2018 年 11 月 21 日,欧洲议会和欧盟理事会正式发布了第 2018/1725 号条例——《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动,并废除(EC)第 45/2001 号条例和(EC)第 1247/2002 号决定的条例》(下文简称“第2018/1725 号条例”),该条例于 2018 年 10 月23 日通过正式文本,针对对象主要包括欧盟机构、机关、办公室和办事处等机构(下文统称“欧盟机构”),规制内容主要为上述欧盟机构在处理个人数据环节中对个人数据应当的保护以及个人数据在自由流动过程中应当遵守的法律规制。

该条例对于个人数据保护问题的深入探究有重要意义,其为了配合欧盟诸多数据保护条例及指令的有效实施,进一步完善欧盟的数据保护框架,提出了对欧盟机构处理个人数据环节中对数据的保护措施以及归责等问题的规制方式。在规制行为的具体范围以及特色制度的设计上,实现了对其他数据保护立法的内容补充。

1 出台背景及价值追求

2018 年 5 月 25 日《一般数据保护条例》(GDPR)正式生效,条例制定了个人数据保护的一般规则,为欧盟内外个人数据的自由流动提供了确定性保护。在个人数据保护基本框架逐渐形成的背景下,为了确保强有力与一致的数据保护框架的构建,同时为了配合《涉警务司法目的数据交换指令》等一系列个人数据保护指令、条例等的有效适用,第 2018/1725 号条例应运而生。

基于《欧洲联盟基本权利宪章》第 8 条第(1)款和《欧洲联盟运作条约》(TFEU)第 16 条第(1)款的规定,对个人数据处理活动的保护是自然人的基本权利。纵观(EC)第 45/2001 号条例,该条例为自然人主体对其个人数据的处理提供了法律意义上的权利保障,同时规定了相关机构以及组织等数据控制者的数据处理义务,并建立了独立的监督机构——欧洲数据保护专员以负责监督欧盟机构等处理个人数据。但(EC)第 45/2001 号条例的内容仅适用于欧盟机构所实施的限于联邦法律范围内对个人数据的处理行为,对于超出联邦法律范畴的行为尚未规定。而(EC)第 1247/2002 号决定是于 2002 年 7 月1 日,由欧洲议会、理事会以及委员会共同就欧洲数据保护专员履行其相应职责应当遵循的规则以及一般约束性条件所共同达成的决定。该决定所规定的内容并不详尽,且在时效性上稍显落后,对于通信网络等安全问题尚未提出有效规制。

总体而言,为了更有效地规制个人数据的处理行为,强调对数据主体权利可能造成的损害的规避,第 2018/1725 号条例在《一般数据保护条例》的基础上,对欧盟机构等对自然人个人数据的处理问题重点关注,力求实现更为准确的、具有针对性的法律规制。

2 条例基本制度结构的突出重点

第 2018/1725 条例全文共分为 12 章节,就涉及个人数据处理的欧盟机构职能等问题,提出了个人数据处理的基本原则,明确了数据主体的权利范围,同时对数据主要监管机关的职能和义务等做出了详细规定,在救济、责任和处罚环节尽可能保护数据主体的权利,以惩罚性措施强制个人数据的处理环节保持谨慎。

2.1 规制行为的扩展

第 2018/1725 号条例中对个人数据处理的基本原则要求与 GDPR 保持一致,基于合法性原则,个人数据处理行为的合法行为仅包括以下方面:(1)为了公共利益或行使欧盟机构等的官方权利而执行任务的行为;(2)数据控制者为了遵守法律规定的义务必须实行的行为;(3)为履行合同或签订合同前采取的必要措施 ;(4)数据主体的同意行为;(5)为保护其他人或数据主体利益的行为等五种情况。

但 2018/1725 号条例在以 GDPR 基本原则为首要基准之下,对 GDPR 中尚未明确的事项——欧盟机构处理个人数据的行为做出了规定,一般情形下欧盟机构处理个人数据的行为适用 GDPR中的相关规定。此外,2018/1725 号条例提出,对于受欧盟机构雇佣的工作人员也应属于该条例的保护对象,其存储在欧盟机构内的员工数据的处理行为也应受到保护。

除却一般性规定,对于欧盟机构所持有的个人数据在欧盟境内向非欧盟机构接收者的传输,应当符合特定的流程条件,即对该数据接收者的基本条件应当进行审核。数据接收者接收数据的行为应当满足数据处理合法性的要求,尤其是当数据主体的合法利益可能受到侵害时,数据接收者应当在明确权衡各种竞争利益之后,确保个人数据的传输行为是必要的且与数据传输目的相称。

