论坛分类

【专栏】裴炜：好一场个人信息保护拉锯战

只看楼主收藏回复

楼主

栏目主持

陈夏红

欧洲法理当是一座采之不竭的学术富矿。然而，既有的欧洲法文献，大多受制于课题化、论文化的学术生产方式，佶屈聱牙、卷帙浩繁，反而使得五彩缤纷的欧洲法，高高在上，不食烟火。为追寻并发扬欧洲法的伟大传统，发掘并展示欧洲法的美丽洞天，我们决计集腋成裘，以十二万分的热情和努力，从本周开始，在《法治周末》文化版上共同撰写“欧洲法视界”专栏。

套用王小波的话说，我们希望这个专栏因为有趣而找到其存在的理由；或者退一万步，我们希望有趣成为这个专栏应该达到的标准。同时，我们希望这个专栏，能够成为汉语学界传播欧洲法资讯、展示欧洲法文化、评介欧洲法动态的主流平台。

这一专栏的作者团队将以“欧洲法视界”微信公号编辑部成员为主，同时适度吸纳学界内外的欧洲法同好。我们希望多样化的作者团队，能够成为这个专栏的五彩缤纷的基础。随时恭候您的大作。投稿邮箱：fadaren@126.com

本文首发于《法治周末》2017年3月8日“欧洲法视界“专栏。已开启原创标识，欢迎分享，转载授权请联系编辑部。

好一场个人信息保护拉锯战

作者：裴炜

北京航空航天大学法学院副教授、荷兰伊拉斯姆斯大学法学博士

当然，也有人认为欧洲互联网产业式微很大程度上恰恰是权利过多、法网过密的结果。

2017年的开年并不平静。

美图秀秀因用户个人信息问题被推上了风口浪尖。最先向其发难的美媒宣称，美图APP可能正在过度收集和利用用户的个人信息，该软件追踪的位置信息、移动运营商信息和IP地址似乎与修容、美图毫无关系。

2月16日，“脸书”创始人扎克伯格发长文，高调宣称网络社区将与政府、媒体、社区一起，担负起社会治理重任，雄心壮志可见一斑，然而在长达5700字的宣言中，用户个人信息保护仅一句带过。

数字时代，怎样在利用和保护个人信息之间加以平衡，是摆在各国面前一个相当棘手的问题。谈及数字革命下的欧洲，经常会听到两种声音：一种声音是列举世界互联网产业十强之后，唏嘘老牌资本主义国家江河日下，无一上榜；另一种声音则是旁征博引欧盟及其成员国相关立法及司法判例，对其个人信息保护法网之严密大呼点赞。当然，也有人认为欧洲互联网产业式微很大程度上恰恰是权利过多、法网过密的结果。

欧盟当前的个人信息保护制度脱胎于1995年的《数据保护指令》(Directive 95/46/EC)，但早在1980年，世界经济与合作组织(OECD)就以前瞻性的视野关注到了个人信息保护的重要性。为促进欧洲建立综合统一的数据保护体系，OECD出台了《理事会关于指导保护隐私权与跨境个人信息流动的建议》，其中提出个人信息保护的七项基本原则，即告知原则、目的明确一致原则、同意原则、安全原则、向信息主体披露原则、信息可解除原则、以及责任原则。

尽管OECD的建议不具有约束力，但其仍然触发了欧洲的相关立法进程，其中一个标志性事件就是1981年欧洲理事会起草并在成员国间推广的《关于自动处理个人信息过程中的个人保护公约》，这一公约成为此后欧洲个人信息保护制度体系的基础。

1995年的《数据保护指令》正是这一立法潮流的产物。在之后的十几年时间里，该《指令》一方面逐渐被欧盟成员国经过各种调整之后吸收为国内法，另一方面则不断因信息资源利用的庞大社会需求而受到冲击。个人信息保护与信息资源利用之间的战役就此打响。

个人信息存留是这场战役的主战场之一，主要对手来自欧盟2006年出台的《数据存留指令》，该《指令》授权成员国要求网络服务提供商对电子通讯服务与公共通讯网络中的用户个人信息进行6至24个月的存储。

2006年《指令》一下，立即引发个人信息保护阵营的强烈抗议。成员国首先开展了各种形式的“非暴力不合作”：，或者像德国那样在将《指令》转化为国内法之后，。

面对集体反抗，个人信息利用阵营开始调动欧盟的体制力量，对于不合作的成员国采取一系列应对措施。例如，对于长期消极怠工的德国，欧盟委员会先是在2011年对其进行了督促，继而在2012年3月对其进行正式警告，屡次沟通无果之后，最终在2012年5月将其告上法庭，要求对其施加315036.54欧元的日罚款。

当然，在利用阵营中并非没有配合度高的成员，英国就是其中一名积极分子。事实上，2006年，《指令》草案讨论之时正值英国担任欧洲理事会轮值主席，其曾提议将数据存留义务扩展至互联网服务第三方主体的交互数据。同时，英国也通过制定相关法律规定，对本国的个人信息存留提出了高标准、严要求。

两军对战，面对如此悍将，，其中2008年的S和Marper诉英国案堪称经典战役。S和Marper都是英国公民，均曾因刑事指控而被有关机关提取了指纹、DNA等个人生物信息。尽管两人后来均未被定罪，但其生物信息却被当局继续存留下来。、不区分的个人信息存留做法本身就是对于个人隐私的侵犯，。

在保护阵营的强烈攻势下，信息利用阵营开始出现松动。在2011年4月的报告中，欧盟委员会不得不承认，尽管数据存留是辅助刑事司法并提升公共安全的重要工具，但该工具与包括隐私权、个人信息权等基本权利存在冲突。

2014年注定是不平凡的一年。在这一年，，认为2006年《数据保留指令》未能对不同数据类型加以区分并设置相应的保障措施，。至此，2006年《指令》正式被宣布无效。对于成员国本国制定的数据存留规定，欧盟委员会在其2015年9月的通告中宣称“既不支持也不反对”。

宜将剩勇追穷寇。个人信息保护阵营并未止步于此。考虑到《数据保护指令》自颁行以来的这二十多年间网络与数字技术的迅猛发展，再反思总结两大阵营数次交手的过往经验，以效力较低的《指令》来保护个人信息显然已经火力不足。由此，2016年《一般数据保护规定》(Regulation(EU) 2016/697)应运而生。与《指令》不同的是，在经过两年的过渡期之后，《规定》将无需经成员国国内法转化而自动生效。此时此刻，欧洲“战区”内，个人信息保护阵营风光无限。

然而事实证明，信息利用阵营绝非穷寇，最多只算得上蛰伏，。2016年4月14日，在经过长达5年的马拉松式讨论之后，欧洲议会终于正式通过了《乘客姓名记录指令》(Directive 2016/681)，，允许成员国针对乘客的航班日期、信用卡号、姓名、座位号等信息进行存留和共享。

很显然，在这场保护与利用的战役中，谈论胜负为时尚早。可以预见的是，这场个人信息拉锯战将旷日持久，并且可能随着数字革命的不断深入而愈演愈烈。