欧盟数据保护主管发布《个人数据保护比例原则指南》概述

2020年1月，欧盟数据保护主管（EDPS）发布针对个人数据保护的比例原则的指南（以下简称指南），以欧盟法院（以下简称CJEU）、欧洲人权法院（以下简称ECtHR）)的判例法、EDPS和第29条工作组（以下简称WP29）的意见以及欧洲数据保护委员会（以下简称EDPB）的指南为基础，旨在为政策制定者提供实用工具，以帮助评估拟议的欧盟措施是否符合《基本权利宪章》对隐私和个人数据基本权利的规定。

一、指南的目的

欧盟《基本权利宪章》(以下简称《宪章》)所载的基本权利是欧洲联盟核心价值的一部分，《欧洲联盟条约》(以下简称《条约》)也规定了这些核心价值，其中包括《宪章》第7和第8条所载的隐私权和保护个人数据的基本权利。欧盟机构和成员国必须尊重这些基本权利，包括在制定和实施新政策或采取任何新立法措施时。限制基本隐私权和保障个人数据的立法措施的必要性和相称性，是任何涉及处理个人数据的建议措施必须遵守的基本双重规定。然而，要确保数据保护成为欧盟政策制定的一个组成部分，不仅需要理解法律框架和相关判例法中所表达的原则，而且还需要注重解决复杂问题的实践和创造性，通常还需要在政策优先级上进行取舍和平衡。CJEU承认，欧盟立法通常在需要满足几个公共利益目标时是存在矛盾的和需要在各种公共利益和基本权利之间达成一个公平的平衡，以满足欧盟各种立法的要求和需要。该指南则旨在帮助评估拟议措施是否符合欧盟数据保护法律。EDPS将强调立法者评估措施的相称性的责任，为评估新的立法措施的比例性提供了一种实际的、按部就班的方法，并提供了解释和具体的例子，应欧盟机构的要求，就《宪章》第52条第1款所规定的具体要求提供了指引。

二、指南的框架

该指南主要包括以下内容：一是引言，阐述其内容和目的；二是对处理个人数据时所采用的比例性测试进行法律分析；三是评估新立法措施的比例性的分步核对表。其中，检查表是指南的核心，可以独立使用。为了便利委员会在编制影响评估时已积极主动地考虑到这一关键方面的工作，这些准则的业务部分还提到了委员会影响评估方法的术语(即:驱动因素；原因；问题定义；影响)。电子数据中心也应考虑到这项工作的复杂性和特殊性，承诺并准备协助委员会的服务，包括协助进行影响评估工作，提供有关作为基本权利的数据保护的宝贵资料来源。

三、法律分析

（一）在评估任何涉及处理个人数据的建议措施的合法性时应当进行比例性测试

何为比例原则？比例原则是欧盟法中一个较为完善的法律概念。这是欧盟法律的一般原则，要求“欧盟行动的内容和形式不得超出实现条约目标的必要范围”，它是建立在几个成员国的宪法传统上的。根据《宪章》第52条第(1)款，“在符合比例原则的情况下，[对行使基本权利]的限制只有在必要时才可作出……”。据CJEU的判例法，“比例原则要求欧盟机构的行为适合解决合法目标追求的立法问题, 为实现这些目标,不超过的限制是适当的和必要的。”即在多大程度上通过逻辑联系测量和追逐合法的目标。对于一项尊重《宪章》第五十二条第(1)款所规定的比例原则的措施来说，该措施所产生的好处不应被其在行使基本权利方面所造成的坏处所抵消。因此，该指南“通过要求在使用的手段和预期的目标(或达到的结果)之间取得平衡来限制政府机构行使其权力”。

《宪章》第8条规定了保护个人数据的基本权利。这种权利不是绝对的，是可以加以限制的，但必须符合《宪章》第五十二条第一款的规定。同样的分析也适用于《宪章》第10条第7款所规定的尊重私人生活的权利。为了符合法律规定，对行使《宪章》保护的基本权利的任何限制必须符合《宪章》第五十二条第一款规定的下列标准：必须由法律规定；必须尊重权利的本质；必须真正满足欧盟认可的一般利益或需要保护他人的权利和自由的目标；必须是必要的和适当的。

