劉玉琢

摘 要：2018年5月，號稱史上最嚴的數(shù)據(jù)保護條例——《一般數(shù)據(jù)保護條例》（GDPR）正式生效，歐盟個人信息保護進入新的歷史階段。歐盟對個人信息保護問題的研究起步較早，積累了豐富的經(jīng)驗。論文通過梳理歐洲個人信息保護的現(xiàn)狀，分析了歐盟保護個人信息的主要做法和經(jīng)驗，并對我國加強我國個人信息保護建設提出了建議。

關鍵詞：GDPR；個人信息保護；信息安全

中圖分類號：TP309.2， F830 文獻標識碼：B

Abstract： In May 2018， the most stringent data protection regulations in history -（GDPR） came into effect. Personal information protection in EU entered a new historical stage. The EU's exploration on personal information protection of started early and accumulated much experience. This paper combs the present situation of personal information protection in EU， analyzes the main operations in personal information protecting， and summarizes the experience. Based on that， this paper puts forward suggestions for strengthening China's personal information protection.

Key words： GDPR； personal information security； information security

1 引言

隨著信息化建設的推進和互聯(lián)網(wǎng)的普及，人們對信息的依賴程度越來越高，電子政務、電子商務、網(wǎng)上金融等各式各樣的互聯(lián)網(wǎng)應用，為人民生活提供高效和便利的同時，也為公民個人信息保護帶來了極大挑戰(zhàn)。當前，無論是政府部門還是商業(yè)企業(yè)，都在利用各自渠道大規(guī)模收集和處理用戶個人信息，造成因個人信息濫用而導致個人信息泄露的事件頻頻發(fā)生。由此引發(fā)的社會問題越來越多，引起了國家和社會的極大關注。如何規(guī)范信息采集者、處理者、使用者的責任和義務，切實做到保護公民對個人信息的合法權益，成為政府和社會需要思考的一個嚴肅問題。

歐洲對個人信息保護問題的探索起步較早，可以追溯到1950年頒布的《歐洲人權公約》。從1981年《關于自動化處理的個人信息保護公約》（以下簡稱《個人信息保護公約》），到1995年《關于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢罚ㄒ韵潞喎Q《數(shù)據(jù)保護指令》），再到2016年《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR），歐盟在個人信息保護方面一直處于世界領先地位?！兑话銛?shù)據(jù)保護條例》作為歐盟個人信息保護里程碑式法律，為世界各國提供了個人信息保護的樣板和思路，對我國貫徹落實《網(wǎng)絡安全法》，提高個人信息保護水平，具有重要的借鑒意義。

2 歐洲個人信息保護的現(xiàn)狀

2.1 頂層設計基本完成

歐洲的個人信息保護意識啟蒙較早，并在一開始就致力于建立整個歐洲統(tǒng)一的個人信息保護體系。20世紀70年代，歐洲理事會已經(jīng)意識到：有必要對可預期的個人信息收集和處理活動進行提前規(guī)制，從而保護公民的個人生活，并通過一系列決議，旨在建立歐洲個人信息保護的基本原則和標準化指南，并在各成員國內(nèi)推動個人信息保護。1981年1月28日，歐共體成員國在法國斯特拉斯堡市簽訂了《個人信息保護公約》，嘗試在歐洲建立統(tǒng)一的個人信息保護法律制度。之后，歐洲委員會在1990年向歐洲理事會提交了一份《關于保護共同體個人信息及信息安全的指令草案》，該草案正式開始了歐洲信息保護法律制度一體化的進程。

由于《個人信息保護指令》其僅僅適用于歐盟成員國，不能直接適用于歐盟的公民，因此，歐洲議會和歐洲理事會于2001年頒布了《關于歐盟公共機構及其組成部門處理個人信息過程中保護個人信息權利及相關信息自由傳輸條例》，進一步推動歐洲個人信息保護一體化，個人信息保護法更是被寫入歐洲的大數(shù)據(jù)時代和《歐洲2020戰(zhàn)略》。2010年，歐洲委員會向歐洲議會和歐洲理事會提交的《為歐洲公民傳遞自由、安全和公正：實施斯德哥爾摩行動計劃》明確提出，要制定一個綜合性的歐洲個人信息保護計劃，確保歐盟范圍內(nèi)個人信息保護的協(xié)調(diào)一致。

