欧洲联盟是根据1992年签署的《欧洲联盟条约》(也称《马斯特里赫特条约》)所建立的国际组织,是世界上最有力的国际组织,在金融、贸易、农业等方面趋近于一个统一的联邦国家,然而在内政、国防、外交等其他方面则如同一个独立国家所组成的同盟。欧盟的政治体制与世界其他大规模的国际组织有所不同,因此应该把它看作一个独特的实体。欧盟法律与各成员国法律的关系是并行不悖、互不干扰的。前者是独立法律系统,与各成员国国内法律平行执行。但是,两者的地位是有区别的,前者在欧盟各成员国的法律系统中具有直接效力,并且在很多领域中高于国内法律。依据欧洲法院的确认,欧盟不是一个联邦政府而是构成国际法中一个全新法律秩序的联合体。欧盟法律有时候被归类为超国家法。欧盟采用以法律规制为主导的网络隐私权保护模式,通过制定法律的方式,从法律上确立网络隐私权保护的各项基本原则以及具体的法律规定和制度,在此基础上,采取相应的行政或司法救济措施。在各种关于隐私和个人数据保护的规定中,欧盟数据和个人信息保护规章的核心是1995年欧盟的《数据保护指令》。另外,需要明确强调的是,欧盟的指令采用了综合立法的模式,个人信息包含网络隐私,所以在一些指令中甚至没有出现网络隐私的字样,而且在网络隐私保护中的网络服务提供者,即是《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》中所称的数据(或资料)控制者。
(一)相关法律规范
欧盟所有成员国还扮演着另一个至关重要的角色—《欧洲人权公约》的缔约国。《欧洲人权公约》第八条规定了关于个人对私生活和家庭生活、住宅以及通信的权利,即隐私权。在司法实践中,欧洲人权法院对该条做出了宽泛的解释。1980年,经济合作与发展组织(OCED)颁布了《理事会关于保护隐私与个人数据跨国界流动的准则的建议》,其目的是在欧洲建立一个全面的数据分配制度体系。这个建议提出了个人数据保护的七大原则:同意原则—没有数据主体的同意,不得公开数据;目的性原则—数据只能用于所述目的,而不能用于其他目的;通知原则—收集数据时必须通知数据主体;安全原则—必须维护数据安全,不得滥用;获取原则—数据主体应被允许获取他们的数据并且更改任何不准确的数据;义务原则—数据主体应有途径使得数据收集人承担上述原则所确定的义务;告知原则—必须告知数据主体何人在收集他的数据。
然而,该准则的性质只是一个建议,对OECD各成员国并没有强制力,同时关于数据隐私的立法问题,欧洲各国的意见也是各不相同。但是,这些建议却对《关于涉及人格数据处理的个人保护以及此类数据自由流动的指令》的制定产生了极大的影响,该指令将这些建议全部纳入其中。
1981年1月28日,欧洲理事会(the Council of Europe)的各成员国签署的《欧洲系列条约第108号:有关个人数据自动化处理之个人保护公约》明确规定了在对个人数据进行自动化处理时,应当遵循以下原则:① 依据存储数据的目的,处理必须适当、相互关联并且不超越此目的范围;② 以明确、合法的目的进行存储,并不得以不符合这些目的的方法使用;③ 公正、合法地获取和处理;④ 数据以特定形式存储,可允许对数据主体进行与数据保存目的相应的识别;⑤ 数据必须准确,必要时随时更新。对于特殊类别数据(敏感数据),公约也作出了相关规定:政治见解、泄露种族血缘、宗教或其他信仰的个人数据,关于健康的或性生活的个人数据,除非国内规定了适当的保护措施,否则在原则上不得进行自动化处理。
欧盟委员会意识到欧盟各国数据保护立法的差异将会妨碍欧盟境内数据的自由流通。因此,1995年12月24日,欧洲议会和欧盟制定并通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,即《欧盟1995年指令》,它成为欧盟重要的隐私与人权立法之一。依照欧盟的立法体系,该指令在原则上对成员国公民是不会直接发生效力的,它主要是针对各成员国政府的,各成员国应将该指令转化为国内法。到20世纪末期,各成员国均已陆续完成了本国的立法工作。该指令是欧盟数据保护规章的核心,各成员国围绕着该指令制定了一系列可以保证欧盟内数据自由流动的法律,同时该指令为个人数据保护订立了共同的标准。它所建立的原则适用于私人或商业生活的一切领域。《欧盟1995年指令》的主要内容有以下几个方面。
1.基本定义
