引言

欧盟在司法层面针对数据控制者、处理者、接收方及第三方在数据的搜集、记录、整理、储存、传递、公布等各个环节，均设立了严格的规范条款，并对侵犯个人数据的行为实施处罚，旨在捍卫个人的基本权利与自由，特别是与数据处理紧密相关的隐私权，实质上，这也是对自然人基本人权的捍卫。在信息化时代背景下，数据的自由流通已成为经济发展的关键驱动力。因此，对信息自由流通的任何限制或管理均需持谨慎态度。理想的数据开发与保护模式应能促进信息社会的进步，即在鼓励数据应用的同时，确保数据主体能够掌握数据的控制权。作为世界领先的经济组织之一，欧盟的数据保护法律对其经济具有重大影响。从立法意图上看，《数据保护指令》旨在构建一个真正的欧洲信息数据空间，通过制定统一标准，确保个人数据在成员国间的自由流通。因此，《数据保护指令》并未能如预期般为欧盟内部的数据保护提供全面的保护作用。不同的数据保护执行标准增加了企业在处理数据时的经济负担，并在欧盟成员国间的数据流动中形成了障碍。在此背景下，欧盟迫切需要制定一部能够直接在各国生效的法律，即《通用数据保护条例》，以形成一部统一的欧洲数据保护法。

一、《通用数据保护条例》改法之路

（一）《通用数据保护条例》改法的必然性

1. 网络数据的爆炸式增长

《数据保护指令》制定之时，计算机使用尚未普及，数据还相对静止，互联网时代还未形成，信息技术等都还处于起步阶段，个人数据的收集、存储、使用、披露等多是靠人力手工进行，其深度、广度都十分有限。随着科学技术的发展使得网络进入了几乎所有人的日常生产生活，网络数据呈现出几何爆炸式增长。《数据保护指令》已经无法实现在这一状态下对个人数据进行有效保护，亟待进行修改，以适应在线和移动世界的快速发展之现实。首先，随着经济全球化之发展，个人数据中的价值属性日渐凸显，数据的流通与应用已成为影响国家或地区的经济发展的重要因素之一。个人数据跨境流动中的保护问题也应为之重视。世界经济的显著走向是全球化大公司的兴起与发展，其追求在于全球不同国家之间进行个人数据流动的无缝化链接。然而现存的数据保护法仍然是以国家别为基础，这给跨国数据控制者、数据处理者，以及数据接收者加大了经济成本投入。

2. 《数据保护指令》中规定的不足

第一，指令中对关于个人数据转移到第三国的情况仅做了原则性的规定，过于宽泛以至于指令被适用于现实中出现了不能被有效执行的问题。第二，指令规定成员国的数据控制者向第三国转移需在不影响遵守依照指令其他规定通过的该国的国内规定，第三国又确保能提供适当水平下进行，但指令并未规定向国际组织转移的情形。第三，指令第25条规定，第三国所提供的保护水平的充分性应当根据一次或一系列数据处理操作习惯的所有情况来评定，但并未规定评定因素。这些规则是否适用于处理某个特定的数据处理行为，在适用的前提下，应当适用哪国法律。这些规则设置都十分模糊且复杂，会导致重大的不确定性，导致不同的法律后果。再次，缺乏协调性。阻碍了公司经营者在不同欧盟成员国内采用统一的方式对数据进行处理。此外，在全球互联网企业中，美国企业占据了显著份额，特别是在网络搜索服务与社交媒体两大领域，欧盟市场几乎由美国公司所主导，形成了高度的市场集中现象。

（二）《数据保护指令》与《通用数据保护条例》之比较

1. 条例间的相同点

第一，监管的模式仍未改变。《通用数据保护条例》仍采用《数据保护指令》通过对基本原则的方式对个人数据保护进行基本的规范，用具体行为规范对基本原则进行实施的方式对个人数据的各处理环节进行监管。两个法律文本都没有将数据主体的同意作为个人数据收集、处理、利用、传播合法性的唯一条件，仅将其作为合法条件之一。第二，无论是《数据保护指令》还是《通用数据保护条例》，其核心均在于强调数据控制者与处理者在处理个人数据时需保持透明度，并切实履行其义务，确保数据主体在充分了解其数据处理情况的基础上，必要时能够行使拒绝权。然而，这两部法规并未赋予数据主体除拒绝权以外的其他具体权利。

