Embed Size (px)
Citation preview
新时代人权法研究 文章编号:1008-4355(2018)06-0048-13
收稿日期:2018-09-25
基金项目:本文前三部分以受到蒂尔堡大学校友基金会支持
的“中国境内欧盟居民个人数据保护” 研究课题的部分成果为基
础写成。
作者简介:陈炜权(1992),男,广东汕头人,荷兰蒂尔堡大学
法学院法律、 科技和社会研究所研究助理,
法学硕士; 赵波
(1974),男,河南安阳人,荷兰蒂尔堡大学法学院法律、科技和社
会研究所高级研究员,
法学博士。
论数据保护权作为一项基本权利
———以《欧盟一般数据保护条例》为分析对象
陈炜权,赵 波
(荷兰蒂尔堡大学
法学院,
荷兰
蒂尔堡 55000
LE)
摘 要:数据保护权是欧盟法律保护的一项基本权利。 《欧盟一般数据保护条例》第
一次系统地将这项抽象的权利具体化,并建立了一套严格的执法机制进行保护。 该《条
例》设立了宽泛的地域适用范围,把众多在中国境内的数据控制者和处理者也置于其管辖
之下。 尽管目前我国对承认和执行外国法院判决和行政决定持消极态度,将会导致这部法
规在中国的实施存在种种困难,但是我国企业或组织仍应采取相应的合理措施积极应对。关键词:数据保护权;欧盟一般数据保护条例;基本权利;对中国的影响
中图分类号:DF48
文献标志码:A DOI:10. 3969 / j. issn. 1008-4355. 2018. 06. 05
数据保护权是《欧盟基本权利宪章》 (简称
“《欧盟宪章》”)第 8 条规定的一项欧盟法律下的基
本权利,已经为欧盟成员国宪法以及欧洲法院判例
法所确认。 在全球经济和社会日渐数字化、联系日
益密切的背景下,该权利的行使,以及(处理欧盟居
民个人数据的数据控制者和处理者(data
controllers
and
processors))相应义务和责任的履行至关重要。
作为在数据保护领域一部领先的综合性法律,《欧
盟一般数据保护条例》(简称“《条例》”)不仅将促
进欧盟境内的数据流通,也以通过赋予数据主体一
系列具体权利的方式,第一次系统地将这项抽象的
个人权利具体化,并为之建立了一套严格的法律实
施体系来保护数据主体的权利。 这些具体权利包
括:访问数据的权利(the
right
to
access
data),数据
可移植的权利(the
right
to
data
portability),明确同
意(以及撤销同意) 权 ( the
rights
to
consent
and
withdrawal
of
consent),数据修正权和数据删除权
(被遗忘权)(the
rights
to
correction
and
deletion,
or
to
be
forgotten)等。 同时,《条例》详细规定了监管
机构的调查权(power
to
conduct
investigation)、行政
处罚权(the
power
to
sanction)等,并直接赋予数据
主体就个人数据侵犯向法院提起诉讼的权利。 此
外,《条例》明确保护欧盟境内所有数据主体,不论
数据主体的国籍,同时也规范向欧盟境外进行的数
84
2018 年 12 月
第 20 卷
第 6 期
Journal
of
Southwest
University
of
Political
Science
&
Law
Dec. ,2018Vol. 20
No. 6
据转移。 因此,《条例》适用于不在欧盟境内,但处
理欧盟境内自然人个人数据的数据控制者和处理
者(data
controllers
and
data
processors)。
显然,我国境内数据控制者和处理者处理《条
例》保护之欧盟居民个人数据的,就在《条例》管辖
范围之内。 它们的此类数据处理行为将直接受到
《条例》的影响:如果不能符合《条例》要求处理数
据,就会违反《条例》,理论上将面临的不利后果包
括高额的行政罚款或其它惩罚措施,以及在欧盟境
内受危害的数据主体所提起的诉讼。 在西方各国
对我国电子产品的安全和隐私保护的担忧日渐增
加,尤其是在可能涉及国家安全和商业机密的情形
下,这会引起我国与欧盟(成员国)之间法律和管辖
权冲突,引发外交问题,甚至潜在的政治担忧①。
这个重要的问题无疑应当得到中欧两方法律
界的全面关注。 首先,我国是欧盟第二大贸易伙
伴,而欧盟也是我国最大的贸易伙伴。 鉴于双方目
前仍在持续增长的贸易、经济、教育和政治交流和
联系,大量的跨境数据转移现象是不可避免的[1]②。
其次,当众多数字经济市场巨头为了提供更好的商
业服务或者降低成本等,相互之间进行跨多平台、
行业和国境分享和处理个人数据时,面向我国的跨
境数据转移,很可能以人们预期之外的、不为人知
的方式进行,从而引发数据和隐私保护之外的顾
虑。 例如,最近据美国媒体报道,Facebook 自 2010
年起就至少与 4 家我国电子数码公司有着数据共
享合作关系,其未经用户同意,为华为、联想、Oppo
和 TCL 获取用户数据提供了非公开访问渠道。 该
数据共享允许这些中国合作伙伴从电子设备用户
和所有其它合作伙伴处获取详尽的个人数据,涉及
到宗教和政治倾向、工作与教育背景,以及社会关
系状况。 该数据共享也涉及到其它服务商,如亚马
逊、苹果、黑莓以及三星③。 可以设想,当欧盟数据
主体在使用华为或其它我国电子产品时,相似情况
可能会发生,他们的数据将被访问、共享并被分析。
最后,当司法管辖权不再仅仅是一个法律问题,而
更趋向于政治化和外交化时,一个重要的顾虑就是
欧盟在多大程度上能在欧盟境外保护其公民的(作
为基本权利的)数据保护权。 此外,在一个联系日
益密切的世界中,《条例》的实施会对我国境内公共
和私营部门产生其它间接影响。 这意味着我国为
了顺利实现全球经济扩张、扩大国际影响力并增强
软实力,就需要认真考虑提升国内数据和隐私法律
保护水平,以消除国外市场的疑虑,并增进欧盟消
费者的信任。 其中一个重要的指标就是国内数字
化产业,尤其是我国数字巨头,以及我国管理部门
对《条例》规定的数据保护权的态度。 无疑,尊重数
据保护权,以《条例》为基准和参考,提高我国数据
保护立法和实践,将为我国企业赢得更多的信任和
更广阔的海外市场。
由此,本文旨在探索数据保护权作为一项基本
权利的情形下,《条例》作为一项具有全球影响力的
欧盟立法,对我国企业产生的影响和应对策略。 第
二节将简要介绍在欧盟法律框架下,作为一项基本
权利的数据保护权的发展、特征和内容。 第三节将
概述《条例》所确立的数据保护机制,尤其是数据主
体拥有的不同具体权利,以及数据控制者和处理者
的相应义务。 第四节将具体分析《条例》对我国境
94
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①
②
③
从美国政府出于国家安全对中兴和华为的监管可见一斑,尽管此事在欧盟较少得到关注。 (参见:Matthew
Yglesias.
Trump
helps
sanctioned
Chinese
phone
maker
after
China
delivers
a
big
loan
to
a
Trump
project[EB / OL]. (2018-05- 15) [2018- 06- 17].
https: / /www. vox. com / policy-and-politics / 2018 / 5 / 15 / 17355202 / trump-zte-indonesia-lido-city. )
参见: http: / / ec. europa. eu / trade / policy / countries - and -regions / countries / china.
让很多用户担忧的是:是否这些共享的数据被传输到了中
国的服务器,或者传输给了第三方,尽管 Facebook 坚称所有应用程
序的数据均储存于华为设备中,而非华为服务器上。 (参见:Liao
Shannon.
