相麗玲 寧巧紅
(山西大學(xué)經(jīng)濟與管理學(xué)院,太原,030006)
從源頭上講,國家安全是隨著國家的出現(xiàn)而出現(xiàn)的社會現(xiàn)象,是國家不受各種內(nèi)外威脅和侵害的客觀狀態(tài)。而國家安全觀,則是隨著歷史的發(fā)展,對國家安全和國家安全活動不斷演進的認識、思想以及國家安全理論。
2013年“斯諾登事件”的曝光,使各國政府迅速將“個人數(shù)據(jù)安全”視為國家安全的重點與基礎(chǔ)。以“網(wǎng)絡(luò)適度安全”為主的傳統(tǒng)國家安全觀也隨之升級為以“網(wǎng)絡(luò)安全和數(shù)據(jù)安全”為重點的新型國家安全觀。
目前,國內(nèi)外對于歐盟區(qū)域安全觀及其個人數(shù)據(jù)保護的研究,主要體現(xiàn)在三個方面:①歐盟安全觀研究。主要觀點有:2014年歐盟將國家戰(zhàn)略延伸到數(shù)據(jù)領(lǐng)域[1];美國是歐盟的安全威脅,其對多邊協(xié)調(diào)合作持積極態(tài)度[2];歐盟重視相互依賴以及機制化的自由安全觀[3]。②個人數(shù)據(jù)保護的研究。主要觀點有:歐盟的個人數(shù)據(jù)保護相對詳盡和嚴格[4-5];互聯(lián)網(wǎng)、遙感等技術(shù)應(yīng)用于提高個人數(shù)據(jù)保護能力[6-7];歐洲和美國對個人數(shù)據(jù)跨境流動的態(tài)度和規(guī)則相反[8-9]。③國家安全觀與個人數(shù)據(jù)保護的關(guān)系研究。主要觀點有:個人數(shù)據(jù)安全是國家安全的一個重要部分,但國家安全與個人數(shù)據(jù)保護之間亦存在極大的矛盾,政府對個人數(shù)據(jù)的利用程度是一個問題,要實現(xiàn)個人數(shù)據(jù)保護與利用的平衡[10-14]。
綜上所述,目前國內(nèi)外學(xué)者對歐盟安全觀的研究,主要以研究歐盟安全戰(zhàn)略為主,沒有明確提出“歐盟新型區(qū)域安全觀”這個概念及其具體內(nèi)容。對個人數(shù)據(jù)保護的研究,主要集中在相關(guān)立法、技術(shù)及跨境數(shù)據(jù)流動規(guī)則的具體內(nèi)容及環(huán)節(jié)方面;對國家安全與個人數(shù)據(jù)保護關(guān)系的認識也存在局限性。因此,站在新型國家安全觀的高度,探討歐盟新型區(qū)域安全觀及其內(nèi)涵,分析歐盟個人數(shù)據(jù)保護制度的演化進程,有助于全方位構(gòu)建并分析歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護整體框架、重點領(lǐng)域及其跨境數(shù)據(jù)流動中的規(guī)則特點與未來發(fā)展趨勢,為我國積極參與全球數(shù)據(jù)貿(mào)易提供政策依據(jù)。
所謂“國家安全觀”是一種安全理念,它包含了安全利益觀念、安全威脅觀念、安全戰(zhàn)略觀念和安全效益觀念等基本觀念[15]。歐盟,全稱歐洲聯(lián)盟,是政治經(jīng)濟一體化的區(qū)域聯(lián)盟組織,代表了區(qū)域內(nèi)國家的共同意志,對區(qū)域不受內(nèi)外威脅和侵害的要求高度一致,故筆者將國家安全觀的理念運用于歐盟這一區(qū)域聯(lián)盟中,將歐盟安全觀稱為“歐盟區(qū)域安全觀”。
筆者以2013年的“斯諾登事件”為特殊節(jié)點,將此后的歐盟區(qū)域安全觀稱為“歐盟新型區(qū)域安全觀”。2013年后,歐盟區(qū)域安全觀實現(xiàn)了從單一保護的傳統(tǒng)安全觀向全面綜合保護的新型區(qū)域安全觀的巨大轉(zhuǎn)變。具體包括兩個時期四個階段:即傳統(tǒng)安全觀時期(1957-2013年)的經(jīng)濟安全觀階段(1957-1993年)和政治經(jīng)濟安全向綜合安全過渡階段(1993-2013年);新型區(qū)域安全觀時期(2013年至今)的個人數(shù)據(jù)嚴格保護觀階段(2013-2020年)和個人數(shù)據(jù)保護與數(shù)字經(jīng)濟協(xié)調(diào)發(fā)展觀階段(2020年至今)。
歐盟新型區(qū)域安全觀以歐盟核心價值觀和歐盟盟約的區(qū)域安全戰(zhàn)略目標為理念基礎(chǔ),指導(dǎo)著歐盟區(qū)域安全觀的頂層設(shè)計;以安全利益觀念、安全威脅觀念、安全戰(zhàn)略觀念和安全效益觀念為區(qū)域安全理念,體現(xiàn)出歐盟新型區(qū)域安全觀的主要內(nèi)容及其特點,如表1所示。
表1 全面綜合的歐盟新型區(qū)域安全觀Table 1 Comprehensive and Ιntegrated EU New Concept of Regional Security
通過對表1的分析與整理,筆者將歐盟新型區(qū)域安全觀概括為:(1)以歐盟的核心價值觀為基礎(chǔ),以公民安全、政治安全和經(jīng)濟安全為核心,以網(wǎng)絡(luò)安全和數(shù)據(jù)安全為重點支撐的歐盟區(qū)域內(nèi)安全觀。(2)以構(gòu)建一個全球開放、穩(wěn)定安全的網(wǎng)絡(luò)空間,保障個人數(shù)據(jù)權(quán);應(yīng)對網(wǎng)絡(luò)攻擊、恐怖主義、有組織犯罪等日益復(fù)雜的安全威脅,實現(xiàn)促進經(jīng)濟發(fā)展、科技進步、社會團結(jié)、公民自由安全目標的國際安全觀。(3)始終堅持共同安全和多邊主義的國際安全原則,兼顧區(qū)域內(nèi)安全和國際安全的區(qū)域安全理念。
