欧盟主要采取统一立法的模式对网络用户的个人信息进行保护,即对公私领域的个人信息进行统一规范、统一立法。1995年欧盟通过了《关于个人数据处理与数据自由流通的保护指令》,指令第1条明确了指令的目的, 1995年欧盟的《关于个人数据处理与数据自由流通的保护指令》还规定了成员国所需执行的原则和规则。欧盟关于个人数据保护的主要法律文件如下表所示。
欧盟关于个人数据保护的主要法律文件
年份
文件名
1981年
《关于个人数据自动化处理的个人保护条约》
1995年
《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》
2000年
《欧盟基本权利宪章》
2002年
《关于电子通信领域个人数据处理和隐私保护的指令》
2012年
《21世纪的欧盟数据保护框架:互联网世界中的隐私保护》
2012年
《欧洲议会和理事会关于个人数据处理中个人权利保护及促进个人数据自由流通权利草案》(一般数据保护条例)
2016年
《一般数据保护条例》
欧盟个人数据保护指令(DPD)[1]列出了与“个人数据”相关的核心隐私原则,即有关已识别或可识别的个人信息的隐私保护原则。这些原则的目的是只允许合法处理个人数据。这些原则包括数据质量原则(以目的限制,数据最小化,准确性和完整性为特征),同意原则,透明度原则,访问和整改,保密性原则和安全性原则。除了这些核心原则,欧盟个人数据保护指令也旨在确保个人数据在欧盟内的自由流动,并处理将个人数据转移到第三国的管辖规则,行政事项和执行。
欧盟个人数据保护指令的核心隐私原则有三个主要的缺点。首先, Fred Cate教授认为欧盟个人数据保护指令过于依赖知情选择原则。[2] 知情选择原则是有问题的,因为经验研究表明个人通常不会阅读也不理解隐私政策,而且隐私政策中的模糊语言容易被企业修改,因此,知情同意原则是空洞的,没有实际效果的。第二,虽然欧盟个人数据保护指令有数据最小化原则,但现实中几乎没有数据保护机构迫使技术公司重新设计其软件,硬件或业务流程以最小化数据处理或使数据主体匿名使用此类系统的实例。第三,技术能力在不断改进和扩张,个人创建,共享和使用个人数据的方式在不断变化,而欧盟个人数据保护指令却没有跟上全球互联网技术发展的步伐。为了说明这一点,欧盟个人数据保护指令出台于商业化的互联网,万维网,笔记本电脑,移动计算,GPS,RFID和Web 2.0服务之前,更不用说大数据时代了[3]。
[1] Directive (EC) 95/46 of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [1995] OJ L281/31.
[2] Fred H Cate, ‘The Failure of Fair Information Practice Principles,’ in Jane K Winn (ed.), Consumer Protection in the Age of the Information Economy 360 (Burlington: Ashgate, 2006).
[3] Christopher Kuner et al., ‘The Challenge of “Big Data” for Data Protection’ (2012) 2 International Data Privacy Law 47, 48.
閱讀更多 法律顧問專家 的文章
