劉玉琢

摘 要：2018年5月，號稱史上最嚴(yán)的數(shù)據(jù)保護條例——《一般數(shù)據(jù)保護條例》（GDPR）正式生效，歐盟個人信息保護進入新的歷史階段。歐盟對個人信息保護問題的研究起步較早，積累了豐富的經(jīng)驗。論文通過梳理歐洲個人信息保護的現(xiàn)狀，分析了歐盟保護個人信息的主要做法和經(jīng)驗，并對我國加強我國個人信息保護建設(shè)提出了建議。

關(guān)鍵詞：GDPR；個人信息保護；信息安全

中圖分類號：TP309.2， F830 文獻標(biāo)識碼：B

Abstract： In May 2018， the most stringent data protection regulations in history -（GDPR） came into effect. Personal information protection in EU entered a new historical stage. The EU's exploration on personal information protection of started early and accumulated much experience. This paper combs the present situation of personal information protection in EU， analyzes the main operations in personal information protecting， and summarizes the experience. Based on that， this paper puts forward suggestions for strengthening China's personal information protection.

Key words： GDPR； personal information security； information security

1 引言

隨著信息化建設(shè)的推進和互聯(lián)網(wǎng)的普及，人們對信息的依賴程度越來越高，電子政務(wù)、電子商務(wù)、網(wǎng)上金融等各式各樣的互聯(lián)網(wǎng)應(yīng)用，為人民生活提供高效和便利的同時，也為公民個人信息保護帶來了極大挑戰(zhàn)。當(dāng)前，無論是政府部門還是商業(yè)企業(yè)，都在利用各自渠道大規(guī)模收集和處理用戶個人信息，造成因個人信息濫用而導(dǎo)致個人信息泄露的事件頻頻發(fā)生。由此引發(fā)的社會問題越來越多，引起了國家和社會的極大關(guān)注。如何規(guī)范信息采集者、處理者、使用者的責(zé)任和義務(wù)，切實做到保護公民對個人信息的合法權(quán)益，成為政府和社會需要思考的一個嚴(yán)肅問題。

歐洲對個人信息保護問題的探索起步較早，可以追溯到1950年頒布的《歐洲人權(quán)公約》。從1981年《關(guān)于自動化處理的個人信息保護公約》（以下簡稱《個人信息保護公約》），到1995年《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞喎Q《數(shù)據(jù)保護指令》），再到2016年《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR），歐盟在個人信息保護方面一直處于世界領(lǐng)先地位?！兑话銛?shù)據(jù)保護條例》作為歐盟個人信息保護里程碑式法律，為世界各國提供了個人信息保護的樣板和思路，對我國貫徹落實《網(wǎng)絡(luò)安全法》，提高個人信息保護水平，具有重要的借鑒意義。

2 歐洲個人信息保護的現(xiàn)狀

2.1 頂層設(shè)計基本完成

歐洲的個人信息保護意識啟蒙較早，并在一開始就致力于建立整個歐洲統(tǒng)一的個人信息保護體系。20世紀(jì)70年代，歐洲理事會已經(jīng)意識到：有必要對可預(yù)期的個人信息收集和處理活動進行提前規(guī)制，從而保護公民的個人生活，并通過一系列決議，旨在建立歐洲個人信息保護的基本原則和標(biāo)準(zhǔn)化指南，并在各成員國內(nèi)推動個人信息保護。1981年1月28日，歐共體成員國在法國斯特拉斯堡市簽訂了《個人信息保護公約》，嘗試在歐洲建立統(tǒng)一的個人信息保護法律制度。之后，歐洲委員會在1990年向歐洲理事會提交了一份《關(guān)于保護共同體個人信息及信息安全的指令草案》，該草案正式開始了歐洲信息保護法律制度一體化的進程。

由于《個人信息保護指令》其僅僅適用于歐盟成員國，不能直接適用于歐盟的公民，因此，歐洲議會和歐洲理事會于2001年頒布了《關(guān)于歐盟公共機構(gòu)及其組成部門處理個人信息過程中保護個人信息權(quán)利及相關(guān)信息自由傳輸條例》，進一步推動歐洲個人信息保護一體化，個人信息保護法更是被寫入歐洲的大數(shù)據(jù)時代和《歐洲2020戰(zhàn)略》。2010年，歐洲委員會向歐洲議會和歐洲理事會提交的《為歐洲公民傳遞自由、安全和公正：實施斯德哥爾摩行動計劃》明確提出，要制定一個綜合性的歐洲個人信息保護計劃，確保歐盟范圍內(nèi)個人信息保護的協(xié)調(diào)一致。