根據(jù)2.1節(jié)歐盟新型區(qū)域安全觀的演化進程,可將歐盟的個人數(shù)據(jù)保護法律制度的演化發(fā)展分為兩個時期:
2.2.1 歐盟傳統(tǒng)安全觀時期(1957-2013年)
這一時期的歐盟個人數(shù)據(jù)保護分為兩個階段。一是個人數(shù)據(jù)弱保護實踐階段(1957-1993年)。1973年和1974年歐共體分別制定了第73/22和74/29號決議,規(guī)定了私營部門和公共部門如何實現(xiàn)數(shù)據(jù)保護,但“決議”這一法律位階的保護能力和約束能力均太弱;1981年,再次制定了《個人數(shù)據(jù)自動化處理中的個人保護公約》(第108號公約),“公約”要求各成員國將其轉(zhuǎn)化為國內(nèi)立法并進行實施,這是歐盟第一部具有約束力的個人數(shù)據(jù)保護法律[20]。但截至1989年,僅七個成員國批準該公約,歐共體的各項法律實踐均算失敗。二是個人數(shù)據(jù)適度安全階段(1993-2013年)。1995年,隨著計算機的逐漸普及,既是為了應(yīng)對來自美國的安全威脅,也為了解決成員國個人數(shù)據(jù)保護程度嚴重不一的情況,歐盟制定了具有法律約束力的《保護個人享有的與個人數(shù)據(jù)處理有關(guān)的權(quán)利以及個人數(shù)據(jù)自由流動的指令》(以下簡稱《95指令》),該法律仍需要成員國將其轉(zhuǎn)化為國內(nèi)立法具體實施[21],1998年在成員國全面完成轉(zhuǎn)化;此后,又制定了《電子隱私指令》(2009)等其他具體指令,歐盟個人數(shù)據(jù)保護能力稍有提升,但也加速了個人數(shù)據(jù)保護法律的碎片化。
2.2.2 歐盟新型區(qū)域安全觀時期(2013年至今)
這一時期的歐盟個人數(shù)據(jù)保護亦分為兩個階段。一是個人數(shù)據(jù)嚴格保護階段(2013年-2020年)。歐盟因《95指令》無法滿足大數(shù)據(jù)時代對個人數(shù)據(jù)保護的需要,在2012年開始了編制《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)的準備工作;2013年的“斯諾登事件”之后,歐盟迅速將網(wǎng)絡(luò)安全和數(shù)據(jù)安全提升到一級國家安全戰(zhàn)略層面,加速了GDPR的籌備工作。2016年預(yù)實施版本的GDPR橫空出世,2018年正式實施。GDPR作為個人數(shù)據(jù)保護領(lǐng)域的統(tǒng)一法,以最高法律位階的條例保障歐盟個人數(shù)據(jù)保護達到了最高層次;此后,歐盟又陸續(xù)制定了《電子身份識別及信任服務(wù)條例》(以下簡稱eΙDАS條例)、《網(wǎng)絡(luò)安全法案》等多項法律,并將《電子隱私指令》更新為《電子隱私條例》,形成了以GDPR為主的統(tǒng)一保護。二是個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧階段(2020年至今)。2020年起,歐盟《數(shù)字市場法》《數(shù)字服務(wù)法》《數(shù)據(jù)法案》和《數(shù)據(jù)治理法》等草案逐漸提出或通過。至此,以GDPR統(tǒng)一保護個人數(shù)據(jù)為基礎(chǔ),促進歐盟數(shù)據(jù)共享利用成為最新的立法方向。
由上文可知,不同時期的歐盟區(qū)域安全觀決定著其不同時期的個人數(shù)據(jù)保護法律制度的制定與發(fā)展。基于此,本研究以歐盟新型區(qū)域安全觀及其現(xiàn)行各項相關(guān)法律文件為依據(jù),構(gòu)建了歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架三維結(jié)構(gòu),如表2所示。
表2 歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架Table 2 The Personal Data Protection Framework under EU New Regional Security Concept
第Ⅰ維度體現(xiàn)了歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護整體框架,它由歐盟區(qū)域內(nèi)個人數(shù)據(jù)保護制度和跨境數(shù)據(jù)流動規(guī)則兩個部分組成,充分體現(xiàn)出歐盟“區(qū)域內(nèi)安全和國際安全兼顧”的新型區(qū)域安全觀理念。
3.1.1 歐盟區(qū)域內(nèi)安全觀下的個人數(shù)據(jù)保護制度
(1)核心價值觀下的“個人數(shù)據(jù)權(quán)”憲法確立。由表1可以看出,歐盟的核心價值觀是歐盟區(qū)域安全觀的基礎(chǔ),其包含人的尊嚴和人權(quán)。故個人數(shù)據(jù)權(quán)這一數(shù)字人權(quán)在2000年的《憲章》(第八條)得以確立,從憲法的最高層面承認了個人數(shù)據(jù)權(quán),是歐盟嚴格個人數(shù)據(jù)保護制度的奠基點。
