淺說歐盟個人信息保護

楊瀟航

（斯旺西大學，英國 威爾士 SA1 3QS）

一、背景

隨著互聯網的日益發達，特別是從1990年開始，由于計算機的廣泛被使用，以及互聯網的出現，數據的收集、處理以及使用都發生了革命性的變化，這如同CATE所說的那樣：我們目睹了數字數據的爆炸式增長。伴隨著這樣的改變，個人數據的收集也發生了根本性的變化，從以往的手動編寫、定期歸檔等繁瑣步驟，演變成了現在的電子收集和電子搜索。這樣的演變無疑給人們的生活帶來了巨大的便利，能使得人們的個人數據更廣泛和便利得到了流通，特別是在人才引進和就業方面，招聘者能更加快捷檢索到符合自己公司所需要的人才。對于就業者來說，及時更新自己在網上的個人數據，也能更快地吸引招募者，使得畢業生在畢業后能更快就業，讓社會人才得到了充分的利用。甚至個人數據更能發揮在我們生活的方方面面，例如，在電子交易廣泛的現代社會，電商的廣泛出現，越來越多的人使用網絡購物，在這些購物網站上注冊賬戶，填寫自己的個人資料（包括實名注冊，地址和聯系電話），而電商平臺通過這些顧客購物或者搜索的愛好，給這些賬戶推薦相似或者相同的產品，以此在滿足客戶需求的同時，也使得自己的銷售最大化。

二、一般數據保護規則的出現和原則

伴隨著犯罪的發生，以及社會的需求，雖然在早些年里，歐盟的一些國家出現了屬于自己的法律來保護個人數據，例如在1998年英國就通過了DPA 1998，以及法國和愛爾蘭也制定了自己國家的數據保護法，隨后其他國家也紛紛效仿。這是一個很好的開始，但是問題也很明顯，因為歐盟地區擁有眾多國家，雖然看似是獨立的，但它們也是一個聯盟，不管是在交流、經濟等方面都有密切的聯系，那么如果每個國家都擁有屬于自己獨立的個人數據保護法，當國與國之間，因個人數據產生分歧的時候，就很難得到協調。所以之后出版了《2018 年一般數據保護規則》（GDPR），來規范歐盟地區，規范各個國家對個人數據的保護，實際情況是，GDPR是為了調整各組織在處理每個區域數據時，要求遵循GDPR的法律要求。雖然它不像20世紀70年代數據法得到了真正的革命，但是，它在規范歐盟各個國家的個人數據法上起到了關鍵的作用。［1］

關于GDPR的理解對于歐盟國家的影響，與其說它是一部完整的法條，不如說它更像是一種法條和指令，它在確定規則的同時也延續了原則，也就是說其他歐盟國家是允許制定自己國家的個人數據法的，但是必須遵循GDPR的指令標準。其他國家在制定自己的法律時，不能比它的最低標準還要低，例如第8條（1），關于兒童同意的條件中有著一定的說明，該條令指出，未滿16周歲的兒童，只有在獲得父母責任持有者的同意或授權時才合法。會員國可通過法律規定較低年齡，但此種較低年齡不得低于13歲。

對于GDPR來說，它有著幾個重要的原則，而這幾個原則也是對歐盟各個國家影響最深的，因為歐盟的國家想要立法，就必須遵循這些原則，因為原則是不能被打破的，同時原則就是最低標準的另外一種詮釋。它們位于第二章，也是第5條。關于對它們的理解，可以詳細了解到對于個人數據的收集，利用，保護以及后期的更新刪除的準則。首先提出的就是，個人數據必須合法、公平和透明的方式處理，作為法律準則的要求，最低的“門檻”應該就是合法了。對于收集公民的個人資料應該是采取的合法手段，詳細的合法性可以看到第6條的相關規定，而第6條總結性來說，個人數據的收集和處理，是為了給數據主題或者另外一個自然人帶來切身的利益，或者是為了執行公共利益所必要的，但是這些利益和這些必要行為不能和自愿相沖突，也就是說，收集數據的手段必須是自愿性質的，而不是通過職權進行的一種強迫行為。并且，在收集這些數據的過程必須是透明的。考慮到一些個人隱私數據的收集，例如性取向、宗教以及政治傾向等敏感問題時，需要滿足一定的條件時才能收集，否則是不合法的。［2］第二個原則在與目的的限制性，也就是說，當控制機構在向數據主體收集數據時，應該詳細說明收集數據的目的，等同于說需要收集哪些數據。以及收集這些數據之后，后續的處理必須是合法的，同時也要符合之前所提到的目的。限制性原則基本上主要分以上兩點。也就是說，控制人員應該將收集的數據在目的范圍內使用，不能超出這個目的，不然就是不合法的。同時也不能誘導數據主體，在收集完數據之后用作和收集時完全不同的目的。

