歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制研究

焦 娜

(中國人民公安大學(xué)法學(xué)院 北京 100038)

一直以來，歐盟通過構(gòu)建和完善嚴(yán)格的規(guī)則制度，為數(shù)據(jù)安全提供高標(biāo)準(zhǔn)的保護(hù)。1995年的個人數(shù)據(jù)處理和數(shù)據(jù)保護(hù)指令95/46/EC(簡稱95/46/EC指令)，作為一種具有約束力的治理規(guī)則，對歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制進(jìn)行了初步探索，但在歐盟國家沒有產(chǎn)生預(yù)期的統(tǒng)一效果。隨著互聯(lián)網(wǎng)技術(shù)的進(jìn)一步發(fā)展，大數(shù)據(jù)時代的到來，歐盟法律環(huán)境進(jìn)行了深層次變革，2018年5月實施的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)便是變革成效的重要體現(xiàn)[1]。GDPR被認(rèn)為是最為嚴(yán)格的個人信息保護(hù)和數(shù)據(jù)監(jiān)管條例，歐盟國家層面的數(shù)據(jù)保護(hù)機(jī)構(gòu)(National Data Protection Authorities，簡稱DPAs)成為了數(shù)據(jù)保護(hù)領(lǐng)域的核心參與者[2]，對整個歐盟的數(shù)據(jù)保護(hù)發(fā)揮著舉足輕重的作用。不僅如此，歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制也對其他國家和地區(qū)產(chǎn)生了較大的影響，成為全球關(guān)于個人數(shù)據(jù)保護(hù)的標(biāo)桿。

互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)2019年預(yù)測中國數(shù)據(jù)圈增速最為迅速，到2025年中國將成為全球最大的數(shù)據(jù)圈[3]。這將給我國數(shù)據(jù)保護(hù)機(jī)構(gòu)的監(jiān)管工作帶來愈來愈大的挑戰(zhàn)，如果監(jiān)管不到位會影響我國的數(shù)據(jù)安全甚至是國家安全。截至2020年年底，中國互聯(lián)網(wǎng)企業(yè)(境內(nèi)外上市)的市值為17.8萬億元，數(shù)量為178家[4]，發(fā)展態(tài)勢迅猛。數(shù)據(jù)已經(jīng)成為我國重要的生產(chǎn)要素之一，數(shù)字經(jīng)濟(jì)正在蓬勃發(fā)展，是我國經(jīng)濟(jì)增長的重要力量，數(shù)據(jù)安全問題也受到了廣泛關(guān)注，國家、社會、公民越來越重視對個人信息保護(hù)和網(wǎng)絡(luò)數(shù)據(jù)安全。因此，通過研究歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制，為構(gòu)建和完善我國的數(shù)據(jù)保護(hù)機(jī)構(gòu)提供可借鑒的經(jīng)驗，合理優(yōu)化監(jiān)管方式，促使其有效發(fā)揮數(shù)據(jù)保護(hù)和監(jiān)管職能。

1 DPAs的設(shè)置與職權(quán)演變

1.1DPAs的設(shè)置根據(jù)95/46/EC指令的要求，每個歐盟國家都應(yīng)當(dāng)建立一個DPA，歐盟國家按照本國實際情況通過立法形式將95/46/EC指令轉(zhuǎn)化為國內(nèi)法，國內(nèi)法的作用是補充和細(xì)化95/46/EC指令的規(guī)定內(nèi)容。歐盟國家根據(jù)國內(nèi)法的相關(guān)規(guī)定分別設(shè)立了DPAs(見表1)，歐盟各國家的DPAs數(shù)量有所不同，大多數(shù)國家僅設(shè)立了一個DPA，而有些國家則設(shè)立了多個，例如德國。德國具有獨特的DPAs系統(tǒng)，數(shù)據(jù)保護(hù)是德國聯(lián)邦政府和州政府的共同責(zé)任。因此德國的16個州分別出臺了數(shù)據(jù)保護(hù)法，并設(shè)有DPA，且每個DPA都有州管轄權(quán)[5]。雖然歐盟各成員國DPAs的名稱不同，但其共同特點是DPAs都是公權(quán)力機(jī)關(guān)，具有執(zhí)法職能，DPAs是“作為擁有相關(guān)監(jiān)督權(quán)、調(diào)查權(quán)、干預(yù)權(quán)和訴訟權(quán)的獨立監(jiān)管機(jī)構(gòu)?！盵6]執(zhí)行其任務(wù)和行使其權(quán)力時完全獨立，不受任何直接或間接的外部影響，且不得尋求或接受任何人的指示，其工作人員在任職期間不得采取任何與其職責(zé)不符的行動。根據(jù)95/46/EC指令，DPAs在國家法律和歐盟法律之間具有混合的地位，DPAs既是歐盟各成員國的機(jī)構(gòu)，也有歐盟的組成部分。GDPR第六章專門對DPAs的設(shè)置、責(zé)任、職權(quán)進(jìn)行了規(guī)定，使DPAs變得更加“歐盟化”。

1.2DPAs的職權(quán)演變DPAs不僅要在國家法律框架內(nèi)行使權(quán)力，同時也要執(zhí)行歐盟的法律規(guī)定。從95/46/EC指令到GDPR，DPAs的職權(quán)經(jīng)歷了從模糊到明確，從差異到統(tǒng)一，且逐漸擴(kuò)大。