2.2 电子通信机密性的提出

作为 2018/1725 号条例在第四部分所提出的重要内容,电子通信网络下个人数据的安全保护问题被列入讨论中心,数据控制者和处理者的一般性义务以及个人数据的安全等问题也在这一章节中被详细列明。

电子通信保护主要是指通过对个人数据传输所基于的电子通信网络实施保护,以确保通信机密性。基于用户对欧盟机构公共网站或移动应用程序的访问行为,欧盟机构等应当根据指令(EC)2002/58 的相关规定对其收集、传输、处理、存储等的信息加强保护。利用电子通信网络所产生的用户目录所包含的个人数据内容以及访问权限等,欧盟机构都应当基于特定的目的予以保存,即存储行为应符合最小目的性原则。对欧盟机构而言,有责任对上述内容的保护采取必要措施,确保电子通信机密性,以防止其中的个人数据被滥用。

2.3 信息及立法咨询

信息及立法咨询,是 2018/1725 条例提出的专门针对欧盟机构的条文设计,该条文规定明确地表达了个人数据的处理环节中,数据主体的权利及权利自由的重要性。

所谓信息咨询,是要求欧盟机构在制定与其处理个人数据有关的行政措施和内部规则时,应当将具体的信息通知欧洲数据保护专员,并向其咨询相关事宜。同样在立法行为上,如果有涉及对个人数据处理方面的立法法案,欧盟委员会应就个人数据保护方面的权利和自由等问题向欧洲数据保护专员咨询,欧洲数据保护专员以及欧洲数据委员会应充分为欧盟委员会的工作提供帮助,并予以协调,必要时可发布联合意见。

2.4 监管主体的明确

GDPR 第六章对监管机构的独立性、设立规则、职权任务及权利等做出了细致的规定,第2018/1725 号条例则在此基础上,进一步明晰了监管机构的具体指向及其职能。

第 2018/1725 号条例将欧洲数据保护专员设定为监管主体,在个人数据处理方面确保欧盟机构充分保障了自然人数据主体的基本权利及其数据安全。上文提到,在立法以及信息咨询过程中,欧盟机构等可就有关个人数据处理的所有事项向欧洲数据专员咨询,为此欧洲数据保护专员应履行其职责并行使权力。数据保护专员作为欧盟的工作人员,其任职以及职责履行等均要受到适用于欧盟官员以及服务人员等的工作规则和条例的约束。最为重要的是,在任职期间,欧洲数据保护专员及相关工作人员应对履行职责过程中所了解的任何机密信息承担保密义务。

欧洲数据保护专员可依照第 2018/1725 号条例第 58 条的规定对数据控制者和数据处理者行使指控权,并可进一步要求数据控制者和数据处理者在合理期限内对相关指控的意见、依据指控所采取的措施等内容报告给欧洲数据保护专员。欧洲数据保护专员所实施的活动是受到实时监督的,其所形成的年度活动报告不仅要提交给欧洲议会、欧洲理事会,同时还将接受其他欧盟机构的监督。

3 条例特色制度设计

第 2018/1725 号条例的整体框架中,除重点制度的设计外,数据跨境制度以及责任承担是该条例的特色制度。针对条例规制对象的特殊性,上述两方面做出了具有针对性及贴合性的规制。

3.1 数据跨境制度

条例第五部分为个人数据向第三国以及国际组织的转移,详细规定了个人数据跨境转移的一般原则、特殊转移规则、个人数据保护的国际合作机制以及业务类数据的跨境转移条件。

首先应明确个人数据的跨境传输,应确保数据接收者是为了公共利益或执行官方权利等正当性、必要性目标所进行的数据传送,传输行为应当具有必要性,尤其在数据主体的合法权利可能受到侵害时,欧盟机构应当在权衡各种竞争利益后,以与目标相称的方式实现数据的跨境。在个人数据跨境环节中,欧盟机构享有依据联邦法律协调保护个人数据的权利。与《一般数据保护条例》跨境制度相类似,第 2018/1725 号条例第 46 条以及第 47 条明确规定,个人数据的跨境转移应当依据充分性认定机制,转移过程应满足限制转移条件,数据控制者以及数据处理者应确保数据主体权利不受损耗。充分性认定机制以《一般数据保护条例》第 45 条的相关规定为审查标准,欧盟机构通过审核认定第三国不具有充分性保护水平,可向欧盟委员会以及欧洲数据保护专员通报,同时采取必要措施做出相关认定结果。特殊转移规则,是指在未进行充分性认定保护时,可采取其他数据转移规则作为依托文本。该特殊性规则要求数据控制者或数据处理者提供相应的安全保障措施,诸如具有法律约束力和执行力的文件、有约束力的相关规则等。特殊情形下在上述要求均不满足时,数据主体的同意、基于数据主体的利益以及为了实现公共利益等,均可以克减数据控制者以及数据处理者的义务,以实现个人数据的跨境流动。

