的基本權(quán)利在各成員國得到貫徹落實，二是保障各項信息在成員國間依法自由傳輸?！?995年個人信息保護指令》是歐盟個人信息保護法發(fā)展的一個里程碑，各個成員國到1998年時均根據(jù)該指令頒布了各自的個人信息保護法。與此同時，《1995年個人信息保護指令》設(shè)置了專門的個人信息保護研究機構(gòu)和行政機構(gòu)，包括：“第29條工作組”(The Article 29 Data Protection Working Party)，是負責持續(xù)跟蹤研究和報告歐盟個人信息保護發(fā)展狀況的獨立研究機構(gòu)，為此后的個人信息保護法改革發(fā)揮了重要作用；歐洲信息保護監(jiān)督局(European Data Protection Supervisor，EDPS)，是專門負責個人信息保護事務(wù)的歐盟獨立行政機構(gòu)，歐盟公民的個人信息受保護權(quán)利被侵害時可以直接向EDPS投訴，EDPS可以對有關(guān)情況進行聽證和調(diào)查處理；歐洲委員會信息保護官(European Commission’s Data Protection Officer)，是在歐盟各組成機構(gòu)中任職的獨立信息保護專員，與EDPS密切合作以保障歐盟各組成機構(gòu)在工作中保護公民的個人信息權(quán)利不受侵犯。此外，歐盟各成員國也設(shè)立了信息保護局(National Data Protection Authorities)，屬于歐盟個人信息保護法的各區(qū)域執(zhí)法機構(gòu)。這些研究和行政機構(gòu)為歐盟個人信息保護法的繁榮奠定了實體基礎(chǔ)。

值得一提的是，《1995年個人信息保護指令》作為“指令”形式的歐盟法，其僅僅適用于歐盟成員國，不能直接適用于歐盟的公民。為此，歐洲議會和歐洲理事會于2001年頒布了《關(guān)于歐盟公共機構(gòu)及其組成部門處理個人信息過程中保護個人信息權(quán)利及相關(guān)信息自由傳輸條例》。此外，在《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢芬延幸?guī)定的領(lǐng)域，歐盟也制定了一些指令來細化相關(guān)規(guī)則。例如，2002年頒布了《關(guān)于在電子通訊行業(yè)處理個人信息和保護個人隱私的指令》，2006年頒布了《關(guān)于在電子通訊服務(wù)、大眾傳媒網(wǎng)絡(luò)行業(yè)產(chǎn)生的個人信息存儲和公共機構(gòu)調(diào)取指令》，2008年頒布了《關(guān)于在犯罪問題方面的個人信息保護和司法合作的政策框架》。

在指令實施過程中，歐盟各成員國在將《1995年個人信息保護指令》轉(zhuǎn)化為國內(nèi)法時很容易采取不同的解釋和選擇。其中，德國甚至因為長期未有效將《1995年個人信息保護指令》轉(zhuǎn)化為國內(nèi)法而一度遭遇歐盟的起訴。指令的這種實施狀況產(chǎn)生了許多法律規(guī)則上的矛盾和沖突，增加了歐盟個人信息保護法律制度的復雜性、不確定性，徒增了許多行政成本，乃至影響了歐洲消費者的信心和歐洲經(jīng)濟的競爭力。同時，《1995年個人信息保護指令》是在互聯(lián)網(wǎng)發(fā)展初級階段制定的，許多今天普遍流行的互聯(lián)網(wǎng)服務(wù)和挑戰(zhàn)尚未出現(xiàn)，例如社交網(wǎng)站、云計算、定位服務(wù)、智能卡，個人信息的處理活動以指數(shù)級的速度增長。因此，歐盟需要制定更加強有力的制度來保障《歐盟基本權(quán)利憲章》所確定的基本權(quán)利之一——個人信息得到保護的權(quán)利在數(shù)字化時代依然有效。歐盟認為，這種對基本權(quán)利的保護也會促進數(shù)字經(jīng)濟的發(fā)展。

總而言之，《1995年個人信息保護指令》推動了個人信息保護工作機構(gòu)和職責的專門化，這一工作重視高度在我國的今天依然沒有實現(xiàn)。此外，“指令”對歐盟成員國具有直接約束力，成員國需要將指令轉(zhuǎn)化為國內(nèi)法并予以實施，由此推動了歐盟各個成員國制定和頒布專門的個人信息保護法。但是，各個成員國在轉(zhuǎn)化指令時依然擁有較大的自由選擇權(quán)利，同時該指令不能直接適用于歐盟的公民和企業(yè)，由此造成各個歐盟成員國形成了參差不齊的個人信息保護制度區(qū)塊。

(三)以條例和指令為共同表現(xiàn)形式的發(fā)展階段

《1995年個人信息保護指令》頒布之時，互聯(lián)網(wǎng)尚未得到廣泛應用。在1993年，歐洲互聯(lián)網(wǎng)存儲的個人信息僅僅占到整個電子通訊信息的1%，而現(xiàn)在已經(jīng)增長到了97%，且互聯(lián)網(wǎng)經(jīng)濟繼續(xù)在以指數(shù)級的速度發(fā)展。每天都有大量的個人信息被收集，個人信息已經(jīng)成為許多公司掌握的最有價值的資產(chǎn)之一，而許多人經(jīng)常沒有意識到其個人信息正在被收集。盡管許多歐洲人已經(jīng)認可在現(xiàn)代生活中披露部分個人信息是必要的，但是仍然有72%的歐洲互聯(lián)網(wǎng)用戶擔心其被收集太多的個人信息。他們感覺到對其信息的收集和傳播無力把控，對個人信息將被用于何種目的和傳播給誰也無從知曉。在很多時候，他們不知道如何行使自己的權(quán)利。Special Eurobarometer 359 - , June 2011, p. 54. available at http:∥ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. 由于缺乏對個人信息保護制度的信心，許多歐洲消費者對于大量的互聯(lián)網(wǎng)交易(尤其是跨國互聯(lián)網(wǎng)交易)保持著不完全信任態(tài)度。據(jù)統(tǒng)計，在2014年，3/4的歐洲人是互聯(lián)網(wǎng)用戶，但僅僅有15%的人曾經(jīng)做過跨國網(wǎng)絡(luò)交易。同時，只有7%的中小企業(yè)開展跨國網(wǎng)絡(luò)銷售業(yè)務(wù)。因此，構(gòu)建網(wǎng)絡(luò)信用環(huán)境也成為促進歐洲經(jīng)濟增長的一個重要措施。同時，個人信息保護法發(fā)展的滯后使得歐洲消費者對各類新型互聯(lián)網(wǎng)服務(wù)的接受程度下降，進而減緩了歐洲新技術(shù)創(chuàng)新的速度。麥肯錫全球研究所的研究也顯示：歐盟各成員國數(shù)字產(chǎn)業(yè)潛力平均開發(fā)利用率僅僅為12%，同時歐盟各成員國的數(shù)字產(chǎn)業(yè)潛力開發(fā)情況也未實現(xiàn)均衡發(fā)展。因此，個人信息保護法在歐洲的大數(shù)據(jù)時代和《歐洲2020戰(zhàn)略》中也具有關(guān)鍵的地位。

