相麗玲 寧巧紅

（山西大學(xué)經(jīng)濟與管理學(xué)院，太原，030006）

1 引言

從源頭上講，國家安全是隨著國家的出現(xiàn)而出現(xiàn)的社會現(xiàn)象，是國家不受各種內(nèi)外威脅和侵害的客觀狀態(tài)。而國家安全觀，則是隨著歷史的發(fā)展，對國家安全和國家安全活動不斷演進的認識、思想以及國家安全理論。

2013年“斯諾登事件”的曝光，使各國政府迅速將“個人數(shù)據(jù)安全”視為國家安全的重點與基礎(chǔ)。以“網(wǎng)絡(luò)適度安全”為主的傳統(tǒng)國家安全觀也隨之升級為以“網(wǎng)絡(luò)安全和數(shù)據(jù)安全”為重點的新型國家安全觀。

目前，國內(nèi)外對于歐盟區(qū)域安全觀及其個人數(shù)據(jù)保護的研究，主要體現(xiàn)在三個方面：①歐盟安全觀研究。主要觀點有：2014年歐盟將國家戰(zhàn)略延伸到數(shù)據(jù)領(lǐng)域[1]；美國是歐盟的安全威脅，其對多邊協(xié)調(diào)合作持積極態(tài)度[2]；歐盟重視相互依賴以及機制化的自由安全觀[3]。②個人數(shù)據(jù)保護的研究。主要觀點有：歐盟的個人數(shù)據(jù)保護相對詳盡和嚴格[4-5]；互聯(lián)網(wǎng)、遙感等技術(shù)應(yīng)用于提高個人數(shù)據(jù)保護能力[6-7]；歐洲和美國對個人數(shù)據(jù)跨境流動的態(tài)度和規(guī)則相反[8-9]。③國家安全觀與個人數(shù)據(jù)保護的關(guān)系研究。主要觀點有：個人數(shù)據(jù)安全是國家安全的一個重要部分，但國家安全與個人數(shù)據(jù)保護之間亦存在極大的矛盾，政府對個人數(shù)據(jù)的利用程度是一個問題，要實現(xiàn)個人數(shù)據(jù)保護與利用的平衡[10-14]。

綜上所述，目前國內(nèi)外學(xué)者對歐盟安全觀的研究，主要以研究歐盟安全戰(zhàn)略為主，沒有明確提出“歐盟新型區(qū)域安全觀”這個概念及其具體內(nèi)容。對個人數(shù)據(jù)保護的研究，主要集中在相關(guān)立法、技術(shù)及跨境數(shù)據(jù)流動規(guī)則的具體內(nèi)容及環(huán)節(jié)方面；對國家安全與個人數(shù)據(jù)保護關(guān)系的認識也存在局限性。因此，站在新型國家安全觀的高度，探討歐盟新型區(qū)域安全觀及其內(nèi)涵，分析歐盟個人數(shù)據(jù)保護制度的演化進程，有助于全方位構(gòu)建并分析歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護整體框架、重點領(lǐng)域及其跨境數(shù)據(jù)流動中的規(guī)則特點與未來發(fā)展趨勢，為我國積極參與全球數(shù)據(jù)貿(mào)易提供政策依據(jù)。

2 歐盟新型區(qū)域安全觀及其個人數(shù)據(jù)保護法律制度的演化進程

2.1 歐盟新型區(qū)域安全觀

所謂“國家安全觀”是一種安全理念，它包含了安全利益觀念、安全威脅觀念、安全戰(zhàn)略觀念和安全效益觀念等基本觀念[15]。歐盟，全稱歐洲聯(lián)盟，是政治經(jīng)濟一體化的區(qū)域聯(lián)盟組織，代表了區(qū)域內(nèi)國家的共同意志，對區(qū)域不受內(nèi)外威脅和侵害的要求高度一致，故筆者將國家安全觀的理念運用于歐盟這一區(qū)域聯(lián)盟中，將歐盟安全觀稱為“歐盟區(qū)域安全觀”。

筆者以2013年的“斯諾登事件”為特殊節(jié)點，將此后的歐盟區(qū)域安全觀稱為“歐盟新型區(qū)域安全觀”。2013年后，歐盟區(qū)域安全觀實現(xiàn)了從單一保護的傳統(tǒng)安全觀向全面綜合保護的新型區(qū)域安全觀的巨大轉(zhuǎn)變。具體包括兩個時期四個階段：即傳統(tǒng)安全觀時期（1957-2013年）的經(jīng)濟安全觀階段（1957-1993年）和政治經(jīng)濟安全向綜合安全過渡階段（1993-2013年）；新型區(qū)域安全觀時期（2013年至今）的個人數(shù)據(jù)嚴格保護觀階段（2013-2020年）和個人數(shù)據(jù)保護與數(shù)字經(jīng)濟協(xié)調(diào)發(fā)展觀階段（2020年至今）。

歐盟新型區(qū)域安全觀以歐盟核心價值觀和歐盟盟約的區(qū)域安全戰(zhàn)略目標為理念基礎(chǔ)，指導(dǎo)著歐盟區(qū)域安全觀的頂層設(shè)計；以安全利益觀念、安全威脅觀念、安全戰(zhàn)略觀念和安全效益觀念為區(qū)域安全理念，體現(xiàn)出歐盟新型區(qū)域安全觀的主要內(nèi)容及其特點，如表1所示。

表1 全面綜合的歐盟新型區(qū)域安全觀Table 1 Comprehensive and Ιntegrated EU New Concept of Regional Security