1.2.1 95/46/EC指令對DPAs的職權(quán)劃分較為模糊 根據(jù)95/46/EC指令第28條第(3)款規(guī)定，DPAs具有調(diào)查權(quán)、有效干預(yù)權(quán)和參與法律訴訟的權(quán)力，但對這些權(quán)力的具體內(nèi)容規(guī)定卻不甚明確[7]。隨著實踐的快速發(fā)展，DPAs在行使職權(quán)、充當(dāng)權(quán)利守護(hù)者的過程中會面臨執(zhí)法困境。

表1 歐盟國家DPAs的設(shè)置

1.2.2 歐盟法院(CJEU)通過判例法進(jìn)一步擴(kuò)大了DPAs的權(quán)限范圍 歐盟法院通過適用95/46/EC指令，在保護(hù)歐盟公民個人數(shù)據(jù)的權(quán)利方面發(fā)揮了積極作用，例如2015年10月6日歐盟法院發(fā)布了Schrems v Data Protection Commissioner (Case C-362/14)的最終判決，根據(jù)該判決，愛爾蘭數(shù)據(jù)保護(hù)委員會應(yīng)當(dāng)盡職調(diào)查Schrems的投訴，通過調(diào)查發(fā)現(xiàn)如果美國沒有對個人數(shù)據(jù)提供足夠的保護(hù)，根據(jù)95/46/EC指令愛爾蘭數(shù)據(jù)保護(hù)委員會在調(diào)查結(jié)束時有權(quán)決定暫停將Facebook在歐洲用戶的數(shù)據(jù)轉(zhuǎn)移到美國。該判例明確了DPAs在歐盟做出“充分性決定”時的職權(quán)內(nèi)容：一是有權(quán)審查個人關(guān)于其他國家處理其個人信息的投訴；二是有權(quán)向國家法院提起訴訟，質(zhì)疑“充分性決定”的有效性；三是有權(quán)在適當(dāng)?shù)臅r候暫停向其他國家傳輸個人信息[8]。

1.2.3 GDPR實施以后，DPAs的職權(quán)發(fā)生重大變化 GDPR第57條和第58條明確細(xì)化了DPAs的任務(wù)和職權(quán)，將其職權(quán)劃分為3種類型：調(diào)查權(quán)、糾正權(quán)、授權(quán)和咨詢權(quán)。調(diào)查權(quán)主要是指根據(jù)GDPR，DPAs可以以數(shù)據(jù)保護(hù)的審計形式進(jìn)行調(diào)查，還可以從數(shù)據(jù)控制者或處理者那里獲得對數(shù)據(jù)、對調(diào)查所需的場所、設(shè)備和信息進(jìn)行訪問的權(quán)力。在行使授權(quán)和咨詢權(quán)時，DPAs可以向立法部門提供立法建議，向數(shù)據(jù)控制者和處理者提供相關(guān)建議，向需要事先授權(quán)從事某項工作的機(jī)構(gòu)進(jìn)行授權(quán)。但是，DPAs最為強大和最為核心的職權(quán)是行使糾正權(quán)，糾正權(quán)的行使范圍從采取較溫和的制裁措施到更嚴(yán)厲的制裁(例如刪除數(shù)據(jù)、禁止處理數(shù)據(jù)或暫停數(shù)據(jù)流向第三方國家)。GDPR的這一規(guī)定給各成員國制定法律留下了很小的發(fā)揮空間，正如GDPR前言第129條所宣稱的那樣，“為了確保在整個歐盟范圍內(nèi)對本法規(guī)進(jìn)行一致的監(jiān)管和執(zhí)行，監(jiān)管機(jī)構(gòu)在每個成員國應(yīng)具有相同的任務(wù)和有效的權(quán)力”。

2 95/46/EC指令下DPAs的運行機(jī)制

95/46/EC指令的模糊性規(guī)定，促使DPAs 在實踐發(fā)展中不斷探索，從分散式執(zhí)法逐步走向非正式合作，為GDPR下DPAs運行機(jī)制的構(gòu)建奠定了基礎(chǔ)。

2.1DPAs分散式執(zhí)法由于95/46/EC指令是一項指令而非法規(guī)，歐盟國家對其在本國法律中的實施形式和方法具有較大的自由裁量權(quán)。每個歐盟國家都有自己的DPA，但在職權(quán)、功能等方面幾乎沒有一致性，95/46/EC指令的內(nèi)容規(guī)定較為原則化，例如比例原則、公平正義等，這樣直接導(dǎo)致27個歐盟國家的DPAs在數(shù)據(jù)保護(hù)執(zhí)法方面具有明顯的差異性。這種差異不僅體現(xiàn)在法律層面，也體現(xiàn)在每一個DPA的運行機(jī)制方面。例如，德國、斯堪的納維亞及北歐國家的DPAs擁有較大的自主權(quán)，日常運行較為靈活；愛爾蘭的DPA在運行過程中盡量為企業(yè)提供更為寬松的發(fā)展環(huán)境；斯洛伐克的DPA在日常監(jiān)管中幾乎不發(fā)揮作用，丹麥的DPA在運行中更加重視國內(nèi)數(shù)據(jù)保護(hù)問題，忽視歐盟國家DPAs之間的合作，西班牙和法國等國家的DPAs任務(wù)繁重，需要承擔(dān)全球云服務(wù)等重大問題[9]，相應(yīng)的運行機(jī)制也較為復(fù)雜。

