最优秀的中国互联网法律律师事务所之一

新的《通用数据保护条例》:是否依然是保护个人的完善制度?(上)

保罗•德•赫特教授  瓦基里斯•帕帕康斯坦迪诺博士 2018-01-28 17:01
作者:保罗•德•赫特     比利时布鲁塞尔自由大学、荷兰蒂尔堡大学 
作者:瓦基里斯•帕帕康斯坦迪诺     比利时布鲁塞尔自由大学
1. 欧盟数据保护改革:一场基于过时理念的彻底改革?
经过五年持续的立法努力,欧盟数据保护改革方案终告完成。正如立法进程一开始就计划的那样:一部条例,即《通用数据保护条例》(“条例”)将会取代《1995欧盟数据保护指令》(Directive 95/46);此外,一个指令(《警察和刑事司法数据保护指令》)将会取代《2008数据保护框架决定》(理事会框架决定2008/977/JHA)。本文对“条例”展开集中研究,它包含了90多个条款,目标是通过其直接适用的效力对于由数据控制者处理的任何个人数据进行规制,这与指令的生效方式不同。“条例”将在2018年5月生效。新“条例”规制的数据范围仅仅排除了基于国家安全目的、由秘密机构处理的数据,以及欧盟执法机构处理的数据,因其规制对象的广泛性,这次改革将对欧盟境内每个个人都产生实际的影响。
本文应被视为是六年前在同一刊物发表的题为《拟订中的取代95/46/EC指令的数据保护条例:保护个人的完善制度》一文的延续。本文将对于当时讨论的条例草案与2016年4月正式发布的最终条文之间就一些关键问题作出比较。在此过程中,将重点关注欧盟立法过程“三部曲”中出现的三个版本,即欧盟委员会(以下简称“欧委会”)、欧洲议会(以下简称“议会”)以及欧洲理事会(以下简称“理事会”)三个阶段分别提出的版本。
2. 立法过程:历史概要
针对修改《1995欧盟数据保护指令》的立法进程始于2009年,当时欧委会公开进行了一次相关的公众咨询。此后,欧委会于2010年发布了相关的通告。所有主要的参与方(理事会、议会、欧盟数据保护监督员(EDPS)、第29条工作组)都在该进程中公开表达各自观点。在2012年,欧委会分别发布了其起草的条例和指令草案,立法进程的第一阶段宣告结束。接下来,工作移交到理事会与议会,它们相继对欧委会的上述两份草案进行了修订。议会于2013上半年就迅速发布了其对于欧委会文本的观点,而理事会则动作要迟缓得多。直到2015年6月,理事会才形成了其最终立场。一旦“三部曲”顺利完成,整个进程的加速即超过了预期,欧委会于2015年12月16日宣布整个立法过程最终完成。最终的文件略晚方才公布,在经过必要的文字处理之后,于2016年4月在官方公报上公布。
3.立法形式的选择:史无前例的选择(亦是欧委会的重要胜利)
确定以条例这一形式来规制欧盟数据保护,是一个非常关键的选择。用一部在所有欧盟成员国范围内直接生效的法律文件来替代指令,这种做法可以消除成员国之间多年以来出现的分歧,有助于形成成员国之间协调统一的数据保护模式。之所以说这种选择比较激进,也是因为迄今为止条例仅用来规制十分有限的领域,比如竞争法或者欧盟商标。在所有其他广泛的领域,与数据保护领域曾经的情况一样,都是选择指令作为适当的管制途径。这种激进的转变标志着一个重要的变化:数据保护不再被认为是一个地方性的现象,不应该由各成员国根据欧盟指令来制定各自地方性的立法来进行规制,而是成为了欧盟层面的事项,应当由欧盟以统一的方式来直接规定。
对条例作为立法形式的选择应当归功于欧委会,在面临众多反对条例甚至对条例抱有敌意的意见之时,欧委会坚持己见并最终获得支持。条例将于2018年5月生效。在此之前,无论在欧盟还是各国国家层面,都有大量准备工作需要完成。欧委会承诺将会建立“欧盟层面强大、清晰与统一的立法框架”,而且还将“移除28个成员国之间法律体系的不协调之处,消除市场进入壁垒”,以及其他事项。这项复杂的任务将如何付诸实施,人们正拭目以待。
4.个人数据与敏感个人数据(条例第4条与第9条)
个人数据包含的具体范围对于数据保护来说是至关重要的问题。在1995指令中规定的个人数据定义,即“个人数据应当指任何与已识别或可识别的自然人相关的信息”(第2条),在条例中第4条第(1)项亦继续保留。但是,“可识别的自然人”这一用语的确切含义引发了长期的论辩。条例最后保留了欧委会最初草案中提出的定义,所涉三个立法机构都认为这是一个完备的定义。
