欧盟数据合规之一：特点、原则及立法趋势

欧盟数据合规之一：特点、原则及立法趋势

IXCDC

一、欧盟数据合规规范的特点

01

重视个人隐私，构建新型权利

《通用数据保护条例》的正式实施，标志着欧盟数据隐私领域的立法前沿，这一条例也被视为隐私保护领域最为权威和细致的立法，不仅为其他国家的立法活动提供了参考，也为欧盟形成统一的数据市场提供了法律保障。GDPR将个人数据的保护力度提至前所未有的高度，亦对数据处理企业等主体施加了甚为严苛的保护义务和法律责任。其中，GDPR提到：控制者在确定处理方式和处理过程中，应当采取适当技术和组织措施，诸如假名化（pseudonymisation）处理，将额外数据与个人数据分别保存，除非使用额外数据，否则个人数据无法指向特定数据主体。GDPR白纸黑字地将个人数据的保护上升到法律层面，这已经将此前数据使用过程中涉及的大部分暧昧地带清晰化。[1]

《通用数据保护条例》赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由，在很大程度上约束了企业信息处理行为的权限，并赋予公民对其个人隐私更大的控制权；同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务，以及履行对监管部门及数据保护认证组织的法定义务。[2]对个人隐私的重视，也可见于立法者后续出台的一系列指南，以及29条工作组出台的意见书。虽然在“后通用数据保护条例时代”，立法者转移了部分重心至数据的利用，但也同样强调去中心化数字市场和个人信息管理系统的建立，个人隐私的保护始终是欧盟数据合规规范的要点。

02

立法紧跟时事，回应新兴技术

欧盟数据合规规范根据不同的数据生态，作出不同时期的反馈，且在条款或指南中针对新兴技术有所回应。如，29条工作组出台的第02/2012号意见书、第3/2012号意见书、第5/2012号意见书、第05/2014号意见书，分别指向人脸识别、生物识别技术、云计算、匿名化技术等内容。意见书不仅确认了各项内容的具体定义概念，同时对数据的规范再做确认；《数字服务法案》则专设条款针对广告的精准推送，将灰色地带的个人隐私侵犯套入法律牢笼。2020年4月，新冠疫情期间，EDPB出台关于在爆发COVID-19的情况下使用位置数据和接触者追踪工具的第04/2020号准则（Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak），将当时充满争议的突发公共卫生事件中的个人隐私权利进行协调。

03

探索数据未来，确认保护边界

掌握并利用庞大数据的大企业的出现，颠覆了传统的商业格局，以及企业与消费者之间的力量对比关系，以《通用数据保护条例》为首的欧盟数据合规规范应运而生。随着规范的实践，立法者也在不断探索数据的其他可能性。如何确定数据保护的边界，这不仅是法律问题或经济问题，也涉及利益冲突和权力斗争，特别是当数据成为全球化的问题，有时相关争议可能是程度的把握问题。可以看到，“后通用数据保护条例时代”的四大数字法案开始注重数据的其他利用方式，合理区分重要级别不同的隐私数据，界定消费者权利和企业经营自由之间、政府公共利用之间的边界。但鉴于欧盟数字经济市场规模及数据法治尚处于探索阶段，数据保护的界限和利用数据的可能性、效度与力度仍有待探索。

二、 欧盟数据合规规范的原则

01

利益平衡原则

通过出台规范，在用户个人数据权利和其他主体正当权益之间形成更为科学合理的平衡，是欧盟数据规范立法的核心，可归纳为利益平衡原则。《欧盟企业间数据共享报告》显示，严格的数据权利保护制度并没有实质性影响欧盟境内的规模化和商业化数据共享，而欧盟精英阶层也并没有把“个人数据权利保护”定性为绝对的“政治正确”，而是采取柔性策略平衡数据共享中的价值冲突。[3]

欧盟有关数据规范的众多规范都体现了这一原则。在数据主体权利方面，包括被遗忘权、数据可携权在内的很多条款均有限定条件，如被遗忘权的限定条件包括为了行使言论和信息自由权，遵守法律义务，在公共健康领域执行有公共利益的任务或行使控制者被授予的官方权力，为公共利益、科学或者历史研究目的、数据统计目的，或者为了法律辩护需要时；在原则性禁止条款方面，均设置了用户同意的例外；在企业义务方面，会选择设置豁免以达到多方主体之间的平衡。这样的设置很好地平衡了用户个人和数据处理平台之间的关系，既捍卫了用户的隐私权，也便携了平台数据的传输。豁免条款和例外条款的设置，在确认性内容之下，为用户的权利保留一定的空间。

