欧盟《一般数据保护条例》的出台背景及影响参考.pdfVIP

欧盟《一般数据保护条例》的出台背景及影响 作者：何治乐， 黄道丽 来源：《信息安全与通信保密》 2014 年第 10 期发布时间： 2014-12-18 摘要：随着全球化和新技术的发展，欧盟现有的数据保护框架难以适应大数据带来的新挑战。欧盟委员会 谋求建立新的法律框架以积极应对， 2012 年 11 月通过《一般数据保护条例》。分析欧盟《条例》的制 定原因，综述其给世界范围及中国带来的影响，对透析当代数据保护的发展趋势，为个人数据营造安全可 信的在线环境具有重大意义。 0 引言 大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数据 无处遁形， 而自然人的天然弱势地位导致其难以掌控自身数据。 为了应对数字时代个 人数据的新挑战， 并且确保欧盟规则的前瞻性， 欧盟委员会重新审视现有的个人数据 保护法律框架， 于 2012 年 11 月制定了具有更强包容性和合作性的 《一般数据保护条 例》 ( 简称 GDPＲ) 。 1GDPＲ出台的原因分析 欧盟拥有较为完善的数据保护框架，包括一系列的指令、协议、条例等，其中最 重要的是 1995 年通过的数据保护指令 ( 以下简称“ 95 指令” ) ，为欧盟成员国立法保 护个人数据设立了最低标准。但是新技术的冲击， 95 指令在各成员国内的不协调性 及程序的复杂化，都使得欧盟现存的法律难以应对不断出现的安全风险。 1．1 法律规则统一的必要性 95 指令设定了立法所追求的最低标准和目标，构成了欧盟数据保护法的基础。 然而， 由于成员国实施的具体方式和执法过程不同， 加上各国独特的法律制度和文化 传统， 使得个人数据在不同的成员国享有不同的保护水平。 不协调和失衡的法律适用 严重影响数据保护的实际效果和欧盟内的数据自由流动。 同时， 分割方式的法律实施 强化了法律的不确定性， 公众开始普遍怀疑在线活动的安全性， 数据保护法已经开始 阻碍产业的成长。 欧盟需要一个更强大和一致的数据保护框架弱化法律的分散性， 提 升个人的数据控制能力及市场的内部运作。 1．2 减轻执法负担的必要性 有效的执行性和可操作性是每部法律追求的最终目标， 过于严厉或者僵化的条款 都会直接影响法律的操作性， 而程序太过繁琐则会增加执行的费用和成本。 现有的欧 盟数据保护法的执行即存在这样的问题， 例如限制数据国际流动的规定过于刚性， 使 得企业特别是跨国性的企业存在巨大的经营障碍。 成员国将欧盟指令转化为内容不完 全一致的数据保护法， 企业必须与多国的数据主管机构进行交涉沟通才能满足合规性 遵从， 必然导致不必要的资源浪费。 根据欧盟委员会司法专员维维安 雷丁 (Viviane Ｒeding) 的报告，每年欧盟因为数据保护执法上的无序和混乱导致的成本就高达 23 亿欧元［ 1］。因此，消除现存框架中的繁杂条款，提高法律的针对性和效率以减少 行政负担成为 GDPＲ的重要目标之一。 1．3 技术和贸易的全球化发展需要 网络的开放性和包容性使得个人数据更加公开化和全球化， 数据共享和收集的规 模随之增长。 数据挖掘和分析技术使得私人公司和公共机构能够规模空前地利用个人 数据追求其价值目标，这增加了个人数据的在线风险。