资料处理的通报和预先审查制度

第七节　资料处理的通报和预先审查制度

资料处理的通报和预先审查制度是欧盟资料保护执行体制中的特色制度。前者要求资料控制者在实施某些资料处理前，向国家资料保护机构或控制者自己任命的内部资料保护专员通报有关情况;后者要求经资料保护机构审批后，资料控制者才可以实施某些资料处理。从运作上看，前者是后者的前提，且二者均为实施资料处理的严格程序要求。欧盟《资料保护指令》要求成员国建立资料处理的通报和预先审查制度，⁽³⁹⁶⁾提高资料处理的公开性和透明性，方便资料当事人行使资料权利，便于资料保护机构行使管理、调查和制裁职责，促进资料保护法更有效地实施。欧盟成员国都确立了该制度，但其立法和实践仍存在不少差异，如必须通报资料处理的范围，简化和免除通报义务的范围和方式，需通报的具体事项和信息，预先审查的适用范围和实施方式以及内部资料保护专员的地位、任命和职责等。

这些差异必然对资料控制者在欧盟境内以统一的方式实施资料处理造成障碍，但指令在一定程度上承认各国在资料保护传统、立法和实践上的差异。随着资料处理的频繁性与资料处理方式隐蔽性的增强，通报和预先审查制度的运作也面临着巨大的挑战。我们需要从通报、预先审查与内部资料保护专员制度的目的着手，结合现实需要，为其有效运作构建合理的法律基础。尤其是，资料保护机构同内部资料保护专员之间应建立起监督及相互协作的关系，从宏观和微观两个层面共同监督资料处理行为，确保资料保护法得以有效的实施。

一、资料处理通报制度

(一)必须通报的资料处理与例外情形

1．资料保护指令

有些欧盟成员国的资料保护体制对通报制度具有较强的依赖性，而有些国家则主张尽量避免通报和预先审查等严格的程序要求。经折中，成员国的不同做法和传统，《资料保护指令》原则上要求资料控制者须通报与其有关的所有资料处理，同时它也根据国内传统，为通报制度提供了必要的灵活性。

指令要求资料控制者或其代表人应在实施资料处理前向资料保护机构通报有关情况。基于资料处理侵害资料当事人正当权益的风险大小及资料和资料处理的类别，指令规定了四种例外情形:(1)资料处理侵害资料当事人权利的风险较低，且提供了有关资料处理的具体信息;(2)资料控制者任命了内部资料保护专员，由其监督资料处理的具体实施，避免侵害资料当事人的权利;(3)资料处理旨在为公众提供信息;(4)资料处理属于合法的敏感资料处理。⁽³⁹⁷⁾

2．成员国法

成员国法也以通报为原则，但它们在例外情形上仍存在不少差异。有些国家允许资料控制者通过任命内部资料保护专员，免除其向资料保护机构通报的强制义务。例如，根据瑞典法，资料控制者可任命内部资料保护专员，由其负责监督与控制者相关的资料处理，他应对资料处理进行登记，且登记的内容包括须向资料保护机构通报的事项。这样，资料控制者就无须直接向资料保护机构通报与其有关的资料处理。⁽³⁹⁸⁾荷兰法也允许资料控制者向自己任命的内部资料保护官员通报其将要实施的资料处理。⁽³⁹⁹⁾根据德国法，若任命了内部资料保护专员，资料控制者无须向联邦资料保护与信息自由委员会通报资料处理。⁽⁴⁰⁰⁾根据法国法，若资料控制者任命了资料保护专员，专员以独立方式履行资料保护职责，可免除控制者向国家信息与自由委员会通报资料处理的义务，但计划向欧盟境外转移个人资料的除外。⁽⁴⁰¹⁾

在须通报的资料处理的范围上，有些成员国要求通报非自动化资料处理系统，有些仅要求通报部分非自动化的资料系统，有些则规定了广泛的例外情形。例如，丹麦、希腊和意大利法原则上要求通报所有自动化和非自动化的资料处理活动。芬兰法要求通报涉及下列事项的非自动化资料处理:向第三国转移资料、作出完全自动化的重大决定、信用评估和追债。葡萄牙法要求通报敏感资料的非自动化处理，以保护资料当事人或他人的重大利益。⁽⁴⁰²⁾

在免除或简化通报的资料处理的类别和具体情形上，各国法的规定也不尽相同。例如，根据奥地利法，仅涉及公开性和间接性个人资料的资料处理活动无须通报。此外，“标准资料处理”(Standard Data Processing)也无须通报，即大量的资料控制者以类似的方式实施的资料处理，而且它们不太可能侵害资料当事人的隐私利益。奥地利法还要求通过立法明确标准资料处理的类型、它们关涉资料的类型、资料当事人和接收人的类型以及资料的保存期限。⁽⁴⁰³⁾

比利时、丹麦、法国、荷兰和瑞典法也规定了免除或简化通报义务的标准资料处理。例如，在荷兰，处理下列资料无须通报:组织、基金、宗教和哲学组织成员的资料，员工资料，薪金管理和账户资料，求职者、临时工、供应者、房主和房客的资料，律师和会计师的客户资料，与儿童护理和教育有关的资料，公共机关作出的审批文件、发放的执照，旅行文件、申请荷兰国籍、变更姓名、服军役、档案记录，用于科研和统计的个人资料，用于监控场所进出的计算机系统、内部通信系统和影像监控等收集的个人资料，访问者的资料和其他内部管理资料，法律诉讼中的个人资料以及客户的姓名和地址等联系信息。⁽⁴⁰⁴⁾在葡萄牙，处理下列资料适用简化通知程序:员工的薪金资料，同客户、供应商和服务商有关的发票与合同管理资料，职员和雇员的管理资料，场所的进出记录以及组织同其成员的联系资料等。⁽⁴⁰⁵⁾

比利时、丹麦和瑞典法也规定，处理与薪金管理、员工管理、账户和成员关系相关的资料可免除通报义务。根据英国法，下列资料处理无须通报:为了员工管理实施的资料处理，为了广告、市场和公共关系实施的处理，为了保存账户和记录而处理资料以及非营利性机构和组织实施的资料处理。⁽⁴⁰⁶⁾此外，即使列明的标准性资料处理相同，成员国在解释和具体适用上也可能存在差异。

(二)通报的具体事项和信息

1．资料保护指令

为确保资料处理操作的公开性和透明性，资料控制者须向资料保护机构或内部资料保护专员通报并向公众公开必要的事项和信息。《资料保护指令》要求控制者通报有关资料处理的基本信息、资料处理涉及的当事方、资料处理操作的不同阶段及安保措施等。成员国还应采取适当的措施确保资料处理的公开和透明，如资料保护机构应对通报的资料处理进行登记，并向大众公开。对无须通报的资料处理，应任何人的请求，资料控制者或成员国指定的机关应以适当方式提供有关信息。⁽⁴⁰⁷⁾具体而言，根据指令，资料控制者须通报的事项和信息至少应包括:控制者与(若存在代表时)其代表的名称和地址、资料处理的目的、资料当事人的类别、个人资料或其类别、资料接收者或其类别、向第三国转移资料的计划以及采取的安保措施。⁽⁴⁰⁸⁾

2．成员国法

除瑞典和英国法外，多数成员国法还要求通报指令规定外的其他信息，如资料处理的法律依据和期限、为通知资料当事人而采取的措施、资料的保存期限、资料处理是否须经预先审查及自动化决定的内在逻辑等。例如，奥地利法要求通报资料处理涉及的处理者的具体情况以及处理、披露或转移资料的法律依据。卢森堡法要求通报资料处理的法律依据及资料的保存期限。比利时法要求通报控制者采取的用于通知资料当事人不同事项的措施。丹麦法要求控制者对资料处理作一般性的说明，包括资料处理的起止日期。希腊法要求通报资料处理或保存的期限，若处理有待事先审查或批准，也须列于通报信息中。德国和法国法明确要求提供资料的保存期限。芬兰法规定，若资料控制者作出了完全自动化的重大决定，应通报有关决定内在逻辑的信息。此外，控制者须向资料保护机构通报其在业务活动中采取的用于监控个人资料使用的具体措施。葡萄牙法要求通报资料的披露情况、处理涉及的资料处理者、为资料当事人行使权利而采取的措施及资料的保存期限。西班牙法要求私人行业中的资料控制者通报资料处理系统的所在地。⁽⁴⁰⁹⁾

