欧盟数据控制者的义务:源起、变迁及其缘由*
2019-03-20高楚南
高楚南
0 引言
随着数据产业迅猛发展,灰色的数据链条也在形成。仅2016年360猎网平台就收到网络诈骗举报20623例,涉及金额1.95亿元,人均损失达9471元[1]。数据大量泄露和被盗的背后是控制数据的主体有意无意的疏忽,导致数据落入不法者手中。究其根本,是我国对数据控制者缺少义务规制,导致数据产业的野蛮生长,产生极高的市场负外部性。针对该问题,强调个人数据保护的欧洲在数十年间多次在立法中论及数据控制者,并对其义务进行严格规制。其中,最具代表性且具有时间继承顺序的法律渊源是世界经济合作与发展组织(Organization for Economic Co-operation and Development, OECD)、 欧洲委员会以及欧盟的立法。本文挖掘以上三大法律渊源中数据控制者的源起及义务设定,总览其变迁轨迹,归纳其变迁规律,以便于我国借鉴欧洲数据控制者义务保障体系。
1 数据控制者的源起和发展
政府出于管控需要,对国民的个人数据进行统计,计算机自动化技术满足了这一需求,于是大规模的个人数据处理使政府成为数据控制者。信息网络环境下,数据量的激增和新技术的运用使数据商业化运用成为可能,市场催生出大量新的数据控制者,其控制的数据体量远超政府。欧洲在立法上充分考量数据发展的现实,将掌控和决定数据这一核心要件作为判定数据控制者的主要标准之一。
1.1 数据控制者源起于计算机自动化
1960年代,欧洲开始通过计算机自动处理技术积累个人数据,使个人数据的搜集速度和范围发生质变,政府成为名副其实的数据控制者。随后,数据保护立法出现,德国黑森州于1970年颁布第一部《数据保护法》,该法第二部分“Datenschutzbeauftragter”(数据保护官员)详述其地位、责任及义务,但其身份只能视为数据控制者的办事人员,而非数据控制者本身。数据控制者真正在法律文本中得以确立,是OECD于1980年发布的《隐私保护和个人数据跨境流通的指南》(以下简称《1980指南》),其定义是“根据各国法律能够决定个人数据内容和用途的主体,无论该数据是由其本人还是由其代理人收集、存储、处理和传播的”①。至2013年,OECD颁布了修订后的《隐私保护和个人数据跨境流通的指南》(以下简称《2013指南》),沿用了《1980指南》中数据控制者的定义。欧洲委员会与OECD在数据保护立法方面极具同步性,其1981年通过的《个人数据自动化处理中的个人保护公约》(以下简称《108公约》),是计算机和信息化技术出现后第一部关于数据保护的国际公约。由于《108公约》使用“数据文档”(data file)这一描述,所以相应使用了“文档控制者”(controller of the file)这一名词,其定义是“有权依据国内法决定自动处理数据文档的目的、应被存储的个人数据的类型和适用于这些个人数据的处理操作的自然人或法人,公共机构、代理机构或其他机构”②。由于此时的数据控制者多是政府等公权力机构,所以以上定义使用了“决定”“有权”等带有权力意味的词汇,同时强调“自动处理”,明确仅适用于计算机自动处理个人数据的情形,以区别于普通民事隐私侵权。可以说,随着计算机自动化技术的出现,能够掌控大规模数据的控制者才开始出现,其概念也得以初步确立。
1.2 数据控制者在信息网络环境的发展
1980年代之后,信息网络发展迅猛,数据生成量成几何倍数增长,数据挖掘和分析技术的发展不断突显数据的商业价值。在市场驱动下,数据控制者开始由公权力机关转向私人企业和社会机构,欧洲在立法上也出现新的变化。1995年10月24日,欧盟颁布《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》(以下简称《95指令》),将数据控制者定义为“单独或者与他人共同确定个人数据处理的目的和手段的自然人或法人”③。作为《95指令》的替代者,欧盟于2016年通过并于2018年实施的《一般数据保护条例》(以下简称《16条例》),并未对数据控制者的定义进行修改④。除《95指令》和《16条例》对数据控制者作出较为完善的定义外,2012年欧洲国家共同缔约在《108公约》基础上修订的《个人数据处理中的个人保护公约》(以下简称《2012公约》),则将数据控制者定义为:“独立或与其他人共同作出数据处理决定的自然人或法人、公共机构、代表机构或任何其他组织”⑤。相较《108公约》,该定义去掉了“自动处理”的行为要件,增加了“共同”的意思联络要件。虽然其适用范围排除“个人纯粹从事私人或家庭活动而进行的数据处理行为”,但这一排他性的条款从侧面表明,进行非计算机自动处理的主体也有可能是数据控制者。数据控制者的范围得到扩宽,同时可能为多个主体。以上立法表明,在信息网络环境下,数据控制者的定义呈现出高度概括化趋势,核心要件不再是数据的自动处理,而是强调事实上掌控数据的能力。总之,技术和市场的发展催生数据控制者形式的多样化和复杂化,其范围至少包含网络平台服务商、社交网络服务商、电子商务服务商、网络服务提供商及信息基础设施服务商等。
