欧盟个人数据权的演进及其启示
张金平
中央财经大学法学院讲师
欧盟《通用数据保护条例》以人权高度和天价罚款树立起保护个人数据权利(以下简称个人数据权)的最高标准,成为新时期世界多个国家(包括中国)和地区制定或修订个人数据保护法律制度的参考样本,但对于欧盟个人数据权的创设目的、权利内部构造、权能扩张及权利性质演变及其背后的原因却缺乏系统研究。通过欧盟个人数据权四大阶段的演进历史研究,本文拟填补这方面空白,为我国立法提供清晰的参考系,避免盲目移植欧盟做法,并从比较法视角探讨我国未来个人数据立法的目的和所需的制度设计。
一、欧共体内部萌芽期:确定个人数据权的创设初衷与内部结构
1.个人数据权创设初衷:协助欧洲消费者转向本土企业
欧共体委员会年调查显示,美国企业占据了欧洲数据处理市场超过90%的市场份额,而数据处理产业却是继医药和汽车产业之后的全球第三大产业,因而也意识到美国独霸该产业的弊端。对此,欧共体委员会产业与技术部在年建议以打破消费者的价格偏好为首要目标,采取协助消费者转向欧共体本土企业等措施。最终,欧共体委员会将“在本土培育强有力的竞争对手”作为整体战略,同时建议成员国为欧洲公民在个人信息上的利益保护在欧共体理事会层面先达成*治上的一致。
2.个人数据权的雏形和内部结构:以访问权为核心的三权雏形
欧共体理事会先在年和年分别对私营主体和公共部门处理个人数据出台了初步决议,后在年委托欧共体委员会对数据安全和保密做专项研究。欧共体委员会在年汇报了研究成果,指出个人数据保护法所要保护的是两大类个人利益:一为防止个人数据的过多披露的“保密权”;二为旨在让数据主体能够自由访问或者获取他人存储的有关其个人的信息的“知情权”。其中,知情权分为公众知情权与个人知情权。个人知情权是个人数据权的雏形,其内部构造是以“访问权”为核心的,被通知权为行使访问权的前提,修改权为访问权的自然结果。
3.欧共体及其成员国的立法逻辑:个人数据权并非立法的真正核心
欧共体委员会年数据安全与保密专项研究报告还指出,欧共体成员国早期的个人数据立法是以公众知情权为核心,旨在为行*监管部门事前主动执法提供正当性和法律依据。相反,个人知情权作为私权传统上仍以事后的司法救济为主,无法在理论上为行*监管部门提供事前主动执法的正当性。
二、欧共体国际突破期:确立以个人数据权限制数据跨境转移的合法性
为限制数据向美国转移,欧共体这一时期致力于联合其他国家塑造以个人数据保护限制数据跨境转移的国际法依据。
1.《经济合作与发展组织指南》:隐私与个人数据保护成为限制数据跨境的理由之一
作为全球数据处理市场的主导者,美国对个人数据保护的态度与欧共体成员国、加拿大等国都相去甚远。在年,由于无法在个人数据的隐私或隐私权概念上达成一致,只能共同使用“隐私与个人自由”术语来指代所要保护的个人利益。尽管如此,专家组在个人数据处理的基本原则上还是达成初步共识,并允许成员国以保护隐私和个人自由、公共利益、国家安全和国家主权为由限制数据跨境转移,由此形成无强制力的《关于隐私保护和个人数据跨境转移的经济合作与发展组织指南》。
2.《号公约》:统一成员国以个人数据保护限制数据跨境流动的立场
欧共体理事会在年颁布《关于个人数据自动处理过程中的个人保护公约》(即《公约》),除了延续《经济合作与发展组织指南》中成员国可以个人数据保护为由限制个人数据向非成员国转移外,还实现了3个方面的突破。其一,该公约具有法律约束力。其二,该公约是一个开放性公约,不仅欧共体成员国可以加入,非成员国也可以参加。其三,该公约通过立法技巧将限制数据跨境流动的合法理由进行了扩张。
3.《服务贸易总协定》突破:在世界贸易组织规则中成功加入个人数据与隐私保护例外
美国在年提出《服务贸易总协定》草案,目的在于最大限度保护自己在全世界的服务市场。为反制美国,欧共体委员会在年提出了自己的服务贸易总协定草案,增加限制跨境服务贸易的两大依据(“为保护个人数据和个人隐私”和“为保护消费者”),并最终成功将这两大依据纳入世界贸易组织规则之中,为下一步采取更强势的统一个人数据立法奠定了扎实的国际法基础。