综上所述,第 2018/1725 号条例第五章内容与《一般数据保护条例》关于个人数据跨境流动问题的规定保持原则性一致,二者对个人数据的跨境流动机制以及关于个人数据保护的国际合作问题持相同的价值追求。而两个条例的不同点在于,规制个人数据跨境流动的监管机关由原来的欧盟委员会及其监管机构扩展至欧盟委员会以及欧洲数据保护专员。尤其在个人数据保护的国际合作问题中,欧洲数据保护委员会、欧洲数据保护专员被明确指定为建立相互合作机制的主体,二者应当协同欧盟委员会一起,采取适当措施以建立有效执行个人数据保护的国际合作机制。

3.2 责任制度

责任的承担主要分为数据主体权利、司法赔偿、行政责任承担以及欧盟机构责任承担四大部分。《一般数据保护条例》第八章也对责任承担制度进行了一定设计但较为笼统,仅提出了制度的设计。但 2018/1725 号条例则在 GDPR制度的基础上,鉴于规制数据处理活动的有限性,对责任制度设计部分中涉及的相应主体明确列明。如数据主体认为欧盟机构对其个人数据的处理违反了本条例的规定,可向欧洲数据保护专员提出投诉,并有权在数据保护监督员处获取相关的进展和结果。数据主体有权委托非营利机构、组织或协会等向欧洲数据保护专员提出投诉、索要赔偿。此外,上述组织还应积极保护数据主体享有的相关权利。

司法补救的审查主体为法院,被审查对象为欧洲数据保护专员就投诉内容做出的决定,当审查过程涉及司法赔偿或行政处罚时,法院可依据自己享有的无限管辖权予以裁定。值得注意的是,行政处罚的做出主体为欧洲数据保护专员,该专员会依据侵权行为的性质、损害程度以及欧盟机构在该事故中所履行的义务程度等来判别对欧盟机构等执行的行政处罚是否合理。

2018/1725 号条例第 69 条是一项新提出的制裁措施,其指出了欧盟官员以及被雇佣者在执行过程中应当履行的义务,玩忽职守的人员会受到纪律处分。即对于个人数据的处理环节,被规制的主体并非局限于数据控制者以及数据处理者,行政部门内部的行政人员也应当履行其基本的义务,否则将会被追责。

4 结语

《一般数据保护条例》的规制内容涵盖了几乎任何关于个人数据处理的环节或过程,而第 2018/1725 号条例则以欧盟机构等对个人数据的处理规则提出了原则性保护,该个人数据的处理方式的单独提出旨在与《一般数据保护条例》一起,为了个人数据保护以及自由流动,尽可能使欧盟机构、机关、办事处和具有成员

国公共部门数据保护规则的机构等,采取连贯一致的规制方法实现对个人数据的保护。在个人数据可能的跨境流动环节中,依该条例的规定,如个人数据向我国进行传递,则我国将履行的义务较于《一般数据保护条例》更为严苛。作为数据接收国的第三方国家,对于数据转移后的存储、处理等安全问题以及相关行为的记录等均需要放置更多的注意力。就我国数据保护形势分析,该条例的发布也为我国数据保护问题提出了新的关注点,且就其部分内容我国可适当予以借鉴。我国个人数据保护立法框架尚未构建,有诸多方面的问题需要深入思考和探究。行政机构对个人数据的保护在我国目前并未引起足够的重视,反之我国数据治理的重点则集中于作为数据控制者的企业对个人数据安全问题的保护。因此,对我国数据立法而言,行政机关处理数据的问题值得被重点关注。

作者

吴沈括,北京师范大学刑事法律科学研究院暨法学院副教授,研究方向为网络安全法。

霍文新,北京师范大学刑事法律科学研究院硕士研究生,研究方向为网络安全法。

(本文选自《信息安全与通信保密》2019年第四期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。