论欧盟数据保护法改革对我国的启示
●伍艳
(华南农业大学,广东 广州510640)
[摘要] 为应对新信息技术的飞速发展,2018年,欧盟委员出台《通用数据保护条例》,对欧盟个人数据保护法律体系中的核心文本进行全面修订。文章在比较分析《通用数据保护条例》与《1995年数据处理指令》异同的基础上,分析欧盟数据保护改革的主要方面,以期探寻我国立法可借鉴之处。
[关键词] 个人数据;欧盟数据保护改革;我国立法;启示
移动互联网、物联网、云计算、社交媒体等新信息技术的飞速发展,给现有的个人数据保护法律制度提出新的历史要求。2018年5月,欧盟委员会出台《通用数据保护条例》,对实施了多年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(下文称《1995年指令》)进行修订,以应对新信息技术的发展。《通用数据保护条例》的出台代表着欧盟数据保护的最新动态。
当地政府要深入落实国家的农村经济现代化发展战略,利用农村文化站、文化馆和文化活动室等,对广大农村居民进行定期或者不定期的信息技术培训。同时,要聘请一些高校的信息技术方面的专家、学者和技术人员走村串户,对广大居民提供技术咨询、再教育学习服务[2]。此外,要组织广大农村居民参观一些信息化手段应用较好的示范园和基地,提升居民的信息化技术学习意识。
一、欧盟通用数据保护条例的主要修订内容
与《1995年指令》相比较,《通用数据保护条例》的修订内容主要体现在以下方面:
(一)增加并强化数据主体的权利
《通用数据保护条例》为数据主体新设立了一项权利,即数据迁移权,指数据主体有权将储存在数据控制者处的数据取回并迁移至其他数据控制者处。数据主体转移数据的需求通常是在其和数据控制者的服务合同终止之后并不准备续约的情况下产生的。数据主体不准备续约的原因通常包括该数据控制者数据安全保护措施不力、服务效率不高、收费过高以及其他数据控制者的服务更具优势等。数据迁移在云计算服务中表现得最为突出。
3.断奶、环境改变、接种疫苗、气候变化、运输、冷热刺激、饲养管理及饲料突变等应急反应,促使肾上腺皮质激素分泌量增加,继而血液中的皮质酮升高,使肌体处于应急状态,进而淋巴系统功能退化,对病原菌抵抗力减弱,致使肠道正常菌失调,致病性大肠埃氏菌大量增殖而引起水肿病。
隐私的担忧是很多人使用在线服务的主要顾虑,如果用户的数据不能在必要时取回并转移到其他系统中,则会加重这些顾虑,不利于数字经济的发展。鉴于此,《通用数据保护条例》明确规定,数据主体有权从数据控制者处获得其数据的电子备份,并有权转移至其他数据控制者处。该条的立法目的旨在使人们更好地控制个人数据、约束云服务合同的格式条款并提高服务提供商之间的竞争。
(二)完善数据控制者的内部数据管理机制
在我国,随着信息化进程的深入,数据安全事件层出不穷,给个人信息保护带来了巨大挑战。据中国消费者协会2018发布的《APP个人信息泄露情况》统计数据,超过85%的消费者遇到过个人信息泄露的情况。高达96.6%的安卓应用会获取用户手机隐私权,苹果iOS系统应用的比例也接近70%。加快个人信息保护立法的进程显得相当迫切。在我国,关于个人信息保护的法律规范散见于《民法总则》《刑法》《消费者权益保护法》《网络安全法》等各部门法中,缺乏统一的顶层立法设计,缺乏统一的适用标准。关于我国个人信息保护基本法的立法问题,不妨借鉴《欧盟通用数据保护条例》的切入点,即一方面强化数据主体的数据权利,如完善数据删除权、迁移权等;同时强化数据处理方或者控制方的数据处理义务,如完善数据控制方的内部数据管理机制以及违反数据处理义务所承担的责任。同时,我们应注意到,强化个人信息保护,并进一步规范个人信息保护法律,可能会对现行的很多数据运用商业模式产生冲击,对数字经济产生一定程度的影响。这需要在立法中考虑数字经济发展的特点,在具体实施中对完善数据控制者的行业标准、行业自律规范予以辅助。
按照欧盟《通用数据保护条例》的立法初衷,保护个人数据目的不仅保障公民基本权利,也在于促进人们对数字经济的信任,从而促进数据流动而产生价值。因此,在加强个人信息保护的同时,也需要搭建一个数据交流、交换、分享的平台,在数据严格管理和适度开放之间寻找一个平衡尺度,以解决“数据壁垒”现象对数据采集、对接和开发利用带来的困扰。就目前而言,政府需建立起一套大数据共享监管机制,在保障国家信息安全、公民隐私的前提下,优先在医疗、教育、养老等涉及民生的公共领域的数据深度开放,针对这些领域的数据开放进行立法规范,并保障安全的大数据的安全。
