□ 文 吴沈括 李京北
欧盟《一般数据保护条例》(以下简称:GDPR)于2018年5月25日施行,废除并取代第95/46/EC号欧盟指令。GDPR的目标是在欧盟建立一个强有力的、更加一致的数据保护框架,并得到强有力的执法支持。GDPR有两个目标,一是保护自然人的基本权利和自由,特别是保护个人数据的权利;二是允许个人数据自由流动以及数字经济在欧盟内部市场的发展。
根据GDPR第97条,欧盟委员会(以下简称:委员会)应向欧洲议会和欧盟理事会(以下简称:理事会)提交关于该条例评估和审查的第一份报告。该报告将于2020年5月25日前提交,此后每四年提交一次报告。在这方面,委员会应特别审查下列各事项的适用和运作:一是第五章中关于向第三国或国际组织转移个人数据的规定,特别是根据本条例第45(3)条通过的决定和根据第95/46/EC号指令第25(6)条通过的决定;二是第七章中关于合作与一致性的规定。
GDPR的审查要求委员会考虑到欧洲议会和理事会以及其他相关机构和部门的立场及调查结果。委员会还可要求成员国和监管机构提供资料。理事会为准备上述立场和结论,请各代表团提出书面意见。相关工作组在2019年10月21日、11月11日和12月5日的会议上讨论了成员国的意见,最终理事会在2019年底以文件《欧盟理事会关于GDPR施行的立场与发现》概述和总结了理事会在筹备工作基础上的立场和结论,也是本文的主要研究内容。
与此同时,理事会还注意到,欧盟委员会于2019年7月通过的《作为欧盟内外信任赋能者的数据保护规则之评估的通信》(以下简称《通信》)。《通信》探讨了欧盟数据保护规则的影响以及进一步改进其实施的可能性。委员会认为,虽然新的数据保护规则实现了许多目标,但《通信》提出了进一步加强这些规则及其适用的具体步骤。
理事会认为,其立场和结论不应局限于GDPR第97条第(2)款具体提到的主题。因此,理事会还鼓励委员会在其即将提交的报告中,评估和审查GDPR超出该条具体内容的适用情况和运作情况。此外,委员会应考虑到相关利益方的经验和投入,这将有助于确保评价尽可能全面。
为此,针对GDPR的施行,理事会汇聚梳理了成员国认为特别相关的五类议题,分别是:数据跨境流动;合作与一致性机制;留给国家立法者的裁量空间;私营部门的新义务;在欧盟外设立的控制者或处理者的代表。
理事会认为GDPR取得了成功。这无疑是重要的里程碑,也是加强个人数据保护权和促进欧盟信任创新的手段。GDPR还进一步提高了欧盟和国外对数据保护重要性的认识。
理事会承认,国家监管机构在GDPR运作和一致适用方面的重要作用。理事会还指出,与行使新的任务和权力有关的监管机构的活跃度大幅度增加,许多成员国在向其分配资源方面出现了积极的发展态势。理事会同意委员会的看法,即各成员国监管机构之间,特别是在EDPB内部进行合作的重要性。应进一步加强这种合作,因为这种合作对于涉及风险的跨境案件的监管或涉及许多成员国案件(例如所谓的大型科技公司)的处理都非常重要。
理事会还支持委员会在其文中提出的意见,即竞争、消费者和数据保护机构应在适当时进行合作,例如对大型科技公司的监管。理事会指出,这些公司及其商业模式的广泛影响引起了一些关注(例如数据主体如何充分行使对大型科技公司的权利,值得研究和监管)。因此,需要欧盟的协调努力,审查这些挑战的范围,并就如何应对这些挑战提出设想。
此外,理事会认为,数据控制者和数据处理者需要监管机构和EDPB提供更多的解释与指导。委员会即将提交的评价报告中,还应强调对实际指导的广泛需求以及满足这一需要的其他适当手段。
根据GDPR第40条起草的针对具体部门的行为守则,可能是有助于适当适用GDPR的一种手段。此类行为守则特别注意某些问题,例如对儿童个人资料的保护或对健康资料的处理。监管机构目前正在商议的一份行为守则清单,或许有助于改善对这些项目的协调与支持,鼓励起草此类行为守则的措施应当增加并进一步的发展。
同时,理事会指出,新现象(特别是新出现的技术)也对个人数据及其他基本权利(如禁止歧视)的保护提出了新的挑战。这些挑战涉及大数据的使用、人工智能和算法以及物联网和区块链技术等主题。这同样适用于诸如面部识别、新型画像和“深度伪造”技术的使用。量子计算的发展也对个人数据的保护提出了挑战。另一方面,这些技术在某些领域的应用也可能是一个巨大的优势,并有可能加强欧洲公民的隐私保护。理事会认为,为了跟上新兴技术的发展,有必要通过欧盟层面持续监测和评估技术发展与GDPR的关系。