三、欧盟发展期:打造体系化的个人数据权与行*执法为主的救济机制
为弥补《号公约》的局限,欧共体委员会在年就开始起草欧盟层面的统一立法《关于个人数据处理中的个人保护的指令(草案)》(以下简称《90草案》),并基于此形成了《92修订稿》,明确保护个人利益和规制个人数据跨境流动系指令的双重目的。《92修订稿》经微调后即获通过,史称《95指令》。
1.发展个人数据权:实现权利的体系化和法定化
《90草案》希望以个人数据权为核心构建个人数据保护规则,因而在第三章专门以“数据主体的权利”为标题将个人数据权法定化。相对于年的雏形,《90草案》解释备忘录指出个人数据权体系增加的反对权源自隐私权;增加的针对自动决策的反对权,是为了避免“处于强势地位的公共或私营机构,剥夺个人影响这些机构对使用个人数据或人格画像作出决策的能力”;针对广告营销增加的删除权,其实更类似于反对权,目的是“保护数据主体不受垃圾广告邮件的骚扰”。对于被通知权、访问权、修改、删除、屏蔽、转告权之间的逻辑关系,《90草案》则沿袭了年个人数据权雏形的内部逻辑关系。
不过,数据主体要行使反对权,仍同行使访问权一样,须以被通知权为前提;而司法救济权是通过司法途径保护这些权利的必然要求。因此,《92修订稿》整合了个人数据权的具体权利并调整了其次序:先规定被通知权,后规定访问权、修改、删除、屏蔽和转告权,继而规定反对权,同时限制转告权的行使,即被证明不可能或者不符合比例的不得行使。至于司法救济权,则统一放在“责任与制裁”一章,并且扩大司法救济的范围。
2.知情同意:仅是处理个人数据的合法依据之一
在《90草案》的讨论阶段,草案第12条的知情同意规则造成了误解,一些利益相关方得出这样的结论——所有的个人数据处理都要求事先获得数据主体的同意——但事实上同意只是数据处理的合法依据之一。因此,《92修订稿》将数据主体的同意限缩为数据处理的合法依据之一。
3.权利救济体系:以行*救济为主
《90草案》沿袭传统的私权救济体系,除在第三章“个人数据权”第14条中专门规定司法救济权外,还在第六章“责任与制裁”第一个条款(即第21条)中明确了数据控制者的损害赔偿责任。此外,第六章第23条规定成员国应当采取刑事处罚等有威慑力的处罚,但并未专门强调要提供行*救济。然而,这样的救济机制与各成员国已有的以行*救济为主的机制,以及《联合国关于个人数据文档计算机化的规制指南》(以下简称《联合国指南》)的独立行*机构监管要求都不相符。
因此,最后通过的《95指令》对《90草案》做出了非常大的调整,要求成员国构建以行*救济为主、民事救济和刑事救济为辅的救济体系。其中,《95指令》第22条规定数据主体提起损害赔偿之诉前可以先寻求行*救济;第28条第4款还专门强调成员国数据监管机构享有审理个人申诉的权力。
四、欧盟改革期:赋予个人数据权人权属性与救济机制的域外效力
由于《95指令》实施后出现各成员国执法机制和执法力度不一致、公民几乎未提起侵权之诉等问题,导致欧盟在个人数据保护方面并未形成真正的统一体,也无法保证个人数据转移到第三国之后仍能够获得与欧盟一致的同等保护水平,因此,欧盟委员会从年就开始呼吁采用成员国可直接实施的条例替代《95指令》,并在年正式提出《通用数据保护条例》草案,最终在年通过了史上最严的《通用数据保护条例》(GDPR)。
1.个人数据权的人权化:提供宽泛的行*执法权与司法解释权
在《号公约》通过后,欧共体议会法律委员会就强调,只有将个人数据权上升为基本权利才能合法有效限制数据向美国等第三国流动。这一目标在年的《欧盟基本权利宪章》中实现。《欧盟基本权利宪章》将个人数据权独立于隐私权,据此欧盟委员会及其成员国的数据监管机构不用再依靠公众知情权而可获得充分的执法权。例如,欧盟法院在年就曾依据《欧盟基本权利宪章》判定欧盟委员会与美国商务部签订的安全港协议无效。GDPR则是对宪章个人数据权规定的法律执行。
2.新增携带权:回归个人数据权协助消费者转向本土企业的本质