2 数据控制者义务类别
数据控制者的义务规定主要源于前述三大法律渊源,三者虽然立法主体、立法宗旨和背景、逻辑结构各不相同,但仍可通过具体义务的横向及纵向比较,归纳总结出数据控制者的12项主要义务类别,见表1。
表1 数据控制者义务类别
2.1 长期延续的义务
数据安全、告知、更正和清除等三项义务从最早的法律渊源中延续至今,并在发展过程中得以加强和细化。其中,数据安全义务在《2012公约》《16条例》中被赋予“系统保护(data protection by design)”这一新理念,即在数据处理程序的设计阶段就充分考虑数据保护问题,如嵌入匿名化机制和数据最小化机制,将数据安全的理念贯穿于整个数据处理活动中。另外,提高告知义务的时效性,如《16条例》规定在搜集数据的同时应当告知数据主体相关信息。同时,告知也成为其他多项义务的附随义务,如进行更正和清除操作后需告知数据主体。更正及清除义务在《1980指南》《2013指南》《108公约》《2012公约》《95指令》中均规定,要么在数据主体的异议成立时,要么在数据处理行为违反公约规定时,要么在数据不完整不准确时,数据控制者才会更正或清除数据。而在《16条例》中,强化了更正和清除义务,即使数据处理行为符合法律规定,但其存在已经失去必要的目的时,数据控制者同样应承担清除义务。值得注意的是,在《16条例》出台期间,欧洲经历了“冈萨雷斯诉谷歌被遗忘权案”,仅2014年Google就收到498737条链接的删除要求,并成功移除其中的41.8%[2]。可见,清除义务已成为一项广泛施行的基本义务。
2.2 后期立法增设并延续的义务
报告、损毁通知、建立内部机制(合作义务)及建立风险评估机制(风险评估义务)均是后来立法增设的义务。《95指令》后,欧盟对数据控制者施加更为严格的义务,如报告义务即是由于《95指令》之后的立法均要求设立数据监管机构,才增设的义务。该义务不仅要求数据控制者向监管机构披露其自身信息,也要证明其数据处理行为符合法律规定。报告义务进一步衍生出损毁通知义务,该义务规定向监管机构报告是无条件的,而只有在数据损毁可能产生较高风险时才要求通知数据主体。合作义务和风险评估义务在《2012公约》《2013指南》《16条例》中均有所体现。合作义务在前两者中的体现是,要求数据控制者建立内部机制并与监管机构合作,但未明确具体程序。《16条例》规定“数据控制者经请求,应当与监管机构合作履行其职责”,如设立风险评估机制,当评估结果显示数据处理风险较高时,数据控制者应当咨询监管机构并获取建议,从而落实与监管机构的合作细则。增设的义务使得数据控制者义务范围不断扩宽,形成广泛而紧密的义务网络。
2.3《95指令》《16条例》独有的义务
数据处理记录、事先咨询(预先审查)以及设置数据保护专员是《95指令》《16条例》中独有的义务,限制处理则是《16条例》独有的义务。《95指令》规定,数据处理操作记录由监管机构保存,并向任何人公开查询。这不仅加重了监管机构的负担,也使得个人数据存在被第三方盗取的可能性。因此,《16条例》规定,由数据控制者保存数据处理记录,并应监管机构要求而提供,不再向社会公开。《95指令》中,监管机构需要对特殊风险的数据处理行为进行预先审查,但特殊风险并没有确切的标准。而《16条例》并没有采取预审的办法,而是结合风险评估机制,当评估结果显示数据处理风险较高时,数据控制者才向监管机构咨询。这两项义务内容的修改既明确了标准,也节约了成本,提升了效率。而数据保护专员则负责以上各类事项的具体落实,最终构成以合作为前提,以评估为参考,进而咨询监管机构这一完整的义务体系。可以说,这三项义务的创设,将数据控制者的各项义务有机结合,形成有序的义务规程。
3 数据控制者的义务变迁路径
