□ 文 吳沈括 李京北

前言

歐盟《一般數(shù)據(jù)保護條例》（以下簡稱：GDPR）于2018年5月25日施行，廢除并取代第95/46/EC號歐盟指令。GDPR的目標是在歐盟建立一個強有力的、更加一致的數(shù)據(jù)保護框架，并得到強有力的執(zhí)法支持。GDPR有兩個目標，一是保護自然人的基本權(quán)利和自由，特別是保護個人數(shù)據(jù)的權(quán)利；二是允許個人數(shù)據(jù)自由流動以及數(shù)字經(jīng)濟在歐盟內(nèi)部市場的發(fā)展。

根據(jù)GDPR第97條，歐盟委員會（以下簡稱：委員會）應(yīng)向歐洲議會和歐盟理事會（以下簡稱：理事會）提交關(guān)于該條例評估和審查的第一份報告。該報告將于2020年5月25日前提交，此后每四年提交一次報告。在這方面，委員會應(yīng)特別審查下列各事項的適用和運作：一是第五章中關(guān)于向第三國或國際組織轉(zhuǎn)移個人數(shù)據(jù)的規(guī)定，特別是根據(jù)本條例第45（3）條通過的決定和根據(jù)第95/46/EC號指令第25（6）條通過的決定；二是第七章中關(guān)于合作與一致性的規(guī)定。

GDPR的審查要求委員會考慮到歐洲議會和理事會以及其他相關(guān)機構(gòu)和部門的立場及調(diào)查結(jié)果。委員會還可要求成員國和監(jiān)管機構(gòu)提供資料。理事會為準備上述立場和結(jié)論，請各代表團提出書面意見。相關(guān)工作組在2019年10月21日、11月11日和12月5日的會議上討論了成員國的意見，最終理事會在2019年底以文件《歐盟理事會關(guān)于GDPR施行的立場與發(fā)現(xiàn)》概述和總結(jié)了理事會在籌備工作基礎(chǔ)上的立場和結(jié)論，也是本文的主要研究內(nèi)容。

與此同時，理事會還注意到，歐盟委員會于2019年7月通過的《作為歐盟內(nèi)外信任賦能者的數(shù)據(jù)保護規(guī)則之評估的通信》（以下簡稱《通信》）?！锻ㄐ拧诽接懥藲W盟數(shù)據(jù)保護規(guī)則的影響以及進一步改進其實施的可能性。委員會認為，雖然新的數(shù)據(jù)保護規(guī)則實現(xiàn)了許多目標，但《通信》提出了進一步加強這些規(guī)則及其適用的具體步驟。

理事會認為，其立場和結(jié)論不應(yīng)局限于GDPR第97條第（2）款具體提到的主題。因此，理事會還鼓勵委員會在其即將提交的報告中，評估和審查GDPR超出該條具體內(nèi)容的適用情況和運作情況。此外，委員會應(yīng)考慮到相關(guān)利益方的經(jīng)驗和投入，這將有助于確保評價盡可能全面。

為此，針對GDPR的施行，理事會匯聚梳理了成員國認為特別相關(guān)的五類議題，分別是：數(shù)據(jù)跨境流動；合作與一致性機制；留給國家立法者的裁量空間；私營部門的新義務(wù)；在歐盟外設(shè)立的控制者或處理者的代表。

一、歐盟理事會關(guān)于GDPR施行的一般立場

理事會認為GDPR取得了成功。這無疑是重要的里程碑，也是加強個人數(shù)據(jù)保護權(quán)和促進歐盟信任創(chuàng)新的手段。GDPR還進一步提高了歐盟和國外對數(shù)據(jù)保護重要性的認識。

理事會承認，國家監(jiān)管機構(gòu)在GDPR運作和一致適用方面的重要作用。理事會還指出，與行使新的任務(wù)和權(quán)力有關(guān)的監(jiān)管機構(gòu)的活躍度大幅度增加，許多成員國在向其分配資源方面出現(xiàn)了積極的發(fā)展態(tài)勢。理事會同意委員會的看法，即各成員國監(jiān)管機構(gòu)之間，特別是在EDPB內(nèi)部進行合作的重要性。應(yīng)進一步加強這種合作，因為這種合作對于涉及風險的跨境案件的監(jiān)管或涉及許多成員國案件（例如所謂的大型科技公司）的處理都非常重要。

理事會還支持委員會在其文中提出的意見，即競爭、消費者和數(shù)據(jù)保護機構(gòu)應(yīng)在適當時進行合作，例如對大型科技公司的監(jiān)管。理事會指出，這些公司及其商業(yè)模式的廣泛影響引起了一些關(guān)注（例如數(shù)據(jù)主體如何充分行使對大型科技公司的權(quán)利，值得研究和監(jiān)管）。因此，需要歐盟的協(xié)調(diào)努力，審查這些挑戰(zhàn)的范圍，并就如何應(yīng)對這些挑戰(zhàn)提出設(shè)想。

