歐盟《通用數據保護條例》對我國個人信息保護的啟示

丹永

2015年12月15日，歐盟執委會（European Commission）通過了《通用數據保護條例》（GeneralData ProtectionRegulation，簡稱GDPR），以歐盟法規的形式確定了對個人數據的保護原則和監管方式，由此代替1995年的《個人數據保護指令》。在歐盟個人信息保護的立法過程中，歐洲征信協會一直代表行業與歐洲立法機構溝通游說，為歐洲征信業爭取有利的外部環境。從“指令”到“條例”的轉變，不僅僅是內容的更新和修正，而是在數字時代新秩序下對個人數據保護的重大制度改革，更是對歐洲征信行業的規范運營起到了深刻作用。

一、歐盟數據保護立法發展

在歐洲國家，其數據保護歷史可追溯到上世紀九十年代。1995年歐盟通過了《數據保護指令》（即“95指令”，全名為PROPOSAL FOR A COUNCILDIRECTIVECONCI：RNING TO：PROTECTION OFINDIVIDUALS IN RELATION TO THE PROCESSIN（;OFPERSONAL DATA），由此該指令成為歐盟成員國立法保護個人數據設立了最低標準。

《95指令》制定時，互聯網尚未被大眾廣泛使用，個人數據的收集及處理僅限定在用戶名、住址、IP地址及相對簡單的金融信息等。但隨著互聯網和社交應用的飛速發展，人們的日常生活乃至地理軌跡信息都在一瞬間暴露。指令中包含的訪向權（即為確保信息的正確性，用戶有權訪問他們的信息并且修改不當的地方）已經遠遠不能滿足用戶的日常需求，轉而尋求對個人數據的控制權。互聯網新技術的發展和用戶控制需求的變化，使該指令為代表的傳統數據保護框架亟待重大更新。

指令的第一次修正起始于2002年。歐盟在當年的7月12日發布了《隱私與電子通訊指令》（Directive on privacy andelectronic communications，Directive 2002/58/EC）中，規定了通信和互聯網服務商需要采取恰當的措施，以保證其安全性;禁止在未得到用戶同意的情況下存儲和使用用戶的數據;服務提供商應該保障用戶的知情權等。此次的修正內容奠定了未來互聯網個人數據保護的原則基礎，但在具體操作層面上還較為粗略，也缺乏明確的違規懲罰措施。

六年后的11月25日，歐盟對個人數據保護措施又有了一次重要的修正，通過了《歐洲Cookie指令》（ELF CookieDirective，DIRECTIVI：2009/136/EC），并確定其于2011年5月25日在歐盟正式啟用。該指令是《隱私與電子通訊指令》的一項重要補充，一是強化了用戶的知情權，讓用戶對網站收集、存儲和跟蹤用戶信息有了清晰明確的了解;二是指令對網站生成、使用和管理以Cookie為核心的用戶個人數據提出了完整規范的管控要求，以避免網站濫用或以不夠安全的方式操作與存儲用戶個人數據。

特別是在移動互聯網世界中，除Cookie以外還存在著眾多不規范巨非法收集跟蹤用戶數據的技術手段。《歐洲Cookie指令》劃清了用戶對個人數據合法操作與非法操作的明確界限，讓歐盟管控互聯網信息操作、進行個人數據保護有了依據。

據TRUSTe2012年10月的統計：在cookie合規性檢查之前，英國只有12%（以排名前50的網站為統計）嚴格遵循《歐洲Cookie指令》的要求，在網站彈出窗口或在指定的地方提供Cookie信息確認的提示或信息說明。而法國和德國的則全部不合規。

盡管歐盟在不同階段制定了不同的數據保護修正指令，但是這些內容僅架構在《95指令》的基本框架之上。他們希望能夠以一個全新的完整框架用來代替前二十年構建的且已經不能適應移動互聯網時代需求的陳舊框架。于是，《通用數據條例》于2015年12月15日正式制定。

二、《通用數據條例》的出臺及相關內容

（1）出臺目的及背景

1.目的

長久以來，歐洲公民擁有自決權決定個人數據以什么目的、哪種方式被使用和處理，且公民的基本人權也將此權利作為一項基本人權被保障。但是隨著互聯網的盛行，公民越發憂心個人數據的失控會威脅到其基本人權。為此，歐盟制定《通用數據條例》其目的有兩項：一是鞏固公民對個人數據的自決權和控制權，保障歐盟公民的基本人權，重拾對個人數據處理的信任;二是統一歐盟數據保護規則，簡化歐盟個人數據保護和監管的流程，降低跨國公司的合規成本，促進一體化的“數字歐洲”進程。