马克思提出“没有无义务的权利,也没有无权利的义务”,说的是一种价值判断,而非事实判断[3]。现实中,权利与义务的联系并不总是直接且一对一的[4]。无论是《1980指南》《2013指南》中大量的原则性规定,还是《108公约》《2012公约》中开始出现的具体义务规则,数据控制者的义务并非与数据主体的权利相对应。直到出台《16条例》时,才分设“数据主体的权利”和“数据控制者和处理者”两个章节,构建权利义务相对应的立法体例。从立法的变化可看出,数据控制者的义务逐渐从原则性规定朝具体规则方向演进。在具体规则的构建中,又从数据主体的权利要求朝数据控制者具体义务承担的方向逐步细化和发展。总之,数据控制者义务的立法变化逐步接近马克思所说的理想状态,体现出法律制定从实然到应然的理性变迁过程。
3.1 原则性义务向规则性义务过渡
法律的现实意义在于适用,规则天然优先于原则适用。在变迁过程中,数据控制者的义务逐渐以具体规则的形式予以确定。《1980指南》并没有明文规定数据控制者的义务,只是抽象出数据保护和使用的八项原则:收集限制、数据质量、目的特定化、使用限制、安全保护、公开、个人参与以及责任原则。其中,“责任原则”是指“数据控制者将对是否有效实施上述所有原则承担责任”,可见数据控制者将负责前述各项原则的具体落实。之后的《108公约》乃至《95指令》,吸收了《1980指南》的众多原则,设置了相应的义务规则,如限制处理义务源自使用限制原则,更正和清除义务、透明度义务源自个人参与原则,报告和通知义务源自公开原则。《2013指南》在前述八项原则的基础上增设“实施责任”,列明数据控制者的具体义务:一是实施隐私管理规划制度的义务(包括建立内部机制、建立风险评估机制等);二是证明隐私管理规划适当的义务;三是个人数据重大安全损毁事故告知(数据主体)和报告(监管机构)的义务。《2012公约》虽然在第二章使用“数据保护基本原则”这一措辞,但其内容大多是具体规则设置。《16条例》则不再强调原则性义务,而是直接进行大量的规则性设计,并明确了操作流程以便施行。可见,后续的立法不仅仅局限于原则性义务的制定,更注重具体规则的构建,从而有效地将原则精神引导和落实于具体规则之上。
3.2 数据主体权利要求向数据控制者义务承担过渡
数据主体权利需要数据控制者的义务来进行保障,伴随着规则性义务不断增设,保障方式逐渐由权利指向朝着义务承担的方向过渡。《108公约》《2012公约》均在第二章“数据保护基本原则”通过“数据安全”“数据主体的额外保障(权利)”两个方面从侧面规定数据控制者的义务规范。《2012公约》更进一步,在上述两方面以插入性条款直接列明数据控制者的义务,要求数据控制者建立内部风控管理和数据处理风险评估机制,但仍然没有单独章节对数据控制者义务进行规制。总之,《108公约》《2012公约》主要以数据主体的权利为导向,指向数据控制者的义务承担,如反对数据擅自处理权、数据知情权、数据更正清除权、获得救济权,分别对应安全义务、告知义务、更正和清除义务、赔偿义务。
《95指令》规定数据主体更正和清除数据的权利请求,此处的清除权仅具雏形,只有当数据不完整或者不准确时,数据主体才具备更正和清除的请求,同时没有明确数据控制者对应的义务,这都是当时清除权并未能有效落实的原因。《16条例》规定“数据控制者有义务立即清除相关个人数据”⑥,并直接以义务的形式对其进行要求,从而形成完整的权利请求与义务对应关系。《16条例》总体上通过单独设置“数据主体的权利”“数据控制者和处理者”两个章节,分别从“数据主体权利要求”“数据控制者义务承担”两方面对数据控制者的义务进行详细规定,真正以数据控制者为视角列明其所应承担的义务规范。相比之前的立法,数据控制者的义务得到强化,增设数据泄露报告义务、系统默认保护义务、数据影响评估义务及限制处理义务等。可以说,《16条例》是迄今为止数据控制者义务不断演进中所达成最为完善的立法实践,充分体现了从完全的数据主体权利导向,到由数据主体权利要求为辅,数据控制者义务承担为主的立法过渡。
4 数据控制者义务变迁的特点
4.1 义务种类随时间变化逐渐增多
数据控制者的义务种类随年代变化而变化。年代越久远的法律文本,规定的义务种类越少;年代越近的法律文本,规定的义务种类越多。《1980指南》《108公约》只规定3项义务种类;《95指令》增加至7项,《2012公约》《2013指南》保持该数量;《16条例》则达到12项,逐步增加的有数据处理记录、事先咨询(预先审查)、设置数据保护专员、报告(监管机构)、透明度、风险评估、合作、损毁通知、限制处理等义务。数据控制者的不同义务间,呈现出互相纵横交错的趋势,这与逐年增设的义务种类紧密相关。