通過對表1的分析與整理，筆者將歐盟新型區(qū)域安全觀概括為：（1）以歐盟的核心價值觀為基礎(chǔ)，以公民安全、政治安全和經(jīng)濟安全為核心，以網(wǎng)絡(luò)安全和數(shù)據(jù)安全為重點支撐的歐盟區(qū)域內(nèi)安全觀。（2）以構(gòu)建一個全球開放、穩(wěn)定安全的網(wǎng)絡(luò)空間，保障個人數(shù)據(jù)權(quán)；應(yīng)對網(wǎng)絡(luò)攻擊、恐怖主義、有組織犯罪等日益復(fù)雜的安全威脅，實現(xiàn)促進經(jīng)濟發(fā)展、科技進步、社會團結(jié)、公民自由安全目標的國際安全觀。（3）始終堅持共同安全和多邊主義的國際安全原則，兼顧區(qū)域內(nèi)安全和國際安全的區(qū)域安全理念。

2.2 歐盟個人數(shù)據(jù)保護法律制度的演化進程

根據(jù)2.1節(jié)歐盟新型區(qū)域安全觀的演化進程，可將歐盟的個人數(shù)據(jù)保護法律制度的演化發(fā)展分為兩個時期：

2.2.1 歐盟傳統(tǒng)安全觀時期（1957-2013年）

這一時期的歐盟個人數(shù)據(jù)保護分為兩個階段。一是個人數(shù)據(jù)弱保護實踐階段（1957-1993年）。1973年和1974年歐共體分別制定了第73/22和74/29號決議，規(guī)定了私營部門和公共部門如何實現(xiàn)數(shù)據(jù)保護，但“決議”這一法律位階的保護能力和約束能力均太弱；1981年，再次制定了《個人數(shù)據(jù)自動化處理中的個人保護公約》（第108號公約），“公約”要求各成員國將其轉(zhuǎn)化為國內(nèi)立法并進行實施，這是歐盟第一部具有約束力的個人數(shù)據(jù)保護法律[20]。但截至1989年，僅七個成員國批準該公約，歐共體的各項法律實踐均算失敗。二是個人數(shù)據(jù)適度安全階段（1993-2013年）。1995年，隨著計算機的逐漸普及，既是為了應(yīng)對來自美國的安全威脅，也為了解決成員國個人數(shù)據(jù)保護程度嚴重不一的情況，歐盟制定了具有法律約束力的《保護個人享有的與個人數(shù)據(jù)處理有關(guān)的權(quán)利以及個人數(shù)據(jù)自由流動的指令》（以下簡稱《95指令》），該法律仍需要成員國將其轉(zhuǎn)化為國內(nèi)立法具體實施[21]，1998年在成員國全面完成轉(zhuǎn)化；此后，又制定了《電子隱私指令》（2009）等其他具體指令，歐盟個人數(shù)據(jù)保護能力稍有提升，但也加速了個人數(shù)據(jù)保護法律的碎片化。

2.2.2 歐盟新型區(qū)域安全觀時期（2013年至今）

這一時期的歐盟個人數(shù)據(jù)保護亦分為兩個階段。一是個人數(shù)據(jù)嚴格保護階段（2013年-2020年）。歐盟因《95指令》無法滿足大數(shù)據(jù)時代對個人數(shù)據(jù)保護的需要，在2012年開始了編制《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）的準備工作；2013年的“斯諾登事件”之后，歐盟迅速將網(wǎng)絡(luò)安全和數(shù)據(jù)安全提升到一級國家安全戰(zhàn)略層面，加速了GDPR的籌備工作。2016年預(yù)實施版本的GDPR橫空出世，2018年正式實施。GDPR作為個人數(shù)據(jù)保護領(lǐng)域的統(tǒng)一法，以最高法律位階的條例保障歐盟個人數(shù)據(jù)保護達到了最高層次；此后，歐盟又陸續(xù)制定了《電子身份識別及信任服務(wù)條例》（以下簡稱eΙDАS條例）、《網(wǎng)絡(luò)安全法案》等多項法律，并將《電子隱私指令》更新為《電子隱私條例》，形成了以GDPR為主的統(tǒng)一保護。二是個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧階段（2020年至今）。2020年起，歐盟《數(shù)字市場法》《數(shù)字服務(wù)法》《數(shù)據(jù)法案》和《數(shù)據(jù)治理法》等草案逐漸提出或通過。至此，以GDPR統(tǒng)一保護個人數(shù)據(jù)為基礎(chǔ)，促進歐盟數(shù)據(jù)共享利用成為最新的立法方向。

3 歐盟新型區(qū)域安全觀下個人數(shù)據(jù)保護框架的構(gòu)建與分析

由上文可知，不同時期的歐盟區(qū)域安全觀決定著其不同時期的個人數(shù)據(jù)保護法律制度的制定與發(fā)展。基于此，本研究以歐盟新型區(qū)域安全觀及其現(xiàn)行各項相關(guān)法律文件為依據(jù)，構(gòu)建了歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架三維結(jié)構(gòu),如表2所示。

表2 歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架Table 2 The Personal Data Protection Framework under EU New Regional Security Concept

3.1 第Ⅰ維度——歐盟區(qū)域內(nèi)安全和跨境數(shù)據(jù)流動規(guī)則

第Ⅰ維度體現(xiàn)了歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護整體框架，它由歐盟區(qū)域內(nèi)個人數(shù)據(jù)保護制度和跨境數(shù)據(jù)流動規(guī)則兩個部分組成，充分體現(xiàn)出歐盟“區(qū)域內(nèi)安全和國際安全兼顧”的新型區(qū)域安全觀理念。

