英语原文共 16 页,剩余内容已隐藏,支付完成后下载完整资料
公共部门信息(PSI)再利用之个人数据及隐私的保护
CRISTINA DOS SANTOS
摘要:PSI指令引用了一些数据保护指令,以确认在允许重复使用个人数据的情况下,隐私和数据保护的基本权利得到尊重。然而,这些引用含糊不清,不足以避免整个成员国在使用PSI指令时的不协调和公共机构之间的使用不一致。本文建议对PSI指令的审查应更多地提及数据保护的义务和权利。首先,欧盟委员会应参照2012年4月的EDPS意见进行审查,其次,第29条工作组是讨论此类问题的最佳选择,因为它负责确保成员国当局之间就数据保护问题达成统一意见。
关键字:PSI、数据保护、隐私、个人数据再利用、透明度、数据保护法律框架改革
1.主要问题
公共部门收集、生成、复制和传播许多活动领域的广泛信息,如社会、经济、地理、气象、旅游、商业、专利和教育信息(第2003/98/EC1号指令第4条说明,以下简称“PSI指令”)。根据第95/46/EC2号指令第2(a)条(下称'数据保护指令')的规定,大量信息可视为'个人数据'。其中规定,lsquo;个人数据rsquo;一词系指“与已识别或可识别的自然人(lsquo;数据主体rsquo;)有关的任何信息;可识别的人指可以直接或间接识别的人,特别是指可通过身份证号码或与其身体、生理、心理、经济、文化或社会身份有关的一个或多个具体因素来识别的人”。这意味着,在重复使用个人数据时,必须适用这两项立法的规定。
PSI指令在以下条款中提到了数据保护规则:第(21)条说明,第1(4)条和第2(5)条。根据这些条款,并且鉴于数据保护指令已为处理个人数据提供法律架构,我们得出的第一个结论是,其实没有必要审查PSI指令的这些条款,因为它已经通过明确引用数据保护指令来保证遵守数据保护原则。但是,在欧洲公共部门信息法律方面的专题网络(以下简称lsquo;LAPSTrsquo;)3中,我们受邀在未来修订PSI指令的过程中向欧盟委员会提供援助,该网络创建了不同的工作组4。
实际上,我们注意到,一些成员国在数据保护方面已经转换了PSI指令,要么是通过在允许重复使用数据之前强制实施个人数据的“匿名”(例如比利时PSI法律5),要么是从数据主体处获得早期“正式同意”。其他一些成员国结合了这两种解决方案以及第三种解决方案:法律文本必须允许再利用公共机构拥有的个人数据(例如法国和斯洛文尼亚)。如果未采用上述解决办法,还有一种可能,就是必须事先获得国家数据保护部门(以下简称lsquo;DPAsrsquo;)的批准。这些做法阻碍了潜在信息市场的发展,并造成了成员国中的特例,同时也在法律上给潜在的个人数据'跨界再用户'带来了更大的不确定性。通过在新的PSI指令条款中进一步提及数据保护义务和权利,可以避免这些不公平现象。
2.所涉利益各方
2.1.客体:市场和民主
尽管PSI指令的目的显然是为了增强欧洲内部市场的潜力,促进欧洲“内容产业6”的发展,以及将“知识权”扩展为民主基本原则7,我们仍需要考虑数据保护和尊重隐私的权利,因为它们是基本人权,产生于欧洲各法律文书8和欧洲人权法院(ECHR)9和欧洲法院(EJC)10的广泛判例法。因此,在处理个人数据时,即使是为了开发PSI再利用的市场,也必须尊重数据保护规则。由于之前的PSI指令有关陈述11甚至没有将PSI的再利用作为成员国和公共机构的一项义务,在该法律框架内,即使是PSI再利用本身也并视为一项“权利”。因此,在危及个人数据时,很难在两项“权利”之间进行确切的“平衡测试”12,以在适用两项指令时实现恰如其分的平衡。相反,PSI指令表述第(21)条证实了这样一个事实,即在重复使用的情况下,我们必须完全尊重数据保护立法。
然而,欧盟委员会关于修改PSI指令的新提案中引入了“PSI再利用权”13原则,这将使得这两项立法的适用变得更加混乱。当然,如果有更多的欧洲法院的判例法肯定会有所助益,这样就能理解如何处理这两个问题,即欧洲议会和欧洲理事会是否接受新的PSI指令14。
2.2.主体:PSI生成者、持有者、使用者和再利用者