2.2 法律體系比較健全

歐盟十分重視個人信息保護的立法工作，目前已經(jīng)形成了較為健全的法律體系。歐盟對個人數(shù)據(jù)保護立法工作可以追溯到20世紀(jì)90年代。1995年，歐盟通過了《數(shù)據(jù)保護指令》，該指令為歐盟成員國立法保護個人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。在該指令規(guī)定的領(lǐng)域，歐盟也制定了一些細(xì)化的法規(guī)來促進指令的落地。例如，2002年頒布的《關(guān)于在電子通訊行業(yè)處理個人信息和保護個人隱私的指令》，確定了互聯(lián)網(wǎng)環(huán)境下個人信息保護的基本原則；2006年頒布的《關(guān)于在電子通訊服務(wù)、大眾傳媒網(wǎng)絡(luò)行業(yè)產(chǎn)生的個人信息存儲和公共機構(gòu)調(diào)取指令》，以及2008年頒布的《關(guān)于在犯罪問題方面的個人信息保護和司法合作的政策框架》。

隨著信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展，為應(yīng)對網(wǎng)絡(luò)環(huán)境下的個人信息保護，歐盟對原有法律進行了豐富和完善。2012年，歐洲委員會正式發(fā)布《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)臈l例》（草案）和《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》（草案），并于2016年4月8日和14日，歐洲理事會和歐洲議會分別表決通過了《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)臈l例》（即《一般數(shù)據(jù)保護條例》）《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，條例于2018年5月25日正式實施。

2.3 行政管理體系完善

經(jīng)過多年發(fā)展，歐洲建立了一套完善的數(shù)據(jù)保護行政管理體系。在管理機構(gòu)方面，多數(shù)國家設(shè)有個人信息安全保護專門行政機關(guān)。例如，英國內(nèi)閣府設(shè)有英國信息委員會辦公室（ICO）、法國總統(tǒng)府設(shè)有國家信息和自由委員會（CNIL）、德國總理府設(shè)有聯(lián)邦數(shù)據(jù)保護委員會（FCDP），這些機構(gòu)主要負(fù)責(zé)本國網(wǎng)絡(luò)個人信息安全保護工作；在未設(shè)有專門行政機構(gòu)的國家，大多通過立法形式授權(quán)其他行政機關(guān)代行保護職責(zé)。在行政監(jiān)管方面，通過政府主導(dǎo)對個人信息保護狀況實行強力監(jiān)管，例如英、法、德等國家普遍采取注冊登記制、審核批準(zhǔn)制等多種措施，對于個人信息處理活動實行行政審查和管理。

除此之外，行政評估、行政投訴、行政執(zhí)法、行政救濟、行政處罰等一攬子行政保護措施，對個人信息提供全方位的安全保護。例如，英國規(guī)定英國信息委員會辦公室（ICO）有權(quán)采取合理性評估、合法性評估等多種行政評估措施，對網(wǎng)絡(luò)個人信息處理活動進行事前評析和研判；歐盟相關(guān)指令規(guī)定，歐盟數(shù)據(jù)保護機構(gòu)有權(quán)向網(wǎng)絡(luò)個人信息處理人發(fā)出違法通知、陳述通知、強制調(diào)查令、警告令、禁止令、強制執(zhí)行令等多種行政命令，有效貫徹執(zhí)行網(wǎng)絡(luò)個人信息安全保護相關(guān)法律要求。

2.4 開展多種保護工作

為了保護個人數(shù)據(jù)和網(wǎng)絡(luò)隱私，歐盟開展了多種數(shù)據(jù)檢查和保護行動。2015年9月15-19日，歐盟數(shù)據(jù)保護機構(gòu)開展發(fā)起了“歐盟Cookie行動”，對多家網(wǎng)站以及移動應(yīng)用進行了審查，確?！稓W洲Cookie指令》的落實。結(jié)果顯示，英國前50家網(wǎng)站中，只有12%的網(wǎng)站遵循了歐盟Cookie指令，而在法國和德國幾乎沒有網(wǎng)站采用歐盟的這一指導(dǎo)規(guī)范。

