【摘要】为应对大数据时代个人信息保护面临的新型风险,欧盟出台了《通用数据保护条例》,引入了新的个人信息保护原则,丰富了信息主体的权利体系,加大了对信息侵权行为的处罚力度。相比较而言,我国尚未有关于个人信息权保护的专项立法,个人信息保护面临诸多问题,在此可以借鉴欧盟相关立法经验,完善我国个人信息保护的基本法律框架,明确信息主体权利体系的内容,加重信息控制者和处理者的义务与责任,设置专门的监管机构等。
【关键词】欧盟《通用数据保护条例》个人信息权 大数据时代 立法完善
* 本文首发于 季立刚主编:《金融新发展的法治之维》,法律出版社2017年版。
- 基金项目:国家社会科学基金一般项目“大数据时代金融消费者信息权保护制度研究”(15BFX112)阶段性成果。
为网络发布便宜,文章省略脚注,详情请参考《金融新发展的法治之维》刊载原文。
《欧盟指令》出台17年之后,欧洲使用互联网及其他线上服务的用户已经从1995年1%,迅速上升至2012年60%。面对蓬勃发展的网络服务及新兴科技所带来的挑战,原来由指令所创设的个人数据保护基本框架已经力不从心。加之,27个成员国对于指令的施行情况也是千差万别,在新的网络服务背景下执行指令规则愈加困难。
一、出台背景
(一)应对新技术的挑战和冲击
之所以要对《欧盟指令》进行修改,其中主要原因之一就是回应新兴技术特别是大数据、云计算等对个人数据保护造成的冲击。欧盟指令实施17年之后,新的通讯方式深刻改变了人们分享个人信息的模式,如云计算意味着更多资料被存储于远程服务商而非本地电脑,个体需要保持对个人数据资料的有效控制。
第一,新生代科技,如行为定位、云计算、大数据、方位追踪等不仅对现有数据保护框架中的个人数据、数据控制者、处理者等基本概念提出了新的解释要求,还需要人们对“同意”、“删除”等问题进一步深入思考。
个人信息所涉及的范围及种类也愈加丰富,从早期的用户名、地址或者金融信息发展到现在的图片、录像、位置以及日常生活信息等。《欧盟指令》确立的七项核心原则中规定了“获取权”,即数据主体有权获取其个人数据并且可更正出现错误或过时的信息。这里,获取权的本意是赋予数据主体将储存于数据库中出现错误或不完整的信息加以修改或删除。而现在,数据主体已经不仅仅限于修改数据,更希望对个人数据进行有效的常规性管理,以防止信息的过度分享及使用。
而且,云计算的出现又迅速改变了人们使用网络的方式。云计算的核心理念,即在远程服务器而非用户自己的电脑上存储数据、档案及其他资料。虽然云存储能够大大降低用户的存储成本,但是其在远程服务器上存放的信息也面临着被泄露的危险。在互联网、云计算出现之前,数据泄露也仅仅涉及个人的用户名、地址,最坏也就是信用卡信息;但是现在一旦出现网络数据泄露,可能包括涉及个人的所有影像资料及档案,其直接后果就是用户的身份被盗用。2007年欧盟欺诈预防专家组在其报告中就指出,英国每年因为身份盗用而导致17亿英镑的损失。各国监管机构开展了联合行动,以应对网络黑客及其他网络犯罪行为,但是依然不能阻止不断发生的数据泄露事件。一些著名的社交网络如LinkedIn都发生过数据泄露事件。
第二,更多的网络用户更愿意分享和传播个人数据信息,尽可能充分发挥个人信息的使用价值。各类搜索引擎如google、百度以及各种社交网站如Facebook、Twitter、微信、QQ等代表的网络虚拟生活已经成为日常,也使得分享和传播更加便利、快捷和开放。而促进信息的流动及分享,不仅可以增强用户的信心,还可以有力的推进实体经济的发展。正如欧盟委员会副主席Viviane Reding所指出的那样,“这次改革不仅帮助人们更好的知晓其享有的权利,更有效的控制其个人信息,还可以大大降低运营成本。一个强有力的、清晰的和统一的法律框架将促进数字化单一市场的繁荣发展,提升消费者的信心,创造更多的就业机会”。
(二)1995年《个人数据保护指令》在施行过程中存在着明显不足
虽然《欧盟指令》的宗旨在于希望所有成员国通过修改自身数据保护法律的形式达到同等个人数据保护水平,并确保数据信息在欧盟内部市场上自由流转,但是原有的保护框架仅仅是部分实现了该目标。正如欧盟理事会在其修改指令建议中所提到的那样,“指令的目标和原则是良好的,但却不能阻止欧盟数据保护执行中的碎片化问题、法律的不确定性以及公开对网络个人数据保护风险的批评及质疑。正是由于各成员国对指令的执行和使用的不一致,造成了个人数据保护水平在不同国家大相径庭。而对个人权利及自由的保护标准及各成员国有关个人数据处理法律规定的区别,都可能妨碍个人数据在欧盟区域内的自由流动。上述种种差异性,会严重阻碍欧盟整体经济活动的发展,扭曲市场竞争秩序,并对相关执行机构履行保护职责产生负面影响”。
换言之,指令虽然对成员国有约束力,但需要通过成员国修订国内法的方式进行转化适用。而指令中诸多条款及执行措施模糊笼统,给各成员国留下了解释法条及适用的操作空间。正是因为各成员国按照自己的理解进行条文的诠释及转化适用,同一数据的处理在不同成员国采用了不同的标准,也受到了不同的对待,对跨境数据流动造成了不小的负面影响。
与此同时,如果用户想要停止使用社交网络服务,完全彻底地删除个人信息却是难上加难。因为大量的数据不仅仅存在于社交网络服务商的数据库中,还存储或传播到其他网络服务中,想要完全删除几乎不可能实现。而且,由于各成员国对于指令的执行不同,行使删除数据权在一些国家要比另一些国家更为便利,又带来执行上的不一致。
指令虽然规定了“同意原则”,但各成员国对于“同意”的理解和使用存在很大的偏差。一些国家要求必须基于书面肯定性同意,而另一些国家则认为在网页浏览器上安装默认设置就已经足够了。
此外,随着人们对网络的依赖性的增加,一些网络服务商及广告商会使用一些软件追踪用户的上网习惯,以实现广告精准营销的目的。而针对网上个人数据处理规则,指令尚缺乏有效的监管。
针对《欧盟指令》的内容已经严重滞后于新型科技的发展,且成员国的执行状况不一、缺乏应有的协调性等问题,2012年1月欧盟委员会就个人数据保护颁布了关于一揽子法律规定(2012 Legislative Package),其核心在于为欧盟提供了个人数据保护的一般框架,以个人数据信息权保护逐渐替代了隐私权概念。 2016年4月14日,欧盟议会正式投票通过新的个人数据保护法律框架,即《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),该法案将于2018年5月25日正式生效。