(三)小结

资料处理通报制度要求控制者向资料保护机构或内部资料保护专员通报其将要实施的资料处理，提供与资料处理相关的信息，登记并公开上述信息。这有助于资料保护机构和专员监督资料处理行为，也便于资料当事人了解资料处理信息以行使资料权利。但是，在具体操作上，通报制度并未给资料控制者提供相应动因和经济诱因。资料控制者通报信息将耗费一定的成本，而且，相对于未履行通报义务的控制者也可能承担更多和更大的责任，并须接受资料保护机构、内部资料保护专员和公众更严格的监督。此外，登记大量的资料处理必然耗费相应的人力和物力。各国资料保护机构目前的人员、资金等资源配备难以应付日益频繁的资料处理活动。资料处理通报制度的发展史表明，各国根据资料处理侵害资料当事人正当权益的风险大小逐步缩小强制通报的资料处理范围，并通过内部资料保护专员制度减轻国家资料保护机构的负担。

二、预先审查制度

(一)资料保护指令

因其性质、范围、目的和处理技术，某些资料处理更容易侵害资料当事人的基本权利和自由，如致使个人无法行使某些权利、享受某些利益与缔结合同等。⁽⁴¹⁰⁾对此类资料处理，《资料保护指令》要求建立预先审查制度，于实施前对资料处理进行审批。预先审查主要通过两种途径进行:一是由资料保护机构于通知资料控制者后实施，二是由控制者自身任命的内部资料保护专员负责实施。此外，成员国可通过立法规定预先审查制度，并明确资料处理的性质与应采取的保障措施。⁽⁴¹¹⁾其中，由资料保护机构对资料处理进行预先审批是最严格的资料处理监管程序。⁽⁴¹²⁾

(二)成员国法

欧盟成员国法均规定了预先审查制度，但它们在其适用范围和实施方式上存在很多差异。例如，根据奥地利法，若资料处理涉及敏感资料，并以报告资料当事人的信用为目的或涉及信息系统的互联，均须经国家资料保护委员会审批。根据丹麦法，若处理涉及敏感资料，为个人信用评估和职业猎头等机构处理资料，为了法律信息系统的运行以及为了向不具备适当保护水平的第三国转移敏感资料均须经事先审查。在希腊，处理敏感资料(即使已获得资料当事人的同意)以及对不同的资料系统进行互联须经资料保护机构预先审查。在德国，处理敏感资料与作为完全自动化决定基础的资料处理应经预先审查，但对私人行业而言，这些审查应由内部资料保护专员实施。意大利法特别强调，处理敏感资料须获得资料当事人的书面同意及国家资料保护机构的事先审批。⁽⁴¹³⁾

在荷兰，资料保护委员会应对下列资料处理进行预先审查:(1)为了编号自身以外的其他目的，资料控制者计划处理可识别个人身份的编号，并旨在将该资料与其他控制者处理的资料进行互联;(2)记录控制者自己直接观察到的资料，但不告知资料当事人;(3)为第三人处理有关犯罪、违法和不当行为的资料，且不具有合法执照。根据葡萄牙法，下列资料处理须经国家资料保护机构预先审查:(1)处理敏感资料;(2)处理关涉非法活动、犯罪和行政违法行为指控，以及适用刑罚、安全措施、罚金与其他刑事决定的个人资料;(3)处理关涉个人信用和破产信息;(4)对个人资料进行互联;(5)在收集资料的目的外使用资料。⁽⁴¹⁴⁾

瑞典法要求控制者必须向资料保护机构通报敏感资料处理，供该机构进行事先审查。西班牙法未明确规定预先审查，但所有资料处理均须向资料保护机构通报，且经其审查符合法律规定者才能纳入资料处理登记。若资料处理和通报不符合要求，资料保护机构可采取相应的措施。⁽⁴¹⁵⁾

在法国，下列资料处理须经国家信息与自由委员会预先审批:(1)处理敏感资料;(2)医疗人员和生物学家为了预防医学、医疗诊断、护理或治疗管理的目的，自动化处理基因资料;(3)处理关涉犯罪、判决或安全措施的资料;(4)若法律无明确规定，自动化资料处理因其性质、重要性或目的可能剥夺个人的权利、服务或合同利益;(5)对一个或多个关涉不同公共利益的资料库进行互联;(6)对具有不同目的的资料库进行互联;(7)资料处理涉及自然人的身份编号;(8)自动化资料处理涉及个人社会问题的资料;(9)自动化资料处理包含确定个人身份所必需的生物资料。若资料处理具有相同的目的，关涉同类资料、相同的接收者或同一类别的接收者，委员会可通过一个决定一并予以授权。在这种情形下，资料控制者还应向委员会发送其遵守该授权的承诺。⁽⁴¹⁶⁾

资料处理预先审批制度是对资料处理最严格的程序要求。由于对个人的资料隐私构成特别的侵害风险，由资料保护机构于实施前对某些资料处理进行审查和批准，对限制资料处理者的非法和不当资料处理行为，维护资料当事人的正当权益而言，预先审查是不可或缺的公权力介入制度。与资料处理通报制度一样，它在具体操作上也面临重重困难。它不仅要求投入大量的人力和物力，更需要资料控制者的通力配合。由于资源紧缺，各国的资料保护机构很难单独承担预先审查责任。因此，根据资料处理侵害个人隐私的风险大小，应尽量缩小必须经预先审批的资料处理的范围。

三、内部资料保护专员制度

(一)资料保护指令

资料控制者任命内部资料保护专员，并由专员监督其依法实施资料处理，这一做法源自德国。1977年的德国法对此作出了明确规定，随后的联邦资料保护法不仅予以保留，还强化了专员的职权。借鉴德国法，《资料保护指令》也允许资料控制者依法任命个人资料保护专员，由其负责，以独立方式确保资料保护法在控制者内部的适用，对控制者实施的资料处理进行登记，并确保资料处理不对资料当事人的权利和自由造成不利影响。⁽⁴¹⁷⁾

(二)成员国法

德国法有关内部资料保护专员制度的规定最为完备。根据现行的《德国联邦资料保护法》，作为一般原则，所有以自动化方式处理个人资料的公私机构均应以书面形式任命资料保护专员。作为例外，若私人机构指派的实施资料处理的员工不超过9人，无须任命专员。若资料控制者以其他方式处理资料，但从事资料处理的长期雇员不少于20名，也应任命专员。此外，若私人机构实施的自动化处理操作须经预先审查，或在业务中为了转移资料而处理个人资料，它们应指定资料保护专员，不论实际处理资料的员工人数多寡。

对于专员的要求，根据该法，资料保护专员需要具有执行职责所必需的专业知识和可靠性，而且应根据资料处理的范围及资料保护的需要确定所需的专业知识水平。专员可以是资料控制者的雇员，也可以是其他人员。专员应直属资料控制者的最高领导，并可在资料保护领域内自由地运用其专业知识，行使有关职权，并不得因履行职责而遭受任何不利。资料控制者应对专员履行职责提供协助与相应的场所、设备和其他资源。⁽⁴¹⁸⁾

内部资料保护专员主要负责监督资料保护法及其他资料保护法规的实施。为此，专员应负责监督资料处理程序的合理使用，采取适当的措施促使负责具体实施资料处理者熟悉有关的法律法规及有关资料保护的各种特殊要求。资料控制者须向专员提供有关资料处理的信息，包括其必须向国家资料保护机构通报的信息。⁽⁴¹⁹⁾在实践中，一旦任命了资料保护专员，所有的资料处理在实施前均须首先向专员通报。专员负责审查资料处理所运用的方式和程序，并对具体实施资料处理的员工进行培训。专员须对资料处理提出意见和更改建议，而且当存在不明之处时，专员可联系有关的监督机构。

与德国类似，荷兰、瑞典和卢森堡法也规定了内部资料保护专员制度。例如，根据荷兰法，资料控制者或资料控制者所属的行业性组织均可指定资料保护专员，由其负责监督他们实施的资料处理。资料保护专员应为自然人，并具有足够的专业知识、经验及适当的可靠性。同时，专员应独立行事，不得接受作出指定的资料控制者或组织的指示，也不应因合法履行职责而遭受任何不利。专员主要负责监督资料保护法与资料处理行为守则的实施。为此，专员应接收资料控制者或组织提交的资料处理通报。虽然任命专员不影响国家资料保护机构的权限，但专员被赋予了重要的职责。实际上，监督资料保护法与资料处理行为守则实施的责任首先应由专员承担，只有存在其无法解决的问题时国家资料保护委员会才可介入。专员应对资料控制者的处理行为提出意见和建议，但他不具有通报不当行为的义务，而且若存在不明之处，他可向资料保护委员会咨询。⁽⁴²⁰⁾在实践中，为确保资料保护法的实施，专员应同资料保护委员会合作。