此外，理事會認為，數(shù)據(jù)控制者和數(shù)據(jù)處理者需要監(jiān)管機構(gòu)和EDPB提供更多的解釋與指導(dǎo)。委員會即將提交的評價報告中，還應(yīng)強調(diào)對實際指導(dǎo)的廣泛需求以及滿足這一需要的其他適當手段。

根據(jù)GDPR第40條起草的針對具體部門的行為守則，可能是有助于適當適用GDPR的一種手段。此類行為守則特別注意某些問題，例如對兒童個人資料的保護或?qū)】蒂Y料的處理。監(jiān)管機構(gòu)目前正在商議的一份行為守則清單，或許有助于改善對這些項目的協(xié)調(diào)與支持，鼓勵起草此類行為守則的措施應(yīng)當增加并進一步的發(fā)展。

同時，理事會指出，新現(xiàn)象（特別是新出現(xiàn)的技術(shù)）也對個人數(shù)據(jù)及其他基本權(quán)利（如禁止歧視）的保護提出了新的挑戰(zhàn)。這些挑戰(zhàn)涉及大數(shù)據(jù)的使用、人工智能和算法以及物聯(lián)網(wǎng)和區(qū)塊鏈技術(shù)等主題。這同樣適用于諸如面部識別、新型畫像和“深度偽造”技術(shù)的使用。量子計算的發(fā)展也對個人數(shù)據(jù)的保護提出了挑戰(zhàn)。另一方面，這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個巨大的優(yōu)勢，并有可能加強歐洲公民的隱私保護。理事會認為，為了跟上新興技術(shù)的發(fā)展，有必要通過歐盟層面持續(xù)監(jiān)測和評估技術(shù)發(fā)展與GDPR的關(guān)系。

理事會強調(diào)，GDPR規(guī)定在技術(shù)上是中立的，其規(guī)定已經(jīng)涉及了這些新挑戰(zhàn)。必須考慮到，GDPR（更廣泛地講歐盟保護個人數(shù)據(jù)的法律框架）是制定未來數(shù)字化政策的先決條件。但鑒于上述情況，理事會認為有必要盡快闡明GDPR如何適用于上述新技術(shù)。

二、歐盟理事會關(guān)于GDPR施行部分問題的立場與發(fā)現(xiàn)

（一）數(shù)據(jù)跨境流動領(lǐng)域的制度建設(shè)問題

在《通信》中，委員會注意到在全世界范圍內(nèi)制定數(shù)據(jù)保護規(guī)則的積極趨勢。最近，經(jīng)修訂的歐洲委員會第108號公約的締約國越來越多。與此同時，世界各國正在通過新的數(shù)據(jù)保護立法或改革其監(jiān)管框架，進而實現(xiàn)數(shù)據(jù)保護現(xiàn)代化。

理事會認為，充分性決定是數(shù)據(jù)控制者將個人數(shù)據(jù)安全傳輸給第三國和國際組織的一個重要手段。在這方面，理事會還認為，充分性決定的基礎(chǔ)是遵守為此類決定制定的所有標準（包括后續(xù)轉(zhuǎn)移的標準），這是十分關(guān)鍵的。根據(jù)歐盟法律的要求，充分性決定還必須接受持續(xù)的監(jiān)測和定期審查，這對于確保有效保護數(shù)據(jù)主體權(quán)利而言至關(guān)重要。理事會支持委員會在《通信》中表示的計劃，即進一步加強與適合的關(guān)鍵伙伴就充分性問題進行對話。理事會鼓勵委員會在通過新的充分性決定時，研究是否有可能具體規(guī)定向政府當局以及政府機構(gòu)之間的數(shù)據(jù)移交問題。理事會還同意委員會在2020年報告中對根據(jù)第95/46/EC號指令通過的11項充分性決定的審查計劃。

理事會指出，目前只有13項充分性決定生效，其中包括與美國的隱私盾協(xié)議。因此，在許多向第三國和國際組織傳輸個人數(shù)據(jù)的情況下，數(shù)據(jù)控制者需要使用GDPR第五章規(guī)定的其他方式。因此，理事會同意根據(jù)GDPR第五章處理其他國際跨境方式的應(yīng)用問題也很重要，這些方式有時也可以更好地滿足某一特定部門的個別數(shù)據(jù)控制者和數(shù)據(jù)處理者的需要。理事會強調(diào)這些方式的優(yōu)點，其中包括公共當局或機構(gòu)之間簽訂的具有法律約束力和可執(zhí)行性的文書、約束性公司規(guī)則、委員會通過或監(jiān)管機構(gòu)通過并經(jīng)委員會批準的數(shù)據(jù)保護標準條款、經(jīng)批準的行為守則或認證機制，以及第三國數(shù)據(jù)控制者或數(shù)據(jù)處理者的約束性承諾。

