浅说欧盟个人信息保护

杨潇航

（斯旺西大学，英国 威尔士 SA1 3QS）

一、背景

随着互联网的日益发达，特别是从1990年开始，由于计算机的广泛被使用，以及互联网的出现，数据的收集、处理以及使用都发生了革命性的变化，这如同CATE所说的那样：我们目睹了数字数据的爆炸式增长。伴随着这样的改变，个人数据的收集也发生了根本性的变化，从以往的手动编写、定期归档等繁琐步骤，演变成了现在的电子收集和电子搜索。这样的演变无疑给人们的生活带来了巨大的便利，能使得人们的个人数据更广泛和便利得到了流通，特别是在人才引进和就业方面，招聘者能更加快捷检索到符合自己公司所需要的人才。对于就业者来说，及时更新自己在网上的个人数据，也能更快地吸引招募者，使得毕业生在毕业后能更快就业，让社会人才得到了充分的利用。甚至个人数据更能发挥在我们生活的方方面面，例如，在电子交易广泛的现代社会，电商的广泛出现，越来越多的人使用网络购物，在这些购物网站上注册账户，填写自己的个人资料（包括实名注册，地址和联系电话），而电商平台通过这些顾客购物或者搜索的爱好，给这些账户推荐相似或者相同的产品，以此在满足客户需求的同时，也使得自己的销售最大化。

二、一般数据保护规则的出现和原则

伴随着犯罪的发生，以及社会的需求，虽然在早些年里，欧盟的一些国家出现了属于自己的法律来保护个人数据，例如在1998年英国就通过了DPA 1998，以及法国和爱尔兰也制定了自己国家的数据保护法，随后其他国家也纷纷效仿。这是一个很好的开始，但是问题也很明显，因为欧盟地区拥有众多国家，虽然看似是独立的，但它们也是一个联盟，不管是在交流、经济等方面都有密切的联系，那么如果每个国家都拥有属于自己独立的个人数据保护法，当国与国之间，因个人数据产生分歧的时候，就很难得到协调。所以之后出版了《2018 年一般数据保护规则》（GDPR），来规范欧盟地区，规范各个国家对个人数据的保护，实际情况是，GDPR是为了调整各组织在处理每个区域数据时，要求遵循GDPR的法律要求。虽然它不像20世纪70年代数据法得到了真正的革命，但是，它在规范欧盟各个国家的个人数据法上起到了关键的作用。［1］

关于GDPR的理解对于欧盟国家的影响，与其说它是一部完整的法条，不如说它更像是一种法条和指令，它在确定规则的同时也延续了原则，也就是说其他欧盟国家是允许制定自己国家的个人数据法的，但是必须遵循GDPR的指令标准。其他国家在制定自己的法律时，不能比它的最低标准还要低，例如第8条（1），关于儿童同意的条件中有着一定的说明，该条令指出，未满16周岁的儿童，只有在获得父母责任持有者的同意或授权时才合法。会员国可通过法律规定较低年龄，但此种较低年龄不得低于13岁。

对于GDPR来说，它有着几个重要的原则，而这几个原则也是对欧盟各个国家影响最深的，因为欧盟的国家想要立法，就必须遵循这些原则，因为原则是不能被打破的，同时原则就是最低标准的另外一种诠释。它们位于第二章，也是第5条。关于对它们的理解，可以详细了解到对于个人数据的收集，利用，保护以及后期的更新删除的准则。首先提出的就是，个人数据必须合法、公平和透明的方式处理，作为法律准则的要求，最低的“门槛”应该就是合法了。对于收集公民的个人资料应该是采取的合法手段，详细的合法性可以看到第6条的相关规定，而第6条总结性来说，个人数据的收集和处理，是为了给数据主题或者另外一个自然人带来切身的利益，或者是为了执行公共利益所必要的，但是这些利益和这些必要行为不能和自愿相冲突，也就是说，收集数据的手段必须是自愿性质的，而不是通过职权进行的一种强迫行为。并且，在收集这些数据的过程必须是透明的。考虑到一些个人隐私数据的收集，例如性取向、宗教以及政治倾向等敏感问题时，需要满足一定的条件时才能收集，否则是不合法的。［2］第二个原则在与目的的限制性，也就是说，当控制机构在向数据主体收集数据时，应该详细说明收集数据的目的，等同于说需要收集哪些数据。以及收集这些数据之后，后续的处理必须是合法的，同时也要符合之前所提到的目的。限制性原则基本上主要分以上两点。也就是说，控制人员应该将收集的数据在目的范围内使用，不能超出这个目的，不然就是不合法的。同时也不能诱导数据主体，在收集完数据之后用作和收集时完全不同的目的。

