塞尔维亚数据法制概述

来源:数据治理苑

文章摘要
塞尔维亚地处亚欧大陆主要交通线上,辐射面广,是巴尔干地区具有重要影响力的国家之一。塞尔维亚积极参与中国-中东欧国家合作机制,全力支持中国“一带一路”的倡议。

塞尔维亚地处亚欧大陆主要交通线上,辐射面广,是巴尔干地区具有重要影响力的国家之一。塞尔维亚积极参与中国-中东欧国家合作机制,全力支持中国“一带一路”的倡议。塞尔维亚也是第一批与中国签署《关于共同推进“一带一路”建设的谅解备忘录》的国家,成为与中国建立全面战略合作伙伴关系的第一个中东欧国家。而中东欧地区是丝绸之路经济带向西延伸的必经之路,也是亚欧大陆互联互通的关键通道。目前,塞尔维亚正同中国就在多瑙河沿岸修建新的港口和工业园区等项目开展积极的洽谈,这些项目都同中国“16+1合作”所倡导的加强内河基础设施建设的发展方向相一致。
随着新冠疫情全球爆发,塞尔维亚于3月15日进入紧急状态。塞尔维亚总统武契奇通过媒体向中国表示感谢,重申中塞两国友好情谊,表示“我们为两国间的友谊感到骄傲,我们永远不会忘记中国朋友的帮助”,强调这是塞尔维亚收到的第一批来自国外的疫情防控物资援助。
塞尔维亚数据保护法制受欧盟体制影响较大。早在2008年10月,塞尔维亚就通过了《个人数据保护法》,虽然对敏感数据的保护以及跨境数据传输方面的规定屡受诟病,但该法在长达十年的时间里仅做了两次细微修改,也未出台相应的实施细则。为了施行2008年《个人数据保护法》,专门设立了执法机构——公共利益和个人数据保护信息专员(Commissioner,以下简称专员)。2018年5月,欧盟《通用数据保护条例》(GDPR)的正式生效促使塞尔维亚立法者重新考虑修改本国的个人数据保护法。加之,大数据、云计算等新兴技术的应用对个人数据保护提出了新的挑战,也要求法律必须进行回应和修改。
2018年11月9日,塞尔维亚国民议会通过了新的《个人数据保护法》,力求实现其本国的个人数据保护框架与欧盟《通用数据保护条例》(GDPR)相协调。事实上,新法的出台就是为了确保塞尔维亚的个人数据保护水平与其他欧盟成员国相同,这也是塞尔维亚加入欧盟的一项法定义务。
新法共十章102条,涉及个人数据保护的一般规定、基本原则、数据主体的权利、控制者和处理者的义务、跨境数据传输、监管机构、救济及罚则、特殊情形的数据处理、法律责任和过渡性条款等。该法于2018年11月21日正式生效,并在9个月后正式施行,其他法律中涉及个人数据处理的条款应在2020年底前根据新法做相应的修正和调整。从整体结构和内容上看,新法实质上就是GDPR的直接转换,两者呈现出高度一致性的特点。
第一,对个人数据的处理进行了明确规定,通常只有取得数据主体的“同意”才可以合法处理个人数据。这里,“同意”的界定也比2008年《个人数据保护法》更为宽泛。新法规定的“同意”,不仅包括书面形式,还涵盖了数据主体的肯定性行为。需要注意的是,数据控制者或第三方的“合法利益”是首次引入该法。
第二,赋予数据主体广泛的数据权利。新法规定了数据主体的知情权、访问权、更正修改权、删除权、限制处理权、可携带权、反对权以及不受自动化处理决定权等权利,强化了数据主体对个人数据的控制,与GDPR的规定完全一致。
第三,赋予专员一系列执法权限,确保法律条款得以真正落地。作为执法机构,专员被赋予了调查检查、调取相关信息、采取矫正措施、起草标准合同条款、批准涉及主管机构之间的数据传输合同、复核认证证书、发表咨询意见以及参与国际交流合同等职权。同时,新法明确了专员的法律地位,并提供相应的资金、场所及人员保障,以确保其能够独立地行使职权而不受其他机构或人员的不当干涉。
与GDPR不同,新法专门规定了主管当局为了特定目的采集和处理个人数据的相关条款及其例外情形,上述条款加起来数量超过四十条。虽然在一定程度上确保了公权力机构数据处理活动的合法性,但也使得该法的适用更加复杂。主管当局基于特定目的处理数据的诸多例外条款的存在,也导致专员在执法阶段面临较大的不确定性。
此外,该法的一个重要进步是废除了数据收集的中央登记处。也就是说,未来的数据收集可以由数据控制者依照法律自行开展,而无需告知专员,也无需履行数据收集的登记义务。
总体而言,虽然新法并未达到理想状态,但确实为塞尔维亚提升其国内个人数据保护的整体水平奠定了坚实的法律基础。

技术驱动法律,专业成就未来