【数据法学】裴炜：互联网时代个人数据概念重构及保障性规范探索——以欧洲相关制度和判例为视角

B D A I L C 

 欢 迎 关 注 

网络时代如何有效保护个人数据以及由此衍生出的相关权益，是现代社会治理必须思考的问题。在过去近十年的时间里，以《欧洲人权公约》第八条为基础，结合欧盟及欧洲地区相关规则，通过大量案例，欧洲对互联网语境下个人数据的定义、可能的侵害或干预形式、以及相应的保护原则和措施进行了探索。我国正处于互联网秩序建立的初期，这些探索所形成的成果对于在变革时期如何形成后发优势具有重要的借鉴意义。在宏观层面应当建立权力重构语境下的治理思维；在微观层面应当将个人数据类型化，并基于比例原则和国家的积极义务进行具体的保障机制构建。

Shelley Steer

——以欧洲相关制度和判例为视角

荷兰伊拉斯姆斯大学法学博士 裴炜

一、引言

互联网的发展为社会治理带来了诸多挑战，而其中关键的一项是如何在充分发挥数据效用与保护个人隐私达到平衡。以中国当前的互联网发展为例，一方面可以看到的是以大数据为代表的数据用途不断开发，以及在此基础上兴起的有关数据产权界定、国家数据或网络安全、数据共享模式等方面的探索热潮。2015年贵阳建立起第一家大数据交易所，将这种潮流推向了一个新的阶段。另一方面，个人数据保护在进入各种规范性文件的同时，尚未发展出成形的理论体系和细化的保障机制。国务院信息办公室在2003年就已经委托中国社会科学院法学所就个人数据保护进行立法研究，2012 年全国人民代表大会常务委员会制定《关于加强网络信息保护的决定》将这一议题提升到国家政策的高度，行政管理部门[1]与司法机关[2]纷纷发文加以响应，2015年《刑法修正案（九）》也正式将网络谣传、泄露个人信息等行为入罪。但是时至今日，个人信息保护的专门立法仍在酝酿过程中。

通过审视这些涉及个人信息保护的文件，可以发现以下四个重要缺陷，一是对于“个人数据”这一概念的界定并不明确，2014年工信部出台的《大数据白皮书》就提到大数据使得许多原先与个人身份联系微弱的数据可以转化为个人数据；二是没有根据所涉权利性质区分不同类型的个人数据，而这种区分可能直接影响到后续责任的认定；三是治理对象主要集中在网络服务提供商上，以规范商业行为为主要出发点，并未考虑个人数据可能被存储、利用的其他情形；四是尚未形成立体化、综合性的责任体系，个人数据保护多止步于原则，具体治理规则不明确。

应用层面的狂欢与保护层面的黯淡，已经在现实社会中产生了问题，私人通讯信息、银行账户信息、医疗信息等的大规模泄露、不正当交易、人肉搜索、个人信息非法使用等等泛滥于媒体报道之中，[3]国家公权力行使过程中可能造成的对个人权益的侵犯也令人担忧。[4]面对这样一种局面，对个人信息或数据进行立法保护势在必行。从世界范围来看，相对于美国在互联网领域的领潮地位，欧洲在面对网络时代、信息时代的态度更显谨慎。过去几十年间，欧洲对于个人信息保护的严苛程度虽有所减弱，但每一次让步都是在制度细节上斤斤计较的结果，例如《欧洲基本权利宪章》（European Charter of Fundamental Rights）已经将“个人数据保护”（第八条）作为独立于“隐私和家庭生活”（第七条）的个人权利加以保障，而欧洲人权法院近些年来的判例更是将这种拉锯式的权利保障模式体现得淋漓尽致。鉴于我国目前法律体系在个人信息保护层面的弱势，如果贸然跟进美国的狂热潮流，有可能会导致互联网秩序的混乱。从这个角度讲，欧洲可能更能为我国构建“互联网+”时代下个人数据保护体系提供一个冷静且理性的思路。本文即是由此出发，通过对欧洲近十年来个人数据保护领域关键案件进行梳理，大致描绘出其在个人数据保护上的总体思路和具体做法，以供我国立法者与政策制定者加以借鉴。

