欧盟《通用数据保护条例》对我国个人信息保护的启示

丹永

2015年12月15日，欧盟执委会（European Commission）通过了《通用数据保护条例》（GeneralData ProtectionRegulation，简称GDPR），以欧盟法规的形式确定了对个人数据的保护原则和监管方式，由此代替1995年的《个人数据保护指令》。在欧盟个人信息保护的立法过程中，欧洲征信协会一直代表行业与欧洲立法机构沟通游说，为欧洲征信业争取有利的外部环境。从“指令”到“条例”的转变，不仅仅是内容的更新和修正，而是在数字时代新秩序下对个人数据保护的重大制度改革，更是对欧洲征信行业的规范运营起到了深刻作用。

一、欧盟数据保护立法发展

在欧洲国家，其数据保护历史可追溯到上世纪九十年代。1995年欧盟通过了《数据保护指令》（即“95指令”，全名为PROPOSAL FOR A COUNCILDIRECTIVECONCI：RNING TO：PROTECTION OFINDIVIDUALS IN RELATION TO THE PROCESSIN（;OFPERSONAL DATA），由此该指令成为欧盟成员国立法保护个人数据设立了最低标准。

《95指令》制定时，互联网尚未被大众广泛使用，个人数据的收集及处理仅限定在用户名、住址、IP地址及相对简单的金融信息等。但随着互联网和社交应用的飞速发展，人们的日常生活乃至地理轨迹信息都在一瞬间暴露。指令中包含的访向权（即为确保信息的正确性，用户有权访问他们的信息并且修改不当的地方）已经远远不能满足用户的日常需求，转而寻求对个人数据的控制权。互联网新技术的发展和用户控制需求的变化，使该指令为代表的传统数据保护框架亟待重大更新。

指令的第一次修正起始于2002年。欧盟在当年的7月12日发布了《隐私与电子通讯指令》（Directive on privacy andelectronic communications，Directive 2002/58/EC）中，規定了通信和互联网服务商需要采取恰当的措施，以保证其安全性;禁止在未得到用户同意的情况下存储和使用用户的数据;服务提供商应该保障用户的知情权等。此次的修正内容奠定了未来互联网个人数据保护的原则基础，但在具体操作层面上还较为粗略，也缺乏明确的违规惩罚措施。

六年后的11月25日，欧盟对个人数据保护措施又有了一次重要的修正，通过了《欧洲Cookie指令》（ELF CookieDirective，DIRECTIVI：2009/136/EC），并确定其于2011年5月25日在欧盟正式启用。该指令是《隐私与电子通讯指令》的一项重要补充，一是强化了用户的知情权，让用户对网站收集、存储和跟踪用户信息有了清晰明确的了解;二是指令对网站生成、使用和管理以Cookie为核心的用户个人数据提出了完整规范的管控要求，以避免网站滥用或以不够安全的方式操作与存储用户个人数据。

特别是在移动互联网世界中，除Cookie以外还存在着众多不规范巨非法收集跟踪用户数据的技术手段。《欧洲Cookie指令》划清了用户对个人数据合法操作与非法操作的明确界限，让欧盟管控互联网信息操作、进行个人数据保护有了依据。

据TRUSTe2012年10月的统计：在cookie合规性检查之前，英国只有12%（以排名前50的网站为统计）严格遵循《欧洲Cookie指令》的要求，在网站弹出窗口或在指定的地方提供Cookie信息确认的提示或信息说明。而法国和德国的则全部不合规。

尽管欧盟在不同阶段制定了不同的数据保护修正指令，但是这些内容仅架构在《95指令》的基本框架之上。他们希望能够以一个全新的完整框架用来代替前二十年构建的且已经不能适应移动互联网时代需求的陈旧框架。于是，《通用数据条例》于2015年12月15日正式制定。

二、《通用数据条例》的出台及相关内容

（1）出台目的及背景

1.目的

长久以来，欧洲公民拥有自决权决定个人数据以什么目的、哪种方式被使用和处理，且公民的基本人权也将此权利作为一项基本人权被保障。但是随着互联网的盛行，公民越发忧心个人数据的失控会威胁到其基本人权。为此，欧盟制定《通用数据条例》其目的有两项：一是巩固公民对个人数据的自决权和控制权，保障欧盟公民的基本人权，重拾对个人数据处理的信任;二是统一欧盟数据保护规则，简化欧盟个人数据保护和监管的流程，降低跨国公司的合规成本，促进一体化的“数字欧洲”进程。

