查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《浙江学刊》
论个人数据保护全球规则的形成路径
【副标题】 以欧盟充分保护原则为中心的探讨【作者】 冯洋
【作者单位】 浙江大学光华法学院{互联网与法学方向博士后}
【分类】 国际私法
【中文关键词】 个人数据;跨境流动;充分保护;隐私保护;替代机制
【期刊年份】 2018年【期号】 4
【页码】 63
【摘要】 欧盟试图凭借充分保护原则迫使其他国家的个人数据保护立法向欧盟靠拢,最终目的是建立以欧盟模式为蓝本的全球个人数据保护统一规则。欧盟单方面推行其个人数据保护标准不符合当前全球数据治理多元化的现实。未来数据隐私保护的国际标准不应只是某国或者某地区单方意志的体现,而应是全球各国共同参与建设、体现共识的产物。
【全文】法宝引证码CLI.A.1256770    
  
  1997年美国学者杰西卡·马修斯(Jessica Mathews)和安娜·施洛特(Anne Slaughter)分别撰文指出,1945年以来以联合国为核心的全球治理体系已难以继续推进,全球治理体系的建设需要另辟新径。尽管这两位学者对于全球治理新体系的演进路径有不同的看法,他们都认为计算机和通讯技术的发展已成为全球治理新体系发展的主要动力。[1]全球治理新体系的发展显著地体现在个人数据保护领域。欧盟委员会于1995年通过了《数据保护指令》(Data Protection Directive)(以下简称《指令》)。该法的出台标志着西欧个人数据保护进入“大一统”的欧盟法时代。2016年欧盟委员会通过了《数据保护基本法规》(General Data Protection Regulation)(以下简称《基本法规》),该法进一步加强了对个人数据的保护。欧盟意图使其创设的个人数据保护规则成为全球统一规则。欧盟个人数据保护规则“全球化”的重要推手是其创设的数据跨境流动的“充分保护原则”。该原则要求凡是接收欧盟个人数据的国家,其个人数据保护状况应达到充分(adequacy)的程度。
  当前欧盟的经济、政治实力依然强劲,它提出的充分保护原则得到一些国家的积极响应并不足为奇。问题在于,欧盟单方面推出此项原则是否能够得到世界各国的普遍认同,从而为构建“欧盟版”全球统一数据保护规则奠定基础。尤其需要考察的是美国和中国的态度。如果这两个与欧盟经济体量相当的大国不认同此原则,不按照欧盟的标准提高各自国家的个人数据保护,那么欧盟个人数据保护规则的全球化之路将很难实现。本文在剖析充分保护原则内涵的基础上,探讨该原则的世界影响,讨论的重点在于欧盟和美国是如何围绕该原则进行互动,希望能够为我国个人数据保护制度的构建以及我国参与全球个人数据保护规则的制定等问题提供有益的思路。
  一、欧盟个人数据的充分保护原则
  《指令》和《基本法规》均规定接收欧盟个人数据的国家对个人数据的保护应达到“充分”(adequacy)的程度。[2]对于这一限制,我们可以结合欧盟对其境内个人数据流动的规定来理解。在获得数据主体(data subject)的明确同意后,数据传送者可将相关个人数据在欧盟境内传送,但是不得径直传向欧盟境外。[3]只有当欧盟将其他国家的个人数据保护状况认定为充分后,在欧盟境内的个人数据才能自由流入这些国家。换言之,在个人数据流动问题上,实现个人数据充分保护的国家将被视为是欧盟领土的延伸。充分保护原则犹如一道人为构筑的“堤坝”,横亘在欧盟和其他国家之间,将个人数据的洪流挡在欧盟的一侧。
  充分保护原则在欧盟的确立是多种因素合力产生的结果。首先,这同数据的物理特性有关。数据具有无限复制、瞬时传输、传输成本极低等特性。放任个人数据出境,将使得境外不法分子利用所在国数据保护较弱的“优势”,对欧盟个人数据进行恶意利用,最终损害欧盟居民的利益,也使得欧盟在其境内维持严格的数据保护的努力大打折扣。其次,该原则的确立是吸取历史教训的结果,具有立法上的延续性。二战结束后,饱受纳粹暴行的西欧各国纷纷将隐私权上升到公民基本人权的高度加以保护。早在20世纪90年代初,德国等西欧国家便已将对等保护作为个人数据跨境流动的前提。[4]最后,充分保护原则的施行以欧盟强大的政治、经济实力为后盾。政治上,欧盟成员国是世界许多国家的前宗主国,对后者有着广泛的政治影响。经济上,当前欧盟是世界第一大经济体,是包括美国在内的世界许多国家的重要贸易伙伴和投资目的地。外国政府和企业为了能够最大程度地从欧盟市场获益,不得不以积极的态度回应欧盟对跨境数据的保护要求。