歐盟國家適用95/46/EC指令的差異性也延伸到處罰權(quán)的確立及其數(shù)額的設(shè)定，例如，在處罰措施方面，立陶宛是由司法機(jī)關(guān)處以刑事罰款；德國的司法機(jī)關(guān)可以決定采取拘留措施，DPA具有處以行政罰款的權(quán)力。在罰款數(shù)額方面，德國的最高限額為300 000歐元；瑞典為1 000 000克朗或大約105 000歐元；愛爾蘭為100 000歐元；意大利為300 000歐元；荷蘭為820 000歐元或營業(yè)額的10%；羅馬尼亞為22,000歐元或營業(yè)額的2%；法國為3 000 000 歐元[10]。從中可以看出，歐盟國家DPAs的處罰嚴(yán)厲程度各不相同，有的DPAs采取嚴(yán)格的態(tài)度，而有的則采取相對寬容的態(tài)度。

2.2DPAs非正式合作由于跨境數(shù)據(jù)流動在歐盟國家之間頻繁發(fā)生，再加上歐盟法律碎片化，DPAs逐漸意識到了合作的重要作用。根據(jù)95/46/EC指令，DPAs之間的合作不是依據(jù)明確的規(guī)則和按照嚴(yán)格的時間限制展開，而是在相當(dāng)非正式的層面上進(jìn)行的。DPAs在履行職責(zé)時通過交換對彼此有用的信息，有時可能會被另一個國家的DPA要求行使其權(quán)力。具體而言，當(dāng)一國的DPA需要根據(jù)另一成員國的法律實施處罰時，該DPA不能直接行使干預(yù)權(quán)，需要請求法律所屬國的DPA。兩國的DPAs通過協(xié)商一致，共同確定侵權(quán)行為，最終由該法律所屬國的DPA作出處罰決定。非正式的合作屬于“橫向合作”模式，其特點是歐盟國家DPAs之間沒有等級區(qū)分，共同分擔(dān)責(zé)任，共同獲取利益，靠著良好的信用和管理進(jìn)行持續(xù)性合作。例如，在Facebook侵犯數(shù)據(jù)主體隱私權(quán)案件中，法國的DPA——國家信息和自由委員會(CNIL)聯(lián)合比利時、西班牙、荷蘭和德國漢堡地區(qū)的DPAs，共同指控Facebook未經(jīng)非訂閱用戶同意收集數(shù)據(jù)以及未經(jīng)數(shù)據(jù)主體明確同意收集敏感數(shù)據(jù)[11]。

2.3對95/46/EC指令下DPAs運行機(jī)制的評價DPAs分散式執(zhí)法表現(xiàn)出的顯著特征是DPAs的運行機(jī)制具有明顯差異性，這種顯著的差異符合當(dāng)時歐盟及其成員國探索個人數(shù)據(jù)保護(hù)的發(fā)展歷程，歐盟誕生兩年后95/46/EC指令開始實施，歐盟國家各自成立的DPAs具體的運行機(jī)制還主要處于適應(yīng)本國國情，解決國內(nèi)問題的階段，再加上95/46/EC指令的原則性規(guī)定，并不能明確指導(dǎo)歐盟國家的DPAs之間進(jìn)行合作執(zhí)法。之后，DPAs分散式執(zhí)法逐漸暴露出一些缺陷。具體而言，一方面，DPAs分散式執(zhí)法導(dǎo)致整個歐盟數(shù)據(jù)保護(hù)法律缺乏統(tǒng)一性。尤其是當(dāng)發(fā)生歐盟范圍內(nèi)的數(shù)據(jù)侵權(quán)事件時，DPAs傾向于“各自為政”或者局部合作，使得問題不能得到及時有效的解決。例如有的DPAs在處理Facebook侵犯數(shù)據(jù)主體隱私權(quán)案件時，一開始并未考慮與其他DPAs合作，而是自行解決該問題。例如，比利時的DPA——國家隱私委員會以Facebook涉嫌違反比利時法律為由向比利時的法院起訴Facebook[11]。另一方面，DPAs分散式執(zhí)法可能會損害歐盟數(shù)據(jù)保護(hù)的有效性。在跨境數(shù)據(jù)流動中，很多數(shù)據(jù)控制者為了“鉆法律的空子”會選擇一個DPA監(jiān)管水平較低或者監(jiān)管相對寬松的國家建立主要辦事機(jī)構(gòu)，遠(yuǎn)離受數(shù)據(jù)處理活動影響的個人所在的國家，致使由數(shù)據(jù)主體居住地所在國的DPA追究數(shù)據(jù)控制者法律責(zé)任時適用的法律和其權(quán)限范圍出現(xiàn)沖突，不能較好實現(xiàn)懲戒和規(guī)范的目的。

為了彌補DPAs分散式執(zhí)法帶來的差異性后果，DPAs之間開始尋求合作，并且從非正式合作開始探索解決歐盟國家共同面臨的問題。非正式合作在一定時間內(nèi)發(fā)揮了積極作用，但是隨著歐盟國家之間的交往越來越密切，非正式合作不能滿足歐盟內(nèi)外數(shù)據(jù)跨境流動的實際執(zhí)法需要，已不能作為主要的執(zhí)法合作方式。究其原因，DPAs同其他公共權(quán)力機(jī)構(gòu)一樣，面臨人員配備不足和缺乏財政資源等窘境，這會導(dǎo)致DPAs無法有效完成所有任務(wù)安排。同時，由于DPAs是國家機(jī)構(gòu)，應(yīng)當(dāng)首先保證其在本國領(lǐng)土范圍內(nèi)能夠提供高水平的數(shù)據(jù)保護(hù)和監(jiān)管。