2.2 法律體系比較健全

歐盟十分重視個人信息保護的立法工作，目前已經(jīng)形成了較為健全的法律體系。歐盟對個人數(shù)據(jù)保護立法工作可以追溯到20世紀90年代。1995年，歐盟通過了《數(shù)據(jù)保護指令》，該指令為歐盟成員國立法保護個人數(shù)據(jù)設立了最低標準。在該指令規(guī)定的領域，歐盟也制定了一些細化的法規(guī)來促進指令的落地。例如，2002年頒布的《關于在電子通訊行業(yè)處理個人信息和保護個人隱私的指令》，確定了互聯(lián)網(wǎng)環(huán)境下個人信息保護的基本原則；2006年頒布的《關于在電子通訊服務、大眾傳媒網(wǎng)絡行業(yè)產(chǎn)生的個人信息存儲和公共機構調(diào)取指令》，以及2008年頒布的《關于在犯罪問題方面的個人信息保護和司法合作的政策框架》。

隨著信息技術和互聯(lián)網(wǎng)的發(fā)展，為應對網(wǎng)絡環(huán)境下的個人信息保護，歐盟對原有法律進行了豐富和完善。2012年，歐洲委員會正式發(fā)布《關于個人信息處理保護及個人信息自由傳輸?shù)臈l例》（草案）和《關于有權機關為了預防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》（草案），并于2016年4月8日和14日，歐洲理事會和歐洲議會分別表決通過了《關于個人信息處理保護及個人信息自由傳輸?shù)臈l例》（即《一般數(shù)據(jù)保護條例》）《關于有權機關為了預防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，條例于2018年5月25日正式實施。

2.3 行政管理體系完善

經(jīng)過多年發(fā)展，歐洲建立了一套完善的數(shù)據(jù)保護行政管理體系。在管理機構方面，多數(shù)國家設有個人信息安全保護專門行政機關。例如，英國內(nèi)閣府設有英國信息委員會辦公室（ICO）、法國總統(tǒng)府設有國家信息和自由委員會（CNIL）、德國總理府設有聯(lián)邦數(shù)據(jù)保護委員會（FCDP），這些機構主要負責本國網(wǎng)絡個人信息安全保護工作；在未設有專門行政機構的國家，大多通過立法形式授權其他行政機關代行保護職責。在行政監(jiān)管方面，通過政府主導對個人信息保護狀況實行強力監(jiān)管，例如英、法、德等國家普遍采取注冊登記制、審核批準制等多種措施，對于個人信息處理活動實行行政審查和管理。

除此之外，行政評估、行政投訴、行政執(zhí)法、行政救濟、行政處罰等一攬子行政保護措施，對個人信息提供全方位的安全保護。例如，英國規(guī)定英國信息委員會辦公室（ICO）有權采取合理性評估、合法性評估等多種行政評估措施，對網(wǎng)絡個人信息處理活動進行事前評析和研判；歐盟相關指令規(guī)定，歐盟數(shù)據(jù)保護機構有權向網(wǎng)絡個人信息處理人發(fā)出違法通知、陳述通知、強制調(diào)查令、警告令、禁止令、強制執(zhí)行令等多種行政命令，有效貫徹執(zhí)行網(wǎng)絡個人信息安全保護相關法律要求。

2.4 開展多種保護工作

為了保護個人數(shù)據(jù)和網(wǎng)絡隱私，歐盟開展了多種數(shù)據(jù)檢查和保護行動。2015年9月15-19日，歐盟數(shù)據(jù)保護機構開展發(fā)起了“歐盟Cookie行動”，對多家網(wǎng)站以及移動應用進行了審查，確?！稓W洲Cookie指令》的落實。結果顯示，英國前50家網(wǎng)站中，只有12%的網(wǎng)站遵循了歐盟Cookie指令，而在法國和德國幾乎沒有網(wǎng)站采用歐盟的這一指導規(guī)范。