  非欧盟国家对个人数据的保护究竟要多充分才能构成欧盟数据保护法语境下的“充分保护”?这个问题可以从法律文本和实践这两个维度进行分析。从法律文本来看,无论是《指令》还是《基本法规》都未对充分保护进行定义,也未给出判断充分与否的标准。但是这两份法律文件都列举了审查他国个人数据保护状况应考虑的因素。《指令》规定与个人数据传送相关的所有因素都应该纳入审查的范围,其中尤其需要注意的是数据的性质、数据处理的目的和期间、数据接收国的法治程度以及行业规则和安全措施等四种因素。[5]《指令》的上述规定表明欧盟注重考察他国个人数据保护的实际状况。但是问题在于上述的规定较为宽泛,在审查过程中操作性不强,因为很难找到若干标准去客观地判断他国的法治程度的高低以及个人数据在事实上是否处于充分保护的状态。
  与《指令》相比,《基本法规》在审查标准上有所突破。这部法规较为细致地列举了3类审查标准,它们分别是(1)法治状况、对人权和基本自由的尊重程度、相关综合性立法和专门行业立法以及立法的实施状况;(2)存在掌握足够权力且有效运行的专门规制机构;(3)加入关于个人数据保护的国际条约或多边协定,从而在该领域负有国际法上的义务。[6]上述三类审查标准可谓是形式与实质并重。从形式上看,他国个人数据充分保护的标准较为明确,即,有无综合性立法和特别领域立法,有无专门规制机构,以及是否签署相关国际条约或多边协定。
  从实践来看,自1998年《指令》实施以来,欧盟先后认定安道尔、阿根廷、加拿大、法罗群岛等11个国家和地区的个人数据保护达到充分的程度。[7]通过考察欧盟委员会出具的11份审查报告,可以发现欧盟的审查主要是形式审查,即审查这11个国家和地区的个人数据保护法是否纳入了《指令》的原则和要求。如在2006年公布的加拿大数据保护审查报告中,欧盟委员会认定加拿大的《联邦个人信息保护法案》和各省同类法案纳入了《指令》的原则和要求。而对加拿大立法实施状况的考察,该报告的表述极为简略和模糊,该报告宣称:“关于加拿大相关数据保护核心原则的实施,(欧盟)委员会未发现任何重大问题;相反,自2002年以来,加拿大的数据保护机制及其实施已得到加强。”[8]
  11份个人数据审查报告显示欧盟不承认个人数据充分保护模式的多元化。只有当其他国家的个人数据保护在形式和内容上与欧盟模式大体一致时,这些国家才有可能被欧盟认定为实现个人数据充分保护的国家。欧盟模式形式上的两大显著特征在于全面覆盖公私领域的个人数据保护基本法以及专门规制机构。这一颇为单一充分保护认定标准表明欧盟按照其自身的标准保护数据隐私的坚定姿态。正如一位欧盟官员所言:“数据保护可以是解决当前诸多问题的一剂良方,但是它绝不是一个可以讨价还价的问题。”[9]
  二、充分保护原则与欧盟个人数据保护模式的世界影响
  在充分保护原则的推动下,欧盟个人数据保护模式得以在全球范围内被复制和借鉴。截至2017年9月,全球已有约120个国家制定了全面覆盖公私部门的个人数据保护法。从内容上看,许多国家的个人数据保护法同欧盟相关立法有着相当程度的相似性。2012年澳大利亚学者格兰汉姆·格林立夫(Graham Greenleaf)在比较当时欧洲以外38个国家的个人数据保护法后,认为这些法律普遍接受了1980年经合组织通过的《个人隐私和个人数据跨境流动指引》和1981年欧盟委员会通过的《欧洲与个人数据自动处理相关的保护协定》基本原则和要求。[10]这两个国际协定都是在西欧国家的主导下制定。此外,格林立夫还发现这38部数据保护法还或多或少地纳入了《指令》中的更高要求,如数据跨境的限制、创设专门规制机构、赋予司法救济的权利等。[11]