3 GDPR下DPAs的運行機(jī)制

GDPR的實施代替了95/46/EC指令，并取代了大部分的國家數(shù)據(jù)保護(hù)法，更能適應(yīng)互聯(lián)網(wǎng)時代的發(fā)展，改變了歐盟法律碎片化和不確定性的狀態(tài)，統(tǒng)一了歐盟數(shù)據(jù)保護(hù)的規(guī)則。DPAs負(fù)責(zé)監(jiān)督和執(zhí)行新的數(shù)據(jù)保護(hù)規(guī)則GDPR，可以更好地發(fā)揮歐盟數(shù)據(jù)保護(hù)守護(hù)者的作用。 GDPR引入了DPAs兩種不同類型的權(quán)限，分別是“單一權(quán)限”和“協(xié)作權(quán)限”?！皢我粰?quán)限”是指在DPAs處理案件時主要基于屬地原則。但是隨著跨境數(shù)據(jù)流動的頻繁發(fā)生，DPAs的運行機(jī)制更多體現(xiàn)為“協(xié)作權(quán)限”之內(nèi)。具體而言，DPAs在遵守由歐盟數(shù)據(jù)保護(hù)委員會(European Data Protection Board, 簡稱EDPB)保障實施的、明確的且具有強制性的“一致性”原則之下，構(gòu)建了多種合作機(jī)制，例如“一站式”(the One-Stop-Shop)結(jié)構(gòu)化合作、互助(Mutual Assistance)以及聯(lián)合行動(Joint Operations)(見圖1)。

3.1明確且強制遵守的“一致性”原則“一致性”原則體現(xiàn)為GDPR在歐盟國家能夠得到統(tǒng)一適用，防止同一案件被不同成員國的DPAs采取不同的處理方式，同時解決DPAs之間的執(zhí)法沖突。

3.1.1 “一致性”原則的保障實施者——EDPB 根據(jù)GDPR第68條的規(guī)定在歐盟層面設(shè)立EDPB，EDPB成為歐盟數(shù)據(jù)保護(hù)的中心，為DPAs之間的合作奠定堅實的基礎(chǔ)。EDPB不僅發(fā)布關(guān)于如何解釋GDPR核心概念的指南，還針對跨境數(shù)據(jù)處理的爭議發(fā)布具有約束力的決定。EDPB在2020年1月1日至12月31日期間，共處理了628起跨境案件，其中461起源于投訴，而167起源于其他原因，例如調(diào)查、媒體報道等[12]。2021—2023戰(zhàn)略中提出，EDPB決心通過企業(yè)和公共機(jī)構(gòu)(包括執(zhí)法機(jī)構(gòu))，向第三國傳輸歐盟關(guān)于國際數(shù)據(jù)保護(hù)的高標(biāo)準(zhǔn)。EDPB致力于加強與國際社會的溝通，從全球角度思考并提出具體建議和實用解決方案，為DPAs提供政策指導(dǎo)，以應(yīng)對數(shù)據(jù)保護(hù)領(lǐng)域中出現(xiàn)的新的不可預(yù)見的挑戰(zhàn)，促進(jìn)歐盟數(shù)據(jù)保護(hù)逐步發(fā)展成為全球模式，并確?？梢杂行ПＷo(hù)歐盟以外的個人數(shù)據(jù)[13]。GDPR通過為DPAs提供有效合作的方式來促進(jìn)DPAs之間的合作，鼓勵DPAs接受這些變化并調(diào)整其運行機(jī)制，以便能夠滿足新的權(quán)利(力)和義務(wù)需要[14]。

圖1 GDPR下DPAs的運行機(jī)制

3.1.2 “一致性”原則的具體要求 EDPB以其獨立的法律人格和做出具有約束力決定的權(quán)力，使其在歐盟數(shù)據(jù)保護(hù)規(guī)則的執(zhí)行中成為一個更強大的參與者，進(jìn)而保證了“一致性”原則在以下兩種情況中是明確的且具有強制性：第一，當(dāng)數(shù)據(jù)處理操作的行為對多個成員國的大量數(shù)據(jù)主體產(chǎn)生了重大影響，DPAs計劃采取會產(chǎn)生法律效力的措施時，例如GDPR在第64(1)條中列出的一些明確的措施，DPAs必須向EDPB 提交決定草案，征求其事先的意見。在明確且強制遵守的情況下，“一致性”原則是這些措施合法性的先決條件。對于這些情況，GDPR沒有明確賦予EDPB直接的約束力，而是當(dāng)DPA不遵循 EDPB的意見時，從而違背“一致性”原則并間接使EDPB擁有最終決定權(quán)。第二，根據(jù)GDPR 第65條第1款的規(guī)定，“一致性”原則發(fā)揮了解決爭議的作用，EDPB充當(dāng)爭議解決機(jī)構(gòu)。當(dāng)相關(guān)的DPAs(the Concerned Supervisory Authorities，簡稱CSAs)無法在“一站式”結(jié)構(gòu)化合作下達(dá)成協(xié)議，或當(dāng)CSAs與發(fā)揮主導(dǎo)作用的DPA(the Lead Supervisory Authority ，簡稱LSA)存在沖突意見時，應(yīng)當(dāng)適用“一致性”原則，EDPB應(yīng)當(dāng)進(jìn)行干預(yù)并做出具有約束力的決定?！耙恢滦浴痹瓌t除了在適用GDPR時能夠體現(xiàn)適當(dāng)?shù)膮f(xié)調(diào)性或統(tǒng)一性，還是為了解決DPAs的沖突，這樣使DPAs的合作將在日?；顒又邪l(fā)揮越來越大的作用[15]。

