欧盟对金融行业个人数据保护的立法和启示.docVIP

欧盟对金融行业个人数据保护的立法和启示 [摘要]对于金融行业的个人数据保护，欧盟面临的主要问题是：在保护消费者基本权利和促进商品、人员和服务的自由流动之间寻求平衡。欧盟对金融行业个人数据保护的立法包括三个层次：通过宪法性渊源确定了个人数据受保护的基本人权地位，一般性立法和特别法。正在制订中的《征信管理条例》应当在立法理念、个人信息分类、各主体权利义务配置等方面对欧盟的立法进行借鉴。 一、欧盟个人数据保护立法的宪法性渊源 1953年，欧洲委员会人权和基本自由公约实施，其中第8条首次规定了“隐私权”。尽管欧盟并非条约方，但欧盟条约第6.2条规定了相同的条款，意味着欧盟在其所有行动当中都应尊重基本人权。 20世纪六七十年代，信息通讯技术的发展使得对私人信息的大规模处理成为可能，从而引发了人们对采取措施保障个人权利的需求的关注。1974年，欧洲委员会部长理事会采取了一些措施以建立最低限度的保护。 1981年，欧洲委员会通过了《与个人数据的自动化处理相关的人权保障公约》，即108号公约。该公约规定了一些基本的数据保护原则，使得缔约方在这方面能取得最低限度的协调。并在一些方面对欧盟当前的数据保护法律框架作出了贡献：规定了一些数据处理的基本原则、各方的权利、向第三国进行数据传输的基本规则及各成员国监管部门的互相支持。 1981年，欧盟委员会制订了一些个人数据保护的准则。欧盟指令当中的大部分原则都已在这些文件中有所表述。 2000年，尼斯峰会正式通过了《欧盟基本人权宪章》，其第8条规定对个人数据的，保护是个人的基本权利，从而将该项权利从传统的私生活和家庭生活受尊重权（该权利规定在第7条）中独立出来。宪章不仅规定了个人数据受保护的权利，还提到需要一个独立的监管当局采取相应措施来确保该权利。同时，基本人权宪章被纳入了欧盟宪法公约（第二部分），并被纳入《关于欧盟未来的欧洲公约》。而一旦被欧洲委员会认可，数据保护在欧盟境内就具有最高的法律效力。 可见，在欧盟，个人数据受保护的权利具有宪法性的地位，具有最高法律效力，其是一种基本人权，而不从属于财产权的范畴。 二、欧盟在个人数据保护方面的一般立法 作为欧盟个人数据保护的一般性立法是1995年制定的《与个人数据处理和自由流转相关的个人权利保护指令》（95/46/EC）（以下简称《指令》）和1997年制定的《电信领域个人数据处理和隐私保护指令》（97/66/EC），并以前者为主。 （一）适用范围 关于适用范围，《指令》第3条规定其适用于：对个人数据的任何操作或一系列操作，包括存储、披露、收集、处理。该指令适用于自动化处理的数据，也适用于根据某一特定标准可得的非自动化处理的数据，包括手工处理的资料和一些纸质文档资料。这就意味着，从最原始的有关顾客资料的人工卡片系统到最新的顾客电脑数据库系统，《指令》均适用。 《指令》不适用于一些国家行为，也不适用于属于完全私人或家庭活动的自然人的活动（如个人电子日记或者一份有关家庭和朋友详细资料的文档）。 （二）准据法和法院的管辖权 《指令》对法院的管辖权也作出了相应的规定。成员国对以下的数据处理行为享有管辖权：1、数据控制者设立于该成员国；2、虽然并非设立于该成员国。但根据国际法，该成员国的法律适用于该数据控制者的设立地；3、或者该数据控制者设立于欧盟境外，但其是利用在该成员国的设备进行数据处理的（第4条）。在这种情况下，数据控制者与一个非欧盟的消费者之间关系就可能变得尤为复杂，比如。根据其所处国家的不同，银行就需要通览所有数据保护的相关法律以确定是否需要向非欧盟的消费者就欧盟的相关规定进行告知。 如果在不同成员国设立的主体要向一个单一、集中的数据控制者传输客户数据，并进行统一处理，那么这个统一的数据库就可能适用多个法律。 在刑事方面，《指令》明确适用地域管辖原则。但有一个例外：《指令》不适用于仅仅是通过欧盟境内的数据传输，比如中国通过欧盟境内的电缆向美国进行的数据传输活动，《指令》就并不适用。 （三）数据处理过程中数据控制者的应尽义务 1、公平、合法的进行数据处理。比如，在网络使用者不知情的情况下运用通过记录网站访问者的信息块而获得该使用者的信息为非法，而将该信息运用于任何其他目的则为不公平的商业行为。 2、数据收集的目的是特定的、明示的、合法的，并根据该目的使用。如果成员国规定了相应的保障措施，则对数据的进一步处理也是可能的。比如，某一家银行对包括客户医疗信息在内的数据进行处理。该银行辩解数据处理的唯一目的在于提升其零售业务，但实际上这些数据却同时被与该银行同属于一个集团的保险公司所运用以进行营销活动，那么，该银行的行为就违反了《指令》的规定。 3、根据数据收集或者进一步进行数据处理的目的，所收集的数据是充分的、相关的并且没有过度。比如，当银行在处理某一客户的住房贷款的