查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《武大国际法评论》
欧盟关于跨境资料转移的资料保护水平适当性制度述评
【英文标题】 A Study of the EU System of Adequate Data ProtectionConcerning Transborder Data Flow
【作者】 李晓述 孔令杰【作者单位】 武汉大学国际法研究所
【分类】 国际经济法
【中文关键词】 欧盟;跨境资料转移;资料保护水平适当性制度
【英文关键词】 EU;transborder data flow;adequate level of data protection
【期刊年份】 2009年【期号】 1
【页码】 223
【摘要】

个人资料保护水平适当性制度是欧盟有关跨境资料转移中个人资料法律保护体制的基石。若一国被欧盟认定为具备适当的资料保护水平,它在资料转移上将享有与欧盟成员国同等的待遇;反之,欧盟将禁止向其转移个人资料。弄清资料保护水平适当性制度在跨境资料转移体制中的地位和作用,界定适当资料保护水平的内涵,考察欧盟对第三国资料保护水平适当性的认定情况,指出资料保护水平适当性制度的优势和缺陷,提出我国的对策,无疑具有重要的理论和现实意义。

【英文摘要】

The adequacy in data protection system is a core tool for the EU toregulate transborder data flows. If deemed as providing an adequate level of dataprotection,a country may enjoy national treatment as an EU member state. Otherwise,EUwill prohibit or restrict transferring data to that country. It is theoretically and practicallymeaningful to examine the status and function of the adequacy system,to defineadequacy, to investigate EU's evaluation of data protection levels in third countries,toanalyze the merits and drawbacks of the adequacy system,and to propose countermeasuresfor China.

