歐盟主要採取統一立法的模式對網絡用戶的個人信息進行保護,即對公私領域的個人信息進行統一規範、統一立法。1995年歐盟通過了《關於個人數據處理與數據自由流通的保護指令》,指令第1條明確了指令的目的, 1995年歐盟的《關於個人數據處理與數據自由流通的保護指令》還規定了成員國所需執行的原則和規則。歐盟關於個人數據保護的主要法律文件如下表所示。
歐盟關於個人數據保護的主要法律文件
年份
文件名
1981年
《關於個人數據自動化處理的個人保護條約》
1995年
《關於涉及個人數據處理的個人保護以及此類數據自由流動的指令》
2000年
《歐盟基本權利憲章》
2002年
《關於電子通信領域個人數據處理和隱私保護的指令》
2012年
《21世紀的歐盟數據保護框架:互聯網世界中的隱私保護》
2012年
《歐洲議會和理事會關於個人數據處理中個人權利保護及促進個人數據自由流通權利草案》(一般數據保護條例)
2016年
《一般數據保護條例》
歐盟個人數據保護指令(DPD)[1]列出了與“個人數據”相關的核心隱私原則,即有關已識別或可識別的個人信息的隱私保護原則。這些原則的目的是隻允許合法處理個人數據。這些原則包括數據質量原則(以目的限制,數據最小化,準確性和完整性為特徵),同意原則,透明度原則,訪問和整改,保密性原則和安全性原則。除了這些核心原則,歐盟個人數據保護指令也旨在確保個人數據在歐盟內的自由流動,並處理將個人數據轉移到第三國的管轄規則,行政事項和執行。
歐盟個人數據保護指令的核心隱私原則有三個主要的缺點。首先, Fred Cate教授認為歐盟個人數據保護指令過於依賴知情選擇原則。[2] 知情選擇原則是有問題的,因為經驗研究表明個人通常不會閱讀也不理解隱私政策,而且隱私政策中的模糊語言容易被企業修改,因此,知情同意原則是空洞的,沒有實際效果的。第二,雖然歐盟個人數據保護指令有數據最小化原則,但現實中幾乎沒有數據保護機構迫使技術公司重新設計其軟件,硬件或業務流程以最小化數據處理或使數據主體匿名使用此類系統的實例。第三,技術能力在不斷改進和擴張,個人創建,共享和使用個人數據的方式在不斷變化,而歐盟個人數據保護指令卻沒有跟上全球互聯網技術發展的步伐。為了說明這一點,歐盟個人數據保護指令出臺於商業化的互聯網,萬維網,筆記本電腦,移動計算,GPS,RFID和Web 2.0服務之前,更不用說大數據時代了[3]。
[1] Directive (EC) 95/46 of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [1995] OJ L281/31.
[2] Fred H Cate, ‘The Failure of Fair Information Practice Principles,’ in Jane K Winn (ed.), Consumer Protection in the Age of the Information Economy 360 (Burlington: Ashgate, 2006).
[3] Christopher Kuner et al., ‘The Challenge of “Big Data” for Data Protection’ (2012) 2 International Data Privacy Law 47, 48.
閱讀更多 法律顧問專家 的文章