3.1.1 歐盟區(qū)域內(nèi)安全觀下的個人數(shù)據(jù)保護制度

（1）核心價值觀下的“個人數(shù)據(jù)權(quán)”憲法確立。由表1可以看出，歐盟的核心價值觀是歐盟區(qū)域安全觀的基礎(chǔ)，其包含人的尊嚴和人權(quán)。故個人數(shù)據(jù)權(quán)這一數(shù)字人權(quán)在2000年的《憲章》（第八條）得以確立，從憲法的最高層面承認了個人數(shù)據(jù)權(quán)，是歐盟嚴格個人數(shù)據(jù)保護制度的奠基點。

（2）適合所有領(lǐng)域的GDPR。安全領(lǐng)域范圍詳盡是歐盟新型區(qū)域安全觀的主要特點。GDPR作為歐盟專門保護個人數(shù)據(jù)的統(tǒng)一法，適用歐盟及其成員國的所有安全領(lǐng)域；在全方位保護的基礎(chǔ)上，根據(jù)表1和筆者對歐盟新型區(qū)域安全觀概念的定義，其個人數(shù)據(jù)保護框架以公民安全、政治安全和經(jīng)濟安全為中心，網(wǎng)絡(luò)安全和數(shù)據(jù)安全為重點支撐，與歐盟新型區(qū)域安全觀高度一致。

（3）從寬的區(qū)域內(nèi)數(shù)據(jù)流動。主要包括以下內(nèi)容：第一，按照歐盟區(qū)域利益觀的要求，通過GDPR及系列規(guī)則的約束，歐盟區(qū)域內(nèi)的個人數(shù)據(jù)保護標準統(tǒng)一且嚴格，為區(qū)域內(nèi)數(shù)字共享提供了強有力的保障。第二，基于促進經(jīng)濟發(fā)展的歐盟區(qū)域戰(zhàn)略目標，2018年4月完成的《歐洲企業(yè)間數(shù)據(jù)共享研究報告》顯示，歐洲企業(yè)的數(shù)據(jù)共享已經(jīng)實現(xiàn)相當(dāng)程度的規(guī)?；蜕虡I(yè)化，成功的數(shù)據(jù)共享案例出現(xiàn)在經(jīng)濟和社會生活的方方面面[22]，嚴格的個人數(shù)據(jù)保護制度并未影響區(qū)域內(nèi)的數(shù)據(jù)流動。第三，在歐盟單一化市場戰(zhàn)略和歐盟數(shù)據(jù)戰(zhàn)略的指導(dǎo)下，《數(shù)據(jù)治理法》（第二章）和《數(shù)據(jù)法案（草案）》（第二、五章）鼓勵對政府?dāng)?shù)據(jù)和企業(yè)收集的數(shù)據(jù)進行分享和再利用，擴大區(qū)域內(nèi)數(shù)據(jù)共享與自由流動，促進歐盟數(shù)字經(jīng)濟的發(fā)展。

（4）五大重點領(lǐng)域的個人數(shù)據(jù)保護制度。五大重點安全領(lǐng)域（見表2）依據(jù)不同的重點，細化歐盟的個人數(shù)據(jù)保護范圍，保障歐盟公民的個人數(shù)據(jù)權(quán)。公民安全領(lǐng)域是歐盟個人數(shù)據(jù)保護的基礎(chǔ)領(lǐng)域，對電子身份這一個人數(shù)據(jù)以最高階層的法規(guī)，輔助GDPR維護公民的基本權(quán)利；政治安全領(lǐng)域從歐盟機構(gòu)的系統(tǒng)安全，利用、保存?zhèn)€人數(shù)據(jù)的過程，及所使用的工具等來保障歐盟個人數(shù)據(jù)的安全；經(jīng)濟安全領(lǐng)域是歐盟個人數(shù)據(jù)保護最重點的領(lǐng)域，以最高位階且管制范圍較全面的法律保障個人數(shù)據(jù)在利用與流通中的安全；網(wǎng)絡(luò)安全領(lǐng)域以全面的法律位階，保障網(wǎng)絡(luò)硬件設(shè)備和新技術(shù)中的個人數(shù)據(jù)保護；數(shù)據(jù)安全領(lǐng)域的個人數(shù)據(jù)保護法律體系健全，對電子通信數(shù)據(jù)、公共數(shù)據(jù)、自動化數(shù)據(jù)和地理位置等各類型數(shù)據(jù)提供了不同的法律制度，實現(xiàn)更為細致的個人數(shù)據(jù)保護（詳見3.3節(jié)）。

3.1.2 共同安全和多邊主義國際安全觀下的跨境數(shù)據(jù)流動機制

歐盟跨境數(shù)據(jù)流動規(guī)則以GDPR為原則，補充《證據(jù)》《地域適用范圍》《數(shù)據(jù)治理法》《數(shù)據(jù)法案（草案）》和SCCs，對GDPR的管轄范圍和具體跨境流動機制作了進一步規(guī)定（見表3）。

表3顯示，歐盟跨境數(shù)據(jù)流動規(guī)則具有以下特點：

表3 歐盟個人數(shù)據(jù)跨境流動規(guī)則Table 3 EU Rules on Cross-border Transfers of Personal Data