4.2 核心义务得以继承并强化
最早立法所确立的数据安全、告知、更正和清除这三项义务在之后的立法中不断强化,成为数据控制者的核心义务。数据安全义务在新技术背景下得到增强和细化,强调“系统保护”策略,通过法律和技术两个层面来确保数据安全;告知义务的要求也在提升,明确告知的时限、范围及内容,除获取数据时需向数据主体告知数据控制者的身份信息、联系方式和处理目的,还需在每一项数据处理过程中(如限制处理、更正及清除的情况下)告知数据主体相应信息,最大限度地确保数据处理的透明度,形成了完整的告知体系;更正和清除义务则去除了附加条件,便于数据主体决定自身数据的存留与否,数据控制者的数据处理行为已经开始充分尊重数据主体的意志。
4.3 义务体系具有同一渊源性
《1980指南》是最早对数据控制者义务进行规范的法律渊源,数据控制者的多项义务都能够在其规定的原则中得到印证,呈现出义务规范法律渊源的高度一致性。例如,透明度义务源于其中的“公开原则”,要求数据控制者在收集和处理数据的过程中公开必要信息以及有效途径,使数据主体充分知情;限制处理则源于“使用限制原则”;更正及清除发展自“个人参与原则”;数据安全所强调的系统保护和默认保护则是“安全保护原则”的发展与创新。后期的立法正是基于《1980指南》中历久弥新的古老原则,增加可操作性,对这些原则进行了发展与完善[5]。
5 数据控制者义务变迁的缘由
5.1 技术发展的变迁需要
科技是第一生产力,随着生产力的进步,生产关系需要调整。法律是生产力与生产关系的有效调整措施,而信息技术直接影响着法律的现在与未来[6]。20世纪八九十年代,计算机技术进入高速发展时期,小型台式计算机开始普及,自动化数据处理在政府部门也得以普及。但直至《95指令》施行时,互联网主要起到信息传输的作用,在欧洲范围内还未得到广泛应用。1993年欧洲互联网存储的个人数据仅占整个电子通讯信息的1%,而现在占比高达97%[7]。跨过千禧年,互联网技术突飞猛进,网站流量激增,新兴信息技术的发展催生出更为先进和复杂的产品,如电子监控系统、生物技术识别系统。伴随信息技术应用产生的云计算、移动互联网、社交网络以及各类智能终端,无时无刻不在记录和收集个人数据。信息技术使得观察、储存和分析人们的大多数日常活动成为可能,而且更迅速和隐秘,除非有完善的数据保护标准广泛有效地实施,否则将损害民众的基本自由和人权[8]。因此,在《2012公约》《16条例》中,采取“系统保护”理念,要求数据控制者在设计新型处理技术、产品或服务过程中使用一系列隐私强化措施,以应对计算机自动化技术的发展对个人数据收集和使用进行的限制,确保个人数据保持有限访问的状态;增加透明度义务并强化告知义务,帮助数据主体清晰了解数据控制者的数据收集过程,避免因技术鸿沟引发信息不对称问题,保证数据主体充分知情。这些义务在之前的立法中并未出现,受制于技术水平也难以实现。可见,随着科技的发展,个人数据难以遁形,“数据画像”越发常见,需要通过不断更新的制度设计,采取技术手段设置保护壁垒,规避技术发展对个人隐私造成的威胁。而数据控制者的义务设置充分呼应了技术的发展需要,为适配技术的更迭而不断变迁。
5.2 数据主体的权利博弈
权利与义务具有对应关系,伴随数据主体权利意识的觉醒,对数据控制者的义务承担也提出了更高要求。近30年来,随着信息技术的快速发展,大部分欧洲人认可个人数据披露逐渐成为现代生活的一部分,也有高达72%网络用户担心其个人数据被过度收集,他们对个人数据如何使用和传播均无从知晓,同时也不知道如何行使自己的权利[9]。这直接导致欧洲人对新型互联网服务的接受度下降,阻碍了欧洲在互联网技术领域的科技创新。可以说,数据主体的权利化困境已经开始成为欧洲数据产业发展的障碍之一。
伴随着对技术的警惕审视,欧洲民众对数据的权利意识开始提升,并对个人数据提出了相应的权利要求。“冈萨雷斯诉谷歌被遗忘权一案”确立了数据主体的删除权,而与数据主体的权利要求相对应的便是数据控制者的义务,由此进一步强化数据控制者应履行的删除义务。欧洲立法机构为应对欧洲民众对于数据权利要求的呼声,开始对数据控制者的各项义务进行立法完善。比如,《16条例》中独有的限制处理义务,即是为了保障数据主体对个人数据的自决权;损毁通知义务的创设和告知义务的强化,则是为保障数据主体知情权及其有效落实。虽然欧盟于2000年发布的《欧盟基本人权宪章》第8条明确规定“人人有权保护涉及他或她的数据”,表现出将个人数据作为独立人权保护的趋势,但从各大法律渊源看,仍然倾向于从控制个人数据主体处理数据行为的角度对个人数据进行保护,并且将数据主体的各项权利视为对数据控制者义务履行的请求权。同时,义务变迁的总体理念是暂且搁置这些请求权的合理性基础,通过立法对数据控制者的义务进行不断完善和细化,从而呼应数据主体不断强化的权利意识。