GDPR在很大程度上克服了《欧盟指令》存在的缺陷,在欧盟成员国创设了同等高水准的保护框架,被称为史上最严格、保护水平最高的数据保护条例。从法律效力上看,条例“Regulation”不同于指令“Directive”。条例一旦生效,其约束力将突破成员国层面,立即构成成员国国内法律体系的一部分。同时,GDPR强化了个人(数据主体)对于其个人数据的有效控制,包括:明确数据主体可以便捷地访问其个人数据;确立数据主体的被遗忘权(Right to be forgotten)及可携带权(Right to data portability);“同意”要被清楚的阐释;对数据画像作了专门规定;加重了数据控制者及处理者的义务;强化各成员国数据保护机构(DPAs)监管权力以及建立对于数据信息权侵权的行政及司法救济渠道等。而且,条例还移除一些不必要的行政要求如通报公司等,仅这一项将每年节约23亿欧元的费用。
应该说,从1995年《个人数据保护指令》上升至《通用数据保护条例》,不仅针对新形势下互联网科技所带来的新风险作了及时的法律回应,还能实现个人数据保护在欧盟境内更高层次上的统一适用,将有效降低各成员国字核心概念及规则上的分歧与争议。
二、GDPR主要框架及核心内容:与1995年《个人数据保护指令》之比较
GDPR总共11章99条,包括:第1章“一般规定”(主旨及目标、适用范围、地域范围、定义);第2章“原则”(与个人数据处理有关的原则、处理的合法性、同意的条件、关于社会信息服务适用于儿童同意的条件、特殊种类的个人数据处理、有关刑事犯罪的个人数据处理、无需认证的处理);第3章“数据主体的权利”(信息透明和形式、个人数据信息和获取、拒绝和自主决定权、限制等);第4章“数据控制者与处理者”(基本义务、个人数据安全、数据保护影响评价及事先咨询、数据保护内部机构、行为准则及认证);第5章“个人数据传输至第三国或国际组织”(传输的一般原则、基于充分决定的传输、数据传输的保障措施、约束性公司规则、未经欧盟法授权的传输和披露、例外情形、国际合作);第6章“独立的监管当局”(独立地位、权限和职权);第7章“合作与协调”(合作、一致性、欧盟数据保护理事会);第8章“救济、责任以及惩罚”(向监管机构进行投诉、针对监管机构的司法救济、针对数据控制者及处理者的司法救济、数据主体代理、中止程序、获得赔偿权以及责任、施加行政罚款的一般条件、惩罚);第9章“特定数据处理情形下的规定”(信息及自由表达、官方文件的处理及公开获取、身份证号码的处理、雇佣数据的处理、为了实现公共利益、科学或历史研究目标或统计目标的数据处理、保密义务、有关教会及宗教协会的数据保护规则);第10章“委托行为及实施行为”(委托、委员会程序);第11章“最终条款”(废除第95/46/EC号指令、与第2002/58/EC号指令的关系、与先前缔结协议的关系、委员会报告、审查其他有关数据保护的欧盟法案、生效及适用)。
1、GDPR确立了个人数据保护权(Right to the protection of personal data),以取代之前的“隐私权”(Right to Privcy)
《欧盟指令》与GDPR在第1条都开宗明义确定了自己所要实现的双重目标,即一方面保护自然人基本权利及自由,另一方面不得以保护为由来限制或禁止个人数据在欧盟境内的自由流动。
需要注意的是,《欧盟指令》特别强调自然人的“隐私权”属于基本权利和自由;而GDPR则强调的是自然人的“个人数据保护权”。从“隐私权”到“个人数据保护权”,不仅仅是表述上的差异,更重要的体现了用语的准确性,以及隐私概念的弱化。
2、GDPR扩大了自身的适用范围
伴随大数据和云存储技术的运用,以及个人数据的频繁跨境流动,特别是企业间的跨境数据传输已经遍布全球市场,包括欧盟成员国内的个人及组织。对于地域适用范围,《欧盟指令》并无明确规定,只在第34条笼统规定“本指令仅适用于成员国”,直接导致指令的域外效力受限而无法应对全球性个人数据跨境传输问题。基于此,GDPR第3条分三款规定了地域范围:本条例适用于设立在欧盟境内的数据控制者或数据处理者对个人数据的处理,无论其处理行为是否发生在欧盟境内(第1款);本条例适用于那些位于欧盟境外数据控制者或者加工者,但是其数据处理活动涉及向欧盟境内的数据主体(a)提供商品或服务,无论该数据主体是否进行了支付,或(b)监控发生在欧盟境内的数据主体的行为(第2款);本条例适用于设立在欧盟之外但根据国际公法欧盟成员国法律可以适用的地方之数据控制者或者处理者对于个人数据的处理。可见,GDPR不仅按照属人原则,将其适用范围扩及至欧盟外以欧盟公民为商业推广目标顾客的数据控制者或处理者,还把按照国际公法适用欧盟成员国法律的地域也纳入其调整对象,尽可能拓展其效力范围以及对其他国家和地区的影响力。
GDPR出台原因之一即在于统一欧盟范围内不同成员国个人数据保护立法的差异,因此不同于《欧盟指令》,它不仅直接适用于各成员国,还适用于数据当事人。当然,GDPR也明确授权各成员国自行规定的内容(如授权成员国对儿童的年龄界定标准在13-16岁的范围内自行确定;过世者的数据是否受到保护及具体的保护规则;必须设立数据保护官的其他情形;就雇佣就业、基因、生物识别以及健康方面的数据保护作具体规定;针对数据违法行为的处罚形式等),各成员国自行制定的国内数据保护立法中与GDPR冲突部分将在过渡期内按照GDPR加以修订。
3、GDPR修改并扩大了“个人数据”所涵盖的范围
与《欧盟指令》相比较,GDPR对“个人数据”的解释更加清晰。条例所指个人数据仅限于在世之自然人数据,而法人等其他组织的数据以及过世者将不受调整。GDPR序言部分明确指出,条例不适用于过世者数据,但是成员国可以就过世者数据保护自行制定有关规则,而指令对此并未明确加以规定。第4条第1款规定,“个人数据是指任何一个已经被识别或可识别的自然人(数据主体)信息;一个可识别的自然人是指能够被直接或间接识别,尤其是通过诸如姓名、身份证号码、定位数据、在线识别标识(online identifiers),或通过一种或多种针对该自然人之生理、心理、基因、精神、经济、文化或社会身份等具有特定意义的要素。”