（1）GDPR和《證據(jù)》以保護個人數(shù)據(jù)安全為前提。第一，GDPR以個人數(shù)據(jù)能得到的最大保護為基準，限定了數(shù)據(jù)輸出方的數(shù)據(jù)保護能力標準和個人同意準則，以及數(shù)據(jù)輸入方對數(shù)據(jù)的使用和保護規(guī)則。對需要特殊關(guān)注的數(shù)據(jù)，比如電子證據(jù)等，《證據(jù)》規(guī)定了專門的取證機制，體現(xiàn)了歐盟對保護個人數(shù)據(jù)權(quán)的要求之高。第二，“長臂管轄”機制。GDPR和《證據(jù)》規(guī)定指出，某個從事數(shù)據(jù)收集與處理的企業(yè)處理行為，凡涉及歐盟公民個人數(shù)據(jù)，就要遵循歐盟的個人數(shù)據(jù)保護制度。這意味著歐盟對數(shù)據(jù)的輸入、輸出方都進行了一定程度的管轄（見表3），其范圍過寬；且歐盟作為世界第二大經(jīng)濟體，包含27個成員國，與其的政治和經(jīng)濟交流必不可少，歐盟的個人數(shù)據(jù)保護要求逐漸蔓延和擴大為全球標準。無論主動還是被動，歐盟通過GDPR將管轄范圍擴展得足夠?qū)?，是典型的“長臂管轄”機制。第三，首次明文規(guī)定的懲罰措施。GDPR是首部將侵犯個人數(shù)據(jù)權(quán)的行為量化的法律，設(shè)定了兩種不同程度的違法行為的處罰措施，標志著歐盟GDPR具有了真正的施行效力。

（2）《地域適用范圍》明確了域外管轄的合理邊界。具體包括：否定了對“機構(gòu)”一詞的寬泛解釋；境外數(shù)據(jù)控制者委托境內(nèi)處理者處理數(shù)據(jù)的行為不受GDPR管控；細化了目標指向中提供的服務(wù)必須為信息服務(wù)；目標指向中的監(jiān)測行為的判定，添加了可穿戴設(shè)備、智能設(shè)備等技術(shù)因素，列舉了地理定位活動、cookie分析等典型行為，細化了監(jiān)測行為，減少管轄范圍。通過地域適用限制，詳細規(guī)定了GDPR的地域適用范圍，明確了域外管轄的合理邊界。既避免了侵犯別國的網(wǎng)絡(luò)空間主權(quán)，也遵循了歐盟共同安全的國際安全觀。

（3）SCCs確保數(shù)據(jù)轉(zhuǎn)移至第三國后，能夠保障歐盟公民的個人數(shù)據(jù)權(quán)。GDPR正式施行之后，美國的蘋果、Facebook、谷歌等互聯(lián)網(wǎng)企業(yè)因數(shù)據(jù)轉(zhuǎn)移后無法保障歐盟公民的個人數(shù)據(jù)安全被開出巨額罰單，表現(xiàn)出歐盟與美國在跨境數(shù)據(jù)流動規(guī)則中存在重大分歧。美國堅持“美國第一”的安全觀，個人數(shù)據(jù)保護模式為寬松的“政府監(jiān)管+行業(yè)自律”模式，鼓勵跨境數(shù)據(jù)的自由流動和數(shù)字經(jīng)濟的迅速發(fā)展。在聯(lián)邦法層面僅有《隱私權(quán)法》（1974），尚未形成統(tǒng)一的個人數(shù)據(jù)保護法，對個人數(shù)據(jù)采取弱保護。且依據(jù)美國的《外國情報監(jiān)控法》（1978），輸入美國的第三國個人數(shù)據(jù)會受到監(jiān)控，有被竊取的風(fēng)險。為了應(yīng)對來自美國的數(shù)據(jù)安全威脅，歐盟專門制定了SCCs（第三節(jié)），規(guī)定將數(shù)據(jù)轉(zhuǎn)移的第三國法律納入歐盟數(shù)據(jù)保護的考量范圍，強化數(shù)據(jù)控制者和處理者的合同義務(wù)和違約責(zé)任，確保歐盟公民的個人數(shù)據(jù)在第三國得到充分保護。

（4）《數(shù)據(jù)治理法》和《數(shù)據(jù)法案（草案）》為歐盟數(shù)字經(jīng)濟的發(fā)展提供了法律保障。歐盟嚴格的跨境流動機制，使得非白名單國家的企業(yè)無法確認與歐盟進行貿(mào)易交流需要必備的條件、自身的數(shù)據(jù)處理行為是否歸屬GDPR管轄、是否違反GDPR及其系列規(guī)則等，疲于應(yīng)對相應(yīng)規(guī)則，成本增加，促使該類企業(yè)放棄歐盟市場，限制了歐盟國際數(shù)字經(jīng)濟的發(fā)展。因此，根據(jù)歐盟數(shù)據(jù)戰(zhàn)略指導(dǎo)，2022年制定的《數(shù)據(jù)治理法》（第11條）與《數(shù)據(jù)法案（草案）》（第七章）均鼓勵非個人數(shù)據(jù)的共享、轉(zhuǎn)移和利用創(chuàng)新，促進區(qū)域內(nèi)外數(shù)據(jù)有效流通，歐盟個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧已成趨勢。

3.2 第Ⅱ維度 — 歐盟個人數(shù)據(jù)保護的立法框架

第Ⅱ維度是歐盟個人數(shù)據(jù)保護的立法框架，體現(xiàn)歐盟新型區(qū)域安全觀下個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧理念的現(xiàn)行立法體系。

3.2.1 歐盟的立法框架

在多數(shù)研究中，歐盟法的分類方式習(xí)慣依照法律淵源進行區(qū)分，分為三級淵源。①一級法律淵源包含歐盟與成員國簽訂的基礎(chǔ)性條約，如《歐洲聯(lián)盟條約》和《歐盟憲法條約》等，以及歐盟與第三國、其他國際組織簽訂的條約[26]。②二級法律淵源是具有不同約束力和適用范圍的法律，具體包括條例、指令和決議三個部分。③三級法律淵源由判例法及建議和意見兩個部分組成。上述三級法律淵源共同形成歐盟的立法框架，加之歐盟成員國的法律體系，形成歐盟總體的立法框架。