瑞典法也规定资料控制者可任命资料保护专员，并因此不必向资料保护机构事先通报资料处理。专员的基本职责为独立确保资料控制者以合法与适当的方式处理个人资料，遵守良好习惯，并向其指出不当之处。若有理由怀疑资料控制者违反了有关规定，且在向其指出后控制者仍未及时纠正，专员应向资料保护机构通报。若对资料保护法的适用存有疑问，专员应征求资料保护机构的意见。专员应对资料控制者实施的处理进行登记。此外，若存在理由怀疑处理中的个人资料不准确或不完整，专员应帮助资料当事人修改资料。⁽⁴²¹⁾

除德国、荷兰与瑞典法外，比利时法也规定，对具有特殊风险的资料处理，国家可通过立法允许资料控制者单独或与其他控制者共同任命资料保护专员，由专员以独立的方式确保法律的实施。⁽⁴²²⁾奥地利、丹麦、法国、希腊、意大利、葡萄牙、西班牙和英国法等均未规定内部资料保护专员制度。当然，这并不意味着这些国家的资料控制者不可指定资料保护专员，但离开法律规定，专员就不具有法定的性质、地位和权责。

内部资料保护专员制度是监督资料保护法实施的有效途径。专员具有丰富的知识和经验，处于资料处理活动的第一线，具有第一手的资料和信息，更了解资料控制者或行业组织实施的资料处理的具体情况，可因地制宜地提出更可行的指导、意见和建议。当然，内部资料保护专员制度也存在不足之处。他由控制者或私人行业组织任命，对资料控制者负责，这不免影响到其独立性和可靠性。专员与资料保护机构在职责分配与协作上也不免存在冲突。

专员能否有效地监督资料控制者依法实施资料处理主要取决于两个因素:一是其自身的独立性，二是其与国家资料保护机构间的关系。法律应尽量确保专员的独立性，保证其不因行使资料保护职责而遭受不利。国家资料保护机构可在专员的任命、辞退和更换上加强监管。此外，资料保护机构与专员应建立监督和相互协助的关系。控制者应向资料保护机构通报内部专员的任命情况，资料保护机构应积极地协助和监督专员的活动。同时，专员应向资料保护机构通报非法资料处理活动，传递必要的信息。由此，作为国家公权力的资料保护机构不仅可以直接介入资料控制者的资料处理行为，也能够通过对专员的监管与合作，间接地监督资料保护法的实施。

【注释】

(1)对某些问题，本书也比较了其他相关的国际和国内立法。

(2)Loi n°78-17 du 6 Janvier 1978 relativeàl'informatique，aux fichiers et aux libertés，Loi n°2006-64 du 23 janvier 2006，Article 1er．

(3)Directive 95/46/EC，Recitals，para．10．

(4)European Convention on the Protection of Human Rights and Fundamental Freedoms，Art．8(1)．

(5)Directive 95/46/EC，Art．1(1)．

(6)Charter of Fundamental Rights of the European Union，Art．7．

(7)Charter of Fundamental Rights of the European Union，Art．8．

(8)The Constitution of the Kingdom of the Netherlands 2002，Art．10．

(9)Greek DPA 1997，Art．1．

(10)The Constitution of Greece，as revised by the parliamentary resolution of April 6th 2001 of the VIIth Revisionary Parliament，Art．9(1)．

(11)The Constitution of the Portuguese Republic，Fourthe Revision，1997，Art．2．

(12)葡萄牙宪法规定:“1)所有公民均有权查阅与其相关的任何计算机资料，对资料的使用目的具有知情权。他们有权要求查阅资料的内容，并对其进行修正和更新;2)法律应规定个人资料的范围，以及自动化处理、转移和使用的条件，并应通过独立的行政机构确保法律的实施;3)除非资料当事人明确同意，或经法律授权且对非歧视提供了保障的情况下，或为了统计的目的且不识别具体个人的情况下，才得收集和使用有关个人信仰或政治观点、党派或工会组织关系、私人生活或民族本源的信息;4)除法律规定的特殊情形外，不得向第三人披露个人资料;5)不得为公民发放用于所有目的的全国性身份编号;6)人人均有权免费查阅公共信息网络，法律应制定适用于跨境资料流动的规则，对个人资料提供适当的保护，并应保障相关的国家利益;7)以手动方式保存的资料档案依法受到同等保护。”The Constitution of the Portuguese Republic，Fourthe Revision，1997，Art．35．

(13)Constitution of Spain，27 August 1992，Art．18．

(14)波兰现行的《个人资料保护法》也明确指出个人享有资料保护权。Act of 29 August 1997 on the Protection of Personal Data，Art．1．

(15)Bundesgesetzüber den Schutz personenbezogener Daten，Datenschutzgesetz，2000．

(16)Federal Constitution of the Swiss Confederation，18 April 1999，as amended on 15 October 2002，Art．13．

(17)Basic Law for the Federal Republic of Germany(Grundgesetz，GG)，amended on 23 September 1990，Artt．1 ＆ 2．

(18)German BDSG 2006，Art．1(1)．

(19)French LIFL 2006，Art．1．

(20)Italian PDPC 2003，§§1 ＆ 2(1)．

(21)Swedish PDA 1998，Art．1．

(22)Finnish PDA 1999，Art．1．

(23)Norway，Act Relating to the Processing of Personal Data(Personal Data Act)，No．31，14 April 2000，Art．1．

(24)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．98．

(25)APEC，Privacy Framework，Preamble，para．1．

(26)Directive 95/46/EC，Art．1(1)．

(27)C．o．E．Convention，Art．1．

(28)OECD Guidelines，Preface．

(29)Douwe Korff，Study on the Protection of the Rights and Interests of Legal Persons with regard to the Processing of Personal Data Relating to Such Persons(Study Contract ETD/97/B5-9500/78)，European Commission，Brussels，1999．

(30)Austrian DSG 2000，Art．1(1)．

(31)International Chamber of Commerce，Policy Statement on Privacy Legislation，Data Protection and Legal Persons，adopted by the Council of ICC in July 1984，in Transnational Data Report，Vol．11，No．7，1984，p．425．

(32)OECD Guidelines，Preface．

(33)OECD Guidelines，Explanatory Memo．，para．19．

(34)United Nations，Guidelines Concerning Computerized Personal Data Files，adopted by the General Assembly，14 December 1990，Art．10．

(35)根据《欧盟资料保护指令》第2条(a)，“个人资料”是指“与确定或可确定的自然人(“资料当事人”)相关的任何信息。”

(36)Directive 95/46/EC，Recitals，para．24．

(37)65 BVerfGE 1(1983)．《德国联邦资料保护法》并未直接提及个人信息自决权，而仍以保护个人隐私免受侵害为宗旨。Germany，Federal Data Protection Act(Bundesdatenschutzgesetz)，2006，Art．1．

(38)Greek DPA 1997，Art．1．

(39)Korff Douwe，Study on the Protection of the Rights and Interests of Legal Persons with regard to the Processing of Personal Data Relating to Such Persons，Study Contract ETD/97/B5-9500/78，European Commission，Brussels，1999，p．39．

(40)French LIFL 2006，Art．2．

(41)Belgian DPA 2003，Art．2 and Art．1(1);Duth DPA 1999，Art．1(a);Spainish DPA1999，Art．1 and Art．3(1);Portugese DPA 1998，Art．2 and Art．3(a)．

(42)Swedish DPA 1998，§1，§3．

(43)U．K．，DPA 1998，Art．1;Irish DPA 2003，Art．2(1)．

(44)Austria，Bundesgesetz vom 18 Oktober 1978über den Schutz personenbezogener Daten，Art．3．

(45)Austrian DSG 2000，Art．1(1)．

(46)Denmark，Lov om Private Registre m．v．，1978，Art.3(1)．

(47)Denmark，Lov om offentlige myndigheders register，1987，Art．1(3) ＆ Art．3(2)．

(48)Dennish DPA 2000，Art．3(1)．

(49)Italy，Law on the Protection of Individuals and Other Subjects with Regard to Processing of Personal Data(Legge 31 decembre 1996，n．675 tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali)，No．675，31 December 1996，Art．1．

(50)Italy，Personal Data Protection Code，Legislative Decree No．196，30 June 2003．

(51)Luxembourg，Loi du 31 mars 1979 reglementant l’utilisation des données nominatives dans les traitements informatiques，Journal Officiel du Grand-Duchédu Luxembourg A No．29，11 avril 1979，Art．1 ＆ 2．

(52)Luxembourg，Loi du 2 aot 2002 relative à la protection des personnes à l’égard du traitment des données à caractère personnel，Art．1 ＆ Art．2(e)．

(53)Norway，Act Relating to Personal Data Registers，9 June 1978．

(54)Norway，Act Relating to the Processing of Personal Data(Personal Data Act)，No．31，14 April 2000．

(55)Iceland，Act with regard to the Systematic Recording of Personal Data，No．39/1985，1985，Art．1．

