欧洲议会和理事会关于欧盟机构个人数据处理第2018/1725号条例分析*
吴沈括,霍文新(北京师范大学)
2018年11月21日,欧洲议会和欧盟理事会正式发布了第2018/1725号条例——《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动,并废除(EC)第 45/2001号条例和(EC)第1247/2002号决定的条例》① (REGULATION (EU) 2018/1725 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions,bodies,offices and agencies and on the free movement of such data,and repealing Regulation (EC)No 45/2001 and Decision No 1247/2002/EC) (下文简称“第2018/1725号条例”),该条例于2018年10月23日通过正式文本,针对对象主要包括欧盟机构、机关、办公室和办事处等机构(下文统称“欧盟机构”),规制内容主要为上述欧盟机构在处理个人数据环节中对个人数据应当的保护以及个人数据在自由流动过程中应当遵守的法律规制。
该条例对于个人数据保护问题的深入探究有重要意义,其为了配合欧盟诸多数据保护条例及指令的有效实施,进一步完善欧盟的数据保护框架,提出了对欧盟机构处理个人数据环节中对数据的保护措施以及归责等问题的规制方式。在规制行为的具体范围以及特色制度的设计上,实现了对其他数据保护立法的内容补充。
1 出台背景及价值追求
2018年5月25日《一般数据保护条例》(GDPR)正式生效,条例制定了个人数据保护的一般规则,为欧盟内外个人数据的自由流动提供了确定性保护。在个人数据保护基本框架逐渐形成的背景下,为了确保强有力与一致的数据保护框架的构建,同时为了配合《涉警务司法目的数据交换指令》等一系列个人数据保护指令、条例等的有效适用,第2018/1725号条例应运而生。
这种说法是不被东道国(加拿大)文化所接受,于是,译员在口译时做了改述:“由于多种原因我们对美国有负面的看法,总的来说是个政治问题。我们对于美国的印象就是对于那些引起拉丁美洲问题的那些人的印象。而且我们也不想住在美国……”
长春市作为吉林省的省会城市在长吉图战略发展中处于核心地位。近几年来,随着经济的快速发展,长春市对外交往更加频繁,与外国经贸往来增多 ,外国游客也日益增加,越来越多的外国朋友选择来到长春学习、工作、生活。在这种大环境下,长春市整体的对外形象和优良规范的语言环境对于促进长春市的发展是有着重大意义的。
所谓信息咨询,是要求欧盟机构在制定与其处理个人数据有关的行政措施和内部规则时,应当将具体的信息通知欧洲数据保护专员,并向其咨询相关事宜。同样在立法行为上,如果有涉及对个人数据处理方面的立法法案,欧盟委员会应就个人数据保护方面的权利和自由等问题向欧洲数据保护专员咨询,欧洲数据保护专员以及欧洲数据委员会应充分为欧盟委员会的工作提供帮助,并予以协调,必要时可发布联合意见。
总体而言,为了更有效地规制个人数据的处理行为,强调对数据主体权利可能造成的损害的规避,第2018/1725号条例在《一般数据保护条例》的基础上,对欧盟机构等对自然人个人数据的处理问题重点关注,力求实现更为准确的、具有针对性的法律规制。
第2018/1725号条例将欧洲数据保护专员设定为监管主体,在个人数据处理方面确保欧盟机构充分保障了自然人数据主体的基本权利及其数据安全。上文提到,在立法以及信息咨询过程中,欧盟机构等可就有关个人数据处理的所有事项向欧洲数据专员咨询,为此欧洲数据保护专员应履行其职责并行使权力。数据保护专员作为欧盟的工作人员,其任职以及职责履行等均要受到适用于欧盟官员以及服务人员等的工作规则和条例的约束。最为重要的是,在任职期间,欧洲数据保护专员及相关工作人员应对履行职责过程中所了解的任何机密信息承担保密义务。
