《欧盟《一般数据保护条例》的出台背景及影响.doc》由会员分享,可在线阅读,更多相关《欧盟《一般数据保护条例》的出台背景及影响.doc(6页珍藏版)》请在金锄头文库上搜索。
1、欧盟一般数据保护条例的出台背景及影响作者:何治乐, 黄道丽 来源:信息安全与通信保密2014年第10期发布时间:2014-12-18摘要:随着全球化和新技术的发展,欧盟现有的数据保护框架难以适应大数据带来的新挑战。欧盟委员会谋求建立新的法律框架以积极应对,2012 年 11 月通过一般数据保护条例。分析欧盟条例的制定原因,综述其给世界范围及中国带来的影响,对透析当代数据保护的发展趋势,为个人数据营造安全可信的在线环境具有重大意义。0引言大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数据无处遁形,而自然人的天然弱势地位导致其难以掌控自身数据。为了应对数字时代个人数据的新挑战,
2、并且确保欧盟规则的前瞻性,欧盟委员会重新审视现有的个人数据保护法律框架,于2012年11月制定了具有更强包容性和合作性的一般数据保护条例(简称GDP)。1GDP出台的原因分析欧盟拥有较为完善的数据保护框架,包括一系列的指令、协议、条例等,其中最重要的是1995年通过的数据保护指令(以下简称“95指令”),为欧盟成员国立法保护个人数据设立了最低标准。但是新技术的冲击,95指令在各成员国内的不协调性及程序的复杂化,都使得欧盟现存的法律难以应对不断出现的安全风险。11法律规则统一的必要性95指令设定了立法所追求的最低标准和目标,构成了欧盟数据保护法的基础。然而,由于成员国实施的具体方式和执法过程不同
3、,加上各国独特的法律制度和文化传统,使得个人数据在不同的成员国享有不同的保护水平。不协调和失衡的法律适用严重影响数据保护的实际效果和欧盟内的数据自由流动。同时,分割方式的法律实施强化了法律的不确定性,公众开始普遍怀疑在线活动的安全性,数据保护法已经开始阻碍产业的成长。欧盟需要一个更强大和一致的数据保护框架弱化法律的分散性,提升个人的数据控制能力及市场的内部运作。12减轻执法负担的必要性有效的执行性和可操作性是每部法律追求的最终目标,过于严厉或者僵化的条款都会直接影响法律的操作性,而程序太过繁琐则会增加执行的费用和成本。现有的欧盟数据保护法的执行即存在这样的问题,例如限制数据国际流动的规定过于刚
4、性,使得企业特别是跨国性的企业存在巨大的经营障碍。成员国将欧盟指令转化为内容不完全一致的数据保护法,企业必须与多国的数据主管机构进行交涉沟通才能满足合规性遵从,必然导致不必要的资源浪费。根据欧盟委员会司法专员维维安雷丁(Vivianeeding)的报告,每年欧盟因为数据保护执法上的无序和混乱导致的成本就高达23亿欧元1。因此,消除现存框架中的繁杂条款,提高法律的针对性和效率以减少行政负担成为GDP的重要目标之一。13技术和贸易的全球化发展需要网络的开放性和包容性使得个人数据更加公开化和全球化,数据共享和收集的规模随之增长。数据挖掘和分析技术使得私人公司和公共机构能够规模空前地利用个人数据追求其
5、价值目标,这增加了个人数据的在线风险。95指令制定在将近20年前,使用互联网的人数尚少,个人数据的收集及处理限定在用户名、地址及金融信息。但社交网站的出现使这一情况发生了颠覆性的变化,每天的生活甚至地理位置信息都成为暴露的对象。74%的欧盟人认为个人数据的披露越来越成为现代生活的一部分,但同时72%的网络用户对他们所产生的过多个人数据感到担忧,他们感觉不能完全控制这些数据2。95指令的访问权(即用户有权访问他们的信息并且修改不当的地方,目的是确保信息的正确性)已经不能满足用户的需求,用户转而追求数据的控制权。总之,新形势的出现使得传统规则不再能够很好的实现既定目标,因此需要调整现行框架,以便更