(56)Iceland，Act on the Protection of Privacy as regards the Processing of Personal Data，No．77/2000，May 10，2000，as amended by Act No．90/2001，Act No．30/2002，Act No．81/2002 and Act no．46/2003，Art．1．

(57)Switzerland，Federal Act on Data Protection，19 June 1992，Artt．1-3．

(58)Argentina，The Personal Data Protection Act，No．25．326，4 October 2000，Artt．1 ＆ 2．

(59)奥地利联邦议会主张将非自然人的资料纳入资料保护法的范围，并给出了两点理由:①与非自然人相关的信息可能最终关涉个人;②资料保护法旨在保护资料处理对人们的利益构成的整体性威胁。Frits W．Hondius，Emerging Data Protection in Europe，Amsterdam:North Holland Publishing Company，1975，p．98．

(60)Draft Articles for an International Convention for the Protection of Personal and Industrial Privacy and International Agreement for the Protection of the Personal and Industrial Sphere．欧洲理事会认为上述草案涉及的问题过多，并未对其采取进一步的行动。Frits W．Hondius，Emerging Data Protection in Europe，p．97．

(61)U．K．，Report of the Committee on Data Protection，Cmnd．7341(Chairman:Sir Norman Lindop)，London:HMSO，1978，para．18．42．

(62)Alan F．Westin，Privacy and Freedom，N．Y．:Atheneum，1967，p．7．

(63)D．Korff，Study on the Protection of the Rights and Interests of Legal Persons with regard to the Processing of Personal Data Relating to Such Persons，1999，p．43．

(64)Directive 95/46/EC，Art．15(1)．

(65)OECD Guidelines，Explanatory Memo．，para．32．

(66)I．N．Walden and R．N．Savage，Data Protection and Privacy Laws:Should Organizations be Protected，37 Int'l ＆ Comp．L．Q．337，343(1988)．

(67)OECD Guidelines，Explanatory Memo．，para．31．这些信息不属于个人资料，因为它们与自然人并不直接相关。M．E．Hogrebe，Legal Persons in European Data Protection Legislation:Past，Experiences，Present Trends and Future Issues(1981)，DSTI/ICCP/81．25．OECD，Paris，p．41．

(68)Australia，Report of the Australian Law Reform Commission on Privacy，A．L．R．C．22，1983，p．15．

(69)Lov om personregistre m．m av 9 juni 1978 no．48，Act of 9 June 1978 Relating to Personal Data Registers，Council of Europe Info．Doc．CJ-PD(86)26．

(70)J．P．Chamoux，Data Protection in Europe:The Problem of the Physical Person andthe Legal Person，2 Journal of Media Law and Practice 70，72(1981)．

(71)S．Dresner，Transborder Data Flows:Issues，Barriers and Corporate Responses，Business International Corporation Multiclient Study，1983，p．108．

(72)Report on the Protection of the Individual in the Face of the Technical Developments in Data Processing，1979-1980 Eur．Parl．Doc．(No．100)13，1979．

(73)OECD Guidelines，Appendix，para．3．

(74)International Chamber of Commerce，Policy Statement on Privacy Legislation，Data Protection and Legal Persons，adopted by the Council of ICC in July 1984，in Transnational Data Report，Vol．11，No．7，1984，p．425．

(75)U．K．，Lindop Report，1978，p．156．

(76)Frits W．Hondius，Emerging Data Protection in Europe，1975，p．98．

(77)U．K．，Lindop Report，1978，p．156．

(78)D．Korff，Study on the Protection of the Rights and Interests of Legal Persons with regard to the Processing of Personal Data Relating to Such Persons，1999，pp．57-59．

(79)Directive 95/46/EC，Art．6(1)(a)．

(80)Directive 95/46/EC，Recitals，para．28．

(81)例如，商家为了向消费者提供售后服务，可以收集和使用必要的个人信息，如姓名、住址和联系方式等。

(82)这主要是指资料处理为保护资料当事人的生命等至关重要的利益所必需。换言之，为保护某人的生命和健康，未经其同意，也可以收集和使用他的个人资料。Directive 95/46/EC，Recitals，para．31．多数成员国法也作出了类似的规定。例如，英国的信息专员认为，只有在资料处理关涉个人生死的情况下，才能够以保护资料当事人的重大利益为依据处理其个人资料。譬如，在资料当事人因车祸而受重伤时，可向医院披露资料当事人的病史资料。See U．K．，Information Commissioner，Guidance to Data Protection Act 1998 of the U．K．，p．20．

(83)Directive 95/46/EC，Art．7．

(84)French LIFL 2006 2006，Art．7;Greek DPA 1997，Art．5(1);Italian PDPC 2003，§23(1);Portuguese DPA 1998，Art．6;Spanish DPA 1999，Art．6(1);Swedish PDA 1998，§10．

(85)German BDSG 2006，Art．4(1)．

(86)Directive 95/46/EC，Art．2(h)．

(87)Austrian DSG 2000，§4(14);Belgian DPA 2003，Art．1(8);Dennish DPA 2000，Art．3(1)(8);Finnish PDA 1999，Art．3(7);German BDSG 2006，Art．4a;Greek DPA 1997，Art．2(k);Dutch DPA 1999，Art．1(i);Portuguese DPA 1998，Art．3(h);Swedish PDA 1998，§3．

(88)Irish DPA 2003，Art．2A(1)(a)．

(89)Dutch DPA 1999，Art．5．

(90)French LIFL 2006，Artt．56 ＆ 40．

(91)German BDSG 2006，Art．4a(1)．

(92)Greek DPA 1997，Art．2(k)．

(93)U．K．，Information Commissioner，Guidance to Data Protection Act 1998 of the U．K．，p．29．

(94)Directive 95/46/EC，Art．7(a) ＆ 8(2)(a)．

(95)Finnish PDA 1999，Art．8(1)(1)and Art．12(1)(1);Dutch DPA 1999，Art．8(a) and Art．23(1)(a);Portuguese DPA 1998，Art．6 and Art．7(2)．

(96)French LIFL 2006，Art．7 and Art．8(II)(1);German BDSG 2006，Art．4a;Swedish PDA 1998，§§10 ＆ 15;U．K．DPA 1998，Schedule 2(1)and Schedule 3(1)．

(97)Belgian DPA 2003，Art．5(a)and Art．6(2)(a);Spanish DPA 1999，Art．6(1) and Art．7(2)．

(98)Dennish DPA 2000，Art．6(1)(1)and Art．7(2)(1);Italian PDPC 2003，§23．

(99)German BDSG 2006，Art．4a．

(100)Dennish DPA 2000，Art．38;Dutch DPA 1999，Art．5．

(101)Austrian DSG 2000，§8(1);Greek DPA 1997，Art．2(k);Spanish DPA 1999，Art．6(3);Swedish PDA 1998，§12．

(102)Spanish DPA 1999，Art．6(1) ＆ (3)．

(103)Greek DPA 1997，Art．5(2)(d);Portuguese DPA 1998，Art．6(d);Swedish PDA 1998，§10(d) ＆ (e);Directive 95/46/EC，Art．7(e)．

(104)Directive 95/46/EC，Recitals，para．32．

(105)Dutch DPA 1999，Art．8(e);Spanish DPA 1999，Art．6(2)．

(106)Austrian DSG 2000，§8(3)．

(107)Irish DPA 2003，Art．2A(1)(c)．

(108)U．K．DPA 1998，Schedule 2(5)．

(109)Directive 95/46/EC，Art．7(f)．

(110)Austrian DSG 2000，§8(1);Belgian DPA 2003，Art．5(f);Dennish DPA 2000，Art．6(1)(7);Dutch DPA 1999，Art．8(f);Portuguese DPA 1998，Art．6(1);Swedish PDA 1998，§10(f)．

(111)French LIFL 2006，Art．7(V);Irish DPA 2003，Art．2a(1)(d);U．K．DPA 1998，Schedule 2(6)．

(112)U．K．，Information Commissioner，Legal Guidance to the Data Protection Act of the U．K．1998，pp．20-21．

(113)Greek DPA 1997，Art．5(2)．

(114)Spanish DPA 1999，Art．6(2)．

(115)Italian PDPC 2003，§24(1)(g);Finnish PDA 1999，Art．43(1)．

(116)Spiros Simitis，Revisiting Sensitive Data，Review of the Answers to the Questionnaire of the Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data(ETS 108)，Strasbourg，24-26 November 1999．http://www.coe.int/t/e/legal_affairs/legal_cooperation/data_protection/documents/reports_and_studies_by_experts/Z-Report_Simitis_1999.asp．

