上海外国语大学 门小军

大数据时代欧盟数据安全政策概述

上海外国语大学 门小军

大数据技术的广泛应用给商业模式带来了重大变革，经营者运用数据分析及数据挖掘技术对消费者个人数据进行处理，从而实现更多的商业价值。新技术的运用也带来了新的问题，数据的流动性使信息存储与权限边界极为模糊，消费者交易及隐私信息被大量收集与利用，导致严重的信息泄露与信息滥用等情况，消费者个人信息安全面临巨大威胁。美国“窃听门”事件和美国“棱镜”计划的曝光，加速了欧盟对个人数据安全的重新审视，且其很多应对举措都剑指美国政府及美国企业。

督促各成员国将2009年欧盟“电信一揽子方案”转化为国内法

2002年，欧盟颁布“电信一揽子方案”（Telecoms Package）,具体包括(General Framework Directive)、《授权与许可指令》(Authorisation and Licensing Directive)、《接入与互联指令》(Access and Interconnection Directive)、《普遍服务指令》(Universal Service Directive)等四个指令 。“电信一揽子方案”适用于所有的通信网络，包括电信、广播和其他信息媒体网络。

随着时代发展，2002年“电信一揽子方案”也已跟不上形势。2009年12月9日，欧盟新通过《更好规制指令》（Better Law-making Directive）和《公民权利指令》（Citizens’rights Directive），对2002年“电信一揽子方案”予以修订，形成了最新的2009年“电信一揽子方案”。新方案在个人数据保护方面强调了电信运营商数据侵权强制通知义务及用户终端存储数据同意原则（如cookie），要求网络运营商们为其消费者提供涉及其个人隐私的消息。欧委会表示，“新的透明条款使得消费者在未签订协议的情况下就可以对他们订购的服务性质——包括网络管理技术及其对服务质量的影响等等——能够知情。” 欧盟要求，各成员国需在2011年5月25日前完成2009年“电信一揽子方案”向国内法的转换。2011年11月24日，欧委会公布了尚未按时完全转化《欧盟2009电信指令》为国内法的16个成员国，其中包括法国、德国、意大利、西班牙等，该类成员国可能面临罚款。已完成转化的国家为丹麦、爱沙尼亚、芬兰、爱尔兰、马耳他、英国、瑞典、拉脱维亚、立陶宛、卢森堡和斯洛伐克 。

制定《一般数据保护条例》取代《个人数据保护指令》

欧盟1995年通过的《关于个人数据处理与数据自由流通的保护指令》即《个人数据保护指令》，是欧盟个人数据保护法的主体和核心部分。该指令的立法宗旨在于保障欧盟范围内个人数据保护方面的基本权利和个人数据在成员国之间的自由流动。然而，大数据技术的全面应用给个人数据的保护带来了诸多危险因素，该指令中很多适用于传统技术下个人数据保护理念和法律规范已不能对消费者隐私进行有效的保护，必须通过新的立法来解决。

2012 年1月，欧盟提出《一般数据保护条例》 (General Data Protection Regulation) ，此次立法改革最终的目标是制定适用于成员国的统一数据保护规则，以新立法取代20年前的旧版《个人数据保护指令》，同时希望新立法能够反映新技术的变革并满足新技术环境下数据保护和云计算监管的现实需求，“成为首部从真正意义上保护5亿欧盟公民数据资料及隐私权的重要法律”，“数据保护法律的支持者更将这一法律描述为在建立真正的网络隐私权前所设立的具有里程碑意义的法律规范” 。目前，条例已于2013年10月21日在公民自由、司法与内政事务委员会的表决中高票（40票赞成，3票反对，1票弃权）获得通过，未来仍需获得欧洲议会全体会议的表决通过和欧盟28个成员国的支持，方能得以实施。分析人士认为，在美国的监控及窃听压力下,相信该法获得通过将毫无悬念。

相较于旧法，条例的主要改革内容有四点。第一，扩展、补充消费者个人敏感数据的保护。条例保留《个人数据保护指令》对特殊类型数据的界定，并增加了新的敏感数据类型，包括基因数据及与安全相关的数据。此外，儿童个人数据也受到重视，条例规定，数据控制者在通过网络收集儿童数据的情况下，如果需要处理13岁以下儿童的个人数据，必须能够证明其得到儿童父母或监护人的同意。

第二，扩大数据控制者和处理者的说明责任。条例规定，数据处理者及控制者需要记录数据历史、保证数据安全以及向成员国监管机构通报违反数据义务的行为。数据控制者在进行风险评估的同时，必须设置一名数据保护官( Data Protection Officers)，必须在服务设计开发时就要具备隐私功能( Privacy by Design) ，以及隐私默认设置须为“不公开”( Privacy by Default) 。