2.背景

數字化時代還未來臨前，《95指令》雖在歐盟成員國內實施，但它僅僅是一種指引而非法規，在成員國的實施情況不盡相同，且不具有強制性。隨著互聯網時代新技術和新的數據處理與應用方式對個人數據保護的挑戰日漸鮮明，《指令》便顯得有些力不從心。

于是在2009年，歐洲征信協會與歐盟委員會就《指令》的不足，從新技術和數據全球化的角度，嘗試對現行的個人數據保護法律進行完善。2010年11月，歐盟委員會提出了強化歐盟個人數據保護的計劃，并于后年元月提出綜合改革方案——《關于提高用戶對個人數據掌控、降低企業成本的個人數據保護方案》，內容指出：科技進步和全球化徹底改變了原有的數據收集、處理和使用方式，沖擊了原來的個人數據保護原則;《95指令》在27個成員國的差異化落地，且具有法律法規的強制性;新的個人數據保護法律框架從便捷公民查詢、攜帶和刪除個人數據方面，進一步提高了公民對本人數據的控制權。2015年6月，就“在歐盟建立一個現代、統一的數據保護新規則”達成了一致，開始共同推進新條例的制定。

2018年5月份《通用數據保護條例》正式生效，《條例》共有99條，對《95指令》中的內容做出了多達3500處具體修改。

（2）適用對象及特點

1.適用對象

包括使用歐盟語言或貨幣，為歐盟居民量身定制產品，或在歐盟范圍內積極營銷。“監控”定義為在線追蹤人員創建個人資料，或分析和預測個人偏好，行為模式或態度。

2.特點

第一，適用范圍廣。在地域上，雖然《條例》是歐洲的法律，但適用范圍不僅限于歐洲。業務機構設在歐盟境內并從事個人數據處理的組織、非歐盟成員國企業在歐盟境內未設立業務機構，但卻處理歐盟境內的個人數據的都適用該條例。在主體范圍上，則直接適用于數據控制者和數據處理者。規定了信息安全措施、未經許可不能轉委托、記錄保存、協助義務等一系列義務。

第二，受保護者權利多。包括個人姓名、政府身份證號碼、位置信息、IP地址、Cookie等，既涵蓋真實世界的信息，又涵蓋網絡世界的信息。除了常規的權利之外，《條例》新增的信息泄露通知、訪問權、被遺忘權、可攜帶權、隱私保護設計等幾個重要數據主體權。此外，《條例》對未成年人的數據保護也有特殊要求：企業和組織取得父母的同意，才能處理16歲以下兒童的個人資料。

第三，對數據處理要求更嚴格。在數據處理過程中，必須以清楚、獨立、清晰的方式向數據主體表達其用戶條款，以獲得數據主體的同意;同意許可必須容易撤回;同意許可必須基于主體自由意志做出，且同意處理的數據范圍不可超過必要限度。

第四，處罰嚴厲。涉及行政處罰和民事處罰。行政處罰分為兩類，第一類針對違反隱私保護設計，以及默認隱私保護，沒有實施充分的IT安全保障措施、違反數據泄露通知要求等違法行為，處以最高 1000萬歐元或者上一年度全球營業收入的2%，二者取其高;第二類針對違反數據處理原則，數據處理沒有合法基礎、違反同意要求、侵害數據主體的合法權利等違法行為，處以最高2000萬歐元或者企業上一年度全球營業收入的4%，二者取其高。民事處罰也分為兩類。就對外的被侵權數據主體而言，為了確保其獲得有效賠償，數據控制者和數據處理者就信息主體的全部損失承擔連帶責任。而在內部的責任分配上，數據控制者就其違反《條例》規定的數據處理行為擔責;數據處理者只對其未遵守規定的特別是針對數據處理者的義務或者其超過數據控制者的合法指示的行為造成的損失擔責。當然，這些處罰也會根據行為的性質、主管狀態以及違規事件發生后的應急響應情況等多重因素綜合考量，并對中小企業給予一定的豁免權。

三、《通用數據保護條例》對我國征信行業的影響

（1）遵循數據分布，實行動態管理

傳統意義上的立法管轄權通常是按國家（地域）進行劃分的，但由于互聯網上的數據分布是動態變化的，為了更好地適應全球組織的要求，《條例》中數據保護約束突破了法律管轄數據的地域限制，僅與數據的分布有關。這就意味著《條例》不僅適用于歐盟企業，還適用于向歐盟居民提供產品或者服務的征信機構，甚至收集或監控相關數據的非歐盟企業和組織也響應接受約束。