02

开放共享原则

欧盟的数据规范以严格著称，其严格主要体现在对个人权利的细致保护，以及对违法行为的高昂处罚。但易被忽视的另一面是，欧盟的数据规范不仅以保护个人权利为立法目标，还同样主张促进个人数据流动。在欧委会发布的《欧洲数据战略》中，欧委会明确为了促进数据的共享和使用，将在战略部门和公共利益领域建立九个共同欧洲数据空间，即共同的欧洲工业（制造业）数据空间，共同的欧洲绿色协议数据空间，共同的欧洲移动数据空间，共同的欧洲卫生数据空间，共同的欧洲金融数据空间，共同的欧洲能源数据空间，共同的欧洲农业数据空间，共同的欧洲公共行政数据空间，共同的欧洲技能数据空间。

《通用数据保护条例》第一条指出：不能以保护个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。这一条例专设“限制情形”一节，明确权利受到限制的各种情形，并授权成员国可以继续围绕上述利益通过制定本国法规的方式，进一步作出例外和克减规定。在英国《数据共享行为守则》中，要求订立数据共享协议，明确规定数据共享的目的，涵盖数据共享各阶段将要处理的事情以及确定数据共享的标准。在订立数据共享协议中，应当包含下列内容：

数据共享的目的：为何数据共享是必要的、共享数据的具体目的、为个人或者社会带来的好处；

哪些组织会参与数据共享：列明所有参与数据共享的组织，及其DPO和其他关键员工的联系方式，在与另一个数据控制者共享数据时，还应当列明自身的责任，并将相关情况告知数据主体；

共享数据的类型：详细说明共享数据的类型，对于某些数据还应当仅允许特定员工访问；

明确数据的共享的合法性基础：是以同意作为披露数据的合法基础，那么协议可以提供一份同意书的模板，并解决有关拒绝或撤回同意的问题；

记录敏感或特殊类别数据：如果共享数据设计特殊或敏感数据，必须根据GDPR或DPA的规定记录相应的处理条件。

这一原则同样可见于除《通用数据保护条例》外的其他数据规范，立法者精心设计了大量的但书、克减条款，以促进数据的开放共享。如在《数字服务法案》中，规定数据公开用于审计，可向符合资质的学者提供数据用于合规相关研究等。

根据泄露文件中的灰色列表，“守门人”大型在线平台：

(1)不能阻止第三方卖家访问“守门人”收集的关于客户的重要信息；

(2)不能限制其他平台方访问或采用其在使用大型在线平台时提供、接收或生成的数据；

(3)必须采取适当的必要步骤，增强数据的可移植性或增强互操作性，从而使得其平台的企业用户和消费者能够同样使用其他平台；

(4)必须以“名义价格”分享与搜索广告相关的“搜索点击”数据。

根据《数字市场法案》提议的事前监管框架的黑名单与白名单做法，除非数据可供活跃在同一商业活动中的其他在线平台访问，大型在线平台被禁止使用在其平台上收集的数据。政府授权的数据访问在向竞争者开放以外，也建议向政府部门、研究人员、第三方审计人员开放，保证数据价值的开发与公平使用。[4]

03

公开透明原则

公开透明原则是推动欧盟数据合规的重要原则。《通用数据保护条例》要求数据处理本身正当、公开（透明）、合法，这一原则同样被后续的立法所沿用。《数字服务法案》要求广告推送具有透明度，即企业需要告知消费者看到特定广告的原因，披露数字广告生态关键信息。《数字市场法案》则要求企业通过API向市场、竞争者和消费者开放数据。2021年1月，挪威数据保护局Datatilsynet于裁定在线交友软件Grindr为了营销目的，在没有经过用户充分同意的情况下，向Twitter的MoPub平台、Xandr、OpenX、AdColony和Smaato等第三方广告商共享包括GPS位置、用户档案等在内的用户个人数据。这是欧盟数据规范中公开透明原则的提现，要求数据的传输需要经过用户同意。Dtatilsynet就此引用GDPR向Grindr处以1亿挪威克朗（约合1150万美元）罚款。Grindr拥有来自200多个国家的1370万活跃用户，本次罚款约占其年营业额的11%。

三、 欧盟数据合规规范的的立法趋势

01

严格监管，扩大处罚力度

处罚力度的扩大不仅可在先后出台的法案中提现，在受罚企业的数量和范围中也可见一斑。欧盟数据规范设置高昂罚金。最先出台的《通用数据保护条例》的处罚力度直指1000万欧元或者上一年度全球营收的2%，两者取其高。而在近日出台的《数字服务法案》中，处罚最高可达全球年收入6%，日收入5%；《数字市场法案》中，处罚最高高达全球年收入10%。由上述条款可以得出，欧盟数据立法的处罚力度在极严的基础上仍在不断扩大。