  其他国家的个人数据保护法同欧盟立法存在内容上的相似性,这并不能排除前者独立生成的可能性,但是这种可能性仅仅是理论上的。欧盟模式的世界影响可以从以下两个方面折射出来。首先,除以色列、新西兰等少数国家外,绝大多数非欧盟国家出台个人数据保护法的时间是在1995年之后,也就是《指令》出台以后。这些国家在进行相关立法时具有借鉴《指令》的时间条件。立法是国之大事,这些国家没有理由忽视当时已存在的欧盟同类立法。其次,从世界范围来看,该领域的法律制度呈现出从立法起源地向外扩展的轨迹,即,德国、瑞典等欧盟成员国—欧盟多数成员国—欧盟—绝大多数欧洲国家—世界其他国家。这一扩散轨迹反映出个人数据保护立法的起源地只有一个,即,70年代的以德国为代表的西欧国家。
  欧盟个人数据保护模式的世界影响是欧盟矢志推动的结果。2010年欧盟委员会在一份公报中明白地宣称:“欧盟关于数据隐私的法律制度常常被其他国家作为规制同类问题的标准。无论是在欧盟境内还是欧盟境外,欧盟这类制度的效力和影响力都是极为显著的。因此,以相关欧盟数据隐私立法为基础,欧盟须坚持推动全球个人数据保护法律规则和技术标准的发展。”[12]美国学者桑尼·于恩(Sunni Yuen)指出由于世界绝大多数国家不具备同欧盟讨价还价的实力,使得《指令》中的规则成为事实上的世界标准。[13]格林立夫在肯定欧盟个人数据保护立法的世界影响的基础上,提出以欧盟模式为蓝本形成全球个人数据保护法律体系的进路,即,将《欧洲与个人数据自动处理相关的保护协定》这个具有法律约束力的地区性的国际协定扩展成全球性的国际协定。[14]
  借助充分保护原则,欧盟的个人数据保护立法已具有相当的世界影响力,其已成为世界许多国家起草同类法律时所借鉴的重要制度资源。规定更为细致、保护力度更强的《基本法规》已于2018年5月正式实施,这意味着欧盟对希望进口其个人数据的国家提出了更高的制度要求,这将在客观上起到提升欧盟个人数据保护规则的世界影响的作用。但是断言欧盟个人数据保护的规则将成为全球统一规则还为时尚早。美国和中国与欧盟体量相当,这两国是数据的主要生产国和利用国。美国和中国是否接受欧盟个人数据保护规则将在很大程度上决定后者的“全球化”之路能走多远。美国启动个人数据保护立法的时间并不比欧盟晚,且在实践中形成了完全不同于欧盟的保护模式。本文接下来围绕美国的个人数据保护模式及其是否符合欧盟充分保护原则进行探讨。
  三、充分保护原则视野下的美国个人数据保护制度
  (一)美国模式不符合欧盟充分保护原则的要求
  与欧盟以基本法为主的个人数据保护模式不同,美国的个人数据保护制度形成了以行业自治为主,专门性立法为辅的保护模式。美国立法和政策制定者希望市场在个人数据保护方面发挥主要作用。[15]1998年在提交给国会的一份报告中,美国联邦委员会正式提出行业自治应是美国个人数据保护的主要途径。这份报告提出个人数据保护的五项保护要求,分别是:(1)告知消费者关于信息被收集的事实;(2)赋予消费者选择和同意信息使用和流转的权利;(3)应保障消费者获取被收集信息,以及纠正错误信息的权利;(4)企业采用合理、正当的方式收集、利用信息;(5)企业应制定有效的关于上述个人数据保护的实施机制和损害救济机制。[16]联邦贸易委员会的职责是监督这些企业切实地贯彻这些细则,使得后者兑现保护个人数据的承诺。[17]
  早在1971年,美国国会就制定了《合理消费者信用报告法案》(Fair Credit Reporting Act)。尽管立法起步早、数量较多,但是迄今为止美国国会并未制定出像欧盟《指令》、《基本法规》那样覆盖公私部门的个人数据保护法。当前覆盖范围最广的联邦法律是国会于1974年制定的《隐私法案》(PrivacyAct),但该法仅规范联邦政府机构收集、处理和保存公民个人信息的活动。由于联邦体制的关系,美国大多数州并未制定规范各自州政府机构使用公民个人信息的法律。除《隐私法案》外,美国其他关于个人数据保护的立法都是保护某一特定领域个人数据的专门性立法,如1988年制定的《录像带隐私保护法案》(Video Privacy Protection Act)旨在保护录像带租用客户的个人数据,其他通过立法规范的个人数据保护领域还包括无线和有线通讯、网上儿童隐私、计算机合理使用等。[18]