Why
Facebook’ s
secret
data-sharing
deal
with
Huawei
has
the
US
concerned[EB / OL]. (2018-06-05)[2018-06-12].
https: / /www. theverge. com / 2018 / 6 / 8 / 17435764 / facebook - data - sharing -huawei - cybersecurity;
Michael
LaForgia
&
Gabriel
J.
X.
Dance.
Gave
Data
Access
to
Chinese
Firm
Flagged
by
U. S.
Intelligence[N / OL]. (2018-06-05) [2018-06-12].
https: / / www.nytimes. com / 2018 / 06 / 05 / technology / facebook - device - partnerships -china. html. )
内的数据控制者和处理者的域外适用,以及在主要
的数据处理具体情形中,它们的相关数据保护角色
和义务,尤其是《条例》对它们出于合规而进行的数
据处理操作要求,以及潜在成本的影响。 最后,本
文尝试为我国境内的数据控制者和处理者提供一
些合规建议,以更好地应对《条例》对其数据处理操
作实践产生的影响。
一、数据保护权作为一项基本权利
《欧盟宪章》①第 8 条规定:“任何人都享有对
关乎自身的个人数据的保护权利”以及“该数据应
当基于特定目的和相关个人的同意,或者其它法律
规定的合法依据,适当地予以处理②。”《欧盟运行条
约》第 16 条第 1 款规定,任何人都享有对关乎自身
的个人数据的保护权利③。 这项独立于隐私权的权
利的创设,是欧盟法律制度的一个突出特点:它将
数据保护提升至欧盟法律体系中受到最高保护的
基本权利层面。 尽管这项权利在其它法律体系甚
至是欧盟中是否作为基本人权,可能还或多或少存
在争议④。 因为在欧盟法中,基本权利一词一贯有
所指代, 而并非明确是人权和宪法权利的同
义词[2]14。
但是,数据保护权在欧盟并不完全是“新权
利”。 数据保护权可以部分地从北欧国家的数据保
护规则,
欧洲委员会对数据处理的决议,
以及从美
国对公平信息实践原则的实现中找到根源[2]7。 在
早期阶段,欧盟数据保护立法以规范市场和促进信
息自由流通为导向,而且在欧洲委员会处理人权保
护问题时,数据保护规则主要是为了保障数据处理
活动的公平和细致性⑤。 当欧盟开始进行数据保护
时,最初的数据保护规则就来源于市场规则。 数据
保护权一开始是与隐私权密切相关的,这在《欧盟
数据保护指令》 (以下简称《指令》)中得到了充分
体现[2]7。
在《条例》起草的最后版本中,隐私权未被提
起,数据保护权从而最终同隐私权保护脱离。 《条
例》第 1 条第 2 款规定:“本条例保护基本权利和自
然人自由,尤其是自然人的个人数据保护权利。”
不
同于《指令》,《条例》中数据保护权的法律基础是
《欧盟运行条约》第 16 条,该条款规定:任何人都享
有同自身相关的个人数据的保护权利。 第 16 条还
规定欧洲议会和欧洲委员会在以下情况,应当制定
规则保护个人数据:当欧盟机构、组织、代理机构,
以及欧盟成员国依据欧盟法律和有关数据自由流
通的法律,开展涉及个人数据处理的活动时⑥。 数
据保护权和隐私权保护的分离,还可以从 2000 年
颁布,并于 2009 年生效的《欧盟宪章》第 8 条中找
到依据。 至少从术语层面而言可以清楚地看到,数
据保护已经完全和隐私权脱离[2]7。
05
西南政法大学学报
①
②
③
④
⑤
⑥
《欧盟宪章》不同于传统的人权法律文件,例如《欧洲人权
公约》,它不是一部普遍适用且独立存在的人权法案;它仅仅在欧盟
机构和成员国实施欧盟法律时适用。 欧盟和欧盟成员国法律应当
依据《欧盟宪章》并将《欧盟宪章》作为最低要求,欧盟法和欧盟成
员国法律中的规定与《欧盟宪章》 相冲突的,不得适用。 (参见:Menno
Mostert,
Annelien
L.
Bredenoord,
Bart
van
der
Sloot,
Johannes
J. M.
van
Delden.
From
Privacy
to
Data
Protection
in
the
EU:
Implications
for
Big
Data
Health
Research [ J].
European
Journal
of
Health
Law,
2017,
25(1):
4-5. )
参见:Charter
of
Fundamental
Rights
of
the
European
Union,
Article
8.
参见: Treaty
on
the
Functioning
of
the
European
Union,
Article
16. 1.
总体而言,Bart
van
de
Sloot 反对赋予数据保护权作为基本
人权的法律地位,包括:
a)大多数数据保护的内容都没有人权或基
本权利的潜在含义;b)数据保护规则的目的之一在于方便数据处理
活动,并确保这些活动以合理、适当地方式进行;c) 《指令》和《条
例》更类似于市场法规而非传统人权法律文件。 (参见:Bart
van
de
Sloot.
Legal
Fundamentalism:
Is
Data
Protection
Really
a
Fundamental
Right? [M] / /
Leenes
R. ,
van
Brakel
R. ,
Gutwirth
S. ,
De
Hert
P.
( eds ).
Data
Protection
and
Privacy:
( In ) visibilities
and
Infrastructures.
Springer,
Cham,
2017:
19-28. )
欧盟规范其统一市场的方式仍然与隐私保护密切联系,这可以在 《 指令》 中略见一斑。 ( 参见: Bart
van
de
Sloot.
Legal
Fundamentalism:
Is
Data
Protection
Really
a
Fundamental
Right?[M] / /
Leenes
R. ,
van
Brakel
R. ,
Gutwirth
S. ,
De
Hert
P.
(eds).
Data
Protection
and
Privacy:
( In ) visibilities
and
Infrastructures.
Springer,
Cham,
2017:
7. )
参见: Treaty
on
the
Functioning
of
the
European
Union,
Article
16.
数据保护权作为一项基本权利在欧盟享有最
高级别的法律保护,欧盟有明确的法律义务来规范
数据保护领域[2]8。 数据保护权不是“新权利”,还
体现在欧盟法院的判例中。 欧洲法院在 Schrems,
Spain 和 Coty 案中,将《指令》溯及既往地解
释为适用《欧盟宪章》第 8 条的一种通常方式①。 与
早期不愿提及数据保护权的做法相反,欧洲法院在
2008 年的 Promusicae 一案中,直接引用了数据保护
权这一概念②。 自 2010 年的 Eifert 判决起[3]132,欧
洲法院开始在多种场合讨论涉及到数据保护的问
题[4] 。 在 2010 年判决的 Voker
and
Markus
Schecke
GBR
and
Hartmut
Eifert
v.
Land
Hessen 这一合并审
理案件中,欧洲法院明确提出个人数据保护是基于
《欧盟宪章》第 8 条第 1 款设立的一项基本权利,并
把它同《欧盟宪章》第 7 条尊重私人生活的权利相
联系③。 在 Eugen
Schmidberger 一案中,欧洲法院判
定数据保护权不是一项绝对权利,应当结合其在社
会中的作用予以具体考虑④。 在 2011 年 Deutsche
Telekom 一案中,欧洲法院明确宣布《指令》的立法
目的,是确保个人数据保护权的遵守,这与其以往
倾向于主张隐私权不同⑤。 从这个判决开始,欧洲
法院“依据《欧盟宪章》第 8 条第 1 款对数据保护权
的表述,不间断地创设个人数据保护权,而第 2 款
第 1 句则将限定哪些条件下允许进行个人数据处
理[4]28”。
尽管在欧盟数据保护权不是绝对的,具有一定
的限制⑥,但作为一项基本权利,它正通过欧洲法院
近期的判决和立法措施(主要是欧盟二级立法)得
到快速扩张[5] 。 就数据保护权本身而言,不仅权利
适用对象的范围在扩张⑦,其地域适用范围也延伸
至欧盟境外。 同很多其它基本权利或利益比较,例
如公共安全、信息自由和数据控制者的经济利益,
数据保护正变得更为重要[4]814。 作为一项基本权
利,数据保护权适用于欧盟境内的所有自然人(无
论国籍),所有数据处理操作(除非在欧盟法律适用
范围之外),以及所有个人数据(包括已识别或可识
别的个人数据)。 该项新权利的现实意义在于一个
强有力的法律框架的建立,能应对诸多新技术发展
所带来的巨大挑战。 这项新权利的创设,还为数据
主体的权利主张增加了规范性力量,即:
“数据保护
作为一项权利的确立,相较于绝大多数其它人权而
言,为私营部门设立了更重要的义务[6] 。
尽管数据保护权已经被广泛接受为一项基本
权利,或者被当作人权的一部分,甚至等同于人
权[2]18-19,一个根本问题仍然悬而未决:什么是数据
保护权,或者更具体而言,“个人数据保护权由什么
构成[3]133?”
