欧盟很早就开始建立个人数据保护制度,制定个人数据保护政策法规。因为欧洲社会公民权利意识根深蒂固,注重保护个人隐私。
个人数据保护虽以公民权利为基本出发点,但从政策制定者的角度,却是要实现一种平衡,即一方面确认在收集、处理、存储和传输个人数据的过程中要保护个人权利,另一方面也要促进合法、必要的数据流动。20世纪90年代初期,新科技革命方兴未艾,信息通信技术已经在各个领域广泛应用,互联网商业运行也已欣然启动,个人数据规模和流动快速增长,而各国立法的差异一定程度上影响了个人数据的跨境流动,过多强调个人隐私的各种限制也成为银行、保险等重要经济行业的障碍。
1995年欧盟推出的《个人数据保护指令》就明确体现了上述两个目标:一是要求各成员国保护公民的基本权利和自由,特别是与个人数据处理相关的隐私权;二是各成员国不得以保护为由限制或禁止成员国之间个人数据的自由流动。该指令由欧洲议会和欧盟理事会推出,意在从欧盟和成员国两个层面建立一致的立法依据,为当时欧盟各国立法保护个人数据和保障数据自由流通设立了最低标准。
该指令也存在诸多不足,由于共同司法体系是欧盟一体化进程的薄弱环节,该指令并没有建立欧盟层面统一的执法程序,也未提供成员国相应的指导标准,成员国仍然依据各自法律制度来执行指令,使得个人数据在成员国享有不同层级的保护水平,指令一致性大打折扣。事实上该指令颁布后,各国保护个人数据的法律的差异性并没有得到根本改观,这在很大程度上影响了数据保护的实际效果,欧盟内数据自由流动也没有达到预期水平。
随着社会信息化水平的进一步发展,原欧盟《个人数据保护指令》越来越难以满足个人数据保护和数字经济发展的需求。2012年,欧盟提出改革个人数据保护政策,以帮助公众更有效地保护个人数据,同时推进欧盟单一数字市场的发展,协助欧盟企业在统一市场上提高竞争力。(www.xing528.com)
经过四年反复讨论和修改,欧盟成员国司法及内政事务部长会议就数据保护的新框架达成一致意见,确立了新的数据保护原则,如体现“同一个大陆,同一套法规”,在欧盟内实施统一的数据保护法。突出“被遗忘权”,用户可以要求互联网企业从网络搜索结果中移除个人信息,除非有明确法律允许互联网企业保留相关信息。强调“欧洲境内适用欧洲法律”,无论企业或机构是否设在欧盟内,只要在欧盟范围内提供服务,均需遵守欧盟法律。强化各国数据保护机构的权力,允许各成员国的数据保护机构对违法者进行处罚。
2016年4月,欧洲议会和欧盟理事会通过了欧盟《通用数据保护条例》。与《数据保护指令》相比,该条例更加重视个人数据保护,赋予欧盟公民更广泛的保护个人数据的权力,该数据保护条例将负有保护责任的数据控制者扩展到几乎所有公司和机构,大到跨国公司,小到家庭企业和个人,只要有收集和使用欧盟个人数据的行为,都必须遵循条例标准。《通用数据保护条例》把个人权利与企业义务绑定在一起,增加了对个人数据保护的力度,强调被遗忘权、个人数据的复制权、个人信息泄露后的通知义务、处理个人信息的知情权等。
欧盟还设立了一个欧洲数据保护委员会,同时每个欧盟成员国都必须设立一个与欧洲数据保护委员会相对应的监管机构,以保证《通用数据保护条例》在欧盟和成员国层面都得到执行。此外,条例中没有条款来严格明确如何对个人数据保护实施技术和组织措施,这被称为条例的“技术中立”原则,任何数据控制者以及进行收集、处理、储存和转移数据的企业将自行决定如何正确保护个人信息。这也符合信息技术发展迅速、各企业和实体的数据格式和处理程序千差万别的现实。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
