歐盟理事會(huì)關(guān)于《一般數(shù)據(jù)保護(hù)條例》（GDPR）施行的最新立場(chǎng)

□ 文 吳沈括 李京北

前言

歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱：GDPR）于2018年5月25日施行，廢除并取代第95/46/EC號(hào)歐盟指令。GDPR的目標(biāo)是在歐盟建立一個(gè)強(qiáng)有力的、更加一致的數(shù)據(jù)保護(hù)框架，并得到強(qiáng)有力的執(zhí)法支持。GDPR有兩個(gè)目標(biāo)，一是保護(hù)自然人的基本權(quán)利和自由，特別是保護(hù)個(gè)人數(shù)據(jù)的權(quán)利；二是允許個(gè)人數(shù)據(jù)自由流動(dòng)以及數(shù)字經(jīng)濟(jì)在歐盟內(nèi)部市場(chǎng)的發(fā)展。

根據(jù)GDPR第97條，歐盟委員會(huì)（以下簡(jiǎn)稱：委員會(huì)）應(yīng)向歐洲議會(huì)和歐盟理事會(huì)（以下簡(jiǎn)稱：理事會(huì)）提交關(guān)于該條例評(píng)估和審查的第一份報(bào)告。該報(bào)告將于2020年5月25日前提交，此后每四年提交一次報(bào)告。在這方面，委員會(huì)應(yīng)特別審查下列各事項(xiàng)的適用和運(yùn)作：一是第五章中關(guān)于向第三國(guó)或國(guó)際組織轉(zhuǎn)移個(gè)人數(shù)據(jù)的規(guī)定，特別是根據(jù)本條例第45（3）條通過(guò)的決定和根據(jù)第95/46/EC號(hào)指令第25（6）條通過(guò)的決定；二是第七章中關(guān)于合作與一致性的規(guī)定。

GDPR的審查要求委員會(huì)考慮到歐洲議會(huì)和理事會(huì)以及其他相關(guān)機(jī)構(gòu)和部門的立場(chǎng)及調(diào)查結(jié)果。委員會(huì)還可要求成員國(guó)和監(jiān)管機(jī)構(gòu)提供資料。理事會(huì)為準(zhǔn)備上述立場(chǎng)和結(jié)論，請(qǐng)各代表團(tuán)提出書(shū)面意見(jiàn)。相關(guān)工作組在2019年10月21日、11月11日和12月5日的會(huì)議上討論了成員國(guó)的意見(jiàn)，最終理事會(huì)在2019年底以文件《歐盟理事會(huì)關(guān)于GDPR施行的立場(chǎng)與發(fā)現(xiàn)》概述和總結(jié)了理事會(huì)在籌備工作基礎(chǔ)上的立場(chǎng)和結(jié)論，也是本文的主要研究?jī)?nèi)容。

與此同時(shí)，理事會(huì)還注意到，歐盟委員會(huì)于2019年7月通過(guò)的《作為歐盟內(nèi)外信任賦能者的數(shù)據(jù)保護(hù)規(guī)則之評(píng)估的通信》（以下簡(jiǎn)稱《通信》）?！锻ㄐ拧诽接懥藲W盟數(shù)據(jù)保護(hù)規(guī)則的影響以及進(jìn)一步改進(jìn)其實(shí)施的可能性。委員會(huì)認(rèn)為，雖然新的數(shù)據(jù)保護(hù)規(guī)則實(shí)現(xiàn)了許多目標(biāo)，但《通信》提出了進(jìn)一步加強(qiáng)這些規(guī)則及其適用的具體步驟。

理事會(huì)認(rèn)為，其立場(chǎng)和結(jié)論不應(yīng)局限于GDPR第97條第（2）款具體提到的主題。因此，理事會(huì)還鼓勵(lì)委員會(huì)在其即將提交的報(bào)告中，評(píng)估和審查GDPR超出該條具體內(nèi)容的適用情況和運(yùn)作情況。此外，委員會(huì)應(yīng)考慮到相關(guān)利益方的經(jīng)驗(yàn)和投入，這將有助于確保評(píng)價(jià)盡可能全面。