(2)適合所有領(lǐng)域的GDPR。安全領(lǐng)域范圍詳盡是歐盟新型區(qū)域安全觀的主要特點。GDPR作為歐盟專門保護個人數(shù)據(jù)的統(tǒng)一法,適用歐盟及其成員國的所有安全領(lǐng)域;在全方位保護的基礎(chǔ)上,根據(jù)表1和筆者對歐盟新型區(qū)域安全觀概念的定義,其個人數(shù)據(jù)保護框架以公民安全、政治安全和經(jīng)濟安全為中心,網(wǎng)絡(luò)安全和數(shù)據(jù)安全為重點支撐,與歐盟新型區(qū)域安全觀高度一致。
(3)從寬的區(qū)域內(nèi)數(shù)據(jù)流動。主要包括以下內(nèi)容:第一,按照歐盟區(qū)域利益觀的要求,通過GDPR及系列規(guī)則的約束,歐盟區(qū)域內(nèi)的個人數(shù)據(jù)保護標準統(tǒng)一且嚴格,為區(qū)域內(nèi)數(shù)字共享提供了強有力的保障。第二,基于促進經(jīng)濟發(fā)展的歐盟區(qū)域戰(zhàn)略目標,2018年4月完成的《歐洲企業(yè)間數(shù)據(jù)共享研究報告》顯示,歐洲企業(yè)的數(shù)據(jù)共享已經(jīng)實現(xiàn)相當(dāng)程度的規(guī)?;蜕虡I(yè)化,成功的數(shù)據(jù)共享案例出現(xiàn)在經(jīng)濟和社會生活的方方面面[22],嚴格的個人數(shù)據(jù)保護制度并未影響區(qū)域內(nèi)的數(shù)據(jù)流動。第三,在歐盟單一化市場戰(zhàn)略和歐盟數(shù)據(jù)戰(zhàn)略的指導(dǎo)下,《數(shù)據(jù)治理法》(第二章)和《數(shù)據(jù)法案(草案)》(第二、五章)鼓勵對政府?dāng)?shù)據(jù)和企業(yè)收集的數(shù)據(jù)進行分享和再利用,擴大區(qū)域內(nèi)數(shù)據(jù)共享與自由流動,促進歐盟數(shù)字經(jīng)濟的發(fā)展。
(4)五大重點領(lǐng)域的個人數(shù)據(jù)保護制度。五大重點安全領(lǐng)域(見表2)依據(jù)不同的重點,細化歐盟的個人數(shù)據(jù)保護范圍,保障歐盟公民的個人數(shù)據(jù)權(quán)。公民安全領(lǐng)域是歐盟個人數(shù)據(jù)保護的基礎(chǔ)領(lǐng)域,對電子身份這一個人數(shù)據(jù)以最高階層的法規(guī),輔助GDPR維護公民的基本權(quán)利;政治安全領(lǐng)域從歐盟機構(gòu)的系統(tǒng)安全,利用、保存?zhèn)€人數(shù)據(jù)的過程,及所使用的工具等來保障歐盟個人數(shù)據(jù)的安全;經(jīng)濟安全領(lǐng)域是歐盟個人數(shù)據(jù)保護最重點的領(lǐng)域,以最高位階且管制范圍較全面的法律保障個人數(shù)據(jù)在利用與流通中的安全;網(wǎng)絡(luò)安全領(lǐng)域以全面的法律位階,保障網(wǎng)絡(luò)硬件設(shè)備和新技術(shù)中的個人數(shù)據(jù)保護;數(shù)據(jù)安全領(lǐng)域的個人數(shù)據(jù)保護法律體系健全,對電子通信數(shù)據(jù)、公共數(shù)據(jù)、自動化數(shù)據(jù)和地理位置等各類型數(shù)據(jù)提供了不同的法律制度,實現(xiàn)更為細致的個人數(shù)據(jù)保護(詳見3.3節(jié))。
3.1.2 共同安全和多邊主義國際安全觀下的跨境數(shù)據(jù)流動機制
歐盟跨境數(shù)據(jù)流動規(guī)則以GDPR為原則,補充《證據(jù)》《地域適用范圍》《數(shù)據(jù)治理法》《數(shù)據(jù)法案(草案)》和SCCs,對GDPR的管轄范圍和具體跨境流動機制作了進一步規(guī)定(見表3)。
表3顯示,歐盟跨境數(shù)據(jù)流動規(guī)則具有以下特點:
表3 歐盟個人數(shù)據(jù)跨境流動規(guī)則Table 3 EU Rules on Cross-border Transfers of Personal Data
(1)GDPR和《證據(jù)》以保護個人數(shù)據(jù)安全為前提。第一,GDPR以個人數(shù)據(jù)能得到的最大保護為基準,限定了數(shù)據(jù)輸出方的數(shù)據(jù)保護能力標準和個人同意準則,以及數(shù)據(jù)輸入方對數(shù)據(jù)的使用和保護規(guī)則。對需要特殊關(guān)注的數(shù)據(jù),比如電子證據(jù)等,《證據(jù)》規(guī)定了專門的取證機制,體現(xiàn)了歐盟對保護個人數(shù)據(jù)權(quán)的要求之高。第二,“長臂管轄”機制。GDPR和《證據(jù)》規(guī)定指出,某個從事數(shù)據(jù)收集與處理的企業(yè)處理行為,凡涉及歐盟公民個人數(shù)據(jù),就要遵循歐盟的個人數(shù)據(jù)保護制度。這意味著歐盟對數(shù)據(jù)的輸入、輸出方都進行了一定程度的管轄(見表3),其范圍過寬;且歐盟作為世界第二大經(jīng)濟體,包含27個成員國,與其的政治和經(jīng)濟交流必不可少,歐盟的個人數(shù)據(jù)保護要求逐漸蔓延和擴大為全球標準。無論主動還是被動,歐盟通過GDPR將管轄范圍擴展得足夠?qū)?,是典型的“長臂管轄”機制。第三,首次明文規(guī)定的懲罰措施。GDPR是首部將侵犯個人數(shù)據(jù)權(quán)的行為量化的法律,設(shè)定了兩種不同程度的違法行為的處罰措施,標志著歐盟GDPR具有了真正的施行效力。
