制定GDPR法案，保护国家及个人安全

《一般数据保护法》(General Data Protection Regulation,GDPR)^[1],全称《欧洲议会及欧洲理事会取代95/46/EC指令的保护自然人的个人数据处理及个人数据自由流动的2016年4月27日2016/679欧盟法律》[Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC],2016年5月4日被公布于《欧盟官方公报》(Official Journal of the European Union),根据GDPR第99条的规定,于2016年5月24日生效,2018年5月25日起对于欧盟各成员国国内的实体均具有拘束力,并且完全地和直接地适用于欧盟各成员国(即在2018年5月25日之后欧盟各成员国的国内法院可以直接适用GDPR判定当事人的权利义务,在2016年5月24日至2018年5月24日这两年间即所谓的过渡期内仅诉至欧洲法院的案件才可以适用GDPR,各成员国的国内法院仍适用其本国法)。

GDPR由“一般规定”“原则”“数据主体权利”“控制者和处理者”“行为守则和认证”“个人数据向第三国或者国际组织的传输”“独立的监管机关”“合作和一致性”“救济、责任和处罚”“特别处理情形下的规定”“委托立法与实施细则”“最终条款”等11章组成,共99条。

与2016年5月24日失效的1995年欧盟《个人数据保护指令》(Data Protection Directive,DPD,即由GDPR取代的95/46/EC指令)相比,除了作为Regulation的GDPR可以普遍和直接地在欧盟各成员国国内适用而作为Directive的DPD需要经欧盟各成员国国内立法加以转化后才得以在其国内适用这一法律形式所带来的差别外,在内容上,两者也存在相当程度的不同。之所以欧盟立法者选择以GDPR取代DPD,与以下经济社会背景有密切的关系^[2]。

第一,移动互联网时代个人数据保护面临的新形势。互联网从个人电脑时代进入移动互联网时代以后,个人可以通过多种轻便移动终端设备,随时随地进入网络空间,在享受互联网带来的便利的同时,为互联网源源不断地制作并且提供各种各样的数据。个人越来越离不开互联网,个人的一举一动也都会在互联网上留下痕迹,这意味着互联网服务提供商和其他商业组织(乃至政府的管理部门)拥有了更加便利的收集处理各种个人数据的条件。其中,为用户使用互联网提供服务的企业,特别是为全球用户提供基础服务的互联网应用的大企业(如Google、Facebook和苹果),在新一轮的数据产业浪潮下,将具备更强烈的开发利用个人数据的愿望,在全面掌控和利用个人数据并且对此进行深度加工的过程中,也将享有越来越大的主动性和主导性。控制了大量个人数据的互联网公司,不仅可以用这些数据在提供更高质量的商品和服务方面获得主动权,还可以利用自己掌握的数据,精准分析用户的消费规律和背后的经济发展动态及经济发展走向。互联网公司掌控制的这些数据一旦被互联网公司所在国家的政府部门利用,还有可能对他国的国家安全、经济安全和文化安全构成重大威胁。(www.xing528.com)

第二,当前互联网产业格局对欧盟提出的新要求。近年来,随着相关技术和市场的逐步发展,互联网产业格局形成了美国一家独大,中国紧随其后,欧盟越来越落后的态势。在当前的互联网产业格局中,全世界排名前20位的大互联网公司基本上都是美国和中国的企业,而完全没有欧洲的企业,这种趋势和格局基本已经形成并且不可能逆转。这意味着,在即将到来的数据经济时代,欧洲国家已经并且还将长时间处于非常不利的地位。在互联网的基础应用方面,比如在社交媒体和搜索服务方面,欧洲市场几乎全部被美国公司的基础应用所控制。欧洲地区超过90%以上的搜索服务都由Google提供。在社交媒体服务领域,欧洲人几乎全部使用的是Facebook等公司提供的社交媒体服务。也就是说,美国的公司,在欧盟不设新限的情况下,可以拥有欧洲5亿左右用户的基础数据,而一旦美国的公司可以随意使用和交换这些数据,欧盟国家不仅会失去这些基础数据带来的商业利益,而且会在美国的大数据分析、云计算下门洞大开,毫无安全感可言。即使是在互联网的硬件设施方面,比如移动端设备和通信基础设施等,与美国甚至中国的公司相比,欧洲也处于竞争力较弱的地位。这种情况导致欧洲地区在个人数据的生产存储方面处于天然劣势,如果任由本地区产生的数据随意流入美国等国家,欧洲在经济方面、安全方面甚至文化方面的损失,都将非常巨大。

第三,欧盟统一各成员国个人数据保护标准,并借此建立欧洲统一数据市场的新诉求。DPD设定了成员国立法的最低标准和目标,构成了欧盟数据保护法的基础。然而,由于成员国实施的具体方式和执法过程不同,加上各国独特的法律制度和文化传统,个人数据在不同的成员国享有不同的保护水平。不协调和失衡的法律适用严重影响数据保护的实际效果和欧盟内的数据自由流动。成员国将欧盟指令转化为内容不完全一致的国内数据保护法,企业必须与多国的数据监管机构进行交涉才能满足合规性要求,从而导致不必要的资源浪费。同时,分割的法律实施强化了法律的不确定性,欧洲民众开始普遍怀疑在线活动的安全性,欧盟数据保护法已经开始阻碍相关产业的发展。欧盟需要一个更强大和一致的数据保护框架,以弱化法律的分散性所造成的影响,强化个人的数据控制能力及数据市场的内部运作。因此,消除现行法框架中的繁杂条款,提高法律的针对性和效率以减少行政负担,成为GDPR制定者的重要目标之一。

另外,还需要于此说明的是,根据GDPR第92条、第97条和第98条,欧盟委员会具有了进行关于GDPR某些条款的委托立法(欧盟委员会并非具有立法权的欧盟机构,故为委托立法)的权力;且欧盟委员会应提交对欧盟的其他个人数据保护法律进行修订的建议书,以确保在个人数据处理方面对自然人进行统一和一致的保护;在GDPR生效之日起四年后及以后的每隔四年,欧盟委员会还应就GDPR的评估和审查向欧洲议会和欧盟委员会提交一份报告,并在考虑相关因素后就GDPR的修订提交适当的建议书。