对此,学界虽然有深入的讨论,但是没
有统一意见。 比如,Hondius 对数据保护权进行了
广泛的定义:在处理个人相关信息时,对个人权利、
自由和基本利益的保护,尤其是当由计算机辅助进
行数据处理时[7] 。 而 Rodata 将这项权利作为隐私
概念长期发展历程的终结点,从最初定义的
“别来
15
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①
②③
④
⑤
⑥
⑦
在 Coty 一案中,法院认为《指令》应当作为《欧盟宪章》的
具体应用。 ( 参见: Gloria
González
Fuster,
Raphaël
Gellert.
The
fundamental
right
of
data
protection
in
the
European
Union:
in
search
of
an
uncharted
right [ J ].
International
Review
of
law,
Computers
&
Technology,
2012,
26(1):
73-82. )
参见 Promusicae
v.
Telefo
nica
de
Espan
a,
C-275 / 06.
对欧盟法院如何通过司法解释来确立数据保护权,参见:Gloria
González
Fuster,
Raphaël
Gellert.
The
fundamental
right
of
data
protection
in
the
European
Union:
in
search
of
an
uncharted
right[J].
International
Review
of
law,
Computers
&
Technology,
2012,
26(1):
76-79.
参 见: Eugen
Schmidberger,
Internationale
Transporte
und
Planzu¨ge
v.
Republik
O¨
sterreich,
Case
C - 112 / 00,
Judgment,
at
para.
80.
参见:Deutsche
Telekom
AG
v
Bundesrepublik
Deutschland,
Case
C-543 / 09,
Judgment,
at
para.
50.
根据 Bonnici 的观点,总体而言数据保护权受到以下因素
限制:其社会功能,《欧盟宪章》 中阐述的积极权利界限( positive
delimitations
of
the
rights),《欧盟宪章》第 52 条规定的限制(同意,对基本权利本质、自由和适当性的尊重),第 7 条隐私权和第 8 条的联
系,以及当前数据保护二级法律和未来数据保护规范框架的具体规
定。 (参见:Jeanne
Pia
Mifsud
Bonnici.
Exploring
the
Non - absolute
Nature
of
the
Right
to
Data
Protection[J].
International
Review
of
Law,
Computers
&
Technology.
2014,
28(2):
131-143. )
例如,《条例》对个人数据和数据处理的定义,几乎可以包
括在当今数据驱动的经济和社会中绝大多数与个人数据相关的处
理。 (参见:《条例》第 4 条第 1-2 款。)
打搅我”
之权利,提升到控制个人信息并决定如何
建构私人领域的权利[8] 。 然而,尽管大多数学者从
隐私保护的角度,或者从《欧洲委员会公约第 108
号》或《指令》的原则进行定义[3]133,但是对究竟什
么是数据保护权的具体内容仍没有统一意见。 正
如 Paul
de
Hert 和 Serge
Gutwirth 所评论的那样:
“数据保护是包罗万象的术语,涵盖了同处理个人
数据相关的一系列概念。” [9]
二、《条例》:如何在欧盟境外实现个人数据
保护?
为解决定义问题,一个可行办法是把数据保护
权当作一项综合性权利,从而涵盖一系列的具体权
利,以实现和具体化数据保护权。 首先,数据保护
权由一系列不同欧盟成员国认可的基本价值和利
益作为基础,包括隐私、自治、透明、非歧视[6]26 和尊
严等价值①。 这和隐私权相似,都不是单一、具体的
权利,而是作为多项利益、自由和法律权利的集
合②。 其次,作为一项综合权利,数据保护权由多个
具体的权利构成,这些权利在不同数据处理操作的
过程中,能保护个人数据的不同方面。 正如 Bonnici
所指出的,这些《条例》设立的具体数据保护规则,
不仅仅赋予数据主体权利,也授予那些独立机构职
权,以保障数据主体权利的实现[3]134。
在此背景下,作为欧盟的二级法律,《条例》在
数据保护权的建构中扮演着重要角色。 它规定了
一系列相关具体权利,以具体化并实现数据保护
权。 许多具体权利已经在其它欧盟法规和不同形
式法律文件中得到承认和解释,这包括《欧盟宪章》
在第 8 条(同意),以及《指令》对通知权、访问权、拒
绝权、删除权、修正权和救济权的阐述和确立。 但
是,《条例》第一次以能直接实施于全欧盟域内的法
律形式(条例)和强制力,把所有这些具体权利正式
归纳在数据保护权利之下,并建立了强大的权利保
护机制作为保障。 在欧盟层面,这被认为是欧洲宪
法的具体化,从纵向角度看该权利能被用来对抗公
共数据控制者和处理者,从横向角度看该权利能对
抗私人数据控制者和处理者[10] 。
第一,《条例》中各项具体权利,例如访问权、修
正权、删除权、拒绝权和同意(以及撤回同意)权,都
有数据控制者和处理者明确对应的义务,以帮助数
据主体具体行使权利。 第二,《条例》为数据控制者
和处理者合法、适当地处理数据规定了具体义务,
包括通知数据泄露,与有管辖权的监管机构及其它
数据保护机构合作,记录数据处理,向数据主体提
供必要信息,以及确保数据安全等义务。 对向欧盟
境外转移数据,《条例》规定了合法转移的具体条
件,将数据保护延伸至欧盟司法管辖范围之外,包
括适当性保障决定、合理保障,以及特定情形下的
克减条款。 第三,《条例》建立了一套强大的法律执
行机制,要求欧盟成员国建立独立的监管机构行使
监管权。 同时《条例》 还设立了一致性机制( the
consistency
mechanism),设立了欧洲数据保护委员
会
(the
European
Data
Protection
Board,
EDPB)作
为欧盟层面的最高监管机构③,以确保《条例》在欧
盟全境的统一实施。 第四,《条例》还采用了其它法
律、非法律手段促进法律遵守,它们具有柔性法、自
我管理或共同管理的特点,以适应成员国内部复杂
的 商 业 实 践, 例 如 认 证 机 制 ( certification
mechanism)、行为准则
(codes
of
conduct)
和有约束
力的公司规章(binding
corporate
rules)。 此外还专
门使用强而有力的规则,来确立数据主体申诉机
25
西南政法大学学报
①
②
③
“数据保护权最初孕育于 20 世纪 70 年代和 80 年代,作为
对因大规模个人数据处理可能引发的侵犯隐私和尊严的补偿途
径。”
( 参 见: European
Data
Protection
Supervisor.
Towards
a
new
digital
ethics:
Data,
Dignity
and
Technology[ EB / OL].
( 2015 - 09 -11) [ 2018 - 06 - 13 ].
https: / / edps. europa. eu / sites / edp / files /publication / 15-09-11_data_ethics_en. pdf)
“除了不被观看、听取或直接报导,以及未经请求不受公众
关注外,综合的隐私保护权还延伸至其它权利请求。”(参见:Stanley
I.
