□ 文 吳沈括 李京北

前言

歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡稱：GDPR）于2018年5月25日施行，廢除并取代第95/46/EC號歐盟指令。GDPR的目標(biāo)是在歐盟建立一個強(qiáng)有力的、更加一致的數(shù)據(jù)保護(hù)框架，并得到強(qiáng)有力的執(zhí)法支持。GDPR有兩個目標(biāo)，一是保護(hù)自然人的基本權(quán)利和自由，特別是保護(hù)個人數(shù)據(jù)的權(quán)利；二是允許個人數(shù)據(jù)自由流動以及數(shù)字經(jīng)濟(jì)在歐盟內(nèi)部市場的發(fā)展。

根據(jù)GDPR第97條，歐盟委員會（以下簡稱：委員會）應(yīng)向歐洲議會和歐盟理事會（以下簡稱：理事會）提交關(guān)于該條例評估和審查的第一份報告。該報告將于2020年5月25日前提交，此后每四年提交一次報告。在這方面，委員會應(yīng)特別審查下列各事項的適用和運(yùn)作：一是第五章中關(guān)于向第三國或國際組織轉(zhuǎn)移個人數(shù)據(jù)的規(guī)定，特別是根據(jù)本條例第45（3）條通過的決定和根據(jù)第95/46/EC號指令第25（6）條通過的決定；二是第七章中關(guān)于合作與一致性的規(guī)定。

GDPR的審查要求委員會考慮到歐洲議會和理事會以及其他相關(guān)機(jī)構(gòu)和部門的立場及調(diào)查結(jié)果。委員會還可要求成員國和監(jiān)管機(jī)構(gòu)提供資料。理事會為準(zhǔn)備上述立場和結(jié)論，請各代表團(tuán)提出書面意見。相關(guān)工作組在2019年10月21日、11月11日和12月5日的會議上討論了成員國的意見，最終理事會在2019年底以文件《歐盟理事會關(guān)于GDPR施行的立場與發(fā)現(xiàn)》概述和總結(jié)了理事會在籌備工作基礎(chǔ)上的立場和結(jié)論，也是本文的主要研究內(nèi)容。

與此同時，理事會還注意到，歐盟委員會于2019年7月通過的《作為歐盟內(nèi)外信任賦能者的數(shù)據(jù)保護(hù)規(guī)則之評估的通信》（以下簡稱《通信》）。《通信》探討了歐盟數(shù)據(jù)保護(hù)規(guī)則的影響以及進(jìn)一步改進(jìn)其實施的可能性。委員會認(rèn)為，雖然新的數(shù)據(jù)保護(hù)規(guī)則實現(xiàn)了許多目標(biāo)，但《通信》提出了進(jìn)一步加強(qiáng)這些規(guī)則及其適用的具體步驟。

理事會認(rèn)為，其立場和結(jié)論不應(yīng)局限于GDPR第97條第（2）款具體提到的主題。因此，理事會還鼓勵委員會在其即將提交的報告中，評估和審查GDPR超出該條具體內(nèi)容的適用情況和運(yùn)作情況。此外，委員會應(yīng)考慮到相關(guān)利益方的經(jīng)驗和投入，這將有助于確保評價盡可能全面。

為此，針對GDPR的施行，理事會匯聚梳理了成員國認(rèn)為特別相關(guān)的五類議題，分別是：數(shù)據(jù)跨境流動；合作與一致性機(jī)制；留給國家立法者的裁量空間；私營部門的新義務(wù)；在歐盟外設(shè)立的控制者或處理者的代表。

一、歐盟理事會關(guān)于GDPR施行的一般立場

理事會認(rèn)為GDPR取得了成功。這無疑是重要的里程碑，也是加強(qiáng)個人數(shù)據(jù)保護(hù)權(quán)和促進(jìn)歐盟信任創(chuàng)新的手段。GDPR還進(jìn)一步提高了歐盟和國外對數(shù)據(jù)保護(hù)重要性的認(rèn)識。

