欧盟个人信息保护法律实践-个人数据保护指令

2019-07-12 18:49:27

在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国和法国影响较大,所以,欧盟强调的个人信息保护,从民法上讲就是信息自主、信息控制和信息自决,其对国内的学者影响较大

在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国和法国影响较大,所以,欧盟强调的个人信息保护,从民法上讲就是信息自主、信息控制和信息自决,其对国内的学者影响较大。

为应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战,2016 年,欧盟通过了新的数据保护法案《通用数据保护指令》(又称《一般数据保护条例》)(General Data Protection Regulation,GDPR)并于 2018 年生效,取代先前制定的《个人数据保护指令》,旨在为加强欧盟区居民的数据保护,特别是指令对儿童信息使用和准许的保护,提供更加坚实的框架,指导跨欧盟个人数据的商业使用而设计的。其对于国际间的数据流动引入了新的职责和限制。此外,该指令还包括广泛的与隐私相关的要求,将对组织的立法、合规、信息安全、市场、工程和人力资源管理产生巨大的影响。

指令第一章第四条对 “个人数据”做出了明确定义,即与自然人相关的识别信息或可识别的信息;“可识别的自然人”是指能通过直接或间接方式,特别是通过参考姓名、身份证号、位置信息或通过物理、生物、遗传、精神、经济、文化或社会身份中一种或几种方式能够识别的个体。

不论是早期的《个人数据保护指令》还是新颁布的《通用数据保护指令》,均体现了欧洲大陆法系国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点。总体上,欧盟基本上是把个人信息等同于个人隐私,然后各国设立隐私官行政主管机构,用公权力来进行介入。

以谷歌为例,2010年5月20日美国《纽约时报》网站报道,西班牙、法国和捷克官员宣布,计划就谷歌从本国无线网络用户那里搜集数据一事展开调查,因为谷歌的行为违反了当地的隐私保护法律,从而增加了谷歌公司在欧洲遭受制裁的可能性,而事情的起因则是谷歌公司在5天前表示,该公司无意间从全世界未加密的无线网络用户那里搜集到600 G的数据,据称这些数据属于电子邮件等个人信息。

2015年,法国数据保护机构国家信息与自由委员会(CNIL)拒绝了谷歌不执行“被遗忘权”的请求,距离制裁谷歌又迈进一步。 起因是欧盟最高法院去年5月裁定,允许用户从搜索引擎结果页面中删除自己的名字或相关历史事件,即所谓的“被遗忘的权”。根据该裁决,用户可以要求搜索引擎在搜索结果中隐藏特定条目。但是,谷歌拒绝CNIL的要求删除包括Google.com在内所有搜索网站中的内容。对此,CNIL发言人称,谷歌已被要求立即执行“被遗忘的权”,允许法国民众要求谷歌删除其所有网站上的敏感信息。如果谷歌拒绝执行,则CNIL在未来两个月内会准备制裁谷歌,最高可能被罚款15万欧元(约合16.9万美元)。如果再犯,将被罚款30万欧元。同时,美国消费者权利组织Consumer Watchdog隐私主管约翰·辛普森(John Simpson)也曾致信美国联邦贸易委员会(FTC),敦促FTC要求谷歌在美国执行“被遗忘权”。

无独有偶,2014年8月,著名社交媒体Facebook在欧洲也遭遇了类似的起诉。奥地利隐私保护人士马克西米利安·施雷姆斯(Maximilian Schrems)指控Facebook违背了欧洲数据保护法律,理由是Facebook包括参与美国国家安全局的“棱镜”项目,收集公共互联网的个人数据,违背欧洲数据保护法律,侵权用户隐私等。同时,施雷姆斯还指出,Facebook还通过“赞”按钮追踪第三方网站上的用户。另外,根据Facebook的数据使用政策和做法,他们会通过“大数据系统”监视用户在网上的行为,施雷姆斯表示此举违背了欧洲数据保护法律。该诉讼到了2.5万人的原告人数上限,另外3.5万名签名者都是表达自己对这起隐私诉讼的支持。大多数原告来自德国和奥地利这样的德语国家,他们对Facebook的隐私政策感到不满。荷兰、芬兰和英国也有大量用户参与其中。

在当前网络时代,个人信息的收集、存储、加工无时不有、无处不在。纵观欧盟的《通用数据保护指令》,其对个体权利、数据擦除等要求却难以实现,如数据主体应收到其个人数据是否正在被处理的确认,数据主体可以访问到与自身相关的数据,个人数据不再满足早期数据收集或处理目的时应对其进行擦除。此外,对于个人信息曾被哪些主体存储过、存储的地方也无法准确获知。

即便如此,欧盟在个人信息保护和立法方面还是值得学习和借鉴。其从个人信息的采集,到信息的使用和交流,一直到信息的销毁,整个信息的全流程、全周期都有很明确的行为规范要求。

作为个人信息的最大拥有者——政府机构,也同样和其他私有主体一样受到法律监管。欧盟设立的独立信息保护机构可对政府机关的个人信息泄露采取法律制裁。信息保护机构还可对企业的个人信息泄露行为进行检查、要求整改和定期报告,并追究法律责任。此外,该法律对于进入欧洲市场的企业也同样具有法律约束力,特别是向第三方进行个人信息转移。

除上述保护法规之外,欧盟还制定了防范用户在通信服务过程中潜在风险的《隐私与电子通讯指令》(Privacy and Electronic Communications Directive)、对成员国在人类使用医疗产品最佳临床实践进行监管的《临床试验指令》和用于金融数据管理的“Convention 108”等相关法律、法规。

标签  个人信息  欧盟  隐私保护  

这是一个专为移动设备优化的页面, 基于AMP(Accelerated Mobile Pages)是谷歌的一项开放源代码计划

完整版本:http://qisec.cn/a/69

黑老头(hlaotou.com), 致力于个人隐私保护

2.219ms