欧洲个人信息保护法的发展历程及其改革创新

　　探究欧洲个人信息保护法渊源，其脉络可以从《1981年个人信息保护公约》，到《1995年个人信息保护指令》，到《欧盟一般个人信息保护条例》，再到《2016年刑事犯罪领域个人信息保护指令》。在2016年颁布的两个个人信息保护法规文件中，欧盟改革创新了个人信息行政管理机制，全面保障了个人对其信息的控制权，重新分配了信息控制者、处理者之间的义务和责任，完善了信息跨境和刑事活动领域的特殊信息保护规则。（本文源于“法学学术前沿”，原载于《暨南学报》2017年第2期，按语系本公号原创，转载请注明文字出处。）

　　个人信息保护在中国是一个长期没有得到有效改进的社会难题，目前已经形成了一条繁荣的个人信息产业链，由此导致公民的信息安全感普遍较低。2016年下半年，山东、广东等地连续发生三起学生遭电信网络诈骗案件，导致受害人猝死或自杀，这一连串的案件引起了舆论的热议，也促使有关部门对困扰了民众多年的电信网络诈骗案件的高度重视。经过官方的特别关注，上述三起案件得以破获，28名犯罪嫌疑人落网。然而，悲剧发生的根本原因在于采集公民个人信息的一些部门、单位没有承担起应有的信息管理责任，信息泄露后也未承担法律责任。对于我国的这一问题，学界很早就认为欧盟的个人信息保护立法具有极高的参考借鉴意义。本文结合欧盟个人信息保护法的发展历程，充分挖掘2016年的改革创新内容，以期为我国全面了解欧盟个人信息保护法并作出准确的参考借鉴提供指引。

　　一、欧洲个人信息保护法的发展历程

　（一）以公约为主要表现形式的发展阶段

　　欧洲个人信息的保护最初起源于个人的住宅等传统隐私信息的保护，属于公民所应当享有的、不可剥夺的基本人权之一。第二次世界大战后，世界各国（尤其是欧洲国家）认为有必要保护个人隐私以避免遭受类似法西斯的迫害。为此，1948年《世界人权宣言》、1966年《公民权利和政治权利国际公约》均将个人的隐私权作为基本权利写入公约。1950年颁布的《欧洲人权公约》第8条规定：“任何人享有私人、家庭生活及其住宅被尊重的权利。”这被认为是欧洲第一代个人信息保护法。在此阶段，个人信息的收集和扩散规模都比较有限，即使发生个人信息泄露，其产生的损害也是有限的，通过传统的侵权责任法规则即可解决。

　　20世纪60年代开始，信息技术的推广使得政府部门和企业开始通过电子方式收集和处理个人信息。信息技术和电子计算机提高了个人信息收集的威力和速度，创造了难以想象的个人信息比对、匹配、分析、使用和公开方式，个人信息独立的经济价值也日益凸显。20世纪70年代，欧洲理事会已经意识到：有必要对可预期的个人信息收集和处理活动进行提前规制，从而保护公民的个人生活。欧洲理事会的部长委员会开始通过一些决议，建立基本原则和标准化指南，在各个成员国内推动个人信息的保护。其中，德国黑森州早在1970年就颁布了《信息保护法》，英国也在1984年颁布了专门的《信息保护法》。1981年1月28日，欧共体的成员国在法国斯特拉斯堡市签订了《关于自动化处理的个人信息保护公约》（以下简称《1981年个人信息保护公约》），第一次尝试在欧洲层面建立统一的个人信息保护法律制度。该公约确立的个人信息保护法范围直到2016年的改革中依然得到保留，即欧盟个人信息保护法的调整对象是容易引起大规模信息泄露的自动化信息处理活动，日常生活中非专业个人信息机构或自然人不当处理个人信息而发生的纠纷不适用个人信息保护法。此外，该公约对个人信息的概念、保护原则和跨国传输等做了初步规定，其面向欧共体成员国和周边非成员国开放，截至2016年已经获得了所有欧盟成员国和三个非成员国的批准。然而，上述公约在1989年底只获得7个欧共体成员国的批准，意大利、荷兰、比利时、葡萄牙等国迟迟未批准该公约，而已经批准生效的成员国均没有建立配套的国内实施法规。

　　总而言之，欧盟个人信息保护法的第一个阶段确立了个人信息保护法的独立地位，将自动化处理的信息保护问题从普通民事法中独立出来。目前，我国有学者认为，应摈弃“电脑处理”的限制，而将手工处理的个人信息纳入保护范围，走技术中立的道路，不以处理个人信息的技术而为取舍标准。笔者认为这种观点没有完全理解个人信息保护法产生的技术背景，因此是值得商榷的，对于普通的信息问题交给民事侵权法即可处理。与此同时，在以公约为主要表现形式的欧洲个人信息保护法阶段，提高了欧共体各国的个人信息保护法律认知，但是欧共体成员国贯彻落实公约的积极性弱，是否批准加入公约以及如何实施公约取决于各国的自由选择，因多数成员国没有根据公约的内容制定个人信息保护的国内法，最终导致公约的实际效果大打折扣。

　　（二）以指令为主要表现形式的发展阶段

　　《1981年个人信息保护公约》签订后未取得良好的预期效果，各国的信息保护法发展差异同时也对欧洲市场的通讯设备和服务发展等构成贸易障碍，欧洲委员会遂决定起草一个指令以提高欧洲个人信息保护法律的统一程度。为此，欧洲委员会在1990年向欧洲理事会提交了一份《关于保护共同体个人信息及信息安全的指令草案》，该“指令草案”正式开始了欧洲信息保护法律制度一体化的进程。