除了針對規(guī)章、法令的檢查外，針對企業(yè)存在的數(shù)據(jù)安全事件，歐洲也開展了針對各企業(yè)的調(diào)查活動。2012年10月，歐洲委員會工作小組稱，Google公司的隱私政策不符合委員會數(shù)據(jù)保護的標(biāo)準(zhǔn)，要求谷歌對其隱私政策進行調(diào)整，并給了4個月的限期使其政策符合歐洲法律。2018年3月，F(xiàn)acebook被曝光向“劍橋分析”公司泄露5000萬用戶個人信息，歐洲議會宣布將對此事件展開調(diào)查，以確定是否存在數(shù)據(jù)遭到濫用的情況。

3 《一般數(shù)據(jù)保護條例》的主要措施

3.1 創(chuàng)新個人信息行政管理機制

《一般數(shù)據(jù)保護條例》從管理機構(gòu)、管理模式和管理方法三個層面，對個人信息保護的行政管理機制進行了創(chuàng)新。

一是成立歐洲信息保護委員會。根據(jù)《一般數(shù)據(jù)保護條例》第68條規(guī)定，“特別設(shè)立歐洲信息保護委員會，其成員由各成員國個人信息保護行政機構(gòu)首腦或者其代表和歐洲信息保護監(jiān)督局首腦或其代表組成，委員會的秘書處由歐洲信息保護局擔(dān)任”。該委員會的設(shè)立，將會極大提升歐洲信息保護局的權(quán)利，確保條例在各成員國統(tǒng)一適用。

二是建立一站式服務(wù)管理模式?！兑话銛?shù)據(jù)保護條例》提出，“構(gòu)建一個包含領(lǐng)導(dǎo)機構(gòu)和相關(guān)機構(gòu)共同協(xié)作的詳細(xì)的一站式管理規(guī)則”，并且指明了領(lǐng)導(dǎo)機構(gòu)和相關(guān)機構(gòu)，要求“領(lǐng)導(dǎo)機構(gòu)和相關(guān)機構(gòu)保持密切合作和信息共享”。

三是實施風(fēng)險等級差異化管理?！兑话銛?shù)據(jù)保護條例》實行了風(fēng)險等級差異化管理方法，對個人信息處理活動的風(fēng)險劃分為“較高風(fēng)險”“一般風(fēng)險”和“較低風(fēng)險”三類，要求信息控制著開展“較高風(fēng)險”活動前需做影響評估，并向信息保護局咨詢。

3.2 明確個人對其信息的控制權(quán)

《一般數(shù)據(jù)保護條例》在現(xiàn)有個人信息保護法律、法規(guī)等規(guī)范性文件的基礎(chǔ)上，總結(jié)實踐經(jīng)驗，用于創(chuàng)新，進一步明確了個人對其信息的控制權(quán)內(nèi)容。

一是完善了個人信息的范圍?！兑话銛?shù)據(jù)保護條例》規(guī)定，“個人信息是指任何確定或可辨別自然人（信息主體）的信息”，因此任何信息只要能夠?qū)?yīng)出”特定自然人”，即是條例保護的對象。

二是要求收集和處理個人信息必須獲得本人明確同意。《一般數(shù)據(jù)保護條例》要求，“個人信息使用的條款應(yīng)具有容易識別、通俗易懂的特點，不得與其他條款進行捆綁，不能將‘沉默‘不作為等默示方式等同為‘同意”，有效解決了當(dāng)前存在的“捆綁條款”“默認(rèn)同意”等問題。

三是個人有權(quán)隨時要求擦除其個人信息?！兑话銛?shù)據(jù)保護條例》首次將信息的擦除權(quán)作為一項獨立權(quán)利進行規(guī)定，加強了個人信息保護的力度和廣度。

四是確保個人查詢信息的便捷性。《一般數(shù)據(jù)保護條例》要求，“信息主體在向控制著行使查詢權(quán)利時，控制者應(yīng)免費提供服務(wù)；只有當(dāng)查詢要求是重復(fù)的、顯然不存在的、過分的或者要求復(fù)印時，方可索取一定費用”。

3.3 界定個人信息相關(guān)單位責(zé)任

《一般數(shù)據(jù)保護條例》重新對信息控制者、處理者進行了責(zé)任和義務(wù)的界定。

一是將信息控制者和處理者同等對待。區(qū)別于先前認(rèn)為信息處理者是信息控制者的外包服務(wù)人者，條例將“信息處理者增設(shè)為直接、獨立的義務(wù)主體”，同時增設(shè)了“信息處理者的獨立義務(wù)”。

二是設(shè)立信息保護官制度。條例規(guī)定，“信息控制者、處理者在三種情況下必須設(shè)立一名信息保護官”，通過分析可知，按照條例規(guī)定，除法院外的所有公共機構(gòu)均有義務(wù)設(shè)置專門的信息保護官，大大提高了個人信息保護的力度。