(2)《地域適用范圍》明確了域外管轄的合理邊界。具體包括:否定了對“機構(gòu)”一詞的寬泛解釋;境外數(shù)據(jù)控制者委托境內(nèi)處理者處理數(shù)據(jù)的行為不受GDPR管控;細化了目標指向中提供的服務(wù)必須為信息服務(wù);目標指向中的監(jiān)測行為的判定,添加了可穿戴設(shè)備、智能設(shè)備等技術(shù)因素,列舉了地理定位活動、cookie分析等典型行為,細化了監(jiān)測行為,減少管轄范圍。通過地域適用限制,詳細規(guī)定了GDPR的地域適用范圍,明確了域外管轄的合理邊界。既避免了侵犯別國的網(wǎng)絡(luò)空間主權(quán),也遵循了歐盟共同安全的國際安全觀。
(3)SCCs確保數(shù)據(jù)轉(zhuǎn)移至第三國后,能夠保障歐盟公民的個人數(shù)據(jù)權(quán)。GDPR正式施行之后,美國的蘋果、Facebook、谷歌等互聯(lián)網(wǎng)企業(yè)因數(shù)據(jù)轉(zhuǎn)移后無法保障歐盟公民的個人數(shù)據(jù)安全被開出巨額罰單,表現(xiàn)出歐盟與美國在跨境數(shù)據(jù)流動規(guī)則中存在重大分歧。美國堅持“美國第一”的安全觀,個人數(shù)據(jù)保護模式為寬松的“政府監(jiān)管+行業(yè)自律”模式,鼓勵跨境數(shù)據(jù)的自由流動和數(shù)字經(jīng)濟的迅速發(fā)展。在聯(lián)邦法層面僅有《隱私權(quán)法》(1974),尚未形成統(tǒng)一的個人數(shù)據(jù)保護法,對個人數(shù)據(jù)采取弱保護。且依據(jù)美國的《外國情報監(jiān)控法》(1978),輸入美國的第三國個人數(shù)據(jù)會受到監(jiān)控,有被竊取的風(fēng)險。為了應(yīng)對來自美國的數(shù)據(jù)安全威脅,歐盟專門制定了SCCs(第三節(jié)),規(guī)定將數(shù)據(jù)轉(zhuǎn)移的第三國法律納入歐盟數(shù)據(jù)保護的考量范圍,強化數(shù)據(jù)控制者和處理者的合同義務(wù)和違約責(zé)任,確保歐盟公民的個人數(shù)據(jù)在第三國得到充分保護。
(4)《數(shù)據(jù)治理法》和《數(shù)據(jù)法案(草案)》為歐盟數(shù)字經(jīng)濟的發(fā)展提供了法律保障。歐盟嚴格的跨境流動機制,使得非白名單國家的企業(yè)無法確認與歐盟進行貿(mào)易交流需要必備的條件、自身的數(shù)據(jù)處理行為是否歸屬GDPR管轄、是否違反GDPR及其系列規(guī)則等,疲于應(yīng)對相應(yīng)規(guī)則,成本增加,促使該類企業(yè)放棄歐盟市場,限制了歐盟國際數(shù)字經(jīng)濟的發(fā)展。因此,根據(jù)歐盟數(shù)據(jù)戰(zhàn)略指導(dǎo),2022年制定的《數(shù)據(jù)治理法》(第11條)與《數(shù)據(jù)法案(草案)》(第七章)均鼓勵非個人數(shù)據(jù)的共享、轉(zhuǎn)移和利用創(chuàng)新,促進區(qū)域內(nèi)外數(shù)據(jù)有效流通,歐盟個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧已成趨勢。
第Ⅱ維度是歐盟個人數(shù)據(jù)保護的立法框架,體現(xiàn)歐盟新型區(qū)域安全觀下個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧理念的現(xiàn)行立法體系。
3.2.1 歐盟的立法框架
在多數(shù)研究中,歐盟法的分類方式習(xí)慣依照法律淵源進行區(qū)分,分為三級淵源。①一級法律淵源包含歐盟與成員國簽訂的基礎(chǔ)性條約,如《歐洲聯(lián)盟條約》和《歐盟憲法條約》等,以及歐盟與第三國、其他國際組織簽訂的條約[26]。②二級法律淵源是具有不同約束力和適用范圍的法律,具體包括條例、指令和決議三個部分。③三級法律淵源由判例法及建議和意見兩個部分組成。上述三級法律淵源共同形成歐盟的立法框架,加之歐盟成員國的法律體系,形成歐盟總體的立法框架。
歐盟法與其成員國法律體系之間的關(guān)系,形成了一種超國家平衡的體制[26]。此種情況下,歐盟法具有直接適用、直接效力和至高效力[27],決定了在歐盟總體立法框架中歐盟法處于優(yōu)先地位,即優(yōu)先適用歐盟法,并依據(jù)歐盟法中的不同約束力和適用性,完善成員國的法律體系。由于歐盟立法框架的獨特性,筆者以歐盟法為主線,成員國法適當(dāng)輔助,確立歐盟個人數(shù)據(jù)保護的立法框架。
3.2.2 歐盟個人數(shù)據(jù)保護立法框架