歐盟法與其成員國法律體系之間的關(guān)系，形成了一種超國家平衡的體制[26]。此種情況下，歐盟法具有直接適用、直接效力和至高效力[27]，決定了在歐盟總體立法框架中歐盟法處于優(yōu)先地位，即優(yōu)先適用歐盟法，并依據(jù)歐盟法中的不同約束力和適用性，完善成員國的法律體系。由于歐盟立法框架的獨特性，筆者以歐盟法為主線，成員國法適當(dāng)輔助，確立歐盟個人數(shù)據(jù)保護的立法框架。

3.2.2 歐盟個人數(shù)據(jù)保護立法框架

歐盟個人數(shù)據(jù)保護立法框架是典型的“統(tǒng)一立法”模式，符合歐盟“統(tǒng)一立法”的基本立法模式。即在宏觀層面建立了一部統(tǒng)一的個人數(shù)據(jù)保護法GDPR，并在此法的基礎(chǔ)上，制定具體領(lǐng)域的專門法。所以，GDPR雖然屬于“法規(guī)/條例”位階，但基于其獨特地位，筆者將其單獨列出，以更好地描述歐盟的個人數(shù)據(jù)保護模式。歐盟個人數(shù)據(jù)保護立法框架分析如表4所示。

表4 歐盟個人數(shù)據(jù)保護立法框架Table 4 EU Legislative Framework for Personal Data Protection

（1）基礎(chǔ)條約?！稇椪隆肥恰稓W盟憲法條約》的一部分，隸屬于一級法律淵源，具有憲法性質(zhì)，其規(guī)定了歐盟公民所享有的個人的、公民的、政治的、經(jīng)濟的和社會的各項權(quán)利。2000年的《憲章》第8條明確規(guī)定，“個人數(shù)據(jù)權(quán)”是歐盟公民的一項基本權(quán)利，標志著“個人數(shù)據(jù)權(quán)”在歐盟憲法層面得到確立，是歐盟公民的基本人權(quán)。

（2）法規(guī)或條例。條例是歐盟二級法律淵源中法律位階最高的法律形式，也是除了基礎(chǔ)條約之外最具有約束力和適用力的法律。

①歐盟統(tǒng)一法+成員國立法。第一，歐盟統(tǒng)一法。2018年歐盟正式出臺并實施的GDPR，以擴大的數(shù)據(jù)主體權(quán)利（知情權(quán)、訪問權(quán)、糾正權(quán)、刪除權(quán)、限制處理權(quán)、可攜權(quán)、被遺忘權(quán)等七大權(quán)利），廣泛的保護范圍（所有數(shù)據(jù)類型、所有領(lǐng)域），五重監(jiān)管機制（文檔化管理、數(shù)據(jù)泄露通知、數(shù)據(jù)保護影響評估、數(shù)據(jù)保護官、獨立監(jiān)管機構(gòu)）和嚴厲的懲罰措施，實現(xiàn)了對歐盟公民個人數(shù)據(jù)最有效、最嚴格的保護[21]。第二，成員國立法。歐盟27個成員國中，14個國家已制定本國的個人數(shù)據(jù)保護法，如奧地利、保加利亞、愛爾蘭、荷蘭、葡萄牙、西班牙等國的《個人數(shù)據(jù)保護法》，法國、德國、瑞典等國的《數(shù)據(jù)保護法》，比利時的《個人數(shù)據(jù)處理的隱私保護法》，丹麥的《個人數(shù)據(jù)處理法》，匈牙利的《個人數(shù)據(jù)保護與公共利益數(shù)據(jù)公開法》，意大利的《關(guān)于個人數(shù)據(jù)處理中保護個人數(shù)據(jù)與其他數(shù)據(jù)主體的法案》，捷克共和國的《信息系統(tǒng)個人數(shù)據(jù)保護法》等。上述14個國家的專門法制定，大部分為《95指令》頒布后轉(zhuǎn)化為國內(nèi)法后形成的，2018年GDPR實施后又進行了進一步的修正，增強了效力，保障了GDPR的落地實行和本國個人數(shù)據(jù)的保護。其他13個國家則直接適用GDPR保障本國的個人數(shù)據(jù)保護。

②條例。該部分是歐盟具體領(lǐng)域的個人數(shù)據(jù)保護法，具體包括條例和法規(guī)兩種法律形式，例如eΙDАS條例和《數(shù)字市場法》。

（3）指令。指令的約束力對象為特定成員國，履行時需將其轉(zhuǎn)換成國內(nèi)立法。例如，關(guān)鍵基礎(chǔ)設(shè)施之NΙS指令要求全部成員國在2018年5月9日前將其納入本國法律；荷蘭在2017年通過了面向關(guān)鍵行業(yè)的強制性違規(guī)報告法，并于2018年1月1日正式實施。

（4）決議。決議對指定的對象具有約束力。例如，SCCs對公司跨境數(shù)據(jù)流動應(yīng)遵循的責(zé)任與義務(wù)作出了具體規(guī)定。

（5）建議和意見。建議和意見是歐盟三級法律淵源中的主要內(nèi)容之一。其呈現(xiàn)方式如《5G網(wǎng)絡(luò)安全建議》和《實地問責(zé)：關(guān)于記錄歐盟機構(gòu)、機關(guān)和機構(gòu)處理業(yè)務(wù)的指導(dǎo)意見》等建議和意見，《地域適用范圍》等指南，《關(guān)于數(shù)據(jù)泄露通知示例的012021號指引》等指引三種不同的表現(xiàn)形式。

總之，歐盟個人數(shù)據(jù)保護立法框架完善，形成兩層次（歐盟法+成員國國內(nèi)法）、三淵源（一級、二級、三級）、六位階（基礎(chǔ)條約+統(tǒng)一法+條例+指令+決議+建議和意見）的全方位、多層次保護模式。

