欧盟作为世界上龙头性质的国际组织和经济实体,面对信息化越来越强的局面,自然也不会放松对数据主权的立法。“9·11”事件给信息安全问题带来了世界性的冲击,经历该事件之后的欧盟国家对信息安全问题倍加重视。任何事物进行立法都要经历起步和发展的过程,不可能一蹴而就,欧盟信息安全法律制度的框架结构的形成和完善也要经历十几年的过程。
(一)20世纪90年代数据主权立法初现
《欧盟信息安全法律框架决议》是欧盟对信息进行立法的开端,此决议形成于1992年,意在对一般民众、工商业界以及行政管理部门的电子信息存储进行安全保护,尽可能地保护广大公众的利益。同时通过建立信息安全委员会的方式保证信息安全框架的建设和信息保护方案的施行。欧盟理事会在1995年1月17日发布《合法拦截有关通话通讯的决议》,意在平衡当时正在高速发展的网络环境,并指出了国家的权力与民众的信息权利的协调问题,开始出现国家对信息行使主权的规范性条款。欧盟此后又于1999年颁发了《有关打击全球网络非法内容和有害信息的计划》,并打算长久实施。该决定不仅对网络使用安全问题进行了规制,还为欧盟在防止种族主义及歧视等不良非法信息上的互联网管制权提供了法律支持,以此降低发生种族分裂的可能性,是明确地维护欧盟国家信息主权的法律性文件。此后,欧盟委员会又于同年的5月27日,起草了在《马斯特里赫特条约》(又称《欧盟条约》)第34款的基础上的共同宣言,并于2001年征集各国签署。
(二)21世纪“电子欧洲”数据主权立法的新纪元(www.xing528.com)
进入21世纪以后,国际各国对数据安全问题愈发重视,欧盟也不甘落后,迎来了数据主权立法上的新纪元。20世纪末欧洲赢得了“电子欧洲”的称号,欧盟更是加紧信息主权立法的步伐。于是在2002年4月份,欧盟出台了《打击信息系统犯罪的框架决议的决议》,该框架决议规定应受到惩罚的犯罪包括三类:非法接触信息系统;非法进行系统干扰(即通过输入、传输、损害、删除、恶化、改变、抑制或者翻译描写不可接触的计算机数据等手段,故意严重阻扰或打断一个信息系统的功能);非法进行数据干扰。所有的这些犯罪行为都必须是蓄意图谋的,此外,从事鼓动、帮助、教唆和试图实施上述任何犯罪行为的,也要负法律责任。成员国必须通过有效的、成比例的、劝诫的犯罪处罚来对上述犯罪行为的惩罚作出规定。如果这种犯罪是在欧盟定义的犯罪组织背景下实施,并导致了实质性的损害或影响了受害者的基本利益的,将被认为是恶性案件。如果这个犯罪所造成的损害较小,司法机关可以作出减轻处罚的决定。以此来保证信息系统的安全,对信息主权进行法律上的保护。欧盟理事会在2003年2月18日发布了《关于建立欧洲网络信息安全文化的决议》,目的不仅仅是通过强化信息技术来对信息安全进行保护,也开始注重公私的合作与交流,提高信息安全共享和保护的效率,加强全国人民的相关信息安全的保护理念。[3]此后,欧盟在2004年3月又发布了《关于建立欧洲网络和信息安全机构的规则》,此文件是欧盟信息安全保护机构建立的标志性文件。该文件对欧洲网络和信息安全机构的任务和组织机构进行了具体的规定,为欧盟国家信息主权的保护提供了法律上的支持和机构上的维护。在2006年5月到2007年3月这不到一年的时间内,欧洲先提出《关于建立欧洲信息安全社会的战略》的建议,经过10个月的协商探讨后,正式出台了《关于建立欧洲信息安全社会战略的决议》,这是欧盟信息立法成熟的标志,也意味着欧盟已将信息主权安全问题推到了组织战略的制高点,要将信息主权安全的保护规制推向全社会。[4]
(三)欧盟数据主权立法所展现的特点
首先,欧盟国家的数据主权立法是在两个主体层面上进行的,一个是超国家主体,另一个是成员国主体,欧盟可制定适用于欧盟组织内部的信息安全法,各成员国又可在不违背欧盟各项规范的基础上制定适用本国网络信息安全并进行规制的法律文件;其次,欧盟的信息立法既有明确的具有法律强制性的规定的“硬法”,又存在不具有强制力可供参考选择的指导性的“软法”;再次,欧盟非常注重信息立法的位阶问题,很好地将一般性规定和特殊性规定进行了有机的结合,既有关于信息安全问题的原则规定,又进行了具体信息安全保护问题的详细立法;最后,也是最为重要的一点,欧盟非常重视相关立法的更新,充分做到了与时俱进。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