应该说,GDPR明确将位置数据、在线识别标识(如电子邮件、Cookie识别器、网络协议地址)以及基因数据纳入到个人数据范畴中,是对大数据及云计算等技术得到广泛运用的积极回应。这一规定促使网络服务机构及广告商在处理个人数据时应更加谨慎。例如,互联网广告公司平时惯用的储存在用户本地终端上的软件设置如cookie等都纳入到“个人数据”范畴中,因为其构成在线识别标识,理应受到条例的约束和规范。
此外,与《欧盟指令》只涉及8个名词定义相比较,GDPR在定义这一条款中对26个名词作了具体定义和解释,在指令基础上增加了“数据画像”(profiling)、“匿名化”(pseudonymisation)、“个人数据外泄”(personal data breach)、“基因数据”(genetic data)、“生物识别数据”(biometric data)、“有关健康数据”(data concerning health)、“主营业地”(main establishment)、“企业”(enterprise)、“约束性企业规则”(binding corporate rules)、“监管机构”(supervisory authority)、“有关监管机构”(supervisory authority concerned)、“跨境处理”(cross-border processing)、“相关及合理异议”(relevant and reasoned objection)等概念,不仅对涉及个人数据保护框架之核心概念进行了具体而清晰的界定,还对之前指令执行过程中各成员国对某些定义的不同理解和分歧进行了统一,极大增强了GDPR的可适用性。
4、对数据主体的“同意”作了明确、具体的规定
在第二章“原则”中,“同意的条件”属于新增条款。虽然《欧盟指令》第2条,对于“数据主体的同意”也作了界定,即“是指任何数据主体在被通知的情形下自由作出明确表明其同意处理与其有关的个人数据的意思表示”。如前所述,正是因为指令“同意”表述过于笼统,导致各成员国执行标准不一。基于此,GDPR第4条第11款对“同意”作了重新界定,即“数据主体按照其意愿作出的任何特定的、知情的及明确的指示,通过一个声明或清晰的肯定性行为作出这种指示,意味着数据主体同意对其个人数据的处理”。
第7条第2款,如果数据主体以书面声明的方式作出同意,且书面声明涉及其他事项,则同意应以易于理解的方式呈现,使用清晰、平时的语言表述,并且与其他事项作显著的区别。而且,第3款赋予了数据主体撤回同意的权利,即“数据主体有权随时撤回其同意。撤回同意并不影响之前基于同意而作出的数据处理的合法性。在作出同意前,数据主体硬背告知撤回权,而且撤回同意与作出同意同样便利”。
也就是说,“同意”必须以书面声明或明确的肯定性行为作出,沉默、预先勾选框、不作为、未能退选或任何被动的默许均不构成有效的同意。特别是当数据主体保持沉默时,即便其已经被给予选择,仍然不能构成有效的“同意”。需要注意的是,GDPR将数据主体是否同意的举证责任,施加于数据控制者(第7.1条)。
同时,为了确保数据主体是完全按照其意志自由作出的真正意思表示之“同意”,避免存在商家或服务提供者依赖其强势地位取得消费者同意,第7条第3款还规定,“评判同意是否自由作出,还要最大可能的考虑合同履行是否以同意处理其个人数据为条件,而这种同意处理个人数据对于履行合同来说是不必要的”。
此外,针对儿童等特殊信息主体,GDPR还增设了第8条“关于社会信息服务适用于儿童同意的条件”,针对未满16周岁的儿童取得其同意的特殊要求作了明确规定。
5、拓展了敏感数据所涵盖的范围
与《欧盟指令》相比较,GDPR第9条“特殊种类的个人数据处理”中,敏感数据的范围在之前指令的基础上进行了拓展,新增了“基因数据”、“生物识别数据”,上述个人数据都严禁处理。同样地,GDPR也列明了敏感数据处理的十项例外情形,要比指令更加详细、具体,如在公共健康领域为了公共利益处理个人数据是必要的,如抵御严重的跨境健康威胁,或者确保卫生保险、药品或医疗设备具有较高质量及安全(第9.2(i)条)。同时,第9.4条还赋予成员国可就基因数据、生物数据或者涉及健康数据的处理作进一步的限制规范。
6、赋予了数据主体广泛的权利,强化了个人对其数据的控制权
第一,为了便于数据主体行使权利,GDPR在数据主体的权利一章具体贯彻了前述“透明原则”,新增“数据主体行使权利的透明度、通讯和形式”。12条第1款,要求数据控制者应以简单、透明、清晰且易理解的方式、通过清楚平时的语言表述,采取合适的措施向数据主体提供第13、14条所涉及的信息,以及第15到22条、第34条所涉及的沟通信息。信息应当以书面心事提供,如果合适的话也可通过电子方式提供。在数据主体请求的情形下,信息也可以口头方式提供。为了避免数据控制者出现故意拖延等问题的出现,第3款规定“在接到数据主体根据第15到22条规定主张权利后一个月内、毫无不当迟延得必须向数据主体提供采取有关行动的信息。第4款,考虑到权利请求的复杂性及数量,上述期间可以再延长2个月,数据控制者应当告知延迟的原因。”如果数据控制者没有按照数据主体的要求采取行动,应毫不迟延地(最迟不超过1个月)告知数据主体不采取措施的原因以及向监管机构投诉和寻求司法救济的可能性。
第二,在原先指令规定的数据主体应享有的权利基础上GDPR作了进一步丰富,同时还新增了“限制处理权”以及“可携带权”。
相比指令中的“数据获取权”(right of access),GDPR第15条规定数据主体有权获取的信息更多,不仅涵盖了指令原有的内容,还新增了“数据预期的存储期间,如果没有的话,要提供用以决定存储期间的标准”,“向监管机构投诉的权利”,“如果个人数据并非从数据主体处收集,关于其数据来源的任何可用信息”,“自动化决策的应用”等。如果个人数据传输给第三国或者国际组织,数据主体有权获取与第46条有关的数据传输之适当的保障措施信息。相比指令中更改权的笼统规定,GDPR以单独一条的形式规定了“更正权”(right to rectification),使之更加具体明确,即“数据主体有权要求数据控制者无不当拖延的纠正其不正确的个人数据。考虑到数据处理的目的,数据主体有权使不完整的数据完整,包括提供补充声明的方式”(第16条)。同样地,GDPR也丰富了“删除权”的内容,第17条规定了数据主体删除权行使的法定条件以及例外情形。虽然指令规定了“贴标隔离”,但并无具体的内容,而在条例中首次明确了“限制处理权”的适用情形及法定例外。“可携带权”属于指令从未出现过的新增权利,进一步便利了数据主体在数据控制者之间的数据传输。同时,为了保障数据主体能够顺畅的行使更正权、被遗忘权以及限制处理权,GDPR还要求数据控制者自行将上述请求传达给个人数据的接收者(第19条)。