歐盟個人數(shù)據(jù)保護立法框架是典型的“統(tǒng)一立法”模式,符合歐盟“統(tǒng)一立法”的基本立法模式。即在宏觀層面建立了一部統(tǒng)一的個人數(shù)據(jù)保護法GDPR,并在此法的基礎(chǔ)上,制定具體領(lǐng)域的專門法。所以,GDPR雖然屬于“法規(guī)/條例”位階,但基于其獨特地位,筆者將其單獨列出,以更好地描述歐盟的個人數(shù)據(jù)保護模式。歐盟個人數(shù)據(jù)保護立法框架分析如表4所示。
表4 歐盟個人數(shù)據(jù)保護立法框架Table 4 EU Legislative Framework for Personal Data Protection
(1)基礎(chǔ)條約?!稇椪隆肥恰稓W盟憲法條約》的一部分,隸屬于一級法律淵源,具有憲法性質(zhì),其規(guī)定了歐盟公民所享有的個人的、公民的、政治的、經(jīng)濟的和社會的各項權(quán)利。2000年的《憲章》第8條明確規(guī)定,“個人數(shù)據(jù)權(quán)”是歐盟公民的一項基本權(quán)利,標志著“個人數(shù)據(jù)權(quán)”在歐盟憲法層面得到確立,是歐盟公民的基本人權(quán)。
(2)法規(guī)或條例。條例是歐盟二級法律淵源中法律位階最高的法律形式,也是除了基礎(chǔ)條約之外最具有約束力和適用力的法律。
①歐盟統(tǒng)一法+成員國立法。第一,歐盟統(tǒng)一法。2018年歐盟正式出臺并實施的GDPR,以擴大的數(shù)據(jù)主體權(quán)利(知情權(quán)、訪問權(quán)、糾正權(quán)、刪除權(quán)、限制處理權(quán)、可攜權(quán)、被遺忘權(quán)等七大權(quán)利),廣泛的保護范圍(所有數(shù)據(jù)類型、所有領(lǐng)域),五重監(jiān)管機制(文檔化管理、數(shù)據(jù)泄露通知、數(shù)據(jù)保護影響評估、數(shù)據(jù)保護官、獨立監(jiān)管機構(gòu))和嚴厲的懲罰措施,實現(xiàn)了對歐盟公民個人數(shù)據(jù)最有效、最嚴格的保護[21]。第二,成員國立法。歐盟27個成員國中,14個國家已制定本國的個人數(shù)據(jù)保護法,如奧地利、保加利亞、愛爾蘭、荷蘭、葡萄牙、西班牙等國的《個人數(shù)據(jù)保護法》,法國、德國、瑞典等國的《數(shù)據(jù)保護法》,比利時的《個人數(shù)據(jù)處理的隱私保護法》,丹麥的《個人數(shù)據(jù)處理法》,匈牙利的《個人數(shù)據(jù)保護與公共利益數(shù)據(jù)公開法》,意大利的《關(guān)于個人數(shù)據(jù)處理中保護個人數(shù)據(jù)與其他數(shù)據(jù)主體的法案》,捷克共和國的《信息系統(tǒng)個人數(shù)據(jù)保護法》等。上述14個國家的專門法制定,大部分為《95指令》頒布后轉(zhuǎn)化為國內(nèi)法后形成的,2018年GDPR實施后又進行了進一步的修正,增強了效力,保障了GDPR的落地實行和本國個人數(shù)據(jù)的保護。其他13個國家則直接適用GDPR保障本國的個人數(shù)據(jù)保護。
②條例。該部分是歐盟具體領(lǐng)域的個人數(shù)據(jù)保護法,具體包括條例和法規(guī)兩種法律形式,例如eΙDАS條例和《數(shù)字市場法》。
(3)指令。指令的約束力對象為特定成員國,履行時需將其轉(zhuǎn)換成國內(nèi)立法。例如,關(guān)鍵基礎(chǔ)設(shè)施之NΙS指令要求全部成員國在2018年5月9日前將其納入本國法律;荷蘭在2017年通過了面向關(guān)鍵行業(yè)的強制性違規(guī)報告法,并于2018年1月1日正式實施。
(4)決議。決議對指定的對象具有約束力。例如,SCCs對公司跨境數(shù)據(jù)流動應(yīng)遵循的責(zé)任與義務(wù)作出了具體規(guī)定。
(5)建議和意見。建議和意見是歐盟三級法律淵源中的主要內(nèi)容之一。其呈現(xiàn)方式如《5G網(wǎng)絡(luò)安全建議》和《實地問責(zé):關(guān)于記錄歐盟機構(gòu)、機關(guān)和機構(gòu)處理業(yè)務(wù)的指導(dǎo)意見》等建議和意見,《地域適用范圍》等指南,《關(guān)于數(shù)據(jù)泄露通知示例的012021號指引》等指引三種不同的表現(xiàn)形式。
總之,歐盟個人數(shù)據(jù)保護立法框架完善,形成兩層次(歐盟法+成員國國內(nèi)法)、三淵源(一級、二級、三級)、六位階(基礎(chǔ)條約+統(tǒng)一法+條例+指令+決議+建議和意見)的全方位、多層次保護模式。
第Ⅲ維度是歐盟新型區(qū)域安全觀下的五大重點安全領(lǐng)域(公民安全、政治安全、經(jīng)濟安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全)的個人數(shù)據(jù)保護制度。
3.3.1 公民安全領(lǐng)域
公民安全是指堅決維護其公民的生命、財產(chǎn)、人格等各項基本權(quán)利,保護公民的個人數(shù)據(jù)安全。eΙDАS條例(第五條)保障歐盟各成員國通過統(tǒng)一的eΙD技術(shù),實現(xiàn)在線交易的真實性和安全性,同時為個人數(shù)據(jù)提供最高級別的保護[28]。以電子身份證等公民的基本個人數(shù)據(jù)為出發(fā)點保障歐盟公民的個人數(shù)據(jù)權(quán),并加強歐盟內(nèi)部的團結(jié)。