6、好地应对新技术快速发展和全球化带来的挑战,同时要保持技术中立。2012年欧盟一般数据保护条例强化了自然人的数据保护权,协调了现有的各类数据保护规则,简化了跨国公司法规遵从的程序。2GDP提案的主要内容及分析相比95指令,GDP提案具有更强的包容性和适应性,将会成为未来欧盟个人数据保护法的核心和主要规则。较之于以前的数据保护规定,该条例在数据主体的权利,控制者的义务,数据传输规则等方面发生了明显的变化。21数据主体的权利扩大211数据的被遗忘和删除权GDP最引人注目的莫过于设计了数据的被遗忘和删除权。在记忆成为常态,遗忘成为例外的大数据时代3,被遗忘和删除权的立法规定无疑成为应对新挑战,保护个人
7、数据的重要手段。GDP详细构筑了被遗忘和删除权的构成要件,包括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。大数据的风靡和云计算部署的不成熟增加了个人数据的不确定风险,在技术创新的同时,法律保护成为必不可少的方式。对存在故意或者过失违反被遗忘和删除权的人员,监管机构可对个人和企业处理高额罚款,加大了个人数据窃取的惩罚力度,对违法犯罪和恐怖行为起到预防作用。212针对个人数据处理数据主体的同意GDP对数据主体的同意创设了新的条件,使其作为数据处理合法性的基础。相比95指令,最显著的变化有两个。首先,同意必须基于数据主体的一个或多个特定目的,并且已经给予控制者处理数据的同意。其次
8、,数据主体必须自愿给出详细的表明其同意的说明,说明必须是明示的,包括书面声明或明确肯定的行动表示,缄默或不行动不构成同意。然而,当数据主体与控制者之间存在地位不平衡时,同意不能被当作数据处理的法律基础。雇佣关系中的数据处理很可能会发生这种情况,此时,必须存在为了遵从法律义务等另外的数据处理依据。213存在特定风险的数据处理隐私数据或者称为特殊类别的个人数据,密切关系着个人的身体健康,生命及财产安全,对其处理存在特定的风险。GDP专门规定了“特殊类别的个人数据”的处理条件:揭示种族或民族起源,政治意见,宗教信仰的个人数据处理,和与基因数据或健康,性生活,犯罪,安全措施相关的数据处理应当由数据控制
9、者或者其代理人负责实施数据保护影响评估(DPIA),评估结果会直接影响处理数据的条件。此外,与医疗相关的个人数据,雇佣关系中的个人数据以及为历史、统计和科学研究目的的数据处理都有其自身特定的条件,不能被随意处理。GDP的规定揭示了特殊数据的特定风险,在兼顾社会利益的基础上尽可能的关注个人数据的安全,表现出对基本人权的尊重和维护。22义务主体的义务增加221DPO和更多的当责性及透明度如果出现以下三种情况:数据被公共机构或团体处理,被超过250名雇员的企业处理,处理者或控制者的核心活动包括处理行动且基于处理性质、范围、目的,要求对数据主体进行持续性和系统性监控。数据处理者或者控制者应该任命有专门
10、数据保护知识的数据保护专员(DPO)。DPO的任职期限至少为两年,可获得连任。在第一种情形下,可指定多名DPO,要防止因为履行了GDP的职责而遭到解雇;第二种情况下,企业应当指定独立的DPO。DPO的指定应该是透明的,向公众及监管机构通告其姓名及详细的联系方式。事实上,DPO会确保控制者和处理者遵从GDP,主要通过监测企业的活动,这会允许数据主体通过联系DPO来行使他们的权利,同时他也扮演者与监管机构之间的联系人和合作者的角色4。222个人数据泄露通知95指令没有包括数据泄露通知的要求,但是GDP要求控制者应当在24小时内向监管机构报告个人数据的泄露情况。如果通知没有在24小时内完成,则应该解