2. 《通用数据保护条例》之改法重点

2.1 强化个人数据主体权利

首先，《通用数据保护条例》着重加强了个人数据主体授权同意的重要性。强调这种同意必须是数据主体在充分了解情况后，自由、自愿地作出的具体且明确的意愿表达。此外，第7条进一步详细阐述了授权同意所应满足的四项条件：一是数据控制者需确保数据主体已明确表达了对数据处理的授权；二是当数据主体的同意与其他事项一同给出时，其书面授权应与其他事项的授权相区分，并采用易于理解的语言表述；通过对比分析可以发现，《通用数据保护条例》中关于授权的条款与《数据保护指令》的第13条授权规定存在显著差异。数据主体可随时撤销授权；数据控制者不能通过数据主体的缄默或者不回应而推定数据主体的授权，数据主体的对数据控制者、处理者的授权必须是明确可识别的。其次，《通用数据保护条例》开创性地引入了数据的“被遗忘权”。这一规定标志着《通用数据保护条例》在《数据保护指令》的基础上，进一步强化了个人数据保护，成为大数据时代数据主体抵御个人隐私侵犯的重要法律保障。再者，《通用数据保护条例》还规定了数据的“变相可携带权”，与数据授权、被遗忘权共同构成了该条例中数据主体在个人数据控制方面的权利框架。

2.2 加重数据控制者与数据处理者的数据安全保护责任

首先，《通用数据保护条例》新增了数据控制者与数据处理者对个人数据保护影响的评估责任，并对评估责任进行了详尽的规范，增强了实际操作性。条例第4条对数据主体及个人数据进行了清晰界定，明确了个人数据的范畴。对于具有重大影响且风险较高的数据，数据控制者或代表其的数据处理者必须对所计划的处理操作进行影响评估，评估结果将直接影响个人数据的处理决策。其次，《通用数据保护条例》新增了数据控制者事先征询数据监管机构意见的责任。条例第36条规定，当数据保护影响评估显示数据控制者缺乏减轻风险的措施可能导致高风险时，数据控制者应在处理前向监管机构咨询。此外，条例还设立了数据保护专员制度。条例第37条提出了在数据控制者或数据处理者内部设置数据保护专员（DPO）的概念，规定数据保护专员虽为企业内部雇员，但具有相对独立性，应独立履行职责，不受其他指示的干扰。数据保护专员一方面要确保数据控制者和处理者遵守《通用数据保护条例》的各项规定，监督条例的实施与执行，特别是与数据系统保护、默认保护、数据安全、数据主体信息要求及行使条例权利相关的方面。

2.3 增强监管机构的监管力度

首先，《通用数据保护条例》相较于《数据保护指令》，在立法层级上实现了显著提升，后者虽对欧盟成员国关于个人数据保护的立法具有指导意义，但前者则具备实际的法律约束力，并在所有成员国范围内直接适用。其次，《通用数据保护条例》还优化了监管机制。以通过“科学技术加法律制度”的双重保障措施以实现对个人数据和权利的保护。《通用数据保护条例》通过设置一站式机制对已有的监管机制进行优化，主要包括以下两个方面，(1)数据控制者与处理者的主营业机构承担着数据保护机构统一管理数据的职责；(2)各成员国的主要监管机构与其他相关机构之间展开了积极的合作。这样的制度安排显著提升了欧盟各成员国间的监管合作水平，并提高了监管效率。该条例正式提出了设立欧洲数据保护委员会，以确保《通用数据保护条例》在欧盟地区得到统一实施。条例第69条确保了数据保护委员会在执行任务和行使权力时的独立性，规定其在执行任务时不应接受或遵循任何外部指示。此外，《通用数据保护条例》还加大了对个人数据侵权行为的处罚力度。第58条对各监管机构的调查权力范围、行使权力范围，授权与建议范围等进行了规定，同时规定监管机构有权将违反条例的行为诉诸司法机构，并参与法律程序，对行政违法行为，监管机构仍有权力对其制裁。

2.4 简便了数据的跨境转移

《通用数据保护条例》为跨境传输个人数据确立了充分性保护的标准。依据其第45条，当欧盟委员会认定第三国、第三国的某区域、特定部门或多个部门，或某国际组织已达到充分的保护水平时，个人数据可向这些第三国或国际组织传输，且无需额外授权。此外，条例还引入了适当的保护措施作为补充。具体而言，第46条可被视作第45条的一种例外情形，即当第三国或国际组织未获得第45条所规定的欧盟委员会认可时，只要满足第46条所规定的条件，数据的跨境传输依然被视为合法。