在充滿新挑戰(zhàn)的新信息環(huán)境下，舊法既不能滿足協(xié)調(diào)各國信息保護法的目的，也不能有效保護個人的基本權(quán)利和自由。歐盟內(nèi)不同國家執(zhí)行不同的個人信息保護法造成了一些不利后果：第一個直接的不利后果就是不同國家的歐洲公民的個人信息收到保護的水平不一致，一些歐盟國家公民的個人信息保護水平低于其他歐盟國家的公民。第二個直接的不利后果就是，企業(yè)在歐盟范圍內(nèi)經(jīng)商時不得不去了解和遵守28個不同國家的個人信息保護法。Sohin Gautam，“21st Century Problems: Will the European Union Data Reform Properly Balance Its Citizens’ Business Interests and Privacy Rights?”， ，Vol. 21，2014，p.198. 2010年，歐洲委員會向歐洲議會和歐洲理事會提交的《為歐洲公民傳遞自由、安全和公正：實施斯德哥爾摩行動計劃》中，就明確提出要制定一個綜合性的歐洲個人信息保護計劃，確保歐盟范圍內(nèi)個人信息保護的協(xié)調(diào)一致。

為了以公開透明的方式準備歐洲個人信息保護框架的改革工作，自2009年開始，歐盟組織了多次公眾意見征詢，并加強了與利益相關(guān)者的對話。在2010年11月4日，歐洲委員會向歐洲議會和歐洲理事會提交了一個《歐盟個人信息保護綜合方案》，確定了歐盟個人信息保護法改革的基本框架。在2011年9月至11月，歐洲委員會分別與歐盟各成員國的個人信息保護機關(guān)、歐盟個人信息保護監(jiān)督機構(gòu)探索了建立更加協(xié)調(diào)一致的歐盟個人信息保護規(guī)則的方向。這些準備工作發(fā)現(xiàn)，歐盟的公民和企業(yè)均希望以綜合性的方式改革歐盟現(xiàn)行個人信息保護法。經(jīng)過對各類可選政策的影響效果評估，歐洲委員會決定起草一個條例，取代《1995年個人信息保護指令》(Directive 95/46/EC)，建立歐盟個人信息保護的一般框架；起草一個指令，代替2008年頒布的《關(guān)于在犯罪問題方面的個人信息保護和司法合作的政策框架》(Framework Decision 2008/977/JHA)，建立有關(guān)刑事犯罪預防、發(fā)現(xiàn)、調(diào)查起訴及相關(guān)司法活動中處理個人信息時的信息保護規(guī)則。

2012年1月，歐洲委員會正式發(fā)布《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)臈l例》(草案)，和《關(guān)于有權(quán)機關(guān)為了預防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》(草案)。2015年12月15日，歐洲議會、歐洲理事會和歐洲委員會共同對歐洲個人信息保護法改革及建立單一數(shù)字市場達成一致協(xié)議，歐洲議會民權(quán)委員會和歐洲理事會常駐代表委員會隨后分別以絕大多數(shù)表決通過了上述協(xié)議。2016年4月8日、14日，歐洲理事會和歐洲議會分別表決通過了《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)臈l例》(歐盟官方簡稱為《歐盟一般個人信息保護條例》，GDPR)、《關(guān)于有權(quán)機關(guān)為了預防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》(以下簡稱《2016年刑事犯罪領(lǐng)域個人信息保護指令》)。2016年5月4日，該條例和指令分別發(fā)布在《歐盟官方公報》，條例于2016年5月24日生效并于2018年5月25日正式實施，指令于2016年5月5日生效并需要求各成員國在2018年5月6日轉(zhuǎn)化為國內(nèi)法予以實施。

總而言之，2016年的改革創(chuàng)新確立了信息大數(shù)據(jù)時代個人信息保護的新要求。此次頒布的條例無須歐盟成員國轉(zhuǎn)化為國內(nèi)法而直接實施，即可以直接適用于歐盟范圍內(nèi)的公民和企業(yè)?！稓W盟一般個人信息保護條例》通過后將在歐盟28個成員國之間建立一個統(tǒng)一的個人信息保護和流動規(guī)則，同時將取代歐盟成員國的相關(guān)國內(nèi)法，實現(xiàn)“一個大陸、一部法律”的個人信息保護制度新局面，為歐盟范圍的企業(yè)創(chuàng)造更加便捷和低廉的營商環(huán)境。與此同時，《2016年刑事犯罪領(lǐng)域個人信息保護指令》則對各個成員國公共機構(gòu)利用個人信息處理刑事犯罪問題提供了便利和必要的限制，從而平衡個人信息受保護的基本權(quán)利和公共安全得到保障的實際需要。

二、構(gòu)建新型個人信息行政管理機制

在大數(shù)據(jù)時代下加強信息管理及其個人信息權(quán)利保護日益迫切，在中國目前的行政管理中就有必要設(shè)立專門的機構(gòu)、人員負責信息管理、保護和風險控制工作，歐盟的相關(guān)經(jīng)驗可以為此提供有益參照。歐盟及其成員國均建立了專門的個人信息保護機構(gòu)，負責個人信息保護的協(xié)調(diào)和行政管理、執(zhí)法工作。2016年發(fā)布的GDPR，從管理機構(gòu)、管理模式和管理方法三個方面對個人信息保護行政執(zhí)法機構(gòu)的管理方式做了改革創(chuàng)新。

