欧盟个人数据跨境流动保护制度
2020-11-25郑鸣
摘要:在当今大数据时代、云计算大力发展的背景下,跨境数据流动已成为世界关注的焦点之一。当下的社会发展很大程度上依托于互联网技术,数据信息的传输交流日益频繁,但网络的特殊性使得对网络领域的治理和监管成为难题。在这一领域,欧盟对个人数据跨境流动的保护走在世界前沿。我国应当借鉴欧盟采用统一的立法模式,深化与欧盟的合作,立足全球视野,加强国际交流。
关键词:欧盟;数据跨境流动;数据保护
为了更好地实现个人数据保护,欧盟分别对欧盟成员国内部和第三国制定了不同的制度。欧盟内部对个人数据跨境流动的保护主要通过《个人数据保护指令》和《通用数据保护条例》这两部法律加以规定,本文也将主要介绍这两部法律。
一、《个人数据保护指令》
《个人数据保护指令》是欧洲历史上非常重要的一部保护个人数据的法令,在这部法律中,个人数据包括了可以定位或识别到特定自然人的所有数据,这个定义是非常宽泛的,使得它的可适用性很强。当能够将信息链接到特定的人时,此数据就是“个人数据”,即使持有数据的人不能创建此链接。能被评价为个人数据的如:地址、信用卡号、银行结单、犯罪记录等。《指令》对排斥范围也作出了明确和具体的规定,主要包括涉及国家安全、正当司法活动和不用于商业活动而仅仅用于个人及家庭活动的数据收集等方面。通过列举这些排斥情形,使得除此之外的与个人数据相关的活动都涵盖在《指令》的适用范围之内。
《指令》对处理个人数据作出了规定,除非符合某些条件,否则不应处理任何个人数据。这些条件可分为三类:透明度、合法目的和相称性。透明度指数据主体有在他人处理其个人数据时获通知的权利,数据处理方必须提供他的姓名和地址、处理的目的、数据的接收人,以及确保处理公平所需的所有其他资料。合法目的指个人数据只可作明确及合法的指定用途,而不得作与该等用途不相容的进一步处理,个人数据必须受到保护,不受滥用。相称性指个人数据只有在与收集或进一步处理的目的相关而不过分的情况下才可予以处理。数据必须准确,并在有需要时保持更新状态,及时删除或更正不准确、不完整的数据,这对数据处理方采取合理措施提出了要求。此外,《指令》还规定当敏感的个人数据被处理时,要受到额外的限制。
二、《通用数据保护条例》
《通用数据保护条例》是欧盟法律中针对欧盟(EU)和欧洲经济区(EEA)所有公民的个人数据保护和隐私的规定,它还涉及欧盟和欧洲经济区以外地区的个人数据转移。2012年,欧盟委员会在宣布立法提案时就指出,这项新立法的目标包括:将27项国家数据保护法规统一为一项法规;改进欧盟以外的公司数据传输规则;改进用户对个人识别数据的控制。GDPR于2016年4月14日通过,欧盟委员会将其生效日期定为2018年5月25日,就是为了让世界各地的企业有机会为合规做准备,审查合同中的数据保护语言,考虑向国际标准过渡,更新隐私政策,并审查营销计划。
因此GDPR的最大变化是拓宽了个人数据的保护范围,其主要目标是让个人对其个人数据拥有控制权,并通过统一欧盟内部成员国的监管,来简化开展国际业务的监管环境。
该条例对处理个人数据的标准作出了明确规定,至少要有一项法律依据,否则不得处理个人数据。比如数据主体当事人同意处理其个人资料;与数据主体履行合约上的义务,或应正在订立合约的数据主体的要求履行合约上的任务;遵守数据管理员的法律责任;保护数据主体或其他个人的切身利益;执行符合公众利益或具有官方权力的任务。如使用知情同意作为处理数据的合法依据,则必须是对所收集的数据作出的明确同意,同意必须是当事人所作的明确、自由的肯定。
三、对我国的启示
相对于欧盟,我国起步较晚。多领域的数据跨境服务离不开数据流动的支撑,个人数据被收集与处理的情况也逐渐增加,我国在个人数据保护上面临着巨大的压力。欧盟在个人数据跨境流动方面立法先进,制度完备,其法律规制对我国具有重要的借鉴意义。
第一,采用统一的立法模式。结合我国目前个人数据保护的现状,为了弥补法律层级较低、规定分散的缺点,应当加快制定一部有关个人数据保护专门法律的进程。明确、规范的对个人数据跨境流动作出规定,有助于公民个人建立完整的权利意识,有利于司法实践以及和国际接轨。第二,进一步深化与欧盟的合作。欧盟是我国最大的贸易伙伴,若双方之间个人数据跨境流动存在困难,可能会给我国企业的跨国发展造成极大的不便,不利于双方的合作与交流。对此,中国应该尽快制定出符合国情的个人数据保护法,我国政府可以借鉴欧美之间过去使用的安全港协议及新达成的隐私盾协议的经验,积极与欧盟展开展政治协议的谈判以满足我国经济发展的需要。第三,立足全球视野,加强国际交流。当前全球化已成为发展趋势,数据流动也呈现全球化态势,但我国目前在相关领域的国际合作上还缺乏参与度,对于个人信息的保护不够全面和深入。本国数据保护法是一国参与到跨境数据流动国际对话的前提和基础,因此加强国际合作是很有必要的。欧美发达国家为了维护自身利益,正加紧出台相应的配套措施,以此来提升其国际影响力,争取更多的国际话语权。我国作为最大的发展中国家,也应当更主动地参与到个人数据保護的国际对话中,建立以满足我国利益为出发点的政策标准,在交流中吸取发达国家的经验,促进自身的发展,提高我国的个人数据保护立法水平。
四、结语
欧盟对个人数据跨境流动的保护采取了内外有别的方式,对成员国内部的数据流动采用统一标准和法律指引,对外则设置了严格的标准,旨在避免个人数据在欧盟外的风险。目前我国在个人数据跨境保护方面还存在着诸多不足,借鉴欧盟的立法经验有利于我们取长补短,构建符合中国实际的个人数据保护制度。
参考文献:
[1] 陈飞.个人数据保护:欧盟指令及成员国法律、经合组织指导方针[M].北京:法律出版社,2006.
[2] 杜硕.欧盟个人数据跨境流动的立法对中国的启示[D].济南:山东大学,2018.
作者简介:郑鸣(1995-),女,土家族,湖南张家界人,硕士研究生,研究方向:信用法治。