但是,新条例与欧委会最初草案的不同之处在于,它增加了一个新的概念“假名化”。这个概念先是由欧洲议会增加的,后来得到了理事会的支持。究其本质,“假名化指的是对个人数据进行处理,使其在不使用额外信息的情况下无法被指向一个具体的个人数据主体,而此种额外信息应当与个人数据分开存储,并采取技术与管理措施,以确保假名化处理后的数据不会指向已识别或可识别的人。”(第4条第(5)项)至于此类数据是否构成个人数据的一种具体类型,在条例序言第26节中有明确表述:经过假名化处理的个人数据,即通过使用额外信息就能够指向自然人的数据,应当被认为是属于可识别自然人的个人信息。在关于个人数据定义的最终文本中,理事会还增加了对已经离世的个人的数据的规定。
关于敏感数据,条例同样保留了1995指令的保护方式。因此,个人数据分类的依据是根据其本质,即它们披露的内容而非它们的潜在用途。这种保护方式造成的问题也将在条例适用之后继续出现,例如一般的数据(比如姓)有可能会披露出敏感信息(比如宗教信仰)。
条例的第9条第1款一般性地禁止了对于敏感数据的处理,同时在第2款列出了例外情形。除了基因数据、生物特征数据和性取向数据之外(前面两种数据是科技发展的结果),所有其他类别的数据与指令中相关条款保持一致。并且,条例第9条第2款中的例外情形列表也与指令中的列表十分接近。
5. 个人数据处理相关角色(条例第4条):条例文本中不合时宜的内容
在个人数据处理相关角色的规定上,条例并没有改变1995指令的内容,由数据主体、控制者、处理者、接收者与第三方组成的这一广为人知的体系或多或少在条例文本中保留了下来(规定于第4条)。显然,在数据处理体系方面,条例似乎坚持了一套40多年前就已经采用的体系(需要指出的是,1995指令所采纳的体系实际上在20世纪70年代发布的第一批数据保护法案里就已经存在了)。40多年前,立法者在寻找合适的法律术语时,决定应当将被赋予数据保护权利的个人称为“数据主体”。这一命名尽管其合理性并未得到充分证实,但从那时起就流传下来,而且在很长一段时间内还会继续被使用。
在与数据主体相对的另一端,存在着进行数据处理的其他相关角色:控制者、处理者、接收者和第三方。尽管条例保留了这样的体系,但是被质疑并没有回应当前的数据处理实践。条例对“控制者”的规定是,因其决定了数据处理的“目的和方式”,因此应当当然承担责任,但是,控制者和其他各类相关角色的基本区别并不总是泾渭分明、容易划分。例如,在新的数据处理过程中,很可能没有一个单个的角色应当被确定为控制者,而参与到数据处理中的处理者也应当被赋予至少同等重要的地位。条例在个人数据处理的角色分配中新增加了“联合控制者”的概念(第26条),尽管这个新增的内容十分重要,但是依然不够清晰。真正的问题在于,在大数据和物联网领域,并不存在一个单独的数据处理进程。无处不在的计算意味着个人数据处理亦是无处不在。设想存在着一个单独的数据控制者,它应当根据数据保护法承担所有责任,而同一个数据处理过程中的所有其他参与角色应当承担较轻的责任、甚至完全不承担责任,这整个理念已经完全过时,对于技术和生活方式的发展趋势缺乏基本的理解。
6.重塑指令的原则:对基本保留的处理体系进行重要补充(条例第5条与第6条)
1995指令第6条和第7条的重要性是毋庸置疑的。其中第6条规定了个人数据合法处理的基本原则,第7条则规定了数据处理合法化的标准。但是这两个条款之间的相互关系却并不清楚,换言之,数据控制者如果要合法开展其数据处理活动,需要同时符合两个条文的要求。
对这个问题,新的条例也没有加以澄清。条例针对指令规定的列表增加了两个原则,即透明性原则(第5条第1款a项)与权责一致原则(accountability)(第5条第2款)。这两个原则的措辞是理事会和议会决定的,它们在欧委会最初草案的基础上补充了这两个原则。因此,最终的列表包括了七项个人数据处理原则(合法性、公平性、透明性、目的限制、数据最小化、精确性、存储限制、完整性、保密性以及权责一致原则)。从实质性内容的角度,涉及到的修改主要是加强了以研究目的进行个人数据处理行为的特殊地位(第5条第1款b和e项),这是由理事会增加的内容。