三、案例分析

在著名的案件Google Spain v AEPD and Mario Costeja González中，该案的裁决被称为所谓的被遗忘的权利，尽管法院并没明确指出该项权利，而使用欧盟基本权利宪章中的第七条和第八条进行的取代。案件的事实是，1998年，西班牙在报纸上发布了两个公告来吸引投标人，设计社会保障债务而被迫出售的财产。但是直到2009年，Mario在GOOGLE搜索他的相关资料后，仍然可以搜索到当时关于自己的相关数据，并且出售已经在几年前就完成，已经不再适用了，所以在2010年2月，他与GOOGLE在西班牙的子公司联系，要求删除那些数据。子公司将该事件向在美国的总公司反映，之后Mario也向AEPD提出了申诉，AEPD的局长也呼吁GOOGLE删除数据。但是GOOGLE提出了反诉，认为首先是管辖范围问题，自己不在欧盟地区，子公司不承担责任，其次GOOGLE认为自己只是第三方，不是数据控制者，并认为当事人（MARIO）无权要求合法出版的资料。但是最后法官认为：Google Inc.和Google Spain应该被视为一个单一的经济单位。允许数据主体请求删除数据，即使信息不一定对数据主体有害。从该案中可以看到，MARIO在登记自己的数据的时候，根据的目的是很明确的，也就是作为投标人进行投标，但是之后，出售已经完成，也就是目的已经完成，那么根据GDPR的原则存储限制，在保留期届满后，有关的个人资料应予删除或销毁，而删除或销毁的时间，似乎也能从该案件中出，Mario在出售之后就本应该被删除的数据，而在目的达成的几年后依旧能在GOOGLE上搜索到，所以最后法官判定，数据主体有权要求删除数据。该案例之所以在欧盟数据保护中这么出名，因为该裁决为公众辩护提供了重要平台，正如Julia Powles在（Guardian）的一篇文章中所表示的，在欧盟委员会即将颁布的GDPR中考虑了该指令的改革，而这项指令是为了给公众辩护提供平台。［3］

四、GDPR的影响

虽然新的GDPR为媒体公司，例如报社和新闻工作公司提供了相应的保护，给予他们一定的豁免。但是，GOOGLE公司并不被归类为媒体公司，所以不享受一定的优惠待遇。欧盟法院的法官裁定，因为国际公司GOOGLE是数据的收集和处理者，所以它是符合GDPR中对数据控制者的定义的。因此，该案件中，欧盟法律要求数据控制者，也就是GOOGLE公司删除不适当、不相关或者过期的数据，在欧盟是具有很重要的影响的，同时在全球也是有一定的重要性的。

在德国，针对个人数据的保护，考虑到人格问题，为了保护已经定罪的罪犯的人格，德语的维基百科将删除这些凶手的名字。德国的网站不再能搜索到这些档案，首席法官Gregory Galke说，“这不是一张空头支票”，并指出已经考虑到罪犯改过自新的情况。

五、小结

2018年正式实施的欧盟最新GDPR，不仅使欧盟数据对象的个人数据更安全、更快捷，而且对全球范围产生了广泛而深远的影响，为大数据隐私保护时代创造了一个新的基准。