最优秀的中国互联网法律律师事务所之一

新的《通用数据保护条例》:是否依然是保护个人的完善制度? (下)

保罗•德•赫特教授  瓦基里斯•帕帕康斯坦迪诺博士 2018-01-05 10:26
作者:保罗•德•赫特     比利时布鲁塞尔自由大学、荷兰蒂尔堡大学 
作者:瓦基里斯•帕帕康斯坦迪诺     比利时布鲁塞尔自由大学
8.更新指令中个人权利列表(条例第12-21条);遵循欧洲法院谷歌西班牙判决而确立的被遗忘权(条例第17条),用户画像以及其他修改
1995指令,通过第10条到第15条授予了个人具体权利以方便其行使数据保护的权利。具体而言,指令的规定包括知情权(第10-11条)、访问权(第12条)、更正权(规定在12条的b项)以及反对权(第14条)。第13条规定个人权利的例外与限制,最后第15条规定了保护个人免受自动化决定影响的权利。
条例实质上沿用了指令的结构,但是强化了权利列表,并且规定了有关权利行使方式的更多具体细节。具体而言,所有个人权利都列在条例第三章(第13-21条),而本章开头的第12条规定了数据主体权利行使的具体方式。据此,知情权依然是在两个条款中进行了规定(第13与14条),其概念依然沿用了1995指令的概念。值得指出的是,第14条第5款规定的例外是指向尽管信息并非获取自个人数据主体,数据控制者亦可豁免其信息披露责任的情形。条例第15条规定了查阅权。更正权在该条第1款(e)项出现,但是又单独在第16条进行了规定。条例第17条被命名为“删除权”或者“被遗忘权”,赋予个人要求数据控制者删除其个人信息的权利,前提是要符合该条第1款中列举的具体情形(从(a)项到(f)项)。第17条第2款规定如果数据控制者已将数据公开,则必须承担删除该数据的责任,而该条第3款则规定了“被遗忘权”的例外情形。
值得注意的是,条例最终版本在被遗忘权的问题上采纳了远比欧委会最初草案要温和得多的表述。同样值得一提的是,欧洲法院在其谷歌西班牙这一里程碑式判决中指出,被遗忘权实际上是根据1995指令的条款推导出的权利,因此并不是一个全新创设的权利。
第18条创设了数据保护权利行使中的一个新概念,即限制处理的权利。数据主体有权限制数据控制者处理其个人数据的行为,亦即处理行为只能在限定的条件下进行。条例第21条规定了个人反对数据控制者处理其个人数据的权利。据此,“除非控制者能够证明数据处理具有令人信服的合法理由,从而可以优先于数据主体的利益、权利和自由,或者是为了法律诉求的成立、行使或者抗辩,否则不能继续处理个人数据。” 此外,第21条明确规定了为直销目的(第3款)而进行的个人数据处理行为,而第4款规定了数据主体应当在何时被告知他/她拥有反对权(不晚于第一次沟通)。最后,条例中一个重要的新增内容是用户画像(profiling)(第22条)。欧委会最初的用语与1995指令中一般性的自动化个人决定的规定方式(指令第15条)保持一致,这也在条例最终版本中或多或少得到了认可。目前来看,新规定的确允许特定情况下的用户画像行为,甚至不完全排除画像是基于敏感信息而做出的情况,但是这种允许不能一概而论,其前提是必须采取了保护个人的具体措施。
9.数据可携带权(条例第20条)与互联网社交网络市场
数据可携带权规定于条例第20条。这个新设的数据可携带权的真实含义是,个人可以自由地在数据控制者之间转移他们的个人数据。具体来说,条例规定“数据主体应当有权以结构化、通用和机器可读的格式接收他或她向控制者提供的个人资料,并有权将这些资料传送给另一个控制者,前一控制者无权加以阻挠。” 该项权利行使的必要条件是数据处理是以同意为基础,且通过自动化手段进行。
10.数据保护机构(条例第51条):追求跨境统一性