2.背景

数字化时代还未来临前，《95指令》虽在欧盟成员国内实施，但它仅仅是一种指引而非法规，在成员国的实施情况不尽相同，且不具有强制性。随着互联网时代新技术和新的数据处理与应用方式对个人数据保护的挑战日渐鲜明，《指令》便显得有些力不从心。

于是在2009年，欧洲征信协会与欧盟委员会就《指令》的不足，从新技术和数据全球化的角度，尝试对现行的个人数据保护法律进行完善。2010年11月，欧盟委员会提出了强化欧盟个人数据保护的计划，并于后年元月提出综合改革方案——《关于提高用户对个人数据掌控、降低企业成本的个人数据保护方案》，内容指出：科技进步和全球化彻底改变了原有的数据收集、处理和使用方式，冲击了原来的个人数据保护原则;《95指令》在27个成员国的差异化落地，且具有法律法规的强制性;新的个人数据保护法律框架从便捷公民查询、携带和删除个人数据方面，进一步提高了公民对本人数据的控制权。2015年6月，就“在欧盟建立一个现代、统一的数据保护新规则”达成了一致，开始共同推进新条例的制定。

2018年5月份《通用数据保护条例》正式生效，《条例》共有99条，对《95指令》中的内容做出了多达3500处具体修改。

（2）适用对象及特点

1.适用对象

包括使用欧盟语言或货币，为欧盟居民量身定制产品，或在欧盟范围内积极营销。“监控”定义为在线追踪人员创建个人资料，或分析和预测个人偏好，行为模式或态度。

2.特点

第一，适用范围广。在地域上，虽然《条例》是欧洲的法律，但适用范围不仅限于欧洲。业务机构设在欧盟境内并从事个人数据处理的组织、非欧盟成员国企业在欧盟境内未设立业务机构，但却处理欧盟境内的个人数据的都适用该条例。在主体范围上，则直接适用于数据控制者和数据处理者。规定了信息安全措施、未经许可不能转委托、记录保存、协助义务等一系列义务。

第二，受保护者权利多。包括个人姓名、政府身份证号码、位置信息、IP地址、Cookie等，既涵盖真实世界的信息，又涵盖网络世界的信息。除了常规的权利之外，《条例》新增的信息泄露通知、访问权、被遗忘权、可携带权、隐私保护设计等几个重要数据主体权。此外，《条例》对未成年人的数据保护也有特殊要求：企业和组织取得父母的同意，才能处理16岁以下儿童的个人资料。

第三，对数据处理要求更严格。在数据处理过程中，必须以清楚、独立、清晰的方式向数据主体表达其用户条款，以获得数据主体的同意;同意许可必须容易撤回;同意许可必须基于主体自由意志做出，且同意处理的数据范围不可超过必要限度。

第四，处罚严厉。涉及行政处罚和民事处罚。行政处罚分为两类，第一类针对违反隐私保护设计，以及默认隐私保护，没有实施充分的IT安全保障措施、违反数据泄露通知要求等违法行为，处以最高 1000万欧元或者上一年度全球营业收入的2%，二者取其高;第二类针对违反数据处理原则，数据处理没有合法基础、违反同意要求、侵害数据主体的合法权利等违法行为，处以最高2000万欧元或者企业上一年度全球营业收入的4%，二者取其高。民事处罚也分为两类。就对外的被侵权数据主体而言，为了确保其获得有效赔偿，数据控制者和数据处理者就信息主体的全部损失承担连带责任。而在内部的责任分配上，数据控制者就其违反《条例》规定的数据处理行为担责;数据处理者只对其未遵守规定的特别是针对数据处理者的义务或者其超过数据控制者的合法指示的行为造成的损失担责。当然，这些处罚也会根据行为的性质、主管状态以及违规事件发生后的应急响应情况等多重因素综合考量，并对中小企业给予一定的豁免权。

三、《通用数据保护条例》对我国征信行业的影響

（1）遵循数据分布，实行动态管理

传统意义上的立法管辖权通常是按国家（地域）进行划分的，但由于互联网上的数据分布是动态变化的，为了更好地适应全球组织的要求，《条例》中数据保护约束突破了法律管辖数据的地域限制，仅与数据的分布有关。这就意味着《条例》不仅适用于欧盟企业，还适用于向欧盟居民提供产品或者服务的征信机构，甚至收集或监控相关数据的非欧盟企业和组织也响应接受约束。