三是加強信息安全保護工作。條例規(guī)定，“鼓勵信息控制者采取加密或變形措施處理，增強信息保護級別”，此外還需要對每一次信息處理活動進行記錄，各項保護采取的措施也要公開透明。

四是信息泄漏時需履行報告和通知義務(wù)。條例規(guī)定，“信息泄露后，信息控制者應(yīng)在72小時內(nèi)向信息保護局報告情況，沒有造成損害除外”，同時在特殊情況下，控制者還需將信息泄露情況及時通知給每一位信息主體。

3.4 完善特殊情況信息保護規(guī)則

《一般數(shù)據(jù)保護條例》除了對個人信息保護做了大量詳細(xì)的規(guī)定外，對信息跨境流動、信息犯罪等特殊情況，也做出了細(xì)致的要求。一是要增強信息跨境流動的監(jiān)管。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的快速發(fā)展，使得信息在全球范圍內(nèi)的流動越來越頻繁，因此《一般數(shù)據(jù)保護條例》對歐盟內(nèi)個人信息的外向流動進行了嚴(yán)格規(guī)定。條例要求，“除非滿足一定條件可以證明個人信息能在歐盟境外的某一地區(qū)得到充分保護，否則禁止控制者、處理者將歐盟內(nèi)的個人信息轉(zhuǎn)移至境外地區(qū)”，條例還對條款中涉及的“境外信息保護水平”的評判標(biāo)準(zhǔn)進行了詳細(xì)描述，極為嚴(yán)格。

二是完善了刑事犯罪領(lǐng)域的個人信息利用和保護規(guī)則。為了預(yù)防和打擊犯罪，配合《一般數(shù)據(jù)保護條例》的實施，歐盟同時頒布了《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，主要用于保障刑事犯罪領(lǐng)域收集到的個人信息不能被濫用，尤其是保障刑事犯罪人、嫌疑人以及相關(guān)被調(diào)查人的信息權(quán)益。

4 對推動我國個人信息保護的啟示

4.1 完善頂層設(shè)計

一是由網(wǎng)信部門牽頭，聯(lián)合公安、工信、安全等部門，聯(lián)合制定全國個人信息保護規(guī)劃，編制全國推進個人信息安全工作計劃，制定個人信息保護的基本原則和相關(guān)政策。

二是加強個人信息保護機制和問責(zé)機制，制定或修訂相關(guān)的政策和法律法規(guī)，通過建立清晰的個人隱私保護規(guī)則和指南，設(shè)立問責(zé)機制和補救程序，防止個人信息濫用。

三是研究制定個人信息處理活動評估模型，建立綜合的個人信息處理標(biāo)準(zhǔn)，確保技術(shù)和政策標(biāo)準(zhǔn)的一致性和互操作性，以適應(yīng)不斷升級的安全威脅和不斷創(chuàng)新變化的市場需求。

四是要加強政府各部門之間的溝通和協(xié)調(diào)，整合個人信息安全工作資源，統(tǒng)籌管理、組織、指導(dǎo)個人信息保護工作。

4.2 加快立法工作

一是要加快推出個人信息保護，積極探索適應(yīng)新時代、互聯(lián)網(wǎng)環(huán)境的個人信息保護法律、法規(guī)，完善個人信息保護法制環(huán)境。

二是對已有的法律、法規(guī)進行修訂、完善。例如，個人信息保護相關(guān)的條款在《刑法》《刑事訴訟法》《民事訴訟法》《合同法》《居民身份證法》等法律法規(guī)中有涉及，可以通過修訂、完善相關(guān)條款，明確個人信息在社會生活中的重要地位。

三是針對各行業(yè)、各領(lǐng)域個人信息保護進行專門法規(guī)補充，結(jié)合行業(yè)特性、數(shù)據(jù)特點、數(shù)據(jù)顆粒度等因素，制定具有落地性的專項法規(guī)，并定期對法規(guī)執(zhí)行情況進行檢查，確保各項法規(guī)得到貫徹落實。

4.3 構(gòu)建標(biāo)準(zhǔn)體系

一是要加快個人信息保護標(biāo)準(zhǔn)化建設(shè)，完善互聯(lián)網(wǎng)環(huán)境下的信息收集、處理、存儲、共享和管理等各方面的個人信息保護標(biāo)準(zhǔn)，建立覆蓋信息生命全周期的標(biāo)準(zhǔn)體系。

