欧盟《一般数据保护条例》的出台背景及影响.doc

欧盟《一般数据保护条例》的出台背景及影响 作者：何治乐， 黄道丽 ??来源：《信息安全与通信必威体育官网网址》2014年第10期发布时间：2014-12-18 摘要：随着全球化和新技术的发展，欧盟现有的数据保护框架难以适应大数据带来的新挑战。欧盟委员会谋求建立新的法律框架以积极应对，2012 年 11 月通过《一般数据保护条例》。分析欧盟《条例》的制定原因，综述其给世界范围及中国带来的影响，对透析当代数据保护的发展趋势，为个人数据营造安全可信的在线环境具有重大意义。 　　0引言 　　大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数据无处遁形，而自然人的天然弱势地位导致其难以掌控自身数据。为了应对数字时代个人数据的新挑战，并且确保欧盟规则的前瞻性，欧盟委员会重新审视现有的个人数据保护法律框架，于2012年11月制定了具有更强包容性和合作性的《一般数据保护条例》(简称GDPＲ)。 　　1GDPＲ出台的原因分析 　　欧盟拥有较为完善的数据保护框架，包括一系列的指令、协议、条例等，其中最重要的是1995年通过的数据保护指令(以下简称“95指令”)，为欧盟成员国立法保护个人数据设立了最低标准。但是新技术的冲击，95指令在各成员国内的不协调性及程序的复杂化，都使得欧盟现存的法律难以应对不断出现的安全风险。 　　1．1法律规则统一的必要性 　　95指令设定了立法所追求的最低标准和目标，构成了欧盟数据保护法的基础。然而，由于成员国实施的具体方式和执法过程不同，加上各国独特的法律制度和文化传统，使得个人数据在不同的成员国享有不同的保护水平。不协调和失衡的法律适用严重影响数据保护的实际效果和欧盟内的数据自由流动。同时，分割方式的法律实施强化了法律的不确定性，公众开始普遍怀疑在线活动的安全性，数据保护法已经开始阻碍产业的成长。欧盟需要一个更强大和一致的数据保护框架弱化法律的分散性，提升个人的数据控制能力及市场的内部运作。 　　1．2减轻执法负担的必要性 　　有效的执行性和可操作性是每部法律追求的最终目标，过于严厉或者僵化的条款都会直接影响法律的操作性，而程序太过繁琐则会增加执行的费用和成本。现有的欧盟数据保护法的执行即存在这样的问题，例如限制数据国际流动的规定过于刚性，使得企业特别是跨国性的企业存在巨大的经营障碍。成员国将欧盟指令转化为内容不完全一致的数据保护法，企业必须与多国的数据主管机构进行交涉沟通才能满足合规性遵从，必然导致不必要的资源浪费。根据欧盟委员会司法专员维维安雷丁(VivianeＲeding)的报告，每年欧盟因为数据保护执法上的无序和混乱导致的成本就高达23亿欧元［1］。因此，消除现存框架中的繁杂条款，提高法律的针对性和效率以减少行政负担成为GDPＲ的重要目标之一。 　　1．3技术和贸易的全球化发展需要 　　网络的开放性和包容性使得个人数据更加公开化和全球化，数据共享和收集的规模随之增长。数据挖掘和分析技术使得私人公司和公共机构能够规模空前地利用个人数据追求其价值目标，这增加了个人数据的在线风险。95指令制定在将近20年前，使用互联网的人数尚少，个人数据的收集及处理限定在用户名、地址及金融信息。但社交网站的出现使这一情况发生了颠覆性的变化，每天的生活甚至地理位置信息都成为暴露的对象。74%的欧盟人认为个人数据的披露越来越成为现代生活的一部分，但同时72%的网络用户对他们所产生的过多个人数据感到担忧，他们感觉不能完全控制这些数据［2］。95指令的访问权(即用户有权访问他们的信息并且修改不当的地方，目的是确保信息的正确性)已经不能满足用户的需求，用户转而追求数据的控制权。 　　总之，新形势的出现使得传统规则不再能够很好的实现既定目标，因此需要调整现行框架，以便更好地应对新技术快速发展和全球化带来的挑战，同时要保持技术中立。2012年欧盟一般数据保护条例强化了自然人的数据保护权，协调了现有的各类数据保护规则，简化了跨国公司法规遵从的程序。 　　2GDPＲ提案的主要内容及分析 　　相比95指令，GDPＲ提案具有更强的包容性和适应性，将会成为未来欧盟个人数据保护法的核心和主要规则。较之于以前的数据保护规定，该条例在数据主体的权利，控制者的义务，数据传输规则等方面发生了明显的变化。 　　2．1数据主体的权利扩大 　　2．1．1数据的被遗忘和删除权 　　GDPＲ最引人注目的莫过于设计了数据的被遗忘和删除权。在记忆成为常态，遗忘成为例外的大数据时代［3］，被遗忘和删除权的立法规定无疑成为应对新挑战，保护个人数据的重要手段。GDPＲ详细构筑了被遗忘和删除权的构成要件，包括主体、客体、适用条件、例外情况及不遵守被遗忘和删除权的处罚措施。大数据的风靡和云计算部署的不成熟增加了个人数据的不确定风险，在技术创新的同时，法律保护成为必不可少的方式。对