（2）记录操作流程，建立监控记录机制

征信机构和组织在对个人数据进行操作时，必须将所有的操作流程和步骤记录下来，以免不正当的操作手法造成隐私泄露。换个说法，必须建立个人数据操作监控记录机制，以备政府和征信监管机构检查。由于《条例》是全欧盟内部统一的，所以大型征信机构可以使用一套标准的监控记录机制对欧盟内所有国家的分公司进行监控和管理。

同时，当发生严重的隐私数据泄露时，《条例》要求第一时间通知相关国家监管机构，并把数据泄露的数量、方式、渠道以及可能的影响范围上报。如果数据泄露会对数据所有者（用户）产生负面影响，组织也必须毫不延误的通知数据所有者（用户）以便其采取必要的措施消除影响。

（3）遵从最简化原则，设计告知构造

将数据保护视为基本要求的《条例》，强制要求企业在业务设计初期就必须将其考虑。这其中包含了两方面的要求：其一，在设讨新的业务系统、操作流程和服务时，处理个人数据的环节就必须遵从《条例》要求的方式进行构造。企业还必须提供相关信息证明自己满足了上述要求。其二，当系统、流程和服务包含了个人数据被共享的多个不同级别时，默认的缺省选项必须是共享内容最小的选项不共享任何内容，这就是数据保护的最简化原则。

（4）删除不实数据，防止不良信息散布

《条例》特别订立了被遗忘权和反对权，且该两项权利主要是针对社交媒体的，其主要意图是为主体提供反对权和被遗忘的权利。打个比方，当一位父亲在女儿的婚礼上喝了一杯酒，而这张照片被父亲的领导看到，认为他有酗酒的嗜好而将其开除，这张照片实质上就对父亲个人产生了影响。对于这位父亲来说，要求消除之前在社交媒体上的图片信息就是合理的。这一点对征信机构也同样适用，个人应该有这样的权利。但是，上述权利会影响征信业的业务模式和数据的完整性。因为在某些时候，个人有权根据这些权利随时拒绝征信机构处理其数据，有权利撤回向征信机构提供的数据采集的授权，有权要求删除其数据，并且如果征信机构早前已经对删除的数据进行了公开传播，还要负责告知其他机构删除该数据。

但是，如果完全开放删除个人信息的模块，就有可能使得数据完整性缺失，进而影响金融系统的正常风险管理，毕竟征信行业本身还有维护金融稳定等公共利益的义务。

（5）巨额的惩罚上限

《条例》中最吸引眼球的就是巨额的惩罚上限。尽管规定违法的惩罚金额由欧洲各成员国自行确定，但惩罚上限确是处于欧盟立法中相当高的水准：对于不太严重的违法，罚款上限是一千万欧元或前一年全球营业收入的2%（两值中取大者）;对于严重的违法，罚款上限是两千万欧元或前一年全球营业收入的4%（两值中取大者）。

（6）根据国情，总结借鉴意义

在互联网大数据的背景下，借鉴《通用数据保护条例》，加强对我国个人信息的保护，笔者认为应当从以下几方面人手：一是，应当规定在合同签订和履行过程中，互联网企业应当遵循信息搜集的合理性、适当性原则，不得“过分”搜集消费者的信息。二是，互联网企业通过格式条款取得个人信息书面使用授权或者同意的，应当在条款中明确该授权或者同意所适用的向他人提供个人信息的范围和具体情形，应当在协议的醒目位置使用通俗易懂的语言明确向消费者提示该授权或者同意的可能后果。三是，消费者签订合同或者履行合同的过程中，拒绝将个人隐私存人互联网络企业的数据库，那么互联网络企业不得拒绝服务。并且应当将有关消费者的个人隐私删除。四是，互联网络企业必须切实保护消费者个人隐私，建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的，应当严格内部授权审批程序，采取有效技术措施，确保信息在内部使用及对外提供等流转环节的安全，防范信息泄露风险。

综上所述，欧盟通过立法保护征信行业的个人信息已有较长的历史，其立法宗旨和保护规范逐步完成了由规范处理到人权保护的转变。《条例》为成员国立法保护个人信息设立了最低标准，确立了数据质量原则，赋予信息主体广泛的权利，对征信行业的有序规范运营影响甚巨。