3.3 第Ⅲ維度——五大重點安全領(lǐng)域的個人數(shù)據(jù)保護制度

第Ⅲ維度是歐盟新型區(qū)域安全觀下的五大重點安全領(lǐng)域（公民安全、政治安全、經(jīng)濟安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全）的個人數(shù)據(jù)保護制度。

3.3.1 公民安全領(lǐng)域

公民安全是指堅決維護其公民的生命、財產(chǎn)、人格等各項基本權(quán)利，保護公民的個人數(shù)據(jù)安全。eΙDАS條例（第五條）保障歐盟各成員國通過統(tǒng)一的eΙD技術(shù)，實現(xiàn)在線交易的真實性和安全性，同時為個人數(shù)據(jù)提供最高級別的保護[28]。以電子身份證等公民的基本個人數(shù)據(jù)為出發(fā)點保障歐盟公民的個人數(shù)據(jù)權(quán)，并加強歐盟內(nèi)部的團結(jié)。

3.3.2 政治安全領(lǐng)域

歐盟作為區(qū)域組織，政治安全領(lǐng)域的個人數(shù)據(jù)保護，更傾向于歐盟機構(gòu)收集與利用個人數(shù)據(jù)中應(yīng)遵循的保護規(guī)則，保障公民基本權(quán)利不被侵犯。

（1）政治安全領(lǐng)域涉及到的個人數(shù)據(jù)的保護。其一是歐盟組織機構(gòu)在特殊事件下對個人數(shù)據(jù)的保護。2018/1725號條例，指出歐盟監(jiān)管、救濟等機構(gòu)在處理個人數(shù)據(jù)環(huán)節(jié)中盡可能保護數(shù)據(jù)主體的權(quán)利；2018/1927號決議，規(guī)定歐洲聯(lián)盟委員會在競爭領(lǐng)域處理個人數(shù)據(jù)時向數(shù)據(jù)主體提供信息和限制某些權(quán)利；2019/493號條例，修正了1141/2014號第10a條款，規(guī)定不得以侵犯個人數(shù)據(jù)權(quán)的方式故意影響歐洲議會的選舉。其二是有關(guān)刑事犯罪中的個人數(shù)據(jù)保護?！?016年刑事犯罪領(lǐng)域個人信息保護指令》對各成員國公共機構(gòu)利用個人數(shù)據(jù)處理刑事犯罪問題提出了限制[29]；《證據(jù)》規(guī)定，所有刑事犯罪中應(yīng)該保留簽發(fā)機構(gòu)、數(shù)據(jù)主體、數(shù)據(jù)類型、時間范圍等各項數(shù)據(jù)。

（2）歐盟機構(gòu)系統(tǒng)使用中的個人數(shù)據(jù)保護?！蛾P(guān)于懲治攻擊信息系統(tǒng)行為的指令》（第5、6條）要求，將非法干擾信息系統(tǒng)數(shù)據(jù)和非法截取數(shù)據(jù)的行為犯罪化[30]；《歐盟機構(gòu)個人數(shù)據(jù)和電子通信指南》提出系統(tǒng)安全與流量管理、電子通信服務(wù)授權(quán)使用等情形下對個人數(shù)據(jù)的處理建議[31]。

（3）實用工具的利用?！秱€人數(shù)據(jù)保護比例原則指南》[32]、《實地問責(zé)：關(guān)于記錄歐盟機構(gòu)、機關(guān)和機構(gòu)處理業(yè)務(wù)的指導(dǎo)意見》等，利用實用工具評定歐盟制定的措施是否符合《憲章》中對于個人數(shù)據(jù)權(quán)的基本規(guī)定與原則。

3.3.3 經(jīng)濟安全領(lǐng)域

經(jīng)濟安全領(lǐng)域的個人數(shù)據(jù)保護制度是最基礎(chǔ)的內(nèi)容，旨在確保消費者的個人數(shù)據(jù)安全，構(gòu)建更安全公平的數(shù)字經(jīng)濟環(huán)境。第一，保護消費者個人數(shù)據(jù)安全?！稊?shù)字市場法（草案）》（第5、6條）提出，各項服務(wù)過程中凡涉及到個人數(shù)據(jù)的查看、點擊等必須進行匿名化處理，并對提供社交網(wǎng)絡(luò)的大型互聯(lián)網(wǎng)企業(yè)在廣告投放、網(wǎng)絡(luò)瀏覽器等業(yè)務(wù)中可以做和不可以做的內(nèi)容進行了詳細規(guī)定[33]；《數(shù)字服務(wù)法（草案）》（第4條）規(guī)定，在線服務(wù)平臺對廣告來源、數(shù)據(jù)訪問及推薦算法等必須透明化，用戶可以對平臺的審核決策提出質(zhì)疑，并要求谷歌、亞馬遜等科技公司加大對平臺內(nèi)非法內(nèi)容的監(jiān)管，保障消費者能夠安全訪問在線平臺[34]；《中小企業(yè)個人數(shù)據(jù)處理保護指引》進一步規(guī)范了中小企業(yè)的個人數(shù)據(jù)處理過程。第二，構(gòu)建更公平的數(shù)字經(jīng)濟環(huán)境?！稊?shù)字市場法（草案）》（第三章）規(guī)定大型互聯(lián)網(wǎng)企業(yè)不能排斥、歧視其他企業(yè)或用戶獲取數(shù)據(jù)和服務(wù)，反對壟斷行為，促進數(shù)字經(jīng)濟的開放性[35]，為歐盟數(shù)字經(jīng)濟的公平競爭環(huán)境增加一份保障。2022年7月，《數(shù)字市場法》和《數(shù)字服務(wù)法》經(jīng)歐洲議會正式批準通過，可期推動個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的平衡。