　　1995年，欧盟正式颁布《关于个人信息处理保护及个人信息自由传输的指令》（以下简称《1995年个人信息保护指令》）。该指令目标有两个：一是推动个人信息受到保护的基本权利在各成员国得到贯彻落实，二是保障各项信息在成员国间依法自由传输。《1995年个人信息保护指令》是欧盟个人信息保护法发展的一个里程碑，各个成员国到1998年时均根据该指令颁布了各自的个人信息保护法。与此同时，《1995年个人信息保护指令》设置了专门的个人信息保护研究机构和行政机构，包括：“第29条工作组”（The Article 29 Data Protection Working Party），是负责持续跟踪研究和报告欧盟个人信息保护发展状况的独立研究机构，为此后的个人信息保护法改革发挥了重要作用;欧洲信息保护监督局（European Data Protection Supervisor，EDPS），是专门负责个人信息保护事务的欧盟独立行政机构，欧盟公民的个人信息受保护权利被侵害时可以直接向EDPS投诉，EDPS可以对有关情况进行听证和调查处理;欧洲委员会信息保护官（European Commission's Data Protection Officer），是在欧盟各组成机构中任职的独立信息保护专员，与EDPS密切合作以保障欧盟各组成机构在工作中保护公民的个人信息权利不受侵犯。此外，欧盟各成员国也设立了信息保护局（National Data Protection Authorities），属于欧盟个人信息保护法的各区域执法机构。这些研究和行政机构为欧盟个人信息保护法的繁荣奠定了实体基础。

　　值得一提的是，《1995年个人信息保护指令》作为“指令”形式的欧盟法，其仅仅适用于欧盟成员国，不能直接适用于欧盟的公民。为此，欧洲议会和欧洲理事会于2001年颁布了《关于欧盟公共机构及其组成部门处理个人信息过程中保护个人信息权利及相关信息自由传输条例》。此外，在《关于个人信息处理保护及个人信息自由传输的指令》已有规定的领域，欧盟也制定了一些指令来细化相关规则。例如，2002年颁布了《关于在电子通讯行业处理个人信息和保护个人隐私的指令》，2006年颁布了《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》，2008年颁布了《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》。

　　在指令实施过程中，欧盟各成员国在将《1995年个人信息保护指令》转化为国内法时很容易采取不同的解释和选择。其中，德国甚至因为长期未有效将《1995年个人信息保护指令》转化为国内法而一度遭遇欧盟的起诉。指令的这种实施状况产生了许多法律规则上的矛盾和冲突，增加了欧盟个人信息保护法律制度的复杂性、不确定性，徒增了许多行政成本，乃至影响了欧洲消费者的信心和欧洲经济的竞争力。同时，《1995年个人信息保护指令》是在互联网发展初级阶段制定的，许多今天普遍流行的互联网服务和挑战尚未出现，例如社交网站、云计算、定位服务、智能卡，个人信息的处理活动以指数级的速度增长。因此，欧盟需要制定更加强有力的制度来保障《欧盟基本权利宪章》所确定的基本权利之一——个人信息得到保护的权利在数字化时代依然有效。欧盟认为，这种对基本权利的保护也会促进数字经济的发展。

　　总而言之，《1995年个人信息保护指令》推动了个人信息保护工作机构和职责的专门化，这一工作重视高度在我国的今天依然没有实现。此外，“指令”对欧盟成员国具有直接约束力，成员国需要将指令转化为国内法并予以实施，由此推动了欧盟各个成员国制定和颁布专门的个人信息保护法。但是，各个成员国在转化指令时依然拥有较大的自由选择权利，同时该指令不能直接适用于欧盟的公民和企业，由此造成各个欧盟成员国形成了参差不齐的个人信息保护制度区块。

　　（三）以条例和指令为共同表现形式的发展阶段

　　《1995年个人信息保护指令》颁布之时，互联网尚未得到广泛应用。在1993年，欧洲互联网存储的个人信息仅仅占到整个电子通讯信息的1%，而现在已经增长到了97%，且互联网经济继续在以指数级的速度发展。每天都有大量的个人信息被收集，个人信息已经成为许多公司掌握的最有价值的资产之一，而许多人经常没有意识到其个人信息正在被收集。尽管许多欧洲人已经认可在现代生活中披露部分个人信息是必要的，但是仍然有72%的欧洲互联网用户担心其被收集太多的个人信息。他们感觉到对其信息的收集和传播无力把控，对个人信息将被用于何种目的和传播给谁也无从知晓。在很多时候，他们不知道如何行使自己的权利。由于缺乏对个人信息保护制度的信心，许多欧洲消费者对于大量的互联网交易（尤其是跨国互联网交易）保持着不完全信任态度。据统计，在2014年，3/4的欧洲人是互联网用户，但仅仅有15%的人曾经做过跨国网络交易。同时，只有7%的中小企业开展跨国网络销售业务。因此，构建网络信用环境也成为促进欧洲经济增长的一个重要措施。同时，个人信息保护法发展的滞后使得欧洲消费者对各类新型互联网服务的接受程度下降，进而减缓了欧洲新技术创新的速度。麦肯锡全球研究所的研究也显示：欧盟各成员国数字产业潜力平均开发利用率仅仅为12%，同时欧盟各成员国的数字产业潜力开发情况也未实现均衡发展。因此，个人信息保护法在欧洲的大数据时代和《欧洲2020战略》中也具有关键的地位。