5.3 数据主权的制度保障
美国是数据强国,始终秉持对数据充分利用的态势。欧洲为保护区域内的数据安全,通过制度构建,对美国在欧洲范围的数据收集行为进行制约。由于欧洲长期以来对个人数据利用所持的保守态度,在数据开始成为国际竞争焦点的时代,互联网技术先进的美国在数据竞争中占尽优势,并培育出IT界八大金刚(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软),这些企业的产品涵盖教育、医疗、体育、金融、交通、军警等领域,小到智能手机,大到服务器集群,均遍布其身影,成为名副其实的数据控制者。欧洲的互联网企业无论体量还是规模,都难以与上述企业比肩,技术上更是如此。“棱镜门”事件暴露出美国企业长期将世界范围内搜集到的数据输送给美国政府,单纯靠给Google开出巨额罚单也并非长久之计。“安全港协议”的废除表明欧洲已经意识到,必须通过有效手段遏制他国行为,避免对本国数据的无尽获取,同时应促使他国企业承担更多的社会责任。
在技术落后于美国的情形下,欧洲通过制度构建进行弥补。自《108公约》开始,欧洲便期望统一数据保护立法,但历经十年,收效甚微,直至1991年底《108公约》只获得12个欧洲委员会成员国的批准[10]。在此背景下,更为直接的立法模式应运而生,从《95指令》的国内转化立法,到《16条例》的直接适用,都在促使整个欧洲能够适用统一的数据保护规则,确保“数字单一市场”的构建,促使数据控制者的义务得以全面落实。
欧洲在具体制度设计当中,对数据控制者的义务要求越为严格和规范。《95指令》后,各国开始设立数据监管机构,进一步强化数据控制者的报告义务,要求数据控制者与数据监管机构充分合作,合作项目包括风险评估、审查咨询、损毁通知等,形成事前评估,事中咨询,事后报告的义务网络,构建出较为稳定和完善的义务保障体系。设置数据保护专员,促成切实有效的监管机制,落实数据控制者的义务承担。欧洲试图通过制度构建,保障区域内个人数据安全乃至国家安全,对数据控制者义务不断强化和增设。可以说,欧洲与美国在数据问题上的长期博弈是促成数据控制者义务变迁的重要缘由之一。
6 结语
数据控制者是随着计算机信息技术而发展衍生出的主体,也是推动技术进步和数据产业发展的驱动主体。在此前提下,欧盟数据控制者义务的变迁随技术发展体现出极强的时代特征。随着数据主体对个人数据保护需求的不断提高,义务规范也不断复杂化和多样化。欧洲区域内“数字单一市场”的构建也促成了数据控制者更为严格和完善的义务体系。当前我国尚未对个人数据形成体系化保护,并且事后救济途径匮乏,也没有完全将个人数据保护从民事侵权行为中区分开来。在此背景下,借鉴欧盟的立法经验,通过强化数据控制者的义务设定,构建个人数据事前保障措施,从源头避免个人数据的过度开发及泄露,可促进数据这一新兴产业朝着平衡利用、合理开发的方向蓬勃发展。
注 释
①OECD Guidelines on the Protection of the Privacy and Transborder Flows of Personal Data,ⅠArt1(a).
②Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,CE TS108,Art2(d).
③DIRECTIVE 95/46/EC OF THE EUROPEAN PARL IAMENT AND OFTHECOUNCIL, Art2(d).
④General Data Protection Regulation,Art4(7).
⑤Convention for the Protection of Individuals with regard to Processing of Personal Data(2012),Art 2(c).
⑥General Data Protection Regulation,Art17(1).