在进行具体讨论之前，需要说明的一点是，本文中采用“个人数据”而非“个人信息”这一表述，主要是基于以下两层考量。首先是欧洲各类相关文件中普遍采用了“personal data”的概念，使用“数据”一词可以更为精准地与之对应。其次是“信息”一词强调数据转化为可被外界认知的、具有一定内容价值或功能的形态，强调的是使用阶段，但欧洲对于个人数据的保护已经溯及转化的前一阶段，单纯的存储行为本身已经可能构成对个人合法权益的侵犯，从这个角度讲，“数据”又比“信息”更能概括整个保护体系。

二、互联网语境下“个人数据”的概念重构

在欧洲的立法与司法实践中，个人数据保护与《欧洲保障人权和基本自由公约》（下文简称《公约》）第八条基于“私人和家庭生活、住所及通信”而形成的隐私权联系紧密。《公约》在第八条第二款从防止国家权力滥用的角度，规定了国家保护个人隐私权的消极义务以及例外情形，同时随着判例的不断发展，又逐渐衍生出国家的积极义务，这些义务我们将在后文做进一步分析。

尽管《公约》第八条通过欧洲人权法院的判例及相关司法实践，内容已大为丰富，但如何在互联网语境下界定个人数据的范畴，进而在此基础上识别出可能针对个人数据实施的侵害行为，以及针对此类行为的相应对策，仍然是一个挑战。针对个人数据的定义可以追溯到1981年欧洲委员会出台的《关于个人数据自动处理中个人权利公约》（下文简称“1981年《公约》”），其中第二条第一款将“个人数据”定义为“任何与已经识别出的或可识别的个人相关的信息”。就“可识别的个人”而言，1995年欧盟发布的《数据保护指令》（下文简称“1995年《指令》”）[5]做了进一步解释，即指“可以直接或者间接地通过身份证号码或身体、心理、思想、经济、文化或社会标识等因素加以识别的个人”。同时，1981年《公约》和1995年《指令》都对个人数据进行了类型划分，其中前者在第六条对特殊个人数据进行了列举，其中包括“种族渊源、政治观点、宗教或其他信仰、以及与个人健康或性生活相关的个人数据”。后者则在第八条进一步确认了“敏感个人数据”的分类，范围大致与1981年《公约》中的“特殊个人数据”相同，但加入了“过往机构成员身份”一项。

通过观察以上两个重要文件我们可以得出两个结论。其一是对于什么是“关键的”、“敏感的”、或者“重要的”个人数据，来自不同的文化历史背景的个人会得出不同的答案，例如对于中国公民而言，“宗教信仰”可能并不是一个特别敏感且私密的话题，但是性生活则通常属于隐私的范畴。对于敏感性的不同认知并不意味着没有必要区分普通个人数据和特殊个人数据，这涉及到第二个结论，即分类的必要性体现在当公权力干预个人隐私时，需要在个人数据所涉权利的本质属性与干预手段强度之间遵守比例原则。之所以得出这个结论，是因为1981年《公约》第六条的提出是以是否适用“自动处理”为标准的，换言之，针对特殊数据的处理必须更为谨慎，程序性保障更加完善。

欧洲人权法院在其判例中，对区分不同等级的数据的必要性进行了拓展，其中较为典型的一个案例是2008年的S. and Marper v. the United Kingdom一案。[6]本案中，警察在侦查犯罪过程中采集了申诉人（刑事案件犯罪嫌疑人）的指纹、细胞样本和DNA数据，申诉人在被判无罪之后要求警方销毁以上数据和材料，但被警方拒绝。法院通过参考独立调查机构纳菲尔德生物伦理学委员会（Nuffield Council on Bioethics）的报告，首先认为三类数据均属于1981年《公约》所称“个人数据”之范畴。其次，法院早在2005年的Van der Velden v. the Netherlands[7]一案中就对指纹、DNA数据和细胞样本在揭露个人信息的敏感程度上进行过区分，本案认为相对于指纹而言，后两者由于可能揭示种族、健康等敏感个人信息，对其进行存储和使用需要特别谨慎。基于此，法院最终判定对于这些数据的存储构成了对《公约》第八条的违反。