《欧盟1995年指令》调整的是个人数据的处理,包括自动处理和非自动处理。依据本指令第二条,个人数据(Personal data)的基本定义是:任何一个已被识别的或能被识别的自然人(即数据主体)的任何信息,可以被识别的人既可以直接也可以间接被识别出,包括通过识别号码或他的身体、精神、生理、文化或社会特征因素中的一个或者多个。这个定义的范围极其宽泛,只要某人能够与某个数据产生联系,这个数据就是“个人数据”,如地址、银行账单、信用卡号、犯罪记录等。
数据处理的定义是:任何基于个人数据的操作,包括收集、记录、组织、存储、改编或修改、检索、咨询、使用、传播、分组与组合、阻止、删除等,无论这种操作是否采取自动方式,个人、法人、公共机关、机构和任何单独或共同决定处理个人数据的目的与方法的主体都是对数据编辑负有责任的“控制者”。而该指令不仅适用于在欧盟建立的控制者,而且适用于使用位于欧盟境内的设备来处理个人数据的控制者,这样就可以把该法的适用范围扩大到欧盟之外,欧盟之外的控制者在欧盟境内处理数据时也必须遵守该指令。一般来说,任何欧盟公民进行在线交易时都会处理一些个人数据,而且要使用欧盟境内的设备(此设备即消费者的电脑)来处理这些数据。这样一来,在线交易网站的运营商就必须遵守这个指令,《欧盟1995年指令》的影响也正是借此扩大到了非欧盟地区。
这条指令颁发的时间是在1995年,当时互联网的使用率尚未有大规模增长,直到目前,也很少有这方面的法院判决。
2.《欧盟1995年指令》的三大基本原则
只有满足有关条件才能进行个人数据的处理,这些相关的条件可归类为三个方面,也可以称为三大基本原则,即目的合法原则、比例原则、透明原则。
(1)目的合法原则
处理这些个人数据的目的必须合法,而且必须明确公开,不能用于其他目的。
(2)比例原则
处理个人数据的范围应该以相关、足够以及不超过信息收集和进一步处理的目的为限。数据务必保持准确,而且应该保持不断更新至最新数据,并采取合理的措施以删除或更正所有不准确、不完整的数据。人们辨别数据主体有赖于数据的保存方式,但这种方式的时间应当以完成数据收集目的及进一步处理为限。成员国必须对由于历史、统计或科学使用等原因而需要长时间储存的数据采取适当的安全措施。当处理敏感数据(如宗教信仰、种族、健康、政治观点、性状况等)时,还会受到其他的额外限制。如果数据被应用于直接的市场营销,数据主体可以随时提出抗议。
(3)透明原则
数据主体有权知道自己的数据是否被处理,也有权知道其他可能会发生的各种情况。控制者必须向数据主体提供自己的名称、地址、收集目的、数据的接收者以及其他必要的信息,而且必须保证数据处理过程的公平。
处理数据必须满足以下条件:得到数据主体同意;数据处理是履行法律义务必需;数据处理是签订或履行合同条约所需;数据处理是保护数据主体重大利益(vital interests)所需。
数据处理被控制者或者获得该数据的第三方所追求的合法利益需要,但是这种利益不能以牺牲数据主体的基本权利和自由为代价。数据主体有权利获知自己所有被处理的信息,有权利要求更正、删除不合理的数据和阻止不准确、不完整的数据的传播。
3.监管机构
该指令还要求成员国成立独立的监管机构,主要目的是监管本国的数据保护,向政府提出合理建议,通过实施合理的行政措施进行监管。如果出现违反数据保护监管的行为,必要时可启动法律程序。对于这些违法行为,个人可以向监管机构或法院提出诉讼或控告。
数据控制者在开始收集数据前,应通知监管机构,说明相关信息,包括控制者的地址、代表人、数据收集目的、数据类型、接受人的信息、是否向第三国传送等。至今,欧盟及其成员国均已成立了专门的个人数据保护机构。它们的名称见表8-1。(www.xing528.com)
表8-1 欧盟成员国的专门个人数据保护机构(部分)
续表
除此以外,欧盟还陆续制定了相关法律规范,主要有1997年9月15日欧盟委员会通过的《电信部门个人数据处理和隐私保护指令》。该指令不仅补充了《欧盟1995年指令》的内容,还着重强调了电子通信部门的有关保密、安全等原则。之后,2002年指令替代该指令,该指令不再有效。
1999年,欧盟出台了《关于在信息高速公路上收集和传递个人数据的保护指令》,强调了网络服务商必须承担的责任和对用户个人自我保护意识的培养,寻求个人权利的保护、确保网上信息交换的保密性和资料自由流动中的平衡。