為此，針對(duì)GDPR的施行，理事會(huì)匯聚梳理了成員國(guó)認(rèn)為特別相關(guān)的五類議題，分別是：數(shù)據(jù)跨境流動(dòng)；合作與一致性機(jī)制；留給國(guó)家立法者的裁量空間；私營(yíng)部門的新義務(wù)；在歐盟外設(shè)立的控制者或處理者的代表。

一、歐盟理事會(huì)關(guān)于GDPR施行的一般立場(chǎng)

理事會(huì)認(rèn)為GDPR取得了成功。這無(wú)疑是重要的里程碑，也是加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)權(quán)和促進(jìn)歐盟信任創(chuàng)新的手段。GDPR還進(jìn)一步提高了歐盟和國(guó)外對(duì)數(shù)據(jù)保護(hù)重要性的認(rèn)識(shí)。

理事會(huì)承認(rèn)，國(guó)家監(jiān)管機(jī)構(gòu)在GDPR運(yùn)作和一致適用方面的重要作用。理事會(huì)還指出，與行使新的任務(wù)和權(quán)力有關(guān)的監(jiān)管機(jī)構(gòu)的活躍度大幅度增加，許多成員國(guó)在向其分配資源方面出現(xiàn)了積極的發(fā)展態(tài)勢(shì)。理事會(huì)同意委員會(huì)的看法，即各成員國(guó)監(jiān)管機(jī)構(gòu)之間，特別是在EDPB內(nèi)部進(jìn)行合作的重要性。應(yīng)進(jìn)一步加強(qiáng)這種合作，因?yàn)檫@種合作對(duì)于涉及風(fēng)險(xiǎn)的跨境案件的監(jiān)管或涉及許多成員國(guó)案件（例如所謂的大型科技公司）的處理都非常重要。

理事會(huì)還支持委員會(huì)在其文中提出的意見(jiàn)，即競(jìng)爭(zhēng)、消費(fèi)者和數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)在適當(dāng)時(shí)進(jìn)行合作，例如對(duì)大型科技公司的監(jiān)管。理事會(huì)指出，這些公司及其商業(yè)模式的廣泛影響引起了一些關(guān)注（例如數(shù)據(jù)主體如何充分行使對(duì)大型科技公司的權(quán)利，值得研究和監(jiān)管）。因此，需要?dú)W盟的協(xié)調(diào)努力，審查這些挑戰(zhàn)的范圍，并就如何應(yīng)對(duì)這些挑戰(zhàn)提出設(shè)想。

此外，理事會(huì)認(rèn)為，數(shù)據(jù)控制者和數(shù)據(jù)處理者需要監(jiān)管機(jī)構(gòu)和EDPB提供更多的解釋與指導(dǎo)。委員會(huì)即將提交的評(píng)價(jià)報(bào)告中，還應(yīng)強(qiáng)調(diào)對(duì)實(shí)際指導(dǎo)的廣泛需求以及滿足這一需要的其他適當(dāng)手段。

根據(jù)GDPR第40條起草的針對(duì)具體部門的行為守則，可能是有助于適當(dāng)適用GDPR的一種手段。此類行為守則特別注意某些問(wèn)題，例如對(duì)兒童個(gè)人資料的保護(hù)或?qū)】蒂Y料的處理。監(jiān)管機(jī)構(gòu)目前正在商議的一份行為守則清單，或許有助于改善對(duì)這些項(xiàng)目的協(xié)調(diào)與支持，鼓勵(lì)起草此類行為守則的措施應(yīng)當(dāng)增加并進(jìn)一步的發(fā)展。

同時(shí)，理事會(huì)指出，新現(xiàn)象（特別是新出現(xiàn)的技術(shù)）也對(duì)個(gè)人數(shù)據(jù)及其他基本權(quán)利（如禁止歧視）的保護(hù)提出了新的挑戰(zhàn)。這些挑戰(zhàn)涉及大數(shù)據(jù)的使用、人工智能和算法以及物聯(lián)網(wǎng)和區(qū)塊鏈技術(shù)等主題。這同樣適用于諸如面部識(shí)別、新型畫像和“深度偽造”技術(shù)的使用。量子計(jì)算的發(fā)展也對(duì)個(gè)人數(shù)據(jù)的保護(hù)提出了挑戰(zhàn)。另一方面，這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個(gè)巨大的優(yōu)勢(shì)，并有可能加強(qiáng)歐洲公民的隱私保護(hù)。理事會(huì)認(rèn)為，為了跟上新興技術(shù)的發(fā)展，有必要通過(guò)歐盟層面持續(xù)監(jiān)測(cè)和評(píng)估技術(shù)發(fā)展與GDPR的關(guān)系。