以遵守“一致性”原則之下的罰款為例，根據(jù)GDPR第83條規(guī)定，對違反GDPR核心合規(guī)義務(wù)罰款最高可達(dá)2 000萬歐元或者上一年度公司全球營業(yè)額的4%(以較高者為準(zhǔn))，對違反GDPR其他非核心合規(guī)義務(wù)的罰款最高可達(dá)1000萬歐元或者上一年度全球營業(yè)額的2%(以較高者為準(zhǔn))[16]。統(tǒng)一罰款數(shù)額范圍是一項可行的措施，因為可以確保所有歐盟國家實施相同級別的處罰。換言之，無論數(shù)據(jù)控制者在歐盟哪個國家建立主要機(jī)構(gòu)，任何違反GDPR的行為都將受到相同的處罰，這樣會使在任一歐盟國家的數(shù)據(jù)控制者都將同樣認(rèn)真對待數(shù)據(jù)保護(hù)[17]。

3.2“一站式”(theOne-Stop-Shop)結(jié)構(gòu)化合作“一站式”結(jié)構(gòu)化合作是指發(fā)揮主導(dǎo)作用的DPA(LSA)有權(quán)作為跨境數(shù)據(jù)處理的牽頭機(jī)構(gòu)，與相關(guān)的DPAs(CSAs)進(jìn)行協(xié)調(diào)，開展協(xié)作，共同對整個歐盟內(nèi)該企業(yè)的所有數(shù)據(jù)處理活動進(jìn)行監(jiān)督。根據(jù)95/46/EC指令，在多個歐盟國家同時設(shè)有機(jī)構(gòu)的企業(yè)必須遵守由不同DPAs實施和解釋的國家規(guī)則，每個DPA都有權(quán)監(jiān)督該企業(yè)的數(shù)據(jù)處理活動。這種情況不僅對歐盟內(nèi)的企業(yè)造成負(fù)擔(dān)，而且不利于數(shù)據(jù)主體的權(quán)利保護(hù)，容易導(dǎo)致DPAs在適用歐盟數(shù)據(jù)保護(hù)規(guī)則時缺乏一致性。然而根據(jù)GDPR第56(1)條規(guī)定，這樣的企業(yè)將與其中的一個DPA構(gòu)建聯(lián)絡(luò)關(guān)系。如果一家企業(yè)在一個以上的歐盟國家開展業(yè)務(wù)，并且在歐盟國家內(nèi)至少設(shè)有一家機(jī)構(gòu)，則它必須與單一的DPA(LSA)進(jìn)行聯(lián)絡(luò)，再由LSA與CSAs進(jìn)行聯(lián)絡(luò)。一國的DPA是否能夠處于主導(dǎo)地位，取決于數(shù)據(jù)控制者或者處理者的建立地是否主要位于該國之內(nèi)。“一站式”結(jié)構(gòu)化合作作為一種復(fù)雜的合作方式，在遵守“一致性”原則的前提之下，EDPB有權(quán)做出最終的、具有約束力的決定[18]。

GDPR規(guī)定了采用“一站式”結(jié)構(gòu)化合作，DPAs需要遵守明確的時間期限以及履行相應(yīng)的責(zé)任。“一站式”結(jié)構(gòu)化合作主要體現(xiàn)在跨境數(shù)據(jù)流動中，LSA必須在采取措施之前讓所有CSAs都參與進(jìn)來，并傳達(dá)所有相關(guān)信息，提交采取措施的決定草案，CSAs可以在四個星期的時間內(nèi)對決定草案提出反對意見。如果LSA同意CSAs提出的反對意見，則必須在兩周的較短時間內(nèi)重新提交決定草案以征求意見。全部參與的DPAs達(dá)成一致意見后，由LSA將最終決定告知企業(yè)和CSAs，同時告知EDPB。如有必要的話，EDPB將會在考慮“一致性”的原則后做進(jìn)一步的討論。GDPR還規(guī)定了對“一站式”結(jié)構(gòu)化合作適用的例外情況，例如當(dāng)LSA認(rèn)為需要采取緊急行動以保護(hù)數(shù)據(jù)主體的權(quán)益時，可以設(shè)立緊急程序。

3.3互助(MutualAssistance)提供互助的義務(wù)適用于一個DPA請求另一個DPA協(xié)助履行其任務(wù)的任何情況。GDPR第61條規(guī)定了被請求DPA的義務(wù)以及違反這些義務(wù)的后果。互助不僅僅是發(fā)生在跨境數(shù)據(jù)流動的情況下。GDPR第61條允許DPA在具體問題/案件上請求對方的幫助，例如自愿協(xié)助參與調(diào)查，分享調(diào)查結(jié)果和相關(guān)信息[19]。從2018年至2020年DPAs啟動互助程序分別是397、2145、2504個(見表2)，2020年1月1日至2020年12月31日期間，DPAs共啟動了246個正式互助程序，2 258個非正式互助程序[12]。非正式互助+程序沒有法定期限的限制，正式互助程序中要求提供信息的DPA需要在一個月之內(nèi)答復(fù)[20]?；ブ绦虿粌H適用于“一站式”結(jié)構(gòu)化合作下的跨境案件，還適用于DPAs起草決定前收集必要信息的初步階段的案件，也適用于包含跨境因素的國內(nèi)案件[21]。