理事会强调,GDPR规定在技术上是中立的,其规定已经涉及了这些新挑战。必须考虑到,GDPR(更广泛地讲欧盟保护个人数据的法律框架)是制定未来数字化政策的先决条件。但鉴于上述情况,理事会认为有必要尽快阐明GDPR如何适用于上述新技术。
在《通信》中,委员会注意到在全世界范围内制定数据保护规则的积极趋势。最近,经修订的欧洲委员会第108号公约的缔约国越来越多。与此同时,世界各国正在通过新的数据保护立法或改革其监管框架,进而实现数据保护现代化。
理事会认为,充分性决定是数据控制者将个人数据安全传输给第三国和国际组织的一个重要手段。在这方面,理事会还认为,充分性决定的基础是遵守为此类决定制定的所有标准(包括后续转移的标准),这是十分关键的。根据欧盟法律的要求,充分性决定还必须接受持续的监测和定期审查,这对于确保有效保护数据主体权利而言至关重要。理事会支持委员会在《通信》中表示的计划,即进一步加强与适合的关键伙伴就充分性问题进行对话。理事会鼓励委员会在通过新的充分性决定时,研究是否有可能具体规定向政府当局以及政府机构之间的数据移交问题。理事会还同意委员会在2020年报告中对根据第95/46/EC号指令通过的11项充分性决定的审查计划。
理事会指出,目前只有13项充分性决定生效,其中包括与美国的隐私盾协议。因此,在许多向第三国和国际组织传输个人数据的情况下,数据控制者需要使用GDPR第五章规定的其他方式。因此,理事会同意根据GDPR第五章处理其他国际跨境方式的应用问题也很重要,这些方式有时也可以更好地满足某一特定部门的个别数据控制者和数据处理者的需要。理事会强调这些方式的优点,其中包括公共当局或机构之间签订的具有法律约束力和可执行性的文书、约束性公司规则、委员会通过或监管机构通过并经委员会批准的数据保护标准条款、经批准的行为守则或认证机制,以及第三国数据控制者或数据处理者的约束性承诺。
理事会还注意到,根据第95/46/EC号指令制定的向第三国传输数据的标准合同条款,自最初通过(包括自GDPR生效)以来并未根据发展情况加以更新。理事会鼓励委员会近期内审查和修订这些文件,以适应数据控制者与数据处理者的需要。
成员国注意到,进一步的阐明和指南将有助于应用上述一些方式。例如,一些成员国指出,在没有充分性决定的情况下,数据控制者可能难以确定GDPR第46条规定的哪些方式可被视为适当的数据保护措施。理事会将乐意接受阐明和指南,特别是来自EDPB的阐明和指南。理事会注意到,EDPB已就约束性公司规则发布了指南。此外,有必要阐明在公共当局之间接受适当保障的数据流转的最低标准。这一点很重要,因为成员国的政府当局经常需要与法律框架不同于欧盟的第三国当局合作和交换个人数据。
GDPR直接适用于所有成员国。正如委员会在《通信》中指出的那样,GDPR的一个重要目标是摆脱在欧盟第95/46号指令指导下28个不同国家法律体系的支离破碎局面,为整个欧盟的个人和企业提供法律上的确定性。理事会认为,GDPR在很大程度上促进了这一目标。
然而,GDPR的若干条款为国家立法者保留了裁量空间,以维持或引入更具体的规定,以适应GDPR某些规则的适用。委员会在《通信》中表示,将特别注意与使用这一规定裁量空间有关的国家措施。委员会认为,在没有规定裁量空间的情况下,国家立法不应规定超出GDPR的要求,例如附加处理条件。理事会认为,在商议GDPR时,许多条款被认为有必要为国家立法者留出足够的裁量空间。例如,GDPR第6条第(2)款和第(3)款允许成员国维持或引入更具体的规定,以适应处理个人数据的某些法律基础的适用。因此,可以预见并证明由这一差距造成的某种差异是合理的(例如第85条和第86条也同样适用)。
一些成员国指出,国家差异可能造成一些意想不到的后果,因为它在某种程度上造成了比原先预想的更加零散的法律局面。例如,GDPR第8条也规定了国家立法者的裁量幅度,该条规定信息社会服务领域中儿童在13至16岁之间的承诺年龄,这可能导致成员国采取不同的年龄限制。
