欧盟个人信息保护对我国的启示

2018-01-15刘玉琢

网络空间安全 2018年7期

刘玉琢

摘要：2018年5月，号称史上最严的数据保护条例——《一般数据保护条例》（GDPR）正式生效，欧盟个人信息保护进入新的历史阶段。欧盟对个人信息保护问题的研究起步较早，积累了丰富的经验。论文通过梳理欧洲个人信息保护的现状，分析了欧盟保护个人信息的主要做法和经验，并对我国加强我国个人信息保护建设提出了建议。

关键词：GDPR；个人信息保护；信息安全

中图分类号：TP309.2， F830 文献标识码：B

Abstract： In May 2018， the most stringent data protection regulations in history -（GDPR） came into effect. Personal information protection in EU entered a new historical stage. The EU's exploration on personal information protection of started early and accumulated much experience. This paper combs the present situation of personal information protection in EU， analyzes the main operations in personal information protecting， and summarizes the experience. Based on that， this paper puts forward suggestions for strengthening China's personal information protection.

Key words： GDPR； personal information security； information security

1 引言

随着信息化建设的推进和互联网的普及，人们对信息的依赖程度越来越高，电子政务、电子商务、网上金融等各式各样的互联网应用，为人民生活提供高效和便利的同时，也为公民个人信息保护带来了极大挑战。当前，无论是政府部门還是商业企业，都在利用各自渠道大规模收集和处理用户个人信息，造成因个人信息滥用而导致个人信息泄露的事件频频发生。由此引发的社会问题越来越多，引起了国家和社会的极大关注。如何规范信息采集者、处理者、使用者的责任和义务，切实做到保护公民对个人信息的合法权益，成为政府和社会需要思考的一个严肃问题。

欧洲对个人信息保护问题的探索起步较早，可以追溯到1950年颁布的《欧洲人权公约》。从1981年《关于自动化处理的个人信息保护公约》（以下简称《个人信息保护公约》），到1995年《关于个人信息处理保护及个人信息自由传输的指令》（以下简称《数据保护指令》），再到2016年《一般数据保护条例》（General Data Protection Regulation，GDPR），欧盟在个人信息保护方面一直处于世界领先地位。《一般数据保护条例》作为欧盟个人信息保护里程碑式法律，为世界各国提供了个人信息保护的样板和思路，对我国贯彻落实《网络安全法》，提高个人信息保护水平，具有重要的借鉴意义。

2 欧洲个人信息保护的现状

2.1 顶层设计基本完成

欧洲的个人信息保护意识启蒙较早，并在一开始就致力于建立整个欧洲统一的个人信息保护体系。20世纪70年代，欧洲理事会已经意识到：有必要对可预期的个人信息收集和处理活动进行提前规制，从而保护公民的个人生活，并通过一系列决议，旨在建立欧洲个人信息保护的基本原则和标准化指南，并在各成员国内推动个人信息保护。1981年1月28日，欧共体成员国在法国斯特拉斯堡市签订了《个人信息保护公约》，尝试在欧洲建立统一的个人信息保护法律制度。之后，欧洲委员会在1990年向欧洲理事会提交了一份《关于保护共同体个人信息及信息安全的指令草案》，该草案正式开始了欧洲信息保护法律制度一体化的进程。

由于《个人信息保护指令》其仅仅适用于欧盟成员国，不能直接适用于欧盟的公民，因此，欧洲议会和欧洲理事会于2001年颁布了《关于欧盟公共机构及其组成部门处理个人信息过程中保护个人信息权利及相关信息自由传输条例》，进一步推动欧洲个人信息保护一体化，个人信息保护法更是被写入欧洲的大数据时代和《欧洲2020战略》。2010年，欧洲委员会向欧洲议会和欧洲理事会提交的《为欧洲公民传递自由、安全和公正：实施斯德哥尔摩行动计划》明确提出，要制定一个综合性的欧洲个人信息保护计划，确保欧盟范围内个人信息保护的协调一致。

2.2 法律体系比较健全

欧盟十分重视个人信息保护的立法工作，目前已经形成了较为健全的法律体系。欧盟对个人数据保护立法工作可以追溯到20世纪90年代。1995年，欧盟通过了《数据保护指令》，该指令为欧盟成员国立法保护个人数据设立了最低标准。在该指令规定的领域，欧盟也制定了一些细化的法规来促进指令的落地。例如，2002年颁布的《关于在电子通讯行业处理个人信息和保护个人隐私的指令》，确定了互联网环境下个人信息保护的基本原则；2006年颁布的《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》，以及2008年颁布的《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》。

