国际组织和区域性组织-大数据时代数据保护法律研究

（一）联合国

1968年，联合国在《世界人权宣言》发布20周年的“国际人权会议”上，首次提出了“数据信息保护”的概念，这一年被称为“数据年”。随后，各国个人数据信息保护的立法风起云涌。1970年，德国黑森州制定了最早的一部有关个人数据信息保护的法律——《个人数据信息保护法》，随后，瑞典、美国、英国纷纷制定了自己的个人数据信息保护法。但上述各国的相关立法并不足以为个人数据信息的当事人提供充分的法律保护。为调和不同国家关于个人数据信息保护的国内立法的差异，加强国际合作与国际援助，许多国际组织做出了不懈的努力。1990年12月14日联合国大会通过的《关于自动资料档案中个人数据信息的指南》（以下简称《指南》），就是这个背景下的产物。

联合国《指南》分为两大部分，第一部分从个人数据信息保护的基本原则、监督与处罚、跨国资料流通、适用范围等方面为联合国各成员国进行个人数据信息保护的国内立法设定了最低保护基准；第二部分为联合国《指南》对政府间国际组织所保有的个人数据信息加以适用的有关规定。

联合国《指南》分为两大部分：第一部分从个人数据信息保护的基本原则、监督与处罚、跨国资料流通、适用范围等方面为联合国各成员国进行个人数据信息保护国内立法保护设定了最低保护基准；第二部分为联合国《指南》对政府间国际组织所保有的个人数据信息可以加以适用的有关规定。

联合国《指南》为各成员国进行个人数据信息保护的国内立法设定了六项基本原则，分别是：合理合法原则、准确性原则、目的明确原则、当事人查阅原则、无歧视原则和安全原则。

对于调整范围，联合国《指南》第10条从三个角度加以规定：①该《指南》适用于所有公私领域的个人数据信息，即个人数据信息保护法的规范对象包括公务机关与非公务机关。②该《指南》主要适用于自动化档案，在一定条件下还可以扩充用于人工档案。由于个人数据信息保护法因网络环境对个人隐私权造成猛烈冲击而生，因而，各国大多将个人数据信息保护法的调整范围限于自动化处理的个人数据信息，但从个人数据信息涵盖范围的完整性处罚，人工处理的个人数据信息同样会对当事人的隐私权造成侵害，故应二者兼顾。③该《指南》原则性地适用于自然人资料，在一定条件下还可以扩充适用于法人资料。

关于数据的跨国流通问题，《指南》第9条规定，两个或两个以上国家的立法对个人护具信息保护提供了彼此相当的保护措施时，个人数据信息应在国家之间自由流通，同时还应注意避免对网络隐私权的保护阻碍个人数据信息的跨国自由流通，即在充分保护与自由流通之间达成一种平衡。

在“监督与处罚”一章中，《指南》规定：“各成员国应设定一个同意的、常设的监督机关，负责对上述原则的执行情况进行监督，并提供响应的制裁、救济措施。”在这点上，德国和英国均设立了一个统一的、常设的监督机关，负责对上述原则的执行情况进行监督，并提供相应的制裁、救济措施。同时，德国和英国均设立了一个统一的、常设的监督机关，保证了个人数据信息保护尺度的统一及个人数据信息保护原则与具体制度的落实执行。

对于政府间国际组织保有的个人数据和信息的适用问题，联合国《指南》原则上适用于政府间国际组织所保有的个人数据信息；同时对上述原则的适用作了例外规定，即档案的目的是保护人权和保护相关的个人自由和人道主义援助目的的，可以不适用上述原则。

此外，联合国《指南》是一种具有指导性的纲领性文件，关于个人数据信息保护的具体规则，则交由各成员国在国内立法中自主决定，可见，《指南》在效力上并无强制约束力。

（二）经济合作与发展组织

经济合作与发展组织是一个以促进经济稳定和鼓励贸易发展为两大主要目标的国际性组织，他是战后欧洲在新的模式上重建的产物。作为促进欧洲国家间经济合作的组织，它成立于1948年，其主要职能是协调国家经济政策并促进欧洲贸易的自由发展。1961年，由于其他的欧洲机构肩负起了这些促进贸易合作的责任，经合组织的原有职能开始发生转变，由包括西欧国家、加拿大、美国、日本、澳大利亚、新西兰、芬兰、墨西哥和一部分前东欧国家在内的30个成员国组成的一个欧洲区域性组织成长为一个国际组织。