2 条例基本制度结构的突出重点
第2018/1725条例全文共分为12章节,就涉及个人数据处理的欧盟机构职能等问题,提出了个人数据处理的基本原则,明确了数据主体的权利范围,同时对数据主要监管机关的职能和义务等做出了详细规定,在救济、责任和处罚环节尽可能保护数据主体的权利,以惩罚性措施强制个人数据的处理环节保持谨慎。
2.1 规制行为的扩展
第2018/1725号条例中对个人数据处理的基本原则要求与GDPR保持一致,基于合法性原则,个人数据处理行为的合法行为仅包括以下方面:(1)为了公共利益或行使欧盟机构等的官方权利而执行任务的行为;(2)数据控制者为了遵守法律规定的义务必须实行的行为;(3)为履行合同或签订合同前采取的必要措施;(4)数据主体的同意行为;(5)为保护其他人或数据主体利益的行为等五种情况。
但2018/1725号条例在以GDPR基本原则为首要基准之下,对GDPR中尚未明确的事项——欧盟机构处理个人数据的行为做出了规定,一般情形下欧盟机构处理个人数据的行为适用GDPR中的相关规定。此外,2018/1725号条例提出,对于受欧盟机构雇佣的工作人员也应属于该条例的保护对象,其存储在欧盟机构内的员工数据的处理行为也应受到保护。
除却一般性规定,对于欧盟机构所持有的个人数据在欧盟境内向非欧盟机构接收者的传输,应当符合特定的流程条件,即对该数据接收者的基本条件应当进行审核。数据接收者接收数据的行为应当满足数据处理合法性的要求,尤其是当数据主体的合法利益可能受到侵害时,数据接收者应当在明确权衡各种竞争利益之后,确保个人数据的传输行为是必要的且与数据传输目的相称。
2.2 电子通信机密性的提出
作为2018/1725号条例在第四部分所提出的重要内容,电子通信网络下个人数据的安全保护问题被列入讨论中心,数据控制者和处理者的一般性义务以及个人数据的安全等问题也在这一章节中被详细列明。
电子通信保护主要是指通过对个人数据传输所基于的电子通信网络实施保护,以确保通信机密性。基于用户对欧盟机构公共网站或移动应用程序的访问行为,欧盟机构等应当根据指令(EC)2002/58的相关规定对其收集、传输、处理、存储等的信息加强保护。利用电子通信网络所产生的用户目录所包含的个人数据内容以及访问权限等,欧盟机构都应当基于特定的目的予以保存,即存储行为应符合最小目的性原则。对欧盟机构而言,有责任对上述内容的保护采取必要措施,确保电子通信机密性,以防止其中的个人数据被滥用。
2.3 信息及立法咨询
条例第五部分为个人数据向第三国以及国际组织的转移,详细规定了个人数据跨境转移的一般原则,特殊转移规则,个人数据保护的国际合作机制以及业务类数据的跨境转移条件。
基于《欧洲联盟基本权利宪章》第8条第(1)款和《欧洲联盟运作条约》(TFEU)第16条第(1)款的规定,对个人数据处理活动的保护是自然人的基本权利。纵观(EC)第45/2001号条例,该条例为自然人主体对其个人数据的处理提供了法律意义上的权利保障,同时规定了相关机构以及组织等数据控制者的数据处理义务,并建立了独立的监督机构——欧洲数据保护专员以负责监督欧盟机构等处理个人数据。但(EC)第45/2001号条例的内容仅适用于欧盟机构所实施的限于联邦法律范围内对个人数据的处理行为,对于超出联邦法律范畴的行为尚未规定。而(EC)第1247/2002号决定是于2002年7月1日,由欧洲议会、理事会以及委员会共同就欧洲数据保护专员履行其相应职责应当遵循的规则以及一般约束性条件所共同达成的决定。该决定所规定的内容并不详尽,且在时效性上稍显落后,对于通信网络等安全问题尚未提出有效规制。
2.4 监管主体的明确
GDPR第六章对监管机构的独立性、设立规则、职权任务及权利等做出了细致的规定,第2018/1725号条例则在此基础上,进一步明晰了监管机构的具体指向及其职能。