理事會(huì)強(qiáng)調(diào)，GDPR規(guī)定在技術(shù)上是中立的，其規(guī)定已經(jīng)涉及了這些新挑戰(zhàn)。必須考慮到，GDPR（更廣泛地講歐盟保護(hù)個(gè)人數(shù)據(jù)的法律框架）是制定未來(lái)數(shù)字化政策的先決條件。但鑒于上述情況，理事會(huì)認(rèn)為有必要盡快闡明GDPR如何適用于上述新技術(shù)。

二、歐盟理事會(huì)關(guān)于GDPR施行部分問(wèn)題的立場(chǎng)與發(fā)現(xiàn)

（一）數(shù)據(jù)跨境流動(dòng)領(lǐng)域的制度建設(shè)問(wèn)題

在《通信》中，委員會(huì)注意到在全世界范圍內(nèi)制定數(shù)據(jù)保護(hù)規(guī)則的積極趨勢(shì)。最近，經(jīng)修訂的歐洲委員會(huì)第108號(hào)公約的締約國(guó)越來(lái)越多。與此同時(shí)，世界各國(guó)正在通過(guò)新的數(shù)據(jù)保護(hù)立法或改革其監(jiān)管框架，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)保護(hù)現(xiàn)代化。

理事會(huì)認(rèn)為，充分性決定是數(shù)據(jù)控制者將個(gè)人數(shù)據(jù)安全傳輸給第三國(guó)和國(guó)際組織的一個(gè)重要手段。在這方面，理事會(huì)還認(rèn)為，充分性決定的基礎(chǔ)是遵守為此類決定制定的所有標(biāo)準(zhǔn)（包括后續(xù)轉(zhuǎn)移的標(biāo)準(zhǔn)），這是十分關(guān)鍵的。根據(jù)歐盟法律的要求，充分性決定還必須接受持續(xù)的監(jiān)測(cè)和定期審查，這對(duì)于確保有效保護(hù)數(shù)據(jù)主體權(quán)利而言至關(guān)重要。理事會(huì)支持委員會(huì)在《通信》中表示的計(jì)劃，即進(jìn)一步加強(qiáng)與適合的關(guān)鍵伙伴就充分性問(wèn)題進(jìn)行對(duì)話。理事會(huì)鼓勵(lì)委員會(huì)在通過(guò)新的充分性決定時(shí)，研究是否有可能具體規(guī)定向政府當(dāng)局以及政府機(jī)構(gòu)之間的數(shù)據(jù)移交問(wèn)題。理事會(huì)還同意委員會(huì)在2020年報(bào)告中對(duì)根據(jù)第95/46/EC號(hào)指令通過(guò)的11項(xiàng)充分性決定的審查計(jì)劃。

理事會(huì)指出，目前只有13項(xiàng)充分性決定生效，其中包括與美國(guó)的隱私盾協(xié)議。因此，在許多向第三國(guó)和國(guó)際組織傳輸個(gè)人數(shù)據(jù)的情況下，數(shù)據(jù)控制者需要使用GDPR第五章規(guī)定的其他方式。因此，理事會(huì)同意根據(jù)GDPR第五章處理其他國(guó)際跨境方式的應(yīng)用問(wèn)題也很重要，這些方式有時(shí)也可以更好地滿足某一特定部門的個(gè)別數(shù)據(jù)控制者和數(shù)據(jù)處理者的需要。理事會(huì)強(qiáng)調(diào)這些方式的優(yōu)點(diǎn)，其中包括公共當(dāng)局或機(jī)構(gòu)之間簽訂的具有法律約束力和可執(zhí)行性的文書(shū)、約束性公司規(guī)則、委員會(huì)通過(guò)或監(jiān)管機(jī)構(gòu)通過(guò)并經(jīng)委員會(huì)批準(zhǔn)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、經(jīng)批準(zhǔn)的行為守則或認(rèn)證機(jī)制，以及第三國(guó)數(shù)據(jù)控制者或數(shù)據(jù)處理者的約束性承諾。

