议题:欧盟部长理事会对《通用数据保护条例》立法提议的一读立场
工作语文:中文
席位制度:38,单代表制
议事规则:模联传统议事规则
时间节点:2014年3月18日
时间轴运行比例:1:1(现实次元:虚拟次元)
委员会介绍:
无论是Facebook脸书外泄超过5000万用户的个人信息给软件开发商这样震惊世界的丑闻,还是我们日常生活中经常接到来自陌生号码的推销电话这一现象,种种迹象都在表明:我们在享受信息科技带来的便利的同时,公民的个人信息与隐私也遭到了前所未有的威胁。为了应对数字时代对个人隐私、数据的新挑战,并确保欧盟立法规则的前瞻性,欧盟委员会于2012年起重新审视了现有的个人数据保护的法律框架,并开始着手制定更具包容性的《一般数据保护条例》,也即GDPR欧盟通用数据保护条例(General Data ProtectionRegulation)。
2018年5月25日,欧洲联盟正式出台了这部号称史上最严格的隐私保护条例:《通用数据保护条例》(前身是欧盟在1995年制定的《计算机数据保护法》)。然而,外界对该条例的看法却褒贬不一。争论的焦点在于该条例严格收紧了企业对欧洲公民个人信息的收集与处理,如有违规将会给出天价罚款。对于用户个人来说无疑是隐私的守护神,但是对于大型跨国企业;大数据、云计算等新兴科技来说将会是在欧洲市场的一大障碍。如果要克服障碍、开拓欧洲市场,将会增加企业的运行成本,这样的态势长期发展下去势必会影响到欧洲经济与科技的的发展。
这一次,我们将带各位代表回到《通用数据保护条例》着手制定之初,以欧盟理事会成员国部长级代表、欧洲经济和社会委员会委员的身份参与到此次会议中,讨论该提议(即制定《通用数据保护条例》)的立法目的、立法立场、立法原则、立法内容等方面,从中思考个体权益与集体发展之间的矛盾与平衡以及21世纪信息时代的大背景之下,应对技术发展对公民所必须采取的基本权益保护等问题。
最后,欢迎大家来到欧洲联盟理事会!
主席团负责人:
曾灵淞 华东政法大学
谭哲豪 中国政法大学
一、欧盟部长理事会是什么?
作为区域一体化的先行者,欧洲通过以欧洲联盟(以下简称“欧盟”)为主的诸多政府间合作机构或机制实现跨国合作与治理。由于很多的机构或机制其功能大相径庭,但其名称却十分相近(无论英文、法文还是中文),非常容易被弄混。
图1.欧洲委员会与欧盟下属机构(欧盟委员会、欧洲理事会、欧盟理事会)区别
根据2009年12月1日生效的《欧洲联盟条约》与《欧洲联盟运行条约》(以下统称《里斯本条约》,简称《里约》)的规定,欧盟的机构框架包括欧洲议会、欧洲理事会、理事会(即欧盟理事会)、欧盟委员会、欧洲联盟法院、欧洲中央银行和审计院。其中,欧盟委员会、欧洲议会、欧盟理事会以及欧洲理事会是欧盟多层级治理模式的最主要参与者,在欧盟的决策机制中分饰不同角色。
在欧盟的机构框架中,欧盟理事会(Council of the European Union)是欧盟中各成员国力量的代表。它以政府间主义为运作方式,根据《里约》行使政策制定和协调职能,并与欧洲议会共同行使立法和预算职能。欧盟理事会是欧盟的立法与政策制定、协调机构,而且是欧盟最重要的决策机构。由于欧盟理事会系由每个欧盟成员国各1名部长级代表组成,所以通常又被外界称为部长理事会。欧盟理事会负责欧盟的日常运作和日常决策,而在欧盟理事会之上,则有更高层级的欧洲理事会(European Council)负责更宏观的战略性问题。
二、欧盟如何立法?