二、改法本土化

在一个市场开放、信息自由流动的信息社会，拥有完整且灵活地法律体制来适应技术创新的环境，社会经济才能繁荣发展。通过前文对《数据保护指令》与《通用数据保护条例》的对比与分析，不难看出，构建符合中国国情的个人数据保护规则已经成为当前急需解决的问题。本文的核心在于探讨信息社会所带来的法律与监管层面的挑战，并深入分析欧盟如何评估及应对这些挑战，同时探讨中国可从中汲取的有益经验。

（一）立法的核心：设置个人数据权，明确个人数据内涵

1. 设置个人数据权

保护一种利益最有效的方式是立法者赋予利益享有者一项权利，并通过立法使该权利的各要素——主体、客体与内容等明确化与具体化，从而为认定与制止侵害这一利益的行为提供依据。当某种法益在社会中占据显著重要性时，可通过立法手段直接赋予其法律效力，或通过判例间接确认。个人数据，作为一种独立的人格利益形态，笔者认为，应当被确立为一项具体的人格权。通过立法确权的方式保护自然人的这种人格权，使得个人数据权独立于其他人格权在立法中得到体现。当数据主体能够依据个人数据权向数据控制者或数据处理者主张权利基础，而数据控制者与处理者则可运用比例原则作为抗辩依据，且裁判者能依据此原则进行权衡并作出裁决时，个人数据权确立的价值就已实现。

2. 明确保护客体和构成要件

用单独的立法来保护个人数据安全，规制个人数据处理的行为，需将其内涵以明确的方式展示出来。所以在制定个人数据保护法之时，对个人数据即法之保护客体的范围和构成要件应进行明确的规定。究竟是采用美国式针对隐私进行保护？还是采用欧盟式针对与数据主题相关的任何信息数据的保护？都要进行明确的规定。具体而言，直接要件是指那些能够直接指向并识别个体的个人数据；而间接要件则是指那些无法单独识别个体，必须与其他信息相结合方能实现识别功能的个人数据。无论是本人知道的个人数据，还是本人不知道的个人数据，在制定个人数据法时应对其进行保护。形式要件是指个人数据形式必须满足一定的特定形式，得以固定和可以处理。《通用数据保护条例》就通过第4条对其进行了明确的定义。我们只有在确定个人数据权的情况下，才能保护个人数据才能进一步允许合理收集、处理个人数据从而实现社会经济发展进步。

（二）立法的精神：预防性保护与救济性保护结合

1. 预防性保护

我国现行的有关个人数据保护的法律依据主要是通过在不同的部门法中零散地设置了一些与个人数据保护的相关规定，且大多数条款多为事后救济性的保护。全球众多国家立法实践证明，采取预防性保护与救济性保护相结合的方式能更好地保护一项权利。在我国个人数据立法时，笔者建议首先对预防性规则进行设置，即数据控制者或者数据处理者的组织行为进行规范。同时，必须对数据控制者或处理者的违法行为制定相应的救济性规则。欧盟的《通用数据保护条例》将这两项内容共同置于整部法规的核心地位，予以同等重视。首先，在条例规定了个人数据处理的基本原则，如合法、公平并以对数据主体公开透明的方式进行数据处理，数据的收集应当基于具体、清晰且合法的目标进行，并且在此之后，不得采取与该目标相冲突的方式对其进行处理。与此同时还规定了个人数据收集、处理、使用、披露的规则等预防性的保护条款。

2. 救济性保护

其次，《通用数据保护条例》也规定了与预防性条款相对应的救济性条款，第八章的内容聚焦于救济途径、责任追究与制裁措施，构成了“救济条款”，其中详细阐述了向监管机构提交投诉的权利，以及针对监管机构与数据控制者或处理者分别享有的司法救济权利。数据主体都不希望自己出现在这一环节。要避免这一环节的出现，就需要对源头——预防式的保护进行规制。综上，笔者建议在我国进行个人数据立法时将其作为精神内核进行强调。