理事會還注意到，根據(jù)第95/46/EC號指令制定的向第三國傳輸數(shù)據(jù)的標準合同條款，自最初通過（包括自GDPR生效）以來并未根據(jù)發(fā)展情況加以更新。理事會鼓勵委員會近期內(nèi)審查和修訂這些文件，以適應(yīng)數(shù)據(jù)控制者與數(shù)據(jù)處理者的需要。

成員國注意到，進一步的闡明和指南將有助于應(yīng)用上述一些方式。例如，一些成員國指出，在沒有充分性決定的情況下，數(shù)據(jù)控制者可能難以確定GDPR第46條規(guī)定的哪些方式可被視為適當?shù)臄?shù)據(jù)保護措施。理事會將樂意接受闡明和指南，特別是來自EDPB的闡明和指南。理事會注意到，EDPB已就約束性公司規(guī)則發(fā)布了指南。此外，有必要闡明在公共當局之間接受適當保障的數(shù)據(jù)流轉(zhuǎn)的最低標準。這一點很重要，因為成員國的政府當局經(jīng)常需要與法律框架不同于歐盟的第三國當局合作和交換個人數(shù)據(jù)。

（二）留給成員國立法者的裁量空間問題

GDPR直接適用于所有成員國。正如委員會在《通信》中指出的那樣，GDPR的一個重要目標是擺脫在歐盟第95/46號指令指導(dǎo)下28個不同國家法律體系的支離破碎局面，為整個歐盟的個人和企業(yè)提供法律上的確定性。理事會認為，GDPR在很大程度上促進了這一目標。

然而，GDPR的若干條款為國家立法者保留了裁量空間，以維持或引入更具體的規(guī)定，以適應(yīng)GDPR某些規(guī)則的適用。委員會在《通信》中表示，將特別注意與使用這一規(guī)定裁量空間有關(guān)的國家措施。委員會認為，在沒有規(guī)定裁量空間的情況下，國家立法不應(yīng)規(guī)定超出GDPR的要求，例如附加處理條件。理事會認為，在商議GDPR時，許多條款被認為有必要為國家立法者留出足夠的裁量空間。例如，GDPR第6條第（2）款和第（3）款允許成員國維持或引入更具體的規(guī)定，以適應(yīng)處理個人數(shù)據(jù)的某些法律基礎(chǔ)的適用。因此，可以預(yù)見并證明由這一差距造成的某種差異是合理的（例如第85條和第86條也同樣適用）。

一些成員國指出，國家差異可能造成一些意想不到的后果，因為它在某種程度上造成了比原先預(yù)想的更加零散的法律局面。例如，GDPR第8條也規(guī)定了國家立法者的裁量幅度，該條規(guī)定信息社會服務(wù)領(lǐng)域中兒童在13至16歲之間的承諾年齡，這可能導(dǎo)致成員國采取不同的年齡限制。

雖然大多數(shù)成員國沒有將不同的年齡限制作為一個問題提出，但一些成員國認為這是一個問題，建議考慮采用統(tǒng)一的年齡限制。理事會指出，采取靈活性的年齡限制會產(chǎn)生分歧，這種可能結(jié)果在GDPR商議結(jié)束時已經(jīng)被預(yù)見了。然而，根據(jù)GDPR第8條規(guī)定的選擇不同年齡限制的可能性，在兩個成員國的國內(nèi)法適用于同一處理活動的場景中，造成了成員國之間法律適用的不確定性。

然而，理事會指出，GDPR及作為其補充的國家規(guī)則只在很短的一段時間內(nèi)得到施行，許多成員國仍在修訂其針對具體部門的立法。因此，就歐盟法律得出總體水平不成體系的明確結(jié)論可能為時過早，而更好地理解實施GDPR的國家法律中的屬地范圍重疊問題如何影響數(shù)據(jù)控制者和數(shù)據(jù)處理者，以及他們?nèi)绾螒?yīng)對這種情況，將是有益的。

理事會還強調(diào)，有必要防止歐盟法律體系在保護個人數(shù)據(jù)方面的支離破碎。包含個人數(shù)據(jù)處理規(guī)定的歐盟指令和條例應(yīng)與GDPR、歐盟第2016/6804號指令以及歐盟第2018/17255號條例（如果適用）保持一致。在制定影響個人數(shù)據(jù)處理的政策時，還應(yīng)以適當方式考慮到數(shù)據(jù)保護權(quán)。