理事會承認(rèn)，國家監(jiān)管機(jī)構(gòu)在GDPR運(yùn)作和一致適用方面的重要作用。理事會還指出，與行使新的任務(wù)和權(quán)力有關(guān)的監(jiān)管機(jī)構(gòu)的活躍度大幅度增加，許多成員國在向其分配資源方面出現(xiàn)了積極的發(fā)展態(tài)勢。理事會同意委員會的看法，即各成員國監(jiān)管機(jī)構(gòu)之間，特別是在EDPB內(nèi)部進(jìn)行合作的重要性。應(yīng)進(jìn)一步加強(qiáng)這種合作，因為這種合作對于涉及風(fēng)險的跨境案件的監(jiān)管或涉及許多成員國案件（例如所謂的大型科技公司）的處理都非常重要。

理事會還支持委員會在其文中提出的意見，即競爭、消費(fèi)者和數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)在適當(dāng)時進(jìn)行合作，例如對大型科技公司的監(jiān)管。理事會指出，這些公司及其商業(yè)模式的廣泛影響引起了一些關(guān)注（例如數(shù)據(jù)主體如何充分行使對大型科技公司的權(quán)利，值得研究和監(jiān)管）。因此，需要歐盟的協(xié)調(diào)努力，審查這些挑戰(zhàn)的范圍，并就如何應(yīng)對這些挑戰(zhàn)提出設(shè)想。

此外，理事會認(rèn)為，數(shù)據(jù)控制者和數(shù)據(jù)處理者需要監(jiān)管機(jī)構(gòu)和EDPB提供更多的解釋與指導(dǎo)。委員會即將提交的評價報告中，還應(yīng)強(qiáng)調(diào)對實際指導(dǎo)的廣泛需求以及滿足這一需要的其他適當(dāng)手段。

根據(jù)GDPR第40條起草的針對具體部門的行為守則，可能是有助于適當(dāng)適用GDPR的一種手段。此類行為守則特別注意某些問題，例如對兒童個人資料的保護(hù)或?qū)】蒂Y料的處理。監(jiān)管機(jī)構(gòu)目前正在商議的一份行為守則清單，或許有助于改善對這些項目的協(xié)調(diào)與支持，鼓勵起草此類行為守則的措施應(yīng)當(dāng)增加并進(jìn)一步的發(fā)展。

同時，理事會指出，新現(xiàn)象（特別是新出現(xiàn)的技術(shù)）也對個人數(shù)據(jù)及其他基本權(quán)利（如禁止歧視）的保護(hù)提出了新的挑戰(zhàn)。這些挑戰(zhàn)涉及大數(shù)據(jù)的使用、人工智能和算法以及物聯(lián)網(wǎng)和區(qū)塊鏈技術(shù)等主題。這同樣適用于諸如面部識別、新型畫像和“深度偽造”技術(shù)的使用。量子計算的發(fā)展也對個人數(shù)據(jù)的保護(hù)提出了挑戰(zhàn)。另一方面，這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個巨大的優(yōu)勢，并有可能加強(qiáng)歐洲公民的隱私保護(hù)。理事會認(rèn)為，為了跟上新興技術(shù)的發(fā)展，有必要通過歐盟層面持續(xù)監(jiān)測和評估技術(shù)發(fā)展與GDPR的關(guān)系。

理事會強(qiáng)調(diào)，GDPR規(guī)定在技術(shù)上是中立的，其規(guī)定已經(jīng)涉及了這些新挑戰(zhàn)。必須考慮到，GDPR（更廣泛地講歐盟保護(hù)個人數(shù)據(jù)的法律框架）是制定未來數(shù)字化政策的先決條件。但鑒于上述情況，理事會認(rèn)為有必要盡快闡明GDPR如何適用于上述新技術(shù)。

二、歐盟理事會關(guān)于GDPR施行部分問題的立場與發(fā)現(xiàn)

（一）數(shù)據(jù)跨境流動領(lǐng)域的制度建設(shè)問題

在《通信》中，委員會注意到在全世界范圍內(nèi)制定數(shù)據(jù)保護(hù)規(guī)則的積極趨勢。最近，經(jīng)修訂的歐洲委員會第108號公約的締約國越來越多。與此同時，世界各國正在通過新的數(shù)據(jù)保護(hù)立法或改革其監(jiān)管框架，進(jìn)而實現(xiàn)數(shù)據(jù)保護(hù)現(xiàn)代化。