【全文】法宝引证码CLI.A.1137856    
  目次
  一、跨境资料转移与个人资料保护
  (一)规则内容
  (二)程序与执行机制
  (三)行业自治与资料保护水平的适当性
  二、适当资料保护水平的内涵
  三、第三国资料保护水平适当性的评定
  (一)欧盟委员会对第三国资料保护水平适当性的认定
  (二)成员国与资料转移人对第三国资料保护水平适当性的认定
  四、结论
  一、跨境资料转移与个人资料保护
  自20世纪70年代以来,在计算机等信息处理技术的推动下,大量的个人资料可跨越国界,在分布于世界各地的众多资料使用人之间流转。[1]20世纪90年代前,资料跨境转移还只是特定当事方之间通过磁盘等笨重的物质储存媒介跨越边境传递信息的特定行为。如今,在互联网和信息时代,技术革新与社会沿革已彻底打破了传统的信息跨境流动模式。[2]信息变成世界经济中一种新型的“原材料”。[3]资料跨境转移成为跨国企业有效运作的生命线。[4]跨境资料流动不仅是企业运作、国际贸易和电子商务发展的基础,也成为全球化进程重要的内在推动力之一。[5]
  固然个人资料在各国间自由流动与自由贸易一样能够提高人类的福利水平,但个人的资料权利也逐步被欧洲各国提升到保护人权的高度。一方面,应促进个人资料在各国政府和企业间自由流动,另一方面,也要给转移的个人资料提供适当的保护。由此,资料自由流动与保护个人的资料权利就成为一对主导跨境资料转移的基本矛盾。目前,除欧盟成员国之间外,其他国家和地区间的个人资料保护水平仍参差不齐,跨境资料转移中的资料保护成为全球资料流动的主要障碍。意识到资料保护具有国际性,它涉及政治、经济、科技等多重因素,同国家间的政治、经济等关系密切相关,经济合作与发展组织、欧洲理事会、[6]欧共体和欧盟、[7]亚太经合组织[8]及联合国[9]等区域和国际组织从不同的角度,积极地介人跨境资料转移中的资料保护,融合与统一各国立法,尽量消除和减少资料隐私保护给跨境资料流动造成的障碍,加强各国在资料隐私跨境保护上的互助与合作。[10]其中,欧盟有关跨境资料转移中资料保护的法律制度最为完备。
  对跨境个人资料转移,[11]欧盟确立了内外有别的两套制度。对内,为扫清个人资料在欧盟内部跨境流动中资料保护这一障碍,欧盟通过《资料保护指令》[12]给成员国划定了资料隐私保护水平的底线,禁止成员国借资料保护之名阻碍个人信息在欧盟境内自由流动。[13]对外,以保护欧盟公民的个人资料为目标,欧盟原则上禁止向不具备适当资料保护水平的第三国转移个人资料。[14]从某种意义上而言,这为欧盟公民的资料隐私铸起一道“长城”,也给第三国从欧盟转移个人资料拉起了一帷“铁幕”。
  个人资料一旦跨越欧盟边境,欧盟为其境内资料处理构建的完美法律监督机制将变得束手无策,对资料保护也可谓“心有余而力不足”。不仅个人将失去对资料的必要控制,欧盟和成员国也无法对转移资料的后续处理实施有效的监管。倘若第三国资料保护水平较高,欧盟自然可以高枕无忧。而实际上,欧盟境外的多数国家还未制定资料保护法,或即使已经立法,其法律的内容和执行机制也与欧盟指令大相径庭。为此,禁止向不具备适当资料保护水平的第三国转移资料就成为欧盟有关对外资料流动的基本原则。
  总体而言,从欧盟向境外转移个人资料的法律依据有三:①经欧盟认定,第三国具备《资料保护指令》第25条(2)所指的适当的资料保护水平;②资料转移属于指令第26条(1)为保护优先性的公共利益或资料当事人的权益所规定的例外情形;③资料转移人采取了指令第26条(2)所指的充分保障措施。应该说,资料保护水平的适当性是第一项和第三项依据的灵魂。
  根据资料保护状况,欧盟将第三国分为两类:一类具备适当的资料保护水平,另一类则不然。对于前者,考虑到跨境资料流动对国际贸易的发展至关重要,而且它们也为欧盟公民的资料隐私提供了充分的保障,欧盟赋予其成员国般的同等待遇,要求不得仅借资料保护之名限制向此类国家转移个人资料。而对于后者,由于它们不具备适当的资料保护水平,欧盟原则上禁止向其转移个人资料。[15]
  除了作为评定一国资料保护状况的标准外,资料保护水平的适当性还是欧盟断定资料转移人采取的保障措施是否充分的法律依据。[16]
  二、适当资料保护水平的内涵
  《资料保护指令》仅规定了评定一国资料保护水平所应考虑的因素,未明确适当性的内涵及认定适当性的标准和方法。根据指令,评定资料保护水平的适当性应考虑“资料转移或一系列资料转移关涉的全部情形,尤其应考虑资料的性质、资料处理的目的和期间、资料来源国和最终目的国、该国现行的一般或特定领域中有关的法律和法规以及在该国实施的职业规则和安全措施”。[17]作为欧盟在资料保护上的智囊团,欧盟委员会的资料保护工作组[18]不仅界定了适当性的内涵,还明确了委员会评定适当性的标准和方法。