对于企业发展而言,经济法要求各个企业在竞争中只能使用符合规定的竞争手段,减少了因为市场竞争而产生的恶性伤害,在某些方面也照顾到了中小型企业,保护了中小企业的运行与发展,从而保证了经济发展的多样性并且加快了我国经济的发展。
其次,数据侵权通知义务是指当数据控制者发现其所收集、控制的个人数据遭受泄露、攻击、破坏、丢失等侵害行为时,必须在24小时内通知数据主体本人和相关的数据保护监管机构。如果无法在24小时内通知,必须解释延迟原因。个人数据遭受泄露或破坏,可能导致重大的经济损失和社会危害,包括身份欺诈甚至犯罪。及时通知能使资料当事人和数据监管机构尽快作出合理可行的补救和防范措施(如用户能及时修改密码、监管机构会及时介入)。但在实践中,数据控制者迟延通知甚至故意隐瞒的事件屡有发生,2011年索尼公司PlayStation网络遭黑客攻击,致使至少1亿用户数据泄露,索尼拖延了一周多才通知顾客。②鉴于《1995年指令》对数据泄露的通知问题无任何规定,《欧盟通用数据保护条例》增加了数据控制者的及时通知义务以保证用户的数据安全。
首先,数据保护官(Data Protection Officer,简称DPO)是指数据控制机构(包括企业和政府)内部的专门负责个人数据保护的专职的高级管理人员,也可称为首席隐私官。《通用数据保护条例》规定对于三类数据控制机构设立数据保护官这一专职岗位是强制性要求。①这三类机构分别是:进行数据处理的政府机构和公共机构、雇员超过250人的企业、核心业务是数据处理而需要定期及有系统地监测用户数据的企业,不论其雇员人数。此三类机构以外的数据控制者可以自主决定是否设立数据保护官。《通用数据保护条例》还明确规定数据保护官须具备数据保护的专业素养,任期不得少于2年,在数据处理机构中的法律地位中立,能独立地处理与数据处理有关的一切事务(包括负责就数据保护问题的制订、监测内部的数据保护政策;人员培训以及与监管机构沟通等),以确保数据处理机构的数据处理活动符合欧盟数据保护法。
(三)完善数据控制者的问责制
数字经济的基础是信任。严格的法律机制有助于建立起社会信任,确保数据的取得、使用、处理等一系列环节处于良性的生态系统之中,从而推动数据经济的创新发展。《通用数据保护条例》的核心价值亦在于此,即在保护个人数据权利的同时,确保数据能自由流动并产生价值。许多学者认为欧盟通用数据保护条例大幅强化对个人数据权利的保护,将会对数字经济特别是人工智能的发展产生较大的阻碍影响。但就其立法价值取向来看,欧盟通用数据保护条例仍然努力在保护个人数据权利与促进数字经济之间寻求平衡,只是基于欧盟的人文历史传统以及欧盟在全球信息产业竞争中的位置等方面的考量,其保护的天平倾向数据主体。那么对于我国的相关立法而言,需要在保护个人数据与发展数字经济之间寻找符合我国国情的平衡。
与一般的侵权民事诉讼相比,在个人数据侵权案件中数据主体的损失往往难以计算,而且很多时候对于具体某个个人而言,损失可能是微小的甚至只是潜在的,因此,个人提起民事诉讼的动力不大难度却不小。而刑事处罚主要针对恶性的并造成严重后果的非法处理数据的行为,但实践中大量存在的非法处理数据的行为往往未到达刑事处罚的严重程度。这样一来,单纯依靠民事诉讼或刑法救济往往不足以遏制非法处理数据行为。因此,明晰行政责任、加强行政处罚力度显得尤为重要。在《1995年指令》实施的十多年里,数据监管机构对违反数据保护法的责任者施以行政处罚并不常见,其原因主要在于欧盟数据保护法对行政责任的规定,导致欧盟数据监管机构的执行力大打折扣。《通用数据保护条例》增设了数据控制者违反数据保护草案所需承担的行政法律责任,呈现三个特征:一是享有行政处罚权的行政主体是个人数据保护机构。值得注意的是,个人数据保护机构指欧盟成员国的国内数据保护机构,而非欧盟数据保护局。二是《通用数据保护条例》增加了罚款这一处罚种类。《1995年指令》规定了数据保护机构享有调查权、干预权(包括警告或训诫的权力;命令、封锁删除或毁灭数据的权力;禁止数据处理的权力和将问题提交国会或其他政治机关的权力和参加诉讼的权力包括直接参与诉讼以及将违法行为告知司法机关的权力),但对于罚款的权力却没有涉及。在实践中,欧盟各成员国数据保护机构的处罚力度往往并不一致。为此,《通用数据保护条例》增加了数据保护机构施以罚款的权力,并将罚款的数额细化。④三是罚款金额视违法行为的严重程度而定,共分为三个档次:违法行为严重的(包括不履行及时通知义务、不指定数据保护官员、未经数据主体同意擅自进行数据处理等)的企业面临最高1000万欧元或相当于该企业年度销售收入2%的罚款;违法行为较为严重(包括侵犯数据主体的被遗忘权、数据迁移权等)的企业面临最高500万欧元或相当于该企业年度销售收入1%的罚款;违法行为较轻(如侵犯数据主体的数据获取权)的企业面临最高250万欧元或相当于该企业年度销售收入0.5%的罚款。