3.3.2 政治安全領(lǐng)域
歐盟作為區(qū)域組織,政治安全領(lǐng)域的個人數(shù)據(jù)保護,更傾向于歐盟機構(gòu)收集與利用個人數(shù)據(jù)中應(yīng)遵循的保護規(guī)則,保障公民基本權(quán)利不被侵犯。
(1)政治安全領(lǐng)域涉及到的個人數(shù)據(jù)的保護。其一是歐盟組織機構(gòu)在特殊事件下對個人數(shù)據(jù)的保護。2018/1725號條例,指出歐盟監(jiān)管、救濟等機構(gòu)在處理個人數(shù)據(jù)環(huán)節(jié)中盡可能保護數(shù)據(jù)主體的權(quán)利;2018/1927號決議,規(guī)定歐洲聯(lián)盟委員會在競爭領(lǐng)域處理個人數(shù)據(jù)時向數(shù)據(jù)主體提供信息和限制某些權(quán)利;2019/493號條例,修正了1141/2014號第10a條款,規(guī)定不得以侵犯個人數(shù)據(jù)權(quán)的方式故意影響歐洲議會的選舉。其二是有關(guān)刑事犯罪中的個人數(shù)據(jù)保護?!?016年刑事犯罪領(lǐng)域個人信息保護指令》對各成員國公共機構(gòu)利用個人數(shù)據(jù)處理刑事犯罪問題提出了限制[29];《證據(jù)》規(guī)定,所有刑事犯罪中應(yīng)該保留簽發(fā)機構(gòu)、數(shù)據(jù)主體、數(shù)據(jù)類型、時間范圍等各項數(shù)據(jù)。
(2)歐盟機構(gòu)系統(tǒng)使用中的個人數(shù)據(jù)保護?!蛾P(guān)于懲治攻擊信息系統(tǒng)行為的指令》(第5、6條)要求,將非法干擾信息系統(tǒng)數(shù)據(jù)和非法截取數(shù)據(jù)的行為犯罪化[30];《歐盟機構(gòu)個人數(shù)據(jù)和電子通信指南》提出系統(tǒng)安全與流量管理、電子通信服務(wù)授權(quán)使用等情形下對個人數(shù)據(jù)的處理建議[31]。
(3)實用工具的利用?!秱€人數(shù)據(jù)保護比例原則指南》[32]、《實地問責(zé):關(guān)于記錄歐盟機構(gòu)、機關(guān)和機構(gòu)處理業(yè)務(wù)的指導(dǎo)意見》等,利用實用工具評定歐盟制定的措施是否符合《憲章》中對于個人數(shù)據(jù)權(quán)的基本規(guī)定與原則。
3.3.3 經(jīng)濟安全領(lǐng)域
經(jīng)濟安全領(lǐng)域的個人數(shù)據(jù)保護制度是最基礎(chǔ)的內(nèi)容,旨在確保消費者的個人數(shù)據(jù)安全,構(gòu)建更安全公平的數(shù)字經(jīng)濟環(huán)境。第一,保護消費者個人數(shù)據(jù)安全?!稊?shù)字市場法(草案)》(第5、6條)提出,各項服務(wù)過程中凡涉及到個人數(shù)據(jù)的查看、點擊等必須進行匿名化處理,并對提供社交網(wǎng)絡(luò)的大型互聯(lián)網(wǎng)企業(yè)在廣告投放、網(wǎng)絡(luò)瀏覽器等業(yè)務(wù)中可以做和不可以做的內(nèi)容進行了詳細規(guī)定[33];《數(shù)字服務(wù)法(草案)》(第4條)規(guī)定,在線服務(wù)平臺對廣告來源、數(shù)據(jù)訪問及推薦算法等必須透明化,用戶可以對平臺的審核決策提出質(zhì)疑,并要求谷歌、亞馬遜等科技公司加大對平臺內(nèi)非法內(nèi)容的監(jiān)管,保障消費者能夠安全訪問在線平臺[34];《中小企業(yè)個人數(shù)據(jù)處理保護指引》進一步規(guī)范了中小企業(yè)的個人數(shù)據(jù)處理過程。第二,構(gòu)建更公平的數(shù)字經(jīng)濟環(huán)境?!稊?shù)字市場法(草案)》(第三章)規(guī)定大型互聯(lián)網(wǎng)企業(yè)不能排斥、歧視其他企業(yè)或用戶獲取數(shù)據(jù)和服務(wù),反對壟斷行為,促進數(shù)字經(jīng)濟的開放性[35],為歐盟數(shù)字經(jīng)濟的公平競爭環(huán)境增加一份保障。2022年7月,《數(shù)字市場法》和《數(shù)字服務(wù)法》經(jīng)歐洲議會正式批準通過,可期推動個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的平衡。
3.3.4 網(wǎng)絡(luò)安全領(lǐng)域
網(wǎng)絡(luò)安全是針對歐盟的網(wǎng)絡(luò)、信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施等硬件設(shè)備和軟件設(shè)施的保護,及使用相關(guān)網(wǎng)絡(luò)和新技術(shù)過程中的個人數(shù)據(jù)保護?!毒W(wǎng)絡(luò)安全法案》是歐盟第一部全面的網(wǎng)絡(luò)安全保護法,規(guī)定歐盟網(wǎng)絡(luò)和信息安全署(ENΙS?。┬柽M行公民網(wǎng)絡(luò)信息安全教育和引導(dǎo)[36],提高歐盟公民保護個人數(shù)據(jù)的意識。
