歐盟《一般數(shù)據(jù)保護(hù)條例》的啟示

劉玉琢

隨著信息化建設(shè)的推進(jìn)和互聯(lián)網(wǎng)的普及，人們對信息的依賴程度越來越高，電子政務(wù)、電子商務(wù)、網(wǎng)上金融等各式各樣的互聯(lián)網(wǎng)應(yīng)用，為人民生活提供高效和便利的同時，也為公民個人信息保護(hù)帶來了極大挑戰(zhàn)。當(dāng)前，無論是政府部門還是商業(yè)企業(yè)，都在利用各自渠道大規(guī)模收集和處理用戶個人信息，造成因個人信息濫用而導(dǎo)致個人信息泄露的事件頻頻發(fā)生。由此引發(fā)的社會問題越來越多，引起了國家和社會的極大關(guān)注。如何規(guī)范信息采集者、處理者、使用者的責(zé)任和義務(wù)，切實做到保護(hù)公民對個人信息的合法權(quán)益，成為政府和社會需要思考的一個嚴(yán)肅問題。

歐洲對個人信息保護(hù)問題的探索起步較早，可以追溯到1950年頒布的《歐洲人權(quán)公約》。從1981年《關(guān)于自動化處理的個人信息保護(hù)公約》（以下簡稱“《個人信息保護(hù)公約》”），到1995年《關(guān)于個人信息處理保護(hù)及個人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞喎Q“《數(shù)據(jù)保護(hù)指令》”），再到2016年《一般數(shù)據(jù)保護(hù)條例》（General DataProtection Regulation，GDPR），歐盟在個人信息保護(hù)方面一直處于世界領(lǐng)先地位?！兑话銛?shù)據(jù)保護(hù)條例》作為歐盟個人信息保護(hù)里程碑式法律，為世界各國提供了個人信息保護(hù)的樣板和思路。通過梳理歐洲個人信息保護(hù)的現(xiàn)狀，分析歐盟保護(hù)個人信息方面的主要做法和經(jīng)驗，對貫徹落實《網(wǎng)絡(luò)安全法》，加強(qiáng)我國個人信息保護(hù)建設(shè)，具有重要的借鑒意義。

歐洲個人信息保護(hù)的現(xiàn)狀

（一）頂層設(shè)計基本完成。歐洲的個人信息保護(hù)意識啟蒙較早，并在一開始就致力于建立整個歐洲統(tǒng)一的個人信息保護(hù)體系。20世紀(jì)70年代，歐洲理事會已經(jīng)意識到：有必要對可預(yù)期的個人信息收集和處理活動進(jìn)行提前規(guī)制，從而保護(hù)公民的個人生活，并通過一系列決議，旨在建立歐洲個人信息保護(hù)的基本原則和標(biāo)準(zhǔn)化指南，并在各成員國內(nèi)推動個人信息保護(hù)。1981年1月28日，歐共體成員國在法國斯特拉斯堡市簽訂了《個人信息保護(hù)公約》，嘗試在歐洲建立統(tǒng)一的個人信息保護(hù)法律制度。之后，歐洲委員會在1990年向歐洲理事會提交了一份《關(guān)于保護(hù)共同體個人信息及信息安全的指令草案》，該草案正式開始了歐洲信息保護(hù)法律制度一體化的進(jìn)程。

由于《個人信息保護(hù)指令》其僅僅適用于歐盟成員國，不能直接適用于歐盟的公民，因此，歐洲議會和歐洲理事會于2001年頒布了《關(guān)于歐盟公共機(jī)構(gòu)及其組成部門處理個人信息過程中保護(hù)個人信息權(quán)利及相關(guān)信息自由傳輸條例》，進(jìn)一步推動歐洲個人信息保護(hù)一體化，個人信息保護(hù)法更是被寫入歐洲的大數(shù)據(jù)時代和《歐洲2020戰(zhàn)略》。2010年，歐洲委員會向歐洲議會和歐洲理事會提交的《為歐洲公民傳遞自由、安全和公正：實施斯德哥爾摩行動計劃》明確提出，要制定一個綜合性的歐洲個人信息保護(hù)計劃，確保歐盟范圍內(nèi)個人信息保護(hù)的協(xié)調(diào)一致。

