欧盟《通用数据保护条例》的原则条款及其评析

Louis Valtat

欧盟《通用数据保护条例》的原则条款及其评析

文 / 刘晓春

“2018年5月25日生效的欧盟《通用数据保护条例》（以下称“GDPR”）是目前国际上最受关注的个人数据保护法律文件，也必然对其他国家和地区个人数据保护制度的建构产生深远影响。GDPR篇幅颇长，洋洋洒洒长达99个条款，还要包括173节的序言内容，可谓考虑周全，结构完整，逻辑严密。若要细致通读全文，需要颇费一番功夫。究其重点，前四章基本勾勒出了个人数据保护的基本框架，而其中的第二章“原则”条款身负提纲挈领之重任，为个人数据的合法处理提供了基础，其精神贯穿全文始终。本文将对该部分原则条款进行介绍和梳理，并在将其与美国制度进行比较的基础上，作出评析，意图对我国相关制度的构建提供一些启示。

1、GDPR原则条款的功能与角色

通常认为，GDPR是对于欧盟一贯秉持的将个人数据作为基本权利进行强化保护立场的进一步贯彻和延伸，而采用条例这一形式，更是体现了在这一领域以欧洲委员会为代表的欧盟机构相对于各成员国的强势态度和持续坚持。

这种强势态度首先体现在采取“条例”这样一种在成员国范围内直接生效的法律文件形上。GDPR的前身《1995欧盟数据保护指令》（以下简称“95指令”）由于需要国内法进行转化后方可对成员国生效，导致各国之间依然不可避免存在立法和执法的不统一之处。实际上，指令长期以来是欧盟成员国之间协调立法的主要形式，而条例则仅用来适用到十分有限的领域，比如竞争法以及欧盟商标，因此，适用条例这种形式，被欧洲学者认为是“激进”的做法。[1]当然，这也标志着，欧盟对于互联网和大数据的发展和特性亦做好了拥抱变化的准备，充分认识到法律文件的地域性已经无法应对数据的无国界流动和处理。

尽管条例本身可以成为各国执法的直接依据，但是由于各国法律体制各有千秋，条例的本地化贯彻还是需要一系列复杂的配套制度和机构。除了专门规定了统一执法机构、协调制度、法律责任和罚则等落实机制之外，提供一套基本的指导原则，并指明在此基础上各国可以依据国内公共政策自行规定的空间与例外情形，就成为一种十分有价值的协调手段。

除了为成员国提供指引和协调的方向之外，原则条款的重要功能当然也体现在为整个条例文本奠定了基本框架和基础之上。一方面，原则条款确立的基本原则框架，其精神贯穿整个条例，包括第三章数据主体的权利设置，第四章控制者和处理者的义务，第五章个人数据的境外传输等，基本上都是对于原则体系的具体化。另一方面，原则条款也可以作为直接适用的法律依据，成为数据控制者和处理者的行为的直接衡量标准，判断其是否具备合法性基础。特别是数据主体的“同意”原则及其具体规则，成为指引实践中获取用户同意环节的最重要规则。而同意原则的例外规定，也体现了欧盟立法者对于作为基本权利的个人数据之外的社会利益的考虑，并为各国的公共政策考量留出了一定的余地，且不论其实际效果如何，在立法理念上还是体现了利益平衡和协调的态度。

从国际影响上看，原则条款沿袭的是95指令乃至更早法律文件中形塑的一系列基本原则，如目的限制、数据最小化、精确性、完整性、保密性等，长期以来已经对包括中国在内的多个国家和地区产生不可磨灭的深远影响，深刻影响并塑造了人们对于个人数据保护的基本理念，逐渐成为政府、产业和民众的共识。GDPR的原则条款再次确认并宣示了这些重要的原则，延续了欧盟立法传统对于国际规则建立与协调的重要贡献。

2、原则条款的结构与内容

GDPR第二章包含第5条至第11条，共七个条文，针对数据处理行为的原则、合法性基础、特别情形以及某些例外进行十分细致的规定。其中第5条到第7条是最直接体现原则体系的条款。

1．原则：第5条

第五条的两款规定了七项个人数据处理原则：合法公平透明性（lawfulness, fairness and transparency）、目的限制（purpose limitation）、数据最小化（data minimisation）、精确性（accuracy）、存储限制（storage limitation）、完整性与保密性（integrity and confidentiality）以及权责一致（accountability）原则，其中前六项规定在第1款，权责一致原则规定在第2款。