　　在充满新挑战的新信息环境下，旧法既不能满足协调各国信息保护法的目的，也不能有效保护个人的基本权利和自由。欧盟内不同国家执行不同的个人信息保护法造成了一些不利后果：第一个直接的不利后果就是不同国家的欧洲公民的个人信息收到保护的水平不一致，一些欧盟国家公民的个人信息保护水平低于其他欧盟国家的公民。第二个直接的不利后果就是，企业在欧盟范围内经商时不得不去了解和遵守28个不同国家的个人信息保护法。2010年，欧洲委员会向欧洲议会和欧洲理事会提交的《为欧洲公民传递自由、安全和公正：实施斯德哥尔摩行动计划》中，就明确提出要制定一个综合性的欧洲个人信息保护计划，确保欧盟范围内个人信息保护的协调一致。

　　为了以公开透明的方式准备欧洲个人信息保护框架的改革工作，自2009年开始，欧盟组织了多次公众意见征询，8并加强了与利益相关者的对话。9在2010年11月4日，欧洲委员会向欧洲议会和欧洲理事会提交了一个《欧盟个人信息保护综合方案》，确定了欧盟个人信息保护法改革的基本框架。在2011年9月至11月，欧洲委员会分别与欧盟各成员国的个人信息保护机关、欧盟个人信息保护监督机构探索了建立更加协调一致的欧盟个人信息保护规则的方向。这些准备工作发现，欧盟的公民和企业均希望以综合性的方式改革欧盟现行个人信息保护法。经过对各类可选政策的影响效果评估，欧洲委员会决定起草一个条例，取代《1995年个人信息保护指令》（Directive95/46/EC），建立欧盟个人信息保护的一般框架;起草一个指令，代替2008年颁布的《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》（Framework Decision2008/977/JHA），建立有关刑事犯罪预防、发现、调查起诉及相关司法活动中处理个人信息时的信息保护规则。

　　2012年1月，欧洲委员会正式发布《关于个人信息处理保护及个人信息自由传输的条例》（草案），和《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》（草案）。42015年12月15日，欧洲议会、欧洲理事会和欧洲委员会共同对欧洲个人信息保护法改革及建立单一数字市场达成一致协议，欧洲议会民权委员会和欧洲理事会常驻代表委员会随后分别以绝大多数表决通过了上述协议。2016年4月8日、14日，欧洲理事会和欧洲议会分别表决通过了《关于个人信息处理保护及个人信息自由传输的条例》（欧盟官方简称为《欧盟一般个人信息保护条例》，GDPR）、《关于有权机关为了预防、发现、调查和起诉刑事犯罪而自由传输个人信息及保护个人信息的指令》（以下简称《2016年刑事犯罪领域个人信息保护指令》）。2016年5月4日，该条例和指令分别发布在《欧盟官方公报》，条例于2016年5月24日生效并于2018年5月25日正式实施，指令于2016年5月5日生效并需要求各成员国在2018年5月6日转化为国内法予以实施。

　　总而言之，2016年的改革创新确立了信息大数据时代个人信息保护的新要求。此次颁布的条例无须欧盟成员国转化为国内法而直接实施，即可以直接适用于欧盟范围内的公民和企业。《欧盟一般个人信息保护条例》通过后将在欧盟28个成员国之间建立一个统一的个人信息保护和流动规则，同时将取代欧盟成员国的相关国内法，实现“一个大陆、一部法律”的个人信息保护制度新局面，为欧盟范围的企业创造更加便捷和低廉的营商环境。与此同时，《2016年刑事犯罪领域个人信息保护指令》则对各个成员国公共机构利用个人信息处理刑事犯罪问题提供了便利和必要的限制，从而平衡个人信息受保护的基本权利和公共安全得到保障的实际需要。

　　二、构建新型个人信息行政管理机制

　　在大数据时代下加强信息管理及其个人信息权利保护日益迫切，在中国目前的行政管理中就有必要设立专门的机构、人员负责信息管理、保护和风险控制工作，欧盟的相关经验可以为此提供有益参照。欧盟及其成员国均建立了专门的个人信息保护机构，负责个人信息保护的协调和行政管理、执法工作。2016年发布的GDPR，从管理机构、管理模式和管理方法三个方面对个人信息保护行政执法机构的管理方式做了改革创新。

　　（一）设立欧洲信息保护委员会并升级欧洲信息保护局工作战略

　　根据GDPR第68条规定，特别设立欧洲信息保护委员会（European Data Protection Board），其成员由各成员国个人信息保护行政机构首脑或者其代表和欧洲信息保护监督局首脑或其代表组成，委员会的秘书处由欧洲信息保护局担任。欧洲信息保护委员会将取代《1995年个人信息保护指令》设立的“第29条工作小组”，负责在较高层面发布有关个人信息保护的意见、指南，并具体协调一站式管理机制等工作。欧洲信息保护委员会的设立，将有效提升欧洲信息保护局的权力，确保GDPR在各个成员国的统一适用，并及时向欧洲委员会报告GDPR的实施情况。为了保障“第29条工作小组”向“欧洲信息保护委员会”顺利过渡，“第29条工作小组”早在2016年2月就发布了

　　《2016年实施GDPR行动计划》。该计划提前列明了四项优先准备工作，分别是：（1）组建欧洲信息保护委员会;（2）做好欧盟成员国内一站式管理和协调机制的准备工作;（3）发布信息控制者、处理者实施GDPR指南;（4）做好欧洲信息保护委员会与其他欧盟组成机构之间的联络和协调工作。