（二）法律體系比較健全。歐盟十分重視個人信息保護(hù)的立法工作，目前已經(jīng)形成了較為健全的法律體系。歐盟對個人數(shù)據(jù)保護(hù)立法工作可以追溯到20世紀(jì)90年代。1995年，歐盟通過了《數(shù)據(jù)保護(hù)指令》，該指令為歐盟成員國立法保護(hù)個人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。在該指令規(guī)定的領(lǐng)域，歐盟也制定了一些細(xì)化的法規(guī)來促進(jìn)指令的落地。例如，2002年頒布的《關(guān)于在電子通訊行業(yè)處理個人信息和保護(hù)個人隱私的指令》，確定了互聯(lián)網(wǎng)環(huán)境下個人信息保護(hù)的基本原則；2006年頒布的《關(guān)于在電子通訊服務(wù)、大眾傳媒網(wǎng)絡(luò)行業(yè)產(chǎn)生的個人信息存儲和公共機(jī)構(gòu)調(diào)取指令》，以及2008年頒布的《關(guān)于在犯罪問題方面的個人信息保護(hù)和司法合作的政策框架》。

隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，為應(yīng)對網(wǎng)絡(luò)環(huán)境下的個人信息保護(hù)，歐盟對原有法律進(jìn)行了豐富和完善。2012年，歐洲委員會正式發(fā)布《關(guān)于個人信息處理保護(hù)及個人信息自由傳輸?shù)臈l例》（草案），和《關(guān)于有權(quán)機(jī)關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護(hù)個人信息的指令》（草案）。并于2016年4月8日和14日，歐洲理事會和歐洲議會分別表決通過了《關(guān)于個人信息處理保護(hù)及個人信息自由傳輸?shù)臈l例》（即《一般數(shù)據(jù)保護(hù)條例》）、《關(guān)于有權(quán)機(jī)關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護(hù)個人信息的指令》，條例于2018年5月25日正式實施。

（三）行政管理體系完善。經(jīng)過多年發(fā)展，歐洲建立了一套完善的數(shù)據(jù)保護(hù)行政管理體系。在管理機(jī)構(gòu)方面，多數(shù)國家設(shè)有個人信息安全保護(hù)專門行政機(jī)關(guān)，例如，英國內(nèi)閣府設(shè)有英國信息委員會辦公室（ICO），法國總統(tǒng)府設(shè)有國家信息和自由委員會（CNIL），德國總理府設(shè)有聯(lián)邦數(shù)據(jù)保護(hù)委員會（FCDP），這些機(jī)構(gòu)主要負(fù)責(zé)本國網(wǎng)絡(luò)個人信息安全保護(hù)工作；在未設(shè)有專門行政機(jī)構(gòu)的國家，大多通過立法形式授權(quán)其他行政機(jī)關(guān)代行保護(hù)職責(zé)。在行政監(jiān)管方面，通過政府主導(dǎo)對個人信息保護(hù)狀況實行強(qiáng)力監(jiān)管，例如，英、法、德等國家普遍采取注冊登記制、審核批準(zhǔn)制等多種措施，對于個人信息處理活動實行行政審查和管理。

除此之外，行政評估、行政投訴、行政執(zhí)法、行政救濟(jì)、行政處罰等一攬子行政保護(hù)措施，對個人信息提供全方位的安全保護(hù)。例如，英國規(guī)定英國信息委員會辦公室（ICO）有權(quán)采取合理性評估、合法性評估等多種行政評估措施，對網(wǎng)絡(luò)個人信息處理活動進(jìn)行事前評析和研判；歐盟相關(guān)指令規(guī)定，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)有權(quán)向網(wǎng)絡(luò)個人信息處理人發(fā)出違法通知、陳述通知、強(qiáng)制調(diào)查令、警告令、禁止令、強(qiáng)制執(zhí)行令等多種行政命令，有效貫徹執(zhí)行網(wǎng)絡(luò)個人信息安全保護(hù)相關(guān)法律要求。

（四）開展多種保護(hù)工作。為了保護(hù)個人數(shù)據(jù)和網(wǎng)絡(luò)隱私，歐盟開展了多種數(shù)據(jù)檢查和保護(hù)行動。2015年9月15—19日，歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)開展發(fā)起了“歐盟Cookie行動”，對多家網(wǎng)站以及移動應(yīng)用進(jìn)行了審查，確保《歐洲Cookie指令》的落實。結(jié)果顯示，英國前50網(wǎng)站中，只有12%的網(wǎng)站遵循了歐盟Cookie指令，而在法國和德國幾乎沒有網(wǎng)站采用歐盟的這一指導(dǎo)規(guī)范。