一方面,必须考虑到PSI生成者和/或持有者的立场。公共机关和机构收集大量个人数据(例如公民身份资料、婚姻状况、健康资料、社会资料等),并生成、复制和传播这些数据,以便为公众利益履行其公共职责。从数据保护指令的角度来看,公共部门机构必须被视为个人数据的'第一控制者'15。因此,他们有义务遵守该指令的所有规定,并确保所有数据主体16的权利。另一方面,从公共部门信息(通常包括个人数据)的现有用户或潜在再用户的角度来看,成功的再利用可能意味着获得与特定个人有关的信息,在必须更多地了解公职人员活动的情况下更是如此。因此,再利用个人数据以及所有其他信息是提高公民、民间社会团体和非营利组织民主参与价值的关键。阻碍自由获取和再利用所有个人数据(不仅涉及公民的个人数据,而且涉及公务员/公职人员的数据)的障碍,可能会严重阻碍PSI再利用市场的发展。同样,获取信息(属于每个成员国的信息自由制度)以及PSI利用或再利用之间的界限极其狭窄和复杂,难以界定17。这是由于:再利用的定义不仅仅包括PSI 商业利用,也包括非商业再利用。
3.受现行法律保护的权益
先前的PSI指令有关陈述表明,在开发包含个人数据的PSI再利用市场时,遵守数据保护规则非常重要。修改PSI指令的新提案并未改变这一事实。实际上,在数据质量控制者方面,公共机构仍然必须遵守尚有效力的数据保护指令规定的所有义务和原则,即:个人数据处理的合法性(个人数据处理必须合理合法);相称性原则(个人数据处理必须充分、相关,且不得过于收集数据的目的);目的限制原则(个人数据收集仅用于指定、明确和合法目的,不得以与此目的相违背的方式处理);数据质量(数据必须准确,如有必要需不断更新)18;保存时间(或保留期),即允许数据主体的识别时间不超过收集数据所需要的时间(第6(1)条)。这些规定严重限制了包括个人数据的公共部门信息再利用的可能性。实际上,如果允许重复利用个人数据,再利用者可能也会成为数据控制者(用于与再利用相关的新数据处理19),并且会受制于数据保护立法中所有义务和权利的约束。
数据保护指令第7条还为个人数据处理合法性提供了有限标准。公共机构(PSI持有者)和潜在的再利用者也必须服从他们的控制,例如:获得数据主体的明确同意;或证明有必要处理数据,包括为履行数据主体所涉合同或在签订合同之前应当事人要求采取措施;或证明有必要履行控制者所承担的法律义务20;或证明有必要保护数据主体的重大利益;或证明有必要为执行一项出于公共利益的任务21或行使授予控制者或披露数据的第三方的官方权力而处理数据;或证明有必要保护控制者或披露信息的第三方或各当事方所追求的合法利益,排除此种利益被数据主体的基本权利和自由(受[数据保护指令]第1条第(1)款的保护)所取代的情况。
还有一些特殊数据,从处理原则上来看,这些数据为数据保护指令第8条所禁止,例如:显示种族或族裔出身、政治观点、宗教或哲学信仰、工会成员资格的个人数据;或有关健康或性生活的数据(即'敏感数据')。只有与同款条例中第2至第5段承认的有限例外情况相一致的情况下,才允许处理此类数据。此外,必须考虑到,数据控制者有义务向数据主体提供明确的信息,以尊重他们的权利,例如:数据获取权,纠正权,当数据处理不符合数据保护指令规定(第12条)时拥有的删除或阻止数据披露权,以及反对处理个人数据的权利。
4.LAPST WG2成员23确定的解决方案
PSI指令应包含更多的数据保护指令中规定的义务
4.1.第7条(关于透明度):
现行PSI指令第7条建议'任何适用条件(.)应预先确定并公布',而新指令中认为应该是由PSI持有者建立一个明确和(如果可能的话)具体的“隐私政策”或“信息文件”。
4.2. 第8条(关于许可证):
现行PSI指令第8条规定“公共部门机构(.)可酌情通过许可证规定条件,处理有关问题(.)',而新指令在公共机构建立许可证时应提醒尊重隐私原则以及特定条款中的义务(例如数据处理的合法性、相称性和目的性原则,保存时间,告知数据控制者、数据接受者的必要性)。
4.3.其他可能的变化
在PSI指令中应增加引用(例如新段落),包括:数据主体的信息义务(当其个人数据要求再利用时);主要数据保护原则;再利用个人数据时要求的匿名程度(或不要求),允许的再利用目的(以及在什么条件下)。此外,新PSI指令应明确每个“参与者”(每个个人数据处理中的数据控制者和数据处理者)的责任。最后,如果创建新的'PSI权威'再利用(目前的审查建议似乎是这种情况),则应添加(例如通过引进新条款)关于DPAS和/或其他国家'监督机构'(例如竞争管理机构、准入管理机构等)的存在,其已经监测数据保护和隐私问题和/或其他规则的执行情况,至少应该考虑到它们的存在。此外,新提案应包括一项特定条款,来处理这些当局之间在不同问题(例如准入和再使用、再使用和竞争、再使用和隐私等)上的'协作'/合作。