S. and Marper案以及相关案件的一个重要意义在于，它们将1981年《公约》的抽象文本与现实网络环境中的电子数据类型联系起来，而在这一联系过程中扮演关键角色的，是前文中已经提及的比例原则。由此引申到我国未来规则建立时进行数据分类，例如将与性有关的信息设定为敏感信息，则意味着需要在实践中以此为标准，对具体数据进行评价，并在此基础上判断侵犯行为的严重程度以及相应的行为主体的责任。考虑到现在居民身份证与指纹相绑定，这些生物数据未来如何合理合法使用，是立法者需要先行思考的问题。

通过结合欧洲各国相关立法，欧洲人权法院逐渐发展出了一系列判例来界定个人数据的范围。尽管存在如上分类，但不可否认的是，网络环境中数据的大规模分散式分布使得个人数据的范围边界并不清晰，许多单独来看不具有强烈个人属性的数据也有可能转换为个人数据。除以上Marper案中涉及到的生物信息以外，目前欧洲人权法院的判决主要关注到以下两类特殊数据。

第一类是全球定位系统数据（GPS），与之相关的代表性案件是2010年的Uzun v. Germany案。[8]本案中，申诉人被怀疑参与极端恐怖主义运动组织Antiimperialistische Zelle的犯罪活动，侦查人员在被怀疑是申诉人共犯的S的汽车里安装了GPS系统，对申诉人及其共犯进行追踪。法院认为，判断在公共场合记录的个人数据是否侵犯个人隐私，需要参照三个标准，一是是否形成对特定个人的数据采集；二是是否对改数据进行了处理或使用；三是是否以合理预期外的方式或程度公开这些数据。尽管GPS数据所暴露的个人信息少于直接监视或监听，但是符合以上三个标准的GPS监视仍然构成对个人隐私的侵犯。

第二类是电子邮件非内容信息和网络浏览痕迹。在2007年的Copland v. the United Kingdom案[9]中，申诉人在未被告知的情况下，其在工作场所使用电话、电子邮件及浏览网页的活动被其雇主监控。电话记录包括使用日期和时间、呼出号码、通话时长及费用；电子邮件监控涉及到收件地址、发件日期和时间；网络浏览监控则包括浏览历史、浏览时间、日期及时长。以上监控均不涉及具体的内容信息。法院认为即便在工作场所，雇员在未被告知并且无明确规定的情况下，对以上三种类型的数据均享有隐私权上的合理预期，因此雇主行为构成对《公约》第八条的违反。

随着网络空间的不断扩张，未来欧洲人权法院的判决有可能进一步扩张至其他特殊数据，例如大数据的使用、网页cookie的使用等等。万变不离其宗的是两个事项：一是需要立法对个人数据划定大致的范围，并且对其进行分层；二是在将这一范围或分层运用于具体案件中时，需要进行个案判断。

三、互联网语境中个人数据可能遭受的侵害

网络语境下有关个人数据的第二项立法及司法上的挑战来自于对于侵害行为的认定。通过分析相关规则和判例，我们可以大致将侵犯个人数据的行为划分为以下三大类型：数据监听监控、数据存留、数据公开或披露。下面分别对这三种类型进行分析。

（一）数据监听监控

对于个人数据的侵犯往往始于对于数据的监控。欧洲人权法院的早期判例主要集中在国家机关进行的秘密电话监听。[⑩]在过去几年时间里，这一领域的个人数据的保护受到了来自两方面因素的挑战。其一是互联网的高速发展，使得监听在客观层面变得更为容易。最近的一个案例是2016年的Bărbulescu v. Romania案，其中申诉人所在公司对公司网络使用制定了相关规定，为实施该规定，并为避免其职员滥用公司网络，该公司对包括申诉人在内的职员的网络通讯进行了监听。在这一过程中，该公司发现申诉人为私人目的使用了公司网络进行通讯，通讯内容涉及申诉人的性健康问题。基于此，该公司将申诉人开除。欧洲人权法院认为罗马尼亚的本国判决有效平衡了申诉人的隐私权和雇主利益，在规则明示的前提下，该监控行为并不构成对《公约》第八条的违反。