当小车行驶在黑线上,传感器模块分压后获得高电平,通过施密特反相触发器送入CD4069反相器后得到高电平;反之,行驶在白线上获得的信号为低电平。资源配置单片机P0口的高五位采集循迹传感器信号,即P0.7~P0.3,循迹控制代码如表3所示。
责任的承担主要分为数据主体权利、司法赔偿、行政责任承担以及欧盟机构责任承担四大部分。《一般数据保护条例》第八章也对责任承担制度进行了一定设计但较为笼统,仅提出了制度的设计。但2018/1725号条例则在GDPR制度的基础上,鉴于规制数据处理活动的有限性,对责任制度设计部分中涉及的相应主体明确列明。如数据主体认为欧盟机构对其个人数据的处理违反了本条例的规定,可向欧洲数据保护专员提出投诉,并有权在数据保护监督员处获取相关的进展和结果。数据主体有权委托非营利机构、组织或协会等向欧洲数据保护专员提出投诉、索要赔偿。此外,上述组织还应积极保护数据主体享有的相关权利。
欧洲数据保护专员可依照第2018/1725号条例第58条的规定对数据控制者和数据处理者行使指控权,并可进一步要求数据控制者和数据处理者在合理期限内对相关指控的意见、依据指控所采取的措施等内容报告给欧洲数据保护专员。欧洲数据保护专员所实施的活动是受到实时监督的,其所形成的年度活动报告不仅要提交给欧洲议会、欧洲理事会,同时还将接受其他欧盟机构的监督。
3 条例特色制度设计
第2018/1725号条例的整体框架中,除重点制度的设计外,数据跨境制度以及责任承担是该条例的特色制度。针对条例规制对象的特殊性,上述两方面做出了具有针对性及贴合性的规制。
3.1 数据跨境制度
信息及立法咨询,是2018/1725条例提出的专门针对欧盟机构的条文设计,该条文规定明确地表达了个人数据的处理环节中,数据主体的权利及权利自由的重要性。
从事食品药品监管工作13年来,韩宇坚持修身从俭、克己从严、执法从廉,树立了良好的食品药品监管干部形象,成为百姓安全饮食用药的忠实守护者。
与《一般数据保护条例》跨境制度相类似,第2018/1725号条例第46条以及第47条明确规定,个人数据的跨境转移应当依据充分性认定机制,转移过程应满足限制转移条件,数据控制者以及数据处理者应确保数据主体权利不受损耗。充分性认定机制以《一般数据保护条例》第45条的相关规定为审查标准,欧盟机构通过审核认定第三国不具有充分性保护水平,可向欧盟委员会以及欧洲数据保护专员通报,同时采取必要措施做出相关认定结果。特殊转移规则,是指在未进行充分性认定保护时,可采取其他数据转移规则作为依托文本。该特殊性规则要求数据控制者或数据处理者提供相应的安全保障措施,诸如具有法律约束力和执行力的文件、有约束力的相关规则等。特殊情形下在上述要求均不满足时,数据主体的同意、基于数据主体的利益以及为了实现公共利益等,均可以克减数据控制者以及数据处理者的义务,以实现个人数据的跨境流动。
综上所述,第2018/1725号条例第五章内容与《一般数据保护条例》关于个人数据跨境流动问题的规定保持原则性一致,二者对个人数据的跨境流动机制以及关于个人数据保护的国际合作问题持相同的价值追求。而两个条例的不同点在于,规制个人数据跨境流动的监管机关由原来的欧盟委员会及其监管机构扩展至欧盟委员会以及欧洲数据保护专员。尤其在个人数据保护的国际合作问题中,欧洲数据保护委员会、欧洲数据保护专员被明确指定为建立相互合作机制的主体,二者应当协同欧盟委员会一起,采取适当措施以建立有效执行个人数据保护的国际合作机制。
首先应明确个人数据的跨境传输,应确保数据接收者是为了公共利益或执行官方权利等正当性、必要性目标所进行的数据传送,传输行为应当具有必要性,尤其在数据主体的合法权利可能受到侵害时,欧盟机构应当在权衡各种竞争利益后,以与目标相称的方式实现数据的跨境。在个人数据跨境环节中,欧盟机构享有依据联邦法律协调保护个人数据的权利。