3.4聯(lián)合行動(JointOperations)GDPR第62條規(guī)定了DPAs聯(lián)合行動的具體內(nèi)容，包括聯(lián)合調(diào)查和聯(lián)合執(zhí)法措施。聯(lián)合行動是指兩個或兩個以上的DPAs聯(lián)合起來，朝著共同商定的目標(biāo)行動。為了實現(xiàn)這一目標(biāo)，DPAs提供相關(guān)的資源，包括技能、工作人員等。如果一個歐盟國家內(nèi)的數(shù)據(jù)主體權(quán)利受到重大影響，即使數(shù)據(jù)控制者或者數(shù)據(jù)處理者沒有在該國內(nèi)建立主要機(jī)構(gòu)，該國的DPA有權(quán)請求參與聯(lián)合行動，被請求的DPA應(yīng)當(dāng)毫不遲延地對該請求作出回應(yīng)。由請求國的DPA指派的參加聯(lián)合行動的工作人員只能在發(fā)起國DPA的授權(quán)下行使權(quán)力，并且應(yīng)當(dāng)遵守發(fā)起國的法律規(guī)定，由此發(fā)起國DPA對請求國DPA的工作人員的執(zhí)法活動承擔(dān)責(zé)任，包括對其執(zhí)法期間造成的任何損害承擔(dān)賠償責(zé)任。聯(lián)合行動同樣不限于跨境案件。2018年和2019年，DPAs之間沒有進(jìn)行過聯(lián)合行動；2020年，DPAs之間僅進(jìn)行過一次聯(lián)合行動(見表2)。

表2 “一致性”原則下DPAs的合作方式

3.5對GDPR下DPAs運行機(jī)制的評價GDPR實施以后的2018年至2020年，DPAs采用“一站式”結(jié)構(gòu)化合作的頻率呈現(xiàn)成倍數(shù)的增長態(tài)勢，而且每年能夠做出最終決定的數(shù)量隨著合作次數(shù)的增多也明顯增多(見表2)?！耙徽臼健苯Y(jié)構(gòu)化合作體現(xiàn)為LSA和CSAs之間的良好合作，LSA發(fā)揮領(lǐng)導(dǎo)調(diào)查作用，并致力于與CSAs之間達(dá)成共識的過程中發(fā)揮關(guān)鍵作用[12]。對于數(shù)據(jù)主體而言，“一站式”結(jié)構(gòu)化合作提高了數(shù)據(jù)主體的地位，以平等的方式保護(hù)數(shù)據(jù)主體的權(quán)利而不受其居住國的影響，防止數(shù)據(jù)控制者和處理者優(yōu)先選擇被認(rèn)為較為寬松的DPAs的管轄范圍，從而實施侵犯數(shù)據(jù)相關(guān)權(quán)利的行為。互助程序是DPAs采用最具普遍性的合作方式，極大程度上提升了DPAs開展合作的便捷性。從某種程度上來講，聯(lián)合行動屬于“一站式”結(jié)構(gòu)化合作的一部分，但是從DPAs之間的分工和配合方面分析，“一站式”結(jié)構(gòu)化合作則更為體系化、制度化，是一種長效運行機(jī)制。

DPAs對GDPR的執(zhí)行和落實，保證實現(xiàn)對歐盟公民個人數(shù)據(jù)的保護(hù)，使歐盟朝著更好、更協(xié)調(diào)的數(shù)據(jù)保護(hù)執(zhí)法邁進(jìn)，提高了GDPR對個人數(shù)據(jù)權(quán)利的保護(hù)水平。相應(yīng)地，DPAs對處理歐盟公民數(shù)據(jù)相關(guān)的企業(yè)進(jìn)行了規(guī)制，這類企業(yè)為了能夠在歐盟正常開展經(jīng)營和發(fā)展，對數(shù)據(jù)處理活動必然遵守GDPR的嚴(yán)格規(guī)定。對于歐盟國家的DPAs而言，明確且強制遵守的“一致性”原則加強了歐盟國家DPAs之間的合作，進(jìn)而提升了DPAs的執(zhí)法權(quán)威和執(zhí)法效果。DPAs負(fù)責(zé)監(jiān)管該國領(lǐng)域內(nèi)的數(shù)據(jù)活動，包括將個人數(shù)據(jù)傳輸?shù)綒W盟以外。自GDPR實施以來，DPAs收到了很多關(guān)于個人數(shù)據(jù)保護(hù)的投訴。以法國為例，2018 年CNIL收到了創(chuàng)紀(jì)錄的11077起投訴(與2017年相比增加了32.5%)[22]。GDPR實施后DPAs的許多執(zhí)法行動主要涉及數(shù)據(jù)處理是否合法，以及根據(jù)GDPR第6條規(guī)定數(shù)據(jù)控制者是否有權(quán)處理個人數(shù)據(jù)。另外，DPAs對數(shù)據(jù)流動和數(shù)據(jù)處理的監(jiān)管活動逐漸增加，從2018年5月到2019年5月，所有DPAs做出的罰款決定不超過20次；然而從2019年5月到2020年3月，這一數(shù)字增加了5倍多[5]，2019年1月，法國CNIL首次做出罰款決定，對谷歌處以5 000萬歐元(5 400萬美元)的罰款，因為谷歌未能確保其個性化廣告合法處理用戶數(shù)據(jù)，這筆罰款是法國CNIL迄今為止最大的一筆罰款[5]。2021年9月愛爾蘭數(shù)據(jù)保護(hù)委員會以違反數(shù)據(jù)保護(hù)規(guī)則為由，對 WhatsApp愛爾蘭公司處以 2.25 億歐元的罰款，并勒令其采取一系列特定的補救措施以做到充分合規(guī)，這是愛爾蘭數(shù)據(jù)保護(hù)委員會自成立以來開出的最大罰款。由此可見DPAs的執(zhí)法能動性和執(zhí)法權(quán)威性在具體案件中逐漸增強。