  从欧盟的视角来看,美国行业自治为主、专门性立法为辅的个人数据保护模式未实现对个人数据的充分保护,这主要体现在以下3个方面。第一,行业自我规制效果不佳。2000年美国联邦贸易委员会出具的一份调研报告显示,尽管绝大多数的商业网站制定了各自的个人数据保护规则,但其中仅有20%的细则体现了联邦贸易委员会于1998年提出的5项保护要求。[19]在这份报告中,联邦贸易委员会承认行业自治尚未实现对个人信息的充分保护。[20]2016年美国学者佛罗仁萨·马若塔(FlorenciaMarotta)对美国249个网站隐私政策进行测评后发现,73%的网站或多或少地与联邦贸易委员会提出的保护要求不符。[21]马若塔的研究表明仅仅依靠充分竞争条件下的行业自治并不能实现对数据隐私的有效保护。
  第二,专门性立法存在缺陷。2000年在承认行业自我规制尚未取得良好效果后,美国联邦委员会建议国会加强个人数据保护的立法。[22]但美国专门性立法存在严重的缺陷,这体现在:(1)与欧盟的基本法模式相比,专门性立法模式在个人数据保护范围上具有零散性和滞后性,无法将所有行业的个人信息和新兴行业的个人信息纳入到保护的范围中来;[23](2)现行不同法律对个人数据的界定不一致,有的法律将个人数据定义为识别某个自然人的信息;有的法律采用排除法,明确规定哪些数据属于公共数据,从而把这类数据从个人数据范围中排除出去;还有的法律明确列举了个人数据的类型。个人数据界定的不一致影响了美国个人数据保护法律制度的内部和谐;从法律相对人的视角来看,个人数据界定的不一致增加了相对人守法的成本。[24]
  第三,缺乏专门规制机构和相应保障机制。尽管美国有学者认识到,建立数据保护的专门规制机构已成为世界范围内的普遍现象,而缺乏这类机构的国家将处于不利的地位,但迄今为止无论是在联邦层面,还是在州层面,美国都没有建立这类机构。[25]以联邦机构为例,数据保护的职责分散在若干机构中,这些机构包括:联邦贸易委员会、消费者保护局、行政管理和预算局、金融管理局、社会保障局、卫生和公共服务部、国家电信和信息管理局等。这些联邦机构在个人数据保护方面缺乏明确的授权和职权分工。[26]另外,关于个人数据保护机构之间的沟通协调机制、相关程序和专门救济机制都未能通过立法建立起来。
  欧盟政府和法学界对美国个人数据保护的现状有清晰的认识。他们普遍认为美国的个人数据保护并未达到欧盟的要求。1999年欧盟数据保护工作小组出具的一份意见书提到:“当前美国以专门领域立法和行业自我规制为中心的个人数据保护制度,并不能为所有传入美国的欧盟个人数据提供充分保护。”[27]美国政府对美国和欧盟之间制度差异的现状也有清晰认识,尽管美国企业对于欧盟个人数据有着巨大的需求,但美国政府从未请求欧盟对其是否实现对个人数据的充分保护进行审查。迄今为止欧盟也从未启动关于美国个人数据保护状况的审查。
  (二)无法弥合的鸿沟——美国不会转向欧盟模式
  在欧盟的基本法保护模式被越来越多的国家所接受的大背景下,美国是否会选择接受欧盟模式,构建个人数据保护法和专门规制机构?构建这一制度带来的好处是显而易见的——能够消除欧盟和美国之间个人数据流动的制度障碍,促进双方数据经济的发展。通过分析欧盟和美国各自立法理念和历史进路的差异,我们可以发现至少在可预见的较长时期里,美国不会转向欧盟模式,具体分析如下:
  首先,欧盟和美国在数据隐私保护理念上存在显著不同。欧盟重视社会权利的保护。该理念认为公法是保障包括隐私权在内的公民社会权利的基础,而国家承担了提供这类保障的义务。公民隐私是否得到充分保护完全取决于隐私权保护的法律是否得到有效执行。[28]基于社会权利保护理念的欧盟数据保护制侧重于保障公民隐私权。对于数据流动,欧盟模式强调国家权力的全面介入,并进行事前合法性审查。
  美国隐私权保护深受自由主义理念的影响。该理念强调限制国家权力,对国家干预市场主体的行为持谨慎和怀疑的态

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1256770      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多