《欧盟《一般数据保护条例》的出台背景与影响》由会员分享,可在线阅读,更多相关《欧盟《一般数据保护条例》的出台背景与影响(10页珍藏版)》请在金锄头文库上搜索。
1、欧盟一般数据保护条例 的出台背景及影响作者:何治乐,黄道丽 来源:信息安全与通信保密2014年第10期发布时间:2014-12-18摘要:随着全球化和新技术的发展,欧盟现有的数据保护框架难以适应大数据带来的新挑战。欧盟委员会 谋求建立新的法律框架以积极应对,2012年11月通过一般数据保护条例。分析欧盟条例的制定 原因,综述其给世界范围及中国带来的影响,对透析当代数据保护的发展趋势,为个人数据营造安全可信 的在线环境具有重大意义。0引言大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数 据无处遁形,而自然人的天然弱势地位导致其难以掌控自身数据。为了应对数字时 代个人数据的新挑
2、战,并且确保欧盟规则的前瞻性,欧盟委员会重新审视现有的个 人数据保护法律框架,于2012年11月制定了具有更强包容性和合作性的一般数据 保护条例(简称GDPR)。1GDPR出台的原因分析欧盟拥有较为完善的数据保护框架,包括一系列的指令、协议、条例等,其中 最重要的是1995年通过的数据保护指令(以下简称95指令”),为欧盟成员国立法保 护个人数据设立了最低标准。但是新技术的冲击,95指令在各成员国内的不协调性 及程序的复杂化,都使得欧盟现存的法律难以应对不断出现的安全风险。1 . 1法律规则统一的必要性95指令设定了立法所追求的最低标准和目标,构成了欧盟数据保护法的基础。然而,由于成员国实施的
3、具体方式和执法过程不同,加上各国独特的法律制度和文 化传统,使得个人数据在不同的成员国享有不同的保护水平。不协调和失衡的法律 适用严重影响数据保护的实际效果和欧盟内的数据自由流动。同时,分割方式的法 律实施强化了法律的不确定性,公众开始普遍怀疑在线活动的安全性,数据保护法 已经开始阻碍产业的成长。欧盟需要一个更强大和一致的数据保护框架弱化法律的 分散性,提升个人的数据控制能力及市场的内部运作。1 . 2减轻执法负担的必要性有效的执行性和可操作性是每部法律追求的最终目标,过于严厉或者僵化的条 款都会直接影响法律的操作性,而程序太过繁琐则会增加执行的费用和成本。现有 的欧盟数据保护法的执行即存在这
4、样的问题,例如限制数据国际流动的规定过于刚 性,使得企业特别是跨国性的企业存在巨大的经营障碍。成员国将欧盟指令转化为 内容不完全一致的数据保护法,企业必须与多国的数据主管机构进行交涉沟通才能 满足合规性遵从,必然导致不必要的资源浪费。根据欧盟委员会司法专员维维安 雷T(VivianeReding)的报告,每年欧盟因为数据保护执法上的无序和混乱导致的成 本就高达23亿欧元1 。因此,消除现存框架中的繁杂条款,提高法律的针对性 和效率以减少行政负担成为GDPR的重要目标之一。1 . 3技术和贸易的全球化发展需要网络的开放性和包容性使得个人数据更加公开化和全球化,数据共享和收集的 规模随之增长。数据
5、挖掘和分析技术使得私人公司和公共机构能够规模空前地利用 个人数据追求其价值目标,这增加了个人数据的在线风险。95指令制定在将近20年 前,使用互联网的人数尚少,个人数据的收集及处理限定在用户名、地址及金融信 息。但社交网站的出现使这一情况发生了颠覆性的变化,每天的生活甚至地理位置 信息都成为暴露的对象。74%的欧盟人认为个人数据的披露越来越成为现代生活的 一部分,但同时72%的网络用户对他们所产生的过多个人数据感到担忧,他们感觉 不能完全控制这些数据2 。95指令的访问权(即用户有权访问他们的信息并且修 改不当的地方,目的是确保信息的正确性)已经不能满足用户的需求,用户转而追求 数据的控制权。