第三,增加了对数据画像的规定(profiling)。
为了及时应对大数据时代下很多企业利用计算机及算法对海量数据进行挖掘和分析,并根据经自动化处理得出的结果对个人的经济、健康、偏好、兴趣习惯等状况进行评估。由于缺少人为干预,这种自动化处理可能存在着不当歧视之风险。基于此,条例新增了对数据画像的规范。原则上不允许依赖纯自动化的用户分析结果作为评价数据主体的唯一考量因素,以避免个人数据在本人不知情情况下完全被计算机自动化收集、处理和应用,数据主体有权要求对自动化处理结果进行部分人工干预,以保障其合法权益。
第4条第4款,“数据用户画像”是指任何构成个人数据使用的自动化处理活动,用以评估个人特征,包括自然人的工作表现、经济状况、健康、个人偏好、个人兴趣、可信赖度、行为、位置或行踪等相关的分析或预测。第22条“自动化个人决定,包括数据用户画像”,即“数据主体有权不受一个仅仅依赖包括数据用户画像的自动化处理决定的影响,而该决定会对数据主体产生法律效力或者其他类似显著影响”。数据用户画像结果若对数据主体产生法律效力或其他类似重大影响,则必须符合以下三种情形之一才是合法的:(a)数据主体与数据控制者之间为订立、履行合同之所必需;(b)数据处理者得到欧盟法或成员国法律授权,并且须采取合适的措施以保护数据主体的权利、自由及合法利益;(c)得到了数据主体的明确同意。同时,数据主体至少有权获得对自动化处理结果的部分人工干预,能够表达其观点以对抗该决定。
鉴于上述前两种情形均为特殊情形,因此取得数据主体明示同意无疑将成为数据用户画像行为合法化的最主要途径。在大数据技术广泛运用的背景下,大数据分析已然成为不同行业经营者营销活动中必不可少的工具。有专家对此提出反对观点,获取数据主体对数据用户画像的同意在一定程度上缺乏可操作性,这将对大数据背景下的分析营销活动带来极大的负面影响。因此,对于依赖于数据用户画像,包括利用cookie等跟踪工具实施精准营销的欧盟企业来说,设计一种既符合条例有关透明性和用户同意的要求,同时也能使得数据分析活动得以继续的机制,是其面临的一道难关。以信贷行业为例,征信数据自动化采集和分析并形成征信记录是赖以评估个人信用状况的手段,而GDPR 规定的数据主体明示同意的要求无疑对此造成障碍。欧盟征信行业协会主席内尔·门罗因此建议,在信贷评估过程中应适当增加人工评估的比例,以避免违规。
7、加重了数据控制者(Data Controllers)及处理者(Data Processors)义务和责任。
第一,相比指令在该领域的规范空白,GDPR单设一章(第四章)专门规定了数据控制者及处理者的责任。第24条,“考虑到数据处理的性质、范围、语境、目的以及风险的差异性和自然人权利与自由的重要性,数据控制者应当实施适当的技术和组织措施以确保并能够证明数据处理过程与本条例相符。只要有必要,上述措施应当进行审查和更新。第1款所指的措施,应当包括数据控制者实施的适当数据保护政策。第40条涉及的被认可的行为准则以及第42条涉及的被认可的认证机制,可以被用于证明数据控制者履行控制者的要素。”
同时,为了促使数据控制者积极履行其数据保护义务,GDPR建立了“隐私设计”机制(privacy by design)和“隐私默认”(privacy by default)机制(第25条),以确保数据控制者符合条例规定的要求。这也就意味着,数据控制者应从一开始就就将数据保护措施融入产品及服务,建立隐私友好型(privacy-friendly)的默认机制。
此外,对于两个或两个以上数据控制者共同决定数据处理的手段及目的之“联合控制者”(joint controllers)进行了界定。第26条第1款,联合控制者之间应以透明的方式,尤其是通过彼此间的安排以决定各自的合规义务和信息提供义务以及各自所履行的保护信息主体权利的责任。在上述安排中可以为数据主体指定联系点。
第二,明确了数据处理者的义务。数据处理者,是代表数据控制者处理个人数据的自然人、法人、公共机构、政府部门或者其他机构(第4.8条)。正是因为数据处理者代表数据控制者,故而《欧盟指令》主要适用于数据控制者,并未规定数据处理者的义务,其行为规则内容基本上以其与数据控制者之间的协议约定来加以明确。但在指令施行过程中,事实上很难区分到底谁是数据控制者、谁是数据处理者,为了强化数据处理者的责任,GDPR首次以专门条款形式明确其义务规则,采取了与数据控制者基本相同的要求,即“当数据处理者以数据控制者的名义进行数据处理,数据控制者只能使用那些能够提供充分的适当技术及组织性保障措施的数据处理者”(第28.1条)。未经数据控制者的书面授权,处理者不得引入其他处理者。处理者应当告知控制者有关其他处理者增加或替换的任何可能变化,以便给予控制者反对上述变化的机会(第28.2条)。换言之,数据处理者必须承担与数据控制者同样的数据安全保障义务、在组织及技术上采取必要措施的义务,包括指派数据保护官、发生数据泄露事故时及时通报数据控制者等。
GDPR第28条第3款还规定数据控制者和数据处理者之间合同或法律行为的必备条款,包括数据处理主题、数据处理期间、数据处理的性质及目的、个人数据类型、数据主体的类别以及控制者的权利与义务等。合同或法律行为中还要特别阐明,数据处理者的以下事项:(a)处理个人数据只能基于控制者的书面指示,包括转移个人数据至第三国或国际组织;(b)确保被授权处理个人数据的人承诺其保密义务;(c)采取第32条要求的措施;(d)遵守第2款及第4款引入其他处理者的条件;(e)采取适当的技术和组织措施以协助控制者履行其法定义务;(f)协助控制者履行第32至36条义务;(g)一旦合同终止,应删除或向数据控制者返还数据,并删除现存副本,除非欧盟或成员国法律要求存储上述个人数据;(h)向控制者提供证明其履行本条义务的所有必要信息,便于控制者及控制者任命的审计员进行审计和检查。另外,GDPR第28条明确了处罚及索赔。数据监管部门有权直接针对数据处理者采取行动,包括现场调查、签发数据处理禁令等。侵害数据主体合法权益的,数据主体有权向数据处理者直接提出赔偿请求,如果该等侵权行为若出于数据控制者的不当要求,则数据处理者有权在赔偿后向数据控制者追偿。为了便于执行,欧盟委员会与监管机构都可就上述事项制定标准化合同条款。