除了針對規(guī)章、法令的檢查外，針對企業(yè)存在的數(shù)據(jù)安全事件，歐洲也開展了針對各企業(yè)的調(diào)查活動。2012年10月，歐洲委員會工作小組稱，谷歌的隱私政策不符合委員會數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)，要求谷歌對其隱私政策進(jìn)行調(diào)整，并給了谷歌4個月的限期使其政策符合歐洲法律。2018年3月，F(xiàn)acebook被曝光向“劍橋分析”公司泄露5000萬用戶個人信息，歐洲議會宣布將對此事件展開調(diào)查，以確定是否存在數(shù)據(jù)遭到濫用的情況。

《一般數(shù)據(jù)保護(hù)條例》的主要措施

（一）創(chuàng)新個人信息行政管理機(jī)制?！兑话銛?shù)據(jù)保護(hù)條例》從管理機(jī)構(gòu)、管理模式和管理方法三個層面，對個人信息保護(hù)的行政管理機(jī)制進(jìn)行了創(chuàng)新。一是成立歐洲信息保護(hù)委員會。根據(jù)《一般數(shù)據(jù)保護(hù)條例》第68條規(guī)定，“特別設(shè)立歐洲信息保護(hù)委員會，其成員由各成員國個人信息保護(hù)行政機(jī)構(gòu)首腦或者其代表和歐洲信息保護(hù)監(jiān)督局首腦或其代表組成，委員會的秘書處由歐洲信息保護(hù)局擔(dān)任”，該委員會的設(shè)立，將會極大提升歐洲信息保護(hù)局的權(quán)利，確保條例在各成員國統(tǒng)一適用。二是建立一站式服務(wù)管理模式?！兑话銛?shù)據(jù)保護(hù)條例》提出，“構(gòu)建一個包含領(lǐng)導(dǎo)機(jī)構(gòu)和相關(guān)機(jī)構(gòu)共同協(xié)作的詳細(xì)的一站式管理規(guī)則”，并且指明了領(lǐng)導(dǎo)機(jī)構(gòu)和相關(guān)機(jī)構(gòu)，要求“領(lǐng)導(dǎo)機(jī)構(gòu)和相關(guān)機(jī)構(gòu)保持密切合作和信息共享”。三是實施風(fēng)險等級差異化管理?！兑话銛?shù)據(jù)保護(hù)條例》實行了風(fēng)險等級差異化管理方法，對個人信息處理活動的風(fēng)險劃分為“較高風(fēng)險”、“一般風(fēng)險”和“較低風(fēng)險”三類，要求信息控制著開展“較高風(fēng)險”活動前需做影響評估，并向信息保護(hù)局咨詢。

（二）明確個人對其信息的控制權(quán)?！兑话銛?shù)據(jù)保護(hù)條例》在現(xiàn)有個人信息保護(hù)法律、法規(guī)等規(guī)范性文件的基礎(chǔ)上，總結(jié)實踐經(jīng)驗，用于創(chuàng)新，進(jìn)一步明確了個人對其信息的控制權(quán)內(nèi)容。一是完善了個人信息的范圍?！兑话銛?shù)據(jù)保護(hù)條例》規(guī)定，“個人信息是指任何確定或可辨別自然人（信息主體）的信息”，因此，任何信息只要能夠?qū)?yīng)出“特定自然人”，即是條例保護(hù)的對象。二是要求收集和處理個人信息必須獲得本人明確同意?！兑话銛?shù)據(jù)保護(hù)條例》要求，“個人信息使用的條款應(yīng)具有容易識別、通俗易懂的特點(diǎn)，不得與其他條款進(jìn)行捆綁，不能將‘沉默‘不作為等默示方式等同為‘同意”，有效解決了當(dāng)前存在的“捆綁條款”“默認(rèn)同意”等問題。三是個人有權(quán)隨時要求擦除其個人信息。《一般數(shù)據(jù)保護(hù)條例》首次將信息的擦除權(quán)作為一項獨(dú)立權(quán)利進(jìn)行規(guī)定，加強(qiáng)了個人信息保護(hù)的力度和廣度。四是確保個人查詢信息的便捷性?！兑话銛?shù)據(jù)保護(hù)條例》要求，“信息主體在向控制著行使查詢權(quán)利時，控制者應(yīng)免費(fèi)提供服務(wù)；只有當(dāng)查詢要求是重復(fù)的、顯然不存在的、過分的或者要求復(fù)印時，方可索取一定費(fèi)用”。