除了針對規(guī)章、法令的檢查外，針對企業(yè)存在的數(shù)據(jù)安全事件，歐洲也開展了針對各企業(yè)的調(diào)查活動。2012年10月，歐洲委員會工作小組稱，Google公司的隱私政策不符合委員會數(shù)據(jù)保護的標準，要求谷歌對其隱私政策進行調(diào)整，并給了4個月的限期使其政策符合歐洲法律。2018年3月，F(xiàn)acebook被曝光向“劍橋分析”公司泄露5000萬用戶個人信息，歐洲議會宣布將對此事件展開調(diào)查，以確定是否存在數(shù)據(jù)遭到濫用的情況。

3 《一般數(shù)據(jù)保護條例》的主要措施

3.1 創(chuàng)新個人信息行政管理機制

《一般數(shù)據(jù)保護條例》從管理機構、管理模式和管理方法三個層面，對個人信息保護的行政管理機制進行了創(chuàng)新。

一是成立歐洲信息保護委員會。根據(jù)《一般數(shù)據(jù)保護條例》第68條規(guī)定，“特別設立歐洲信息保護委員會，其成員由各成員國個人信息保護行政機構首腦或者其代表和歐洲信息保護監(jiān)督局首腦或其代表組成，委員會的秘書處由歐洲信息保護局擔任”。該委員會的設立，將會極大提升歐洲信息保護局的權利，確保條例在各成員國統(tǒng)一適用。

二是建立一站式服務管理模式。《一般數(shù)據(jù)保護條例》提出，“構建一個包含領導機構和相關機構共同協(xié)作的詳細的一站式管理規(guī)則”，并且指明了領導機構和相關機構，要求“領導機構和相關機構保持密切合作和信息共享”。

三是實施風險等級差異化管理?！兑话銛?shù)據(jù)保護條例》實行了風險等級差異化管理方法，對個人信息處理活動的風險劃分為“較高風險”“一般風險”和“較低風險”三類，要求信息控制著開展“較高風險”活動前需做影響評估，并向信息保護局咨詢。

3.2 明確個人對其信息的控制權

《一般數(shù)據(jù)保護條例》在現(xiàn)有個人信息保護法律、法規(guī)等規(guī)范性文件的基礎上，總結實踐經(jīng)驗，用于創(chuàng)新，進一步明確了個人對其信息的控制權內(nèi)容。

一是完善了個人信息的范圍?！兑话銛?shù)據(jù)保護條例》規(guī)定，“個人信息是指任何確定或可辨別自然人（信息主體）的信息”，因此任何信息只要能夠?qū)觥碧囟ㄗ匀蝗恕?，即是條例保護的對象。

二是要求收集和處理個人信息必須獲得本人明確同意。《一般數(shù)據(jù)保護條例》要求，“個人信息使用的條款應具有容易識別、通俗易懂的特點，不得與其他條款進行捆綁，不能將‘沉默‘不作為等默示方式等同為‘同意”，有效解決了當前存在的“捆綁條款”“默認同意”等問題。

三是個人有權隨時要求擦除其個人信息?！兑话銛?shù)據(jù)保護條例》首次將信息的擦除權作為一項獨立權利進行規(guī)定，加強了個人信息保護的力度和廣度。

四是確保個人查詢信息的便捷性?！兑话銛?shù)據(jù)保護條例》要求，“信息主體在向控制著行使查詢權利時，控制者應免費提供服務；只有當查詢要求是重復的、顯然不存在的、過分的或者要求復印時，方可索取一定費用”。

3.3 界定個人信息相關單位責任

《一般數(shù)據(jù)保護條例》重新對信息控制者、處理者進行了責任和義務的界定。

一是將信息控制者和處理者同等對待。區(qū)別于先前認為信息處理者是信息控制者的外包服務人者，條例將“信息處理者增設為直接、獨立的義務主體”，同時增設了“信息處理者的獨立義務”。

