(一)GDPR的誕生
2018年5月25日生效的歐盟《通用數據保護條例》(以下簡稱“GDPR”)是目前國際上最受關注的個人數據保護法律文件,也必然對其他國家和地區個人數據保護制度的建構產生深遠影響。GDPR篇幅頗長,洋洋灑灑長達99個條款,還要包括173節的序言內容,可謂考慮周全,結構完整,邏輯嚴密。若要細緻通讀全文,需要頗費一番功夫。究其重點,前四章基本勾勒出了個人數據保護的基本框架,而其中的第二章“原則”條款身負提綱挈領之重任,為個人數據的合法處理提供了基礎,其精神貫穿全文始終。
(二)採用條例的由來
通常認為,GDPR是對於歐盟一貫秉持的將個人數據作為基本權利進行強化保護立場的進一步貫徹和延伸,而採用條例這一形式,更是體現了在這一領域以歐洲委員會為代表的歐盟機構相對於各成員國的強勢態度和持續堅持。這種強勢態度首先體現在採取“條例”這樣一種在成員國範圍內直接生效的法律文件形式上。GDPR的前身《1995歐盟數據保護指令》(以下簡稱“95指令”)由於需要國內法進行轉化後方可對成員國生效,導致各國之間依然不可避免存在立法和執法的不統一之處。實際上,指令長期以來是歐盟成員國之間協調立法的主要形式,而條例則僅用來適用到十分有限的領域,比如競爭法以及歐盟商標,因此,適用條例這種形式,被歐洲學者認為是“激進”的做法。當然,這也標誌著,歐盟對於互聯網和大數據的發展和特性亦做好了擁抱變化的準備,充分認識到法律文件的地域性已經無法應對數據的無國界流動和處理。
儘管條例本身可以成為各國執法的直接依據,但是由於各國法律體制各有千秋,條例的本地化貫徹還是需要一系列複雜的配套制度和機構。除了專門規定了統一執法機構、協調製度、法律責任和罰則等落實機制之外,提供一套基本的指導原則,並指明在此基礎上各國可以依據國內公共政策自行規定的空間與例外情形,就成為一種十分有價值的協調手段。
(三)原則條款的功能與角色
除了為成員國提供指引和協調的方向之外,原則條款的重要功能當然也體現在為整個條例文本奠定了基本框架和基礎之上。一方面,原則條款確立的基本原則框架,其精神貫穿整個條例,包括第三章數據主體的權利設置,第四章控制者和處理者的義務,第五章個人數據的境外傳輸等,基本上都是對於原則體系的具體化。另一方面,原則條款也可以作為直接適用的法律依據,成為數據控制者和處理者的行為的直接衡量標準,判斷其是否具備合法性基礎。特別是數據主體的“同意”原則及其具體規則,成為指引實踐中獲取用戶同意環節的最重要規則。而同意原則的例外規定,也體現了歐盟立法者對於作為基本權利的個人數據之外的社會利益的考慮,併為各國的公共政策考量留出了一定的餘地,且不論其實際效果如何,在立法理念上還是體現了利益平衡和協調的態度。
從國際影響上看,原則條款沿襲的是95指令乃至更早法律文件中形塑的一系列基本原則,如目的限制、數據最小化、精確性、完整性、保密性等,長期以來已經對包括中國在內的多個國家和地區產生不可磨滅的深遠影響,深刻影響並塑造了人們對於個人數據保護的基本理念,逐漸成為政府、產業和民眾的共識。GDPR的原則條款再次確認並宣示了這些重要的原則,延續了歐盟立法傳統對於國際規則建立與協調的重要貢獻。
閱讀更多 字節跳動法律研究中心 的文章