20年前,欧盟1995年个人数据保护指令独领风骚,对全球立法产生深远影响。除欧盟28个成员国之外,包括亚太、北美、拉丁美洲等各国都纷纷效仿欧盟模式建立个人数据保护法律体系。这一体系确立了当今数据产业所适用的核心规则——个人数据保护规则,为个人数据的合法收集、利用建立了基本法律秩序。
今天,针对成员国个人数据保护法律碎片化问题,以及云计算、移动互联网、大数据不断带来的法律适用挑战,欧盟对1995年指令进行了大刀阔斧的改革。新规继续坚守保护公民基本权利理念,全面提升个人数据保护力度,开创性引入数据可携权、被遗忘权;对数据控制者、处理者建立了更为严苛的监管要求,并特别针对大数据背景下的数据分析、画像活动,制定了详细的法律规制。
新规能否像20年前一样,产生示范效应,引导全球重建大数据背景下数据保护规则,各方拭目以待。
一、欧盟数据保护新规指日可待
2015年12月15日,欧委会发布消息称,欧委会与欧洲议会,欧盟理事会三方机构在立法进程的最后阶段就欧盟数据保护改革达成一致。这意味着,在接近四年的协商谈判之后,核心改革成果——欧盟数据保护总规(general data protection regulation,GDPR)即将正式颁布。
根据欧盟《里斯本条约》所确立的立法程序,欧盟立法涉及三大机构:
欧洲委员会,由公务员精英群体构成,是欧盟执行机构,他们不代表所属成员国,而是服务于欧盟整体利益。此次数据保护草案即由欧委会在2012年1月提出;
欧盟议会,由欧盟公民直接选举产生的议员组成,代表全欧公民利益。欧盟议会于2014年3月高票通过《数据保护总规》草案;
欧盟理事会,由成员国相关行业、领域的部长组成,是欧盟政治机构,代表各成员国利益。因此区别于其他两家机构,欧盟理事会的立法意见一般分歧较大。例如,在数据保护领域,英国、爱尔兰政策相对宽松,而德国、意大利、西班牙则较为严格。欧盟理事会于2015年6月通过《数据保护总规》草案。
每个机构通过的草案版本均有一些差异,但从内容以及三方终于达成一致协议看,三家机构对于基本制度的分歧逐步缩小甚至消弭。
《数据保护总规》预计将在2016年年初正式颁布。由于草案对当下的数据保护制度进行了重大改革,产业界、数据监管机构、消费者都需要充分时间消化与准备,为此草案规定,总规将在正式颁布两年之后生效执行。
二、新规将带来哪些重大变革?
自2012年欧委会提出《草案》之时,其所确立的一系列严苛制度即震动产业界,引发全球高度关注。美国互联网巨头均前往布鲁塞尔进行立法游说。欧洲议会共计收到4400多份相关修正意见,在欧盟立法史上也属罕见。
究其原因,一方面欧洲是坐拥5亿人口且经济发达的巨大市场,该市场的监管政策本身即对产业有举足轻重的影响,另一方面,《草案》本身对适用范围极大扩展,不仅直接影响欧盟境内企业,还将适用于欧洲境外企业,欧盟以外的国家与企业不可能置身事外。
以下细数草案带来的重大变革:
(一)“统一法规,统一标准”。
今后欧盟数据保护立法将由指令(directive)上升为法规(regulation)。按照欧盟立法机制,欧盟指令需要成员国以制定本国法律的方式予以转化,因此1995年指令带来的结果是28个成员国对数据保护的碎片化法律体系。与指令不同,欧盟法规生效后将直接适用各成员国,这将彻底解决成员国之间的法律制度差异问题。
(二)跨境提供服务同样适用欧盟法规
1995年指令适用属地原则,即在欧盟有设立机构,或者是通过欧盟境内的设备处理数据才适用欧盟数据保护法。如果公司跨境提供服务,则可规避欧盟法律适用。针对这一问题,欧盟新规大大扩展了其适用范围。规定即使数据控制者在欧盟境内没有设立机构,但其在跨境提供商品或服务的过程中,收集处理欧盟居民数据,则应当适用欧盟数据保护法规,并需要在欧盟境内指派特定代表负责数据合规事宜。这一规定将覆盖绝大多数通过跨境方式提供服务的企业,这其中包括美国、中国等互联网公司。