　　此外，为了应对GDPR颁布背景下的个人信息保护工作挑战，欧洲信息保护监督局早在2015年就发布了《欧洲信息保护局战略（2015—2019）》。该战略比较全面地提出了欧洲个人信息保护的工作方向，以应对大数据时代的经济和社会发展需要。在该战略中，欧洲信息保护监督局提出了三大项重点计划：其一，信息保护工作信息化。主要内容包括通过技术手段提高信息和隐私保护水平;通过多学科交叉解决政策难题，增加大数据处理的透明度。其二，建立全球合作关系。主要内容是在人权问题合作的高度推动信息保护工作，在各项贸易等国际协议谈判中坚持欧盟信息保护法的基本原则，在国际舞台上保持欧盟内部意见的一致性。其三，掀开欧盟信息保护的新篇章。主要内容是，采纳和实施最新的欧盟个人信息保护规则，增加欧盟机构在有关信息保护问题上的声明义务，积极制定更加可靠和正式的信息保护政策，促进个人信息保护和社会安全维护的良性对话。

　　（二）建立欧盟内个人信息保护一站式管理服务模式

　　根据《1995年个人信息保护指令》的要求，欧盟各成员国均需要设立至少一个个人信息保护的行政主管机构，这加强了个人信息保护水平，同时也对欧盟内跨国经营机构造成多重监管的负担和成本。GDPR为了构建一个高度统一的信息保护政策，特别创新设立了一站式管理服务（One-Stop-Shop）模式。据此，欧盟内的多个成员国之间开展个人信息处理活动的企业无须分别面向各个成员国履行申报等监管服从义务，而是通过主要经营地（main establishment）的个人信息保护行政主管机关按照一站式管理服务实现集中高效监管。

　　早在2012年5月，欧洲委员会副主席Viviane Reding介绍GDPR的草案时，一站式管理就是其重点介绍的创新内容之一。这种监管方式提高了法律确定性并减少了行政成本，也是有效平衡信息控制者统一管理和信息主体救济需求的有效途径，预计每年可以为欧盟内的企业节约23亿欧元的成本。然而，最初提议的一站式管理模式被认为过于简化，过多地剥夺了相关国家的监管权力。2014年1、2月和2015年2、3月分别就一站式管理机制问题举行了多次讨论，欧盟理事会主席于2015年3月9日向理事会做了“一站式管理机制”的专题报告。经过反复协调与妥协，在2016年最终发布的GDPR规则中，构建了一个包含领导机构（Lead Authority）和相关机构（Concerned Authorities）共同协作的详细的一站式管理规则，其中主要经营地所属个人信息保护行政机构为领导机构，其他非主要经营地所属个人信息保护行政机构为相关机构。根据GDPR第60条的规定：领导机构与相关机构需要保持密切合作和信息共享，领导机构的监管活动应当及时通告相关机构，相关机构则在紧急情况下有权对其领土内的主体采取适当的措施。一站式管理具体实施效果如何，还有待实践的检验和观察。

　　（三）实施风险等级差异化管理方法

　　欧盟个人信息保护法的改革建立了严厉的个人信息保护制度。美国驻欧大使William Kennard认为欧洲的个人信息保护法正在走向孤立，其严格的事前保护政策将不利于信息的交流。谷歌公司全球隐私保护事务法律顾问Peter Fleisher指出：我们将默默地看到欧洲在其自己后花园固步自封，而欧洲之外的世界则将别有洞天、创新不断。为了在一定承担上反映欧盟个人信息保护的宽严相济政策，GDPR实施了风险等级差异化管理方法（risk-based approach），也即，对个人信息处理活动可能存在的风险进行评估，依据评估等级作出不同程度管理要求的方法。

　　事实上，风险等级差异化管理方法不是GDPR新创的概念，在《1995年个人信息保护指令》第8、17、20条的一些规定就体现了风险等级差异化管理理念。但是，GDPR全面贯彻了风险等级差异化管理方法，在条例的各个方面依据风险等级差异对信息控制者、处理者的义务和责任作出不同的要求。具体而言，GDPR将个人信息处理活动的风险划分为较高风险、一般风险、较低风险三类。对于高风险，GDPR第35条要求信息控制者开展此类活动前做影响评估（Impact Assessment），第36条要求信息控制者开展此类活动前向信息保护局咨询，第34条则要求出现较高风险损害的信息泄露时应当报告和通知信息保护局和每一个信息主体。对于一般风险、较低风险，GDPR适当降低或部分免除了控制者、处理者的责任义务。然而，GDPR对于风险的定义和风险等级划分标准没有作出明确规定，仅仅是通过具体条文的举例来说明部分活动的风险等级。例如，根据GPDR第35条的规定，当计划开展一个新的涉及信息处理的业务时（例如采用新的技术），如果基于该业务的性质、范围、目的或内容因素可能对信息主体产生较高的风险，则信息控制者必须首先做一个影响评估。采取风险等级差异化管理方法有利于遵循责任风险对称原则，在高风险时对信息控制者、处理者作出高责任要求，在一般和较低风险时作出相适应或较低的责任要求，避免给非高风险控制者、信息者施加过重负担。不过这种差异对待的方法也可能损害信息主体的利益，因此“第29条工作小组”特别声明：信息主体的权利在任何风险等级下是完全一致的，控制者和处理者基于不同风险等级而履行不同义务时均需要保障个人的信息得到全面的保护。由此可知，信息控制者和处理者在任何情况下都不能损害个人的信息权益，只是在较高风险等级下要承担更多的事前预防义务。