（2）記錄操作流程，建立監控記錄機制

征信機構和組織在對個人數據進行操作時，必須將所有的操作流程和步驟記錄下來，以免不正當的操作手法造成隱私泄露。換個說法，必須建立個人數據操作監控記錄機制，以備政府和征信監管機構檢查。由于《條例》是全歐盟內部統一的，所以大型征信機構可以使用一套標準的監控記錄機制對歐盟內所有國家的分公司進行監控和管理。

同時，當發生嚴重的隱私數據泄露時，《條例》要求第一時間通知相關國家監管機構，并把數據泄露的數量、方式、渠道以及可能的影響范圍上報。如果數據泄露會對數據所有者（用戶）產生負面影響，組織也必須毫不延誤的通知數據所有者（用戶）以便其采取必要的措施消除影響。

（3）遵從最簡化原則，設計告知構造

將數據保護視為基本要求的《條例》，強制要求企業在業務設計初期就必須將其考慮。這其中包含了兩方面的要求：其一，在設討新的業務系統、操作流程和服務時，處理個人數據的環節就必須遵從《條例》要求的方式進行構造。企業還必須提供相關信息證明自己滿足了上述要求。其二，當系統、流程和服務包含了個人數據被共享的多個不同級別時，默認的缺省選項必須是共享內容最小的選項不共享任何內容，這就是數據保護的最簡化原則。

（4）刪除不實數據，防止不良信息散布

《條例》特別訂立了被遺忘權和反對權，且該兩項權利主要是針對社交媒體的，其主要意圖是為主體提供反對權和被遺忘的權利。打個比方，當一位父親在女兒的婚禮上喝了一杯酒，而這張照片被父親的領導看到，認為他有酗酒的嗜好而將其開除，這張照片實質上就對父親個人產生了影響。對于這位父親來說，要求消除之前在社交媒體上的圖片信息就是合理的。這一點對征信機構也同樣適用，個人應該有這樣的權利。但是，上述權利會影響征信業的業務模式和數據的完整性。因為在某些時候，個人有權根據這些權利隨時拒絕征信機構處理其數據，有權利撤回向征信機構提供的數據采集的授權，有權要求刪除其數據，并且如果征信機構早前已經對刪除的數據進行了公開傳播，還要負責告知其他機構刪除該數據。

但是，如果完全開放刪除個人信息的模塊，就有可能使得數據完整性缺失，進而影響金融系統的正常風險管理，畢竟征信行業本身還有維護金融穩定等公共利益的義務。

（5）巨額的懲罰上限

《條例》中最吸引眼球的就是巨額的懲罰上限。盡管規定違法的懲罰金額由歐洲各成員國自行確定，但懲罰上限確是處于歐盟立法中相當高的水準：對于不太嚴重的違法，罰款上限是一千萬歐元或前一年全球營業收入的2%（兩值中取大者）;對于嚴重的違法，罰款上限是兩千萬歐元或前一年全球營業收入的4%（兩值中取大者）。

（6）根據國情，總結借鑒意義

在互聯網大數據的背景下，借鑒《通用數據保護條例》，加強對我國個人信息的保護，筆者認為應當從以下幾方面人手：一是，應當規定在合同簽訂和履行過程中，互聯網企業應當遵循信息搜集的合理性、適當性原則，不得“過分”搜集消費者的信息。二是，互聯網企業通過格式條款取得個人信息書面使用授權或者同意的，應當在條款中明確該授權或者同意所適用的向他人提供個人信息的范圍和具體情形，應當在協議的醒目位置使用通俗易懂的語言明確向消費者提示該授權或者同意的可能后果。三是，消費者簽訂合同或者履行合同的過程中，拒絕將個人隱私存人互聯網絡企業的數據庫，那么互聯網絡企業不得拒絕服務。并且應當將有關消費者的個人隱私刪除。四是，互聯網絡企業必須切實保護消費者個人隱私，建立個人金融信息使用管理制度。因監管、審計、數據分析等原因需要使用個人金融信息數據的，應當嚴格內部授權審批程序，采取有效技術措施，確保信息在內部使用及對外提供等流轉環節的安全，防范信息泄露風險。

綜上所述，歐盟通過立法保護征信行業的個人信息已有較長的歷史，其立法宗旨和保護規范逐步完成了由規范處理到人權保護的轉變。《條例》為成員國立法保護個人信息設立了最低標準，確立了數據質量原則，賦予信息主體廣泛的權利，對征信行業的有序規范運營影響甚巨。