6、总之,新形势的出现使得传统规则不再能够很好的实现既定目标,因此需要调 整现行框架,以便更好地应对新技术快速发展和全球化带来的挑战,同时要保持技 术中立。2012年欧盟一般数据保护条例强化了自然人的数据保护权,协调了现有的 各类数据保护规则,简化了跨国公司法规遵从的程序。2GDPR提案的主要内容及分析相比95指令,GDPR提案具有更强的包容性和适应性,将会成为未来欧盟个人 数据保护法的核心和主要规则。较之于以前的数据保护规定,该条例在数据主体的 权利,控制者的义务,数据传输规则等方面发生了明显的变化。2 . 1数据主体的权利扩大2.1.1数据的被遗忘和删除权GDPR最引人注目的莫过于设计了数据的
7、被遗忘和删除权。在记忆成为常态, 遗忘成为例外的大数据时代3 ,被遗忘和删除权的立法规定无疑成为应对新挑 战,保护个人数据的重要手段。GDPR详细构筑了被遗忘和删除权的构成要件,包 括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。大数据 的风靡和云计算部署的不成熟增加了个人数据的不确定风险,在技术创新的同时, 法律保护成为必不可少的方式。对存在故意或者过失违反被遗忘和删除权的人员, 监管机构可对个人和企业处理高额罚款,加大了个人数据窃取的惩罚力度,对违法 犯罪和恐怖行为起到预防作用。2.1.2针对个人数据处理数据主体的同意GDPR对数据主体的同意创设了新的条件,使其作为数据处
8、理合法性的基础。 相比95指令,最显著的变化有两个。首先,同意必须基于数据主体的一个或多个特 定目的,并且已经给予控制者处理数据的同意。其次,数据主体必须自愿给出详细 的表明其同意的说明,说明必须是明示的,包括书面声明或明确肯定的行动表示, 缄默或不行动不构成同意。然而,当数据主体与控制者之间存在地位不平衡时,同 意不能被当作数据处理的法律基础。雇佣关系中的数据处理很可能会发生这种情 况,此时,必须存在为了遵从法律义务等另外的数据处理依据。2.1.3存在特定风险的数据处理隐私数据或者称为特殊类别的个人数据,密切关系着个人的身体健康,生命及 财产安全,对其处理存在特定的风险。GDPR专门规定了特
9、殊类别的个人数据的 处理条件:揭示种族或民族起源,政治意见,宗教信仰的个人数据处理,和与基因 数据或健康,性生活,犯罪,安全措施相关的数据处理应当由数据控制者或者其代 理人负责实施数据保护影响评估(DPIA),评估结果会直接影响处理数据的条件。此 外,与医疗相关的个人数据,雇佣关系中的个人数据以及为历史、统计和科学研究 目的的数据处理都有其自身特定的条件,不能被随意处理。GDPR的规定揭示了特 殊数据的特定风险,在兼顾社会利益的基础上尽可能的关注个人数据的安全,表现 出对基本人权的尊重和维护。2 . 2义务主体的义务增加2.2. 1DPO和更多的当责性及透明度如果出现以下三种情况:数据被公共机
10、构或团体处理,被超过250名雇员的企 业处理,处理者或控制者的核心活动包括处理行动且基于处理性质、范围、目的, 要求对数据主体进行持续性和系统性监控。数据处理者或者控制者应该任命有专门 数据保护知识的数据保护专员(DPO)。DPO的任职期限至少为两年,可获得连任。 在第一种情形下,可指定多名DPO ,要防止因为履行了 GDPR的职责而遭到解雇; 第二种情况下,企业应当指定独立的DPO。DPO的指定应该是透明的,向公众及监 管机构通告其姓名及详细的联系方式。事实上,DPO会确保控制者和处理者遵从 GDPR,主要通过监测企业的活动,这会允许数据主体通过联系DPO来行使他们的 权利,同时他也扮演者与
11、监管机构之间的联系人和合作者的角色4 。2.2.2个人数据泄露通知95指令没有包括数据泄露通知的要求,但是GDPR要求控制者应当在24小时内 向监管机构报告个人数据的泄露情况。如果通知没有在24小时内完成,则应该解释 延误原因。如果数据泄露可能会给数据主体的隐私带来消极的影响,例如身体伤害 等,相关的控制者必须毫不延误的通知数据主体,以便个人及时采取措施。通知应 说明个人数据违反的性质,并且提供降低风险的建议。在数据分析与数据挖掘技术 日趋成熟的大数据时代,黑客和恐怖分子窃取数据的机会增加,手段更加高明和不 易察觉,数据泄露产生的诸如身份盗窃、欺诈行为、数据滥用或者声誉受损的不利 影响会扩大化