　　三、全面保障个人对其信息的控制权

　　在这个新的信息时代，我们无时无刻不在创造自己的信息足迹，大量个人信息的开放催生了不少新兴产业，但这也导致我们日益丧失了个人信息的控制权。据Eurobarometer调查统计，67%的欧洲人认为他们对网上信息没有完全的控制权，并担心这种信息控制权的不匹配容易导致个人信息泄露。为此，适当保障个人信息的控制权有利于避免信息的失控发展，欧洲就此建立的严厉信息控制制度打造了秩序井然的网络社会。本次欧盟个人信息保护法改革，力图通过完善和细化个人信息权利，从而实现全面保障个人对其信息的控制权。GDPR第3章在现有立法、实践经验和权利创新基础上规定了个人的十余项信息权利，包括积极权利：信息收集时的知情权、个人信息处理情况的查询权、个人信息使用时的许可权、个人信息转移权、错误个人信息的修改权、个人信息擦除权、个人信息泄露时的知情权等，还有拒绝或限制个人信息被各种形式利用的消极权利：限制控制者的信息使用范围、拒绝个人信息被非公益科研或统计活动利用的权利、拒绝个人信息被商业利用的权利等。下文将对GDPR新修订和新设的几项权利做重点分析。

　　（一）完善个人信息的范围

　　对于个人信息的概念，我国学者提出了各种观点质疑“可识别性”。而欧盟个人信息保护法所适用的信息是以“可识别性”为依据进行判断，并通过法律修订完善“可识别性”的构成要素。根据GDPR第4条对个人信息的定义，个人信息是指任何确定或可辨识自然人（信息主体）的信息。可辨识自然人是指，任何可以通过姓名、身份证号、位置信息、网上标签，或者利用身体物质特征、生理特征、基因、精神、经济、文化、社会身份中一个或多个因素，以直接或间接方式辨识出特定自然人。也即，如果一条信息存在上述要素而可以对应出特定自然人，则该信息即为GDPR所保护的个人信息。相反，在统计和科学研究等活动中将可辨识信息主体的因素做匿名处理后，则只能构成信息而非个人信息，该信息因不能被辨识出特定主体而不存在侵犯其权益的基础，此类信息也就不属于GDPR所保护的信息。在2016年通过的GDPR中，将“基因”增加为可识别性的判断因素，这体现了可识别性规则的伸缩性。在我国的各项信息保护立法中，应当坚持“可识别性”规则，并在立法和实践发展中不断丰富“可识别性”的判断因素。

　　（二）收集和处理个人信息必须获得个人明确的许可

　　根据GDPR第7条的规定，信息控制者对个人信息的处理和利用必须以信息主体的“同意”许可为前提。在信息的数字化实践中，个人接受服务时往往被要求明确接受或者默认接受大量的声明，由此使得个人很难在短时间内找到或读懂与个人信息使用有关的条款。为此，GDPR第7条第2款要求，有关个人信息使用许可的条款需要区别于其他服务条款，应当以容易识别、通俗易懂的形式表现出来，不得不适当地与其他服务条款捆绑同意，也不能以沉默、不作为等默示方式认定为“同意”。与此同时，个人信息主体在作出许可同意后，有权随时撤销该授权许可，信息控制者应当事先告知个人该项权利，并保障撤销权行使的便利性。不过，该撤销许可不具有溯及力，信息控制者在撤销之前基于许可而作的个人信息处理和利用行为不受撤销影响。此外，对于儿童个人信息的利用，GDPR第8条指出：未满16岁（成员国可以将该年龄标准最低下调至13岁）的儿童必须由其监护人作出“同意”的许可，信息利用主体应当对此作出必要的预设安排，而执法机关也需要考虑技术的可能性。

　　（三）个人随时有权要求信息控制者擦除其个人信息

　　个人信息的擦除权（right to erasure），也被称为遗忘权（right to be forgotten）。早在2010年，西班牙公民Costeja González对Google公司提起的诉讼中，就以Google公司违法为由而要求其擦除与自身相关的信息，该诉求依次得到西班牙信息保护局和欧洲法院的支持。3但是，该案中的擦除权不是法定的独立权利，而是基于个人信息保护基本原则而衍生出的隐私权内容。GDPR首次将擦除权作为一项独立权利予以规定，根据第17条的规定，当个人希望消除存储在信息控制者处的自身信息时，有权要求信息控制者及时地采取措施擦除相关信息。擦除权的创立无疑有效地加强了个人信息的保护力度，但是过多的保护也不利于信息共享、技术进步等公共利益的保护。为了保障其他的基本权利，应当限制擦除权的行使范围，GDPR规定下列五类情形不得行使擦除权：（1）行使表达自由和信息自由的;（2）信息控制者履行欧盟法或者成员国法律基于公共利益所规定的义务的;（3）与公共健康相关公共利益有关联的;（4）基于公共利益而做档案工作、科学研究或信息统计的;（5）提出、执行或者抗辩法律声索的。然而，在行使个人擦除权时如何平衡个人权利、他方权利和公共利益，依然是一个复杂的问题，欧洲法院在Google案中作出的判决就遭到了许多学者的质疑。1GDPR对于擦除权的规定预留了广阔的自由裁量空间，这有待法官在不同的案件中具体地判断和把握。

　　（四）确保个人可以便利地查询和转移其信息

　　信息查询权（right to access）在《1995年个人信息保护指令》第12条就有规定，GDPR则对该权利做了进一步的补充完善，该权利保障了信息主体对其个人信息的全面知情权。根据GDPR第15条的规定，信息主体有权查询下列信息：1查询控制者是否处理或者在何地处理其个人信息;2查询控制者信息处理目的;3查询处理控制者信息的内容、种类;4查询控制者是否将信息共享给他人;5查询控制者存储其个人信息的期限;6查询行使信息擦除权、修改权和限制、反对信息处理的相关情况;7向信息保护局提出投诉的权利情况;8如果存储的信息不是直接来自于信息本人，查询其真实来源;9查询控制者对信息进行加工分析及其利用的情况。《1995年个人信息保护指令》允许控制者向信息查询主体收取一定的费用，该费率具体由成员国规定，例如英国的信息保护法规定最多不超过10磅。GDPR则要求信息主体在向控制者行使上述查询权利时，控制者应当提供免费查询服务。只有当信息主体的查询要求是重复的、显然不存在或者过分要求的、要求提供复印本的，方可收取一定的服务费用。