欧盟有五大类型的政策法规——条例、指令、决定、建议和意见,它们统称“联盟法令”。一般而言,欧盟的政策法规从开始酝酿到最终实施,大致分为四个阶段。首先是政策形成阶段(Policy Shaping):各种来自官方和民间的利益相关者(stakeholder)通过各种渠道的沟通和讨论,确定相关的政策议程和对应的解决方案。其次是立法草案起草阶段(Drafting Phase):在征集和汇总各方意见后,作为立法动议者的欧盟委员会将会在各方共识的基础上,将之前的政策讨论内容加工成有形的法律性文本,并同时与其他利益相关者保持密切的沟通。再次是立法批准阶段(Adoption Phase):欧洲议会和部长理事会作为欧盟决策权力的代表,在与各方互动的基础上,对立法草案进行审查和通过。最后,欧盟委员会还会根据既有的立法并结合现实情况的需要,制定具体的细则,以确保立法的实施。
其中,立法草案批准阶段一般会有四种不同的立法程序:普通立法程序(Ordinary Legislative Procedure)、礼让程序(Consent Produce)、合作程序(Co-operation Procedure)和咨询程序(Consultation Procedure)。而《通用数据保护条例》正是根据在欧盟决策实践中应用最为普遍的普通立法程序所订立的。
普通立法程序分为一读(First Reading)、二读(Second Reading)、调解(Conciliation Committee)、三读(Third Reading)共四个阶段,具体流程如下图所示。
图2.欧盟普通立法程序具体流程
事实上,根据2013年的研究统计,目前大约全部立法的80%在一读就通过,12%的立法需要二读,最后需要进入调解委员会的只有8%。不过,《通用数据保护条例》恰好属于最后那8%的立法草案。
在整个立法程序中,还有可能会有欧盟两大咨询机构——经济与社会委员会、地区委员会的参与,他们将会代表不同的利益团体提出咨询意见,以在政策制定过程中完善法规的内容。
三、《条例》是什么?
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》(以下简称“95指令”)。
欧盟拥有较为完善的数据保护框架,其中最重要的是1995年通过的数据保护指令,为欧盟成员国立法保护个人数据设立了最低标准。但是新技术的冲击,95指令在各成员国内的不协调性及其程序的复杂化,都使得欧盟现存的法律难以应对不断出现的安全风险。
95指令设定了立法所追求的最低标准和目标,构成了欧盟数据保护法的基础。然而,由于成员国实施的具体方式和执法过程不同,加上各国独特的法律制度和文化传统,使得个人数据在不同的成员国享有不同的保护水平。不协调的法律适用严重影响数据保护的实际效果和欧盟内部数据的自由流动。同时,割裂的法律实施强化了法律的不确定性,公众开始普遍怀疑在线活动的安全性,数据保护法已经开始阻碍产业的成长。欧盟需要一个更强大和更一致的数据保护框架弱化法律的分散性,提升个人的数据控制能力及市场的内部运作。
有效的执行性和可操作性是每部法律追求的最终目标,过于严厉或者僵化的条款都会直接影响法律的操作性,而程序太过繁琐则会增加执行的成本。现有欧盟数据保护法的执行就存在这样的问题,例如限制数据国际流动的规定过于刚性,使得企业特别是跨国性的企业存在巨大的经营障碍。成员国将欧盟指令转化为内容不完全一致的数据保护法,企业必须与多国的数据主管机构进行交涉沟通才能满足合规性遵从,这必然导致不必要的资源浪费。
网络的开放性和包容性使得个人数据更加公开化和全球化,数据共享和收集的规模也随之增长。数据挖掘和分析技术使得私人公司和公共机构能够规模空前地利用个人数据追求其价值目标,但这也增加了个人数据的在线风险。95指令制定在将近20年前,使用互联网的人数尚少,个人数据的收集及处理限定在用户名、地址及金融信息。但社交网站的出现使这一情况发生了颠覆性的变化,每天的生活甚至地理位置信息都成为暴露的对象。个人数据的披露越来越成为现代生活的常态之一,然而无论是个人还是政府却不能完全控制这些数据。因此,新形势的出现使得传统规则不再能够很好地实现既定目标,所以需要调整现行框架,以便更好地应对新技术快速发展和全球化带来的挑战,并在此过程中保持技术中立。
于此背景下,2012年欧盟一般数据保护条例,即GDPR欧盟通用数据保护条例的出台,强化了自然人的数据保护权,协调了现有的各类数据保护规则。可以说GDPR欧盟通用数据保护条例是目前世界上最为全面的数据保护法律之一,无疑将会成为正在谋求数据保护法律改革国家和地区的蓝本。
四、《条例》为我们带来了什么?