Benn.
Privacy.
Freedom,
and
Respect
for
Persons[M] / / J.
Roland
Pennock,
John
W.
Chapman.
Privacy
and
Personality.
Taylor
and
Francis.
New
York.
2017:
3-4. )
“欧洲数据保护委员会”是依《指令》成立的第 29 条工作
组的继任者。
制,以及对行政处罚和违反《条例》 的各种救济
途径。
最后,《条例》一个突出特征,就是数据保护监
管机构拥有强大的执法权力,包括能对违法者处以
高额行政罚款,以确保《条例》在欧盟全境内能得到
贯彻执行。 欧盟独立的数据保护监管机构可以依
据第 58 条,直接运用调查权对违法行为进行调查
(不论是否基于数据主体的请求),并训诫或纠正数
据控制者或处理者的不当行为,要求其依法处理数
据①。 它们可以要求数据控制者和处理者暂停或停
止数据处理,基于数据主体请求向其提供信息,以
及提供调查所需的必要信息,等等。 此外,监管机
构还有权处以违法者最高为 2000 万欧元,或违法
者上一年度全球年营业额的 4%(取较高额)的行政
罚款。 数据主体可以依据第 79 条,向数据控制者
或处理者提起诉讼主张损害赔偿。 不受《条例》(第
84 条)约束的数据控制者或处理者,也可能会面临
欧盟成员国国内立法所规定的其它处罚②。
此外,为给数据主体提供更好的救济途径,任
何相关数据控制者、共同数据控制者③、以及数据处
理者,应当首先向遭受损害的数据主体全额支付赔
偿,然后可以要求其它责任主体补偿其应当支付的
份额,除非责任主体能够证明其无论如何都对造成
损害的事件没有责任④。 《条例》另外一个明显的
特征,是其广阔的域外适用范围,它要求将欧盟的
高保护标准适用至欧盟境外,同时对欧盟境内所有
自然人的个人数据予以保护,不论其国籍为何。 在
法律实践中法律和管辖权的冲突已然成为事实时,
尽管对立法要求的个人数据保护如何有效地转化
为现实这一问题仍然存在诸多疑问,但毫无疑问,
欧盟正在采取各种措施,努力地保护这项基本
权利。
在一个全球化、各国联系日益密切的世界中,
由于跨境数据传输和处理无处不在,因而作为基本
权利的数据保护权将遭遇更大的挑战。 因为不那
么严格地从技术上讲,虽然实现数据本地化是可能
的,但数据本地化也只能涵盖一部分数据,而开放
和跨境的互联网数据传输和处理仍会占主导地位,
尤其是在各种云服务和物联网兴起的背景下。 除
非实现互联网的完全分割[11] ,跨境数据转移是并且
将会是日常生活的现实。 在外国法律体系下如何
保护本国数据主体的权利,将会是一个越来越重要
的法律问题,这在美国和欧盟之间多次关于国家机
构或私企跨境数据保护的系列诉讼中可见一斑⑤。
现代社会已经在很大程度上进入了所谓的在线生
活社会(Onlife
society) [12] ,
信息基础设施已经成为
社会运作的重要基础设施之一,成为为社会提供诸
如能源、交通、医疗、金融和教育等基本服务的基础
条件,并为公民其它基本社会活动,比如社交和娱
乐,提供不可或缺的载体和平台。 其涉及的数据交
流和处理越来越国际化,比如社交媒体的应用,互
联网媒体内容服务的提供,手机各种应用程序的普
及,以及物联网各种软硬件服务的提供和升级⑥。
当跨境数据转移和处理成为不可避免的社会现实,
跨境数据保护将继续挑战目前欧盟数据保护法律
架构和其确立的数据保护权,特别是作为一项欧盟
认可的基本权利,其在欧盟境外如何得到实现的
问题。
下文将通过分析《条例》对我国可能的潜在影
35
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①②③
④⑤
⑥
有关具体的调查权和纠正权,参见《条例》第 58 条。
参见:《条例》第 84 条。
共同数据控制者是指两个或两个以上共同决定数据处理
目的和方式的数据控制者。 (参见:《条例》第 26 条)
参见:《条例》第 82 条。
美国和欧盟之间关于如何在美国境内保护欧盟公民个人
数据存在诸多争议,包括对避风港框架 ( EU - US
Safe
Harbor
Framework)升级版的隐私屏盾协议(EU-US
Privacy
Shield),以及向
欧盟法院提起的一系列相关诉讼。 除了可以向欧盟委员会在适当
性保障决定中承认的国家进行直接数据传输,绝大多数国家都需要
满足不同的条件,包括俄罗斯和我国。
该数据服务包括网络市场、在线搜索引擎和云计算等,以及信息基础设施包括 IXPs、DNS 服务提供者和 TLD 域名注册。 (参见: EU
Commission.
DIRECTIVE
( EU )
2016 / 1148
OF
THE
EUROPEAN
PARLIAMENT
AND
OF
THE
COUNCIL
of
6
July
2016
concerning
measures
for
a
high
common
level
of
security
of
network
and
information
systems
across
the
Union,
Article
4. )
响、或者在我国的适用,体现《条例》所主张的广泛
的地域适用所面对的现实困难和问题;特别是当我
国作为一个独立的法律体系,当前总体上还不承认
和执行外国法院的判决;甚至可能出于政治、经济
的原因,在短期内还不会大量承认和执行外国法院
的判决。 因此,就《条例》的境外效力而言,其规定
的高额行政处罚和各种救济措施都可能面临在外
国,尤其是在中国无法执行的问题①。 本文接下来
将探讨我国境内的数据控制者和处理者出于法定
缘由处理欧盟居民的个人数据时,在哪些情形下它
们将直接受到《条例》的约束(根据第 3 条)。 并讨
论我国境内的数据控制者和处理者在进行数据处
理时,它们可能遵循或无视其《条例》义务的情形、
原因以及可能的策略性选择。
三、《条例》对我国境内的数据控制者和处理者
的影响
当我国境内的数据控制者和处理者向欧盟境
内的自然人提供商品或服务(无论有无支付要求),
或者监控发生于欧盟境内的数据主体的行为时,依
据《条例》第 3 条将适用《条例》。 数据需要传输到
我国的,《条例》对数据输出者和接收者均具有约束
力。 以下将讨论我国境内的数据控制者或处理者
受《条例》约束的不同具体情形,它们应当履行的相
关义务,以及在跨境数据处理操作中需要采取的相
关必要措施。
直接受到影响的我国境内数据控制者和处理
者,是那些在欧盟直接设立机构
(establishment)
或
设置(setups)的中国公司和机构②。 它们将直接受
《条例》和其它相关欧盟数据保护法律的约束,包括
欧盟成员国的数据保护法。 该类数据控制者和处
理者,包括华为、阿里巴巴、小米、腾讯等,在欧盟境
内有办公场所、分支机构或子公司。 首先,这些公
司可能在欧盟境内拥有雇员或法定代理人,并且出
于商业或管理目的,需要收集或处理个人数据。 这
将涉及处理特殊类型个人数据比如雇员的健康数
据(为其购买保险和其它社会福利),或者出于日常
管理需要收集和处理其指纹或脸部图像。 其次,这
类公司还会在大量的商业活动中收集和处理欧盟
消费者的个人数据,且根据商业规模收集的数据量
可能非常巨大(例如在线社交媒体或网络购物服
务,比如微信以及阿里巴巴的海外购物平台)。 他
们收集的数据也可能包括《条例》规定的特殊类型
个人数据,例如第 4 条规定的生物和基因数据
(biometric
and
genetic
data)。 而所有这些数据都可
能需要转移到其在我国境内的总部,以进行进一步
的处理,或者转移至它们拥有设置或机构的其它第
三国。 它们是直接受到《条例》影响的数据控制者
和处理者,必须严格遵循《条例》的所有要求,否则
可能直接面临监管机构的行政处罚,以及要面对受
其数据处理活动影响而遭受侵害的数据主体所提
起的法律诉讼。 事实上这些跨国公司拥有足够的
资源来确保,在其有意深度参与欧盟市场,或者意
图在欧盟市场上取得更好表现时,能够全面遵循
《条例》。
直接受《条例》影响的,还包括那些在欧盟境内
45
西南政法大学学报
①
②
在我国境内保护欧盟公民的个人数据,如果同美国和欧盟
之间的存在的法律争议相比较,则更像是充满迷雾的百慕大三角。(参见:Bo
Zhao
&
Mifsud
Bonnici.