（三）立法的模式：统一立法与行业自律并重

1. 统一立法

在比较法上，欧盟与美国出于不同的价值取向，在设立个人数据保护法律体系时采取了不同的方式。美国更偏重强调个人数据的自由，在处理个人数据活动时采取个人数据的控制者与数据处理者所在行业的自律规范来进行约束。欧盟则采取严格的统一立法模式对个人数据的搜集、记录、组织、存储、传播、披露等各个环节进行规范。鉴于我国行业自律的现况是自治能力较弱，行业协会较少，不能很好地发挥民间组织的作用为个人数据保驾护航。对于我国个人数据的保护，建议首先采取统一立法模式，通过一部专门法对个人数据处理进行明确规范，有国家强制力为个人数据保护提供保障。然而，其显而易见的缺陷在于，立法所追求的稳定性与信息技术迅猛发展所带来的快速变化之间存在着难以调和的矛盾，这一根本性冲突难以得到有效解决。美国由行业协会来主导诸多行业领域就是从这点考虑出发的。因为行业自律恰好能弥补这一缺陷。因为每个行业由于特殊性，对个人数据的需求和处理方式都不同，行业自律显示了其灵活性的优点，为了最大限度地达成个人数据处理的目标，同时确保个人数据主体的合法权益得到保障，

2. 行业自律

此外，在立法过程中，应明确自律规范的法律效力，使其成为个人数据保护法的一个有益补充和强化手段。由此，国家在对个人数据进行保护的过程中，即提供了法律保护，也允许不同行业根据自身的特殊情况进行自律规范的制定作为法律的补充。这种模式在通过法律对个人数据进行基础保护的同时，能够发挥行业自律规范自由灵活的优势来提高个人数据自由合理流通的效率。

三、结语

我国个人数据保护法律尚不完善，缺乏专门的立法，相关法律条款分散于不同部门法中。随着科技的发展，个人数据收集、存储、使用、披露等环节易引发犯罪行为，且跨境数据流动保护问题日益凸显。欧盟作为最早制定个人信息保护成文法的国家，其《通用数据保护条例》是最新且最完整的个人数据保护法律。强调个人数据主体权利，强化数据控制者与处理者的责任，设置独立监管机构，并加强跨境数据流动管理。我国应尽快制定个人数据保护法，明确个人数据权的内涵及构成要件。结合预防性保护与救济性保护，对个人数据处理行为进行规范，并设置相应的违法行为处罚措施。采取统一立法与行业自律并重的模式，通过专门法对个人数据处理进行明确规范，同时发挥行业自律的灵活性。我国应借鉴欧盟等国家的先进经验，不断完善个人数据保护法律体系。加强国际合作，共同应对跨境数据流动中的保护问题，推动个人数据在全球范围内的安全、自由流通。提升公众对个人数据保护的意识，加强宣传教育，形成全社会共同参与的个人数据保护氛围。

参考文献：

1. [1] Christopher Kuner.欧洲数据保护法——公司遵守与管制[M],北京:法律出版社,2008.
2. [2] 王学菲.大数据时代下消费者隐私权--与消费者个人信息权区别[J].黑龙江省政法管理干部学院学报,2017(03):99-102.
3. [3] 高富平.个人数据保护和利用国际规则：源流与趋势[M].北京:法律出版社,2016.
4. [4] 郑成思.知识产权——应用法学与基本理论[M].北京:人民出版社,2005.
5. [5] 江小涓,黄颖轩.数字时代的市场秩序、市场监管与平台治理[J].经济研究,2021,56(12):20-41.
6. [6] 龙卫球.数字化时代安全可信的法治保障与新型监管要求[J].传媒,2021(18):19-22.
7. [7] 李仪.个人信息保护的价值困境与应对——以调和人格尊严与信息自由冲突为视角[J].河北法学,2013,31(02):2-7.
8. [8] 朱悦.大数据背景下的个人信息法律保护研究综述[J].图书馆论坛,2020,40(07):36-45.
9. [9] 何波.试论个人信息概念之界定[J].信息通信技术与政策,2018(06):38-42.
10. [10] 杨惟钦.个人信息权之私权属性与内涵思辨——以实现个人信息权益的合理保护为视角[J].晋阳学刊,2019(02):110-120.
11. [11] 谈志林.欧盟立宪进程中的地方自治与中国地方制度的演进[J].浙江社会科学,2004(04):41-46.