第三,强化数据控制者及处理者的数据安全治理机制。相比指令,GDPR对于控制者及处理者之安全保障措施内容的规定更加具体明确。第32条,就为了保障数据处理过程的安全性,数据控制者和处理者采取的所谓“适当的”技术及组织措施,应包括以下因素:个人数据的加密和匿名化;确保数据处理系统和服务具有持续的保密性、完整性、可用性以及可恢复性;一旦发生物理或技术事故,能够及时恢复数据系统的可用性,并对个人数据进行访问;定期对技术及组织措施的有效性进行检测、评估和评价。而且,数据控制者及处理者应采取措施确保在他们授权下访问个人数据的人不能处理个人数据,除非得到了来自控制者的明确指示,或者欧盟法或成员国法要求他这样做。
GDPR新增数据控制者及处理者“因数据泄露向监管机构之通知义务”以及“因数据泄露向数据主体之沟通义务”,明确了通知和沟通的具体内容。第33条,一旦出现个人数据泄露情况,控制者应在知道之时起72小时内通知监管机构,除非数据泄露不可能导致自然人权利及自由风险。这里的通知内容至少应包括:被泄露的个人数据的性质、种类、所涉及的数据主体人数、个人数据记录的种类和数量;数据保护官的姓名及联系方式;描述数据泄露的可能情形以及数据控制者已经采取或者可能采取的以减轻因为泄露产生的负面影响之措施。如果在72小时内不能通知监管机构,应说明延误的理由。第34条,一旦数据泄露会给自然人的权利和自由造成较高风险,数据控制者应当及时与数据主体沟通,至少要告知数据主体第33条第3款(b)(c)(d)的相关信息及措施。
而且,GDPR还引入了数据保护影响评价制度(Data Protection Impact Assessments)以及事先协商制度(Prior Consultation)。第35条,数据处理特别是涉及新技术,考虑到处理行为本身的性质、范围、语境以及目的,很有可能会对自然人权利和自由造成比较高风险的威胁,数据控制者或处理者必须在事前进行数据保护的影响评估工作。以下情形之一,应当进行事前评估:涉及建立在自动化处理基础上的个人特征之系统性评价,该评价会对数据主体产生法律上的影响;处理大量的敏感数据;对公共可访问领域进行大规模的系统性监控。评估至少应包括:对预设处理操作、处理目的以及其所追求的合法利益的系统性描述;评价处理操作与目标之间的必要性和匹配性;对数据主体权利与自由的风险性评估以及预设的风险防范措施,如安全措施、保障措施等。第36条,如果数据保护影响评估结果显示处理过程会导致高风险,且数据控制者不能采取有效降低风险措施时,数据控制者应当就该数据处理活动与数据保护监管机构进行事先协商。监管机构应当自收到协商申请的规定期限内出具书面建议(written advice),并可以采取中止措施。
同时,为了确保数据安全措施能够得以切实施行,GDPR还要求数据控制者及处理者指派专门的“数据保护官”(Data Protection Officer),这也是指令所没有的新增要求。第37条第1款规定了数据控制者和处理者必须指派数据保护官的情形,包括:由政府机构或公共当局施行的数据处理,而非法院行使司法权;控制者或处理者的核心处理操作,从其性质、范围、目的来看,需要对数据主体进行定期和大规模的系统监测;控制者或处理者的核心处理操作涉及大规模的特殊数据,如敏感数据以及刑事犯罪数据等。数据保护官的联系方式须公开,并向监管机关进行备案。为了确保数据保护官能够及时履行职责,并保持相对的独立性,第38条还要求数据控制者和处理者应当对其履行数据保护的活动予以支持,包括提供必要的执行资源、访问个人数据及处理操作、接受专业知识培训等。而数据控制者与处理者不能对数据保护官下达任何执行指令,其直接向最高管理层报告工作,不因执行职务而被解雇或处罚。
数据处理文档化(Documentation)。第30条,数据控制者必须全面、详细的记录其一切数据处理行为,确保均有书面记录,包括数据处理的目的、数据的类型、数据接收者的类别以及转移至第三国的数据接收者、数据保存的时间、采取的安全保障措施等等,保留有与数据处理者的合同附件。显然,文档化规定将为监管机关对企业进行政府调查时提供极大的便利和执法依据。
GDPR将《欧盟指令》要求各成员国国内法建立的有关数据处理及境外转移的行政许可、通知或备案程序等规定予以废止,从表面上看似乎是放松数据领域的监管。然而,事实上GDPR采用了更高效的数据安全责任机制,将更多的数据保护职责施加于数据控制者,并在实质上对数据控制者责任作出了更为严苛的规定。通过明确具体的法律规定来规范控制者和处理者的技术及组织保障措施及数据使用合规程序,在企业内部建立数据影响评价制度,并引入专职的“数据保护官”,将具体数据处理行为及是否合规交于企业去自行把控和评估,辅之以与监管机构进行及时的信息沟通和事先协商,能够在很大程度上发挥数据控制者及处理者对个人数据保护的主观能动性,亦反应出大数据时代数据保护立法必须贯彻“数据中立”之理念。
8、完善了跨境数据传输机制。
在大数据和云存储技术广泛运用的背景下,GDPR根本性的改变了《欧盟指令》中诸如除非符合某些条件欧盟公民个人数据禁止转移至个人数据法律保护达不到与欧盟同等保护水平的国家等限制跨境数据流动的规定,代之以积极回应数据在世界范围内自由流动的必然趋势之立法思路,而同时也强调自由流动的前提是符合GDPR所规定的高级别保护要求。
GDPR中的条款表述,处处体现并贯彻了上述精神。如,前言第6段,“技术推动了经济和社会生活的变革,并应当进一步便利个人数据在联盟内的自由流通,并促进向其他国家及国际组织的转移,与此同时应当保证个人数据的高水平保护”;第101段,“转移至联盟外国家,以及从联盟外国家转移至联盟内的个人数据流动对国际贸易及跨境合作发展非常必要,数据流动也引发新的挑战。这种双向的数据流动都应确保受条例规制的自然人数据保护水平没有受到削弱,理应遵守条例的规定和要求”。第1条“主题及目标”强调,个人数据的自由移动应当受到保护,且成员国之内的流动不应受到数据保护规定的任何限制或禁止;第51条“监管当局”,各成员国均有义务设立一个及以上负责监管条例实施的独立公共机构,以保护自然人数据处理过程中的基本权利和自由,并促进数据在联盟内的自由流动。第44条,本章所有条款的适用都应确保条例所保障之自然人的数据保护水平没有被削弱。