Protecting
EU
citizens’
personal
data
in
China:
a
reality
or
a
fantasy? [J].
International
Journal
of
Law
and
Information
Technology.
2016:
128. )
《条例》说明性条款第 22 条认定,设立机构作为法律适用
的代理(proxy),是指通过稳定的安排筹划进行有效而实质性的活
动。 而其是否通过分支机构或者有法人资格的子公司的法律形式,并非认定该安排筹划的决定性因素。 这与先前欧盟法院在
Weltimmo 案件中的判决一致。 在该判决中,法院特别关注了设立
机构这一概念,阐明了《指令》的地域适用范围。 关于其它稳定长期
的安排筹划,法院曾指出运营一个或多个房产交易网站,如果这些
有关房产位于匈牙利境内,且网站是匈牙利文的,同时在试用一个
月后在网站上刊登广告需要缴纳一定费用等的事实,就足以认定存
在着有效和实质性运作行为。 (参见:Weltimmo
s. r. o.
v
Nemzeti
Adatvédelmi
és
Információszabadság
Hatóság,
Case
C
230 / 14,
Judgment
of
1
Oct.
2015,
at
para
9
&
33. )如果我国数据控制者和处
理者在欧盟境内没有任何实体设立机构(例如办公室、子公司或分
支机构),但在欧盟境内有稳定、长期的安排筹划(例如运作商业网
站,且该网站是用欧盟成员国语言表述的),它们将适用设立机构的
定义并处在《条例》的管辖范围内。 在该情形下,第 3 条第 1 款和第
2 款都将该类企业和组织归于《条例》管辖下。
没有设立机构或设置,为不同目的而处理欧盟境内
自然人个人数据,但是位于我国境内的数据控制者
和处理者。 根据第 3 条第 2 款,如果它们的经营行
为涉及以下规定活动,将受到《条例》约束:
第一,只要数据控制者或处理者向欧盟境内的
自然人提供商品或服务,无论有无支付要求,都受
《条例》管辖。 例如,网上卖家直接通过自己的网站
(以某欧盟成员国语言呈现),或者通过其它面向外
国消费者(包括欧盟消费者)的中国商业在线平台
比如阿里巴巴和京东,向欧盟公民出售产品以及服
务,比如电子产品硬件设备或软件。 由于网上卖家
和平台服务提供商共同决定数据处理的目的和方
式,依据《条例》它们是共同数据控制者①。 这种情
况也包括在欧盟境内使用的智能手机、平板电脑以
及其它可移动电子设备中的应用程序。 这些程序
可以是中文的应用程序,或者以某欧盟成员国语言
呈现。 在我国的应用程序设计者或所有者,通过智
能手机以及这些移动设备,事实上为欧盟境内的用
户提供了服务,并直接从欧盟用户那里收集了为提
供该服务所必需的个人数据②。 另外,在欧盟境内
没有设置的中国公司为欧盟消费者直接提供云服
务时,例如百度,也会由于注册要求和各种数据上
传,而涉及到对在欧盟自然人的个人数据的收集和
处理③。
另外一个典型的跨境数据转移的情形,就是中
国公司向在欧盟境内的数据控制者或处理者获取
数据,在我国进行处理④。 例如那些没有在欧洲设
立办公室或分支机构,但却在欧盟境内有帮助服务
推广的经销商或合作者的中国服务提供者(旅行
社)或产品生产商。 它们为了提供相关的产品和服
务,可能收集欧盟消费者的数据,从而作为(共同)
数据控制者。 另外,也有位于我国的数据处理企业
或软件外包服务公司作为数据处理者,从欧盟数据
控制者手里得到数据(从而存在跨境数据处理)并
代其处理的情形,比如进行市场调查分析,或者为
提高软件性能而使用这些来源于欧盟的个人数据。
另外一种情况是在我国的产品制造者或服务商,通
过欧盟(成员国)的在线销售平台来提供服务和产
品,从而出现其作为共同数据控制者而得到欧盟用
户数据的情况。 此外,位于我国的数据处理者(通
常为第三方)可能间接地从另外一个我国的控制者
(位于我国但在欧盟没有设立机构)获取数据,并代
表其进行处理的情况,例如百度(云服务)或有道
(基于验证注册而提供云服务的在线词典)。 这些
中国数据控制者或处理者,不论涉及到支付费用与
否,都应当履行《条例》所有规定的义务。 在以上或
其它情景中,会有相当数量的这些企业可能是中小
企业,当它们处于《条例》的管辖范围时,可能只有
较少资源来全面履行《条例》的义务和要求,以进行
55
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①
②
③
④
这沿袭了 2018 年 6 月欧盟法院在初步审理中对共同控制
的认定逻辑,那就是要对共同控制予以宽泛地解释,以确保对数据
主体有效和全面的保护。 (参见:Unabhängiges
Landeszentrum
für
Datenschutz
Schleswig - Holstein
v
Wirtschaftsakademie
Schleswig -Holstein
GmbH,
Case
C-210 / 16,
Judgment,
at
para.
45. )
在这种情形下,包括苹果商店和谷歌商店在内的应用程序
商的作用可能需要讨论,因为它们在依据其行为准则和遵守法律的
过程中,在筛选和监控这些应用程序的运营时扮演着不同角色。“控制者”可以被定义为是应用程序的主要投资者和所有者,它们为
应用程序投入资金、人力资源及其它资源,设计应用程序以实现目
的和获得所有权。 (参见:http: / / www. selfgrowth. com / articles / why-every-eu-mobile -app -development -company -need -to -implement -gdpr)
尽管在这个例子中,这些公司被认定为数据处理者,这是
由于它们提供了云服务,而非决定了处理目的。 但也有人质疑这一
观点,指出在很多情况下,至少云服务提供者也部分地决定了哪些
用户可以使用 云 服 务。 ( 参 见: David
Flint.
Sharing
the
Risk:
Processors
and
the
GDPR[J].
Business
Law
Review.
2017,
38:
171-172;
David
Flint.
Storms
Ahead
for
Cloud
Service
Providers [ J ].
Business
Law
Review.
2017,
38:
125-126. )而根据英国信息委员会
办公室发布的使用云计算的指导,在社区云中,数据控制者在运作
云基础设施时,也可以作为数据处理者进行数据处理;在公共云中,云服 务 提 供 者 也 可 以 作 为 数 据 控 制 者。 ( 参 见: Information
Commissioner’s
Office.
Guidance
on
the
use
of
cloud
computing[ EB /OL].