11、释延误原因。如果数据泄露可能会给数据主体的隐私带来消极的影响,例如身体伤害等,相关的控制者必须毫不延误的通知数据主体,以便个人及时采取措施。通知应说明个人数据违反的性质,并且提供降低风险的建议。在数据分析与数据挖掘技术日趋成熟的大数据时代,黑客和恐怖分子窃取数据的机会增加,手段更加高明和不易察觉,数据泄露产生的诸如身份盗窃、欺诈行为、数据滥用或者声誉受损的不利影响会扩大化,规定数据泄露的通知义务,可以提醒数据被泄露的个人采取防范措施,尽可能的降低风险和伤害。23个人数据的传输规则随着全球政治、经济、文化联系的迅速增加,个人信息在跨境数据流中的比重越来越大,这样作为人权重要组成部分的个人信息权就
12、极易受到侵害5。个人数据的泛在跨境流动或者传输是已经成为常态,在此过程中产生的安全风险成为各国关注的立法焦点。跟95指令一样,GDP禁止向无法确保充足的数据保护的国家和组织传输个人数据。充分性保护评估由委员会执行,应当考虑多种因素,包括需要遵守的有效的法律规定,独立监管机构现存或有效的确保遵守数据保护规则的功能,国际协议等。在没有充分性决定的情况下,GDP允许约束性的企业规则和基于减损而实施欧盟境外的个人数据的转移。个人数据的跨境传输有利于全球贸易和国际合作的扩展,但是不断增加的流动量也对个人数据保护带来新挑战,GDP的个人数据传输规则有利于规范欧盟成员国之间的数据流动。3GDP的国际国内影响
13、31GDP对欧盟范围内的影响GDP是数据保护领域对一般性数据处理行为进行规制的基本法律,直接适用于所有成员国,提高了法律适用的一致性和数据保护在欧盟范围内的连贯性。在欧盟范围内具有重要的影响。311加强数据主体的数据控制权GDP确保数据被处理时,控制者必须通知数据主体,以提高对数据处理的理解程度和保护意识。若数据遭到泄露,则控制者应该在24小时内通知监管机构,并且配合监管机构的工作以降低损失。此外,被遗忘权的强化意味着数据主体对数据的存留拥有更多的决定权。同时,GDP提出数据的携带权,使得个人数据在不同服务提供者之间的转移更容易实现。GDP克服了云计算无国界性带来的数据容易失控现象,让数据主体
14、对数据拥有更多的控制和保护。GDP简化的程序增强了其执行力和操作性,会在实践中强化当事人的权利,并且提高个人对权力本身的认识,并且深刻思考如何有效的利用权力以保护数据的安全。312降低企业的运营成本跨国企业的多地域结构和95指令的内部分散性,决定了其必须关注和遵守多个国家及监管机构制定的数据保护规则,极大的增加了开展业务的成本。而GDP对跨国企业的数据处理行为实行“一站式”监管,即跨国企业只需与其母公司所在国的数据保护主管机构沟通,可以简化程序提高效率并且节省成本6。GDP统一规则的应用将为企业打造公平和谐的运行环境,打破成员国内部的贸易壁垒,促进商业合作。简单而明确的GDP条款将鼓励公司在数
15、字时代获取更多利益,促进经济增长的同时提高科技创新率。此外,GDP为欧盟公司参与全球竞争提供了优势,因为依赖强大的规则,他们可以充分保证负责勤勉的对待客户有价值的数据。大数据与云计算环境下,公司提供远程存储和处理在线数据成为普遍现象,而对欧盟统一制度的信赖将会成为客户选择欧盟公司的重要原因。313促进内部统一市场的形成在数据成为未来经济发展命脉的大数据时代,对数据自由流动加以限制和管理的规则都会对从事国际商务的企业带来巨大影响。欧洲市场在世界经济中的重要地位,决定了欧盟的数据保护法不仅会对欧洲境内公司的商业运行产生变化,而且会给在全球经济网络中从事商务的所有公司的发展带来显著影响,GDP的部分条款可能会直接影响公司的经营业绩和财务状况。为了顺应数字经济的发展,欧盟考察了新形势下网络数据的脆弱性和风险性,制定出具有前瞻性和实用性的GDP,成为目前世界上最为全面的数据保护法律之一,无疑将会成为正在谋求数据保护法律改革国家和地区的蓝本。GDP克服了欧盟成员国之间分散不一致的数据保护规则,减少了商业成本并且创造了数据保护的公平标准,删除了欧盟范围内部市场的障碍。GDP的有效隐私保护增加了消费者对在线消费的信心,提高了电子商务发展的成功率。信任与经济增长的良性循环又会刺激内部市场,增加就业从而推动技术革新。32GDP对中国的