另一影响因素是恐怖主义威胁的加剧，该因素在主观层面提高了国家加强数据监控的意愿。2016年Szabó和Vissy就匈牙利2011年出台的一项有关反恐监控的立法向欧洲人权法院提起申诉，[11]该案集中体现了国家反恐和个人隐私保障之间的紧张关系。本案申诉人隶属于匈牙利一家非政府组织，该组织经常发布针对政府的批评意见。2012年申诉人向本国宪法法院申请对该立法的合宪性进行司法审查，但其诉求遭到驳回。欧洲人权法院审查后认为，在当前的反恐语境下政府不可避免地会使用包括网络在内的先进科技，并可能基于此实施大规模的数据监控。但是这种监控必须辅之以严格的程序性限制和救济措施，而这恰恰是匈牙利立法所欠缺的。因此法院认定匈牙利宪法法院的裁决构成对《公约》第八条的违反。

（二）数据存留

对个人数据的收集和保存同样可能构成侵权。早在1987年的Leander v. Sweden案[12]中，欧洲人权法院就明确单纯的存储行为本身即可能构成对个人数据的不当干涉。之后的判例进一步将这条基本原则发展为，存储是否干涉个人权利与其后续行为无关。[13]这一点在上文提及的Marper案中被进一步确认，尽管英国政府声称对个人生物信息的存储有助于犯罪侦破和预防，并为此提供了相关数据，但这些可能的用途并不能消除存储行为本身对于个人隐私的干涉。[14]

从存储行为的侵犯性衍生出的是，数据存储方有义务在合理期限内销毁个人数据，或在不销毁时进行去身份化的处理，[15]而对于这一义务的违反同样可能构成侵权。目前欧洲人权法院的相关判例主要涉及两个方面，一是上文提及的针对生物类信息的保存，另一类是对于违法或犯罪记录的保存。就后者而言，随着近年来欧洲国家纷纷开始搜集犯罪人信息并建立国家级数据库，以及欧盟框架下建立起的例如申根信息系统（Schengen Information System）、海关信息系统（Customs Information System）、签证信息系统（Visa Information System）和欧洲指纹数据库（European fingerprint database）等在内的数据共享体系，欧洲人权法院收到越来越多这方面的控诉，而判断是否构成对个人权利的不当侵犯通常取决于两个因素。第一个是是否存在真实有效的定期数据销毁机制。例如在2009年针对法国的两个案件中，[16]申诉人抗议国家数据库对性犯罪记录长达二十至三十年的保存，但鉴于法国设立了从数据库中删除数据的申请程序，法院最终没有认定申诉人的诉求。而在2012年的M.M. v. the United Kingdom，申请人则因英国未建立类似程序而胜诉。第二个因素是结合具体案情时对数据存留期限的考量。2014年的Brunet v. France案中，在警察终止对申诉人的刑事侦查后，申诉人的个人记录仍然被保存在警察数据库中，并将被持续保存二十年之久。由于没有明确的规定表明未被定罪的人如何申请删除该数据，法院认为“二十年”的期限实际上变得不确定，因此构成对个人数据的侵犯。

即便在数据存储的合理期限内，不恰当或不准确的记录同样可能构成侵权行为。例如在2011年的Khelili v. Switzerland案[17]中，警察在针对申诉人进行性犯罪侦查时，在电子系统中将申诉人的职业标注为“妓女”（prostitute）。申诉人后来并未因相关行为被定罪，但警察基于保安目的，拒绝修改申诉人的职业标签。法院最终认定该标签违反了《公约》相关规定。

（三）数据公开或披露

除单纯的存储行为以外，个人数据还有可能遭受违法披露和使用。其中较为典型的是非经当事人许可的信息公开，早期的一些有关电子数据的披露和扩散的案件已经显示出严重的危害性，而互联网使得信息扩散更加容易，危害也有可能更为严重。例如在2013年的P. and S. v. Poland[18]案中，申诉人因被强奸而怀孕，她向位于卢布林的医院申请堕胎许可，但未能获得医院支持，后者进而公布了将不进行堕胎手术的决定。由于堕胎在波兰仍然是一个敏感话题，医院的公示立即吸引了大量媒体，进而发展成了一场互联网上的大讨论。反堕胎人士向后来接收申诉人的华沙的一家医院发送了大量的电子邮件进行施压，他们甚至直接进入医院试图劝说申诉人。法院最终认定卢布林医院的个人信息披露行为既不合法也不符合公共利益，因此构成不当干预。