三、歐盟理事會關(guān)于GDPR施行前景的若干結(jié)論

理事會總結(jié)了迄今為止在成員國引起最大關(guān)注的GDPR適用與解釋問題。其中尤其涉及：

1）在未作出充分性決定的情況下確定或采用適當保障措施的挑戰(zhàn)；

2）根據(jù)GDPR第七章建立的合作與一致性機制給監(jiān)管機構(gòu)帶來的額外工作，以及此類機制所涉資源問題；

3）無法預(yù)判的立法不成體系問題；

4）GDPR某些條款對私營部門的數(shù)據(jù)控制者和數(shù)據(jù)處理者規(guī)定的新義務(wù)；

5）監(jiān)管機構(gòu)應(yīng)采取措施應(yīng)對在第三國設(shè)立的數(shù)據(jù)控制者未在歐盟內(nèi)指定代表的情況。

但個別成員國也提出了一些與GDPR其他條款有關(guān)的問題。雖然理事會承認，問題的數(shù)量少主要是由于GDPR的適用時間短，但仍認為這些問題需要以某種方式加以解決。盡管已存在一些材料，理事會仍認為成員國提出的許多疑問是可以通過進一步指南等方式解決的解釋性問題，也認可EDPB和國家監(jiān)管機構(gòu)在提供指南方面的作用。其中應(yīng)特別注意：

1）GDPR在新技術(shù)領(lǐng)域的應(yīng)用以及與大型科技公司相關(guān)的問題；

2）中小企業(yè)和慈善或志愿者協(xié)會的實用工具，如數(shù)據(jù)控制者和數(shù)據(jù)處理者就個人數(shù)據(jù)泄露通知監(jiān)管機構(gòu)的統(tǒng)一表格，或簡化的信息處理記錄，以及中小企業(yè)根據(jù)其具體需要遵從GDPR的其他適當工具；

3）跨境案件中監(jiān)管機構(gòu)的有效工作安排；

4）與在歐盟外設(shè)立的數(shù)據(jù)控制者或數(shù)據(jù)處理者的代表不履行其義務(wù)的情況相關(guān)的問題。

此外，其中許多問題和主題，特別是國家立法者權(quán)力范圍內(nèi)的問題和議題以及與新興技術(shù)有關(guān)的挑戰(zhàn)，值得成員國和委員會進一步討論并交流經(jīng)驗。應(yīng)當考察哪里是進行這種討論的適當場所，因為這種討論不應(yīng)與EDPB的工作重疊。

針對GDPR第五章，理事會鼓勵委員會不僅審查現(xiàn)有的充分性決定，還應(yīng)審查根據(jù)歐盟法律所規(guī)定的要求作出新的充分性決定的可能性，并研判在作出此類決定時，具體規(guī)定向公共當局或公共當局之間移交數(shù)據(jù)問題的可行性。同時理事會認為，闡明GDPR第五章中可用的其他工具的適用問題，為數(shù)據(jù)控制者提供更清晰的說明，使其在沒有充分性決定的情況下可以考慮如何采用適當?shù)谋Ｕ洗胧峭瑯又匾摹?/p>

針對GDPR第七章，理事會指出的一些相關(guān)問題如前所述，并認為應(yīng)進一步加強監(jiān)管機構(gòu)之間的合作。在這方面，應(yīng)在委員會即將提交的報告中討論國家監(jiān)管機構(gòu)和EDPB資源的相關(guān)性。理事會認為，與適用GDPR第七章有關(guān)的程序性挑戰(zhàn)也應(yīng)予以解決，并鼓勵委員會與監(jiān)管機構(gòu)以及EDPB展開協(xié)商。

理事會指出，成員國必須維持或采用更具體的規(guī)定以適應(yīng)GDPR的施行，而與此相關(guān)的立法可能催生差異。雖然這一裁量空間是為了具體落實GDPR的某些規(guī)定，因此有可能呈現(xiàn)不成體系的局面，但理事會認為應(yīng)該密切關(guān)注這方面的事態(tài)發(fā)展，也有必要在歐盟政策和法律制定的相關(guān)領(lǐng)域充分吸納考慮數(shù)據(jù)保護要素和GDPR的規(guī)定。

理事會認為，重要的是促進GDPR確立的歐洲模式，并確保所有相關(guān)利益方在今后幾年中獲得更大的法律確定性。因此，委員會應(yīng)在其報告中處理與上述議題有關(guān)的各類問題，并提出解決這些問題的合理辦法。此外，為了根據(jù)GDPR第97條編制后續(xù)的報告，委員會應(yīng)繼續(xù)監(jiān)測和分析GDPR的施行經(jīng)驗，特別是在本文件涉及的各項問題上。理事會還強調(diào)，必須審查和闡明GDPR是如何適用于新技術(shù)并能夠盡快應(yīng)對新技術(shù)帶來的各類挑戰(zhàn)。

本文是國家社會科學基金項目（批準號：15CFX035）的階段性成果。■