　　信息可转移权（right to data portability）是GDPR根据未来互联网服务发展需要而创设的一项前瞻性权利。根据GDPR第20条的规定，信息转移权是指信息主体有权获取通用机读格式的个人信息，并且有权在技术可能条件下无障碍地将该信息转直接移到另外一个信息控制者的信息库。在个人信息转移权创设之前，信息控制者很容易将个人信息转移到其他信息控制者处，但是个人很难将其存储在一个信息控制者处的信息转移到另一个信息控制者处，信息转移权的创设将大大地平衡个人和信息控制者之间对信息的不平等控制地位。该权利进一步增强了个人的信息控制权，但是无疑也会给信息控制者增加压力和成本。首先，该权利要求信息控制者按照个人的要求提供通用机读格式的信息，这就需要信息控制者按照以后的具体格式要求作出调整。其次，该权利使得个人转移其信息的难度大大降低，必然会增强各个信息控制者之间的市场竞争程度。此外，2013年1月，欧洲议会公民自由、正义和家庭事务委员会专门讨论了信息转移权与信息擦除权之间的关系，草案报告最终提出：个人行使信息转移权后，如果没有继续保留个人信息的意愿，原信息控制者应当基于擦除权删除相关信息。总而言之，信息转移权是欧洲立法大胆创新的一个体现，但是该权利的实际行使程度如何，则高度依赖于信息兼容技术的发展和个人的信息使用能力。

　　（五）通过完善的救济等措施确保个人信息权利的实现

　　个人信息权益受到侵害时的救济措施应当符合明晰、高效和必要原则。根据GDPR第19条的规定，信息控制者向第三方公开或共享个人信息时，应当告知第三方相关信息主体对其信息所享有的各项权利，确保个人信息权的全过程保护。同时，根据GDPR第12条的规定，个人向信息控制者行使其各项权利的，控制者应当在1个月内作出答复，特别复杂的情况下可以延长2个月答复期限。当然，信息主体向控制者行使各项信息权利时，应当向控制者证明其身份，从而避免信息被第三人盗取。控制者应当向信息主体提供其要求的信息，但对无法识别信息隶属主体的信息可以拒绝提供，据此在一定范围内限制个人信息权利的范围。在信息主体提出权利请求后，如果信息控制者未在规定时间内作出答复或者对其处理结果不满意的，可以向信息保护局申诉或者法院起诉。此外，GDPR第80条建立了个人信息权利保护公益诉讼制度，欧盟成员国可以通过立法授予某些公益组织代表信息主体向信息保护局以及信息控制者、处理者主张合法权益，并在必要时提起诉讼。

　　四、重新分配信息控制者、处理者的义务和责任

　　个人信息保护的第一道关隘就是收集和运用信息的控制者、处理者，这是信息产生、归集和释放的中心原点，对这两类主体的监管可以实现一夫当关、万夫莫开之效果。中国的个人信息保护目前最大的法律漏洞就是对信息控制者和处理者的责任义务规定不足。GDPR关于控制者和处理者的定义继承了《1995年个人信息保护指令》的内容，其第4条规定：控制者（controller）是指，独立或者与他人共同决定个人信息处理目的、方式的自然人、法人、公共机构、代理机构或者其他组织，该目的和方式应当由欧盟法或者成员国法律决定，控制者的具体认定标准可以由欧盟法或者成员国法另行规定。处理者（processor）是指代替控制者处理个人信息的自然人、法人、公共机构、代理机构或者其他组织。为了避免个人信息被滥用，GDPR在不同领域分别扩大了信息控制者、处理者的义务，包括保存某些文件备查，对高风险活动进行影响评估，对数据进行加密处理等等。

　　（一）将信息的处理者与控制者同等对待

　　处理者为控制者提供辅助服务，在很多时候表现为外包服务者。基于这个原因，《1995年个人信息保护指令》的调整对象主要是控制者，处理者处于从属地位。例如，《1995年个人信息保护指令》第4条明确规定各国需要依据该指令制定国内法对信息控制者的行为予以规制，直接规制的对象不包括处理者;该指令第16条也仅仅是要求处理者应当按照控制者的指示或与其订立的合同行事。GDPR为了建立严密的个人信息保护网，第3条在《1995年个人信息保护指令》第4条的基础上把处理者增设为直接、独立的义务主体。此外，GDPR第28条明确要求：当控制者对处理者发出的信息处理指示违反法律要求时，处理者有义务直接通知控制者;处理者接受控制者的信息处理委托后，在没有控制者书面同意的情况下不得转包该任务;处理者违反或者没有控制者指示的情况下处理个人信息的，则将其视为控制者论处。同时，GDPR第31、32、33、37、44、82条也分别增设了信息处理者的独立义务。例如，处理者在《1995年个人信息保护指令》中只需要对控制者承担合同义务和责任，不对信息主体承担任何义务和责任，GDPR第82条则规定信息主体可以直接起诉或投诉处理者寻求救济。GDPR将信息处理者与控制者同等对待，一方面平衡了控制者和处理者之间的法律地位，强化了信息处理者的责任和义务;另一方面，也将为信息主体寻求救济提供了更多的选择，保障了信息权诉求的及时和全面实现。