与95指令不同的是,GDPR克服了欧盟成员国之间分散不一致的数据保护规则,减少了商业成本并且创造了数据保护的公平标准,删除了欧盟范围内部市场的障碍。为了规避社交网站的出现导致用户个人隐私泄漏的问题,GDPR对此采取了严厉的措施,加强了对欧洲公民个人隐私的保护。根据欧盟委员会官网的解释,该法案的涉及范围较以往大大拓展了,只要数据的收集方、数据的提供方(被收集数据的用户)和数据的处理方(比如第三方数据处理机构)有任何一方是欧盟公民或法人,就将受到该法案约束。
这也意味着,任何企业只要在欧盟市场提供商品或服务,或收集欧盟公民的个人数据,都是这部法律的约束对象。举例而言,如果一家中国在线销售公司的网站上,使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样,或者标注了商品的欧元价格,就可以被视为在欧盟市场提供商品或服务,从而受其约束。
该法案重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码、生日、银行账户、汽车牌照、IP地址以及cookies等。根据定义,该法案监管的收集个人数据的行为,包括所有形式的网络追踪。例如不少电商网站会自动记录客户的搜索和购物记录,以便有目的性地推荐商品。GDPR法案规定,网站经营者必须事先向客户说明这些功能,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
在过去,很多网站的“用户协议”形同虚设,用户可能根本没耐心看完长达几十页的数据使用条款就匆匆点击“同意”进行注册使用。这样的做法也将不再合法。GDPR法案规定,企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
GDPR法案一经推出,就被公认为目前全球对用户个人数据保护最严格的法律。该法案规定,对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
毫无疑问的是,欧盟这部新法律的出台,在全球范围内引起了轰动。有分析认为,由于欧洲本土缺少较大的互联网巨头,受这部法案冲击更大的是在欧洲市场提供服务的美国科技企业。很多美国媒体网站未能在2018年5月25日新法实施之前做好合规工作,只能在当天对欧盟地区用户进行屏蔽,以避免触犯新法律。洛杉矶时报、芝加哥论坛报、奥兰多哨兵报、巴尔的摩太阳报等网站目前在欧盟地区已经无法打开。
美国国家公共广播电台(NPR)网站则要求欧洲访客做出“抉择”:要么签署新的用户协议、要么就只能收看到该媒体1996年及以前的纯文字内容。据卫报报道,还有不少公司索性直接批量删除欧洲范围的客户资料,以免“触雷”。很多欧洲人的邮箱也接到了互联网服务提供商重新发来的用户协议,希望得到确认。当然,也有很多跨国公司在面临高额罚款,经过衡量合规成本后,决定直接撤出欧盟市场的。比如韩国大型在线游戏《仙境传说》就直接关停了欧盟地区服务器。
所以,我们可以看到的是,《通用数据保护条例》严守用户隐私的同时,却极大地阻碍了欧洲信息化的发展速度。相较于欧洲人,美国人更注重选择自由,因此诞生了谷歌等一大批互联网巨头,为此宁愿牺牲部分用户的隐私权。
欧洲目前的局面长期发展下去,从科技发展角度来说,极有可能导致大数据、人工智能的新型产业无法在欧洲得到很好的开展,大量的高科技人才流失,从而致使欧洲落后于世界前进的脚步;从经济发展角度来说,大批的跨国企业可能会因为高昂的合规成本放弃欧洲市场(事实上,这样的事情正在发生),从而导致欧洲整体经济的发展停滞,失业率升高等一系列问题。从日常生活方面,由于现在许多社交媒体源自美国(例如Facebook),限制这些国外社交媒体获取用户个人信息,也会对这些国外社交媒体在欧洲开展业务造成障碍,合规后的企业与社交媒体是否还能对欧洲公民提供像以前一样便利的服务,这一点还有待验证。
综上所述,《通用数据保护条例》的颁布,风险与利益并存。
2012年1月25日,欧盟委员会正式提出了《通用数据保护条例》的立法提议和草案;2014年3月12日,欧洲议会向欧盟理事会通报其一读立场,法案进入欧盟理事会一读审议阶段。
考虑到议题的难度与可行性,本次会议的议题设定为欧盟部长理事会对《通用数据保护条例》立法提议的一读立场。代表将重点讨论欧盟部长理事会主张的GDPR之立法原则、宗旨和主要涉及内容与须达目的,而无需纠结于具体的法律条文。
六、这一次,我们要考虑什么?
第一/21世纪信息时代的大背景之下,我们该如何调和个人隐私权益与集体发展之间的矛盾,从而达到一个平衡?
第二/面对技术的兴起对个人隐私权益造成的威胁,其他地区或国家是否需要对个人隐私采取必要的保护措施,并从GDPR中有所借鉴?
(以中国为例:中国互联网协会发布的《中国网民权益保护调查报告2016》显示,仅在2015年下半年至2016年上半年,我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。以6.88亿网民计算,人均损失达123元。)
