歐盟《一般數據保護條例》的啟示

劉玉琢

隨著信息化建設的推進和互聯網的普及，人們對信息的依賴程度越來越高，電子政務、電子商務、網上金融等各式各樣的互聯網應用，為人民生活提供高效和便利的同時，也為公民個人信息保護帶來了極大挑戰。當前，無論是政府部門還是商業企業，都在利用各自渠道大規模收集和處理用戶個人信息，造成因個人信息濫用而導致個人信息泄露的事件頻頻發生。由此引發的社會問題越來越多，引起了國家和社會的極大關注。如何規范信息采集者、處理者、使用者的責任和義務，切實做到保護公民對個人信息的合法權益，成為政府和社會需要思考的一個嚴肅問題。

歐洲對個人信息保護問題的探索起步較早，可以追溯到1950年頒布的《歐洲人權公約》。從1981年《關于自動化處理的個人信息保護公約》（以下簡稱“《個人信息保護公約》”），到1995年《關于個人信息處理保護及個人信息自由傳輸的指令》（以下簡稱“《數據保護指令》”），再到2016年《一般數據保護條例》（General DataProtection Regulation，GDPR），歐盟在個人信息保護方面一直處于世界領先地位。《一般數據保護條例》作為歐盟個人信息保護里程碑式法律，為世界各國提供了個人信息保護的樣板和思路。通過梳理歐洲個人信息保護的現狀，分析歐盟保護個人信息方面的主要做法和經驗，對貫徹落實《網絡安全法》，加強我國個人信息保護建設，具有重要的借鑒意義。

歐洲個人信息保護的現狀

（一）頂層設計基本完成。歐洲的個人信息保護意識啟蒙較早，并在一開始就致力于建立整個歐洲統一的個人信息保護體系。20世紀70年代，歐洲理事會已經意識到：有必要對可預期的個人信息收集和處理活動進行提前規制，從而保護公民的個人生活，并通過一系列決議，旨在建立歐洲個人信息保護的基本原則和標準化指南，并在各成員國內推動個人信息保護。1981年1月28日，歐共體成員國在法國斯特拉斯堡市簽訂了《個人信息保護公約》，嘗試在歐洲建立統一的個人信息保護法律制度。之后，歐洲委員會在1990年向歐洲理事會提交了一份《關于保護共同體個人信息及信息安全的指令草案》，該草案正式開始了歐洲信息保護法律制度一體化的進程。

由于《個人信息保護指令》其僅僅適用于歐盟成員國，不能直接適用于歐盟的公民，因此，歐洲議會和歐洲理事會于2001年頒布了《關于歐盟公共機構及其組成部門處理個人信息過程中保護個人信息權利及相關信息自由傳輸條例》，進一步推動歐洲個人信息保護一體化，個人信息保護法更是被寫入歐洲的大數據時代和《歐洲2020戰略》。2010年，歐洲委員會向歐洲議會和歐洲理事會提交的《為歐洲公民傳遞自由、安全和公正：實施斯德哥爾摩行動計劃》明確提出，要制定一個綜合性的歐洲個人信息保護計劃，確保歐盟范圍內個人信息保護的協調一致。

（二）法律體系比較健全。歐盟十分重視個人信息保護的立法工作，目前已經形成了較為健全的法律體系。歐盟對個人數據保護立法工作可以追溯到20世紀90年代。1995年，歐盟通過了《數據保護指令》，該指令為歐盟成員國立法保護個人數據設立了最低標準。在該指令規定的領域，歐盟也制定了一些細化的法規來促進指令的落地。例如，2002年頒布的《關于在電子通訊行業處理個人信息和保護個人隱私的指令》，確定了互聯網環境下個人信息保護的基本原則；2006年頒布的《關于在電子通訊服務、大眾傳媒網絡行業產生的個人信息存儲和公共機構調取指令》，以及2008年頒布的《關于在犯罪問題方面的個人信息保護和司法合作的政策框架》。

隨著信息技術和互聯網的發展，為應對網絡環境下的個人信息保護，歐盟對原有法律進行了豐富和完善。2012年，歐洲委員會正式發布《關于個人信息處理保護及個人信息自由傳輸的條例》（草案），和《關于有權機關為了預防、發現、調查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》（草案）。并于2016年4月8日和14日，歐洲理事會和歐洲議會分別表決通過了《關于個人信息處理保護及個人信息自由傳輸的條例》（即《一般數據保護條例》）、《關于有權機關為了預防、發現、調查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，條例于2018年5月25日正式實施。

（三）行政管理體系完善。經過多年發展，歐洲建立了一套完善的數據保護行政管理體系。在管理機構方面，多數國家設有個人信息安全保護專門行政機關，例如，英國內閣府設有英國信息委員會辦公室（ICO），法國總統府設有國家信息和自由委員會（CNIL），德國總理府設有聯邦數據保護委員會（FCDP），這些機構主要負責本國網絡個人信息安全保護工作；在未設有專門行政機構的國家，大多通過立法形式授權其他行政機關代行保護職責。在行政監管方面，通過政府主導對個人信息保護狀況實行強力監管，例如，英、法、德等國家普遍采取注冊登記制、審核批準制等多種措施，對于個人信息處理活動實行行政審查和管理。