第三，引入新型消费者权利。针对大数据的发展，条例中引入的消费者新型权利成为一大亮点，具体包括消费者的异议权、被遗忘权( Right to Be Forgotten) 以及数据迁移权。异议权是指消费者有权拒绝以营销为目的的个人数据分析，例如禁止以投放商业性广告为目的对消费者进行种族、性取向等分析，即使这类分析不涉及特殊类型数据，消费者也有权拒绝。被遗忘权是对于消费者的姓名、电邮地址、照片、银行信息、健康信息以及计算机IP地址等个人数据，当消费者要求删除这些信息时，除非经营者有正当理由，否则必须从服务器上删除。数据迁移权是消费者能够在不受数据控制者阻止的前提下获取其个人数据并迁移到另一个应用服务中，不论实践中这种权利是通过合同授予还是技术标准作出的规定。这些新型权利的设置具有很强的技术针对性，使大数据环境下的消费者个人敏感信息得到了更好的保护。

第四，强化消费者救济机制。一是在欧盟运营的企业，如果不当利用客户、供应商或员工等的个人信息，将面临严厉处罚，违反数据保护法的公司最多可被罚款约5%全球营业额。如果Facebook、Google这类大型跨国企业违法，罚金可高达数亿、数十亿美元。二是除非符合欧盟法律和相关国际条约，任何企业不得将欧盟公民的数据信息与欧盟之外的第三国分享。由于旧版数据保护法存在漏洞，被美国“棱镜”项目钻了空子，美国公司把欧洲客户的数据资料转给了美国当局。欧洲议会议员阿尔布雷希特说：“如果某些公司迫于美国国家安全局的压力，依然冒着违反欧盟法律的风险将欧盟公民的数据交给美国政府，将面临灾难性惩罚。”

条例进入议程标志着欧洲即将实行史上最为严格的数据保护法律：不管某一公司是在欧盟成员国内，还是在成员国外使用欧盟公民的数据，都需接受条例的规制。

实施新规应对个人信息泄露

2011年以来，根据一项普遍义务，在欧盟境内经营的企业需向国家主管部门和相关用户通报个人数据泄漏事件。新规则要求运营商和ISP在发现信息泄露的24小时内告知相关部门，以最大限度地控制泄露。如果不能在24小时内提供全部信息，则应该提供一系列原始信息，剩余信息应在3天内给出。这些公司还必须说明哪些信息可能受到影响、已经采取或者将会采取哪些应对措施。在评估是否有必要通知用户时，运营商或者ISP应该注意以下类型信息的泄露，特别是电信领域、财务信息、定位数据、网络日志、网络浏览记录、电子邮件以及通话清单。

除此以外，欧盟还鼓励这些公司为个人信息加密。为此，欧委会与欧洲网络与信息安全局（ENISA）将协力发布一份技术保护措施的指示性清单，例如加密技术，能使没有权限的人即使看到了这些数据也不知所云。如果某公司采用这样的加密技术，即使数据遭泄露也不必告知用户，因为用户信息并未真正泄露。

采取这些“技术性干预措施”的目的是为了确保欧盟的所有用户在遇到信息泄露时有统一的解决办法，确保在欧盟多国经营的公司遇到类似问题时能在泛欧盟范围内采取统一的解决办法。在2011年咨询公众意见后，这些新规定得到了利益相关者对在该领域建立一个统一标准的广泛支持。

签署协议保护RFID个人数据安全

2011年4月6日，欧委会与行业组织、企业、ENISA(欧洲网络和安全委员会)以及欧洲个人信息和隐私数据保护组织签订了RFID隐私数据保护协议。欧盟认为，RFID芯片的大量使用将给企业和公共机构带来极大的便利，但使用这些智能芯片存在透露隐私数据的潜在风险，特别是可在不经本人允许的情况下获得个人数据。因此，欧委会希望通过这份协议有效保护消费者个人信息安全，减少消费者对个人隐私信息受侵害的担忧。签订协议的成员中有不少零售集团，如家乐福和麦德龙。欧盟数字战略副主席Neelie Kroes介绍说，这些企业将“保证在配有RFID芯片的产品上架之前解决数据保护的问题”。协议中首次指出了个人数据风险评价方法，并提供了解决方案。

提升“信息安全港”的安全性

“信息安全港”是美国商务部2000年提出的欧美之间商用数据转移的标准，用于解释欧盟的相关法律。欧委会随即以决定的形式采纳了该标准。该决定允许欧洲企业向遵守该标准的美国企业转移数据信息，为欧美之间不同的信息安全标准提供了一个暂时妥协的“港湾”。鉴于“信息安全港”在实行过程中暴露出来的一系列问题，欧委会提出13项改进建议，主要包括四方面内容：一是增加透明度。自我认证的公司要公开自己及合作的云服务商的隐私政策，其网页要有美国商务部“信息安全港”计划的链接，而美国商务部网页要澄清非计划内的公司名单。二是强化补偿机制监管。公司隐私政策的页面必须包含替代性纠纷解决机制（Alternative Dispute Resolution）提供者的链接，商务部要确保补偿机制的有效性。三是收紧执行程序。在审核或复合企业的“信息安全港”资格后，企业将受到随机抽检，以确认其隐私政策的有效性，一旦怀疑企业违规，商务部应立即通知欧盟数据保护机关。四是加强对美国权力机关获取数据的管控。自我认证的公司的隐私政策须包括美国许可政府部门搜集处理数据的法律内容，针对国家安全的例外条款只能在必须且适当的情况下应用。

