适当资料保护水平的内涵

二、适当资料保护水平的内涵

《资料保护指令》仅规定了评定一国资料保护水平所应考虑的因素，未明确适当性的内涵及认定适当性的标准和方法。根据指令，评定资料保护水平的适当性应考虑“资料转移或一系列资料转移关涉的全部情形，尤其应考虑资料的性质、资料处理的目的和期间、资料来源国和最终目的国、该国现行的一般或特定领域中有关的法律和法规以及在该国实施的职业规则和安全措施”。^[19]作为欧盟在资料保护上的智囊团，欧盟委员会的资料保护工作组^[20]不仅界定了适当性的内涵，还明确了委员会评定适当性的标准和方法。

经汇总先前的研究成果，^[21]工作组于1998年通过了《向第三国转移个人资料:资料保护指令第25条和第26条的适用》。^[22]该工作文件界定了欧盟在认定资料保护水平适当性上的基调，明确了适当性的内在要求，阐释了认定适当性的标准和方法。工作组认为，资料保护旨在保障资料当事人的权益，并主要通过确立资料当事人的权利与资料控制者和处理者的义务实现上述目的。在上述权利和义务上，《资料保护指令》与欧洲理事会的《资料保护公约》^[23]、经济合作与发展组织的《资料保护指导原则》^[24]以及联合国的《资料保护规则》^[25]一脉相承，而且它还在很大程度上统一了成员国的资料保护法。然而，只有在现实中得以切实的执行，资料保护规则才能发挥保护资料隐私的作用。为此，“评定资料保护水平的适当性不仅要考察适用于资料转移的规则，还要核实确保这些规则得以有效实施的现有机制”。^[26]

长期以来，欧洲各国在立法和执法上已经形成一套独特的资料保护传统:制定全面的资料保护法，明确资料保护原则、个人的权利和资料控制者的义务，设立以资料保护机构为中心的执行机制，通过事先审查和事后调查监督资料处理活动，协助个人行使资料权利。而在欧洲之外，至今，采取欧盟资料保护模式的国家还为数不多。除欧洲理事会通过对《资料保护公约》作出补充协定要求缔约方设立资料保护机构外，^[27]OECD的《资料保护指导原则》、联合国的《资料保护指导规则》和亚太经合组织的《隐私框架》^[28]都无法律约束力。

鉴于这种状况，工作组指出，评定资料保护水平的适当性需要考虑两个方面的因素:(1)有关法律和规则的内容。(2)确保法律和规则得以实施的方式。^[29]换言之，一国的资料保护水平与资料转移人采取的保障措施是否适当，不仅取决于有关法律、法规和规则的内容，还取决于它们的实际遵守程度。《资料保护指令》为欧盟各国确立了同等的资料保护水平，指令的规定也就自然成为欧盟评价他国资料保护法的内容和执行机制的基本依据。以指令为基础，工作组明确了资料保护规则应具备的核心内容以及有效的执行机制需要实现的目标，而且认定标准和程序也尽显功能主义的烙印。^[30]

(一)规则的内容

从内容上看，资料保护规则应包括下列基本原则:

1.目的有限原则(Purpose Limitation Principle):应为了特定的目的处理个人资料，后续的使用和散播也不得背离转移资料的目的。

2.资料质量与相称原则(Data Quality and Proportionality Principle):资料应准确，且在必要情形下得以更新。对资料转移或后续处理的目的而言，资料应适当、必要且相关。

3.透明原则(Transparency Principle):资料当事人应了解资料处理的目的、位于第三国的资料控制者的身份以及确保公正性所必需的其他信息。

4.安全原则(Security Principle):资料控制者应根据资料处理的风险采取适当的技术和组织性安全措施。资料处理者等须按控制者的指示行事，无控制者的指示不得处理资料。

5.查阅、修改与反对权(Right of Access，Rectification and Opposition):资料当事人有权查阅与其相关的资料，修改不准确的资料，并在特定情形下反对处理资料。

6.后续转移限制(Restrictions on Onward Transfers):除非适用于后续转移的规则满足适当保护水平的要求，资料的最初接收人不得向他人再次转移资料。^[31]

此外，资料保护规则还应包括下列特殊规则:

1.敏感资料:若转移敏感资料，应采取特殊的保障措施。

2.直接营销:若为了直接营销的目的转移个人资料，资料当事人应可以在任何时候反对使用其资料。

3.自动化个人决定:若完全以个人资料为依据作出对个人产生重大影响的决定，个人应有权了解作出决定的动因，并应采取措施保障个人的正当权益。^[32]

(二)程序与执行机制

欧盟各国不仅通过制定全面的资料保护法将资料保护原则纳入其中，还建立了以资料保护机构为中心的外部监督机制。而欧盟外的多数国家既未制定资料保护法，也没有设立资料保护机构。有鉴于此，为评定资料保护水平的适当性，应确定资料保护执行体制所追求的目标，并将其作为评定第三国司法和非司法执行体制有效性的标准。^[33]

工作组将资料保护执行机制所追求的目标归纳为三点:

1.确保较高的规则遵守水平，有效的资料保护机制一般具有下列特点:资料控制者对其责任具有较高的认识水平，资料当事人不仅具有较高的资料权益意识，还具备行使权利的必要手段。制裁措施以及由机构、审计者或资料保护专员开展的审计活动等也对规则的有效贯彻和遵守至关重要;

2.为资料当事人行使权利提供协助和帮助，个人必须能够快速、高效地行使权利，且不承担过重的负担。为此，需要建立某种机构性的机制调查和处理个人提起的控诉;

3.在规则遭到破坏时，为受害方提供适当的救济。这一因素至关重要，而且也需要一套独立的司法或仲裁体系，并在必要情形下对受害方进行赔偿，制裁违法行为。

(三)行业自治与资料保护水平的适当性

根据《资料保护指令》，评定第三国资料保护水平不仅需要考察该国现行的资料保护法律和法规，还要考虑有关的职业规则和安全措施。^[34]按照上述功能主义方法，工作组也建议从内容和执行程序两个方面考察自治性规则，^[35]评定其在保护资料隐私上的作用。

具体而言，自治规则的适用范围和约束力是评定其效用的重要标准。相对于组织和机构有权通过惩罚性的手段要求其成员遵守规则而言，制定规则的组织或机构所代表的资料控制者的数量和范围似乎并不重要。但是，相对于仅适用于少数成员的规则，全面适用于有关成员的行业和职业性的自治规则在资料保护上的作用往往更大。从消费者的角度看，一个行业中存在多家机构制定的资料保护规则，规则自身缺乏必要的公开性和透明性，不利于他们准确把握企业所遵守的规则。从资料控制者的角度看，随着资料在多个使用人之间不断流转，同一行业中的资料保护规则越多，越不利于他们预知应适用的规则。^[36]从内容上看，自治规则应具有透明性，且应包含所有的资料保护原则。从执行程序上看，自治规则应具有确保规则得以较好遵守的有效机制，如警告和惩罚体系。它应具有协助和帮助个人行使资料权利的机制，如设立独立的机构处理个人控诉，裁定违反规则的行为。它还应给个人提供适当的救济，合理地解决争议，并在必要情形下对个人进行赔偿。^[37]