除此之外，行政評估、行政投訴、行政執法、行政救濟、行政處罰等一攬子行政保護措施，對個人信息提供全方位的安全保護。例如，英國規定英國信息委員會辦公室（ICO）有權采取合理性評估、合法性評估等多種行政評估措施，對網絡個人信息處理活動進行事前評析和研判；歐盟相關指令規定，歐盟數據保護機構有權向網絡個人信息處理人發出違法通知、陳述通知、強制調查令、警告令、禁止令、強制執行令等多種行政命令，有效貫徹執行網絡個人信息安全保護相關法律要求。

（四）開展多種保護工作。為了保護個人數據和網絡隱私，歐盟開展了多種數據檢查和保護行動。2015年9月15—19日，歐盟數據保護機構開展發起了“歐盟Cookie行動”，對多家網站以及移動應用進行了審查，確?！稓W洲Cookie指令》的落實。結果顯示，英國前50網站中，只有12%的網站遵循了歐盟Cookie指令，而在法國和德國幾乎沒有網站采用歐盟的這一指導規范。

除了針對規章、法令的檢查外，針對企業存在的數據安全事件，歐洲也開展了針對各企業的調查活動。2012年10月，歐洲委員會工作小組稱，谷歌的隱私政策不符合委員會數據保護的標準，要求谷歌對其隱私政策進行調整，并給了谷歌4個月的限期使其政策符合歐洲法律。2018年3月，Facebook被曝光向“劍橋分析”公司泄露5000萬用戶個人信息，歐洲議會宣布將對此事件展開調查，以確定是否存在數據遭到濫用的情況。

《一般數據保護條例》的主要措施

（一）創新個人信息行政管理機制?！兑话銛祿Ｗo條例》從管理機構、管理模式和管理方法三個層面，對個人信息保護的行政管理機制進行了創新。一是成立歐洲信息保護委員會。根據《一般數據保護條例》第68條規定，“特別設立歐洲信息保護委員會，其成員由各成員國個人信息保護行政機構首腦或者其代表和歐洲信息保護監督局首腦或其代表組成，委員會的秘書處由歐洲信息保護局擔任”，該委員會的設立，將會極大提升歐洲信息保護局的權利，確保條例在各成員國統一適用。二是建立一站式服務管理模式?！兑话銛祿Ｗo條例》提出，“構建一個包含領導機構和相關機構共同協作的詳細的一站式管理規則”，并且指明了領導機構和相關機構，要求“領導機構和相關機構保持密切合作和信息共享”。三是實施風險等級差異化管理?！兑话銛祿Ｗo條例》實行了風險等級差異化管理方法，對個人信息處理活動的風險劃分為“較高風險”、“一般風險”和“較低風險”三類，要求信息控制著開展“較高風險”活動前需做影響評估，并向信息保護局咨詢。

（二）明確個人對其信息的控制權。《一般數據保護條例》在現有個人信息保護法律、法規等規范性文件的基礎上，總結實踐經驗，用于創新，進一步明確了個人對其信息的控制權內容。一是完善了個人信息的范圍?！兑话銛祿Ｗo條例》規定，“個人信息是指任何確定或可辨別自然人（信息主體）的信息”，因此，任何信息只要能夠對應出“特定自然人”，即是條例保護的對象。二是要求收集和處理個人信息必須獲得本人明確同意?！兑话銛祿Ｗo條例》要求，“個人信息使用的條款應具有容易識別、通俗易懂的特點，不得與其他條款進行捆綁，不能將‘沉默‘不作為等默示方式等同為‘同意”，有效解決了當前存在的“捆綁條款”“默認同意”等問題。三是個人有權隨時要求擦除其個人信息?！兑话銛祿Ｗo條例》首次將信息的擦除權作為一項獨立權利進行規定，加強了個人信息保護的力度和廣度。四是確保個人查詢信息的便捷性。《一般數據保護條例》要求，“信息主體在向控制著行使查詢權利時，控制者應免費提供服務；只有當查詢要求是重復的、顯然不存在的、過分的或者要求復印時，方可索取一定費用”。

（三）界定個人信息相關單位責任?！兑话銛祿Ｗo條例》重新對信息控制者、處理者進行了責任和義務的界定。一是將信息控制者和處理者同等對待。區別于先前認為信息處理者是信息控制者的外包服務人者，條例將“信息處理者增設為直接、獨立的義務主體”，同時增設了“信息處理者的獨立義務”。二是設立信息保護官制度。條例規定，“信息控制者、處理者在三種情況下必須設立一名信息保護官”，通過分析可知，按照條例規定，除法院外的所有公共機構均有義務設置專門的信息保護官，大大提高了個人信息保護的力度。三是加強信息安全保護工作。條例規定，“鼓勵信息控制者采取加密或變形措施處理，增強信息保護級別”，此外，還需要對每一次信息處理活動進行記錄，各項保護采取的措施也要公開透明。四是信息泄露時需履行報告和通知義務。條例規定，“信息泄露后，信息控制者應在72小時內向信息保護局報告情況，沒有造成損害除外”，同時，在特殊情況下，控制者還需將信息泄露情況及時通知給每一位信息主體。