二是要對現(xiàn)有各領(lǐng)域數(shù)據(jù)保護的相關(guān)標(biāo)準(zhǔn)進行完善，使其能過適應(yīng)各領(lǐng)域新技術(shù)的發(fā)展趨勢，應(yīng)用新技術(shù)對個人信息保護帶來的挑戰(zhàn)，提高標(biāo)準(zhǔn)的可用性和保障作用。

三是加快對個人信息保護評價標(biāo)準(zhǔn)的建立，使信息收集者和處理者能夠按照標(biāo)準(zhǔn)，做好數(shù)據(jù)安全防護工作，提高應(yīng)對黑客攻擊能力，保障個人信息數(shù)據(jù)安全。

4.4 健全管理體制

一是要設(shè)立專門的個人信息保護機構(gòu)，從事個人信息保護的日常監(jiān)督、管理、執(zhí)法、評估等工作，定期對我國個人信息保護狀況進行匯總并向公眾通告，提高公眾個人信息保護意識。

二是要建立靈活彈性、應(yīng)對迅速的個人信息保護協(xié)調(diào)機制，應(yīng)對突發(fā)的個人信息泄露、販賣等重大個人信息安全事件，根據(jù)個人信息應(yīng)急事件的規(guī)范化處理流程，做到快速響應(yīng)和處置。

三是要加強各地方、各區(qū)域的區(qū)域化自治，按照“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)、分域管轄”的原則，各地方做好本區(qū)域內(nèi)的個人信息保護工作，基層居委會、街道等機構(gòu)加強對個人信息保護工作的宣傳教育，提高全民的個人信息保護意識。

4.5 加強合作交流

一是組織國際、國內(nèi)研討會，就管理、標(biāo)準(zhǔn)、法規(guī)、實踐等現(xiàn)場交流學(xué)習(xí)，認(rèn)真總結(jié)國內(nèi)外成熟經(jīng)驗，并向全國推廣經(jīng)驗總結(jié)，支持、指導(dǎo)、鼓勵各地、各行業(yè)在本地、本行業(yè)內(nèi)建立相應(yīng)的工作機構(gòu)，推進個人信息安全工作。

二是積極參與國際執(zhí)法協(xié)作，在國際合作中，推動國際通用框架的構(gòu)建，積極參與國際執(zhí)法協(xié)作和框架協(xié)議規(guī)范數(shù)據(jù)跨境流通。

三是定期組織國內(nèi)個人信息保護、大數(shù)據(jù)、云計算、信息安全等各領(lǐng)域的專家，對個人信息保護問題進行研討，推動信息安全理論、技術(shù)應(yīng)用于個人信息保護。

參考文獻

[1] 丁曉東.什么是數(shù)據(jù)權(quán)利？——從歐洲《一般數(shù)據(jù)保護條例》看數(shù)據(jù)隱私的保護[J].華東政法大學(xué)學(xué)報，2018（4）.

[2] 韓秋明.基于信息生態(tài)理論的個人數(shù)據(jù)保護策略研究——由英國下議院《網(wǎng)絡(luò)安全：個人在線數(shù)據(jù)保護》報告說開去[J].圖書情報知識，2017（2）：94-104.

[3] 彭星.歐盟《一般數(shù)據(jù)保護條例》淺析及對大數(shù)據(jù)時代下我國征信監(jiān)管的啟示[J].武漢金融，2016（9）：42-45.

[4] 張建文，張哲.個人信息保護法域外效力研究——以歐盟《一般數(shù)據(jù)保護條例》為視角[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2017，29（2）：36-43.

[5] 王達(dá)，伍旭川.歐盟《一般數(shù)據(jù)保護條例》的主要內(nèi)容及對我國的啟示[J].金融與經(jīng)濟，2018（4）.

[6] 吳沈括.歐盟《一般數(shù)據(jù)保護條例》（GDPR）與中國應(yīng)對[J].信息安全與通信保密，2018（6）.

[7] 王四新.《歐盟數(shù)據(jù)保護一般規(guī)則》簡評[J].中國信息安全，2016（3）：74-78.

[8] 王灝晨.歐盟《通用數(shù)據(jù)保護條例》對人工智能發(fā)展的影響及啟示[J].中國經(jīng)貿(mào)導(dǎo)刊（理論版），2018（17）.

[9] 劉權(quán).最嚴(yán)數(shù)據(jù)法律將如何影響數(shù)字經(jīng)濟企業(yè)[J].中國工程咨詢，2018（7）.