理事會(huì)還注意到，根據(jù)第95/46/EC號(hào)指令制定的向第三國(guó)傳輸數(shù)據(jù)的標(biāo)準(zhǔn)合同條款，自最初通過(guò)（包括自GDPR生效）以來(lái)并未根據(jù)發(fā)展情況加以更新。理事會(huì)鼓勵(lì)委員會(huì)近期內(nèi)審查和修訂這些文件，以適應(yīng)數(shù)據(jù)控制者與數(shù)據(jù)處理者的需要。

成員國(guó)注意到，進(jìn)一步的闡明和指南將有助于應(yīng)用上述一些方式。例如，一些成員國(guó)指出，在沒(méi)有充分性決定的情況下，數(shù)據(jù)控制者可能難以確定GDPR第46條規(guī)定的哪些方式可被視為適當(dāng)?shù)臄?shù)據(jù)保護(hù)措施。理事會(huì)將樂(lè)意接受闡明和指南，特別是來(lái)自EDPB的闡明和指南。理事會(huì)注意到，EDPB已就約束性公司規(guī)則發(fā)布了指南。此外，有必要闡明在公共當(dāng)局之間接受適當(dāng)保障的數(shù)據(jù)流轉(zhuǎn)的最低標(biāo)準(zhǔn)。這一點(diǎn)很重要，因?yàn)槌蓡T國(guó)的政府當(dāng)局經(jīng)常需要與法律框架不同于歐盟的第三國(guó)當(dāng)局合作和交換個(gè)人數(shù)據(jù)。

（二）留給成員國(guó)立法者的裁量空間問(wèn)題

GDPR直接適用于所有成員國(guó)。正如委員會(huì)在《通信》中指出的那樣，GDPR的一個(gè)重要目標(biāo)是擺脫在歐盟第95/46號(hào)指令指導(dǎo)下28個(gè)不同國(guó)家法律體系的支離破碎局面，為整個(gè)歐盟的個(gè)人和企業(yè)提供法律上的確定性。理事會(huì)認(rèn)為，GDPR在很大程度上促進(jìn)了這一目標(biāo)。

然而，GDPR的若干條款為國(guó)家立法者保留了裁量空間，以維持或引入更具體的規(guī)定，以適應(yīng)GDPR某些規(guī)則的適用。委員會(huì)在《通信》中表示，將特別注意與使用這一規(guī)定裁量空間有關(guān)的國(guó)家措施。委員會(huì)認(rèn)為，在沒(méi)有規(guī)定裁量空間的情況下，國(guó)家立法不應(yīng)規(guī)定超出GDPR的要求，例如附加處理?xiàng)l件。理事會(huì)認(rèn)為，在商議GDPR時(shí)，許多條款被認(rèn)為有必要為國(guó)家立法者留出足夠的裁量空間。例如，GDPR第6條第（2）款和第（3）款允許成員國(guó)維持或引入更具體的規(guī)定，以適應(yīng)處理個(gè)人數(shù)據(jù)的某些法律基礎(chǔ)的適用。因此，可以預(yù)見(jiàn)并證明由這一差距造成的某種差異是合理的（例如第85條和第86條也同樣適用）。

一些成員國(guó)指出，國(guó)家差異可能造成一些意想不到的后果，因?yàn)樗谀撤N程度上造成了比原先預(yù)想的更加零散的法律局面。例如，GDPR第8條也規(guī)定了國(guó)家立法者的裁量幅度，該條規(guī)定信息社會(huì)服務(wù)領(lǐng)域中兒童在13至16歲之間的承諾年齡，這可能導(dǎo)致成員國(guó)采取不同的年齡限制。