(117)C．o．E．Convention，Explanatory Report，para．43．

(118)See Finnish PDA 1999，Art．11;Austrian DSG 2000，§4(2);Greek DPA 1997，Art．7;Irish DPA 2003，Artt．2 ＆ 4;Italian PDPC 2003，§4(1)(d)and Art．20;Portuguese DPA 1998，Art．7;Swedish PDA 1998，§13;and U．K．DPA 1998，Art．2 and Schedule 2．

(119)French LIFL 2006，Section 2 of Chapter II;German BDSG 2006，Art．3(9);Dutch DPA 1999，Section 2 of Chapter 2;and Spanish DPA 1999，Art．7．

(120)France，Loi n°78-17 du 6 janvier 1978 relative à l'informatique，aux fichiers et auxlibertés．

(121)Simitis Spiros，Revisiting Sensitive Data，Review of the Answers to the Questionnaire of the Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data(ETS 108)，Strasbourg，1999．

(122)C．o．E．Convention，Art．6．

(123)Directive 95/46/EC，Art．8．

(124)Austrian DSG 2000，§4(2)and§9;German BDSG 2006，Art．3(9)and Art．28;Swiss DPA 2000，Art．3(c)and Art．17;Norway，Personal Data Act 2000，1 January 2001，Artt．2 ＆ 9;Poland，Act on Personal Data Protection，29 August 1997，Art．27;Iceland，Act on the Protection and Processing of Personal Data，No．77/2000，1 January 2001，Art．2(8) ＆ (9);根据资料的敏感性，加拿大法规定了个人同意原则和保障原则的实质和形式要求。Canada，Personal Information Protection and Electronic Documents Act(PIPEDA)，2001，Schedule 1，4．3．4，4．3．6 ＆ 4．7;Argentina，Personal Data Protection Act，2000，Artt．2 ＆ 9;《澳门个人数据保护法》第7条。

(125)Directive 95/46/EC，Art．8(1)．

(126)Austrian DSG 2000，§4(2);Dennish DPA 2000，Art．7(1);French LIFL 2006，Art．8(I);German BDSG 2006，Art．3(9);Swedish PDA 1998，§13．

(127)Greek DPA 1997，Art．2(b);Finnish PDA 1999，Art．11．

(128)Italian PDPC 2003，§4(1)(d)．

(129)Belgian DPA 2003，Art．8(1);Spanish DPA 1999，Art．7(5);Dutch DPA 1999，Art．16;Swedish PDA 1998，§21;Irish DPA 2003，Art．2(d) ＆ (e);U．K．DPA 1998，Art．2(g) ＆ (h)．

(130)Portuguese DPA 1998，Art．7(1);Dutch DPA 1999，Art．21(4)．根据卢森堡法，个人健康资料为关于个人生理和心理健康状况的所有信息，包括基因资料。该法将健康资料界定为敏感资料，个人基因资料自然属于敏感资料的范畴。Luxembourg DPA 2002，Art．2(f)．

(131)Spiros Simitis，Revisiting Sensitive Data，1999．

(132)Council of Europe，Recommendation R(97)5 on the Protection of Medical Data，1997．

(133)Spiros Simitis，Revisiting Sensitive Data，1999．

(134)C．o．E．Convention，Explanatory Report，para．43 ＆ 48．

(135)Spiros Simitis，Revisiting Sensitive Data，1999．

(136)Directive 95/46/EC，Art．8(1)．

(137)French LIFL 2006，Art．8(I);Italian PDPC 2003，§4(1)(d);German BDSG 2006，Art．3(9);U．K．DPA 1998，Art．2．

(138)Korff Douwe，Comparative Summary of National Laws，EC Study on Implementation of Data Protection Directive，Study Contract ETD/2001/B5-3001/A/49，European Commission，Brussels，2002．

(139)Spiros Simitis，Revisiting Sensitive Data，1999．

(140)Rebecca Wong，Sensitive Data in the Online Environment:Time for a Change，10 J．Internet L．11(2007)．

(141)Lindqvist，Case C-101/01，ECJ，［2004］1 C．M．L．R．20．

(142)里贝卡(Rebecca Wong)也对此提出质疑，并主张通过两种方式界定和保护敏感资料:以资料处理目的为依据的方法与以资料处理的具体情形为依据的个案方式。See Rebecca Wong，Sensitive Data in the Online Environment，10 J．Internet L．11(2007)．

(143)成员国法可规定，即使资料当事人已表示同意，仍不得处理某些敏感资料。

(144)Directive 95/46/EC，Art．8(2)．

(145)西班牙法规定:“根据宪法第16条(2)，不得强制任何人表明其理想、宗教或信仰。对此类资料，应征求资料当事人的同意，且应告知他有权拒绝同意。”Spainish DPA 1999，Art．7(1)．

(146)Id．，Art．7(4)．

(147)Dennish DPA 2000，Art．7(8)．

(148)Austrian DSG 2000，§9(1)．

(149)Directive 95/46/EC，Art．7(a)and Art．8(2)(a)．

(150)Finnish PDA 1999，Art．8(1)(1)and Art．12(1)(1);Dutch DPA 1999，Art．8(a)and Art．23(1)(a);Portuguese DPA 1998，Art．6 and Art．7(2)．

(151)French LIFL 2006，Art．7 and Art．8(II)(1);German BDSG 2006，Art．4a;Swedish PDA 1998，§§10 ＆ 15;U．K．DPA 1998，Schedule 2(1)and Schedule 3(1)．

(152)Belgian DPA 2003，Art．5(a)and Art．6(2)(a);Spanish DPA 1999，Art．6(1) and Art．7(2)．

(153)Dennish DPA 2000，Art．6(1)(1)and Art．7(2)(1);Italian PDPC 2003，§23．

(154)Belgian DPA 2003，Art．6(2)(a);French LIFL 2006，Art．8(II)(1)．

(155)Greek DPA 1997，Art．7(2)(a)．

(156)Austrian DSG 2000，§8(1)(2)and§9(1);撤销同意是个人的一项资料权。Dennish DPA 2000，Art．38．;Greek DPA 1997，Art．2(k);Swedish PDA 1998，§12．根据西班牙法，资料当事人有权以正当理由撤销其对非敏感资料处理作出的同意。Spanish DPA 1999，Art．6(3)．

(157)Dennish DPA 2000，Art．7(2)(2)．《德国联邦资料保护法》第13条(2)(3)与第28条(6)(1)分别规定了公共和私人领域中处理敏感资料的上述例外情形。Greek DPA 1997，Art．2(b);Portuguese DPA 1998，Art．7(3)(a);Spanish DPA 1999，Art．7(6)．

(158)Finnish PDA 1999，Art．12(a);Swedish PDA 1998，§16(b)．实际上，自然人无法作出同意的意思表示无外乎指令规定的两种原因:法律上的意思表示能力欠缺与生理上的行为不能。

(159)Austrian DSG 2000，§9(1)．

(160)French LIFL 2006，Art．8(II)(2)．

(161)U．K．DPA 1998，Schedule 3(3)．

(162)Irish DPA 2003，Art．2B(1)(b)．

(163)《德国联邦资料保护法》第13条(2)(4)和第28条(6)(2)分别规定了公共和私人领域中处理敏感资料的例外情形。Dutch DPA 1999，Art．23(1)(d);Swedish PDA 1998，§15．

(164)Dennish DPA 2000，Art．7(2)(3);French LIFL 2006，Art．8(II)(4)．

(165)Finnish PDA 1999，Art．12(1)(2)．

(166)Portuguese DPA 1998，Art．7(3)(c)．

(167)U．K．DPA 1998，Schedule 3(5)．

(168)Belgian DPA 2003，Art．6(2)(f);Dennish DPA 2000，Art．7(2)(4);French LIFL 2006，Art．8(II)(5);Dutch DPA 1999，Art．23(1)(c);Swedish PDA 1998，§16(c)．

(169)Portuguese DPA 1998，Art．7(3)(c)．

(170)Austrian DSG 2000，§9(1)．

(171)German BDSG 2006，Art．28(6)(3)．

(172)U．K．DPA 1998，Schedule 3(6)．

(173)Austrian DSG 2000，§9(1);Finnish PDA 1999，Art．12(1)(7);French LIFL 2006，Art．8(II)(3)．

(174)Directive 95/46/EC，Art．8(5)．

(175)Finnish PDA 1999，Art．11(3);Greek DPA 1997，Art．2(b);U．K．DPA 1998，Art．2(g);Irish DPA 2003，Art．2(d)．

(176)Belgian DPA 2003，Art．8(1)．

(177)French LIFL 2006，Art．9．

(178)Directive 95/46/EC，Art．8(7)．

(179)Dennish DPA 2000，Art．11．

(180)Swedish PDA 1998，§22．

(181)Finnish PDA 1999，Art．13(1)．

(182)French LIFL 2006，Art．25(I)(6)．

(183)Id．，Art．27(I)(1)．

(184)Id．，Art．27(II)．

(185)Dennish DPA 2000，Art．50(1)(1);Greek DPA 1997，Art．7(3);German BDSG 2006，Art．4d(5)．