二、《通用数据保护条例》对我国的启示
(一)把握个人信息保护法的立法价值取向
《1995年指令》和《通用数据保护条例》均规定其不适用于刑事领域,因此对于非法处理个人数据行为的刑事处罚由欧盟成员国国内法进行规定。《通用数据保护条例》延续了《1995年指令》对个人数据侵权采用过错推定的归责机制,即任何人因非法数据处理行为而受到损害,有权向进行非法数据处理的数据控制者处获得赔偿。③但数据控制者能证明无过错,则可以全部或部分免除责任。
(二)加快个人信息保护法的立法进程
目前,泄露个人数据的源头大多源自数据收集处理机构内部:如内部人员利用职务或工作便利倒卖个人数据,外部人员利用内部漏洞通过网络入侵而窃取数据等。这些都反映了政府和企业内部对数据管理的规范化和重视程度远未能如意。为规范数据控制者的内部数据管理机制,《通用数据保护条例》对数据控制者增设了数据保护官制度并增加了数据侵权通知义务。
(三)建立数据共享的规范与监管机制
第一,能源消费规模较大,化石能源(尤其是煤炭)比例较高,能源转型面临较大压力。欧盟经济增长与能源消费正逐渐脱钩,而伴随着中国经济的快速增长,中国能源消费仍保持较大规模。并且中国能源消费中,化石能源(尤其是煤炭)比例远高于欧盟,基于上文所提出的能源消费的路径依赖和锁定效应,能源转型面临较大压力。中国正处于城镇化深入发展的关键时期,在将来很长一段时间我国对能源将仍然有较高的需求,能源结构转型、选择更为清洁的可再生能源将是重要的战略选择。
三、结语
欧盟《通用数据保护条例》透露了这样的立法信息:从长远来看,成功的科技进步和数字繁荣根本上还是在于科技最终给公民福祉带来正面的效益。需在借鉴欧盟数据保护条例的基础上,结合我国具体情况,在个人数据权利保护与数据流通、共享之间寻求平衡。由于人工智能的快速发展所带来的技术与经济不确定性和变动性加大,我国可以采取强制性的立法规范与数字企业的行业自律规制相结合的数据治理模式,并根据不同环境下的执行效果不断对治理机制加以修正和调整,最终赢得未来全球产业竞争的主动权。
注释
②Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation).Article 17[EB/OL].http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf,2012-11-03。
①Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
快进城时,司机停下车,冲车厢里的夏冰喊,“到了,货车白天不能进城。”夏冰提了包裹跳下车,路边几个嬉戏的孩子偷偷地看他。他疑惑地在脸上抹了抹。那群孩子哄笑一声,散开了。夏冰看了看自己的双手,黑黢黢的像是一块木炭,便也笑了。他在路旁一处小院里看到一口装有压水器的井,跑上去,按动手柄,取了一桶水,洗了手,洗了脸,又把衣服仔仔细细地拍打了一回,重新上路。
on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)Recital 24[R].http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf,2012.11.03。
③Viviane Reding.Your data,your rights:Safeguarding your privacy in a connected world Brussels,16 March 2011[R].
http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/183,2012-10-05。
新增开机功率70 kW,停开 Φ2.1×2.8球磨机系统,开机功率减少240 kW,系统开机功率降低170 kW,每年节约电费:170×24×365×0.9×0.43 =57.63万元/a
④How will the data protection reform affect social networks?[R].http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/3_en.pdf,2012-09-13。
[作者简介] 伍艳,华南农业大学讲师,研究方向:法学。
[责任编辑:农媛媛]
标签:个人数据论文; 欧盟数据保护改革论文; 我国立法论文; 启示论文; 华南农业大学论文;