雖然大多數(shù)成員國(guó)沒(méi)有將不同的年齡限制作為一個(gè)問(wèn)題提出，但一些成員國(guó)認(rèn)為這是一個(gè)問(wèn)題，建議考慮采用統(tǒng)一的年齡限制。理事會(huì)指出，采取靈活性的年齡限制會(huì)產(chǎn)生分歧，這種可能結(jié)果在GDPR商議結(jié)束時(shí)已經(jīng)被預(yù)見(jiàn)了。然而，根據(jù)GDPR第8條規(guī)定的選擇不同年齡限制的可能性，在兩個(gè)成員國(guó)的國(guó)內(nèi)法適用于同一處理活動(dòng)的場(chǎng)景中，造成了成員國(guó)之間法律適用的不確定性。

然而，理事會(huì)指出，GDPR及作為其補(bǔ)充的國(guó)家規(guī)則只在很短的一段時(shí)間內(nèi)得到施行，許多成員國(guó)仍在修訂其針對(duì)具體部門的立法。因此，就歐盟法律得出總體水平不成體系的明確結(jié)論可能為時(shí)過(guò)早，而更好地理解實(shí)施GDPR的國(guó)家法律中的屬地范圍重疊問(wèn)題如何影響數(shù)據(jù)控制者和數(shù)據(jù)處理者，以及他們?nèi)绾螒?yīng)對(duì)這種情況，將是有益的。

理事會(huì)還強(qiáng)調(diào)，有必要防止歐盟法律體系在保護(hù)個(gè)人數(shù)據(jù)方面的支離破碎。包含個(gè)人數(shù)據(jù)處理規(guī)定的歐盟指令和條例應(yīng)與GDPR、歐盟第2016/6804號(hào)指令以及歐盟第2018/17255號(hào)條例（如果適用）保持一致。在制定影響個(gè)人數(shù)據(jù)處理的政策時(shí)，還應(yīng)以適當(dāng)方式考慮到數(shù)據(jù)保護(hù)權(quán)。

三、歐盟理事會(huì)關(guān)于GDPR施行前景的若干結(jié)論

理事會(huì)總結(jié)了迄今為止在成員國(guó)引起最大關(guān)注的GDPR適用與解釋問(wèn)題。其中尤其涉及：

1）在未作出充分性決定的情況下確定或采用適當(dāng)保障措施的挑戰(zhàn)；

2）根據(jù)GDPR第七章建立的合作與一致性機(jī)制給監(jiān)管機(jī)構(gòu)帶來(lái)的額外工作，以及此類機(jī)制所涉資源問(wèn)題；

3）無(wú)法預(yù)判的立法不成體系問(wèn)題；

4）GDPR某些條款對(duì)私營(yíng)部門的數(shù)據(jù)控制者和數(shù)據(jù)處理者規(guī)定的新義務(wù)；

5）監(jiān)管機(jī)構(gòu)應(yīng)采取措施應(yīng)對(duì)在第三國(guó)設(shè)立的數(shù)據(jù)控制者未在歐盟內(nèi)指定代表的情況。

但個(gè)別成員國(guó)也提出了一些與GDPR其他條款有關(guān)的問(wèn)題。雖然理事會(huì)承認(rèn)，問(wèn)題的數(shù)量少主要是由于GDPR的適用時(shí)間短，但仍認(rèn)為這些問(wèn)題需要以某種方式加以解決。盡管已存在一些材料，理事會(huì)仍認(rèn)為成員國(guó)提出的許多疑問(wèn)是可以通過(guò)進(jìn)一步指南等方式解決的解釋性問(wèn)題，也認(rèn)可EDPB和國(guó)家監(jiān)管機(jī)構(gòu)在提供指南方面的作用。其中應(yīng)特別注意：

1）GDPR在新技術(shù)領(lǐng)域的應(yīng)用以及與大型科技公司相關(guān)的問(wèn)題；

2）中小企業(yè)和慈善或志愿者協(xié)會(huì)的實(shí)用工具，如數(shù)據(jù)控制者和數(shù)據(jù)處理者就個(gè)人數(shù)據(jù)泄露通知監(jiān)管機(jī)構(gòu)的統(tǒng)一表格，或簡(jiǎn)化的信息處理記錄，以及中小企業(yè)根據(jù)其具體需要遵從GDPR的其他適當(dāng)工具；