欧盟受罚企业的范围也在扩大，罚单数量和企业种类都在增加。财务分析网站Finbold使用enforcementtracker.com的数据计算得出，[5]2020年的罚款总额为1.713亿欧元。根据这些数据，意大利缴纳的罚款额最高，达5,800万欧元，其次是英国，分别为4,400万欧元和德国3700万。就2020年的罚单数量而言，西班牙以128次位居首位，其次是意大利（34），罗马尼亚（26），瑞典（15），比利时（13）和挪威（11）；就罚单金额而言，意大利电信（2800万欧元），英国航空公司（2200万欧元），万豪酒店（2000万欧元）和意大利电信运营商Wind Tre（1700万欧元）和沃达丰意大利（1200万欧元）。

不仅是通信、电信终端和互联网企业易受到惩罚，法国零售巨头家乐福(Carrefour France)及其银行部门(Carrefour Banque)因多次违反GDPR，而被法国监管机构法国国家信息与自由委员会（France's National Commission for Information Technology and Civil Liberties，CNIL）处罚。[6]

02

分类概念，细化具体权责

《通用数据保护条例》开创性地将数据控制者和处理者进行区分以划分责任之后，欧盟的数据立法也持续在这一方向上深化，责任不断细化，确认不同主体的不同责任。《数字市场法案》的出台，是对大型平台（守门人）的义务进行明确的过程；《数据治理法案》则要求公共部门强化企业数据利用。

为了保障不同类型数据、不同服务提供者、不同量级线上平台等比对对象的公平，欧盟数据合规规范对不同概念的界定清晰细致，即通过对概念的界定，对不同类型的数据予以不同的保护；对不同平台接触数据的便携度和控制度也有不同的规定。

例如，在《通用数据保护条例》中，对个人数据和个人敏感数据作出区分，明确提到个人敏感数据应受到高度保护，这些数据包含：个人的种族和族裔出身、政治观点、宗教和哲学信仰、工会成员、基因数据、生物识别数据、健康数据、性生活或性取向信息以及犯罪记录信息，而医疗机构通常须满足更高标准的数据保护要求；在《数据治理法案》中，分类健康数据、环境数据、移动数据，建立机制促进不能作为开放数据提供的公共部门数据的再利用。除分类数据外，《通用数据保护条例》《数字服务法案》和《数字市场法案》。根据在网络生态系统中扮演的角色、规模和产生的影响程度，《数字服务法案》把在线中介服务分为四类，不同服务所承担的责任有所不同。具体的分类包括：提供网络基础结构的中介服务，如互联网接入服务，域名注册服务等；托管服务，例如云处理、存储和虚拟主机服务等；为买卖双方建立沟通渠道的在线平台，如在线市场，应用商店，社交媒体平台；在传播非法内容和社会危害方面具有特殊风险的超大型在线平台，这四类服务前者均包括后者。

03

 重视公平，保障自由选择

欧盟作为世界领先的发达经济体，日益认识到大型在线平台的扩张和垄断态势所带来的某些不利影响，特别是对中小企业而言，大型平台很大程度上成为阻止其接触消费者的障碍。《数字服务法案》与《数字市场法案》本质上是在重塑欧洲互联网管理的规则，保障中小企业在垄断巨头下的利益，以便每个企业都能在网上蓬勃发展，同样也促使消费者可以从广泛的选择和更低的价格中受益。例如，《数字市场法案》聚焦如何解决欧盟内部市场所存在的不公平竞争，创设了一系列监管规则和事前义务，旨在阻止大型在线平台从事不合理的商业行为，进而确保重要数字服务的开放性与有序性。

参考文献：

[1] https://mp.weixin.qq.com/s/6EdC_2s1M9g-jCObMfy3lQ

[2] https://mp.weixin.qq.com/s/3no75FdCxzPzS-IBuAHvQQ

[3] https://mp.weixin.qq.com/s/3no75FdCxzPzS-IBuAHvQQ

[4]https://mp.weixin.qq.com/s/hsT7BW1jQANr9deyRuB7Bw

[5]https://mp.weixin.qq.com/s/LLcpMtcSYFyPhQahrJaieQ，最后访问时间2021年2月8日

[6]https://mp.weixin.qq.com/s/0uQwHBn60aCxsg6GhhEw5w，最后访问时间2021年2月11日