除提升公民意識外,一方面注重信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施等軟硬件設(shè)備使用中應(yīng)注意的個人數(shù)據(jù)保護問題。①信息系統(tǒng)。NΙSD指令規(guī)定,數(shù)字服務(wù)商和數(shù)字服務(wù)提供者需承擔(dān)將個人數(shù)據(jù)泄露情況通知主管機構(gòu)的義務(wù)[37];《物聯(lián)網(wǎng)安全標準差距分析》指出,隱私保護是系統(tǒng)不可缺少的部分,詳細標準參考GDPR。②關(guān)鍵基礎(chǔ)設(shè)施。關(guān)鍵基礎(chǔ)設(shè)施之NΙS指令通過設(shè)定一個網(wǎng)絡(luò)執(zhí)行框架,實現(xiàn)個人數(shù)據(jù)的三維防護?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》定義一組安全基線指南,將公民的隱私安全和數(shù)據(jù)保護作為重點內(nèi)容之一。另一方面是新技術(shù)使用中必須注意的個人數(shù)據(jù)保護?!?G網(wǎng)絡(luò)安全建議》強調(diào)了5G技術(shù)網(wǎng)絡(luò)安全風(fēng)險評估的重要性;《關(guān)于通過視頻設(shè)備處理個人數(shù)據(jù)的指南》針對視頻監(jiān)控等復(fù)雜技術(shù)下如何保護個人數(shù)據(jù),從處理的合法性、數(shù)據(jù)主體的權(quán)利及如何實現(xiàn)的問題等方面提供指導(dǎo)[38]。
3.3.5 數(shù)據(jù)安全領(lǐng)域
數(shù)據(jù)安全領(lǐng)域?qū)μ厥獾暮虶DPR設(shè)定較為模糊的數(shù)據(jù)類型、數(shù)據(jù)主體的權(quán)利問題及數(shù)據(jù)的進一步利用等進行詳細的補充,在保障個人數(shù)據(jù)安全的前提下,做好個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的平衡工作。
(1)電子通信數(shù)據(jù)、默認的個人數(shù)據(jù)及處理過程中的個人數(shù)據(jù)等數(shù)據(jù)的規(guī)定。《電子隱私條例(草案)》制定了一個新的電子隱私框架;《隱私與電子通信條例(草案)》將即時通訊軟件納入政府的監(jiān)管范疇[39];《EDPB車聯(lián)網(wǎng)個人數(shù)據(jù)保護指南(草案)》[40]規(guī)定車聯(lián)網(wǎng)環(huán)境下的指紋數(shù)據(jù)應(yīng)存儲在車內(nèi),地理位置數(shù)據(jù)非必要不收集等具體的處理原則;《關(guān)于GDPR第25條設(shè)計和默認的數(shù)據(jù)保護指南》[41]指出高額成本不能成為不合規(guī)的理由,并通過考慮數(shù)據(jù)處理活動的性質(zhì)、范圍、目的及對數(shù)據(jù)主體造成的影響等實現(xiàn)數(shù)據(jù)保護;《關(guān)于數(shù)據(jù)泄露通知示例的012021號指引》[42]以不同虛擬案例的形式,構(gòu)建數(shù)據(jù)控制者應(yīng)設(shè)定的事先措施和風(fēng)險評估、緩解措施等計劃和程序,以處理數(shù)據(jù)泄露事件。
(2)被遺忘權(quán)的具體實施規(guī)定?!蛾P(guān)于GDPR規(guī)定的搜索引擎案件中被遺忘權(quán)的指南》[43]規(guī)定了搜索引擎服務(wù)提供商可以行使遺忘權(quán)的六種情況,如數(shù)據(jù)主體撤回、個人數(shù)據(jù)被非法處理、履行法律義務(wù)等,及不能行使遺忘權(quán)的出于公共衛(wèi)生領(lǐng)域的公眾利益、公共利益的存檔等情況,補充了實施被遺忘權(quán)的具體規(guī)定。被遺忘權(quán)是歐盟七大數(shù)據(jù)主體權(quán)利中唯一需要詳細補充規(guī)定的權(quán)利,是歐盟個人數(shù)據(jù)保護制度的一大特色。
(3)個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展平衡的規(guī)定?!队嘘P(guān)限制數(shù)據(jù)主體訪問其醫(yī)療檔案的權(quán)利的內(nèi)部規(guī)則》中對于數(shù)據(jù)主體訪問醫(yī)療檔案數(shù)據(jù)的權(quán)利進行了詳細解釋;《數(shù)據(jù)治理法》(第二章)建立了二次利用某些類別公共部門數(shù)據(jù)的機制,規(guī)定了重用此類數(shù)據(jù)的基本條件,實現(xiàn)企業(yè)等機構(gòu)對該類數(shù)據(jù)的二次創(chuàng)新利用[44];《數(shù)據(jù)法案(草案)》(第四、五章)促進數(shù)字收集和服務(wù)提供商非歧視地向第三方分享非個人數(shù)據(jù),即經(jīng)過匿名處理后的數(shù)據(jù)及政府可以從私營經(jīng)濟部門獲取數(shù)據(jù)的情況,加速對該類數(shù)據(jù)的創(chuàng)新利用,并認定了不公平合同條款的具體情形[45]。兩個最新的法律以互補的形式,在保護個人數(shù)據(jù)安全的前提下,解決個人數(shù)據(jù)保護與利用的矛盾問題,促進歐盟個人數(shù)據(jù)的公平共享與增值利用。