12、,规定数据泄露的通知义务,可以提醒数据被泄露的个人采取防范措 施,尽可能的降低风险和伤害。2 . 3个人数据的传输规则随着全球政治、经济、文化联系的迅速增加,个人信息在跨境数据流中的比重越来越大,这样作为人权重要组成部分的个人信息权就极易受到侵害5 。个人数 据的泛在跨境流动或者传输是已经成为常态,在此过程中产生的安全风险成为各国 关注的立法焦点。跟95指令一样,GDPR禁止向无法确保充足的数据保护的国家和 组织传输个人数据。充分性保护评估由委员会执行,应当考虑多种因素,包括需要 遵守的有效的法律规定,独立监管机构现存或有效的确保遵守数据保护规则的功 能,国际协议等。在没有充分性决定的情况下,
13、GDPR允许约束性的企业规则和基 于减损而实施欧盟境外的个人数据的转移。个人数据的跨境传输有利于全球贸易和 国际合作的扩展,但是不断增加的流动量也对个人数据保护带来新挑战,GDPR的 个人数据传输规则有利于规范欧盟成员国之间的数据流动。3GDPR的国际国内影响3 . 1GDPR对欧盟范围内的影响GDP R是数据保护领域对一般性数据处理行为进行规制的基本法律,直接适用 于所有成员国,提高了法律适用的一致性和数据保护在欧盟范围内的连贯性。在欧 盟范围内具有重要的影响。3.1.1加强数据主体的数据控制权GDPR确保数据被处理时,控制者必须通知数据主体,以提高对数据处理的理 解程度和保护意识。若数据遭
14、到泄露,则控制者应该在24小时内通知监管机构,并 且配合监管机构的工作以降低损失。此外,被遗忘权的强化意味着数据主体对数据 的存留拥有更多的决定权。同时,GDPR提出数据的携带权,使得个人数据在不同 服务提供者之间的转移更容易实现。GDPR克服了云计算无国界性带来的数据容易 失控现象,让数据主体对数据拥有更多的控制和保护。GDPR简化的程序增强了其 执行力和操作性,会在实践中强化当事人的权利,并且提高个人对权力本身的认 识,并且深刻思考如何有效的利用权力以保护数据的安全。3.1.2降低企业的运营成本跨国企业的多地域结构和95指令的内部分散性,决定了其必须关注和遵守多个 国家及监管机构制定的数据
15、保护规则,极大的增加了开展业务的成本。而GDPR对 跨国企业的数据处理行为实行一站式”监管,即跨国企业只需与其母公司所在国的 数据保护主管机构沟通,可以简化程序提高效率并且节省成本6 。GDPR统一规 则的应用将为企业打造公平和谐的运行环境,打破成员国内部的贸易壁垒,促进商 业合作。简单而明确的GDP R条款将鼓励公司在数字时代获取更多利益,促进经济 增长的同时提高科技创新率。此外,GDPR为欧盟公司参与全球竞争提供了优势, 因为依赖强大的规则,他们可以充分保证负责勤勉的对待客户有价值的数据。大数 据与云计算环境下,公司提供远程存储和处理在线数据成为普遍现象,而对欧盟统 一制度的信赖将会成为客
16、户选择欧盟公司的重要原因。3.1.3促进内部统一市场的形成在数据成为未来经济发展命脉的大数据时代,对数据自由流动加以限制和管理 的规则都会对从事国际商务的企业带来巨大影响。欧洲市场在世界经济中的重要地 位,决定了欧盟的数据保护法不仅会对欧洲境内公司的商业运行产生变化,而且会 给在全球经济网络中从事商务的所有公司的发展带来显著影响,GDP R的部分条款 可能会直接影响公司的经营业绩和财务状况。为了顺应数字经济的发展,欧盟考察 了新形势下网络数据的脆弱性和风险性,制定出具有前瞻性和实用性的GDPR,成 为目前世界上最为全面的数据保护法律之一,无疑将会成为正在谋求数据保护法律 改革国家和地区的蓝本。GDPR克服了欧盟成员国之间分散不一致的数据保护规 则,减少了商业成本并且创造了数据保护的公平标准,删除了欧盟范围内部市场的 障碍。GDPR的有效隐私保护增加了消费者对在线消费的信心,提高