有些公开行为直接以犯罪为目的，从而导致更加严重的危害后果。以2008年的K.U. v. Finland案为例。[19]本案中，加害人在一个约会网站上擅自发布了当时年仅12周岁的申诉人的照片、年龄、出生日期、电话号码等信息，并其描述为正在寻找年长男性伴侣。申诉人因此频繁收到骚扰。本案引发了欧洲人权法院对于私人借助网络平台实施违法犯罪行为时，个人、网络服务平台及国家应当承担的义务和责任进行了探索。

网络服务提供商除提供商业服务以外，也经常因社会治理或维护公共安全的需要，应政府部门合法要求而提供客户数据，这种数据披露同样可能构成对个人权利的不当干预。[20]目前尚在处理中的一个典型案例是Benedik v. Slovenia案。[21]本案中，瑞士警察在2006年以涉嫌占有和传播儿童色情为由，对一家名为“Razorback”的P2P网络平台展开调查，并获取了一系列网站用户的动态IP地址。为确定具体犯罪嫌疑人，瑞士警方向斯洛文尼亚警方提出申请，后者继而在无法院令状的情况下，要求一家本国公司披露在特定时段使用查获IP地址的用户的姓名、地址、电话号码和上网时间，以此为依据启动了针对申诉人的后续刑事诉讼程序，并最终导致申诉人被定罪。本案涉及到多项关键性问题，例如政府在何种情况下可以获取个人数据、警察是否可以无令状获取个人数据、交互数据与注册人数据的敏感性差异、参与公开P2P网络平台是否等同于自动放弃隐私权保护等。

除此之外，政府机构本身也可能因其不当披露行为而侵犯个人隐私或信息权利，无论这些信息或数据是否由权利人主动提供。[22]例如在2003年的Peck v. The United Kingdom一案[23]中，布伦特伍德市理事会（Brentwood Borough Council）将1995年一段录有申诉人持刀镜头的街头电子监控录像（CCTV）的部分图像公开出版。这部出版物被冠名为“消除危险——CCTV协助警察预防潜在威胁”。[24]尽管事实上当时申诉人只是在试图割腕自杀，但公开的图像中只包含申诉人持刀的形象，同时未对申诉人的面部做遮盖处理。这些图像后来通过报纸、电视节目等形式被广泛传播，甚至被BBC做成名为“打击犯罪”（Crime Beat）的电视节目向全国播放，而该理事会采取的措施未能有效避免外界识别出申诉人。法院认为，尽管申诉人出现在公开环境中，但他并未意图参与任何公共活动，其本人也并非公众人物，而事后的曝光程度已经远远超出了合理且可预期的范围，因此构成对于个人隐私的侵犯。

四、互联网语境中个人数据的保障性措施

从以上分析可以看出，互联网的发展在提供生活便利的同时，也构成了个人数据安全与保护的新的雷区。在互联网语境下，个人数据的搜集、存储、公开、使用、扩散等行为都变得更为便利，侵害后果更加严重，而侵害源更加难以监控。个人、公司或企业、社会组织、政府机构、大众媒体都有可能成为侵害主体，主观目的既有可能是维护社会治安、商业经营、犯罪，也有可能单纯是恶作剧或玩笑，而侵犯个人信息安全和隐私的形式和手段也变得多种多样。[25]更重要的是，大规模的信息泄露、无法追踪的侵权来源、受害者众多的网络犯罪、与国家安全紧密相连的网络袭击等现象已经远远超出单个主体可以控制的范围。从这个角度讲，在网络时代对个人数据的保护不能仅仅依赖于原先相对分离的私权和公权保障体系，而是需要构建一个以政府为主导，结合社会各个主体的综合化立体式的治理模式。在这个框架下，政府一方面需要承担起协调者和保护者的角色，另一方面也要注意到政府的网络治理行为不可避免地会入侵到个人数据领域，如何在多种利益之间达至平衡，就成为当前网络治理的核心问题。

欧洲通过立法与司法实践，逐渐形成了一套原则和规则，同时也在某些关键问题上提出了一些解决方案。这些探索对于我国进行互联网治理、网络安全保障、打击网络犯罪和维护公民权利和利益都具有一定的借鉴意义。