5.法律问题:
5.1.规则存在但尚不明确:需要澄清规则
如前文所述,PSI指令明确提到了数据保护立法。然而,解决因再利用包含个人数据的PSI指令产生的问题,不仅是为了修改PSI指令的某些点,其主要目的还在于就使用公共机构所掌握的信息与尊重个人数据之间的'紧张关系'展开全球辩论。这种辩论的结果可以引入PSI指令的一般方法中。此外,对于我们工作组的一些成员来说,仍然有各种观点值得PSI指令审查者给予更多的关注。
对我们中的一些人来说,应该更好地区分获取公共信息24、获取个人数据25和获取用于再利用的PSI指令等方面(从理论角度看,这一点是清楚的,但在实践中却越来越混乱)之间的差异。由于对PSI的再利用并不总是有商业目的,这一特点大大增加了上述不同类型的“获取”公共机构所拥有的信息之间的“混乱”。
对另一些人来说,另一个问题来自于一些国家的法律在这一领域采用了PSI指令,但在定义“匿名”及其定级方面也存在问题。(如果存在)那这个词的“通用含义”是什么。这当然具有挑战性,因为有时即使某些信息是'正式被匿名'(因此不需要适用数据保护指令27),但是还是需要进一步查明个人身份(例如,某些地理信息与其他数据结合起来,就可以查明人的具体身份)。匿名是一个功能概念,更具技术挑战性。(从技术角度)立法者不能准确说明匿名是什么以及如何实现匿名,但对于个人数据的特定类别28等仍应该要求匿名(或一种特定的匿名)。我们可建议将匿名方式作为公共机构收集个人数据的'默认规则',以方便处理这些数据(包括数据的再利用),但不作为再利用的必要条件(正如一些成员国的PSI立法所做的那样),因为它超出了数据保护立法所规定的规则29。另外还应考虑到第29条工作组30(下称'A29 WP')已经作出澄清,'匿名必须是完全不可逆转的,数据保护指令才能不再适用'31。然而,我们不确定这一解决方案是否应该在PSI指令中而不是在数据保护指令和/或关于PSI数据保护和再利用的国家立法中引入。
最后,从我们的主要观点来看,第29条工作组是解决此类问题的“最佳选择”,因为它负责确保各成员国国家数据保护当局(DPAS)对指令作出统一解释。事实上,这是一个将数据保护原则应用于实践的问题,这一研究才刚刚起步。因此,第29条工作组促使我们围绕这一主题进行讨论,从而对再利用情况下的数据保护要求作出统一解释。同时也需要调整和更新第29条工作组关于PSI再利用的工作文件,尤其是它在2003年发布的关于再利用公共部门信息和保护个人数据32的意见。这份工作文件强调了欧盟委员会应该考虑的一些要点33,这些要点应该在第29条工作组之前更新。
此外,欧盟委员会应要求第29条工作组就上述一些关键问题提供更明确的指导。
5.1.1.再利用个人数据时遵守目的原则:
原则上,再利用者无须说明为何需要该数据,但在再利用个人数据的情况下,按照数据保护指令,这是一项必须履行的基本规定。对再利用目的进行说明,对于评估该目的是否与收集数据的最初目的相容十分必要。再利用的通用性并非相容目的,但再利用者应声明具体的再利用目的34,以便让控制者(例如公共管理当局)批准该再利用。人们应区分何时可以访问个人数据,何时允许进一步使用(例如出于新闻或历史原因),以及何时可以再利用(这样目的原则才适用于新的数据处理)。
5.1.2.再利用个人数据时遵守相称性原则:
在允许再利用个人数据时:为了解是否遵守相称性原则,还必须事先向数据主体提供PSI持有者('第一数据控制者')的信息,说明再利用情况下数据处理的目的(关于遵守情况的控制者包括:数据第一收集者/'拥有者'----公共管理当局,或DPAS----当完成再利用处理的通知时35,甚至包括数据主体本人。如前所述,这一原则规定个人数据处理'必须是充分的、相关的,且不得过于收集和(或)进一步处理个人数据的目的'(数据保护指令第6(c)条)。
5.1.3.履行数据主体信息义务:应是“个人使用”还是“通用”?
公共机构可以通过在其网站上提供明确的'隐私政策'来履行这一义务,其可以提供已处理数据的再
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[21202],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