理事會認(rèn)為，充分性決定是數(shù)據(jù)控制者將個人數(shù)據(jù)安全傳輸給第三國和國際組織的一個重要手段。在這方面，理事會還認(rèn)為，充分性決定的基礎(chǔ)是遵守為此類決定制定的所有標(biāo)準(zhǔn)（包括后續(xù)轉(zhuǎn)移的標(biāo)準(zhǔn)），這是十分關(guān)鍵的。根據(jù)歐盟法律的要求，充分性決定還必須接受持續(xù)的監(jiān)測和定期審查，這對于確保有效保護(hù)數(shù)據(jù)主體權(quán)利而言至關(guān)重要。理事會支持委員會在《通信》中表示的計劃，即進(jìn)一步加強(qiáng)與適合的關(guān)鍵伙伴就充分性問題進(jìn)行對話。理事會鼓勵委員會在通過新的充分性決定時，研究是否有可能具體規(guī)定向政府當(dāng)局以及政府機(jī)構(gòu)之間的數(shù)據(jù)移交問題。理事會還同意委員會在2020年報告中對根據(jù)第95/46/EC號指令通過的11項充分性決定的審查計劃。

理事會指出，目前只有13項充分性決定生效，其中包括與美國的隱私盾協(xié)議。因此，在許多向第三國和國際組織傳輸個人數(shù)據(jù)的情況下，數(shù)據(jù)控制者需要使用GDPR第五章規(guī)定的其他方式。因此，理事會同意根據(jù)GDPR第五章處理其他國際跨境方式的應(yīng)用問題也很重要，這些方式有時也可以更好地滿足某一特定部門的個別數(shù)據(jù)控制者和數(shù)據(jù)處理者的需要。理事會強(qiáng)調(diào)這些方式的優(yōu)點，其中包括公共當(dāng)局或機(jī)構(gòu)之間簽訂的具有法律約束力和可執(zhí)行性的文書、約束性公司規(guī)則、委員會通過或監(jiān)管機(jī)構(gòu)通過并經(jīng)委員會批準(zhǔn)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、經(jīng)批準(zhǔn)的行為守則或認(rèn)證機(jī)制，以及第三國數(shù)據(jù)控制者或數(shù)據(jù)處理者的約束性承諾。

理事會還注意到，根據(jù)第95/46/EC號指令制定的向第三國傳輸數(shù)據(jù)的標(biāo)準(zhǔn)合同條款，自最初通過（包括自GDPR生效）以來并未根據(jù)發(fā)展情況加以更新。理事會鼓勵委員會近期內(nèi)審查和修訂這些文件，以適應(yīng)數(shù)據(jù)控制者與數(shù)據(jù)處理者的需要。

成員國注意到，進(jìn)一步的闡明和指南將有助于應(yīng)用上述一些方式。例如，一些成員國指出，在沒有充分性決定的情況下，數(shù)據(jù)控制者可能難以確定GDPR第46條規(guī)定的哪些方式可被視為適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施。理事會將樂意接受闡明和指南，特別是來自EDPB的闡明和指南。理事會注意到，EDPB已就約束性公司規(guī)則發(fā)布了指南。此外，有必要闡明在公共當(dāng)局之間接受適當(dāng)保障的數(shù)據(jù)流轉(zhuǎn)的最低標(biāo)準(zhǔn)。這一點很重要，因為成員國的政府當(dāng)局經(jīng)常需要與法律框架不同于歐盟的第三國當(dāng)局合作和交換個人數(shù)據(jù)。

（二）留給成員國立法者的裁量空間問題

GDPR直接適用于所有成員國。正如委員會在《通信》中指出的那樣，GDPR的一個重要目標(biāo)是擺脫在歐盟第95/46號指令指導(dǎo)下28個不同國家法律體系的支離破碎局面，為整個歐盟的個人和企業(yè)提供法律上的確定性。理事會認(rèn)為，GDPR在很大程度上促進(jìn)了這一目標(biāo)。

