文 | 西安交通大学法学院 吴悦舒
2020年1月31日,欧盟数据保护主管(以下简称“EDPS”)发布了修订版《欧盟机构个人数据和电子通信指南》(以下简称《指南》)。此次修订是为了进一步落实欧盟《通用数据保护条例》(GDPR)中有关数据保护的规定。
出台背景及目的
2002年,为了解决电信和互联网服务商的隐私保护问题,欧盟委员会发布了《电子隐私指令》(ePD),并于2009年进行了最后一次修订。10余年后,全球已进入信息化社会。电子邮件、互联网和电话等电子通信占据了人们日常工作和生活的中心地位。
2015年12月16日,EDPS发布了《指南》。2016年4月14日,欧盟议会和欧盟理事会发布了《通用数据保护条例》,条例制定了个人数据保护的一般规则,为欧盟内外个人数据的自由流动提供了确定性保护。2018年11月21日,欧洲议会和欧盟理事会发布了第2018/1725号条例。
为确保遵守《通用数据保护条例》以及第2018/1725号条例中规定的数据保护义务,EDPS汇总以往关于电子数据处理的相关决定和意见,以及第29条数据保护工作组(WP29)和欧洲数据保护委员会的工作内容,并在此基础上,发布了修订版《指南》,在使用电子通信设备处理个人信息方面为欧盟机构提供了实际建议和指导。
《指南》重点关注了特定情形下的电子通信数据处理问题,力求实现更具指引性和针对性的法律规制。
框架内容
《指南》主要包括以下内容:第一部分是引言,阐述《指南》的适用对象和制定基础。第二部分介绍了《指南》的制定目的、适用范围及与其他EDPS指导文件的关联性。
在制定目的上,《指南》列出了诸如计费与预算管理、系统安全与流量管理、事件管理和故障排除、验证电子通信系统的授权使用等目的。在适用范围上,《指南》指出,对于身份和访问管理系统、视频监控、用户活动监控系统(如生产力监控)、本地存储、机构公共网站等方面,暂不适用。由于对电子通信数据的处理也会涉及对个人数据的处理,因此,修订版《指南》与EDPS发布的《实地问责:关于记录欧盟机构、机关和机构处理业务的指导意见》以及《IT治理和IT管理指南》内容相关。
《指南》第三部分阐述了在特定电子通信情形下,欧盟机构对个人数据处理的建议,该部分是《指南》的核心。其中,包含6种情形:系统安全与流量管理;计费与预算管理;电子通信服务的授权使用;专用电话线录音;员工不在岗(长期休假/离职/身故)的情况下访问其电子邮件;行政询问和纪律程序。在每种情形下,《指南》都给出了具体建议,并结合实例进行了详细阐述。
《指南》附录是数据保护原则概要。该部分提供了制定《指南》背后的理念,其中包括:个人数据应当公正、合法、透明地处理;数据处理的目的必须是特定的;数据安全的风险评估机制;数据保存时间不得超过必要时间等原则。
新旧《指南》异同分析
2015年12月发布的《指南》内容可分为两部分:一部分是针对6种特定情形提出的针对性建议,另一部分是关于操作电子通信设备时数据保护的一般性建议。
2020年修订版《指南》没有新增特定情形,但是对原有的建议进行了补充。例如,针对系统安全和流量管理,修订版《指南》提出,要确保电子通信设备已加密到最高标准,并更新到最新的加密方案。由于密码学领域中关于加密、解密和破解加密攻击的研究正在不断发展,在发展过程中应为所有的电子通信设备设计最先进的加密方案和安装相关配置,以便实现通过网络发送信息的最大机密性。
在关于操作电子通信设备时数据保护的一般性建议中,2015年12月发布的《指南》包括应对数据保护负责;确保处理个人数据的目的必须是特定的、明确的和合法的;数据处理的合法性审查;履行数据处理告知义务,保障当事人知情权;数据处理和修改的权利;制定相关文件,加强技术和组织安全措施等建议。
而修订版《指南》删除了关于操作电子通信设备时数据保护的一般性建议。
《指南》与《电子隐私条例》的联系及其借鉴意义
作为欧盟的核心价值观,隐私权和数据保护在《欧洲人权公约》和《欧盟基本权利宪章》中均得到承认。一直以来,欧盟实行着以法律规制为主导的隐私权保护模式,在隐私权保护力度上走在世界前列。
2002年,欧盟委员会发布了《电子隐私指令》(ePD),并于2009年进行了最后一次修订。但是,根据欧盟委员会对《电子隐私指令》的评估报告,某些条款存在制定不明、法律概念模糊以及执行成本过高等问题。
为了规制技术发展带来的新型隐私问题,加强数字单一市场中的信任和安全,2017年1月,欧盟委员会发布了《电子隐私条例》(ePR)草案,希望将《电子隐私指令》转变为法规,从而与《数据保护指令》转变为《通用数据保护条例》的做法相呼应,使欧盟数据保护框架项目逐步实现现代化。
《通用数据保护条例》为个人数据的处理提供了一个广泛的框架,而《电子隐私条例》则规定了在电子通信背景下处理个人数据的具体规则。相较于《电子隐私指令》面向传统的电信提供商,《电子隐私条例》则扩大了适用范围,其适用于任何提供电子通信设备处理个人数据的公司。范围包括所谓的“超值”提供商,如Gmail、WhatsApp和Netflix,以及物联网(IOT)领域。
然而,2019年11月27日,欧盟理事会否决了拟议《电子隐私条例》的最新文本。其原因是,《电子隐私条例》的主要目标之一是为机器对机器通信(M2M)和物联网的发展提供法律依据。而相关学者对新的《电子隐私条例》将如何与这些新技术相互作用提出了疑问,且目前欧洲尚存在一些令人关切的问题难以解决,如数据保留、对存储在设备(如移动电话)上的信息的保护、处理电子通信数据以预防严重犯罪(包括反恐措施),以及防止滥用儿童图像等。
反观《指南》第三部分,关于数据保留问题,《指南》在“系统安全与流量管理”这一情形中明确指出,一旦定义了所需数据的用途和类型,就必须定义数据保存期。在“计费与预算管理”这一情形中,《指南》指出,如果出于财务规则或审核目的,需将某些数据保留更长的时间,则应将访问权限限制为直接参与这些任务的角色等。
关于对存储在设备(如移动电话)上的信息的保护问题,《指南》在“系统安全与流量管理”情形中指出,要确保按照最高标准对电子通信进行加密,并持续更新加密方案。在“访问电子通信数据”情形中指出,负责调查的实体应对所需数据与调查目的之必要性和比例性进行具体评估,准确界定调查范围,从而保护个人信息安全。
关于处理电子通信数据以预防严重犯罪(包括反恐措施)的问题,《指南》在“行政询问和纪律程序”情形下的“秘密监控”条款中明确指出,出于预防、调查、侦查、起诉刑事犯罪或者执行刑罚,包括预防对公共安全产生威胁的目的,欧盟成员国警察、其他主管执法机构或相关欧盟调查机构在进行合法或授权调查过程中,可在不告诉特定人员的情况下保留其所有活动的详细日志,以便获取其犯罪证据。
热门跟贴