3）跨境案件中監(jiān)管機(jī)構(gòu)的有效工作安排；

4）與在歐盟外設(shè)立的數(shù)據(jù)控制者或數(shù)據(jù)處理者的代表不履行其義務(wù)的情況相關(guān)的問(wèn)題。

此外，其中許多問(wèn)題和主題，特別是國(guó)家立法者權(quán)力范圍內(nèi)的問(wèn)題和議題以及與新興技術(shù)有關(guān)的挑戰(zhàn)，值得成員國(guó)和委員會(huì)進(jìn)一步討論并交流經(jīng)驗(yàn)。應(yīng)當(dāng)考察哪里是進(jìn)行這種討論的適當(dāng)場(chǎng)所，因?yàn)檫@種討論不應(yīng)與EDPB的工作重疊。

針對(duì)GDPR第五章，理事會(huì)鼓勵(lì)委員會(huì)不僅審查現(xiàn)有的充分性決定，還應(yīng)審查根據(jù)歐盟法律所規(guī)定的要求作出新的充分性決定的可能性，并研判在作出此類決定時(shí)，具體規(guī)定向公共當(dāng)局或公共當(dāng)局之間移交數(shù)據(jù)問(wèn)題的可行性。同時(shí)理事會(huì)認(rèn)為，闡明GDPR第五章中可用的其他工具的適用問(wèn)題，為數(shù)據(jù)控制者提供更清晰的說(shuō)明，使其在沒(méi)有充分性決定的情況下可以考慮如何采用適當(dāng)?shù)谋Ｕ洗胧?，是同樣重要的?/p>

針對(duì)GDPR第七章，理事會(huì)指出的一些相關(guān)問(wèn)題如前所述，并認(rèn)為應(yīng)進(jìn)一步加強(qiáng)監(jiān)管機(jī)構(gòu)之間的合作。在這方面，應(yīng)在委員會(huì)即將提交的報(bào)告中討論國(guó)家監(jiān)管機(jī)構(gòu)和EDPB資源的相關(guān)性。理事會(huì)認(rèn)為，與適用GDPR第七章有關(guān)的程序性挑戰(zhàn)也應(yīng)予以解決，并鼓勵(lì)委員會(huì)與監(jiān)管機(jī)構(gòu)以及EDPB展開(kāi)協(xié)商。

理事會(huì)指出，成員國(guó)必須維持或采用更具體的規(guī)定以適應(yīng)GDPR的施行，而與此相關(guān)的立法可能催生差異。雖然這一裁量空間是為了具體落實(shí)GDPR的某些規(guī)定，因此有可能呈現(xiàn)不成體系的局面，但理事會(huì)認(rèn)為應(yīng)該密切關(guān)注這方面的事態(tài)發(fā)展，也有必要在歐盟政策和法律制定的相關(guān)領(lǐng)域充分吸納考慮數(shù)據(jù)保護(hù)要素和GDPR的規(guī)定。

理事會(huì)認(rèn)為，重要的是促進(jìn)GDPR確立的歐洲模式，并確保所有相關(guān)利益方在今后幾年中獲得更大的法律確定性。因此，委員會(huì)應(yīng)在其報(bào)告中處理與上述議題有關(guān)的各類問(wèn)題，并提出解決這些問(wèn)題的合理辦法。此外，為了根據(jù)GDPR第97條編制后續(xù)的報(bào)告，委員會(huì)應(yīng)繼續(xù)監(jiān)測(cè)和分析GDPR的施行經(jīng)驗(yàn)，特別是在本文件涉及的各項(xiàng)問(wèn)題上。理事會(huì)還強(qiáng)調(diào)，必須審查和闡明GDPR是如何適用于新技術(shù)并能夠盡快應(yīng)對(duì)新技術(shù)帶來(lái)的各類挑戰(zhàn)。

本文是國(guó)家社會(huì)科學(xué)基金項(xiàng)目（批準(zhǔn)號(hào)：15CFX035）的階段性成果。■