然而，GDPR的若干條款為國家立法者保留了裁量空間，以維持或引入更具體的規(guī)定，以適應(yīng)GDPR某些規(guī)則的適用。委員會在《通信》中表示，將特別注意與使用這一規(guī)定裁量空間有關(guān)的國家措施。委員會認(rèn)為，在沒有規(guī)定裁量空間的情況下，國家立法不應(yīng)規(guī)定超出GDPR的要求，例如附加處理條件。理事會認(rèn)為，在商議GDPR時，許多條款被認(rèn)為有必要為國家立法者留出足夠的裁量空間。例如，GDPR第6條第（2）款和第（3）款允許成員國維持或引入更具體的規(guī)定，以適應(yīng)處理個人數(shù)據(jù)的某些法律基礎(chǔ)的適用。因此，可以預(yù)見并證明由這一差距造成的某種差異是合理的（例如第85條和第86條也同樣適用）。

一些成員國指出，國家差異可能造成一些意想不到的后果，因為它在某種程度上造成了比原先預(yù)想的更加零散的法律局面。例如，GDPR第8條也規(guī)定了國家立法者的裁量幅度，該條規(guī)定信息社會服務(wù)領(lǐng)域中兒童在13至16歲之間的承諾年齡，這可能導(dǎo)致成員國采取不同的年齡限制。

雖然大多數(shù)成員國沒有將不同的年齡限制作為一個問題提出，但一些成員國認(rèn)為這是一個問題，建議考慮采用統(tǒng)一的年齡限制。理事會指出，采取靈活性的年齡限制會產(chǎn)生分歧，這種可能結(jié)果在GDPR商議結(jié)束時已經(jīng)被預(yù)見了。然而，根據(jù)GDPR第8條規(guī)定的選擇不同年齡限制的可能性，在兩個成員國的國內(nèi)法適用于同一處理活動的場景中，造成了成員國之間法律適用的不確定性。

然而，理事會指出，GDPR及作為其補(bǔ)充的國家規(guī)則只在很短的一段時間內(nèi)得到施行，許多成員國仍在修訂其針對具體部門的立法。因此，就歐盟法律得出總體水平不成體系的明確結(jié)論可能為時過早，而更好地理解實施GDPR的國家法律中的屬地范圍重疊問題如何影響數(shù)據(jù)控制者和數(shù)據(jù)處理者，以及他們?nèi)绾螒?yīng)對這種情況，將是有益的。

理事會還強(qiáng)調(diào)，有必要防止歐盟法律體系在保護(hù)個人數(shù)據(jù)方面的支離破碎。包含個人數(shù)據(jù)處理規(guī)定的歐盟指令和條例應(yīng)與GDPR、歐盟第2016/6804號指令以及歐盟第2018/17255號條例（如果適用）保持一致。在制定影響個人數(shù)據(jù)處理的政策時，還應(yīng)以適當(dāng)方式考慮到數(shù)據(jù)保護(hù)權(quán)。

三、歐盟理事會關(guān)于GDPR施行前景的若干結(jié)論

理事會總結(jié)了迄今為止在成員國引起最大關(guān)注的GDPR適用與解釋問題。其中尤其涉及：

1）在未作出充分性決定的情況下確定或采用適當(dāng)保障措施的挑戰(zhàn)；

2）根據(jù)GDPR第七章建立的合作與一致性機(jī)制給監(jiān)管機(jī)構(gòu)帶來的額外工作，以及此類機(jī)制所涉資源問題；

3）無法預(yù)判的立法不成體系問題；

4）GDPR某些條款對私營部門的數(shù)據(jù)控制者和數(shù)據(jù)處理者規(guī)定的新義務(wù)；

5）監(jiān)管機(jī)構(gòu)應(yīng)采取措施應(yīng)對在第三國設(shè)立的數(shù)據(jù)控制者未在歐盟內(nèi)指定代表的情況。

但個別成員國也提出了一些與GDPR其他條款有關(guān)的問題。雖然理事會承認(rèn)，問題的數(shù)量少主要是由于GDPR的適用時間短，但仍認(rèn)為這些問題需要以某種方式加以解決。盡管已存在一些材料，理事會仍認(rèn)為成員國提出的許多疑問是可以通過進(jìn)一步指南等方式解決的解釋性問題，也認(rèn)可EDPB和國家監(jiān)管機(jī)構(gòu)在提供指南方面的作用。其中應(yīng)特別注意：