在现代通讯条件下，尤其是在互联网环境下，个人数据信息的收集、处理和传输几乎是不受国界限制的。因此，个人数据信息的合理利用和保护首先成为如经济合作与发展组织这样的国际组织所面临的重要课题。经济合作组织在1978年着手起草《隐私保护与个人数据资料跨境流通指导原则》（以下简称《指导原则》），并在1980年9月23日被经合组织委员会通过。该《指导原则》在其前言部分指出，对保护隐私权所采取的行动可能会对贸易产生障碍，同时建议成员国能在国内立法中考虑到《指导原则》的内容，以便降低贸易壁垒产生的可能性。该数据信息保护的指导原则同时适用于公众和私人领域。

该《指导原则》制定了一系列成员国适用的基本原则，包括：

（1）限制收集原则：个人数据的收集必须公平、合法。

（2）特定目的原则：个人数据的收集必须具有相关性。

（3）资料完整正确原则：个人数据信息的储存必须保持时效性。

（4）限制利用原则：个人数据信息的使用必须与收集时的目的相一致，除非经本人同意，或有法律相关规定。

（5）安全保护原则：必须采取合适的安全措施保存数据信息。

（6）公开原则：个人数据信息的使用，必须透明化。

（7）个人参与原则：本人能获取该个人数据信息。

（8）责任原则：数据信息资料控制者应对遵守以上原则负责。

由于该《指导原则》的采用，经合组织在数据隐私和信息安全领域不断努力，其中一个重要的成就便是网站隐私政策中心的发展，该政策中心可作为以私权审查的基础，并且建立了一系列隐私权的政策。

（三）欧洲委员会(www.xing528.com)

欧洲委员会是欧洲国家政府间的组织，正如经济合作与发展组织那样，由战后重建的欧洲和平模式发展而来。欧洲委员会于1949年成立，其职能主要是促进欧洲国家间政治合作，保护人权与自由。他对欧洲保护人权和基本自由公约以及人权法院的管理负责。

1.由于受到贸易自由和个人权利保护忧虑的刺激，就像当初激发经合组织的立法行为那样，欧洲委员会几乎在同一时间起草了有关《个人数据自动化处理的个人保护协定》（以下简称《108条约》）。

1981年，欧洲委员会通过了该公约。该公约在其前言中明确指出：公约的目的是使体现在人权中的隐私权保护得到保障。关于私人生活的权利以及自由贸易的权利，该公约指出：“应认识恢复对隐私权的尊重和个人之间信息自由流通的重要价值。”

《108条约》涵盖了公众和私人领域，并考虑到了一些例外情况。就像经合组织的1980年《指导原则》一样，它包含了一系列规范数据处理的原则，主要有：

（1）公正合法地收集和处理个人数据信息。

（2）只为特定目的储存个人数据信息。

（3）使用数据信息应与收集该数据信息的目的相一致。

（4）收集的个人数据信息应准确，并保持数据信息的时效性。

（5）数据以可识别的方式保存的期间不应长于需要其被保存的时间。

（6）必须有适当的技术措施保障个人数据信息的安全。

（7）数据信息主体应能随时查询其个人数据信息，并有删除权。

任何一个国家都不能限制将个人数据信息流通至其他已经接受这些标准并在《108条约》上签字的国家，除非一国的本国法符合了这些标准，否则不必在条约上签字；除非一国的立法有相关内容，否则它将可能承担产生贸易壁垒责任的风险，也有可能成为那些企图规避数据处理规定的国家的“数据天堂”。

尽管对个人隐私的关注始终没有达到国内立法的程度，但产生贸易壁垒的危险却使各国政府不得不将之纳入议事日程。1984年，英国通过了《数据保护法》，1985年签署了已生效的《108条约》。