[2018- 09- 16].
https: / / ico. org. uk / media / for-organisations /documents / 1540 / cloud_computing_guidance_for_organisations. pdf.
at
p. 7-8. )
这是欧洲法学院学者采纳的主流观点。 但这一观点存在
争议,因为《条例》从未定义什么是跨境数据传输,并且《条例》没有
任何文本否认在中国境内的数据控制者直接向欧盟境内自然人获
取个人数据就不是跨境数据传输。 对这一问题,本文作者将另行撰
文论述。
合法、适当的数据处理。
第二,只要中国企业或组织监控发生于欧盟境
内的个人行为的,就将受到《条例》的规制。 一个典
型的例子是欧盟居民可能经常访问我国的网站(服
务器架设于中国的中文网站,或以欧盟某成员国语
言呈现的网站),其个人数据将会通过各种方式被
收集和处理,包括使用各种不同类型、不同功能、并
为不同所有者持有的 cookies 或帆布指纹识别技术
(canvas
fingerprinting) [13] 。 或者更进一步,如果欧
盟数据主体在中国的网络论坛进行注册,发布评
论,并且在论坛上与其他访问者交流,而不论是否
以中文形式,该数据主体就因此被识别或者可被识
别,其个人数据甚至可能通过自动化方式被描述和
评估,从而被该数据平台监控。 监控可以出于不同
的目的进行,包括为了提供更好的服务和客户体
验,为了商业广告或推销产品,或者只是为了网站
的运作或安全。 很明显,在数据处理实践中提供服
务和监控有很多重合之处,这是因为在很多场合中
提供服务需要不同程度地监控用户,即便没有计费
或支付行为;并且在很多场合中,用户允许服务提
供者对其进行监控,收集并处理其数据,以此获得
免费服务[14] 。
如上所述,大量我国企业将会受到《条例》直接
影响。 如果它们作为数据控制者或处理者不履行
《条例》义务,或者没有达到与其数据处理操作相关
的要求时,可能面临违反法律的风险、以及随之而
来的行政处罚(理论上)和欧盟数据主体提起的诉
讼。 欧盟数据保护监管机构在实践中可能并不会
处以行政罚款,因为在我国司法机关基本不会承认
他国行政处罚的效力时,做出这种决定只能降低其
自身权威。 但是这些独立监管机构仍然可以依照
《条例》的权利,命令该企业停止或暂停数据处理操
作,要求其配合进行进一步调查,抑或可能直接命
令屏蔽该企业在欧盟的互联网服务访问,或者移除
其在欧盟的广告,以禁止其进入欧盟市场①。 这对
违法企业而言,仍然是一项重要的顾虑和威胁,需
要考虑。 从这个角度讲,中国企业应当如何面对
《条例》数据保护要求,将会是它们在欧盟继续进行
商业活动的重要考量。
首先,我国电子巨头早在 2018 年 5 月 25 日《条
例》实施前,就已经做了充分的准备。 阿里巴巴已
经在法兰克福成立了数据中心,并宣称为实现数据
本地化,将在欧盟成立第二个数据中心[15] 。 小米近
期也颁布了新的数据隐私政策,表明对《条例》跨境
数据转移和处理操作要求的遵守②。 微信国际版在
今年 5 月初也更新了其隐私保护政策,以遵循新的
法律要求③。 华为也宣称其云服务运营遵循了云安
全认证 CSA-STAR[16] 。 上述在欧盟境内有设立机
构或设置的中国数据控制者或处理者必须遵循《条
例》,因为它们在欧盟的数据处理活动直接处于欧
盟成员国数据保护监管机构和欧盟法院的管辖之
下。 违反《条例》及其它数据保护法律,不能严格地
同其它欧盟数据控制者和处理者保持步调一致,将
意味着高额的违法成本④。 但是对我国跨国企业而
言,最重要的问题是:当需要把收集的欧盟居民的
个人数据转移到我国或第三国进一步处理时,如何
能遵循《条例》要求,如何能结合第三国法治状况和
数据保护实践,达到《条例》确立的数据保护安全水
65
西南政法大学学报
①
②
③
④
比如 2000 年有名的法国 Yahoo 案例中,法国法院就做出
决定禁止同纳粹有关的纪念物在 Yahoo 的网站上拍卖,并禁止法国
互联网浏览者访问 Yahoo 的美国网站。 参见:Juan
Carlos.
Yahoo
Loses
Appeal
in
Nazi
Memorabilia
Case
[ EB / OL]. ( 2016 - 01 - 12)[2018 - 10 - 10]. https: / / www. pcworld. com / article / 124367 / article.html.
参见:Privacy
Policy.
https: / / www. mi. com / us / about / new-privacy.
参见: WeChat
Privacy
Protection
Summary.
https: / / www.wechat. com / en / privacy_policy. html.
根据国际隐私专家协会和安永的研究发现,《财富》500 强
的公司一共将花费 78 亿美元来确保遵循《条例》,这意味着每个公
司需要花费 1600 万美元,但是高额的行政罚款使得遵循法律成为
唯一选择。 (参见:International
Association
of
Privacy
Professional.
Global
500
companies
to
spend
$ 7. 8B
on
GDPR
compliance
[ EB /OL]. ( 2017 - 11 - 20) [ 2018 - 09 - 16].
https: / / iapp. org / news / a /survey - fortune - 500 - companies - to - spend - 7 - 8b - on - gdpr -compliance / )
准? 由于我国没能被欧盟委员会列在能提供适当
性保障国家的名单上,这些涉及跨境数据传输的企
业需要采取合乎《条例》规定的具体措施,以进行合
法跨境数据转移,比如遵循合理保障中经批准的行
为准则,或者施行标准数据保护条款等。
其它在欧盟没有设立实体机构或设置的中国
境内数据控制者和处理者,面临一个复杂的情形、
并且需要做出决定:是否应当遵循《条例》(一项外
国法律)? 如果是,那么需要在多大程度上进行?
如果它们愿意遵循《条例》,考虑到《条例》所规定的
各种各样的义务,切实履行所有义务的成本是相当
高的。 例如,实施合适的技术和组织措施以确保和
实现各个数据处理原则(第 5 至 11 条)、控制者和
处理者各种不同的义务(包括任命数据保护员和在
欧盟的代理人)、进行合法跨境数据转移的要求、协
助数据主体行使权利等等。 它们可能还需要革新
其数据处理操作,甚至是整个商业模式以全面遵循
《条例》提出的数据保护要求。 当然,相对而言,中
小企业的《条例》义务比较少,例如它们不需要对数
据处理进行记录(该规定适用于雇员数超过 250 人
的公司和机构),或者任命数据保护员(只在满足第
37 条第 1 款的任一情形下有要求),但是总体而言
也并不轻松,因为遵循条例会带来额外的工作和负
担,这意味着更高的企业成本。
当然,涉及处理欧盟数据主体数据的中国控制
者和处理者,也可以考虑完全无视《条例》规定。 我
国目前总体上仍较少认可外国法院判决,而依据主
权原则更不会接受任何外国行政机构命令之效力
及于我国领土。 虽然现阶段我国和欧盟成员国已
签订了部分双边民事司法互助协定(关于承认和执
行民事判决)①,但我国司法系统对承认和执行外国
法院判决的消极态度,由于政治体制和司法制度差
别的原因,可能还将长期存在②。 另外在发生数据
泄露或违反《条例》规定情形下,一般数据主体也很
难发现并求证在我国境内到底发生了哪些违反《条
例》的情形,并及时向欧盟数据监管机构提起申
诉[17] 。 就此而言,实际上欧盟法律,包括《条例》所
规定的各种处罚措施,在我国境内对我国企业的法
律实际效力有限,其唯一的有力处罚,可能是禁止
或限制违法企业进入欧盟市场。
然而,鉴于近期我国政治经济发展所释放的一
些积极信号,尤其是“一带一路”的发起③,这一情况
可能得到迅速改变。 非常明显,我国如果想更多地
参与世界经济秩序,尤其是欧盟市场,就必须更多
遵循国际法标准和欧盟法律。 为此,最高人民法院
在 2015 年发布了《关于人民法院为“一带一路”建
设提供司法服务和保障的若干意见》,表示即便在
我国和相关当事国之间没有国际协定的情形下,我
国法院仍可以根据互惠原则,扩大司法协助范围④。
随着我国更深入参与到欧盟市场,我们必须考虑基
于互惠原则承认和执行欧盟法院判决,因为我国也
需要以此换取我国企业在欧盟境内的经济利益的
保护。 而近期武汉和南京的两个地方法院则基于
互惠原则,主动承认和执行外国法院的判决⑤,更显
示了这种积极的司法趋势。 不可否认,在未来我国
经济更深入参与国际经济分工,企业更多进入欧盟
市场,需要保护它们利益时,基于互惠基础,我国对
75
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①
②
③
④
⑤
目前这些国家包括法国,波兰,罗马尼亚,西班牙,意大利,保加利亚,塞浦路斯,希腊,匈牙利和立陶宛。 (参见:https: / / www.fmprc. gov. cn / web / ziliao_674904 / tytj_674911 / wgdwdjdsfhzty_674917 /t1215630. shtml)
除了外国法院所做出的离婚判决,我国承认和执行外国法
院民商事判决的案例有限,虽然近期有所突破。 (参见:李庆明.