　　（二）设立信息保护官制度加强信息保护

　　根据GDPR第37条的规定，信息控制者、处理者在三种情况下需要设立一名信息保护官（Data Protection Officer，DPO）。这三种情况包括：（1）公共机构或其组成部门处理个人信息的，但是法院履行司法职能的情况除外;（2）根据其本性、范围和/或目的，控制者或处理者的核心业务包含大规模定期的或者系统监督信息主体的;（3）控制者或处理者的核心业务包含大规模处理第9条所规定的特殊信息和第10条所规定的违法犯罪信息的。由此可知，除法院外的所有的公共机构均有义务设置专门的信息保护官，其他机构的核心业务涉及大量信息处理时才有必要设立信息保护官。GDPR没有对信息保护官的资质证书作出明确要求，但是要求信息保护官应当具有充分的专业知识，在此条件下可以由控制者、处理者雇用的员工担任，也可以通过服务合同聘请外部职业人担任，在这两种形式下任命的信息保护官都需要在履行信息保护职能时保持独立性。

　　（三）通过技术保护措施和信息处理记录加强信息保护

　　通过技术措施不能彻底解决隐私的保护问题，但是至少可以解决一些低端的信息窃取活动。根据GDPR第6条的规定，鼓励信息控制者采取加密（encryption）或变形（pseudonymisation）措施处理增强信息保护级别。第25条则规定信息服务开发阶段就应当具备隐私保护功能（privacybydesign），在信息服务运行阶段应当将个人信息默认设置为不公开（privacybydefault）。这是一个新的信息保护观念和保护方法的进步，也即信息必须以主动调取的方式获取，而不能简单的暴露在外。

　　对每一次信息处理活动进行记录，有利于增强控制者、处理者的信息保护意识，也有利于固定信息活动证据并为监督执法提供便利。根据《1995年个人信息保护指令》第18条的规定，控制者每次信息处理活动都应当向信息保护监督机构报告。GDPR为了提高工作效率而取消了上述报告制度，改为信息记录制度。根据GDPR第30条的规定，所有的信息控制者及其代表、处理者及其代表在信息处理活动中应当将每一次信息处理活动以书面或者电子形式记录存档，以备信息保护监管机构查验。同时，为了减轻中小企业的法律负担，雇员少于250人的机构只需要记录可能存在损害个人信息权利风险的信息处理活动，对于其他日常信息处理活动无须履行记录义务。

　　此外，为了便于公众和执法机构理解信息保护措施，信息控制者、处理者采取的各项信息保护措施应当公开透明。GDPR第6条规定了可说明性原则，也即要求信息控制者、处理者保障信息保护措施的可说明性，能够通过具体的说明或展示来论证其采取了有效的信息保护措施。展示方式可以通过认证的形式体系，例如，GDPR第40—43条规定，分别在欧盟和成员国层面建立信息保护的技术标准和认证制度，公开宣传信息保护认证印章、标志，鼓励控制者、处理者自愿开展信息保护认证，通过认证证书和标志展示信息保护形象。

　　（四）控制者在信息泄露时需要履行报告和通知义务

　　根据GDPR第33条的规定，在发生信息泄露时，信息控制者应当在72小时内向信息保护局报告情况，但信息泄露范围小而没有造成任何损害的除外。控制者向信息保护局提交的报告应当包括：信息泄露总体情况，包含涉及的信息主体数量和信息类型;事件联系人和联系方式;可能发生的危害后果;控制者采取的挽救措施。信息控制者需要对每一次信息泄露做详细的记录。此外，根据GDPR第34条的规定，信息泄露对信息主体造成较高风险时，控制者应当及时地将情况通知给每一位受到影响的信息主体，通知内容与DPA的报告类似。同时，控制者在三种情况下可以免于向每一位信息主体作出通知：（1）由于信息加密等保护措施使得信息泄露的损害风险很低的;（2）控制者已经及时采取措施（例如终止受到影响的账户）解除风险的;（3）向每一位信息主体发出通知的要求显著失当而可以通过公开通知代替的。总而言之，信息泄露时的报告和通知义务可以有效提高个人信息保护工作的透明度，但是对风险是否需要报告的判断、短时间内作出报告和通知也将成为控制者的工作挑战。

　　（五）提高了法律责任后果

　　欧盟及其成员国一直以来通过行政处罚来增加相关方违反信息保护义务的成本。以英国为例，自2010年至2016年8月低，英国信息保护局共罚没742.375万英镑，欧盟信息保护局在英国共罚没341.2万英镑。1GDPR建立了层列式的法律责任制度，进一步增加了法律责任。一方面，GD-PR第83条第2款规定了11项行政处罚的裁量情节，第3—6款则规定了不同类型的违法行为最高处罚上限。根据规定，违反信息跨境流动要求和未经信息主体许可的收集、处理等行为，最大处罚额可达到2000万欧元或者当年全球收营业额的4%。这一罚款额对于许多企业而言，足以导致其破产、倒闭。

　　五、完善信息跨境和刑事活动领域的特殊信息保护规则

　　（一）增强信息跨境流动监管

　　在当代，互联网、云计算、移动设备可以让我们任何时候在任何地方访问我们的数字化信息。一个人的信息，从德国慕尼黑传到香港，再传递到美国迈阿密只需要一秒钟即可完成。这种快捷的信息跨境流动，为社会创造了极大便利，也为信息泄露创造了更多的通道。为了保障欧盟公民的个人信息处于安全的环境之中，GDPR首先将条例的适用范围扩大到一切与欧盟公民个人信息相关的信息控制者和处理者，也即欧盟公民的个人信息在欧盟境外也能受到欧盟法的保护。根据《欧盟一般个人信息保护条例》第3条的规定，本条例适用于控制者或者处理者位于欧盟的个人信息处理活动，而不论该信息处理行为是否发生在欧盟。如果控制者或者处理者不在欧盟范围内，但是该个人信息处理活动与在欧盟范围内提供的商品或服务相关，或者与监督欧盟范围内的行为相关，或者由于国际法而可以适用某一欧盟成员国法律的，也均适用本条例。