该指南规定了对一项基本权利行使的限制进行合法性评估的必要顺序：第一，必须审查规定限制的法律是否可行和可预见。如果这个要求没有得到满足，那么这个措施就是非法的，没有必要对其进行进一步的分析。第二，如果该措施通过了上面第一点所述的法律质量的检验，就必须审查权利的本质是否得到尊重，即权利是否实际上丧失了其基本内容，个人是否不能行使该权利。如果该权利的实质受到影响，则该措施是非法的。第三，必须审查措施是否符合普遍关心的目标。普遍关心的目标提供了评估该措施必要性的背景。

（二）澄清比例性与必要性的关系

“必要性”意味着需要对措施的有效性进行综合的、基于事实的评估，并与实现相同目标的其他选择相比，评估其干扰性是否更小。有关处理个人数据的建议措施，必须首先符合“必要性测试”的规定。如果该措施未能通过必要性检验，就没有必要审查其比例性。一项未经证明是必要的措施，除非经过修改以符合必要性的要求，否则不应提出，换言之，必要性是比例性的先决条件。

比例性测试一般涉及评估一项措施(例如监测)应附带什么保障措施，以便将所设想的措施对有关个人的基本权利和自由所造成的危险减少到“可接受”/相称的水平。在评估一项拟议措施的比例性时，需要考虑的另一个因素是现有措施的有效性。如果已经存在类似或相同目的的措施，则应作为比例性评估的一部分对其有效性进行系统评估。如果不对追求类似或相同目的的现有措施的有效性进行这样的评估，就不能认为对新措施的比例性检验已经适当执行。

（三）结论

数据保护法中的比例原则是一个基于事实的概念，需要欧盟立法者逐案评估比例性要求被认为是过去十年欧洲数据隐私法中最引人注目的发展之一。“108号公约”中指出：应当对适当的数据处理与合法目的进行平衡, 无论是公共或私人领域，都应在所有阶段处理平衡公共所有利益以及权利和自由之间的利害关系。均衡概念的核心是一种平衡做法的概念，即衡量干预的强度与在特定情况下达到的目标的重要性。因此，限制隐私权和(或)数据保护基本权利的措施的明确性是确定干扰强度的前提。

四、总结

近年来，保护个人数据的工作越来越受到重视，并日益被认为是立法者在所有政策领域和几乎所有委员会措施中必须考虑的一个方面，这不仅仅是由于公众意识的提高，而且是由于数据处理能力的大大提高，严重影响了每个公民的生活。EDPS的任务之一是就新的立法文书和政策建议向欧洲委员会、欧洲议会和欧盟理事会提供建议，针对新的立法措施提供关于比例性的具体指引不仅符合现代数字经济社会的整体趋势，而且更是EDPS履行相关职责的题中应有之义。

该指南旨在帮助评估拟议措施是否符合欧盟数据保护法律。这些措施是为了更好地为欧盟的政策制定者和立法者提供方向，他们负责准备或审查涉及个人数据处理的措施，并限制保护个人数据和隐私的权利。这些措施的目的是协助政策制订者和立法者，一旦他们确定了对数据保护有影响的措施，以及这些措施背后的优先事项和目标，便可找出解决办法，尽量减少这些优先事项之间的冲突，并使之相称。CJEU明确：欧盟立法问题必须制定清晰和精确的规则，而且必须明确应用范围的问题，设定最低基本权利保障。这构成了本指南中所涉及的比例性检验。但必须强调的是，必要性和相称性虽然是严格联系在一起的(立法必须满足这两个条件)，但却需要两种不同的检验。

该指南的出台具有以下好处：一是在当今的数字世界中，使得决策者面临的问题越来越复杂，是他们在起草立法和政策建议时必须考虑的所有的问题，该指南就将这些问题进行了梳理和归类，明确了立法者在制定措施时应当如何进行审查的具体步骤，为其提供了明确的指引。二是该指南能够有效保护欧洲公民的基本权利，该指南中的《具体实践工具包》在简化政策制定者面临的挑战方面可以发挥重要作用，从而帮助他们确保始终充分保护基本权利。

作者简介：刘耀华，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。