(一)設(shè)立歐洲信息保護委員會并升級歐洲信息保護局工作戰(zhàn)略

根據(jù)GDPR第68條規(guī)定，特別設(shè)立歐洲信息保護委員會(European Data Protection Board)，其成員由各成員國個人信息保護行政機構(gòu)首腦或者其代表和歐洲信息保護監(jiān)督局首腦或其代表組成，委員會的秘書處由歐洲信息保護局擔任。歐洲信息保護委員會將取代《1995年個人信息保護指令》設(shè)立的“第29條工作小組”，負責在較高層面發(fā)布有關(guān)個人信息保護的意見、指南，并具體協(xié)調(diào)一站式管理機制等工作。歐洲信息保護委員會的設(shè)立，將有效提升歐洲信息保護局的權(quán)力，Christopher Kuner，“The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law”， , Vol.6,2012，p.20. 確保GDPR在各個成員國的統(tǒng)一適用，并及時向歐洲委員會報告GDPR的實施情況。為了保障“第29條工作小組”向“歐洲信息保護委員會”順利過渡，“第29條工作小組”早在2016年2月就發(fā)布了《2016年實施GDPR行動計劃》。該計劃提前列明了四項優(yōu)先準備工作，分別是：(1)組建歐洲信息保護委員會；(2)做好歐盟成員國內(nèi)一站式管理和協(xié)調(diào)機制的準備工作；(3)發(fā)布信息控制者、處理者實施GDPR指南；(4)做好歐洲信息保護委員會與其他歐盟組成機構(gòu)之間的聯(lián)絡(luò)和協(xié)調(diào)工作。

此外，為了應對GDPR頒布背景下的個人信息保護工作挑戰(zhàn)，歐洲信息保護監(jiān)督局早在2015年就發(fā)布了《歐洲信息保護局戰(zhàn)略(2015—2019)》。該戰(zhàn)略比較全面地提出了歐洲個人信息保護的工作方向，以應對大數(shù)據(jù)時代的經(jīng)濟和社會發(fā)展需要。在該戰(zhàn)略中，歐洲信息保護監(jiān)督局提出了三大項重點計劃：其一，信息保護工作信息化。主要內(nèi)容包括通過技術(shù)手段提高信息和隱私保護水平；通過多學科交叉解決政策難題，增加大數(shù)據(jù)處理的透明度。其二，建立全球合作關(guān)系。主要內(nèi)容是在人權(quán)問題合作的高度推動信息保護工作，在各項貿(mào)易等國際協(xié)議談判中堅持歐盟信息保護法的基本原則，在國際舞臺上保持歐盟內(nèi)部意見的一致性。其三，掀開歐盟信息保護的新篇章。主要內(nèi)容是，采納和實施最新的歐盟個人信息保護規(guī)則，增加歐盟機構(gòu)在有關(guān)信息保護問題上的聲明義務(wù)，積極制定更加可靠和正式的信息保護政策，促進個人信息保護和社會安全維護的良性對話。

(二)建立歐盟內(nèi)個人信息保護一站式管理服務(wù)模式

根據(jù)《1995年個人信息保護指令》的要求，歐盟各成員國均需要設(shè)立至少一個個人信息保護的行政主管機構(gòu)，這加強了個人信息保護水平，同時也對歐盟內(nèi)跨國經(jīng)營機構(gòu)造成多重監(jiān)管的負擔和成本。GDPR為了構(gòu)建一個高度統(tǒng)一的信息保護政策，特別創(chuàng)新設(shè)立了一站式管理服務(wù)(One-Stop-Shop)模式。據(jù)此，歐盟內(nèi)的多個成員國之間開展個人信息處理活動的企業(yè)無須分別面向各個成員國履行申報等監(jiān)管服從義務(wù)，而是通過主要經(jīng)營地(main establishment)的個人信息保護行政主管機關(guān)按照一站式管理服務(wù)實現(xiàn)集中高效監(jiān)管。

早在2012年5月，歐洲委員會副主席Viviane Reding介紹GDPR的草案時，一站式管理就是其重點介紹的創(chuàng)新內(nèi)容之一。這種監(jiān)管方式提高了法律確定性并減少了行政成本，也是有效平衡信息控制者統(tǒng)一管理和信息主體救濟需求的有效途徑，Kolah A, Foss B. “Unlocking the Power of Data under the New EU General Data Protection Regulation”, , , Vol.16,No.4,2015,pp.270-274. 預計每年可以為歐盟內(nèi)的企業(yè)節(jié)約23億歐元的成本。然而，最初提議的一站式管理模式被認為過于簡化，過多地剝奪了相關(guān)國家的監(jiān)管權(quán)力。2014年1、2月和2015年2、3月分別就一站式管理機制問題舉行了多次討論，歐盟理事會主席于2015年3月9日向理事會做了“一站式管理機制”的專題報告。經(jīng)過反復協(xié)調(diào)與妥協(xié)，在2016年最終發(fā)布的GDPR規(guī)則中，構(gòu)建了一個包含領(lǐng)導機構(gòu)(Lead Authority)和相關(guān)機構(gòu)(Concerned Authorities)共同協(xié)作的詳細的一站式管理規(guī)則，其中主要經(jīng)營地所屬個人信息保護行政機構(gòu)為領(lǐng)導機構(gòu)，其他非主要經(jīng)營地所屬個人信息保護行政機構(gòu)為相關(guān)機構(gòu)。根據(jù)GDPR第60條的規(guī)定：領(lǐng)導機構(gòu)與相關(guān)機構(gòu)需要保持密切合作和信息共享，領(lǐng)導機構(gòu)的監(jiān)管活動應當及時通告相關(guān)機構(gòu)，相關(guān)機構(gòu)則在緊急情況下有權(quán)對其領(lǐng)土內(nèi)的主體采取適當?shù)拇胧?。一站式管理具體實施效果如何，還有待實踐的檢驗和觀察。

(三)實施風險等級差異化管理方法

歐盟個人信息保護法的改革建立了嚴厲的個人信息保護制度。美國駐歐大使William Kennard 認為歐洲的個人信息保護法正在走向孤立，其嚴格的事前保護政策將不利于信息的交流。谷歌公司全球隱私保護事務(wù)法律顧問Peter Fleisher指出：我們將默默地看到歐洲在其自己后花園固步自封，而歐洲之外的世界則將別有洞天、創(chuàng)新不斷。為了在一定承擔上反映歐盟個人信息保護的寬嚴相濟政策，GDPR實施了風險等級差異化管理方法(risk-based approach)，也即，對個人信息處理活動可能存在的風險進行評估，依據(jù)評估等級作出不同程度管理要求的方法。