（一）干预个人数据的正当化是由与比例原则

 如前所述，任何针对个人数据的行为，无论是单纯的搜集或存储，还是有目的的使用和披露，都足以构成不当干预。如果要使这些干预正当化，首先需要同时符合《公约》第八条确立的三项基本原则，即符合国内法规定、追求正当性目的、以及为民主社会所必须。“符合国内法规定”是干预手段正当化的初始要件。要达到这一门槛，干预行为必须基于国内法的相关规定，即符合法治原则，同时该法律规定本身必须足够明确，从而具有现实可操作性和可预期性。[26]

目的的正当性是干预手段正当化的正向型条件。就哪些情形构成“正当性目的”，《公约》进行了不完全列举：国家安全、公共安全、国家经济利益、防止犯罪或骚乱、维护公共健康或道德、以及保护他人的权利和自由等。[27]

追求正当性目的并不意味着就可以为任意行为。在确定行为性质之后，一个更为重要的工作是划定干预行为的界限，这正是第三项原则“为民主社会所必须”所要求的。早在1979年的The Sunday Times v. United Kingdom一案[28]中，欧洲人权法院将这种必要性进一步解释为“有急迫的社会需要”（pressing social need），之后通过判例又发展出另外两项评判标准，即手段与合法目的之间是否成比例，以及采用该手段是否基于相关且充分的理由。[29]由此衍生出具体案件中衡量干预手段正当性的量化标准，即比例原则。

比例原则强调的是干预行为的性质和强度必须要与其所意图维护的利益的性质和强度，以及其所可能侵犯的利益的性质和强度维持一个合理的比例，在有其他可能达至目的的手段时，应当选择对合法权益侵犯程度最低的手段。进一步延伸下去，比例原则通常包含着以下几项要素，即合法性要素、合理性要素、以及必要性要素。在具体所涉事项上，则包括但不限于期间、严厉程度、规模等。[30]

以比例原则为指导，意味着要在同法益的比较和平衡。欧洲人权法院的相关判决主要涉及到个人数据保护与《公约》第十条所涉权利之间的关系，主要包括以下两中类型。首先是与言论自由权之间的关系，欧洲人权法院通过一系列案例确立了三项审查标准：一是公开的言论是否涉及公共利益；二是言论涉及的权利人是否是公众人物；三是信息的获取方式和可信度。[31]

其次，《公约》第十条不仅涉及到表达权，也涉及到公民获取信息的权利，该权利同样可能与个人数据保护发生冲突。欧洲人权法院在2009年的Társaság a Szabadságjogokért v. Hungary案[32]中就遇到了这个棘手的问题。本案的申诉人是匈牙利一家非政府的人权组织，匈牙利宪法法院基于个人数据保护的理由拒绝该组织提出的信息披露请求。欧洲人权法院认为，当所涉个人信息已经处于可获取的状态（ready and available）时，如果该信息涉及一般公共利益，而申诉人并非单纯以搜集数据为目的，则国家应当尊重并保障公民获取信息的权利。

以上两组权利平衡主要集中在个人领域，然而过去两个世纪不断升温的恐怖主义威胁以及网络犯罪使得传统的国家边界变得越来越模糊，如何平衡个人数据保护与国家安全成为比例原则新的重大议题。一方面，各国更倾向于建立数据库的国际间共享模式，[33]意味着个人数据可能在更大范围内被存储和使用；另一方面，比例原则变得越来越温和，对电子交互数据的采集在很大程度上已经被视为打击国际恐怖主义和维护社会治安的必要手段。[34]例如在上文提及的Uzun案中，法院就认为面对已经声称实施了多项谋杀行为的恐怖组织，为防止未来可能发生的炸弹袭击，国家对特定人员进行监控具有正当性和必要性。在这样一种语境下，有学者指出现在ECHR所采取的比例原则已经构成了对《公约》意图保护的基本人权的严重威胁。[35]

（二）具体保障性措施的构建

正如欧洲法院在其判决中所说的那样，个人数据权利并不是一项绝对权利，而是需要在具体的社会环境中去考量它的功能。[36]从这一点出发，就不难理解当前国际局势下比例原则的松动。正因如此，在面对国家公权力入侵个人领域的事项上，除对相冲突的利益进行衡量以外，欧洲人权法院也通过一系列判例，要求权力机构在实施具有正当化是由的干预行为时，必须要提供的限制或救济措施。某种程度上讲，保障性措施可以说是比例原则的再进一步的拓展，是协助法官衡量干预措施是否保持了最大克制的依据。联合国特别报告员Frank La Rue在其2013年的报告中这些措施归纳为及时通知、程序性保障、提供救济途径、将非法监控犯罪化、保持手段的合比例性、以及公民基本权利优先。[37]