总结起来,可以认为条例第5条规定的欧盟数据保护的基本原则在本质上并没有进行修改,只不过使用了更加强化的用词。新条例第6条第1款也几乎保持原样。数据处理行为的合法性基础依然总共包含六种情况:同意、合同履行、履行法定义务、保护重要利益、公共利益以及控制者的优先利益。条文进行了一些不太重要的修改,比如,其中特别提到了儿童作为数据主体的特殊性(第6条第1款(f)项),“个人”的概念被“任何自然人”所取代,但是除此之外新条例基本是照抄了1995指令的相关条文。但是,第6条新增了一款(第2款)以确保成员国对于根据该条第1款(c)项和(e)项而展开的数据处理行为具有实质性的立法自决权。与此同时,接下来的第3款又规定,对于这两款来说(即第1款(c)项和(e)项),“数据处理的依据……必须规定于(a)欧盟法或者(b)成员国立法之中”。因此可以认为,实际上新增的第2款本质上只是重复了第3款的内容,所以为何要新增这一款,至少是令人费解的。第6条的其他条款,特别是第4款,规定了数据的后续处理行为。后续处理指的是其目的未经数据主体同意、亦非欧盟法或者成员国立法所允许的处理行为。在此情况下,控制者有责任确认这种新的后续处理的目的是否与最初收集数据的目的相兼容,因此可以被允许。关于第5条和第6条的关系,条例并没有明确说明。因此,对于任何个人数据的合法处理,都需要同时满足基本原则和具体法律依据两方面的要求。 
7.个人同意:欧委会“明示”同意的要求没有被采纳(条例第7条)
个人同意对于个人数据处理行为的开展来说无疑是最为重要的法律依据。条例第6条规定的所有其他合法性依据虽然都不需要获得个人同意,但都针对的是需要个案分析的具体情形。对于数据控制者来说,第6条规定的这些其他法律依据适用情形非常有限,因为他们的日常的数据处理行为可能很难落入重要利益、公共利益或者控制者优先利益这些类别之中。
多年以来,针对个人同意的获取和成立问题产生了激烈的争论。在大数据和物联网时代,要求针对每一次数据处理过程去获取每一个数据主体的同意,无疑是一种荒谬的设想。另一方面,如果要在无所不知的数据处理中保护个人,又有必要采用严格的同意要件。在此背景下,考虑到通知在新条例当中并非必不可少的前提,个人要想了解控制者正在处理其数据的唯一切实可行的途径,就是通过控制者征求个人同意的过程来实现。基于上述理由,欧委会决定在其草案中采用“明示同意”的概念。但是,在议会和理事会介入之后,条例中没有采纳这一概念。
条例中的个人同意是指“数据主体通过书面声明或经由一个明确的肯定性动作,表示同意对其个人数据进行处理。该意愿表达应是自由给出的(freely given)、特定具体的(specific)、知情的(informed)、清晰明确的(unambiguous)。”序言第32节对于如何确定“明确的肯定性动作”提供了重要的指引。序言具体表述如下:“应当通过明确的肯定行为来体现数据主体对于处理与其有关的个人数据行为,自愿表达了特定具体的、知情的及清晰明确的同意,例如通过书面声明(包括电子形式)或者口头声明的方式。也可以包括浏览网页时勾选对话框、选择信息服务的技术设置,或者能够在特定情境下明确表明数据主体接受处理其个人数据的其他声明或行为。因此,沉默、默认勾选的对话框或者不作为都不能构成同意。”
条例第7条规定了同意的条件。具体而言,该条规定控制者有责任证明数据主体已经同意处理他或她的个人数据。该条第2款规定了取得同意的书面声明中还包含其他事项的情况。在这种情况下,“同意应以与其他事项显著区别且易于理解和访问的形式呈现,并使用清晰和通俗的语言”。最后,第7条规定了数据主体撤回他/她的同意的权利,还规定了控制者履行合同时,需要用户同意控制者对履行合同所必须的数据之外的数据处理要求的情况。 
尽管条例最终没有“勇敢”地采纳欧委会要求获取明示同意的最初方案,但是它使用了一整个条文来规定同意成立的具体条件。如果这些条件被严格适用于每一个数据处理过程,数据主体依然可以获得对其个人数据更高的保护水平。

(未完待续)