事實上，風險等級差異化管理方法不是GDPR新創(chuàng)的概念，在《1995年個人信息保護指令》第8、17、20條的一些規(guī)定就體現(xiàn)了風險等級差異化管理理念。但是，GDPR全面貫徹了風險等級差異化管理方法，在條例的各個方面依據(jù)風險等級差異對信息控制者、處理者的義務(wù)和責任作出不同的要求。具體而言，GDPR將個人信息處理活動的風險劃分為較高風險、一般風險、較低風險三類。對于高風險，GDPR第35條要求信息控制者開展此類活動前做影響評估(Impact Assessment)，第36條要求信息控制者開展此類活動前向信息保護局咨詢，第34條則要求出現(xiàn)較高風險損害的信息泄露時應當報告和通知信息保護局和每一個信息主體。對于一般風險、較低風險，GDPR適當降低或部分免除了控制者、處理者的責任義務(wù)。然而，GDPR對于風險的定義和風險等級劃分標準沒有作出明確規(guī)定，僅僅是通過具體條文的舉例來說明部分活動的風險等級。例如，根據(jù)GPDR第35條的規(guī)定，當計劃開展一個新的涉及信息處理的業(yè)務(wù)時(例如采用新的技術(shù))，如果基于該業(yè)務(wù)的性質(zhì)、范圍、目的或內(nèi)容因素可能對信息主體產(chǎn)生較高的風險，則信息控制者必須首先做一個影響評估。采取風險等級差異化管理方法有利于遵循責任風險對稱原則，在高風險時對信息控制者、處理者作出高責任要求，在一般和較低風險時作出相適應或較低的責任要求，避免給非高風險控制者、信息者施加過重負擔。不過這種差異對待的方法也可能損害信息主體的利益，因此“第29條工作小組”特別聲明：信息主體的權(quán)利在任何風險等級下是完全一致的，控制者和處理者基于不同風險等級而履行不同義務(wù)時均需要保障個人的信息得到全面的保護。由此可知，信息控制者和處理者在任何情況下都不能損害個人的信息權(quán)益，只是在較高風險等級下要承擔更多的事前預防義務(wù)。

三、全面保障個人對其信息的控制權(quán)

在這個新的信息時代，我們無時無刻不在創(chuàng)造自己的信息足跡，大量個人信息的開放催生了不少新興產(chǎn)業(yè)，但這也導致我們?nèi)找鎲适Я藗€人信息的控制權(quán)。據(jù)Eurobarometer調(diào)查統(tǒng)計，67%的歐洲人認為他們對網(wǎng)上信息沒有完全的控制權(quán)，并擔心這種信息控制權(quán)的不匹配容易導致個人信息泄露。European Commission， ： 386，June 2012，p.7.available at http:∥ec.europa.eu/public_opinion/archives/ebs/ebs_386_en.pdf. 為此，適當保障個人信息的控制權(quán)有利于避免信息的失控發(fā)展，歐洲就此建立的嚴厲信息控制制度打造了秩序井然的網(wǎng)絡(luò)社會。本次歐盟個人信息保護法改革，力圖通過完善和細化個人信息權(quán)利，從而實現(xiàn)全面保障個人對其信息的控制權(quán)。GDPR第3章在現(xiàn)有立法、實踐經(jīng)驗和權(quán)利創(chuàng)新基礎(chǔ)上規(guī)定了個人的十余項信息權(quán)利，包括積極權(quán)利：信息收集時的知情權(quán)、個人信息處理情況的查詢權(quán)、個人信息使用時的許可權(quán)、個人信息轉(zhuǎn)移權(quán)、錯誤個人信息的修改權(quán)、個人信息擦除權(quán)、個人信息泄露時的知情權(quán)等，還有拒絕或限制個人信息被各種形式利用的消極權(quán)利：限制控制者的信息使用范圍、拒絕個人信息被非公益科研或統(tǒng)計活動利用的權(quán)利、拒絕個人信息被商業(yè)利用的權(quán)利等。下文將對GDPR新修訂和新設(shè)的幾項權(quán)利做重點分析。

(一)完善個人信息的范圍

對于個人信息的概念，我國學者提出了各種觀點質(zhì)疑“可識別性”。而歐盟個人信息保護法所適用的信息是以“可識別性”為依據(jù)進行判斷，并通過法律修訂完善“可識別性”的構(gòu)成要素。根據(jù)GDPR第4條對個人信息的定義，個人信息是指任何確定或可辨識自然人(信息主體)的信息。可辨識自然人是指，任何可以通過姓名、身份證號、位置信息、網(wǎng)上標簽，或者利用身體物質(zhì)特征、生理特征、基因、精神、經(jīng)濟、文化、社會身份中一個或多個因素，以直接或間接方式辨識出特定自然人。也即，如果一條信息存在上述要素而可以對應出特定自然人，則該信息即為GDPR所保護的個人信息。相反，在統(tǒng)計和科學研究等活動中將可辨識信息主體的因素做匿名處理后，則只能構(gòu)成信息而非個人信息，該信息因不能被辨識出特定主體而不存在侵犯其權(quán)益的基礎(chǔ)，此類信息也就不屬于GDPR所保護的信息。在2016年通過的GDPR中，將“基因”增加為可識別性的判斷因素，這體現(xiàn)了可識別性規(guī)則的伸縮性。在我國的各項信息保護立法中，應當堅持“可識別性”規(guī)則，并在立法和實踐發(fā)展中不斷豐富“可識別性”的判斷因素。

(二)收集和處理個人信息必須獲得個人明確的許可

根據(jù)GDPR第7條的規(guī)定，信息控制者對個人信息的處理和利用必須以信息主體的“同意”許可為前提。在信息的數(shù)字化實踐中，個人接受服務(wù)時往往被要求明確接受或者默認接受大量的聲明，由此使得個人很難在短時間內(nèi)找到或讀懂與個人信息使用有關(guān)的條款。為此，GDPR第7條第2款要求，有關(guān)個人信息使用許可的條款需要區(qū)別于其他服務(wù)條款，應當以容易識別、通俗易懂的形式表現(xiàn)出來，不得不適當?shù)嘏c其他服務(wù)條款捆綁同意，也不能以沉默、不作為等默示方式認定為“同意”。與此同時，個人信息主體在作出許可同意后，有權(quán)隨時撤銷該授權(quán)許可，信息控制者應當事先告知個人該項權(quán)利，并保障撤銷權(quán)行使的便利性。不過，該撤銷許可不具有溯及力，信息控制者在撤銷之前基于許可而作的個人信息處理和利用行為不受撤銷影響。此外，對于兒童個人信息的利用，GDPR第8條指出：未滿16歲(成員國可以將該年齡標準最低下調(diào)至13歲)的兒童必須由其監(jiān)護人作出“同意”的許可，信息利用主體應當對此作出必要的預設(shè)安排，而執(zhí)法機關(guān)也需要考慮技術(shù)的可能性。