相比于95指令，GDPR增加两个原则：透明性原则和权责一致原则。增强透明性体现了欧盟当局对于数据主体行使权利和监管可行性的考虑和要求，而根据权责一致原则，数据控制者需要负责证明自己对其他原则的遵守，亦即需要承担相应的举证责任。例如在GDPR序言第85小节中提到，在发生数据泄露时，如果可能导致数据主体的损害，数据控制者应当在72小时之内向主管机关报告，但是依据权责一致原则，如果数据控制者认为数据泄露不会造成损害且能够提供证据证明的，可以作为例外情形。

“合法、公平和透明性”作为最原则化的要求，贯穿数据收集、处理和利用过程的始终。其中对于“合法性”的要求需要与第6条作为整体进行理解。“目的限制”和“数据最小化”的要求针对的是数据收集和处理的范围应当限于必要和最低的范围，一方面规定了仅限于“特定的、明确的、合法的目的”，另一方面，即使基于前述目的，亦必须具备充分性和相关性等限制要求，以实现数据最小化的目标。“存储限制”原则则是从存储时间的维度，要求在满足限定目的的必要之后，数据控制者不得继续存储具有可识别性的数据。

在“目的限制”和“存储限制”条款中，都规定了例外情形，即基于公共利益、科学或历史研究目的、统计目的进行存档的行为。对于这一例外情形，在GDPR第89条进行了更为具体的规定，一方面允许成员国基于这些情形规定对于数据主体相关权利的限制条款，另一方面又要求，即使是基于这些例外情形，数据控制者同样需要采取充分的安全保护措施来避免数据主体受到损害，包括必要的技术措施和管理措施，例如假名化（pseudonymisation），并确保数据处理的最小化。

“精确性”与“完整性”指向的是对数据存储和处理过程中质量的要求。这些要求的实现机制，体现在第三章规定的数据主体的相关权利中，如数据主体的访问权（第15条），更正权（第16条），删除权（即被遗忘权，第17条），限制处理权（第18条），反对权（第21条）等。

“保密性”强调的是对数据采取的安全保护措施，特别是针对未经授权或非法的访问和处理。这一针对数据安全和防止泄露的原则已经在主要国家和地区获得共识，并且经常经由一些舆论事件而引起高度的公众关注。例如2018年3月爆发并持续发酵的Facebook数据泄漏事件，使得数据安全和保护再次成为全球范围互联网监管的关注焦点。数据处理的安全义务，在GDPR中也是数据处理主体最重要的义务之一，在第四章“控制者和处理者”中专门以第二节“个人数据安全”来规定这部分内容（第32-34条）。

2．合法性基础：第6条

数据处理行为需要遵守的首要原则即是合法性，GDPR在第6条规定了合法性基础的六种情况，这基本照搬了95指令的相关条文。这六种情况包括：数据主体的同意、合同履行、履行法定义务、保护重要利益、公共利益以及控制者的优先利益。

实践中，普遍存在的隐私政策、用户协议以及强制披露制度，都是同意原则的体现和落实。可以认为用户同意是目前个人数据处理合法性的最主要基础。同意原则一方面主要体现在个人数据的初始收集环节，必须经过用户同意方可采集其数据，另一方面，用户的其他权利实际上也是同意权的衍生权利，知情权是同意权得以有效行使的基础，访问权、更正权、删除权（被遗忘权）、限制处理权、反对权等实际上是同意权在数据处理不同环节、场景下的具体体现。各国的立法、政策和司法实践，大量规则建构和具体化，也是围绕数据处理者是否真正保障了用户的知情权和同意权来展开。GDPR中也有多处规定了落实同意原则的具体保障措施，比如第7条专门规定了同意的要件，关于同意的具体形式，在序言第32小节亦有重要的指引。在第三章“数据主体权利”中，首当其冲的第12条就规定了透明度的要求，以确保数据主体的知情权，着笔可谓是浓墨重彩。不过，同意原则在数据处理模式飞速发展的当下和未来，是否依然能够承担起支撑整个个人数据保护制度基础的重任，已面临不少质疑和挑战，关于这一点，在下文第三部分将另行讨论。

其他五种合法性基础，不需要以同意为前提，但都需要遵循严格的条件。其中，“合同履行”考虑的是用户与数据处理者之间的合意，包括为缔约而作的必要准备，本质上依然是数据主体的同意。其他几种合法性基础体现了立法者在多种利益冲突之间的平衡观念。比如，“履行法定义务”和“公共利益”两个基础表明了个人数据保护的公共利益和法定例外，并且留由各成员国斟酌确定具体情形。对于这些例外情形，本条第2款和第3款亦规定了严格的限制条件，以确保第五条中规定的公平、透明、目的限制、存储时限等原则能够切实贯彻。