1）GDPR在新技術(shù)領(lǐng)域的應(yīng)用以及與大型科技公司相關(guān)的問題；

2）中小企業(yè)和慈善或志愿者協(xié)會的實用工具，如數(shù)據(jù)控制者和數(shù)據(jù)處理者就個人數(shù)據(jù)泄露通知監(jiān)管機(jī)構(gòu)的統(tǒng)一表格，或簡化的信息處理記錄，以及中小企業(yè)根據(jù)其具體需要遵從GDPR的其他適當(dāng)工具；

3）跨境案件中監(jiān)管機(jī)構(gòu)的有效工作安排；

4）與在歐盟外設(shè)立的數(shù)據(jù)控制者或數(shù)據(jù)處理者的代表不履行其義務(wù)的情況相關(guān)的問題。

此外，其中許多問題和主題，特別是國家立法者權(quán)力范圍內(nèi)的問題和議題以及與新興技術(shù)有關(guān)的挑戰(zhàn)，值得成員國和委員會進(jìn)一步討論并交流經(jīng)驗。應(yīng)當(dāng)考察哪里是進(jìn)行這種討論的適當(dāng)場所，因為這種討論不應(yīng)與EDPB的工作重疊。

針對GDPR第五章，理事會鼓勵委員會不僅審查現(xiàn)有的充分性決定，還應(yīng)審查根據(jù)歐盟法律所規(guī)定的要求作出新的充分性決定的可能性，并研判在作出此類決定時，具體規(guī)定向公共當(dāng)局或公共當(dāng)局之間移交數(shù)據(jù)問題的可行性。同時理事會認(rèn)為，闡明GDPR第五章中可用的其他工具的適用問題，為數(shù)據(jù)控制者提供更清晰的說明，使其在沒有充分性決定的情況下可以考慮如何采用適當(dāng)?shù)谋Ｕ洗胧?，是同樣重要的?/p>

針對GDPR第七章，理事會指出的一些相關(guān)問題如前所述，并認(rèn)為應(yīng)進(jìn)一步加強(qiáng)監(jiān)管機(jī)構(gòu)之間的合作。在這方面，應(yīng)在委員會即將提交的報告中討論國家監(jiān)管機(jī)構(gòu)和EDPB資源的相關(guān)性。理事會認(rèn)為，與適用GDPR第七章有關(guān)的程序性挑戰(zhàn)也應(yīng)予以解決，并鼓勵委員會與監(jiān)管機(jī)構(gòu)以及EDPB展開協(xié)商。

理事會指出，成員國必須維持或采用更具體的規(guī)定以適應(yīng)GDPR的施行，而與此相關(guān)的立法可能催生差異。雖然這一裁量空間是為了具體落實GDPR的某些規(guī)定，因此有可能呈現(xiàn)不成體系的局面，但理事會認(rèn)為應(yīng)該密切關(guān)注這方面的事態(tài)發(fā)展，也有必要在歐盟政策和法律制定的相關(guān)領(lǐng)域充分吸納考慮數(shù)據(jù)保護(hù)要素和GDPR的規(guī)定。

理事會認(rèn)為，重要的是促進(jìn)GDPR確立的歐洲模式，并確保所有相關(guān)利益方在今后幾年中獲得更大的法律確定性。因此，委員會應(yīng)在其報告中處理與上述議題有關(guān)的各類問題，并提出解決這些問題的合理辦法。此外，為了根據(jù)GDPR第97條編制后續(xù)的報告，委員會應(yīng)繼續(xù)監(jiān)測和分析GDPR的施行經(jīng)驗，特別是在本文件涉及的各項問題上。理事會還強(qiáng)調(diào)，必須審查和闡明GDPR是如何適用于新技術(shù)并能夠盡快應(yīng)對新技術(shù)帶來的各類挑戰(zhàn)。

本文是國家社會科學(xué)基金項目（批準(zhǔn)號：15CFX035）的階段性成果。■