（四）完善特殊情況信息保護規則。《一般數據保護條例》除了對個人信息保護做了大量詳細的規定外，對信息跨境流動、信息犯罪等特殊情況，也做出了細致的要求。一是要增強信息跨境流動的監管。云計算、大數據、移動互聯網的快速發展，使得信息在全球范圍內的流動越來越頻繁，因此，《一般數據保護條例》對歐盟內個人信息的外向流動進行了嚴格規定。條例要求，“除非滿足一定條件可以證明個人信息能在歐盟境外的某一地區得到充分保護，否則禁止控制者、處理者將歐盟內的個人信息轉移至境外地區”，條例還對條款中涉及的“境外信息保護水平”的評判標準進行了詳細描述，極為嚴格。二是完善了刑事犯罪領域的個人信息利用和保護規則。為了預防和打擊犯罪，配合《一般數據保護條例》的實施，歐盟同時頒布了《關于有權機關為了預防、發現、調查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，主要用于保障刑事犯罪領域收集到的個人信息不能被濫用，尤其是保障刑事犯罪人、嫌疑人以及相關被調查人的信息權益。

對推進我國個人信息保護工作的啟示

（一）完善頂層設計。一是由網信部門牽頭，聯合公安、工信、安全等部門，聯合制定全國個人信息保護規劃，編制全國推進個人信息安全工作計劃，制定個人信息保護的基本原則和相關政策。二是加強個人信息保護機制和問責機制，制定或修訂相關的政策和法律法規，通過建立清晰的個人隱私保護規則和指南，設立問責機制和補救程序，防止個人信息濫用。三是研究制定個人信息處理活動評估模型，建立綜合的個人信息處理標準，確保技術和政策標準的一致性和互操作性，以適應不斷升級的安全威脅和不斷創新變化的市場需求。四是要加強政府各部門之間的溝通和協調，整合個人信息安全工作資源，統籌管理、組織、指導個人信息保護工作。

（二）加快立法工作。一是要加快推出個人信息保護，積極探索適應新時代、互聯網環境的個人信息保護法律、法規，完善個人信息保護法制環境。二是對已有的法律、法規進行修訂、完善，例如，個人信息保護相關的條款在《刑法》《刑事訴訟法》《民事訴訟法》《合同法》《居民身份證法》等法律法規中有涉及，可以通過修訂、完善相關條款，明確個人信息在社會生活中的重要地位。三是針對各行業、各領域個人信息保護進行專門法規補充，結合行業特性、數據特點、數據顆粒度等因素，制定具有落地性的專項法規，并定期對法規執行情況進行檢查，確保各項法規得到貫徹落實。

（三）構建標準體系。一是要加快個人信息保護標準化建設，完善互聯網環境下的信息收集、處理、存儲、共享和管理等各方面的個人信息保護標準，建立覆蓋信息生命全周期的標準體系。二是要對現有各領域數據保護的相關標準進行完善，使其能過適應各領域新技術的發展趨勢，應用新技術對個人信息保護帶來的挑戰，提高標準的可用性和保障作用。三是加快對個人信息保護評價標準的建立，使信息收集者和處理者能夠按照標準，做好數據安全防護工作，提高應對黑客攻擊的能力，保障個人信息數據安全。

（四）健全管理體制。一是要設立專門的個人信息保護機構，從事個人信息保護的日常監督、管理、執法、評估等工作，定期對我國個人信息保護狀況進行匯總并向公眾通告，提高公眾個人信息保護意識。二是要建立靈活彈性、應對迅速的個人信息保護協調機制，應對突發的個人信息泄露、販賣等重大個人信息安全事件，根據個人信息應急事件的規范化處理流程，做到快速響應和處置。三是要加強各地方、各區域的區域化自治，按照“統一領導、分級負責、分域管轄”的原則，各地方做好本區域內的個人信息保護工作，基層居委會、街道等機構加強對個人信息保護工作的宣傳教育，提高全民的個人信息保護意識。

（五）加強合作交流。一是組織國際、國內研討會，就管理、標準、法規、實踐等現場交流學習，認真總結國內外成熟經驗，并向全國推廣經驗總結，支持、指導、鼓勵各地、各行業在本地、本行業內建立相應的工作機構，推進個人信息安全工作。二是積極參與國際執法協作，在國際合作中，推動國際通用框架的構建，積極參與國際執法協作和框架協議規范數據跨境流通。三是定期組織國內個人信息保護、大數據、云計算、信息安全等各領域的專家，對個人信息保護問題進行研討，推動信息安全理論、技術應用于個人信息保護。