其中，“法定义务”到底包括哪些具体义务，目前尚未看到解释或实践的例证。可以猜测的是，数据控制者基于公法上的安全、健康等理由而承担的强制性义务，或在此列。而基于侵权法等私法而承担的相关责任则尚不清楚，比如为了履行“通知-删除”义务而收集用户数据，为了履行著作权技术过滤义务而扫描用户上传内容，因为涉及到的并非公共利益，而是个体的其他人格利益或者财产利益，是否可以通过减损个人数据这一基本权利的保护来实现，恐怕还会有争论。

在“保护重要利益”和“控制者的优先利益”两种合法性基础的情形中，体现的是个人数据保护与数据主体其他利益、第三人利益以及数据控制者利益之间的冲突和平衡。其他利益是否足够“重要（vital）”，或者是否具有优先性（overriding），很可能需要个案决定，因此，很有可能需要等待通过实践积累来实现类型化的规则。

第6条的第4款规定了数据的后续处理行为。后续处理指的是其目的未经数据主体同意、亦非欧盟法或者成员国立法所允许的处理行为。在此情况下，控制者有责任确认这种新的后续处理的目的是否与最初收集数据的目的相兼容，因此可以被允许。这一规定对于数据流转和共享而言有可能施加了十分沉重的成本。

对于数据控制和处理者而言，要想证明自己的数据处理行为是基于后五种合法性基础，从而不需要获得同意，至少从法条措辞来看，目前是十分困难，因为其中大多数情形都是需要个案判断且具有严格限制。因此，比较安全的做法还是获取用户的同意。关于第5条和第6条的关系，GDPR亦并没有明确说明。因此，对于任何个人数据的合法处理，都需要同时满足基本原则和具体合法性基础两方面的要求。

3．同意的条件：第7条

GDPR中的个人同意是指“数据主体通过书面声明或经由一个明确的肯定性动作，表示同意对其个人数据进行处理。该意愿表达应是自由给出的（freely given）、特定具体的（specific）、知情的（informed）、清晰明确的（unambiguous）。”序言第32节对于如何确定“明确的肯定行为”提供了重要的指引。序言具体表述如下：“应当通过明确的肯定行为来体现数据主体对于处理与其有关的个人数据行为，自愿表达了作出特定的、具体的、知情的及清晰明确的同意，例如通过书面声明（包括电子形式）或者口头声明的方式。这可以包括浏览网页时勾选对话框、选择信息服务的技术设置，或者能够在特定情境下明确表明数据主体接受处理其个人数据的其他声明或行为。因此，沉默、默认勾选的对话框或者不作为都不能构成同意。”

第7条规定了同意成立的条件。具体而言，该条规定控制者有责任证明数据主体已经同意处理他或她的个人数据。第2款规定了取得同意的书面声明中还包含其他事项的情况（常见的包括综合性用户协议等）。在这种情况下，“同意应以与其他事项显著区别且易于理解和访问的形式呈现，并使用清晰和通俗的语言”。第3款规定了数据主体撤回同意的权利，第4款规定，如果将同意数据处理作为合同签订的前提条件，而这种数据处理事实上超过了提供服务所必需的范围，将违反有关“同意应当是自由作出”的要求。

值得注意的是，虽然欧委会在提出其草案时使用的是“明示同意”这一概念，但是GDPR最终并没有加上“明示”的限定。但是，如前文所言，“沉默、默认勾选的对话框或者不作为”都不能构成同意。尽管留下了通过解释特定情境下用户某些行为而确定同意的空间，但是鉴于GDPR整体的严格保护倾向，可以预见“非明示”同意的解释空间并不会扩展太大。[1]

4．处理儿童信息中的同意：第8条

儿童信息的保护在全世界范围内一直都是个人数据保护的重点关切，GDPR在多处条文也对此作出特别规定。第8条规定16周岁作为判断儿童的标准，16周岁以下的用户，其同意应当由父母或监护人作出。成员国可以根据各国情况将年龄限制下调，但不得低于13周岁。第2款规定，数据控制者应当采取合理努力，在可得的技术条件下，尽量对于父母/监护人的同意进行验证。