　　此外，GDPR对欧盟内个人信息的向外流动进行了严格把关。《1995年个人信息保护指令》和GDPR均规定，除非满足一定条件可以证明个人信息能在欧盟境外某一地区得到充分保护，否则禁止控制者、处理者将欧盟内的个人信息转移至该境外地区。GDPR则对境外信息保护水平的判断条件做了更加详细的解释，考虑因素包括：（1）人权和基本自由保护的法律制度情况;（2）公共机构获取该被转移信息的情况;（3）是否存在信息保护执法机构及其执法有效性;（4）有关个人信息保护的国际承诺和其他国际义务情况。欧洲委员根据上述因素加以考虑，可以宣布某一领土、特定部门或国际组织为充分保护辖区（Adequate Jurisdictions）。GDPR第45条同时规定：欧盟作出的充分保护辖区认定结论需要至少每四年复审一次，经复审不合条件的应当废除、修订或暂停实施该决定。考虑到实践需要，GDPR第46条规定：对于未获欧洲委员会认定的，控制者、处理者在满足下列担保条件下也可以向欧盟境外传输个人信息：双方政府机构直接签订有双边协议的、执行权威标准并作出承诺声明的、依法获得认证证书并作出承诺声明的、订立内部强制管理规则并获得法定机构认可的、采取官方机构发布的标准合同条款的。

　　在欧盟个人信息保护法改革期间，原美国中央情报局技术分析员爱德华·斯诺登（Edward Snowden）通过揭露美国“棱镜”计划，让欧盟发现大量欧洲公民处于美国的监控之下，更加增强了跨境流动监管规则的重要性。3事实上，美国与欧盟在2000年就签订了一个“安全港框架”，欧盟由此认定美国为个人信息充分保护地区。由于斯诺登事件，居住在爱尔兰的Maximillian Schrems认为Facebook公司将其个人信息从爱尔兰转移到美国是违法的，但是该请求被爱尔兰信息保护局驳回。在Maximillian Schremsv Data Protection Commissioner4一案中，欧盟法院于2015年10月6日判定美国与欧盟达成的安全港框架无效，美国因此一度丧失个人信息充分保护区资格。2016年7月12日，鉴于欧盟法院的判决，美国与欧盟委员会达成新的《隐私保护框架》，由此取代了旧的协议。

　　（二）完善刑事犯罪领域的个人信息利用与保护规则

　　为了预防和打击犯罪活动，公共机关往往需要调取相关个人信息进行分析和比对，这是基于公共利益而对个人信息权利所作的必要限制。然而，如何平衡该限制比例，在欧盟内经历了曲折的发展过程。2006年，欧盟颁布了《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》，该指令要求电信和网络服务商依法保存个人信息，以备公共机构调取使用。此指令颁布后，受到多个成员国的反对。冰岛、斯洛伐克分别将欧洲议会、欧盟理事会诉至欧盟法院，但于2008年被判决败诉。此后，奥地利和爱尔兰又将就该指令的效力问题申请欧盟法院作出裁判，2014年4月，欧洲法院作出判决：该指令授予公共机构过多信息调取权，违反比例原则而无效。

　　2008年，欧盟就颁布了《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》，该框架是为了提高不同国家警察部门与司法机构之间的信任关系。但是，“框架”形式的欧盟政策不具备强制执行力，由此导致该框架的实际实施效果参差不齐。同时，该框架仅仅局限于跨国信息处理活动，不适用于成员国国内的相关活动。为了建立与GDPR相配套的刑事犯罪领域个人信息保护规则，欧盟发布了《2016年刑事犯罪领域个人信息保护指令》。该指令主要保障了在刑事犯罪领域收集到的个人信息不被滥用，尤其是保障了刑事罪犯、犯罪嫌疑人、相关被调查人等的信息权益，其具体保护规则基本完全采纳了GDPR的保护规则，故不再详述。

　　六、结语

　　欧盟个人信息保护法与美国的个人信息保护法是公认的两种不同信息保护模式，与美国强调个人信息保护的事后救济不同，欧盟更加强调事前预防;与美国分散的个人信息保护立法不同，欧盟更加注重个人信息保护立法的统一化。在这种背景下，形成了“个人权利本位”和“预防为主”的欧盟信息保护法。通过2016年的全面改革，欧盟定下了引领世界个人信息保护法发展潮流的雄心，继续加强了个人的信息受保护权。欧盟相信严格的个人信息保护制度不会阻碍信息技术进步，相反，如果商业机构建立良好的信息保护环境，则个人将感受到信息安全，进而乐意于将其信息分享到平台服务之中。当然，作为与信息传播技术密切相关的个人信息保护法，目前依然处于发展变化的过程之中，欧盟的此次改革也并没有解决所有的问题。例如，云计算平台为个人信息提供一个集散地，其属于信息控制者，抑或简单的信息居间人，目前的GDPR对此没有明确的规定。在我国，目前制定的一些规范性文件对个人信息保护问题进行了原则性和框架性的规定，但尚未构成体系化的个人信息保护法律制度。在我国的立法体系中，我们首先需要区分个人信息保护法与侵权责任法，将个人信息保护法的信息限制在自动处理的范畴内。其次，在平衡个人信息权和信息自由流动价值的基础上，加强个人的权利及信息控制者、管理者的义务，通过各种事前保障措施避免个人信息的泄露。最后，也有必要结合信息技术发展的实际情况，推动个人信息的自由流动和合法开发利用。

作者：刘云，中国政法大学比较法学研究院博士生

来源：第一合规