欧盟个人数据保护现状及其不足

半个世纪以来，个人信息保护的立法运动已成为全球范围内最令人瞩目的立法运动之一。截至目前，已有90多个国家制定了与个人信息保护相关的专门性立法。^[1]世界上第一部专门保护个人数据的立法源自1970年德国黑森州制定的《黑森州数据法》。^[2]而世界上第一部全国性的个人数据保护法是1973年《瑞典数据法》^[3]，该法要求成立一个专门对个人信息进行保护的机构，未经该机构批准，任何人不得私自处理个人信息。^[4]1977年，德国制定了全国性的《联邦个人数据保护法》（1990年修订），该法以一般人格权与信息自决权^[5]为请求权基础，提供对个人信息的统一保护。^[6]确立了信息保护的基本原则、个人信息权基本内容、监督机关^[7]、损害赔偿制度。^[8]1978年法国通过了《信息、档案与自由法》^[9]，该法规定对个人信息的处理不得损及个人的人格、身份及私生活方面的权利。1981年冰岛通过了《有关个人数据处理法》。1984年英国通过了《英国数据保护法》。^[10]1988年爱尔兰通过《个人数据保护法》。1991年葡萄牙通过《个人数据保护法》。1992年比利时通过《个人数据保护法》。1998年荷兰通过了《个人数据保护法》。

为了统一各成员国法律，1995年欧盟颁布了《欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理有关的个人保护以及此类数据自由流动的指令》（以下简称欧盟1995年《数据保护指令》）。该指令于1998年10月25日生效。指令对个人数据处理的一般原则、司法救济、向第三国转移个人数据、监管机构和执行措施等进行了规定。欧盟要求所有成员国都要制定各自的数据保护法，国内的数据保护法应当囊括该指令的所有要素。^[11]该指令颁布后，各国纷纷依照该指令对个人数据保护法进行了修订。^[12]1995年欧盟《数据保护指令》的立法指导思想是要在保护信息处理中个人利益的基础上，兼顾信息的自由流动。^[13]该指令成为数据信息保护领域的国际引领。它引入了在后来取得广泛共识的信息处理的原则与概念，比如目的限制原则、数据质量原则等。基于该指令，一个在欧盟范围内数据保护的统一法律框架建立起来，这促进了欧盟成员国内部个人信息保护的跨境政策对话与自由流动的数据内部市场的建立。^[14]

应当注意，1995年欧盟《数据保护指令》出台后，为弥补该指令的不足，2002年，欧盟又发布了《欧洲议会和欧盟理事会2002年7月12日关于电子通信领域个人数据处理和隐私保护指令》^[15]（以下简称《欧盟隐私和电子通信指令》）。该指令在信息的保密性、对业务资料的对待、垃圾电邮与cookies（储存在用户本地终端上的数据）的处理方面都对1995年欧盟《数据保护指令》的不足给予了弥补。该指令适用于欧盟范围内在公共通信网络中提供公共电子通信服务的企业处理个人数据的行为，旨在解决电子通信领域无线电通信、传真、电邮、互联网及其他类似服务中的数据保护问题。

2006年，欧盟颁布《欧洲议会和欧盟理事会2006年3月15日关于存留因提供公用电子通信服务或者公共通信网络而产生或处理的数据及修订第2002/58/EC号指令的第2006/24/EC号指令》^[16]（以下简称《欧盟数据留存指令》）。该指令以义务性规则为主，旨在为欧盟成员国内公共电子通信服务商处理和留存其商业数据树立准则，并确保此类商业机构所掌握的用户数据信息能被用于侦破影响恶劣的刑事案件与打击危害国家安全的犯罪活动。^[17]该指令要求无线电通信企业保留各种数据，包括呼入、呼出的电话号码、通话时长、IP地址、网络登入、退出时间以及电子邮件的活动细节。这些数据的保留时间由各成员国自主决定，最短不少于6个月，最长不超过24个月。该指令在欧洲受到的批评最多，设计的初衷是为了预防与处理与恐怖活动相关的犯罪。虽然，欧盟诸多成员国最初都拒绝将该指令转化成国内法，但多数国家还是在2008年开始执行该指令。