网络空间中儿童权益的保护固然长期以来都是各国形成高度共识的问题，但是其真正落地却面临重重困难，包括身份验证、内容的隔离投放和数据的分别处理等等。除了等待技术的进一步发展来提供解决方案之外，儿童权益的保护是尤其需要多方主体共同参与与努力的领域，仅靠单方面提高数据控制者的责任与义务，很可能治标难治本。

5．敏感信息与刑事定罪相关个人信息的处理：第9条与第10条

对于个人信息进行类型化保护，在学理上和实践中都多有探讨，GDPR中也再次采纳了这样的做法，这也与95指令一脉相承。第9条中规定的特殊信息包括：种族、民族、政治观点、宗教或哲学信仰、工会成员资格、基因、生物特征、健康、自然人性生活或性取向的数据。其中，基因数据、生物特征数据和性取向数据是相对于95指令新增加的内容，体现了对于新的科技发展和社会现象的回应。

第9条对于敏感数据的处理，采取了一般性禁止的立场，但同时在第2款规定了10种例外。其中第一种情形规定的是数据主体的“明示同意”，但成员国亦可以对此规定不可让渡的情形；同样，如果敏感数据明显是被数据主体自行公开的，亦可以被处理。此外，第2款还规定了为数据主体的工作、社会保障目的、其他重要利益、公共利益、公共健康、研究目的等例外情形。尽管例外情形为数不少，但是每一项都有严格的限制，整体上，除了数据主体的明示同意或者公开之外，例外情形的空间是十分有限的。

与刑事定罪相关的个人信息也被作为特殊的类型规定在第10条，这类个人信息涉及到刑事程序中基本人权的保护，因此，GDPR对其处理也作出了严格的限制，必须由成员国政府机关或者其授权的机构进行处理。

个人数据的类型化，如果是按照内容和性质来划分，实际上很难回应高度动态的数据处理实践。在某个阶段、场景下看似不敏感的数据，很有可能随着技术和商业模式的发展、数据的聚合，变得高度敏感。Facebook事件使人们意识到，简单的点赞信息加总起来之后可能成为判断政治观点、倾向甚至更多信息的敏感信息。因此，很多人主张，按照内容来划分信息的敏感与否，而非依据使用场景、用途等动态标准来划分，已经远远不能反映实践的需要。

6．无需识别数据主体的处理行为：第11条

对于处理数据中不需要识别的数据主体的控制者，GDPR亦不要求其承担与个人数据保护相关的各种责任。特别的控制者不需要为保护GDPR第15-20条所规定的用户权利（访问权、更正权、删除权、限制处理权、反对权）而付出额外的努力。但是，如果用户提供了额外的信息使得身份识别得以可能，那么控制者有可能依然要承担上述义务。

与前文关于敏感信息的划分一样，到底什么样的数据可能导致对于主体的识别，实际上存在高度不确定性。因此，在更加具体的实践和规则出来之前，这部分对于数据控制者的免责条款应用效果将始终存疑。

3、同意原则的边界及对中国的启示

长达99条的GDPR结构庞大、内容详实、逻辑严谨，究其根本，它建立在其基本原则勾勒出的基本框架之上，在价值取向和保护模式上其实比较清晰和单纯，那就是保护数据主体的基本权利，这在序言第1节就开宗明义地提了出来。因此，将GDPR定位为一部基本权利保护法，并不为过。

在此基础之上，“用户同意”作为首要的合法性基础，并以用户的知情、同意、选择、控制为核心来建构整个制度的模式，也就顺理成章了。如前所述，尽管原则条款中规定的合法性基础有六个，但是，“同意”原则之外的情形，都附有近乎苛刻的适用条件，而且具有高度的不确定性，无论在理论上还是实践中，至少在可见的将来，其他情形都很难撼动“同意”原则的主流和基础地位。

用户同意作为主导的保护模式，是GDPR作为权利保护法的定位顺理成章的结果。通过确认个人对于其数据的控制权，加上知情同意原则，就构成典型的私权保护模式。在以个人数据作为基础资源的大数据时代，个人人格的外在呈现都与自身的数据处理不可分，包括商品和服务的提供，经济、文化、政治和社会生活的参与等各个维度。在这种情境下，赋予个人对于自身数据的控制权，以对抗强大的商业组织和政治力量，其必要性的确取得大多数人的共识。