之前《欧盟指令》指导下的欧盟数据保护实践中,成员国可以就跨境数据转移增设前置备案或许可程序,上述规定被GDPR明确加以废止,即只要其他国家或国际组织能够确保符合条例关于个人数据保护要求就可以进行转移,而第三国或国际组织能够提供的保护是否符合的决定权限则在于欧盟委员会,成员国自身无权决定。第45条第1款特别强调,个人数据转移至第三国或国际组织,由欧盟委员会决定该第三国或国际组织是否提供了充分的保护水平。上述数据的跨境传输不再需要任何特别授权。第2款,当评估第三国或国际组织是否具有充分保护水平时,应当考虑以下因素:(a)法律规则、对人权和基本自由的尊重、涉及一般性及部门性、公共安全、国家安全、刑法以及公共机构访问个人数据的相关立法及具体实施,数据保护规则,专业规则及安全措施,涉及数据跨境转移至其他第三国或国际组织的规则和判例法,同时包括有效且可执行的数据主体权利,有效的行政及司法救济措施等;(b)在第三国或国际组织存在并能有效发挥作用的一个或多个独立监管机构,其职责在于确保数据保护规则的施行,包括拥有足够的监管权力去帮助并建议数据主体,并与各成员国的监管机构进行合作;(c)第三国或国际组织已经达成具有法律约束力的多边或区域性协议,特别是涉及个人数据保护内容的协议。
为了践行上述评估,欧盟委员会要通过实践行动(implementing act)来判断并决定第三国或国际组织是否达成充分的保护水平。该实践措施应按照地域和部门具体适用,而且要包括至少四年的定期审查机制,考虑第三国或国际组织在数据保护领域的所有涉及因素。一旦第三国或国际组织某个地区或者某几个部门不再具有充分的保护水平,欧盟委员会应撤销、纠正或中止施行措施,上述行为没有溯及力。欧盟委员会将在其欧盟官方期刊及网站上公布已经达到或者未达到充分保护水平的国家及国际组织名录。
如果没有进入欧盟委员会名录的国家及国际组织。数据控制者或处理者只要提供适当的保护措施以及确保数据主体的权利以及法律救济得以实现,也可以进行数据传输。上述保障措施,包括行政机构之间的约束性执行措施、约束性公司规则、委员会采纳的标准合同条款、各成员国采纳并经委员会认可的标准合同条款、经认可的行为守则及认证机制等(第46条)。与《欧盟指令》相比,条例首次明确了约束性企业规则(Binding Corporate Rules,BCR),认可了BCR作为数据控制者和处理者在公司集团内跨境数据转移的合法方式,由各成员国监管机构批准或者认可。BCR对于公司集团的每个成员(包括其雇员)都具有法律约束力和执行力,明确赋予数据主体有关个人数据处理的可执行的权利,并完全遵守本条例的规定。为此,条例第47条第2款规定了约束性公司规则的具体内容要求。BCR普遍被企业认为是一项“黄金标准”,对集团内数据转移较为便利。
9、进一步强化了监管机构的独立地位及权力,创立了欧盟数据保护理事会,建构了三层保护机构体系。
与《欧盟指令》仅有一条(第28条)关于监管机构的规定不同,GDPR专设一章(第六章)详细列明了设立在各成员国的独立监管机构(independent supervisory authority)。鉴于指令施行后各国监管机构执行情形不一、受外界干扰的情况时有发生,条例特别强调了成员国监管机构的独立性。第52条,每一监管机构应当能够独立行使权力及履行职责,免受来自外部直接或间接的影响,也不接受或寻求其他任何机构的指示。监管机构成员不能从事与履行职责不相兼容的行为或职务。各成员国应向监管机构提供人员、技术、财务、场地以及基础设施建设等方面的支持,并保障监管机构本身独立的选人用人权,以促使其能够独立履行职责。监管机构的财务支出应当有公开的单独的年度预算,是国家预算的一部分。
第57条具体规定了监管机构的职责,包括:监督和实施本条例;推动社会大众对个人数据活动之风险、规则、保障措施及权利的了解和认知,儿童数据处理要特别引起大众的关注;提出有关自然人数据保护的相关建议;帮助数据控制者及处理者对于本条例规定之义务的认知;基于数据主体的请求,向其提供相应信息,如果合适的话,与其他成员国的监管机构进行合作;处理数据主体、机构或协会的投诉,并在合适的情况下调查投诉的主题、告知投诉处理的进展,并在合理时间内答复调查结果;与其他监管机构进行合作,如信息共享、提供帮助等;根据本条例进行调查,包括根据其他监管机构或行政机构提供的信息开展调查活动;监测有关信息及通讯发展技术对个人数据保护产生的影响;采纳标准合同条款;建立并维护数据保护的影响评价指标;基于处理者相关的处理操作建议;根据第40(1)(2)条鼓励数据控制者或处理者拟定行为准则或建立认可数据保护的认可机制,并给出意见及予批准提供充分保障措施的行为准则以及认可标准;施行认可机制的定期审查;起草并发布鉴定机构的资格标准,以监测行为准则及认可机构;批准标准合同条款、约束性公司规则、参与欧盟数据保护理事会的活动;保留违反本条例的行为以及监管机构所采取的措施之内部记录等。
为了确保上述职责的顺利实施,第58条赋予监管机构三项权力,即:(1)调查权(investigative power),如命令数据控制者和处理者及其代表提供为履行监管职责所需的所有信息;执行审计形式的调查和对认可机制的审查;通知数据处理者或控制违反条例的行为;可以进入数据控制者及处理者的经营场所,接触到处理设备。(2)纠正权(corrective power),如针对数据控制者或处理者可能违反条例规定的行为进行警告;对控制者或处理者已经违反条例规定的行为进行训诫;命令数据控制者或处理者按照数据主体要求或者条例要求的特定方式并在一定期间内履行义务;命令控制者告知个人数据遭泄露的情况;对数据处理施加临时性或终局性限制;命令更正、删除或限制数据处理及告知个人数据披露的接收方;撤销证书或命令认可机构撤销证书,或当证书不在符合要求时,命令认证机构禁止颁发证书;罚款;命令中止个人数据向第三国或国际组织进行传输。(3)批准及建议权(authorisation and advisory power),如向控制者提供事先协商程序的建议;依职权或依申请,向成员国议会、政府或其他机构以及公众发表有关数据保护的意见;发布意见和批准行为准则;授权认证机构;发放证书及许可认证的标准;采纳及批准标准合同条款;批准约束性公司规则;批准行政性安排。需要注意的是,上述权力也只是最低要求,各成员国可以赋予监管机构其他额外权力。