3.2 责任制度
为了让大家更了解整个“新疆辣椒(色素)全产业链联盟”的运作模式,各环节代表分别向与会的领导、专家、企业、种植户、合作社进行了详细的介绍和推广。
司法补救的审查主体为法院,被审查对象为欧洲数据保护专员就投诉内容做出的决定,当审查过程涉及司法赔偿或行政处罚时,法院可依据自己享有的无限管辖权予以裁定。值得注意的是,行政处罚的做出主体为欧洲数据保护专员,该专员会依据侵权行为的性质、损害程度以及欧盟机构在该事故中所履行的义务程度等来判别对欧盟机构等执行的行政处罚是否合理。
每个月教学干事组织一次PBL教学,将功能神经外科内容归纳成6个专题,每个专题指定一名副高职称的临床医师作为PBL教学的带教医师,选择2例典型术前临床患者为学习对象。每次教学提前2周通知进修医师和带教医师教学内容。课前带教医师做好充分准备,确定好讨论的框架和主线,控制好讨论展开的深度和广度,掌控讨论时间。尽量选择症状典型,合并症较少,合作程度高,表达清晰的患者,患者最好有相应的阳性体征和必要阴性体征,化验检查结果较为齐全。
施工者是完成建筑的主体,现阶段施工人员大部门是综合素质较低的农民工,其学历、文化素养等各方面相对欠缺,不能准确的理解施工质量。很多时候对上级下达的任务,执行度较低,建造质量很难得到保证。工人遵守各项制度的意识薄弱,这给现场的规范化管理带来很大阻碍。很多员工对自身的职责并不清楚,施工过程中对材料的浪费现象严重。此外,施工者的专业性普遍较低,很多施工作业完全依靠的是以往的经验,并未按照科学合理的方式对建筑进行施工,这是建筑质量难以提升的主要原因。
2018/1725号条例第69条是一项新提出的制裁措施,其指出了欧盟官员以及被雇佣者在执行过程中应当履行的义务,玩忽职守的人员会受到纪律处分。即对于个人数据的处理环节,被规制的主体并非局限于数据控制者以及数据处理者,行政部门内部的行政人员也应当履行其基本的义务,否则将会被追责。
4 结语
《一般数据保护条例》的规制内容涵盖了几乎任何关于个人数据处理的环节或过程,而第2018/1725号条例则以欧盟机构等对个人数据的处理规则提出了原则性保护,该个人数据的处理方式的单独提出旨在与《一般数据保护条例》一起,为了个人数据保护以及自由流动,尽可能使欧盟机构、机关、办事处和具有成员国公共部门数据保护规则的机构等,采取连贯一致的规制方法实现对个人数据的保护。
我用叉子拨弄着豌豆,思绪飘回到个性测试。当托莉警告我分歧者处境危险时,我总觉得“分歧者”三个大字好像刻在我的脑门上,如果我犯了错,就会有人发现这一点。虽然到现在都没出什么大问题,但这不能保证我就是安全的。假使我放松警惕,厄运会不会随时降临呢?
在个人数据可能的跨境流动环节中,依该条例的规定,如个人数据向我国进行传递,则我国将履行的义务较于《一般数据保护条例》更为严苛。作为数据接收国的第三方国家,对于数据转移后的存储、处理等安全问题以及相关行为的记录等均需要放置更多的注意力。
就我国数据保护形势分析,该条例的发布也为我国数据保护问题提出了新的关注点,且就其部分内容我国可适当予以借鉴。我国个人数据保护立法框架尚未构建,有诸多方面的问题需要深入思考和探究。行政机构对个人数据的保护在我国目前并未引起足够的重视,反之我国数据治理的重点则集中于作为数据控制者的企业对个人数据安全问题的保护。因此,对我国数据立法而言,行政机关处理数据的问题值得被重点关注。
*本文系国家社会科学基金项目(批准号:15CFX035)的阶段性成果。
作者介绍
吴沈括, 北京师范大学刑事法律科学研究院暨法学院副教授,研究方向为网络安全法。
霍文新, 北京师范大学刑事法律科学研究院硕士研究生,研究方向为网络安全法。
标签:欧盟理事会论文; 欧洲议会论文; 机构论文; 数据处理论文; 个人数据论文; 自由流动论文; 法律规制论文; 办公室论文; 北京师范大学论文;