(186)Portuguese DPA 1998，Art．28(1)(1)．

(187)French LIFL 2006，Art．25．

(188)Luxembourg DPA 2002，Art．14．

(189)65 BVerfGE at 44．

(190)OECD Guidelines，Art．13．

(191)C．o．E．Convention，Art．8．

(192)APEC Privacy Framework，Art．23．

(193)根据亚太经合组织《隐私框架》第24条，在下列情形下，个人不得行使资料查阅和修改权:“1)相关的负担和费用不合理，或相对于个人隐私面临的风险不适当;2)由于法律或安全原因，或为了保护商业秘密，不得披露有关信息;3)可能侵害他人的信息隐私。”

(194)Directive 95/46/EC，Recitals，para．41．

(195)Directive 95/46/EC，Art．12．

(196)Austrian DSG 2000，§26(1);Dennish DPA 2000，Art．31(1);French LIFL 2006，Art．39(I)(1);Italian PDPC 2003，§7(1);Dutch DPA 1999，Art．35(1);Portuguese DPA 1998，Art．11(1)(a);Spanish DPA 1999，Art．15(1);Swedish PDA 1998，§26;U．K．DPA 1998，Art．7(1)(a)．

(197)Finnish PDA 1999，Art．26(1)．

(198)Greek DPA 1997，Art．12(1)．

(199)Directive 95/46/EC，Art．12．

(200)Austrian DSG 2000，§26(1);Dennish DPA 2000，Art．31(1);Finnish PDA 1999，Art．26;French LIFL 2006，Art．39(II);German BDSG 2006，Art．19(1)(2) ＆ (3); Greek DPA 1997，Art．12(2)(b);Italian PDPC 2003，§7(2)(b) ＆ (e);Dutch DPA 1999，Art．35(2);U．K．DPA 1998，Art．7(1)(b)(i) ＆ (ii)．

(201)Spanish DPA 1999，Art．15．

(202)Austrian DSG 2000，§26(1);French LIFL 2006，Art．39(III);Greek DPA 1997，Art．12(2)(c);Italian PDPC 2003，§7(2)(e)．

(203)Directive 95/46/EC，Art．12(a)．

(204)Austrian DSG 2000，§26(1);Dennish DPA 2000，Art．31(1) ＆ (4);French LIFL 2006，Art．39(I) ＆ (IV);Dutch DPA 1999，Art．35(2);Portuguese DPA 1998，Art．11(1)(b);U．K．DPA 1998，Art．7(1)(c)．

(205)Finnish PDA 1999，Art．26(1);German BDSG 2006，Art．19(1)(1);Italian PDPC 2003，§7(2)(a);Spanish DPA 1999，Art．15(1);Swedish PDA 1998，§26．

(206)Directive 95/46/EC，Art．15．

(207)Id．，Art．12．

(208)Finnish PDA 1999，Art．26(1);Greek DPA 1997，Art．12(2)(d);Italian PDPC 2003，§7(2)(c);Dutch DPA 1999，Art．35(4);Portuguese DPA 1998，Art．11(1)(c)．

(209)如根据《奥地利联邦资料保护法》第26条(3)，资料控制者可要求资料当事人进行必要的配合，以避免控制者耗费不当或过多的成本。若资料当事人未进行上述配合，控制者可拒绝提供信息。

(210)Finnish PDA 1999，Art．28(1)．

(211)U．K．DPA 1998，Art．7(2) ＆ (3)．

(212)Austrian DSG 2000，§26(4)．

(213)Finnish PDA 1999，Art．28(2)．

(214)Greek DPA 1997，Art．12(4)．

(215)Dennish DPA 2000，Art．34(1)．

(216)Directive 95/46/EC，Art．12(a)．

(217)Dutch DPA 1999，Art．35(1);Portuguese DPA 1998，Art．11(1)．

(218)Spanish DPA 1999，Art．15(3)．

(219)Dennish DPA 2000，Art．31(1)．

(220)Italian PDPC 2003，§9(5)．

(221)Finnish PDA 1999，Art．26(3)．

(222)Id．，Art．28(3)．

(223)Greek DPA 1997，Art．12(6)．

(224)Portuguese DPA 1998，Art．11(5)．

(225)Directive 95/46/EC，Art．13(1) ＆ (2)．

(226)Austrian DSG 2000，§26(2)．

(227)Finnish PDA 1999，Art．27(1)．

(228)French LIFL 2006，Art．39(II)．

(229)Greek DPA 1997，Art．12(5)．;Portuguese DPA 1998，Art．11(6)．

(230)German BDSG 2006，Art．19(2)-(4)．

(231)German BDSG 2006，Art．34(2)-(4)．

(232)根据欧盟《资料保护指令》，个人资料应准确，且在必要情形下得以更新。Directive 95/46/EC，Art．6(1)(d)．

(233)Id．，Art．12．

(234)Greek DPA 1997，Art．12(2)(e) ＆ (f);Italian PDPC 2003，§7(3)(a)，(b) ＆ (c);Portuguese DPA 1998，Art．11(1)(d)．

(235)Austrian DSG 2000，§27;French LIFL 2006，Art．40;U．K．DPA 1998，Art．14．《德国联邦资料保护法》第20条和第35条分别规定了公私领域内资料处理中个人资料的更正、删除和封存。

(236)Belgian DPA 2003，Art．12;Dennish DPA 2000，Art．37;Dutch DPA 1999，Art．36;Spanish DPA 1999，Art．16．

(237)Directive 95/46/EC，Art．12．

(238)Greek DPA 1997，Art．12(2)(e)．

(239)Dutch DPA 1999，Art．36(1)．

(240)Dennish DPA 2000，Art．37(1)．

(241)French LIFL 2006，Art．40．

(242)U．K．DPA 1998，Art．14(1) ＆ (4)．

(243)Italian PDPC 2003，§7(3)．

(244)Spanish DPA 1999，Art．16(2) ＆ (3)．

(245)Belgian DPA 2003，Art．12．

(246)Austrian DSG 2000，§27(1)，(3) ＆ (7)．

(247)German BDSG 2006，Art．20 and Art．35．

(248)Directive 95/46/EC，Art．6(1)(d)．

(249)Austrian DSG 2000，§27(1) ＆ (2)．

(250)French LIFL 2006，Art．40．

(251)Directive 95/46/EC，Art．12．

(252)Austrian DSG 2000，§27(8)．

(253)Dennish DPA 2000，Art．37(2);French LIFL 2006，Art．40;Greek DPA 1997，Art．12(2)(f);Italian PDPC 2003，§7(3)(c);Dutch DPA 1999，Art．38;Spanish DPA 1999，Art．16(4);U．K．DPA 1998，Art．4(3)，(5) ＆ (6)．

(254)Directive 95/46/EC，Art．14(1)．

(255)Directive 95/46/EC，Art．7(e)．

(256)Id．，Art．7(f)．指令还规定了依法处理个人资料的其他依据:a)资料当事人已明确表示同意;b)处理为履行资料当事人作为一方的合同，或应当事人要求执行订立合同的先行措施所必需;c)处理为控制者履行其法律义务所必需;d)处理为保护个人资料当事人的重大利益所必需。对第一种依据，资料当事人可通过撤销先前表示的同意，达到反对处理资料的效果。相对于指令第7条(e)和(f)规定的依据，若资料处理为履行资料当事人作为一方的合同，资料控制者履行其法定义务，或保护资料当事人的重大利益所必需，资料当事人往往更难证明该依据不具有合理与正当性。故，虽然成员国法对资料当事人行使反对权的情形与指令的规定不同，在实际适用中，指令所规定的两种情形下，资料当事人更容易证明资料处理不具有合法依据。Directive 95/46/EC，Art．7(a)-(d)．

(257)Dutch DPA 1999，Art．8(e) ＆ (f)．

(258)Id．，Art．40．

(259)U．K．DPA 1998，Art．10．

(260)Dennish DPA 2000，Art．35．

(261)Greek DPA 1997，Art．12(1)．

(262)Italian PDPC 2003，§7(4)(a)．

(263)French LIFL 2006，Art．38．

(264)Austrian DSG 2000，§28(1) ＆ (2)．

(265)Luxembourg DPA 2002，Art．30．

(266)Belgian DPA 2003，Art．12(1)．

(267)Id．，Art．5(b) ＆ (c)．

(268)Directive 95/46/EC，Art．14(b)．

(269)Italian PDPC 2003，§7(4)(b)and§140．

(270)German BDSG 2006，Art．28(4)．

(271)Spanish DPA 1999，Art．30．

(272)Finnish PDA 1999，Art．19．

(273)法国和比利时法规定，资料当事人有权反对控制者为了直接营销的目的处理其个人资料，无需任何其他依据。French LIFL 2006，Art．38;Belgian DPA 2003，Art．12(1);Greek DPA 1997，Art．13(3);Italian PDPC 2003，§7(4)(b);Swedish PDA 1998，§11;Spanish DPA 1999，Art．30(4);U．K．DPA 1998，Art．11．