三、案例分析

在著名的案件Google Spain v AEPD and Mario Costeja González中，該案的裁決被稱為所謂的被遺忘的權利，盡管法院并沒明確指出該項權利，而使用歐盟基本權利憲章中的第七條和第八條進行的取代。案件的事實是，1998年，西班牙在報紙上發布了兩個公告來吸引投標人，設計社會保障債務而被迫出售的財產。但是直到2009年，Mario在GOOGLE搜索他的相關資料后，仍然可以搜索到當時關于自己的相關數據，并且出售已經在幾年前就完成，已經不再適用了，所以在2010年2月，他與GOOGLE在西班牙的子公司聯系，要求刪除那些數據。子公司將該事件向在美國的總公司反映，之后Mario也向AEPD提出了申訴，AEPD的局長也呼吁GOOGLE刪除數據。但是GOOGLE提出了反訴，認為首先是管轄范圍問題，自己不在歐盟地區，子公司不承擔責任，其次GOOGLE認為自己只是第三方，不是數據控制者，并認為當事人（MARIO）無權要求合法出版的資料。但是最后法官認為：Google Inc.和Google Spain應該被視為一個單一的經濟單位。允許數據主體請求刪除數據，即使信息不一定對數據主體有害。從該案中可以看到，MARIO在登記自己的數據的時候，根據的目的是很明確的，也就是作為投標人進行投標，但是之后，出售已經完成，也就是目的已經完成，那么根據GDPR的原則存儲限制，在保留期屆滿后，有關的個人資料應予刪除或銷毀，而刪除或銷毀的時間，似乎也能從該案件中出，Mario在出售之后就本應該被刪除的數據，而在目的達成的幾年后依舊能在GOOGLE上搜索到，所以最后法官判定，數據主體有權要求刪除數據。該案例之所以在歐盟數據保護中這么出名，因為該裁決為公眾辯護提供了重要平臺，正如Julia Powles在（Guardian）的一篇文章中所表示的，在歐盟委員會即將頒布的GDPR中考慮了該指令的改革，而這項指令是為了給公眾辯護提供平臺。［3］

四、GDPR的影響

雖然新的GDPR為媒體公司，例如報社和新聞工作公司提供了相應的保護，給予他們一定的豁免。但是，GOOGLE公司并不被歸類為媒體公司，所以不享受一定的優惠待遇。歐盟法院的法官裁定，因為國際公司GOOGLE是數據的收集和處理者，所以它是符合GDPR中對數據控制者的定義的。因此，該案件中，歐盟法律要求數據控制者，也就是GOOGLE公司刪除不適當、不相關或者過期的數據，在歐盟是具有很重要的影響的，同時在全球也是有一定的重要性的。

在德國，針對個人數據的保護，考慮到人格問題，為了保護已經定罪的罪犯的人格，德語的維基百科將刪除這些兇手的名字。德國的網站不再能搜索到這些檔案，首席法官Gregory Galke說，“這不是一張空頭支票”，并指出已經考慮到罪犯改過自新的情況。

五、小結

2018年正式實施的歐盟最新GDPR，不僅使歐盟數據對象的個人數據更安全、更快捷，而且對全球范圍產生了廣泛而深遠的影響，為大數據隱私保護時代創造了一個新的基準。