3.3.4 網(wǎng)絡(luò)安全領(lǐng)域

網(wǎng)絡(luò)安全是針對歐盟的網(wǎng)絡(luò)、信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施等硬件設(shè)備和軟件設(shè)施的保護，及使用相關(guān)網(wǎng)絡(luò)和新技術(shù)過程中的個人數(shù)據(jù)保護?！毒W(wǎng)絡(luò)安全法案》是歐盟第一部全面的網(wǎng)絡(luò)安全保護法，規(guī)定歐盟網(wǎng)絡(luò)和信息安全署（ENΙS?。┬柽M行公民網(wǎng)絡(luò)信息安全教育和引導(dǎo)[36]，提高歐盟公民保護個人數(shù)據(jù)的意識。

除提升公民意識外，一方面注重信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施等軟硬件設(shè)備使用中應(yīng)注意的個人數(shù)據(jù)保護問題。①信息系統(tǒng)。NΙSD指令規(guī)定，數(shù)字服務(wù)商和數(shù)字服務(wù)提供者需承擔(dān)將個人數(shù)據(jù)泄露情況通知主管機構(gòu)的義務(wù)[37]；《物聯(lián)網(wǎng)安全標準差距分析》指出，隱私保護是系統(tǒng)不可缺少的部分，詳細標準參考GDPR。②關(guān)鍵基礎(chǔ)設(shè)施。關(guān)鍵基礎(chǔ)設(shè)施之NΙS指令通過設(shè)定一個網(wǎng)絡(luò)執(zhí)行框架，實現(xiàn)個人數(shù)據(jù)的三維防護?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》定義一組安全基線指南，將公民的隱私安全和數(shù)據(jù)保護作為重點內(nèi)容之一。另一方面是新技術(shù)使用中必須注意的個人數(shù)據(jù)保護?！?G網(wǎng)絡(luò)安全建議》強調(diào)了5G技術(shù)網(wǎng)絡(luò)安全風(fēng)險評估的重要性；《關(guān)于通過視頻設(shè)備處理個人數(shù)據(jù)的指南》針對視頻監(jiān)控等復(fù)雜技術(shù)下如何保護個人數(shù)據(jù)，從處理的合法性、數(shù)據(jù)主體的權(quán)利及如何實現(xiàn)的問題等方面提供指導(dǎo)[38]。

3.3.5 數(shù)據(jù)安全領(lǐng)域

數(shù)據(jù)安全領(lǐng)域?qū)μ厥獾暮虶DPR設(shè)定較為模糊的數(shù)據(jù)類型、數(shù)據(jù)主體的權(quán)利問題及數(shù)據(jù)的進一步利用等進行詳細的補充，在保障個人數(shù)據(jù)安全的前提下，做好個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展的平衡工作。

（1）電子通信數(shù)據(jù)、默認的個人數(shù)據(jù)及處理過程中的個人數(shù)據(jù)等數(shù)據(jù)的規(guī)定。《電子隱私條例（草案）》制定了一個新的電子隱私框架；《隱私與電子通信條例（草案）》將即時通訊軟件納入政府的監(jiān)管范疇[39]；《EDPB車聯(lián)網(wǎng)個人數(shù)據(jù)保護指南（草案）》[40]規(guī)定車聯(lián)網(wǎng)環(huán)境下的指紋數(shù)據(jù)應(yīng)存儲在車內(nèi)，地理位置數(shù)據(jù)非必要不收集等具體的處理原則；《關(guān)于GDPR第25條設(shè)計和默認的數(shù)據(jù)保護指南》[41]指出高額成本不能成為不合規(guī)的理由，并通過考慮數(shù)據(jù)處理活動的性質(zhì)、范圍、目的及對數(shù)據(jù)主體造成的影響等實現(xiàn)數(shù)據(jù)保護；《關(guān)于數(shù)據(jù)泄露通知示例的012021號指引》[42]以不同虛擬案例的形式，構(gòu)建數(shù)據(jù)控制者應(yīng)設(shè)定的事先措施和風(fēng)險評估、緩解措施等計劃和程序，以處理數(shù)據(jù)泄露事件。

（2）被遺忘權(quán)的具體實施規(guī)定?！蛾P(guān)于GDPR規(guī)定的搜索引擎案件中被遺忘權(quán)的指南》[43]規(guī)定了搜索引擎服務(wù)提供商可以行使遺忘權(quán)的六種情況，如數(shù)據(jù)主體撤回、個人數(shù)據(jù)被非法處理、履行法律義務(wù)等，及不能行使遺忘權(quán)的出于公共衛(wèi)生領(lǐng)域的公眾利益、公共利益的存檔等情況，補充了實施被遺忘權(quán)的具體規(guī)定。被遺忘權(quán)是歐盟七大數(shù)據(jù)主體權(quán)利中唯一需要詳細補充規(guī)定的權(quán)利，是歐盟個人數(shù)據(jù)保護制度的一大特色。

（3）個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展平衡的規(guī)定?！队嘘P(guān)限制數(shù)據(jù)主體訪問其醫(yī)療檔案的權(quán)利的內(nèi)部規(guī)則》中對于數(shù)據(jù)主體訪問醫(yī)療檔案數(shù)據(jù)的權(quán)利進行了詳細解釋；《數(shù)據(jù)治理法》（第二章）建立了二次利用某些類別公共部門數(shù)據(jù)的機制，規(guī)定了重用此類數(shù)據(jù)的基本條件，實現(xiàn)企業(yè)等機構(gòu)對該類數(shù)據(jù)的二次創(chuàng)新利用[44]；《數(shù)據(jù)法案（草案）》（第四、五章）促進數(shù)字收集和服務(wù)提供商非歧視地向第三方分享非個人數(shù)據(jù)，即經(jīng)過匿名處理后的數(shù)據(jù)及政府可以從私營經(jīng)濟部門獲取數(shù)據(jù)的情況，加速對該類數(shù)據(jù)的創(chuàng)新利用，并認定了不公平合同條款的具體情形[45]。兩個最新的法律以互補的形式，在保護個人數(shù)據(jù)安全的前提下，解決個人數(shù)據(jù)保護與利用的矛盾問題，促進歐盟個人數(shù)據(jù)的公平共享與增值利用。