（三）界定個人信息相關(guān)單位責(zé)任?！兑话銛?shù)據(jù)保護(hù)條例》重新對信息控制者、處理者進(jìn)行了責(zé)任和義務(wù)的界定。一是將信息控制者和處理者同等對待。區(qū)別于先前認(rèn)為信息處理者是信息控制者的外包服務(wù)人者，條例將“信息處理者增設(shè)為直接、獨(dú)立的義務(wù)主體”，同時增設(shè)了“信息處理者的獨(dú)立義務(wù)”。二是設(shè)立信息保護(hù)官制度。條例規(guī)定，“信息控制者、處理者在三種情況下必須設(shè)立一名信息保護(hù)官”，通過分析可知，按照條例規(guī)定，除法院外的所有公共機(jī)構(gòu)均有義務(wù)設(shè)置專門的信息保護(hù)官，大大提高了個人信息保護(hù)的力度。三是加強(qiáng)信息安全保護(hù)工作。條例規(guī)定，“鼓勵信息控制者采取加密或變形措施處理，增強(qiáng)信息保護(hù)級別”，此外，還需要對每一次信息處理活動進(jìn)行記錄，各項保護(hù)采取的措施也要公開透明。四是信息泄露時需履行報告和通知義務(wù)。條例規(guī)定，“信息泄露后，信息控制者應(yīng)在72小時內(nèi)向信息保護(hù)局報告情況，沒有造成損害除外”，同時，在特殊情況下，控制者還需將信息泄露情況及時通知給每一位信息主體。

（四）完善特殊情況信息保護(hù)規(guī)則?！兑话銛?shù)據(jù)保護(hù)條例》除了對個人信息保護(hù)做了大量詳細(xì)的規(guī)定外，對信息跨境流動、信息犯罪等特殊情況，也做出了細(xì)致的要求。一是要增強(qiáng)信息跨境流動的監(jiān)管。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的快速發(fā)展，使得信息在全球范圍內(nèi)的流動越來越頻繁，因此，《一般數(shù)據(jù)保護(hù)條例》對歐盟內(nèi)個人信息的外向流動進(jìn)行了嚴(yán)格規(guī)定。條例要求，“除非滿足一定條件可以證明個人信息能在歐盟境外的某一地區(qū)得到充分保護(hù)，否則禁止控制者、處理者將歐盟內(nèi)的個人信息轉(zhuǎn)移至境外地區(qū)”，條例還對條款中涉及的“境外信息保護(hù)水平”的評判標(biāo)準(zhǔn)進(jìn)行了詳細(xì)描述，極為嚴(yán)格。二是完善了刑事犯罪領(lǐng)域的個人信息利用和保護(hù)規(guī)則。為了預(yù)防和打擊犯罪，配合《一般數(shù)據(jù)保護(hù)條例》的實施，歐盟同時頒布了《關(guān)于有權(quán)機(jī)關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護(hù)個人信息的指令》，主要用于保障刑事犯罪領(lǐng)域收集到的個人信息不能被濫用，尤其是保障刑事犯罪人、嫌疑人以及相關(guān)被調(diào)查人的信息權(quán)益。

對推進(jìn)我國個人信息保護(hù)工作的啟示

（一）完善頂層設(shè)計。一是由網(wǎng)信部門牽頭，聯(lián)合公安、工信、安全等部門，聯(lián)合制定全國個人信息保護(hù)規(guī)劃，編制全國推進(jìn)個人信息安全工作計劃，制定個人信息保護(hù)的基本原則和相關(guān)政策。二是加強(qiáng)個人信息保護(hù)機(jī)制和問責(zé)機(jī)制，制定或修訂相關(guān)的政策和法律法規(guī)，通過建立清晰的個人隱私保護(hù)規(guī)則和指南，設(shè)立問責(zé)機(jī)制和補(bǔ)救程序，防止個人信息濫用。三是研究制定個人信息處理活動評估模型，建立綜合的個人信息處理標(biāo)準(zhǔn)，確保技術(shù)和政策標(biāo)準(zhǔn)的一致性和互操作性，以適應(yīng)不斷升級的安全威脅和不斷創(chuàng)新變化的市場需求。四是要加強(qiáng)政府各部門之間的溝通和協(xié)調(diào)，整合個人信息安全工作資源，統(tǒng)籌管理、組織、指導(dǎo)個人信息保護(hù)工作。