作为个人信息保护的发祥地，欧洲的个人信息保护经历了如下发展阶段。^[18] 第一阶段，集中在20世纪70年代早期。这一阶段，个人信息保护的立法目的并未着眼于个人信息的保护，而着眼于满足信息控制者处理个人信息的需求，实现信息处理的社会功能。即使这当中有部分个人权利的体现，但追根溯源，其立法本意并非从保护个人信息权利的角度出发，而是从更好地实现信息控制者对个人信息处理需求的角度出发。这从立法文字所使用的相关概念的选择与定位上可见一斑。这一阶段立法措词使用了一些技术性很强的概念，如资料文档、资料记录等，并未使用信息、隐私等概念。从20世纪70年代晚期开始，个人信息保护的立法工作进入到发展历程的第二阶段。此一阶段，立法者的立法理念开始转变，立法的重心转移到对个人信息权利的保护上。不过此一阶段，对信息主体的信息权利的保护，往往仅具宣示意义。信息主体很少有机会能真正参与到对自身信息的处理活动中来，其无法实现对个人数据信息的控制。进入到20世纪90年代，个人信息保护从发展历程上看，迈入第三阶段。此一阶段的立法工作主要围绕第二阶段个人信息保护存在的弊端而展开。立法的直接目的是要保障信息处理活动中，信息主体个人权利的实现，使信息主体享有的权利从字面的宣誓性的权利转化为一项行动中的权利。这一阶段，个人对自身信息的控制性权利得到强化并逐步迈向制度化。步入20世纪90年代后期，个人信息的立法保护工作进入到第四个发展阶段。此一阶段，立法者认识到，信息主体在个人信息的一系列处理活动中处于劣势地位，因此，为了减少信息主体与信息控制者、信息处理者之间的力量悬殊，立法机构主要从以下两方面加强立法工作：增强信息主体相对于信息控制者、信息处理者的地位；对前两个发展阶段中，立法所倡导的个人权利给予强行法保护。这一时期，部门个人信息保护规范得到了较为充分的发展。

由于信息技术的发展，最近的二十年，与互联网相关的诸多技术已使经济与社会交往全球化。巨大的变化在欧洲带来了两个法律问题：(www.xing528.com)

第一，对于绝大多数欧洲国家来说，他们的法律已有非常久远的历史了。比如，德国的民法典已经有120多年历史，奥地利的民法典甚至可以追溯到18世纪。纵然欧盟出台了相关指令以应对信息技术的发展，但在指令出台的年代，很多信息技术，比如web.2.0^[19]，很多设备，比如智能手机以及像Google、亚马逊以及大型社交网站及云计算服务商所提供的服务都还没出现。毫无疑问，这样的传统法律框架不能跟上日新月异的技术发展步伐，信息技术的发展已把法律、指令遥遥抛在身后。这些因素结合在一起，引发了人们对1995年欧盟《数据保护指令》能否为个人信息提供充分保护的审视。

第二，虽然欧盟1995年《数据保护指令》因其确立的信息处理核心原则得到广泛赞誉，但它的执行效果却受到人们的质疑与批评。^[20]同时，欧盟是一个有28个主权国的联盟，传统的法律规则一般是在一国主权范围内发生效力，但互联网遍布全球，通过信息技术手段开展的经济、社会活动往往会出现数据跨境的问题。欧盟境内与数据保护相关的指令并不能直接约束28个成员国，它需要转化成各国内部的法律才能在一个主权国家的范围内发生效力。查明一个需要规制的问题，把它落实到指令中并转化成国内法，往往会耗时4—5年。^[21]立法的周期过长。指令转化为国内法生效后，立法前期讨论中无法预见的新问题又可能出现，而4—5年前立法中认为值得规制的问题或许由于技术的发展，已没必要再予规制。

信息技术领域的立法需要紧跟时代的节拍，加快立法的节奏。考虑到欧盟现行立法的不足与信息技术领域日新月异的发展，欧盟推动了《通用数据保护条例》的出台（2012年欧委会草案）。^[22]公民自由、司法和内政事务委员会（LIBE）在2013年10月21日公布了它的修订文本，欧洲议会在2014年3月也对外公布了经过一读程序后的修订文本，2016年4月14日，欧洲议会投票通过了商讨四年的《通用数据保护条例》，其于2018年5月25日正式生效。

值得一提的是，新条例不再以指令的形式存在，不需经过国内立法转化，经欧洲立法机构同意通过并生效后，便能在全欧盟28个国家统一适用。欧盟准备以此种方式应对立法周期过长的弊端。新条例的主要事项集中在推行隐私的默认设置、强化用户知情同意、坚实增加个人信息权内容、加大惩处力度与问责机制、强化监管与救济。须看到，这些规定可能会使欧洲逐渐成为一块过渡监管的区域，在提高个人信息保护标准的同时，增加企业的合规成本，阻碍数据商业价值的开发，使得欧洲成为安全但同时在发展B2C信息技术商业领域方面没有吸引力的地区，缺乏国际竞争优势。这样的规制会促使欧洲境内的公司调整行为以更好地遵守法律的规定与要求，但在国际对比的层面，会给公司的发展带来负面的影响，特别是与信息处理规制较少的亚洲相比。