(三)個人隨時有權(quán)要求信息控制者擦除其個人信息

個人信息的擦除權(quán)(right to erasure)，也被稱為遺忘權(quán)(right to be forgotten)。早在2010年，西班牙公民Costeja González對Google公司提起的訴訟中，就以Google公司違法為由而要求其擦除與自身相關(guān)的信息，該訴求依次得到西班牙信息保護局和歐洲法院的支持。但是，該案中的擦除權(quán)不是法定的獨立權(quán)利，而是基于個人信息保護基本原則而衍生出的隱私權(quán)內(nèi)容。GDPR首次將擦除權(quán)作為一項獨立權(quán)利予以規(guī)定，根據(jù)第17條的規(guī)定，當個人希望消除存儲在信息控制者處的自身信息時，有權(quán)要求信息控制者及時地采取措施擦除相關(guān)信息。擦除權(quán)的創(chuàng)立無疑有效地加強了個人信息的保護力度，但是過多的保護也不利于信息共享、技術(shù)進步等公共利益的保護。為了保障其他的基本權(quán)利，應當限制擦除權(quán)的行使范圍，GDPR規(guī)定下列五類情形不得行使擦除權(quán)：(1)行使表達自由和信息自由的；(2)信息控制者履行歐盟法或者成員國法律基于公共利益所規(guī)定的義務(wù)的；(3)與公共健康相關(guān)公共利益有關(guān)聯(lián)的；(4)基于公共利益而做檔案工作、科學研究或信息統(tǒng)計的；(5)提出、執(zhí)行或者抗辯法律聲索的。然而，在行使個人擦除權(quán)時如何平衡個人權(quán)利、他方權(quán)利和公共利益，依然是一個復雜的問題，歐洲法院在Google案中作出的判決就遭到了許多學者的質(zhì)疑。Stephen Allen，“Remembering and Forgetting-Protecting Privacy Rights in the Digital Age”， , Vol.1,No.3,2015,pp.164-177；Kieron O’Hara and Nigel Shadbolt，“The Right to be Forgotten: Its Potential Role in a Coherent Privacy Regime”， ，Vol.1,2015，pp.178-189. GDPR對于擦除權(quán)的規(guī)定預留了廣闊的自由裁量空間，這有待法官在不同的案件中具體地判斷和把握。

(四)確保個人可以便利地查詢和轉(zhuǎn)移其信息

信息查詢權(quán)(right to access)在《1995年個人信息保護指令》第12條就有規(guī)定，GDPR則對該權(quán)利做了進一步的補充完善，該權(quán)利保障了信息主體對其個人信息的全面知情權(quán)。根據(jù)GDPR第15條的規(guī)定，信息主體有權(quán)查詢下列信息：①查詢控制者是否處理或者在何地處理其個人信息；②查詢控制者信息處理目的；③查詢處理控制者信息的內(nèi)容、種類；④查詢控制者是否將信息共享給他人；⑤查詢控制者存儲其個人信息的期限；⑥查詢行使信息擦除權(quán)、修改權(quán)和限制、反對信息處理的相關(guān)情況；⑦向信息保護局提出投訴的權(quán)利情況；⑧如果存儲的信息不是直接來自于信息本人，查詢其真實來源；⑨查詢控制者對信息進行加工分析及其利用的情況。《1995年個人信息保護指令》允許控制者向信息查詢主體收取一定的費用，該費率具體由成員國規(guī)定，例如英國的信息保護法規(guī)定最多不超過10磅。GDPR則要求信息主體在向控制者行使上述查詢權(quán)利時，控制者應當提供免費查詢服務(wù)。只有當信息主體的查詢要求是重復的、顯然不存在或者過分要求的、要求提供復印本的，方可收取一定的服務(wù)費用。

信息可轉(zhuǎn)移權(quán)(right to data portability)是GDPR根據(jù)未來互聯(lián)網(wǎng)服務(wù)發(fā)展需要而創(chuàng)設(shè)的一項前瞻性權(quán)利。根據(jù)GDPR第20條的規(guī)定，信息轉(zhuǎn)移權(quán)是指信息主體有權(quán)獲取通用機讀格式的個人信息，并且有權(quán)在技術(shù)可能條件下無障礙地將該信息轉(zhuǎn)直接移到另外一個信息控制者的信息庫。在個人信息轉(zhuǎn)移權(quán)創(chuàng)設(shè)之前，信息控制者很容易將個人信息轉(zhuǎn)移到其他信息控制者處，但是個人很難將其存儲在一個信息控制者處的信息轉(zhuǎn)移到另一個信息控制者處，信息轉(zhuǎn)移權(quán)的創(chuàng)設(shè)將大大地平衡個人和信息控制者之間對信息的不平等控制地位。Anita Bapat，The new right to data portability， & ，Vol.13, Issue 3,2013，p.4. 該權(quán)利進一步增強了個人的信息控制權(quán)，但是無疑也會給信息控制者增加壓力和成本。首先，該權(quán)利要求信息控制者按照個人的要求提供通用機讀格式的信息，這就需要信息控制者按照以后的具體格式要求作出調(diào)整。其次，該權(quán)利使得個人轉(zhuǎn)移其信息的難度大大降低，必然會增強各個信息控制者之間的市場競爭程度。此外，2013年1月，歐洲議會公民自由、正義和家庭事務(wù)委員會專門討論了信息轉(zhuǎn)移權(quán)與信息擦除權(quán)之間的關(guān)系，草案報告最終提出：個人行使信息轉(zhuǎn)移權(quán)后，如果沒有繼續(xù)保留個人信息的意愿，原信息控制者應當基于擦除權(quán)刪除相關(guān)信息。總而言之，信息轉(zhuǎn)移權(quán)是歐洲立法大膽創(chuàng)新的一個體現(xiàn)，但是該權(quán)利的實際行使程度如何，則高度依賴于信息兼容技術(shù)的發(fā)展和個人的信息使用能力。

(五)通過完善的救濟等措施確保個人信息權(quán)利的實現(xiàn)

