实施机制及服务与规定：GDPR相关重点分析

GDPR第六章“独立的监管机构”、第七章“合作与一致性”和第八章“救济、责任与惩罚”规定的是各成员国的数据监管机构的职责和权力、各成员国数据监管机构在欧盟层面的合作以及数据主体可以向监管机构和法院提出救济手段等内容。由于这些内容均涉及GDPR的实施机制,彼此间有较大的关联性,以下拟一并进行分析。

GDPR第51条规定,各欧盟成员国应当设立一个或多个独立的公共机构负责对GDPR的实施情况进行监督,以保护自然人在个人数据处理方面的基本权利和自由,并促进个人数据在欧盟内的自由流动。与DPD相比,GDPR对监管机构做出了以下三方面的新规定。其一,各成员国监管当局应根据GDPR第七章的规定,通过所谓的一致性机制(consistency mechanism)相互协助并与欧盟委员会合作。其二,GDPR第52条规定,监管机构在根据GDPR执行任务和行使权力时应完全独立,其成员不应直接或间接受外部影响,亦不应寻求或听取任何人的指令。其三,监管机构根据GDPR第57条和第58条的规定应开展申诉受理、资料审查和数据风险宣传等服务。GDPR第58条增强了监管机构以下方面的执法权：通知数据的控制者、处理者相关违反行为;要求违法者提供相关信息,或者向监管机构提供访问此类信息的接口;现场调查、审计;命令修改、删除或者销毁个人数据;采取临时性的或者限定性的数据处理禁令;科以罚款等。

GDPR关于监管机构行政罚款的规定也在其起草过程中了引起过较大的争议。草案一度规定违反GDPR的公司将面临最多相当于其全球营业额5%的行政罚款,“这一罚款比例,对于Facebook这样的大型跨国公司而言,这相当于数亿美元的罚金;而对于谷歌这样的互联网巨擎而言,这甚至相当于数十亿美元的罚金”。此种规定的主要意图,恰如来自德国的欧洲议会议员菲利普·阿尔布雷希特所言：“如果某些公司迫于美国国家安全局的压力,依然冒着违反欧盟法律的风险将欧盟公民的数据交给美国政府,那么将面临灾难性的惩罚。”^[13]在正式文本中,GDPR第83条将行政罚款分为两个档次。第一档为处以1000万欧元或者上一年度全球营业收入的2%的罚款,两者取其高。其针对的违法行为包括：没有实施充分的个人数据保护措施,或者没有提供全面的透明的个人数据保护政策;没有签订书面的数据处理合同;违反GDPR第五章的规定向第三国或国际组织的传输个人数据等。第二档为处以2 000万欧元或者上一年度全球营业收入的4%的罚款,两者取其高。其针对的违法行为包括：无法说明如何获得数据主体的同意;违反数据处理的基本原则(包括同意原则);侵害数据主体的合法权利以及拒绝服从监管机构的命令等。需要注意的是,行政罚款只是监管机构可采用的处罚措施中的一种,对于其他处罚措施,根据GDPR第84条,成员国应就其制定规则,并采取所有必要的措施确保这些规则的实施,这些处罚措施应当是“有效的、适当的和具有劝诫效果的”(effective,proportionate and dissuasive)。根据第29条工作组的说明,监管机构有责任选择最适当的处罚措施,考虑所有能够采取的矫正措施,在具体案件中,应采取审慎平衡的方法;并且,在采取行政罚款的措施时,根据GDPR第83条第1款的规定,监管机构也应当确保行政罚款是“有效的、适当的和具有劝诫效果的”。GDPR第83条第2款则详细列举了监管机构在确定是否处以行政罚款及行政罚款的金额时应充分考虑到的十一种事项。

GDPR关于监管机构的规定在很大程度上贯彻了欧盟立法者力图建立“一站式监管机制”(one stop shop)的设想。根据这种新的监管机制,企业“主要营业场所”所在国家的监管机构将作为GDPR第56条所规定的“主导监管机构”(lead supervisory authority),对企业的所有数据活动负有监管职责。由此,对于在欧盟不同国家提供业务的企业或者在不同国家都有营业场所的企业来说,其不再需要与多个不同成员国的数据保护监管机构打交道,换言之,跨国企业通常只需要与其母公司所在国的数据保护监管机构沟通,这样能够简化程序、提高效率并且节省成本^[14]。当然,为保证监管的协调统一性,GDPR第61条至第67条构建了一套复杂的咨询机制：“主导监管机构”的监管决定要最大程度上反映其他成员国监管机构的意见;如果不能达成一致意见,则交由欧盟数据保护委员会(European Data Protection Board,EDPB)处理。由GDPR第94条第2款可知,欧盟数据保护委员会是由第29条工作组“升级”而成的机构,GDPR第68条至第76条在原先第29条工作组的职能的基础上进行扩展,对欧盟数据保护委员会的成员结构、独立性、决策程序和职责等内容做了详细规定^[15]。(www.xing528.com)

数据主体可以向监管机构和法院提出救济手段,大体包括数据主体向监管机构提出的申诉和向法院提起的诉讼这两个方面。

关于前一个方面,GDPR第77条规定,在不影响任何其他的行政救济或司法救济的情况下,当数据主体认为对其相关的个人数据的处理没有遵守GDPR时,其有权向监管机构提出申诉。监管机构因数据主体申诉权的行使而有权在合理的范围内做出调查,并应在合理的期限内告知数据主体控诉的进展和结果。

关于后一个方面,GDPR第78条规定,当监管机构对于数据主体的申诉没有做出合理的保护裁决或保护裁决没有使数据主体知晓时,数据主体可以向法院起诉监管机构,对监管机构提起的诉讼由各成员国监管机构所在地的法院管辖。GDPR第80条、第82条规定,数据主体可以通过司法途径向数据的控制者、处理者主张因其违反GDPR而致使数据主体遭受物质的或者非物质的损害。一个以上的控制者(涉及GDPR第26条上的联合控制者即共同确定数据处理的目的和方式的两个或多个控制者)、处理者涉及侵权的,其应当共同承担连带责任,除非其能够证明对损害的产生没有责任。这些诉讼权利可以由消费者保护机构代表数据主体行使。