论
域外民事判决作为我国民事诉讼中的证据[J].
国际法研究.
2017:
120. )
欧盟整体而言对这一倡议没有统一回应。 虽然在东欧和
中欧较受欢迎和成功,这个提议仍然受到其它欧盟成员国的批评。(参见:Corre,
Philippe.
Europe’s
Mixed
Views
on
China’s
One
Belt,
One
Road
Initiative. [ EB / OL]. ( 2017 - 05 - 23) [ 2018 - 09 - 17].
https: / / www. brookings. edu / blog / order - from - chaos / 2017 / 05 / 23 /europes-mixed-views-on-chinas-one-belt-one-road-initiative / )
参见:《最高人民法院关于人民法院为“一带一路”建设提
供司法服务和保障的若干意见》。
参见:南京中院裁定和武汉中院裁定 http: / / www. njfy.gov. cn / www / njfy / res_ mb _ a39180105108997. htm ( 南京案) http: / /wx. hbfy. gov. cn / weiyixin / fywsxq / 2? ids = 21abca9b-b40e-4c2f-ac45-a7b600f08be2(武汉案)。
司法协助将一定会持更开放的态度。
那么如果具体条件允许,对在我国境内但在欧
盟没有设立机构或设置的数据控制者和处理者而
言,尽力遵循《条例》数据保护规定也是更明智的选
择。 通过遵循欧盟法律和欧盟认可的行业标准,尤
其是以数据保护基本权利著称的《条例》,对提升我
国数据保护水准,对我国公司获取欧盟消费者信任
和认可,提高产品吸引力至关重要。 毋需赘言,向
用户和消费者表明其达到了《条例》所要求的数据
保护水准,比如通过欧盟权威的数据保护认证,或
使用经欧盟委员会批准的行为准则,将显著提升企
业在欧盟的形象。 同样,企业通过采取《条例》规定
的各种措施和步骤———包括有约束力的公司规章
(BCR)、行为准则(COC)、标准合同条款、对数据保
护员的任命、通知数据泄露等———来努力达到《条
例》所要求的高数据保护标准,一定能在数据处理
实践中提高数据安全和数据保护水准,进而在国内
市场上获取更多客户的信任。 实施《条例》的数据
保护标准,能够在一定程度上把该企业同其它市场
竞争者区分开来,有利于企业长远发展。
基于上述分析,对于我国境内的中小企业而
言,可以通过考虑自身具体情况在不同程度上遵循
《条例》。 我国境内的控制者或处理者应作出适当
的努力,例如,在识别出到企业网站访问者是来自
欧盟境内时,控制者至少应当通过弹出 cookies 方
式,阐明其隐私政策,介绍控制者将收集什么数据、
以及如何使用这些数据,并为访问者提供是否同意
该数据处理行为的选择。 这样控制者至少能从表
面上证明它在努力遵循《条例》规定①。 另外,至少
应当尽量实现《条例》列举的成本较低,容易实现的
程序性和组织性措施,以证明遵循《条例》的良好意
愿。 例如,采用成本较低的组织性合规措施,包括
在企业内部任命一名数据保护员,可以由本企业内
部职员兼任,或者聘请一名专业的法律合规专家或
隐私保护专家②。 如果可能,还可以进行企业内部
数据处理活动记录,在内部会议中设立数据保护议
题进行讨论,或设置数据保护的具体操作程序。 最
重要的是,在把欧盟境内收集的个人数据转移到国
内处理时,需要尽力遵循《条例》关于数据跨境转移
至第三国的具体规定,以合法和公平的方式进行③。
除了组织上的措施,也可以考虑使用某些技术
性措施,来提升数据安全和隐私保护。 比如《条例》
第 25 条规定的嵌入设计之数据保护和默认的数据
保护(Privacy
by
Design
and
Privacy
by
Default),包
括数据匿名化、数据最小化和数据加密④。 如有可
能,还可以考虑向欧盟有权机构或部门申请数据保
护认证或数据保护印章(标记) ( data
protection
certification
or
seal),或者采纳经欧盟机构批准的行
为准则和标准合同条款,以证明企业良好守法意愿
和行动。 这些都是可以根据具体情况来量力而行
的举措⑤。
五、结论
由于当今世界的加速数字化、互联网化、全球
化以及随之而来的跨境数据交流的不断增强,欧盟
法律将数据保护权作为一项基本权利进行保护,是
法律发展的一次重要突破。 对个人和社会整体而
言,个人数据的价值还在不断提升之中,而对个人
85
西南政法大学学报
①
②
③
④
⑤
很明显,许多中国网站,包括纯中文网站,在 2018 年 5 月
《条例》生效后遇到来自于欧盟的访问时,已经为其使用 Cookie 设
立了新的隐私保护政策。
但是建议我国企业在遵循《条例》第 27 条、设立欧盟代理
人上(representative)持谨慎态度,因为这将毫无疑问成为它们在欧
盟的企业设立,从而将其置于欧盟法的直接管辖之下。
参见:《条例》第 44 条以及第 46-49 条。 读者也可以参考
笔者制作的《欧盟一般数据保护条例与中国:我们需要了解什么?》的手册来了解具体内容。 参见:https: / / www. tilburguniversity. edu /research / institutes-and-research-groups / tilt / news-pgdr-china-tilt /
在《条例》第 4 条第 5 款下,匿名化是指以以下方式对个人
数据进行处理:使个人数据不使用额外信息时,不能再被用来识别
该数据主体,且这些额外信息将被另外保存,并有技术和组织手段
来保证个人数据不会被用来识别能够被识别,或已被识别的个体。
还应该注意到,即使在欧盟内部,数据保护认证机制如何
实现其确立的目的,尤其是涉及到标准的建立和进一步实施时,都还有很多问题需要在以后实践中得到解决。
数据的更全面的分析和利用,已经成为经济、技术
和社会进步的必要条件。 私企和国家机关如果滥
用数据,数据主体可能由于失去对个人数据的控
制,从而引发个人生活完全失控的危险,个人数据
必须得到保护。 但是,作为一项基本权利,欧盟设
立的数据保护权在现实中会面临越来越多的挑战。
这些挑战不仅来自于如何规范各种新技术快速发
展带来的副作用,更来自于越来越多的跨国数据传
输、处理和保护。 其根源是由互联网和全面数字化
所带来的加速全球化、无边界的生活和数字经济形
态,同基于国家主权设立的,地域性极强的司法(法
律)体系的局限性之间越来越加剧的冲突。
总而言之,《条例》所规定的严格数据保护机
制,在其内在立法逻辑和数据处理实践中如何适用
都存在问题①。 就我国的法律实践而言,《条例》规
定的个人数据保护机制如何在我国境内实现,一定
会面临巨大的挑战。 《条例》从理论上适用于那些
在我国的数据控制者和处理者,只要它们有符合
《条例》规定的搜集和转移在欧盟的自然人的数据
的行为。 正如本文第 4 节分析的,当前对《条例》的
遵守和执行,依然很大程度上取决于在我国数据控
制者和处理者的自觉行为。 因为它们多数在欧盟
境内没有实体存在(比如《条例》规定的机构设立或
设置),从而不会直接处于欧盟数据保护机构的管
辖之下,直接接受处罚和判决。 而发生数据侵害和
违法行为时数据监管机构的决定和处罚,以及欧盟
法院的判决,在目前甚至将来一段时间可能仍不为
我国法院认可和执行。 由于没有类似“欧盟-美国
隐私屏盾协议“那样的我国与欧盟之间的数据保护
协定,《条例》的执行和数据保护基本权利的实现,
可能在一段时期内仍然需要依靠欧盟各成员国同
我国之间的双边司法互助协定。 JS
参考文献:
[1]
Ministry
of
Foreign
Affairs
of
the
People’s
Republic
of
China.