2000年12月18日,欧洲议会和欧盟理事会共同通过了欧共体2001年第45号规章—《关于与欧共体和组织的个人数据处理相关的个人保护及其关于此种数据自由流动的规章》。该规章第一章总则认为,欧共体组织和机构应使自然人的自由和基本权利不受侵犯,尤其是保护他们及个人数据处理相关的隐私权,不应当限制或禁止他们之间个人数据的自由流动以及限制或禁止个人数据自由流动到受实施欧共体指令的成员国的国内法管辖的数据接收者。第二章与个人数据处理合法性的一般性规则紧密相连。一般性原则的主要内容包括:合法处理数据的标准、数据质量原则、数据处理的特殊分类、数据主体的权利、应向数据主体提供的信息、豁免与限制、数据处理的机密性与安全性、数据保护官员等。第三章主要为救济措施。第四章主要内容是欧共体内电信网络环境下的个人数据与隐私保护。第五章主要是关于设立独立监督欧洲数据保护监督员。第六章是最后条款。除此之外,还有五个附件。
2002年7月12日,欧洲议会和理事会又出台了《关于电子通信领域个人数据处理和隐私保护的指令》,替代了1997年的《电信部门个人数据处理和隐私保护指令》。
借助上述一系列法规和指令,欧盟构建了一套保护网络隐私权的完备的法律框架,不仅为网络服务商、用户,也为政府提供了清晰可循的原则。在所有的指令中,实践证明,《欧盟1995年指令》和2002年指令两个文件有力地推动了欧洲信息社会制度的建立。2002年指令,又称为《电子隐私指令》(E-Privacy Directive),它体现了欧盟在数字时代之下为保护隐私所付出的努力,弥补了之前指令的不足之处,在技术方面对《欧盟1995年指令》进行了合理的补充,力图解决技术引起的隐私保护的重大问题,包括信息保护、垃圾邮件、传输数据的处理、cookies等。
(二)欧盟数据保护监察专员
2004年1月,依据《欧盟1995年指令》成立了一个独立的监管机构—欧盟数据保护监察专员(European Data Protection Supervisor,EDPS)。该机构具有监管、咨询、合作三项职责,主要目标是保证欧盟各机构尊重数据处理方面的隐私权和进行数据保护,并提出新的政策。
1.监管
监督欧盟各机构的数据处理是欧盟数据保护监察专员的核心任务。欧盟各机构内部均设有“数据保护官”(data protection officers,DPO),他们和数据保护监察专员共同执行这项监管任务。数据保护官负责向监察专员汇报所有涉及个人敏感数据的数据处理和其他具有特别风险的数据处理。数据监察专员在经过认真分析后可以提出预先检查的意见。在多数情况下,针对监察专员会提出的建议,欧盟的机构都要执行。例如,2009年监察专员就发出了100多个预告检查的意见,主要涉及健康数据、员工评估、招聘、时间管理、电话记录及安全调查等方面。
如果欧盟工作人员或者其他任何人员认为欧盟机构错误处理了他们的数据,可以向监察专员提出合理的投诉,这些投诉包括违反保密规定、数据的获取、非法收集、更正权与使用个人数据等。
监察专员也可以根据一些问题发出专题指导,这些指导主要针对特定领域,如招聘、处理纪律数据和视频监控等。
2.咨询
监察专员可以对欧盟委员会、欧洲议会及欧盟理事会提出有关数据保护的建议。它可以通过多种方式提出建议。例如,通过“正式意见”的形式来提出立法建议,也可以通过“评论”或“政策文件”的形式。
监察专员所关注的问题涉及面较广,在最近几年,关注的问题包括“恐怖主义财务追踪计划—全球银行间财务电信协会”(Terrorist Finance Tracking Program - Society for Worldwide Inter bank Financial Telecommunication,TFTP - SWIFT)中获取财务信息的问题、《关于电子通信的电子隐私指令》修改问题、关于内政和司法的斯德哥尔摩计划的提出,公众获取文献的问题、技术的发展以及全球化等。
同时,监察专员还可以在欧洲法院上陈述相关的意见。例如,2009年6月,监察专员围绕“巴伐利亚啤酒”案发表了关于透明原则与数据保护的意见。
3.合作
数据监察专员与其他数据保护机关共同致力于整个欧洲的数据保护事业。他们合作的主要基础是《欧盟1995年指令》第29条建立的“数据保护工作会谈”(Data Protection Working Party),监察专员毫无疑问在其中发挥了极大的作用。此外,它与各成员国的数据保护机构有两个定期的协商渠道:一个是“欧洲大会”,主要参加者是监察专员及欧盟成员国和欧洲委员会成员国的数据保护机构;另一个则是“国际大会”,参加范围更广,私立机构也可参加。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