随着信息技术和互联网的发展，为应对网络环境下的个人信息保护，欧盟对原有法律进行了丰富和完善。2012年，欧洲委员会正式发布《关于个人信息处理保护及个人信息自由传输的条例》（草案）和《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》（草案），并于2016年4月8日和14日，欧洲理事会和欧洲议会分别表决通过了《关于个人信息处理保护及个人信息自由传输的条例》（即《一般数据保护条例》）《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》，条例于2018年5月25日正式实施。

2.3 行政管理体系完善

经过多年发展，欧洲建立了一套完善的数据保护行政管理体系。在管理机构方面，多数国家设有个人信息安全保护专门行政机关。例如，英国内阁府设有英国信息委员会办公室（ICO）、法国总统府设有国家信息和自由委员会（CNIL）、德国总理府设有联邦数据保护委员会（FCDP），这些机构主要负责本国网络个人信息安全保护工作；在未设有专门行政机构的国家，大多通过立法形式授权其他行政机关代行保护职责。在行政监管方面，通过政府主导对个人信息保护状况实行强力监管，例如英、法、德等国家普遍采取注册登记制、审核批准制等多种措施，对于个人信息处理活动实行行政审查和管理。

除此之外，行政评估、行政投诉、行政执法、行政救济、行政处罚等一揽子行政保护措施，对个人信息提供全方位的安全保护。例如，英国规定英国信息委员会办公室（ICO）有权采取合理性评估、合法性评估等多种行政评估措施，对网络个人信息处理活动进行事前评析和研判；欧盟相关指令规定，欧盟数据保护机构有权向网络个人信息处理人发出违法通知、陈述通知、强制调查令、警告令、禁止令、强制执行令等多种行政命令，有效贯彻执行网络个人信息安全保护相关法律要求。

2.4 开展多种保护工作

为了保护个人数据和网络隐私，欧盟开展了多种数据检查和保护行动。2015年9月15-19日，欧盟数据保护机构开展发起了“欧盟Cookie行动”，对多家网站以及移动应用进行了审查，确保《欧洲Cookie指令》的落实。结果显示，英国前50家网站中，只有12%的网站遵循了欧盟Cookie指令，而在法国和德国几乎没有网站采用欧盟的这一指导规范。

除了针对规章、法令的检查外，针对企业存在的数据安全事件，欧洲也开展了针对各企业的调查活动。2012年10月，欧洲委员会工作小组称，Google公司的隐私政策不符合委员会数据保护的标准，要求谷歌对其隐私政策进行调整，并给了4个月的限期使其政策符合欧洲法律。2018年3月，Facebook被曝光向“剑桥分析”公司泄露5000万用户个人信息，欧洲议会宣布将对此事件展开调查，以确定是否存在数据遭到滥用的情况。

3 《一般数据保护条例》的主要措施

3.1 创新个人信息行政管理机制

《一般数据保护条例》从管理机构、管理模式和管理方法三个层面，对个人信息保护的行政管理机制进行了创新。

一是成立歐洲信息保护委员会。根据《一般数据保护条例》第68条规定，“特别设立欧洲信息保护委员会，其成员由各成员国个人信息保护行政机构首脑或者其代表和欧洲信息保护监督局首脑或其代表组成，委员会的秘书处由欧洲信息保护局担任”。该委员会的设立，将会极大提升欧洲信息保护局的权利，确保条例在各成员国统一适用。

二是建立一站式服务管理模式。《一般数据保护条例》提出，“构建一个包含领导机构和相关机构共同协作的详细的一站式管理规则”，并且指明了领导机构和相关机构，要求“领导机构和相关机构保持密切合作和信息共享”。

三是实施风险等级差异化管理。《一般数据保护条例》实行了风险等级差异化管理方法，对个人信息处理活动的风险划分为“较高风险”“一般风险”和“较低风险”三类，要求信息控制着开展“较高风险”活动前需做影响评估，并向信息保护局咨询。

3.2 明确个人对其信息的控制权

《一般数据保护条例》在现有个人信息保护法律、法规等规范性文件的基础上，总结实践经验，用于创新，进一步明确了个人对其信息的控制权内容。

一是完善了个人信息的范围。《一般数据保护条例》规定，“个人信息是指任何确定或可辨别自然人（信息主体）的信息”，因此任何信息只要能够对应出”特定自然人”，即是条例保护的对象。