  经汇总先前的研究成果,[19]工作组于1998年通过了《向第三国转移个人资料:资料保护指令第25条和第26条的适用》。[20]该工作文件界定了欧盟在认定资料保护水平适当性上的基调,明确了适当性的内在要求,阐释了认定适当性的标准和方法。工作组认为,资料保护旨在保障资料当事人的权益,并主要通过确立资料当事人的权利与资料控制者和处理者的义务实现上述目的。在上述权利和义务上,《资料保护指令》与欧洲理事会的《资料保护公约》[21]、经济合作与发展组织的《资料保护指导原则》[22]以及联合国的《资料保护规则》[23]一脉相承,而且它还在很大程度上统一了成员国的资料保护法。然而,只有在现实中得以切实的执行,资料保护规则才能发挥保护资料隐私的作用。为此,“评定资料保护水平的适当性不仅要考察适用于资料转移的规则,还要核实确保这些规则得以有效实施的现有机制”。[24]
  长期以来,欧洲各国在立法和执法上已经形成一套独特的资料保护传统:制定全面的资料保护法,明确资料保护原则、个人的权利和资料控制者的义务,设立以资料保护机构为中心的执行机制,通过事先审查和事后调查监督资料处理活动,协助个人行使资料权利。而在欧洲之外,至今,采取欧盟资料保护模式的国家还为数不多。除欧洲理事会通过对《资料保护公约》作出补充协定要求缔约方设立资料保护机构外,[25]OECD的《资料保护指导原则》、联合国的《资料保护指导规则》和亚太经合组织的《隐私框架》[26]都无法律约束力。
  鉴于这种状况,工作组指出,评定资料保护水平的适当性需要考虑两个方面的因素:(1)有关法律和规则的内容。(2)确保法律和规则得以实施的方式。[27]换言之,一国的资料保护水平与资料转移人采取的保障措施是否适当,不仅取决于有关法律、法规和规则的内容,还取决于它们的实际遵守程度。《资料保护指令》为欧盟各国确立了同等的资料保护水平,指令的规定也就自然成为欧盟评价他国资料保护法的内容和执行机制的基本依据。以指令为基础,工作组明确了资料保护规则应具备的核心内容以及有效的执行机制需要实现的目标,而且认定标准和程序也尽显功能主义的烙印。[28]
  (一)规则的内容
  从内容上看,资料保护规则应包括下列基本原则:
  1.目的有限原则(Purpose Limitation Principle):应为了特定的目的处理个人资料,后续的使用和散播也不得背离转移资料的目的。
  2.资料质量与相称原则(Data Quality and Proportionality Principle):资料应准确,且在必要情形下得以更新。对资料转移或后续处理的目的而言,资料应适当、必要且相关。
  3.透明原则(Transparency Principle):资料当事人应了解资料处理的目的、位于第三国的资料控制者的身份以及确保公正性所必需的其他信息。
  4.安全原则(Security Principle):资料控制者应根据资料处理的风险采取适当的技术和组织性安全措施。资料处理者等须按控制者的指示行事,无控制者的指示不得处理资料。
  5.查阅、修改与反对权(Right of Access, Rectification and Opposition):资料当事人有权查阅与其相关的资料,修改不准确的资料,并在特定情形下反对处理资料。
  6.后续转移限制(Restrictions on Onward Transfers):除非适用于后续转移的规则满足适当保护水平的要求,资料的最初接收人不得向他人再次转移资料。[29]
  此外,资料保护规则还应包括下列特殊规则:
  1.敏感资料:若转移敏感资料,应采取特殊的保障措施。
  2.直接营销:若为了直接营销的目的转移个人资料,资料当事人应可以在任何时候反对使用其资料。
  3.自动化个人决定:若完全以个人资料为依据作出对个人产生重大影响的决定,个人应有权了解作出决定的动因,并应采取措施保障个人的正当权益。[30]
  (二)程序与执行机制
  欧盟各国不仅通过制定全面的资料保护法将资料保护原则纳入其中,还建立了以资料保护机构为中心的外部监督机制。而欧盟外的多数国家既未制定资料保护法,也没有设立资料保护机构。有鉴于此,为评定资料保护水平的适当性,应确定资料保护执行体制所追求的目标,并将其作为评定第三国司法和非司法执行体制有效性的标准。[31]
  工作组将资料保护执行机制所追求的目标归纳为三点:
  1.确保较高的规则遵守水平,有效的资料保护机制一般具有下列特点:资料控制者对其责任具有较高的认识水平,资料当事人不仅具有较高的资料权益意识,还具备行使权利的必要手段。制裁措施以及由机构、审计者或资料保护专员开展的审计活动等也对规则的有效贯彻和遵守至关重要;
  2.为资料当事人行使权利提供协助和帮助,个人必须能够快速、高效地行使权利,且不承担过重的负担。为此,需要建立某种机构性的机制调查和处理个人提起的控诉;
  3.在规则遭到破坏时,为受害方提供适当的救济。这一因素至关重要,而且也需要一套独立的司法或仲裁体系,并在必要情形下对受害方进行赔偿,制裁违法行为。
  (三)行业自治与资料保护水平的适当性
  根据《资料保护指令》,评定第三国资料保护水平不仅需要考察该国现行的资料保护法律和法规,还要考虑有关的职业规则和安全措施。[32]按照上述功能主义方法,工作组也建议从内容和执行程序两个方面考察自治性规则,[33]评定其在保护
来自北大法宝


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1137856      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多