個人信息權(quán)益受到侵害時的救濟措施應當符合明晰、高效和必要原則。根據(jù)GDPR第19條的規(guī)定，信息控制者向第三方公開或共享個人信息時，應當告知第三方相關(guān)信息主體對其信息所享有的各項權(quán)利，確保個人信息權(quán)的全過程保護。同時，根據(jù)GDPR第12條的規(guī)定，個人向信息控制者行使其各項權(quán)利的，控制者應當在1個月內(nèi)作出答復，特別復雜的情況下可以延長2個月答復期限。當然，信息主體向控制者行使各項信息權(quán)利時，應當向控制者證明其身份，從而避免信息被第三人盜取?？刂普邞斚蛐畔⒅黧w提供其要求的信息，但對無法識別信息隸屬主體的信息可以拒絕提供，據(jù)此在一定范圍內(nèi)限制個人信息權(quán)利的范圍。在信息主體提出權(quán)利請求后，如果信息控制者未在規(guī)定時間內(nèi)作出答復或者對其處理結(jié)果不滿意的，可以向信息保護局申訴或者法院起訴。此外，GDPR第80條建立了個人信息權(quán)利保護公益訴訟制度，歐盟成員國可以通過立法授予某些公益組織代表信息主體向信息保護局以及信息控制者、處理者主張合法權(quán)益，并在必要時提起訴訟。

四、重新分配信息控制者、處理者的義務(wù)和責任

個人信息保護的第一道關(guān)隘就是收集和運用信息的控制者、處理者，這是信息產(chǎn)生、歸集和釋放的中心原點，對這兩類主體的監(jiān)管可以實現(xiàn)一夫當關(guān)、萬夫莫開之效果。中國的個人信息保護目前最大的法律漏洞就是對信息控制者和處理者的責任義務(wù)規(guī)定不足。GDPR關(guān)于控制者和處理者的定義繼承了《1995年個人信息保護指令》的內(nèi)容，其第4條規(guī)定：控制者(controller)是指，獨立或者與他人共同決定個人信息處理目的、方式的自然人、法人、公共機構(gòu)、代理機構(gòu)或者其他組織，該目的和方式應當由歐盟法或者成員國法律決定，控制者的具體認定標準可以由歐盟法或者成員國法另行規(guī)定。處理者(processor)是指代替控制者處理個人信息的自然人、法人、公共機構(gòu)、代理機構(gòu)或者其他組織。為了避免個人信息被濫用，GDPR在不同領(lǐng)域分別擴大了信息控制者、處理者的義務(wù)，包括保存某些文件備查，對高風險活動進行影響評估，對數(shù)據(jù)進行加密處理等等。

(一)將信息的處理者與控制者同等對待

處理者為控制者提供輔助服務(wù)，在很多時候表現(xiàn)為外包服務(wù)者?；谶@個原因，《1995年個人信息保護指令》的調(diào)整對象主要是控制者，處理者處于從屬地位。例如，《1995年個人信息保護指令》第4條明確規(guī)定各國需要依據(jù)該指令制定國內(nèi)法對信息控制者的行為予以規(guī)制，直接規(guī)制的對象不包括處理者；該指令第16條也僅僅是要求處理者應當按照控制者的指示或與其訂立的合同行事。GDPR為了建立嚴密的個人信息保護網(wǎng)，第3條在《1995年個人信息保護指令》第4條的基礎(chǔ)上把處理者增設(shè)為直接、獨立的義務(wù)主體。此外，GDPR第28條明確要求：當控制者對處理者發(fā)出的信息處理指示違反法律要求時，處理者有義務(wù)直接通知控制者；處理者接受控制者的信息處理委托后，在沒有控制者書面同意的情況下不得轉(zhuǎn)包該任務(wù)；處理者違反或者沒有控制者指示的情況下處理個人信息的，則將其視為控制者論處。同時，GDPR第31、32、33、37、44、82條也分別增設(shè)了信息處理者的獨立義務(wù)。Detlev Gabel & Tim Hickman，“Chapter 11: Obligations of processors”， ，White & Case LLP，22 July, 2016. available at http:∥www.whitecase.com/publications/article/chapter-11-obligations-processors-unlocking-eu-general-data-protection. 例如，處理者在《1995年個人信息保護指令》中只需要對控制者承擔合同義務(wù)和責任，不對信息主體承擔任何義務(wù)和責任，GDPR第82條則規(guī)定信息主體可以直接起訴或投訴處理者尋求救濟。GDPR將信息處理者與控制者同等對待，一方面平衡了控制者和處理者之間的法律地位，強化了信息處理者的責任和義務(wù)；另一方面，也將為信息主體尋求救濟提供了更多的選擇，保障了信息權(quán)訴求的及時和全面實現(xiàn)。

(二)設(shè)立信息保護官制度加強信息保護

根據(jù)GDPR第37條的規(guī)定，信息控制者、處理者在三種情況下需要設(shè)立一名信息保護官(Data Protection Officer，DPO)。這三種情況包括：(1)公共機構(gòu)或其組成部門處理個人信息的，但是法院履行司法職能的情況除外；(2)根據(jù)其本性、范圍和/或目的，控制者或處理者的核心業(yè)務(wù)包含大規(guī)模定期的或者系統(tǒng)監(jiān)督信息主體的；(3)控制者或處理者的核心業(yè)務(wù)包含大規(guī)模處理第9條所規(guī)定的特殊信息和第10條所規(guī)定的違法犯罪信息的。由此可知，除法院外的所有的公共機構(gòu)均有義務(wù)設(shè)置專門的信息保護官，其他機構(gòu)的核心業(yè)務(wù)涉及大量信息處理時才有必要設(shè)立信息保護官。GDPR沒有對信息保護官的資質(zhì)證書作出明確要求，但是要求信息保護官應當具有充分的專業(yè)知識，在此條件下可以由控制者、處理者雇用的員工擔任，也可以通過服務(wù)合同聘請外部職業(yè)人擔任，在這兩種形式下任命的信息保護官都需要在履行信息保護職能時保持獨立性。

(三)通過技術(shù)保護措施和信息處理記錄加強信息保護

通過技術(shù)措施不能徹底解決隱私的保護問題，但是至少可以解決一些低端的信息竊取活動。根據(jù)GDPR第6條的規(guī)定，鼓勵信息控制者采取加密(encryption)或變形(pseudonymisation)措施處理增強信息保護級別。第25條則規(guī)定信息服務(wù)開發(fā)階段就應當具備隱私保護功能(privacy by design)，在信息服務(wù)運行階段應當將個人信息默認設(shè)置為不公開(privacy by default)。這是一個新的信息保護觀念和保護方法的進步，也即信息必須以主動調(diào)取的方式獲取，而不能簡單的暴露在外。