欧洲委员会将约束它的签约国，然而遵守条约产生的效果在不同的法律体系的国家则有一定差异。在一些国家，条约本身可被写入国内法。而英国不是这样的，条约只有解释作用。英国法院有责任对国内法进行相应的解释，并从中体现条约的精神。

《108条约》之后，欧洲委员会成立了数据保护的专家委员会，致力于为成员国有关数据保护各方面的问题提供建议，这些建议只具有参考作用，但确是一些国家和地区不可或缺的政策背景。

2.《108条约（修正案）》。1999年6月通过的修正案允许部长委员会邀请非欧洲委员会成员国的欧洲国家接受该条约，然而这种邀请必须经过委员会的无记名投票通过。修正案中有关于选举权和生效范围的附款，允许一国将《108条约》用于非自动化数据和法人，一国可以不适用公约，但不及与国内数据保护法律覆盖的范围。

3.《108条约》的附加条款。2001年8月通过的附加条款，明确规定：①建立独立的监督管理机关，并赋予调查和提起诉讼的权利。②对于未参加条约的国家，个人数据信息将被停止流通至该国，除非该国对流通的个人数据信息承担一定的保证责任。

（四）欧盟

欧盟是最早关注个人数据信息保护的区域性组织之一，于1995年制定了《关于自动处理个人数据信息自由流动的指令》，并在1997年制定了《电信事业个人数据信息处理及隐私保护指令》。依据最新指令，欧盟各成员国相继制订了个人数据信息保护法或者类似的法律。这样一来，不仅基本上统一了欧盟成员国保护个人数据信息的实体法规范，而且使得欧盟在个人数据信息保护方面处于世界领先地位。

1.《关于自动处理个人数据信息的保护以及此类数据信息自由流动的指令》。该指令共有34个条文，于1995年10月由欧洲部长级会议通过。15个成员国随后据此修订其数据信息保护立法，并于1998年12月25日正式生效。该指令的保护范围几乎包括了所有关于个人数据信息的处理。首先，确立了保护自然人基本人权及自由，尤其是关于个人数据信息隐私权保护的原则。在该指令中对如何合法处理个人数据信息确定了多项基本规范，以供各成员国制定和修正国内法时作为依据。但这些标准只是欧盟最低保护的下线，各成员国可以制定更高的标准。该指令各项积分规范包括数据信息控制着的义务及数据信息当事人权利两个部分。指令并未区别特定行业规范，没有限制适用的对象。其次，确保个人数据信息在欧盟成员国之间的自由流通。

2.《电信业个人数据处理及隐私保护指令》。数字技术不断发展，已经适用于公众电信网络。监狱新形态的电信服务对使用者个人数据信息及隐私必须特别予以注意，欧盟于1997年12月15日制定了《电信业个人数据信息处理及隐私保护指令》（以下简称《指令》），并表示该指令除了是对1995年的《指令》进行补充外，特别保护用户的合法权益。在1997年《指令》中，用户是指与提供公众电信服务业者签约的自然人或法人，而使用者则指为私人或商业目的使用公众电信服务的使用者而非签订契约者。该指令特别强调适用于在共同体内经由公众电信网络的公众电信服务相关的个人数据信息处理，尤其是经由整个服务数字网络即公众数字移动的网络者。

但是由于1995年《指令》第25条规定了“除非非成员国对数据信息以及相关个人有适当的保护，否则成员国不能向非成员国传播个人数据信息”，使得对互联网隐私权保护一贯崇尚自律的美国与欧盟在跨国数据传输问题上产生了严重的分歧。双方为此展开了长达几年的磋商和谈判，最终于2000年2月在布鲁塞尔就如何保护电子商务交易中的隐私权问题达成了原则上一致的协议。该协议要求美国企业首先要向欧盟“安全港”建设机构提出进行网络数据传输活动的申请，经批准后方可与欧盟成员国的个人和企业进行网上交易，同时，美国企业还必须按照本国的相关政策，承诺遵守自我约束的隐私权保护原则。