虽然大多数成员国没有将不同的年龄限制作为一个问题提出,但一些成员国认为这是一个问题,建议考虑采用统一的年龄限制。理事会指出,采取灵活性的年龄限制会产生分歧,这种可能结果在GDPR商议结束时已经被预见了。然而,根据GDPR第8条规定的选择不同年龄限制的可能性,在两个成员国的国内法适用于同一处理活动的场景中,造成了成员国之间法律适用的不确定性。
然而,理事会指出,GDPR及作为其补充的国家规则只在很短的一段时间内得到施行,许多成员国仍在修订其针对具体部门的立法。因此,就欧盟法律得出总体水平不成体系的明确结论可能为时过早,而更好地理解实施GDPR的国家法律中的属地范围重叠问题如何影响数据控制者和数据处理者,以及他们如何应对这种情况,将是有益的。
理事会还强调,有必要防止欧盟法律体系在保护个人数据方面的支离破碎。包含个人数据处理规定的欧盟指令和条例应与GDPR、欧盟第2016/6804号指令以及欧盟第2018/17255号条例(如果适用)保持一致。在制定影响个人数据处理的政策时,还应以适当方式考虑到数据保护权。
理事会总结了迄今为止在成员国引起最大关注的GDPR适用与解释问题。其中尤其涉及:
1)在未作出充分性决定的情况下确定或采用适当保障措施的挑战;
2)根据GDPR第七章建立的合作与一致性机制给监管机构带来的额外工作,以及此类机制所涉资源问题;
3)无法预判的立法不成体系问题;
4)GDPR某些条款对私营部门的数据控制者和数据处理者规定的新义务;
5)监管机构应采取措施应对在第三国设立的数据控制者未在欧盟内指定代表的情况。
但个别成员国也提出了一些与GDPR其他条款有关的问题。虽然理事会承认,问题的数量少主要是由于GDPR的适用时间短,但仍认为这些问题需要以某种方式加以解决。尽管已存在一些材料,理事会仍认为成员国提出的许多疑问是可以通过进一步指南等方式解决的解释性问题,也认可EDPB和国家监管机构在提供指南方面的作用。其中应特别注意:
1)GDPR在新技术领域的应用以及与大型科技公司相关的问题;
2)中小企业和慈善或志愿者协会的实用工具,如数据控制者和数据处理者就个人数据泄露通知监管机构的统一表格,或简化的信息处理记录,以及中小企业根据其具体需要遵从GDPR的其他适当工具;
3)跨境案件中监管机构的有效工作安排;
4)与在欧盟外设立的数据控制者或数据处理者的代表不履行其义务的情况相关的问题。
此外,其中许多问题和主题,特别是国家立法者权力范围内的问题和议题以及与新兴技术有关的挑战,值得成员国和委员会进一步讨论并交流经验。应当考察哪里是进行这种讨论的适当场所,因为这种讨论不应与EDPB的工作重叠。
针对GDPR第五章,理事会鼓励委员会不仅审查现有的充分性决定,还应审查根据欧盟法律所规定的要求作出新的充分性决定的可能性,并研判在作出此类决定时,具体规定向公共当局或公共当局之间移交数据问题的可行性。同时理事会认为,阐明GDPR第五章中可用的其他工具的适用问题,为数据控制者提供更清晰的说明,使其在没有充分性决定的情况下可以考虑如何采用适当的保障措施,是同样重要的。
针对GDPR第七章,理事会指出的一些相关问题如前所述,并认为应进一步加强监管机构之间的合作。在这方面,应在委员会即将提交的报告中讨论国家监管机构和EDPB资源的相关性。理事会认为,与适用GDPR第七章有关的程序性挑战也应予以解决,并鼓励委员会与监管机构以及EDPB展开协商。
理事会指出,成员国必须维持或采用更具体的规定以适应GDPR的施行,而与此相关的立法可能催生差异。虽然这一裁量空间是为了具体落实GDPR的某些规定,因此有可能呈现不成体系的局面,但理事会认为应该密切关注这方面的事态发展,也有必要在欧盟政策和法律制定的相关领域充分吸纳考虑数据保护要素和GDPR的规定。
理事会认为,重要的是促进GDPR确立的欧洲模式,并确保所有相关利益方在今后几年中获得更大的法律确定性。因此,委员会应在其报告中处理与上述议题有关的各类问题,并提出解决这些问题的合理办法。此外,为了根据GDPR第97条编制后续的报告,委员会应继续监测和分析GDPR的施行经验,特别是在本文件涉及的各项问题上。理事会还强调,必须审查和阐明GDPR是如何适用于新技术并能够尽快应对新技术带来的各类挑战。
本文是国家社会科学基金项目(批准号:15CFX035)的阶段性成果。■