對每一次信息處理活動進行記錄，有利于增強控制者、處理者的信息保護意識，也有利于固定信息活動證據(jù)并為監(jiān)督執(zhí)法提供便利。根據(jù)《1995年個人信息保護指令》第18條的規(guī)定，控制者每次信息處理活動都應當向信息保護監(jiān)督機構(gòu)報告。GDPR為了提高工作效率而取消了上述報告制度，改為信息記錄制度。根據(jù)GDPR第30條的規(guī)定，所有的信息控制者及其代表、處理者及其代表在信息處理活動中應當將每一次信息處理活動以書面或者電子形式記錄存檔，以備信息保護監(jiān)管機構(gòu)查驗。同時，為了減輕中小企業(yè)的法律負擔，雇員少于250人的機構(gòu)只需要記錄可能存在損害個人信息權(quán)利風險的信息處理活動，對于其他日常信息處理活動無須履行記錄義務(wù)。

此外，為了便于公眾和執(zhí)法機構(gòu)理解信息保護措施，信息控制者、處理者采取的各項信息保護措施應當公開透明。GDPR第6條規(guī)定了可說明性原則，也即要求信息控制者、處理者保障信息保護措施的可說明性，能夠通過具體的說明或展示來論證其采取了有效的信息保護措施。展示方式可以通過認證的形式體系，例如，GDPR第40—43條規(guī)定，分別在歐盟和成員國層面建立信息保護的技術(shù)標準和認證制度，公開宣傳信息保護認證印章、標志，鼓勵控制者、處理者自愿開展信息保護認證，通過認證證書和標志展示信息保護形象。

(四)控制者在信息泄露時需要履行報告和通知義務(wù)

根據(jù)GDPR第33條的規(guī)定，在發(fā)生信息泄露時，信息控制者應當在72小時內(nèi)向信息保護局報告情況，但信息泄露范圍小而沒有造成任何損害的除外。控制者向信息保護局提交的報告應當包括：信息泄露總體情況，包含涉及的信息主體數(shù)量和信息類型；事件聯(lián)系人和聯(lián)系方式；可能發(fā)生的危害后果；控制者采取的挽救措施。信息控制者需要對每一次信息泄露做詳細的記錄。此外，根據(jù)GDPR第34條的規(guī)定，信息泄露對信息主體造成較高風險時，控制者應當及時地將情況通知給每一位受到影響的信息主體，通知內(nèi)容與DPA的報告類似。同時，控制者在三種情況下可以免于向每一位信息主體作出通知：(1)由于信息加密等保護措施使得信息泄露的損害風險很低的；(2)控制者已經(jīng)及時采取措施(例如終止受到影響的賬戶)解除風險的；(3)向每一位信息主體發(fā)出通知的要求顯著失當而可以通過公開通知代替的。總而言之，信息泄露時的報告和通知義務(wù)可以有效提高個人信息保護工作的透明度，但是對風險是否需要報告的判斷、短時間內(nèi)作出報告和通知也將成為控制者的工作挑戰(zhàn)。

(五)提高了法律責任后果

歐盟及其成員國一直以來通過行政處罰來增加相關(guān)方違反信息保護義務(wù)的成本。以英國為例，自2010年至2016年8月低，英國信息保護局共罰沒742.375萬英鎊，歐盟信息保護局在英國共罰沒341.2萬英鎊。GDPR建立了層列式的法律責任制度，進一步增加了法律責任。一方面，GDPR第83條第2款規(guī)定了11項行政處罰的裁量情節(jié)，第3—6款則規(guī)定了不同類型的違法行為最高處罰上限。根據(jù)規(guī)定，違反信息跨境流動要求和未經(jīng)信息主體許可的收集、處理等行為，最大處罰額可達到2 000萬歐元或者當年全球收營業(yè)額的4%。這一罰款額對于許多企業(yè)而言，足以導致其破產(chǎn)、倒閉。

五、完善信息跨境和刑事活動領(lǐng)域的特殊信息保護規(guī)則

(一)增強信息跨境流動監(jiān)管

在當代，互聯(lián)網(wǎng)、云計算、移動設(shè)備可以讓我們?nèi)魏螘r候在任何地方訪問我們的數(shù)字化信息。一個人的信息，從德國慕尼黑傳到香港，再傳遞到美國邁阿密只需要一秒鐘即可完成。這種快捷的信息跨境流動，為社會創(chuàng)造了極大便利，也為信息泄露創(chuàng)造了更多的通道。為了保障歐盟公民的個人信息處于安全的環(huán)境之中，GDPR首先將條例的適用范圍擴大到一切與歐盟公民個人信息相關(guān)的信息控制者和處理者，也即歐盟公民的個人信息在歐盟境外也能受到歐盟法的保護。根據(jù)《歐盟一般個人信息保護條例》第3條的規(guī)定，本條例適用于控制者或者處理者位于歐盟的個人信息處理活動，而不論該信息處理行為是否發(fā)生在歐盟。如果控制者或者處理者不在歐盟范圍內(nèi)，但是該個人信息處理活動與在歐盟范圍內(nèi)提供的商品或服務(wù)相關(guān)，或者與監(jiān)督歐盟范圍內(nèi)的行為相關(guān)，或者由于國際法而可以適用某一歐盟成員國法律的，也均適用本條例。

此外，GDPR對歐盟內(nèi)個人信息的向外流動進行了嚴格把關(guān)?！?995年個人信息保護指令》和GDPR均規(guī)定，除非滿足一定條件可以證明個人信息能在歐盟境外某一地區(qū)得到充分保護，否則禁止控制者、處理者將歐盟內(nèi)的個人信息轉(zhuǎn)移至該境外地區(qū)。GDPR則對境外信息保護水平的判斷條件做了更加詳細的解釋，考慮因素包括：(1)人權(quán)和基本自由保護的法律制度情況；(2)公共機構(gòu)獲取該被轉(zhuǎn)移信息的情況；(3)是否存在信息保護執(zhí)法機構(gòu)及其執(zhí)法有效性；(4)有關(guān)個人信息保護的國際承諾和其他國際義務(wù)情況。歐洲委員根據(jù)上述因素加以考慮，可以宣布某一領(lǐng)土、特定部門或國際組織為充分保護轄區(qū)(Adequate Jurisdictions)。GDPR第45條同時規(guī)定：歐盟作出的充分保護轄區(qū)認定結(jié)論需要至少每四年復審一次，經(jīng)復審不合條件的應當廢除、修訂或暫停實施該決定?？紤]到實踐需要，GDPR第46條規(guī)定：對于未獲歐洲委員會認定的，控制者、處理者在滿足下列擔保條件下也可以向歐盟境外傳輸個人信息：雙方政府機構(gòu)直接簽訂有雙邊協(xié)議的、執(zhí)行權(quán)威標準并作出承諾聲明的、依法獲得認證證書并作出承諾聲明的、訂立內(nèi)部強制管理規(guī)則并獲得法定機構(gòu)認可的、采取官方機構(gòu)發(fā)布的標準合同條款的。