4 結(jié)論與啟示

4.1 結(jié)論

歐盟新型區(qū)域安全觀是其構(gòu)建個人數(shù)據(jù)保護框架的根本指導(dǎo)思想。在本研究的框架構(gòu)建與分析中，充分體現(xiàn)出區(qū)域內(nèi)安全與國際安全兼顧的歐盟新型區(qū)域安全理念，以及個人數(shù)據(jù)保護區(qū)域內(nèi)全領(lǐng)域適用與特殊領(lǐng)域重點保護的特點。

（1）個人數(shù)據(jù)權(quán)的確立，為歐盟個人數(shù)據(jù)保護提供了最高效力級別的保障。將“個人數(shù)據(jù)權(quán)”寫入其《憲章》，憲法層面確立了個人數(shù)據(jù)權(quán)，充分體現(xiàn)出歐盟的核心價值理念。

（2）歐盟新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架實現(xiàn)了三淵源、六位階的全方位保護模式，使歐盟公民的個人數(shù)據(jù)權(quán)得到最全面、充分的保護，體現(xiàn)了歐盟以網(wǎng)絡(luò)/數(shù)據(jù)為重點安全的區(qū)域內(nèi)安全觀。

（3）歐盟的個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兼顧已成趨勢。歐盟嚴格的個人數(shù)據(jù)保護框架為區(qū)域內(nèi)數(shù)字共享的發(fā)展提供了保障，但在一定程度上限制了歐盟數(shù)字經(jīng)濟的發(fā)展。在數(shù)字單一化市場戰(zhàn)略和歐盟數(shù)據(jù)戰(zhàn)略的指導(dǎo)下，開始關(guān)注促進數(shù)據(jù)的公平共享與開發(fā)利用，確保數(shù)據(jù)環(huán)境公平，為數(shù)據(jù)驅(qū)動創(chuàng)新創(chuàng)造條件。

（4）歐盟《標準合同條款》逐漸成為全球數(shù)據(jù)貿(mào)易協(xié)作的樣板。該條款將個人數(shù)據(jù)的跨境流動通過專門的路徑和方式審批，強化數(shù)據(jù)收集者和處理者的合同義務(wù)和違約責(zé)任，充分保障了數(shù)據(jù)主體的權(quán)利，審批的內(nèi)容和方式具有極大的可行性和參照價值。歐盟在數(shù)據(jù)跨境流動規(guī)則上的完善，以及所采取的“長臂管轄”監(jiān)管機制及限制，既充分保護了歐盟數(shù)據(jù)主體的權(quán)利，也滿足歐盟國際共同安全與多邊主義的基本原則。

4.2 啟示

歐盟和我國在國際共同安全和多邊主義的原則上高度一致，其新型區(qū)域安全觀下的個人數(shù)據(jù)保護框架，對我國個人數(shù)據(jù)保護框架的完善具有以下借鑒意義。

（1）加強我國跨境數(shù)據(jù)流動規(guī)則的構(gòu)建，增強國際話語權(quán)。迄今為止，我國《個人信息保護法》（2021）、《數(shù)據(jù)安全法》（2021）等的出臺，彌補了《個人信息出境安全評估辦法》（2019）等標準沒有上位法的空白，促進了我國個人數(shù)據(jù)保護框架的完善。雖然我國個人數(shù)據(jù)的跨境流動規(guī)則有了專門的規(guī)定，但該項法律尚處于起步階段，《個人信息保護法》的跨境數(shù)據(jù)流動規(guī)則存在保護數(shù)據(jù)類型不全、監(jiān)管制度不足[46]、懲罰標準不清晰[47]等明顯問題。我國應(yīng)盡早在跨境數(shù)據(jù)流動規(guī)則方面構(gòu)建完整的法律體系。對《個人信息保護法》中跨境數(shù)據(jù)流動規(guī)則保護的數(shù)據(jù)類型、跨境數(shù)據(jù)機制及其具體細則、管轄的范圍等進行具體的補充，以法規(guī)、規(guī)章和指南等形式呈現(xiàn)，形成體系嚴格、管理健全的跨境數(shù)據(jù)流動機制，在跨境數(shù)據(jù)流動的規(guī)則制定中，提升我國的國際話語權(quán)。

（2）兼顧個人數(shù)據(jù)保護與數(shù)字經(jīng)濟的平衡發(fā)展。雖然歐盟與我國的基本社會制度和發(fā)展進程不一樣，但加強個人數(shù)據(jù)保護和促進數(shù)字經(jīng)濟發(fā)展的總目標一致。我國應(yīng)該在保護個人數(shù)據(jù)的前提下，出臺各項法律，加強國內(nèi)外數(shù)據(jù)共享與增值利用，完善個人數(shù)據(jù)保護框架；并加強中歐及其他國家數(shù)字貿(mào)易交流，實現(xiàn)個人數(shù)據(jù)保護與數(shù)字經(jīng)濟平衡發(fā)展的最終目標。

作者貢獻說明

相麗玲：確定選題，論文構(gòu)思及修改；

寧巧紅：文獻調(diào)研與整理，論文起草。

支撐數(shù)據(jù)

支撐數(shù)據(jù)可開放獲取，獲取地址為http://eur-lex.europa.eu；https://ec.europa.eu/。