(274)Dennish DPA 2000，Art．36．

(275)芬兰法分别规定了资料控制者为了直接营销的目的处理资料与披露资料和代表第三人使用资料两种情形。Finnish PDA 1999，Art．19(1) ＆ (2);Portuguese DPA 1998，Art．12(b);Dutch DPA 1999，Art．41．

(276)French LIFL 2006，Artt．1 ＆ 10．

(277)Directive 95/46/EC，Art．15(1) ＆ (2)．

(278)Comment on Art．16 of the Amended Proposal of the EU Data Protection Directive，p．26．

(279)Austrian DSG 2000，§49(1);Belgian DPA 2003，Art．12bis;German BDSG 2006，Art．6a(1);Finnish PDA 1999，Art．31;Dutch DPA 1999，Art．42(1);Portuguese DPA 1998，Art．13(1);Swedish PDA 1998，§29．

(280)Austrian DSG 2000，§49(2)．

(281)Finnish PDA 1999，Art．31(1)．

(282)Portuguese DPA 1998，Art．13(3)．

(283)German BDSG 2006，Art．6a(1) ＆ (2)．

(284)Greek DPA 1997，Art．14(1) ＆ (2)．

(285)French LIFL 2006，Art．10．

(286)Daniel J．Solove，Privacy and Power，53 Stan．L．Rev．1393，1434(2002)．

(287)Portuguese DPA 1998，Art．22(1)．

(288)如资料保护专员、隐私专员、资料保护委员会、资料保护公署、国家信息与自由委员会等。

(289)Heissisches Datenschutzgesetz，Gesetz und Verordungsblatt I(1970)．

(290)该法共17条，且大半关涉资料保护专员的任命、职权和运作。

(291)专员无权对个人提起的控诉作出判决。Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，p．46;Colin J．Bennett，Regulating Privacy:Data Protection and Public Policy in Europe and the United States，Cornell University Press，1992，p．77．

(292)Herbert Kurbert，Privacy-Data Protection:A German/EU Perspective，2000，pp．46-47．

(293)Spiros Simitis，Establishing Institutional Structures to Monitor and Enforce Data Protection，in OECD Policy Issues in Data Protection and Privacy，OECD Informatics Studies No．10，Paris，1976，pp．83-94．

(294)Bundesdatenschutzgesetz(BDSG)of 27 January 1977(BGB1．IS．201)．

(295)Datal gen，SFS 1973:289．

(296)Herbert Kurbert，Privacy-Data Protection"A German/European Perspective，2000，p．48．

(297)David H．Flaherty，Protecting Privacy in Surveillance Societies:The Republic of Germany，Sweden，France，Canada，and the United States，University of North Carolina Press，1989，p．94．

(298)U．K．，Home Office，Computers and Privacy，Cmnd．6335，London:HMSO，1975．

(299)U．K．，Home Office，Computers and Privacy，Cmnd．6335，London:HMSO，1975，p．9．

(300)U．K．，Home Office，Data Protection:The Government’s Proposals for Legislation，Cmnd．8539，London:HMSO，1982．

(301)Rosemary Jay and Angus Hamilton，Data Protection:Law and Practice，London: Sweet ＆ Maxwell，2003，pp．9-10．

(302)France，Loi n°78-17 du 6 janvier 1978 relative à l'informatique，aux fichiers et auxlibertés，1978．

(303)U．S．Senate，Federal Data Banks，Computers，and the Bill of Rights，Hearings before the Subcommittee on Constitutional Rights of the Committee on the Judiciary，Senate，92d Cong．，1^stsess．，1971．

(304)Priscilla M．Regan，Personal Information Policies in the United States and Britain:The Dilemma of Implementation Considerations，4 J．of Pub．Pol’y 19，25(1984)．

(305)U．S．，Senate，A Bill to Establish a Federal Privacy Board，S．3481，93d Cong．，2d sess．，1974．

(306)U．S．，Department of Health，Education，and Welfare，Records，Computers，and the Rights of Citizens，Report of the Secretary’s Advisory Committee on Automated Personal Data Systems，Washington，D．C．，1973，p．42．

(307)U．S．Congress，Legislative History of the Privacy Act of 1974，1976，p．773．

(308)U．S．，S．3418，Title I—Privacy Protection Commission，93d Cong．，2d sess．，21 November 1974，U．S．Congress，Legislative History of the Privacy Act of 1974，Washington，1976，pp．334-47．

(309)U．S．，House of Representatives，A Bill to Safeguard Individual Privacy from the Misuse of Federal Records，H．R．16373，93d Cong．，2d sess．，1974．

(310)David Flaherty，The Need for an American Privacy Protection Commission，1 Government Information Quarterly 235，239(1984)．

(311)U．S．，House of Representatives，A Bill to Safeguard Individual Privacy from the Misuse of Federal Records，H．R．16373，93d Cong．，2d sess．，1 November 1974．

(312)U．S．，Privacy Act 1974，§5(b)(1) ＆ (2)．

(313)Id．，§6(1) ＆ (2)．

(314)Michael James，Privacy and Human Rights，Aldershot，1994，p．3．

(315)Priscilla M．Regan，Legislating Privacy，1995;Joel R．Reidenberg，Setting Standardsfor Fair Information Practice in the U．S．Private Sector，80 Iowa L．Rev．497(1995);Daniel J．Solove，Privacy and Power，53 Stan．L．Rev．1393(2001);James P．Neuf，Recognizing the Societal Value in Information Privacy，78 Wash．L．Rev．1(2003)．

(316)U．S．，Privacy Working Group，Information Policy Committee，Information Infrastructure Task Force，Privacy and the National Information Infrastructure:Principles for Providing and Using Personal Information，6 June 1995．

(317)U．S．National Telecommunications and Information Administration，Department of Commerce，Privacy and the NII:Safeguarding Telecommunications-Related Personal Information，Washington D．C．，October 1995．

(318)William J．Clinton ＆ Albert Gore，Jr．，A Framework for Global Electronic Commerce，the White House，1 July 1997．

(319)①以私人行业为主导;②减少对电子商务的不当限制;③若政府有必要介入，应旨在协助和执行具有可预见性、最小化、一致性和简明的商务法律环境;④政府应认识到互联网的特质;⑤应从国际层面促进电子商务的发展。

(320)U．S．，FTC，Privacy Online:A Report to Congress，1998，Self-Regulation and Privacy Online:A Report to Congress，1999．

(321)U．S．，FTC，Privacy Online:A Report to Congress，1998，pp．42-43．委员会提交该报告四个月后，美国国会即通过了《儿童网上隐私保护法》(Children’s Online Privacy Protection Act of 1998，15 U．S．C．§§6501-06．)。U．S．，FTC，Privacy Online:Fair Information Practices in the Electronic Marketplace，A Report to Congress，May 2000．

(322)根据《资料保护指导规则》，成员国应通过制定法律法规或设立机构，保护个人的资料隐私和自由。OECD Guidelines，Art．19．

(323)《资料保护指导规则》规定:“各国应根据国内法律体系设立一机构，由其负责监督规则的实施。对资料处理的负责人或机构，该机构应确保公正性和独立性，并具有相应的技术能力。对违法行为，应规定刑事或其他制裁措施，为个人提供适当的救济手段。”United Nations，Guidelines Concerning Computerized Personal Data Files，adopted by the General Assembly，14 December 1990，Art．8．

(324)Directive 95/46/EC，Art．28．

(325)Council of Europe，Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows，Strasbourg，8 November 2001，Art．1．补充协定还根据欧盟《资料保护指令》修改了公约有关资料跨境流动的规定。Id．，Art．2．

(326)APEC，Privacy Framework，2005，para．31．相对于欧盟《资料保护指令》，《隐私框架》有关执行机制的规定相对宽松，它鼓励成员国根据本国国情采取资料保护机构外的其他途径，保护个人的信息隐私。

(327)Portuguese DPA 1998，Art．22(1)．

(328)Spanish DPA 1999，Art．35(1)．

(329)根据《资料保护指令》，资料保护机构在履行法定职责中应具有完全的独立性。Directive 95/46/EC，Art．28(1)．

(330)《资料保护公约》的补充协定要求监督机构完全独立地行使法定职责。Council ofEurope，Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows，Strasbourg，8 November 2001，para．3 and Art．1．