在歐盟個人信息保護法改革期間，原美國中央情報局技術(shù)分析員愛德華·斯諾登(Edward Snowden)通過揭露美國“棱鏡”計劃，讓歐盟發(fā)現(xiàn)大量歐洲公民處于美國的監(jiān)控之下，更加增強了跨境流動監(jiān)管規(guī)則的重要性。Foivi Mouzakiti，“Transborder Data Flows 2.0: Mending the Holes of the Data Protection Directive”， ，Vol.1，Issue 2，2015，p.39. 事實上，美國與歐盟在2000年就簽訂了一個“安全港框架”，歐盟由此認定美國為個人信息充分保護地區(qū)。由于斯諾登事件，居住在愛爾蘭的Maximillian Schrems認為Facebook公司將其個人信息從愛爾蘭轉(zhuǎn)移到美國是違法的，但是該請求被愛爾蘭信息保護局駁回。在Maximillian Schrems v Data Protection Commissioner一案中，歐盟法院于2015年10月6日判定美國與歐盟達成的安全港框架無效，美國因此一度喪失個人信息充分保護區(qū)資格。2016年7月12日，鑒于歐盟法院的判決，美國與歐盟委員會達成新的《隱私保護框架》，由此取代了舊的協(xié)議。

(二)完善刑事犯罪領(lǐng)域的個人信息利用與保護規(guī)則

為了預防和打擊犯罪活動，公共機關(guān)往往需要調(diào)取相關(guān)個人信息進行分析和比對，這是基于公共利益而對個人信息權(quán)利所作的必要限制。然而，如何平衡該限制比例，在歐盟內(nèi)經(jīng)歷了曲折的發(fā)展過程。2006年，歐盟頒布了《關(guān)于在電子通訊服務(wù)、大眾傳媒網(wǎng)絡(luò)行業(yè)產(chǎn)生的個人信息存儲和公共機構(gòu)調(diào)取指令》，該指令要求電信和網(wǎng)絡(luò)服務(wù)商依法保存?zhèn)€人信息，以備公共機構(gòu)調(diào)取使用。此指令頒布后，受到多個成員國的反對。冰島、斯洛伐克分別將歐洲議會、歐盟理事會訴至歐盟法院，但于2008年被判決敗訴。此后，奧地利和愛爾蘭又將就該指令的效力問題申請歐盟法院作出裁判，2014年4月，歐洲法院作出判決：該指令授予公共機構(gòu)過多信息調(diào)取權(quán)，違反比例原則而無效。

2008年，歐盟就頒布了《關(guān)于在犯罪問題方面的個人信息保護和司法合作的政策框架》，該框架是為了提高不同國家警察部門與司法機構(gòu)之間的信任關(guān)系。但是，“框架”形式的歐盟政策不具備強制執(zhí)行力，由此導致該框架的實際實施效果參差不齊。同時，該框架僅僅局限于跨國信息處理活動，不適用于成員國國內(nèi)的相關(guān)活動。為了建立與GDPR相配套的刑事犯罪領(lǐng)域個人信息保護規(guī)則，歐盟發(fā)布了《2016年刑事犯罪領(lǐng)域個人信息保護指令》。該指令主要保障了在刑事犯罪領(lǐng)域收集到的個人信息不被濫用，尤其是保障了刑事罪犯、犯罪嫌疑人、相關(guān)被調(diào)查人等的信息權(quán)益，其具體保護規(guī)則基本完全采納了GDPR的保護規(guī)則，故不再詳述。

六、結(jié) 語

歐盟個人信息保護法與美國的個人信息保護法是公認的兩種不同信息保護模式，與美國強調(diào)個人信息保護的事后救濟不同，歐盟更加強調(diào)事前預防；與美國分散的個人信息保護立法不同，歐盟更加注重個人信息保護立法的統(tǒng)一化。在這種背景下，形成了“個人權(quán)利本位”和“預防為主”的歐盟信息保護法。通過2016年的全面改革，歐盟定下了引領(lǐng)世界個人信息保護法發(fā)展潮流的雄心，繼續(xù)加強了個人的信息受保護權(quán)。歐盟相信嚴格的個人信息保護制度不會阻礙信息技術(shù)進步，相反，如果商業(yè)機構(gòu)建立良好的信息保護環(huán)境，則個人將感受到信息安全，進而樂意于將其信息分享到平臺服務(wù)之中。當然，作為與信息傳播技術(shù)密切相關(guān)的個人信息保護法，目前依然處于發(fā)展變化的過程之中，歐盟的此次改革也并沒有解決所有的問題。例如，云計算平臺為個人信息提供一個集散地，其屬于信息控制者，抑或簡單的信息居間人，目前的GDPR對此沒有明確的規(guī)定。在我國，目前制定的一些規(guī)范性文件對個人信息保護問題進行了原則性和框架性的規(guī)定，但尚未構(gòu)成體系化的個人信息保護法律制度。在我國的立法體系中，我們首先需要區(qū)分個人信息保護法與侵權(quán)責任法，將個人信息保護法的信息限制在自動處理的范疇內(nèi)。其次，在平衡個人信息權(quán)和信息自由流動價值的基礎(chǔ)上，加強個人的權(quán)利及信息控制者、管理者的義務(wù)，通過各種事前保障措施避免個人信息的泄露。最后，也有必要結(jié)合信息技術(shù)發(fā)展的實際情況，推動個人信息的自由流動和合法開發(fā)利用。

[責任編輯 李晶晶 責任校對 王治國]

2016-11-21

劉 云(1989—)，男，湖北廣水人，中國政法大學比較法學研究院博士生，主要從事標準化法、民商法研究。

D9

A

1000-5072(2017)02-0072-13