二是設立信息保護官制度。條例規(guī)定，“信息控制者、處理者在三種情況下必須設立一名信息保護官”，通過分析可知，按照條例規(guī)定，除法院外的所有公共機構均有義務設置專門的信息保護官，大大提高了個人信息保護的力度。

三是加強信息安全保護工作。條例規(guī)定，“鼓勵信息控制者采取加密或變形措施處理，增強信息保護級別”，此外還需要對每一次信息處理活動進行記錄，各項保護采取的措施也要公開透明。

四是信息泄漏時需履行報告和通知義務。條例規(guī)定，“信息泄露后，信息控制者應在72小時內(nèi)向信息保護局報告情況，沒有造成損害除外”，同時在特殊情況下，控制者還需將信息泄露情況及時通知給每一位信息主體。

3.4 完善特殊情況信息保護規(guī)則

《一般數(shù)據(jù)保護條例》除了對個人信息保護做了大量詳細的規(guī)定外，對信息跨境流動、信息犯罪等特殊情況，也做出了細致的要求。一是要增強信息跨境流動的監(jiān)管。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的快速發(fā)展，使得信息在全球范圍內(nèi)的流動越來越頻繁，因此《一般數(shù)據(jù)保護條例》對歐盟內(nèi)個人信息的外向流動進行了嚴格規(guī)定。條例要求，“除非滿足一定條件可以證明個人信息能在歐盟境外的某一地區(qū)得到充分保護，否則禁止控制者、處理者將歐盟內(nèi)的個人信息轉移至境外地區(qū)”，條例還對條款中涉及的“境外信息保護水平”的評判標準進行了詳細描述，極為嚴格。

二是完善了刑事犯罪領域的個人信息利用和保護規(guī)則。為了預防和打擊犯罪，配合《一般數(shù)據(jù)保護條例》的實施，歐盟同時頒布了《關于有權機關為了預防、發(fā)現(xiàn)、調(diào)查和起訴刑事犯罪而自由傳輸個人信息及保護個人信息的指令》，主要用于保障刑事犯罪領域收集到的個人信息不能被濫用，尤其是保障刑事犯罪人、嫌疑人以及相關被調(diào)查人的信息權益。

4 對推動我國個人信息保護的啟示

4.1 完善頂層設計

一是由網(wǎng)信部門牽頭，聯(lián)合公安、工信、安全等部門，聯(lián)合制定全國個人信息保護規(guī)劃，編制全國推進個人信息安全工作計劃，制定個人信息保護的基本原則和相關政策。

二是加強個人信息保護機制和問責機制，制定或修訂相關的政策和法律法規(guī)，通過建立清晰的個人隱私保護規(guī)則和指南，設立問責機制和補救程序，防止個人信息濫用。

三是研究制定個人信息處理活動評估模型，建立綜合的個人信息處理標準，確保技術和政策標準的一致性和互操作性，以適應不斷升級的安全威脅和不斷創(chuàng)新變化的市場需求。

四是要加強政府各部門之間的溝通和協(xié)調(diào)，整合個人信息安全工作資源，統(tǒng)籌管理、組織、指導個人信息保護工作。

4.2 加快立法工作

一是要加快推出個人信息保護，積極探索適應新時代、互聯(lián)網(wǎng)環(huán)境的個人信息保護法律、法規(guī)，完善個人信息保護法制環(huán)境。

二是對已有的法律、法規(guī)進行修訂、完善。例如，個人信息保護相關的條款在《刑法》《刑事訴訟法》《民事訴訟法》《合同法》《居民身份證法》等法律法規(guī)中有涉及，可以通過修訂、完善相關條款，明確個人信息在社會生活中的重要地位。

三是針對各行業(yè)、各領域個人信息保護進行專門法規(guī)補充，結合行業(yè)特性、數(shù)據(jù)特點、數(shù)據(jù)顆粒度等因素，制定具有落地性的專項法規(guī)，并定期對法規(guī)執(zhí)行情況進行檢查，確保各項法規(guī)得到貫徹落實。

4.3 構建標準體系

一是要加快個人信息保護標準化建設，完善互聯(lián)網(wǎng)環(huán)境下的信息收集、處理、存儲、共享和管理等各方面的個人信息保護標準，建立覆蓋信息生命全周期的標準體系。