歐盟新型區(qū)域安全觀是其構(gòu)建個人數(shù)據(jù)保護框架的根本指導(dǎo)思想。在本研究的框架構(gòu)建與分析中,充分體現(xiàn)出區(qū)域內(nèi)安全與國際安全兼顧的歐盟新型區(qū)域安全理念,以及個人數(shù)據(jù)保護區(qū)域內(nèi)全領(lǐng)域適用與特殊領(lǐng)域重點保護的特點。
(1)個人數(shù)據(jù)權(quán)的確立,為歐盟個人數(shù)據(jù)保護提供了最高效力級別的保障。將“個人數(shù)據(jù)權(quán)”寫入其《憲章》,憲法層面確立了個人數(shù)據(jù)權(quán),充分體現(xiàn)出歐盟的核心價值理念。
(2)歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架實現(xiàn)了三淵源、六位階的全方位保護模式,使歐盟公民的個人數(shù)據(jù)權(quán)得到最全面、充分的保護,體現(xiàn)了歐盟以網(wǎng)絡(luò)/數(shù)據(jù)為重點安全的區(qū)域內(nèi)安全觀。
(3)歐盟的個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧已成趨勢。歐盟嚴格的個人數(shù)據(jù)保護框架為區(qū)域內(nèi)數(shù)字共享的發(fā)展提供了保障,但在一定程度上限制了歐盟數(shù)字經(jīng)濟的發(fā)展。在數(shù)字單一化市場戰(zhàn)略和歐盟數(shù)據(jù)戰(zhàn)略的指導(dǎo)下,開始關(guān)注促進數(shù)據(jù)的公平共享與開發(fā)利用,確保數(shù)據(jù)環(huán)境公平,為數(shù)據(jù)驅(qū)動創(chuàng)新創(chuàng)造條件。
(4)歐盟《標準合同條款》逐漸成為全球數(shù)據(jù)貿(mào)易協(xié)作的樣板。該條款將個人數(shù)據(jù)的跨境流動通過專門的路徑和方式審批,強化數(shù)據(jù)收集者和處理者的合同義務(wù)和違約責(zé)任,充分保障了數(shù)據(jù)主體的權(quán)利,審批的內(nèi)容和方式具有極大的可行性和參照價值。歐盟在數(shù)據(jù)跨境流動規(guī)則上的完善,以及所采取的“長臂管轄”監(jiān)管機制及限制,既充分保護了歐盟數(shù)據(jù)主體的權(quán)利,也滿足歐盟國際共同安全與多邊主義的基本原則。
歐盟和我國在國際共同安全和多邊主義的原則上高度一致,其新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架,對我國個人數(shù)據(jù)保護框架的完善具有以下借鑒意義。
(1)加強我國跨境數(shù)據(jù)流動規(guī)則的構(gòu)建,增強國際話語權(quán)。迄今為止,我國《個人信息保護法》(2021)、《數(shù)據(jù)安全法》(2021)等的出臺,彌補了《個人信息出境安全評估辦法》(2019)等標準沒有上位法的空白,促進了我國個人數(shù)據(jù)保護框架的完善。雖然我國個人數(shù)據(jù)的跨境流動規(guī)則有了專門的規(guī)定,但該項法律尚處于起步階段,《個人信息保護法》的跨境數(shù)據(jù)流動規(guī)則存在保護數(shù)據(jù)類型不全、監(jiān)管制度不足[46]、懲罰標準不清晰[47]等明顯問題。我國應(yīng)盡早在跨境數(shù)據(jù)流動規(guī)則方面構(gòu)建完整的法律體系。對《個人信息保護法》中跨境數(shù)據(jù)流動規(guī)則保護的數(shù)據(jù)類型、跨境數(shù)據(jù)機制及其具體細則、管轄的范圍等進行具體的補充,以法規(guī)、規(guī)章和指南等形式呈現(xiàn),形成體系嚴格、管理健全的跨境數(shù)據(jù)流動機制,在跨境數(shù)據(jù)流動的規(guī)則制定中,提升我國的國際話語權(quán)。
(2)兼顧個人數(shù)據(jù)保護與數(shù)字經(jīng)濟的平衡發(fā)展。雖然歐盟與我國的基本社會制度和發(fā)展進程不一樣,但加強個人數(shù)據(jù)保護和促進數(shù)字經(jīng)濟發(fā)展的總目標一致。我國應(yīng)該在保護個人數(shù)據(jù)的前提下,出臺各項法律,加強國內(nèi)外數(shù)據(jù)共享與增值利用,完善個人數(shù)據(jù)保護框架;并加強中歐及其他國家數(shù)字貿(mào)易交流,實現(xiàn)個人數(shù)據(jù)保護與數(shù)字經(jīng)濟平衡發(fā)展的最終目標。
作者貢獻說明
相麗玲:確定選題,論文構(gòu)思及修改;
寧巧紅:文獻調(diào)研與整理,論文起草。
支撐數(shù)據(jù)
支撐數(shù)據(jù)可開放獲取,獲取地址為http://eur-lex.europa.eu;https://ec.europa.eu/。