二是要求收集和处理个人信息必须获得本人明确同意。《一般数据保护条例》要求，“个人信息使用的条款应具有容易识别、通俗易懂的特点，不得与其他条款进行捆绑，不能将‘沉默‘不作为等默示方式等同为‘同意”，有效解决了当前存在的“捆绑条款”“默认同意”等问题。

三是个人有权随时要求擦除其个人信息。《一般数据保护条例》首次将信息的擦除权作为一项独立权利进行规定，加强了个人信息保护的力度和广度。

四是确保个人查询信息的便捷性。《一般数据保护条例》要求，“信息主体在向控制着行使查询权利时，控制者应免费提供服务；只有当查询要求是重复的、显然不存在的、过分的或者要求复印时，方可索取一定费用”。

3.3 界定个人信息相关单位责任

《一般数据保护条例》重新对信息控制者、处理者进行了责任和义务的界定。

一是将信息控制者和处理者同等对待。区别于先前认为信息处理者是信息控制者的外包服务人者，条例将“信息处理者增设为直接、独立的义务主体”，同时增设了“信息处理者的独立义务”。

二是设立信息保护官制度。条例规定，“信息控制者、处理者在三种情况下必须设立一名信息保护官”，通过分析可知，按照条例规定，除法院外的所有公共机构均有义务设置专门的信息保护官，大大提高了个人信息保护的力度。

三是加强信息安全保护工作。条例规定，“鼓励信息控制者采取加密或变形措施处理，增强信息保护级别”，此外还需要对每一次信息处理活动进行记录，各项保护采取的措施也要公开透明。

四是信息泄漏时需履行报告和通知义务。条例规定，“信息泄露后，信息控制者应在72小时内向信息保护局报告情况，没有造成损害除外”，同时在特殊情况下，控制者还需将信息泄露情况及时通知给每一位信息主体。

3.4 完善特殊情况信息保护规则

《一般数据保护条例》除了对个人信息保护做了大量详细的规定外，对信息跨境流动、信息犯罪等特殊情况，也做出了细致的要求。一是要增强信息跨境流动的监管。云计算、大数据、移动互联网的快速发展，使得信息在全球范围内的流动越来越频繁，因此《一般数据保护条例》对欧盟内个人信息的外向流动进行了严格规定。条例要求，“除非满足一定条件可以证明个人信息能在欧盟境外的某一地区得到充分保护，否则禁止控制者、处理者将欧盟内的个人信息转移至境外地区”，条例还对条款中涉及的“境外信息保护水平”的评判标准进行了详细描述，极为严格。

二是完善了刑事犯罪领域的个人信息利用和保护规则。为了预防和打击犯罪，配合《一般数据保护条例》的实施，欧盟同时颁布了《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》，主要用于保障刑事犯罪领域收集到的个人信息不能被滥用，尤其是保障刑事犯罪人、嫌疑人以及相关被调查人的信息权益。

4 对推动我国个人信息保护的启示

4.1 完善顶层设计

一是由网信部门牵头，联合公安、工信、安全等部门，联合制定全国个人信息保护规划，编制全国推进个人信息安全工作计划，制定个人信息保护的基本原则和相关政策。

二是加强个人信息保护机制和问责机制，制定或修订相关的政策和法律法规，通过建立清晰的个人隐私保护规则和指南，设立问责机制和补救程序，防止个人信息滥用。

三是研究制定个人信息处理活动评估模型，建立综合的个人信息处理标准，确保技术和政策标准的一致性和互操作性，以适应不断升级的安全威胁和不断创新变化的市场需求。

四是要加强政府各部门之间的沟通和协调，整合个人信息安全工作资源，统筹管理、组织、指导个人信息保护工作。

4.2 加快立法工作

一是要加快推出个人信息保护，积极探索适应新时代、互联网环境的个人信息保护法律、法规，完善个人信息保护法制环境。

二是对已有的法律、法规进行修订、完善。例如，个人信息保护相关的条款在《刑法》《刑事诉讼法》《民事诉讼法》《合同法》《居民身份证法》等法律法规中有涉及，可以通过修订、完善相关条款，明确个人信息在社会生活中的重要地位。

三是针对各行业、各领域个人信息保护进行专门法规补充，结合行业特性、数据特点、数据颗粒度等因素，制定具有落地性的专项法规，并定期对法规执行情况进行检查，确保各项法规得到贯彻落实。

4.3 构建标准体系

一是要加快个人信息保护标准化建设，完善互联网环境下的信息收集、处理、存储、共享和管理等各方面的个人信息保护标准，建立覆盖信息生命全周期的标准体系。