二是要對現(xiàn)有各領域數(shù)據(jù)保護的相關標準進行完善，使其能過適應各領域新技術的發(fā)展趨勢，應用新技術對個人信息保護帶來的挑戰(zhàn)，提高標準的可用性和保障作用。

三是加快對個人信息保護評價標準的建立，使信息收集者和處理者能夠按照標準，做好數(shù)據(jù)安全防護工作，提高應對黑客攻擊能力，保障個人信息數(shù)據(jù)安全。

4.4 健全管理體制

一是要設立專門的個人信息保護機構，從事個人信息保護的日常監(jiān)督、管理、執(zhí)法、評估等工作，定期對我國個人信息保護狀況進行匯總并向公眾通告，提高公眾個人信息保護意識。

二是要建立靈活彈性、應對迅速的個人信息保護協(xié)調(diào)機制，應對突發(fā)的個人信息泄露、販賣等重大個人信息安全事件，根據(jù)個人信息應急事件的規(guī)范化處理流程，做到快速響應和處置。

三是要加強各地方、各區(qū)域的區(qū)域化自治，按照“統(tǒng)一領導、分級負責、分域管轄”的原則，各地方做好本區(qū)域內(nèi)的個人信息保護工作，基層居委會、街道等機構加強對個人信息保護工作的宣傳教育，提高全民的個人信息保護意識。

4.5 加強合作交流

一是組織國際、國內(nèi)研討會，就管理、標準、法規(guī)、實踐等現(xiàn)場交流學習，認真總結國內(nèi)外成熟經(jīng)驗，并向全國推廣經(jīng)驗總結，支持、指導、鼓勵各地、各行業(yè)在本地、本行業(yè)內(nèi)建立相應的工作機構，推進個人信息安全工作。

二是積極參與國際執(zhí)法協(xié)作，在國際合作中，推動國際通用框架的構建，積極參與國際執(zhí)法協(xié)作和框架協(xié)議規(guī)范數(shù)據(jù)跨境流通。

三是定期組織國內(nèi)個人信息保護、大數(shù)據(jù)、云計算、信息安全等各領域的專家，對個人信息保護問題進行研討，推動信息安全理論、技術應用于個人信息保護。

參考文獻

[1] 丁曉東.什么是數(shù)據(jù)權利？——從歐洲《一般數(shù)據(jù)保護條例》看數(shù)據(jù)隱私的保護[J].華東政法大學學報，2018（4）.

[2] 韓秋明.基于信息生態(tài)理論的個人數(shù)據(jù)保護策略研究——由英國下議院《網(wǎng)絡安全：個人在線數(shù)據(jù)保護》報告說開去[J].圖書情報知識，2017（2）：94-104.

[3] 彭星.歐盟《一般數(shù)據(jù)保護條例》淺析及對大數(shù)據(jù)時代下我國征信監(jiān)管的啟示[J].武漢金融，2016（9）：42-45.

[4] 張建文，張哲.個人信息保護法域外效力研究——以歐盟《一般數(shù)據(jù)保護條例》為視角[J].重慶郵電大學學報（社會科學版），2017，29（2）：36-43.

[5] 王達，伍旭川.歐盟《一般數(shù)據(jù)保護條例》的主要內(nèi)容及對我國的啟示[J].金融與經(jīng)濟，2018（4）.

[6] 吳沈括.歐盟《一般數(shù)據(jù)保護條例》（GDPR）與中國應對[J].信息安全與通信保密，2018（6）.

[7] 王四新.《歐盟數(shù)據(jù)保護一般規(guī)則》簡評[J].中國信息安全，2016（3）：74-78.

[8] 王灝晨.歐盟《通用數(shù)據(jù)保護條例》對人工智能發(fā)展的影響及啟示[J].中國經(jīng)貿(mào)導刊（理論版），2018（17）.

[9] 劉權.最嚴數(shù)據(jù)法律將如何影響數(shù)字經(jīng)濟企業(yè)[J].中國工程咨詢，2018（7）.