（二）加快立法工作。一是要加快推出個人信息保護(hù)，積極探索適應(yīng)新時代、互聯(lián)網(wǎng)環(huán)境的個人信息保護(hù)法律、法規(guī)，完善個人信息保護(hù)法制環(huán)境。二是對已有的法律、法規(guī)進(jìn)行修訂、完善，例如，個人信息保護(hù)相關(guān)的條款在《刑法》《刑事訴訟法》《民事訴訟法》《合同法》《居民身份證法》等法律法規(guī)中有涉及，可以通過修訂、完善相關(guān)條款，明確個人信息在社會生活中的重要地位。三是針對各行業(yè)、各領(lǐng)域個人信息保護(hù)進(jìn)行專門法規(guī)補(bǔ)充，結(jié)合行業(yè)特性、數(shù)據(jù)特點(diǎn)、數(shù)據(jù)顆粒度等因素，制定具有落地性的專項法規(guī)，并定期對法規(guī)執(zhí)行情況進(jìn)行檢查，確保各項法規(guī)得到貫徹落實。

（三）構(gòu)建標(biāo)準(zhǔn)體系。一是要加快個人信息保護(hù)標(biāo)準(zhǔn)化建設(shè)，完善互聯(lián)網(wǎng)環(huán)境下的信息收集、處理、存儲、共享和管理等各方面的個人信息保護(hù)標(biāo)準(zhǔn)，建立覆蓋信息生命全周期的標(biāo)準(zhǔn)體系。二是要對現(xiàn)有各領(lǐng)域數(shù)據(jù)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行完善，使其能過適應(yīng)各領(lǐng)域新技術(shù)的發(fā)展趨勢，應(yīng)用新技術(shù)對個人信息保護(hù)帶來的挑戰(zhàn)，提高標(biāo)準(zhǔn)的可用性和保障作用。三是加快對個人信息保護(hù)評價標(biāo)準(zhǔn)的建立，使信息收集者和處理者能夠按照標(biāo)準(zhǔn)，做好數(shù)據(jù)安全防護(hù)工作，提高應(yīng)對黑客攻擊的能力，保障個人信息數(shù)據(jù)安全。

（四）健全管理體制。一是要設(shè)立專門的個人信息保護(hù)機(jī)構(gòu)，從事個人信息保護(hù)的日常監(jiān)督、管理、執(zhí)法、評估等工作，定期對我國個人信息保護(hù)狀況進(jìn)行匯總并向公眾通告，提高公眾個人信息保護(hù)意識。二是要建立靈活彈性、應(yīng)對迅速的個人信息保護(hù)協(xié)調(diào)機(jī)制，應(yīng)對突發(fā)的個人信息泄露、販賣等重大個人信息安全事件，根據(jù)個人信息應(yīng)急事件的規(guī)范化處理流程，做到快速響應(yīng)和處置。三是要加強(qiáng)各地方、各區(qū)域的區(qū)域化自治，按照“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)、分域管轄”的原則，各地方做好本區(qū)域內(nèi)的個人信息保護(hù)工作，基層居委會、街道等機(jī)構(gòu)加強(qiáng)對個人信息保護(hù)工作的宣傳教育，提高全民的個人信息保護(hù)意識。

（五）加強(qiáng)合作交流。一是組織國際、國內(nèi)研討會，就管理、標(biāo)準(zhǔn)、法規(guī)、實踐等現(xiàn)場交流學(xué)習(xí)，認(rèn)真總結(jié)國內(nèi)外成熟經(jīng)驗，并向全國推廣經(jīng)驗總結(jié)，支持、指導(dǎo)、鼓勵各地、各行業(yè)在本地、本行業(yè)內(nèi)建立相應(yīng)的工作機(jī)構(gòu)，推進(jìn)個人信息安全工作。二是積極參與國際執(zhí)法協(xié)作，在國際合作中，推動國際通用框架的構(gòu)建，積極參與國際執(zhí)法協(xié)作和框架協(xié)議規(guī)范數(shù)據(jù)跨境流通。三是定期組織國內(nèi)個人信息保護(hù)、大數(shù)據(jù)、云計算、信息安全等各領(lǐng)域的專家，對個人信息保護(hù)問題進(jìn)行研討，推動信息安全理論、技術(shù)應(yīng)用于個人信息保護(hù)。