加强执法过程中的数据保护

当前，欧盟和美国正在就警务和司法合作领域的数据保护问题进行谈判，以期达成一项总协议。欧盟谈判的目标是，保证对公民个人数据实施高水平的保护，确保大西洋两岸的公民享有同等权利，尤其是非定居美国的欧盟公民。欧盟将对美国要求数据转移的目标划定界限，提出数据保留的条件和期限，并尽可能减少涉及国家安全的例外条款带来的副作用。

要求美国使用现有的共同法律援助协议和部门协议来获取数据

如果美国政府直接向涉欧数据企业索要资料，将导致企业陷入两难的境地。一方面，如果企业拒绝交出数据，将触犯美国的《爱国者法令》；另一方面，如果企业交出数据，又违背了欧盟的相关规定 。因此，欧盟要求美国政府承诺，以现有的法律框架作为索取数据资料的普遍原则，尽量避免绕开法律，直接索要数据的情况发生。这些法律框架包括共同法律援助，以及“旅客名单登记协议”和“恐怖金融追踪项目”等部门协议。直接要求公司提供数据的情况，只能根据协议规定的例外条款进行，并且须进行法律上的评估。

督促推进美国数据安全改革进程，回应欧洲关切

在斯诺登事件发生后，美国总统奥巴马宣布，将重新评估美国国家安全机构的活动，审视相关的法律框架。欧盟希望：美国能够藉此机会推进数据保护的改革进程，尤其是要把保护美国公民的措施拓展到欧洲公民身上，实现大西洋两岸的平等相待；美国能够增加其国家安全机构情报搜集透明度，由外国情报监视法庭来加强对情报机构的监管，并引入个人赔偿机制 。欧盟还注意到，美国联邦层面缺乏一部统一的“隐私保护法”，各州的相关法律五花八门，对个人隐私的保护程度不尽相同。例如在佛罗里达州，没有一部法律对个人信息作出明确界定，但是在亚利桑那州，相应的法律就有五部。此外，一些州有对安全部门的规定，另一些州则没有。因此，欧盟迫切希望，在欧盟统一的数据保护法就位后，美国也能制定相应的法律，从而为欧美之间的数据流动提供稳定的基础。

促进隐私标准的国际化

一是欧美联手共推国际规则。当前大西洋两岸正在进行的数据保护法的改革，“为欧美提供了独一无二的机会，使它们能够设定国际化的标准”。二是在国际倡议中植入欧盟理念。德国和巴西就数据保护问题曾向联合国大会提交《数字时代的隐私权》决议草案。欧盟应该确保这一类倡议全面考虑到保护基本权利、言论自由、个人数据和隐私等原则，包含一种民主和有效的多边利益攸关方的治理模式。三是利用国际论坛，推广与欧盟法律相符的高水平保护理念。

发展大数据安全技术和数据管理工程

大数据发展存在缺乏跨境协作、基础设施和融资机会不足、缺少数据专家和相关技能、法律环境过于零散和复杂等问题 。为此，欧盟于2014年7月2日，公开呼吁各成员国积极迎接大数据时代，宣布未来将采取一些具体措施发展大数据业务。如建立大数据领域的公私合作关系，资助推出具有颠覆意义的大数据理念；依托“地平线 2020”科研规划，创建开放式数据孵化器；就“数据所有权”和数据提供责任作出新规定；制定数据标准，找出潜在问题；成立多个超级计算中心；在成员国创建数据处理设施网络。

在推动大数据发展的同时，欧盟也重视开发“禁止追踪”技术。2011年6月22日，在布鲁塞尔举行的在线保护研讨会上，欧委会副主席兼数字议程委员克洛斯（Kroes）指出，其对网上数据保护反跟踪技术（DNT，“do not track”）的发展和应用感到满意。这项技术的应用为网民提供了禁止服务商泄露网民的信息，以免成为商业广告目标等的受害者。克洛斯（Kroes）要求互联网有关各方在2012年6月前普及这项技术 。2014年4月欧盟软件与服务技术平台NESSI（Networked European Software and Services Initiative）、欧洲 “大数据公私论坛”（Big Data Public Private Forum）联合发布《大数据价值战略研究与创新议程草案》（Draft of Strategic Research and Innovation Agenda on Big Data Value）。该议程草案确定了五大研究与创新优先领域，其中，管理隐私与匿名的机制（包括开发用于数据保护的“安全远程数据访问中心”技术、删除数据和数据最小化的方法和可靠的匿名算法）和数据管理工程两大优先领域都和大数据安全技术研发有关 。