但是，对于用户同意原则的质疑和反思，也从未停止。尽管法律要求数据控制者制定越来越完善的隐私政策，履行越来越复杂的通知义务，这种沿袭传统消费者合同“强制披露”的管制思路，却从来都面临着“失效”的质疑。[1] 对于“知情同意”原则在个人数据保护领域的局限性，也有众多讨论。[2] 实证研究表明，用户极少真正阅读隐私政策，即使是在监管者努力让企业简化隐私政策文本使其通俗易懂的情况下亦是如此，“知情”的可能性大打折扣。面对冗长的隐私政策，如果要求用户逐个阅读，也可能造成重要的成本浪费。而即使用户真正阅读了隐私政策，他们也不见得能够理性地预测自己可能面临的风险——实际上恐怕没有人和机构可以做到这一点。在这个意义上，不阅读隐私政策可能恰恰是最理性的选择。因此，建立在知情基础之上的“同意”也就远远没有立法者们预想的那么有意义，建立在“同意”原则基础之上的整个数据保护和治理框架，其科学性和有效性自然也就值得打一个大大的问号。

无论是以保护个人基本权利为核心的欧盟 GDPR，还是美国以保护消费者利益和隐私期待为基础的FTC执法实践，其共同的立足点都是保护用户的利益，因此，用户的主观意愿是否得到尊重就成为最重要的考虑。尽管欧盟和美国采用了不同的路径，对于法律干预和市场调节分别赋予了不同的权重，但是在基本出发点上还是一致的，因此，用户同意始终是这两种模式共同关心的核心问题。[3]

但是，即使用户同意是一个没有失效的机制，对于实现个人数据保护的政策目标，或许也是不完整的。数据保护可能还有其他维度的政策目标，比如安全、风险防范、产业政策等。GDPR中通过例外情形的规定，考虑到了安全和公共利益的诉求，不过是以限制主体权利的形式来出现的。但是，数据保护并不见得总是与安全和公共利益相冲突，尤其是涉及到国家和主权利益的时候，有可能国家安全和公共利益会成为保护数据的合法性基础。在这个层面上，我国在《网络安全法》领域中完整地引入个人信息保护的相关原则和规则，除了个人权利保护的层面，更重要地反映了立法者对于超越个人的安全利益的关切。而基于安全、风险防范等价值目标而确立的个人数据保护制度，就不能仅限于考虑私权的保护，需要超越“同意”模式，而建立起符合特定价值目标的配套制度。[4]

比较严格的用户同意要求，对于数据流转和共享的限制和阻碍作用，亦不可小觑。互联网和数据产业的兴起和高速发展，很大程度上建立在数据这一基础资源的自由流动之上，“互联互通”和技术、商业模式的创新和更迭，都要求对于大数据的开放式利用和整合。GDPR严格限制数据后续处理可能性的规定，已经引发了大量“不合时宜”的质疑，特别是在物联网、人工智能兴起和蓬勃发展的当下，GDPR秉持的传统（甚至是古老的）权利保护模式，很可能对于产业的发展造成严重的阻碍。[5]在这个意义上，在构建中国的个人数据保护制度过程中，的确需要对GDPR过于严格、机械的同意原则和配套体系进行系统性的反思，考虑中国的主要诉求和价值取向，避免照搬GDPR的理念和具体规则，积极进行制度创新，秉持对产业发展更加开放和友好的态度，保持规则的动态和弹性，更多地通过自下而上、分布式的规则产生机制，[6]形塑更加符合中国需要的个人数据保护制度。

参考资料

1GDPR原则条款的功能与角色

[1]保罗•德•赫特、瓦基里斯•帕帕康斯坦迪诺：《新的<通用数据保护条例>：是否依然是保护个人的完善制度？》，载http://www.dgcs-research.net/a/xueshuguandian/2017/1230/4.html，最后访问日期：2018年4月10日。

2原则条款的结构与内容

[1] 王融：《欧盟数据保护通用条例》详解，载《大数据》2016年第4期。

3同意原则的边界及对中国的启示

[1] [美]欧姆瑞·本·沙哈尔等著：《过犹不及：强制披露的失败》，陈晓芳译，法律出版社2015年版。

[2] Daniel Solove, Privacy Self-Management and the Consent Dilemma, 26 Harvard Law Review 1880 (2013).

[3] 王融：《大数据时代数据保护与流动规则》，人民邮电出版社2017年版，第16~18页。

[4] 范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期。

[5] 同前注1。

[6] 刘晓春：《大数据时代个人信息保护的行业标准主导模式》，载《财经法学》2017年第2期。

原文载于《欧盟数据宪章——<一般数据保护条例>（GDPR)评述及实务指引》

法律出版社2018年版

本文仅作学习交流之用

声明：本文来自大数据和人工智能法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。