条例强调需要加强数据保护机构之间的合作。实践中,条例作为具有直接效应的法律文件,要求在欧盟范围内进行统一适用。但是如果各国数据保护机构不以协调一致的方式来适用新的条文,那么统一适用将成为不可能完成的任务。各国数据保护机构和条例需要面对的另外一个问题,是个人数据处理越来越呈现跨境的特点。最后,条例制订的新条文需要彻底而完善,因为这些规定的目的是要取代那些本来用于处理上述功能性问题的数据保护国内立法。有鉴于此,条例关于数据保护机构的条文结构为:第51-54条规定了其独立地位与其他制度保障,第55-59条规定了其职权、任务和权力,第60-67规定了经过多次讨论的合作一致性机制。关于跨境数据处理,条例在其第56条引入了“牵头监管机构”的概念。欧洲数据保护委员会为条例的一致性机制提供了基础(第63-65条)。
11.申报义务被记录保存原则取代(条例第30条)
在新条例下,控制者将所有数据处理行为向主管数据保护机构进行申报的义务被保存其数据处理活动记录的义务所取代(条例第30条)。根据1995指令,控制者如要证明处理行为的合法性,仅需向主管数据保护机构进行申报,现在则有所不同,如果被主管机关要求提供证明,他们需要证明自己采取了适当的保护措施才可以确保处理行为的合法性。
12. “软法”的角色:数据保护影响评估、行为准则与认证(条例第35、40与42条)
条例在“软法”层面进行了很多创新。其中包括行为准则、数据保护影响评估,以及认证。由于取消了申报制度,条例要求控制者主动采取措施保障其个人数据处理过程。如果控制者根据自己的判断和评估,认为“一种数据处理方式可能会对自然人的权利和自由带来高度风险”,此时就必须进行数据保护影响评估(第35条)。
行为准则的内容规定于条例第40条。该条特别说明,起草行为准则是为了方便中小企业遵守新条例的条文。行为准则大部分是自律性文件,其自律水平取决于各国数据保护机构或其他政府部门对其进行批准时的要求。第41条要求负责监控是否遵守行为准则的机构“在准则相关领域具有适当的专门知识水准,并由主管监督机构为此目的进行认证”。最后,第42条规定的认证是数据保护领域的一个创新机制。条例中规定的认证模式十分正式,需要接受主管数据保护机构直接或者间接审查。认证必须由第43条规定的认证机构进行颁布。
13. 欧洲数据保护委员会作为保证统一性的看门人(条例第64条)
条例具有直接法律效力,但是却需要由29个不同成员国的数据保护机构来负责实施,这就不可避免地会遇到适用统一性的难题。只有建立一个统一协调的机制,才有可能保障欧盟各国法律适用的协调一致。这一重任被赋予了欧洲数据保护委员会:为了促进条例的统一适用,需要成立欧洲数据保护委员会作为欧盟的独立机构。为了实现其目标,欧洲数据保护委员会应当具有法律人格(序言第139节)。保证法律适用统一性的基础性制度比较简单:一国的数据保护机构如果要做出一个重要裁决,它必须获得委员会的事先(支持性)决议(第64条)。委员会还要负责通过作出有约束力裁决的形式解决不同国家数据保护机构之间的分歧(第65条)。通过这样的机制,委员会(由各成员国数据保护机构选出的代表组成,这规定在第68条)与其取代的基于第29条产生的工作组相比,大大加强了权威性,从而成为欧盟数据保护最高监管和执行机构。
14.结论:依然是保护个人的完善制度
整体上来看,条例是一份雄心勃勃的长篇文件,旨在涵盖欧盟范围内的所有个人数据处理问题。因此可以从很多不同角度对其进行分析和阐述。有很多值得讨论的重要问题,限于文章的篇幅和结构而不得不舍弃,这些题目包括:数据的国际流转、基于学术、科学、历史与相关目的的数据处理、事先共同协商要求,以及数据保护官的职能。这些问题可以留待日后研究,不过将条例所涉的这些本文无法具体展开的重要问题列举出来,恰恰进一步证明条例的雄心所在,这样的一部条例经历了五年多的立法进程完全可以理解,而其目标则是长久持续、影响深远,这也是对条例之前的1995指令最好的回应与致敬。