看到IAB Europe/TCF案中,一本GDPR评注被多次引用。而上海目前也没有解封的意思,闲着也是闲着,遂打算开始GDPR学习大计。今天先学习引言(P135-145),主要有三个部分:(1)GDPR立法进程;(2)相关机构对GDPR的影响;(3)GDPR的“指令”和“条例”之争。
GDPR的诞生
1.关于GDPR的第一份提案(an internal consultative draft of the GDPR Proposal)是2011年11月29日被提出的,到16年正式出台,18年正式生效还是经历了漫长的拉锯战。德国联邦宪法法院的一名法官(Johannes Masing)就曾撰文强调,欧盟层面的数据保护立法相较于德国宪法反而会降低数据保护的水平。
2.欧洲议会(The European Parliament)选了个叫Albrecht的议员作为GDPR提案的汇报人,他在报告中强调应该选择条例(Regulation)而非指令(Directive)作为欧盟数据保护的法律基础,旨在减少欧盟内各国支离破碎的分歧做法。(Regulation是普遍直接适用的而Directive仅规定实现结果还需各国在国内法中确定落实方法)报告之后效果很好,被欧洲议会纳入主要工作内容了。
3.2013年1月,Albrecht提交报告后,每一位欧洲议会的议员都被要求提意见。(有点像公开征求意见的感觉?)然后由于GDPR涉及的蛋糕太大了,各个议员都为了背后所代表的利益进行提案,创纪录地提出了3999份议案。(心疼实习生)因为修正案太多了,还专门整了个小组来做梳理、汇总工作。
4.此外,斯诺登棱镜门事件也是在2013年春天爆发的,这一事件也促进欧洲议会加速GDPR的立法进程,没有让巨量的提案阻止进度。
5.又整了大半年,到2013年10月,才把所有的提案给吸收整合,对原来提交的报告版进行调整。整合草案以49票赞成、1票反对、3票弃权在LIBE Committee(公民自由、司法和内政委员会)获得通过。
6.在LIBE委员会通过后,又对整合草案修修补补半年,2014年3月12日,在全体会议上以621票赞成、10票反对和22票弃权的表决结果批准了LIBE委员会的修正案。(终于GDPR的“一读”完成了)
7.欧盟立法还有另外一个程序要走,是欧盟的理事会(The Council of the EU),主席是半年一个国家轮岗的,从2012年开始轮了好多个半年直到2015年6月15日才把GDPR的草案给讨论完。
8.最后GDPR来到了立法的最后一个阶段“三部曲”,欧盟理事会、委员会和议会代表之间的闭门谈判。三个机构谈到2015年12月15日终于达成一致,又一个半年过去了。
9.然后2016年的5月4日,GDPR的正式文本终于发布,但是留了两年缓冲期。比较有趣的是,在这两年间,他们还是在不断对文本进行找茬,等到正式生效之日2018年5月25日,他们又发布了一份勘误表,对GDPR条款进行了实质性和文字上的调整。看来不管是多么繁琐的立法程序后,还是会有这样或者那样的问题。
相关机构
1.数据保护监管机构(Data Protection Authorities, DPA):欧盟层面有WP29和EDPS。EDPS和EDPB的咨询工作之间的关系现在由EUDPR来处理,EUDPR规范了欧盟机构、组织和机构的数据保护。DPO, Privacy by Design等制度都是DPA提出的。
2.欧盟法院(the Court of Justice of the European Union, CJEU)的相关判决对GDPR立法亦产生重大影响。如:
-裁定IP地址可用于识别个人因此属于个人数据( Advocate General Kokott in Promusicae, Scarlet Extended);
-裁定爱尔兰数据保留指令(the Data Retention Directive)因严重影响基本权利无效( in Digital Rights Ireland);
-裁定谷歌西班牙:1.在西班牙处理个人数据根据属地原则适用西班牙及欧盟法律;2.在相关数据不准确时,相关个人有权不在搜索结果中出现。(Google Spain)
-裁定“欧盟-美国安全港数据传输机制”无效,该判决(Schrems v Data Protection Commissioner),在GDPR出台前夕作出。GDPR序言第104条“同等保护”原则就是对此案的回应。
法院第一个基于GDPR作出的判决是Planet49案。
GDPR的“指令”和“条例”之争
1.GDPR带来的最重大变化之一涉及其法律性质。关于新规则应采取指令(Derective)还是条例(Regulation)的形式,已经进行了大量讨论。法规具有普遍适用性,可直接适用(即不要求成员国执行),而指令规定了要实现的结果,但将实现这些结果的方法主要留给成员国在国内法中执行。
2.在实践中,Regulation通常会导致更大程度的协调,因为其立即成为国家法律体系的一部分,而无须通过单独的各国立法;具有独立于国家法律的法律效力;并凌驾于与之相违背的各国法律之上。因此,GDPR直接适用于所有欧盟成员国。原则上,成员国无须通过国家立法将新规则纳入其法律体系。这意味着大多数国家的数据保护法要么被废除,要么在范围上被大幅缩小。同时,GDPR包含许多“开放条款”(即根据欧盟或成员国法律允许降级的条款)。
从2011年GDPR首次在议会被提出,到2016年正式出台,并于2018年正式生效,历经7年。相比较之下,尽管齐爱民老师早在2005年就提出过《中华人民共和国个人信息保护法示范法草案学者建议稿》(载《河北法学》2005年第6期)。但实际上《个人信息保护法》于2019年才被正式列入立法计划,2021年8月正式出台,并于11月1日生效。整个历程还是短很多。
很多前辈说,《个人信息保护法》里有很多GDPR的影子,那么我就从今天开始,正式地,好好地开始学习一下。
GDPR评注学习笔记(1)--GDPR诞生
作者:何琛来源:数据何规

看到IAB Europe/TCF案中,一本GDPR评注被多次引用。而上海目前也没有解封的意思,闲着也是闲着,遂打算开始GDPR学习大计。