4 啟 示

歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制體現(xiàn)了數(shù)據(jù)監(jiān)管的專業(yè)和高效，增強了DPAs執(zhí)法的威懾力和權(quán)威性，保障了數(shù)據(jù)安全、自由流動。借鑒歐盟國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的運行機(jī)制的有益經(jīng)驗，應(yīng)當(dāng)結(jié)合我國的實際情況。我國不適宜設(shè)立獨立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，可以嘗試構(gòu)建和完善“1+X”的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系；我國可以借鑒“一致性”原則之下，DPAs之間開展“一站式”結(jié)構(gòu)化合作的經(jīng)驗，改良目前“九龍治水”的監(jiān)管格局和監(jiān)管方式；借鑒歐盟及其成員國重視公民投訴，以此來獲取大量案件信息，我國可以創(chuàng)新監(jiān)管方式，暢通公民進(jìn)行權(quán)利救濟(jì)的渠道，重視社會公眾的參與度。

4.1構(gòu)建和完善“1+X”的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系根據(jù)95/46/EC指令和GDPR的規(guī)定，DPAs是獨立的國家機(jī)構(gòu)，具有獨立的法律地位，享有完全獨立的職權(quán)。我國也有學(xué)者在研究數(shù)據(jù)跨境監(jiān)管機(jī)構(gòu)時，提出新設(shè)獨立的機(jī)構(gòu)——全國數(shù)據(jù)保護(hù)委員會，該機(jī)構(gòu)享有相應(yīng)的“行政調(diào)查權(quán)、建議權(quán)、登記備案權(quán)、處罰權(quán)以及提起公益訴訟等權(quán)限”[23]。筆者認(rèn)為新設(shè)獨立的數(shù)據(jù)保護(hù)機(jī)構(gòu)缺乏考慮我國的政治、經(jīng)濟(jì)、文化等制度發(fā)展和現(xiàn)實情況，具體而言：一方面，在我國一般由政府部門的內(nèi)設(shè)機(jī)構(gòu)承擔(dān)監(jiān)管職責(zé)，而這些機(jī)構(gòu)同時也要承擔(dān)行政管理職責(zé)，這兩種職責(zé)在執(zhí)法中并沒有得到明確區(qū)分[24]。這些機(jī)構(gòu)在各自的職責(zé)范圍承擔(dān)個人信息保護(hù)和網(wǎng)絡(luò)數(shù)據(jù)安全的職責(zé)已能滿足實際需要，而且我國行政體制改革進(jìn)入了“推進(jìn)國家治理體系和治理能力現(xiàn)代化的新時代”[25]，精簡設(shè)置政府部門及內(nèi)設(shè)機(jī)構(gòu)，推行扁平化管理成為趨勢。因此，在我國設(shè)立獨立的數(shù)據(jù)保護(hù)機(jī)構(gòu)不具有必要性。另一方面，由國家網(wǎng)信部門作為主導(dǎo)部門已在我國相關(guān)法律中得到明確規(guī)定?！毒W(wǎng)絡(luò)安全法》規(guī)定了“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作”，同時規(guī)定了國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)在其各自職責(zé)范圍內(nèi)發(fā)揮監(jiān)管作用?！稊?shù)據(jù)安全法》規(guī)定了“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作”?！秱€人信息保護(hù)法》規(guī)定了“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作?！惫使P者提出在我國構(gòu)建和完善“1+X”的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系，即由國家網(wǎng)信部門與其他監(jiān)管部門形成有效的協(xié)同配合監(jiān)管體系[26]?！?+X”的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系體現(xiàn)了統(tǒng)一與分散相結(jié)合，綜合與專業(yè)相結(jié)合，全方位與多主體相結(jié)合[27]，是具有中國特色的數(shù)據(jù)保護(hù)機(jī)構(gòu)體系。