Relationship
between
China
and
EU [ EB / OL ].
[2018 - 09 - 14].
http: / / www. fmprc. gov. cn / web / gjhdq _
676201 / gj_676203 / oz_678770 / 1206_679930 / sbgx_679934 / .
[2]
Bart
van
de
Sloot.
Legal
Fundamentalism:
Is
Data
Protection
Really
a
Fundamental
Right? [ M] / /
Leenes
R. ,
van
Brakel
R. ,
Gutwirth
S. ,
De
Hert
P.
( eds ).
Data
Protection
and
Privacy:
( In) visibilities
and
Infrastructures.
Springer,
Cham,
2017:
14.
[ 3]
Jeanne
Pia
Mifsud
Bonnici.
Exploring
the
non -
absolute
nature
of
the
right
to
data
protection [ J ].
International
Review
of
Law,
Computers
&
Technology.
2014,
28(2):
132.
[4 ]
Gloria
González
Fuster,
Rapha? l
Gellert.
The
fundamental
right
of
data
protection
in
the
European
Union:
in
search
of
an
uncharted
right[J].
International
Review
of
law,
Computers
&
Technology.
2012,
26(1):
77.
[5]
Maja
Brkan.
The
Unstoppable
Expansion
of
the
EU
Fundamental
Right
to
Data
Protection:
Little
Shop
of
Horrors?
[J].
Maastricht
Journal
of
European
&
Comparative
Law.
2016,
23(5):
812-841.
[6]
Yvonne
McDermott.
Conceptualising
the
right
to
data
protection
in
an
era
of
Big
Data[J].
Big
Data
&
Society,
2017,
4(1):
2.
[7]
Frits
W.
Hondius.
Data
Law
in
Europe[J].
STAN.
J.
INT’L
L.
1980,
16:
89.
[8]
Rodotà,
S.
Data
Protection
as
a
Fundamental
Right
[ M ] / / Gutwirth,
S. ,
Poullet,
Y. ,
de
Hert,
P. ,
de
Terwangne,
C. ,
Nouwt,
S. ( eds. ) .
Reinventing
Data
Protection?.
Springer,
Dordrecht,
2009:
80.
[9]
Gutwirth,
S.
&
de
Hert,
P. .
Data
Protection
in
the
Case
Law
of
Strasbourg
and
Luxemburg:
Constitutionalisation
in
Action[M] / / Gutwirth,
S. ,
Poullet,
Y. ,
de
Hert,
P. ,
de
Terwangne,
C. ,
Nouwt,
S. ( eds. ) .
Reinventing
Data
Protection?.
Springer,
Dordrecht,
2009:
3.
[10]
Dorota
Leczykiewicz.
Horizontal
Application
of
the
Charter
of
Fundamental
Rights [ J].
European
Law
Review.
95
陈炜权,赵 波:论数据保护权作为一项基本权利———以《欧盟一般数据保护条例》为分析对象
①
比如蒂尔堡大学 Bert-Jaap
Koops
教授早在《条例》还在立
法之初,就指出了《条例》 的很多根本问题。 (参见:
Bert - Jaap
Koops.
The
trouble
with
European
data
protection
law[J].
International
Data
Privacy
Law,
2014:
250 – 261. )
2013,
38:
479-497.
[11]
Mark
Scott.
The
internet
is
broken.
Can
this
group
fix
it? [EB / OL]. (2018-03-02) [2018-06-18].
https: / /
www. politico. eu / article / internet - governance - ottawa -
regulation - balkanization - splinternet - global - jurisdiction -
policy-network / .
[12]
The
Onlife
Manifesto [ M] / /
Floridi
L.
( eds).
The
Onlife
Manifesto.
Springer,
Cham,
2015:
7-13.
[ 13 ]
Jeremy
Kirk.
‘ Canvas
fingerprinting ’
online
tracking
is
sneaky
but
easy
to
halt[EB / OL]. (2014-07-25)
[ 2018 - 05 - 26 ].
https: / / www. pcworld. com / article /
2458280 / canvas- fingerprinting - tracking - is - sneaky - but -
easy-to-halt. html
[ 14 ]
Cyrus
Lee,
Report:
Chinese
users
will
drop
if
no
longer
free[EB / OL]. (2013-04-05)[2018-06-18].
https: / / www. zdnet. com / article / report-chinese-users-will-drop-wechat-if-no-longer-free /
[15]
Sebastian
Moss.
Alibaba
plans
second
European
data
center,
potentially
in
the
UK
or
Sweden[EB / OL]. (2017- 09 - 29 ) [ 2018 - 09 - 16 ].
https: / / www.
datacenterdynamics. com / news / alibaba - plans - second -
european-data-center-potentially-in-the-uk-or-sweden /
[16]
韩一冰.
专访华为余承东:将通过生态布局更
好服务消费者[ EB / OL]. ( 2017- 03- 28) [ 2018- 09- 16].
http: / / mobile. 163. com / 17 / 0328 / 21 / CGL5J5IL00118017.
html.
[ 17 ]
Bo
Zhao
&
Mifsud
Bonnici.
Protecting
EU
citizens’
personal
data
in
China:
a
reality
or
a
fantasy? [J].
International
Journal
of
Law
and
Information
Technology.
2016,
24:
129 - 150;
Wenliang
Zhang.
Recognition
and
Enforcement
of
Foreign
Judgments
in
China:
A
Call
for
Special
Attention
to
Both
the
“Due
Service
Requirement”
and
the
“ Principle
of
Reciprocity ” [ J ].
Chinese
Journal
of
International
Law.
2013,
12:
143-174.
On
the
Right
to
Data
Protection
as
a
Fundamental
Right:Based
on
the
Analytic
Object
of
the
European
Onion
General
Data
Protection
RegulationCHEN
Wei-quan,
ZHAO
Bo(Tilburg
University,
Tilburg
55000
LE,
Netherlands)Abstract:The
right
to
data
protection
is
a
fundamental
right
in
the
EU
law.
European
Union
General
Data
Protection
Regulation,
for
the
first
time,
concretizes
and
materializes
this
abstract
right
in
a
systematic
way,
and
establishes
a
strict
law
compliance
mechanism.
This
regulation
also
prescribes
a
broad
territorial
scope,
meaning
that
it
is
binding
on
data
controllers
and
processors
in
China.
Though
China’ s
current
negative
attitudes
towards
recognition
and
enforcement
of
foreign
judgments
and
administrative
decisions
will
lead
to
all
sorts
of
difficulties
in
the
enforcement
of
the
Regulation
in
China,
Chinese
enterprises
and
organizations
shall
take
appropriate
measures
to
comply
with
the
regulation.
Key
Words:
right
to
data
protection;
regulation;
fundamental
right;
influence
本文责任编辑:赵树坤
06
西南政法大学学报