(331)如《法国信息、档案与自由法》第21条要求CNIL成员在行使职权过程中不得接受任何机构的任何命令。《荷兰资料保护法》第52条要求委员会在履行职责过程中保持中立。French LIFL 2006，Art．21;Dutch DPA 1999，Art．52．

(332)比利时资料保护委员会主席和副主席均由众议院(Chambre des Représentants)产生。Belgian DPA 2003，Art．23．

(333)意大利资料保护机构(Garante)的4名成员分别由参众两院选任，并独立自主地行动。Italian PDPC 2003，§153．

(334)瑞士资料保护专员由联邦委员会(Federal Council)任命，它应自主履行职责，并为了行政性的目的，依附于联邦司法与公安部。Swiss DPA 2000，Art．26．

(335)葡萄牙的资料保护委员会(CNPD)在议会下独立行使职权，其主席和其中两名成员由议会选任，所有成员均应向议会主席宣誓就职。

(336)丹麦资料保护委员会包括理事会和秘书处，前者由司法部设立，后者负责日常事务，委员会在行使其职权过程中应保持完全独立。Dennish DPA 2000，Artt．55 ＆ 56．

(337)荷兰资料保护委员会成员需经司法部长推荐，通过皇家决议任免。负责向委员会提出建议的咨询委员会成员，经委员会推荐，由司法部长任命。Dutch DPA 1999，Art．53．

(338)爱尔兰的资料保护专员由政府选任，并独立行使职责。

(339)㈠英国的资料保护专员由女王根据政府的建议任命。U．K．DPA 1998，Art．6．

(340)㈡与英国类似，卢森堡国家资料保护委员会成员由大公爵(le Grand-Duc)根据政府的建议任命。Luxembourg DPA 2002，Art．34．

(341)㈢始创于1302年，它是负责处理涉及公共事务案件的最高法院，对总统、内阁或议会向其呈送的国务问题和立法措施作出决定或提出建议。

(342)French LIFL 2006，Art．13．

(343)Portuguese DPA 1998，Art．25．

(344)French LIFL 2006，Art．14．

(345)Dutch DPA 1999，Art．55(2)．

(346)German BDSG 2006，Art．23(2)．

(347)Commission of the European Communities，Analysis and Impact Study on the Implementation of Directive EC 95/46 in Member States，COM(2003)265，2003，p．38．

(348)欧盟依据《资料保护指令》设立了资料保护工作组(Art．29 Data Protection Working Party)。作为欧盟资料保护的智囊团，它负责对指令的具体实施及欧盟内外与资料保护有关的问题提出意见和建议。Directive 95/46/EC，Art．29．

(349)Spanish DPA 1999，Art．38．

(350)German BDSG 2006，Art．24(1)．

(351)Id．，Art．38(6)．

(352)Id．，Art．22．

(353)如柏林、拜仁和汉堡等州的资料保护机构一并监督公共和私人领域中的资料处理活动。

(354)Austrian DSG 2000，§§35-42．

(355)Directive 95/46/EC，Recitals，para．62．

(356)Commission of the European Communities，Analysis and Impact Study on the Implementation of Directive EC 95/46 in Member States，COM(2003)265，p．38．

(357)Directive 95/46/EC，Art．28(2) ＆ (5)．

(358)欧盟成员国除对内公布年度报告外，还向欧盟委员会提交报告。各国报告详见欧盟官方网站。

(359)Directive 95/46/EC，Art．28(4)．

(360)Dennish DPA 2000，Art．40;French LIFL 2006，Art．11(II)(3);Greek DPA 1997，Art．19(1)(m);Portuguese DPA 1998，Art．23(1)(k);and Spanish DPA 1999，Art．37．

(361)Finnish PDA 1999，Art．40(2)，Art．28(2)and Art．29(2)．

(362)Austrian DSG 2000，§31．

(363)Italian PDPC 2003，§§145-152．

(364)Belgian DPA 2003，Art．31．

(365)Directive 95/46/EC，Art．28(3)．

(366)Id．，Art．28(6)．

(367)Austrian DSG 2000，§30．

(368)Dennish DPA 2000，Art．58．

(369)Dennish DPA 2000，Art．62．

(370)French LIFL 2006，Art．44．

(371)Italian PDPC 2003，§158(3)．

(372)Dutch DPA 1999，Art．60．

(373)Id．，Art．61(2)．

(374)Directive 95/46/EC，Art．28(3)．

(375)Dennish DPA 2000，Art．59．

(376)Finnish PDA 1999，Art．44．

(377)瑞典资料保护机构只得向其所在地的行政法院提出申请，由法院决定是否删除资料。Swedish PDA 1998，§47．

(378)French LIFL 2006，Artt．44 ＆ 45．

(379)Dutch DPA 1999，Art．66．

(380)如奥地利、丹麦、意大利、荷兰与葡萄牙等。

(381)Directive 95/46/EC，Art．28(3)．

(382)这不包括刑事犯罪及被告对资料保护机构的决定提出异议。

(383)Austrian DSG 2000，§32(5) ＆ (6)．

(384)Id．，§§51 ＆ 52．

(385)German BDSG 2006，Art．44(2)．

(386)French LIFL 2006，Art．11(II)(5)and Art．52．

(387)OECD，Report on Cross-Border Enforcement of Privacy Laws，2006．

(388)U．K．DPA 1998，Art．51(7)．

(389)Bundesdatenschutzgesetz(BDSG)of 27 January 1977(BGB1．IS．201)．

(390)German BDSG 2006，Artt．4(f) ＆ 4(g)．

(391)Directive 95/46/EC，Art．18(2)．

(392)他由控制者或私人行业组织任命，对资料控制者负责，这不免影响其独立性和可靠性。专员与资料保护机构在职责分配与协作上也不免存在冲突。

(393)Directive 95/46/EC，Art．27．

(394)Dutch DPA 1999，Artt．25 ＆ 26．

(395)详见荷兰资料保护委员会官方网站。http://www.dutchdpa.nl．

(396)Directive 95/46/EC，Art．18．

(397)资料当事人已明确表示同意;处理为控制者履行劳动法领域内的义务与行使特定权利所必需;处理为保护资料当事人或他人的重大利益所必需，且资料当事人在生理上或法律上无能力表示同意;经资料当事人同意，由具有政治、哲学、宗教或工会性质的非营利法人或机构，在其正当活动范围内处理资料，只要该处理仅涉及这些机构的成员或基于有关实体的宗旨与他们有定期接触的人士，且未经资料当事人同意不得向第三人披露该资料;或处理涉及的资料明显已为资料当事人公开，或处理为提出、行使或维护法律请求所必需。Directive 95/46/EC，Art．18．

(398)Swedish PDA 1998，§§36-39．

(399)资料控制者可依法指定资料保护专员，由他负责监督其内部的资料处理活动。Dutch DPA 1999，Artt．27(1) ＆ 62．

(400)German BDSG 2006，Art．4d．

(401)French LIFL 2006，Art．22(III)．

(402)Douwe Korff，Comparative Survey of National Laws，p．168．

(403)Austrian DSG 2000，§17．

(404)Dutch DPA 1999，Art．29．See Douwe Korff，Comparative Survey of National Laws，p．169．

(405)Portuguese DPA 1998，Art．27．

(406)U．K．DPA 1998，Art．17．

(407)Directive 95/46/EC，Art．21．

(408)Id．，Art．19．

(409)Swedish PDA 1998，§36;U．K．DPA 1998，Art．16;Austrian DSG 2000，§19(1);Luxembourg DPA 2002，Art．13;Belgian DPA 2003，Art．17(3);Dennish DPA 2000，Art．43(2);Greek DPA 1997，Art．6;Finnish PDA 1999，Art．36;Portuguese DPA 1998，Art．27;Spanish DPA 1999，Art．26．

(410)Directive 95/46/EC，Recitals，para．53．

(411)Directive 95/46/EC，Art．20．

(412)Directive 95/46/EC，Recitals，para．54．

(413)Austrian DSG 2000，§18(2);Dennish DPA 2000，Art．45;Greek DPA 1997，Artt．7 ＆ 8;German BDSG 2006，Art．4d(5) ＆ (6);Italian PDPC 2003，§26(1)．

(414)Portuguese DPA 1998，Art．28．

(415)Swedish PDA 1998，§41;Spanish DPA 1999，Art．26．

(416)French LIFL 2006，Art．25．

(417)Directive 95/46/EC，Art．18(2)．

(418)German BDSG 2006，Art．4f．

(419)Id.，Art．4g．

(420)Dutch DPA 1999，Artt．62-64．

(421)Swedish PDA 1998，§§37-40．

(422)Belgian DPA 2003，Art．17bis．