4.2強化國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，其他部門和機(jī)構(gòu)協(xié)同配合《數(shù)據(jù)安全法》第6條詳細(xì)列舉了具有數(shù)據(jù)安全監(jiān)管職責(zé)的多個部門和機(jī)構(gòu)，對數(shù)據(jù)的監(jiān)管實施分行業(yè)、分領(lǐng)域，這樣的規(guī)定使不同的數(shù)據(jù)保護(hù)機(jī)構(gòu)在各自領(lǐng)域內(nèi)發(fā)揮專業(yè)性的監(jiān)管作用，能夠最快識別個人數(shù)據(jù)存在的隱患和風(fēng)險，體現(xiàn)數(shù)據(jù)安全監(jiān)管的高效性。然而，目前我國的實踐中暴露出分行業(yè)、分領(lǐng)域進(jìn)行數(shù)據(jù)監(jiān)管的界限模糊問題，這樣容易導(dǎo)致數(shù)據(jù)監(jiān)管機(jī)構(gòu)在執(zhí)法過程中出現(xiàn)重復(fù)監(jiān)管、多重監(jiān)管、監(jiān)管盲區(qū)、監(jiān)管失靈等后果[23]。因此，我國數(shù)據(jù)監(jiān)管機(jī)構(gòu)的運行機(jī)制可以借鑒歐盟在明確的且具有強制性的“一致性”原則之下，最為推崇的DPAs之間的合作機(jī)制——“一站式”結(jié)構(gòu)化合作，并結(jié)合我國的立法和執(zhí)法情況，構(gòu)建由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，相關(guān)職責(zé)部門和機(jī)構(gòu)協(xié)同配合的改良版“九龍治水”監(jiān)管格局。2018年通過的《中共中央關(guān)于深化黨和國家機(jī)構(gòu)改革的決定》中提出“堅持一類事項原則上由一個部門統(tǒng)籌、一件事情原則上由一個部門負(fù)責(zé)”，這為數(shù)據(jù)監(jiān)管中存在的問題提供了方向性的解決思路，體現(xiàn)了在一個監(jiān)管事項中，不同部門之間除了有職責(zé)范圍的區(qū)分外，還在協(xié)同配合過程中發(fā)揮著程度不同的作用。例如，2020年4月15日，公安部和中央網(wǎng)信辦牽頭，聯(lián)合最高人民法院、最高人民檢察院、工業(yè)和信息化部、國家市場監(jiān)督管理總局等建立跨部委打擊危害公民個人信息和數(shù)據(jù)安全違法犯罪長效機(jī)制，從源頭消除危害公民個人信息和數(shù)據(jù)安全的隱患[28]。2020年7月中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國家市場監(jiān)管總局四部門聯(lián)合啟動App違法違規(guī)收集使用個人信息治理工作，啟動會上提出對違法違規(guī)收集使用個人信息行為加大發(fā)現(xiàn)力度、曝光力度、處罰力度。由不同部門對同一事情聯(lián)合監(jiān)管，集中解決某一項存在數(shù)據(jù)安全隱患的問題，這樣可以統(tǒng)一不同部門的監(jiān)管方式和監(jiān)管標(biāo)準(zhǔn)，加強不同數(shù)據(jù)監(jiān)管機(jī)構(gòu)之間的信息共享，形成專項執(zhí)法的監(jiān)管合力；另一方面也有利于企業(yè)采取有效措施進(jìn)行整改，減輕企業(yè)開展數(shù)據(jù)合規(guī)的負(fù)擔(dān)。

4.3創(chuàng)新監(jiān)管方式，提高企業(yè)和公眾參與度GDPR實施以后，DPAs最主要的監(jiān)管方式是對數(shù)據(jù)控制者或處理者采取嚴(yán)厲程度不同的制裁措施，我國也有類似的制裁措施。數(shù)據(jù)監(jiān)管部門通過約談涉事企業(yè)，根據(jù)改正情況及情節(jié)、造成的后果等，依法依規(guī)對企業(yè)或者相關(guān)責(zé)任人員予以警告、罰款，甚至?xí)和Ｏ嚓P(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，構(gòu)成犯罪的，依法追究刑事責(zé)任。在事后處罰的基礎(chǔ)上，我國逐步重視“事前審查+事后處罰”的監(jiān)管方式，事前審查即為數(shù)據(jù)控制者或者數(shù)據(jù)處理者主動向監(jiān)管部門報送數(shù)據(jù)管理情況。例如2021年10月1日起施行的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第13、14條分別規(guī)定了汽車數(shù)據(jù)處理者開展重要的數(shù)據(jù)處理活動，應(yīng)當(dāng)每年向監(jiān)管部門主動報送數(shù)據(jù)管理情況，若要向境外提供重要數(shù)據(jù)，還應(yīng)當(dāng)主動報送其他補充情況。發(fā)揮“事前審查+事后處罰”的聯(lián)動作用，通過運用大數(shù)據(jù)分析等技術(shù)手段，數(shù)據(jù)監(jiān)管機(jī)構(gòu)不定期的對互聯(lián)網(wǎng)平臺企業(yè)、小微企業(yè)就個人信息保護(hù)、數(shù)據(jù)安全等工作進(jìn)行審查，對存在數(shù)據(jù)風(fēng)險的企業(yè)盡快主動進(jìn)行約談，并要求企業(yè)做出實質(zhì)性的整改方案，在規(guī)定的期限內(nèi)按照整改方案的要求，積極完成整改，并接受監(jiān)管機(jī)構(gòu)的核驗。如果不能有效整改，則依法予以處置。在此過程中，企業(yè)應(yīng)當(dāng)主動報送數(shù)據(jù)，做好數(shù)據(jù)合規(guī)管理，發(fā)現(xiàn)存在數(shù)據(jù)安全隱患時積極主動采取有效整改措施。另外，無救濟(jì)則無權(quán)利，投訴是公民進(jìn)行法律救濟(jì)的手段之一。上文提到歐盟及其成員國處理與數(shù)據(jù)相關(guān)案件的來源主要是接受投訴，公民重視個人數(shù)據(jù)權(quán)利保護(hù)的意識越來越強，在我國部分地區(qū)亦是如此。我國數(shù)據(jù)監(jiān)管機(jī)構(gòu)在創(chuàng)新監(jiān)管方式時，應(yīng)當(dāng)注重提高企業(yè)和公眾參與程度，暢通參與平臺，提高監(jiān)管水平，改善監(jiān)管效果，將數(shù)據(jù)監(jiān)管的關(guān)注點放在維護(hù)個人信息數(shù)據(jù)權(quán)利和社會公共利益方面[29]。