为了强化条例的具体施行,GDPR将之前按照《欧盟指令》建立的第29条工作组转变为现在的欧盟数据保护理事会(European Data Protection Board)。按照第68、69条的规定,理事会属于欧盟机构并具有法人资格(legal personality),由各成员国监管机构以及欧盟数据保护监管员(European Data Protection Supervisor)负责人或其委派的代表组成。理事会依照条例授权独立行使职权,无需寻求或接受任何主体的指示。理事会主要任务是为欧盟委员会出具专业意见、指引、建议以及有关个人数据保护方面的良好实践,与第29条工作组一样,主要发挥智囊团的作用。
自此,GDPR创设性的建构了针对数据主体的三层保护机构,最高一层是欧盟数据保护理事会;中间一层是各成员国内的监管机构;最下面一层是设在数据控制者和处理者即公共机构和私营机构内部的数据保护专员。
10、《条例》采纳了“一站式”(one-stop-shop)服务机制。
在GDPR立法审议过程中,“一站式”服务机制曾经历了欧盟委员会、欧洲议会、欧盟理事会三方政治团体极高的关注与讨论。欧盟委员会是“一站式”服务机制的倡导者,该机制系欧盟委员会副主席Viviane Reding整体构想的核心要素之一,认为“一站式”服务是取得个人、企业、数据保护机构“三赢”局面的唯一路径。然而,欧洲议会、欧盟理事会及某些成员国对“一站式”服务机制却表达了反对意见。欧洲议会担忧“一站式”争议解决机制过于简化,赋予其他国家过多控制权可能会导致腐败问题,损害消费者的利益。最终,“一站式”服务机制还是得以通过。
“一站式”服务机制的主要涵义是,对于在不同欧盟成员国都有营业场所的企业来说,它仅需要联系其主营业场所(main establishment)所在地的监管机构,而无需通知其他成员国之数据监管机构,该监管机构将作为主导监管机构(lead supervisory authority)配合其他国家的关联监管机构(concerned supervisory authority)对企业的所有数据活动负有监管权,其效力及于整个欧盟。相应地,数据主体也在其母国或数据控制者或处理者的营业地都可以向该地的监管机构寻求救济。相比之下,按照《欧盟指令》的要求,企业如果在其他成员国也有营业场所的话,需要通知每个营业场所所在地之监管机构,不仅耗时耗力,也浪费的了大量的人力资源。从这个意义上来说,“一站式”服务机构大大降低了跨成员国企业的合规成本,提高了个人数据保护机制的整体效率,更便利了数据主体积极的行使其数据权利。
与此同时,为保证监管的协调统一性、有效性,作为妥协的结果,条例创设了复杂而详实的协商合作机制(第60条),主导监管机构的监管决定要在最大程度上反映其他成员国监管机构的意见。如果不同监管机构无法形成统一意见,则由欧盟数据保护理事会进行裁决,发布具有约束力的决定(第65条)。
11、数据主体提供了更广泛的行政及司法救济权,并赋予监管机构明确的处罚权限。
GDPR规定了数据主体有权向监管机构进行投诉(第77条),或者针对数据控制者或处理者违反本条例的行为直接向控制者或处理者营业地的法院或数据主体经营居住地之法院起诉(第79条),对监管机构具有约束力的决定或者针对监管机构不作为行为向司法机关寻求救济(第78条),并有权要求数据控制者或处理者进行赔偿(第82条)。这里需要注意的是,相对于数据控制者而言,数据处理者赔偿责任是有限定条件的,即仅对条例要求其承担义务的那部分承担赔偿责任,或者没有按照数据控制者的合法指示操作导致的损失承担赔偿责任。
GDPR第83条具体列举了监管机构在实施行政处罚时应考虑的因素,如故意还是过失、先前违法行为、被侵害的个人数据的种类、是否采取了减轻损害的措施等等。同时,明确了罚款额的上限标准,即按照违法行为类别分为两档:第一档针对那些不能履行条例规定义务的数据控制者及数据处理者,不履行条例规定义务的认证机构以及不履行规定义务的有关行为准则的监督主体等,上述违法者将被处以一千万欧元或者前一年度全球营业额的2%,以两者中较高者为准。第二档针对未能说明如何获得了用户的同意、违反数据处理之一般性原则、侵害数据主体的合法权利、以及拒绝服从监管机构的执法命令等性质更为严重的违法行为,违法者将被处以两千万欧元或者企业前一年度全球营业额4%,以两者中较高者为准。
相比1995年《个人数据保护指令》,无论从条款数量、适用范围、还是实体权利义务内容、执行机制以及监管机构合作协调等各个方面,GDPR呈现出前所未有的聚合力和适用性,具有诸多亮点。鉴于GDPR在个人数据保护领域的先进性,有美国学者认为,随着全球化进程的加快,欧盟数据保护立法在世界范围内将引起棘轮效应(Ratcheting-up effect)。
三、对我国个人信息保护立法的若干启示
(一)存在的问题和不足
随着信息化进程的发展,我国也从立法上对个人信息的保护制度作了初步规定。《侵权责任法》(2010年)规定了对“隐私权”的保护及网络侵权责任;《全国人大常委会关于加强网络信息保护的决定》(2012年),规定了网络服务提供者收集、使用公民个人电子信息的规则及保护义务;《消费者权益保护法》(2013年修订)增加了消费者“个人信息依法得到保护的权利”。在行政法规及部门规章层面,国务院《征信业管理条例》(2013年),对征信机构的市场准入、征信业务规则及其监督管理作了详细规定;工信部《电信和互联网用户个人信息保护规定》(2013年)明确了电信业务经营者、互联网信息服务提供者信息收集和使用规范、应当采取的安全保障措施及法律责任,从行政监管角度规范了个人信息的保护。2016年1月,贵州省率先出台了关于大数据的第一个地方性法规《贵州省大数据发展应用促进条例》,明确提出实施“数据铁笼”,规范权力行使,对公共权力、公共资源交易、公共资金等实行全过程监督。同时,要求大数据采集、存储、清洗、开发、应用、交易、服务单位应当建立数据安全防护管理制度。