对于GDPR第20条规定的数据携带权的立法目的,GDPR前言第68目还打着“继续强化数据主体对其个人数据控制”的幌子,但第29条工作组在其《数据携带权指南》中就直言不讳地指出:“数据携带权的主要目的就是协助数据主体从一个服务提供者转移到另外一个服务提供者,由此促进服务提供商之间的竞争”。对于数据携带权的性质,第29条工作组指出,数据携带权是访问权的升级版和补充性权利。
3.加大个人数据权的行*救济力度:天价行*处罚与域外效力
相较于《95指令》,GDPR首先对侵害个人数据权的行为创设了高额行*处罚,最高可处以万欧元或企业上一年度全球营业额的2%,以较高者为准。其次,对于欧盟境外数据控制者涉及向欧盟境内数据主体提供产品或服务或者监视这些数据主体的行为,GDPR(第3条)都赋权各成员国监管当局进行监管,并要求这些数据控制者必须在欧盟境内指派一名代表作为联系人,代为处理与是否遵守GDPR有关的行为(第27条)。
值得注意的是,对于个人数据被跨境转移到第三国(即数据接收者与数据提供者之间是合同相对方,数据接收者所在国是该合同的第三方)之后的个人数据权保障,GDPR将第三国是否有独立监管机构监管数据处理作为第三国个人数据保护水平适当性评估机制中的一个条件;如果第三国未能通过适当性评估但企业仍有需要进行数据跨境转移的,那么要求通过双边谈判等方式确保欧盟人在司法救济上享有国民待遇。
五、对我国的启示
1.制度目的:旨在构建公平竞争秩序
欧共体及欧盟四个阶段的个人数据权历史演进历程清晰地表明:欧盟有关个人数据权立法的一切努力最终都是为了保护、扶持和发展欧盟本土数据处理产业,扭转欧洲数据处理市场被美国垄断的局面,维护经济安全乃至国家主权的独立,并希望在全球数据处理市场中分得一杯羹。
然而,我国个人数据保护立法的“焦虑”并不是他国企业主导了我国数据处理市场,相反,主导我国数据处理市场的主体恰恰是我国本土企业。因此,从根本上而言,我国在个人数据处理产业的*策上重点是谨防本土企业实施不正当竞争或者滥用市场支配地位,相应措施的关键在于构建数据处理行业的公平竞争秩序、防止最终损害消费者利益,同时还要为我国企业开拓海外市场塑造有利的国际环境。
2.制度设计:个人数据权定性为参与原则下的知情权
欧共体及欧盟为了对美国数据处理企业实现限制,选取了个人数据权为突破口,并通过三十多年的努力将其从知情权雏形发展成国际法上合法限制数据跨境转移的合法依据,以及体系化的法定权利乃至人权。即便如此,欧共体或欧盟相关立法都从未指出个人数据权源自信息自决权,他们认为德国联邦宪法法院创设的信息自决权仅适用于个人对抗公权力的情形,并不能拿来限制企业的个人数据处理尤其是数据跨境转移。
相反,在不同的制度目的下,我国未来所要构建的个人数据权或者个人数据权益并不是人权意义上的权利,更不应当以信息自决权为基础。只要本土企业主导了国内相关市场,我国就没有必要将个人数据自动化处理当作洪水猛兽,复制欧盟的做法、处处以保护个人数据权为名作茧自缚,而要侧重于培育市场的公平竞争,以及对处于相对弱势地位的消费者提供适当保护。
具体而言,我国在未来立法中有必要进一步明确,将个人数据权塑造成性质为综合性的知情权,在功能上仅保护个人对其个人数据一定的积极参与权,不延及消极属性的隐私权,且在内部构造上以访问权为核心,以被通知权为前提,以修改权为延伸。其中,在权利定性上,知情权兼具私权和公权的综合性质;在功能上,知情权保护个人参与有关其个人数据处理中的合法利益,确保相关数据处理是公平合理、不被滥用的,因而并不保障个人能够单方面控制其个人数据的披露和使用。我国民法典人格权编应当明确独立出个人数据权,同时强调个人数据权是参与原则下的知情权,并非绝对权。在权利内部构造中,知情权的核心权利是访问权,而行使访问权的前提是被通知权;知情后的必然结果是请求修改或者删除不正确的个人数据,以免对个人造成不利后果。至于超越参与原则、容易增加企业不符合比例原则的执行成本的反对权、被遗忘权和携带权,则尚不适宜引入我国。目前,《网络安全法》第43条仅规定个人在一定条件下的请求网络运营者删除或更正其个人信息的权利,但并未