从整体上看,尽管上述法律法规及行政规范性文件都涉及信息保护的一般性问题,但面对互联网、大数据带来的新问题,我国现有法律远远滞后于大数据的应用和发展、立法碎片化现象严重,缺乏应有的系统性和协调性。
《侵权责任法》仅仅涉及隐私权的保护,侧重于事后救济和精神性损害赔偿,如前所述信息权与隐私权存在本质上差异,自身权利保护尚存在问题,更不要说通过隐私来周延保护信息权了。由于我国现行立法对侵害个人信息的民事责任并未作出规定,这也造成了事实上个人维权的尴尬。实务中,针对被侵权的行为金融消费者往往诉诸于名誉权、一般人格权保护,尚缺乏信息损害赔偿的专门规定。而《征信业管理条例》对此语焉不详,并未就民事赔偿责任进一步细化,如此笼统模糊的规定很难发挥应有的法律导向作用。
《消费者权益保护法》虽然新增了“消费者信息权”,但也仅仅规定经营者的信息收集、使用应遵循的基本原则及保密义务,从经营者角度再次强调信息保护义务,就其内容而言也只是对已有规范的简单重复。《征信业管理条例》着眼点在于征信机构管理和征信业务规则,偏重于征信行业的行政管理制度的构建。
(二)若干建议
1、设置专门的个人信息保护机构
庞德曾指出,“法律务必依靠某种外部手段来使其机器运转,因为法律本身是不会自动执行的。”欧盟《通用数据保护条例》建构了三个层次的数据保护机构,数据控制者或处理者企业内部应当设置信息保护专员;各成员国设立专门的数据保护监督机构;欧盟层面建立了数据保护理事会。上述经验非常值得我们学习和借鉴。
中国科学院的一份研究报告认为目前我国个人信息保护的救济和监督机制还很不完善,接收调查的公众中有99.3%的人都赞成加快我国个人信息保护的立法工作,93.8%的公众希望政府能够设立专门机构惩处滥用个人信息的行为。推进个人信息保护法律规范的落实,切实保障包括金融消费者在内的个人信息,有必要设置一个专门的信息保护机构。有学者也建议设立“全国个人资料保护委员会”作为个人信息的监督和执行机构。究竟应当设置何种机构来作为个人信息的专门监督及执法机构、该机构的地位又如何、将对谁负责、有何种职权等,又是需要深入论证的关键问题。在设置执行机构时,应重点关注以下问题,如何确保该专门监管机构的独立性以及执行机构职权行使的效力等。
2、明确信息主体的各项权利。
构建信息主体的权利体系有益于对信息主体的全面、立体的保护。借鉴GDPR的做法,我国在今后的法律规范中进一步明确信息主体应当享有的具体权利内容,涵盖获取权、更正权、删除/被遗忘权、限制处理权、可携带权、反对权、自动化处理决定权等。
(1)获取权,即信息主体有权知悉关于其个人信息的收集、处理信息。如信息收集者、处理者的身份、信息收集、信息处理的范围及目的等。该权利也是其他权利实现的基础和关键性权利。
(2)更正权,即信息主体发现信息控制者所收集、处理之信息存在不正确、不完整、有歧义、信息陈旧等情形,得请求其进行纠正的权利。根据信息质量原则,个人信息应当是准确和完整的。
(3)删除权。信息收集、处理的时限已满或者信息收集、处理的目的达成或者用户由于自身原因不愿再将个人信息交由信息收集者、处理者保存而要求信息收集者、处理者删除其存储的个人信息时,非基于合法原因,信息收集者、处理者应当按照用户的要求删除其存储的个人信息。当该个人信息经原信息收集者、处理者转移到第三方时,原信息收集者、处理者负有要求第三方删除的法律义务。
(4)限制处理权。即指出现了法定事由,信息主体得请求信息控制者停止对其个人信息的处理或使用,并对该个人信息加以标识的权利。该项权利的行使目的是为了暂时限制信息控制人对信息主体个人信息的进一步处理和使用。之所以要进行限制处理,就是因为个人信息的正确性存疑,或者完整性不够,信息主体也难以对其真伪进行证实,而此时并不能行使更正权,也不能进行删除。某些信息,就其性质而言本身不可删除或者删除需要付出更大代价。如果简单采用删除,则可能减损信息控制者对信息的使用价值。而信息的限制处理,就是赋予信息主体采取积极措施避免因信息不准确而遭受损失,又能将信息控制者的信息使用价值发挥至最大。
(5)可携带权。即赋予信息主体要求将其信息从某一信息控制者转移至另一信息控制者的权利。该项权利属于GDPR新增权利,使得个人信息的权利内容更加丰富,便利了消费者的信息转移。
(6)反对权。是指信息主体在符合一定条件的前提下,有权阻止、反对信息控制人收集、处理或使用其相关的个人信息。信息处理反对权背后所体现的立法理念,即信息控制者收集、处理或使用个人信息必须具有合法依据,信息主体有权拒绝其个人信息被处理或使用。
(7)自动化处理决定权。实践中,很多部门包括公共机构、企业、社会团体等组织越来越多的依靠资料处理作出自动化决定,如金融机构根据电脑程式化计算决定向哪些客户发放贷款,公共部门通过电脑程式计算决定申请人是否获得某种资格。通过电脑进行的上述自动化处理决定,大大减少了人为因素的主观干预,虽然其结果更为客观,但也有可能损害当事人正当利益,使其丧失参与控制权。自动化处理决定权赋予了信息主体对处理过程的一定干预和控制,保留了适当认为因素的参与。
3、加重信息控制者及处理者的义务
加重信息控制者、处理者义务,成为GDPR一大特色,从义务内容到罚则的设定无不体现出这一立法主旨。这里,不仅要加重信息控制者的信息安全保障义务,还要明确信息处理者的责任;信息控制者和处理者,不仅从产品设计之初就要建立“隐私设计”机制(privacy by design)和“隐私默认”(privacy by default)机制,还需要建立“数据影响评价制度”。也就是说,企业应当在利用消费者信息之前应当进行不利影响的评估。如果评估显示这种不利影响可能存在,则必须停止相应的信息加工和处理,在技术上亦要突出对消费者隐私利益的保护。从我国现有规定看,所谓的信息安全保障措施,诸如个人信息使用管理制度、个人信息数据库分级授权管理机制、内部保密制度等都有相应规范,但关键的问题还在罚则制度的建立和落实上。这里,可以仿效GDPR的处罚标准,按照企业的违法程度、主观恶性等,将处罚额度分为不同等级,并按照其全球营业额的百分比设置最低额处罚数额。