从上文提及的相关判例可以看出，要在程序上对个人数据提供保护，同时限制干预手段的使用，首先需要区分不同类型的个人数据。前文提及的判例已经涉及到多种分类方式，例如所涉信息的敏感度、数据是否基于定罪获得、数据所涉主体是否为公众人物等。针对不同类型和等级的个人数据，权力机构所能采取的干预手段的强度和方式亦应有所区别。这里需要承认的一点是，尽管欧洲人权法院的判例、欧洲理事会出台的相关规定、[38]欧洲法院的判决、[39]以及欧盟有关个人数据保护的相关指令[40]都试图将个人数据类型化，但不可否认的是各种类型或等级之间存在着大量的灰色地带，[41]同时，权力机关在搜集和处理电子数据的过程中很难完全区分个人数据和非个人数据，[42]因此要判断干预手段是否恰当，需要不断地在个案中进行衡量。[43]

在个人数据类型化的基础上，需要对使用方式和程序进行细化，以确保所涉数据在质和量以及存留时间上不超出实现正当目的之所需，并确保有充分有效的措施以防止数据滥用。[44]为达到以上要求，国内法在制定时应当以尊重和保护个人数据为原则，干预和使用为例外。以此原则为指导，可以从以下几个方面入手，考虑具体的程序设计。

首先需要制定法律条文，明确可以收集、记录、组织、存储、变形、咨询、交换和披露个人数据的具体的期间、方式、场所、主体和程序。[45]例如在S. and Marper案[46]中，欧洲人权法院经审查，发现英格兰和威尔士以及北爱尔兰是整个欧盟中仅有的未对个人数据存留设定期限的地区，这种法律制度上的空白本身就足以构成对个人数据保护的侵害。与之相类似的是2000年的Rotaru v. Romania案，[47]罗马尼亚出于国家安全目的秘密搜集和存储个人信息，但相关立法未能明确可存储信息的类型、监视措施所针对的特定群体、采取监控措施的具体环境、以及后续程序等问题，欧洲人权法院进而判定该干预行为构成对《公约》违反。需要注意的是，这种程序上的限制并不阻止国家针对特殊行业或活动在立法上做出例外规定。例如欧洲理事会第108号公约就对科学研究中的数据收集（第九条第3款）。

其次，应当建立充分有效的监督和审查机制来避免数据滥用。就事前审查而言，主要涉及到独立的司法或其他权力机构对是否可以采取干预措施进行审查。是否许可应当以个案的方式决定，而非由立法进行概括式授权。审查的内容主要包括干预目的是否正当、[48]该目的是否具体且明确、[49]所要处理的数据是否相关、精确且在合理范围内[50]、以及当事人的同意是否自愿、明确等问题。

个人数据的处理也需要事中监督，以确保干预手段以公正、合理、合法的方式进行。在具体措施层面，应当确保个人数据所涉主体可以接触到被处理的数据，并有现实且充分的渠道对原始数据或处理后的数据进行更正。[51]同时，如上文所述，对个人数据的处理应当有明确的期限，并且该期限应当具有切实可行的执行措施。[52]第三，对个人数据的干预应当尽可能以公开透明的方式进行，并尽量保证相关当事人以及社会公众的知情权。[53]

再次，从事后处理的角度来看，需要建立起集民事、行政及刑事为一体的综合责任体系，以确保对不当干预个人数据的行为人追究责任，并提供必要的救济途径。[54]需要注意的是，《公约》第八条的设立初衷在于防止国家权力机构对于个人信息自由的无端干涉。然而从上文提及的Bărbulescu案可以看出，网络语境下这种干预主体已经扩展至非政府组织或机构，而欧洲人权法院在本案中的判决则体现出一种相对谨慎和保守的态度。相对于主动干涉一国国内非政府机构的行为，欧洲人权法院近年来的判例更倾向于鼓励国家履行积极的保护义务。通过执行国内法来追究非法干预者的责任，遏制不当干预行为并提供必要救济，正是这种积极义务的体现。

就具体层面而言，目前欧洲人权法院就国家在保护个人数据领域所应承担的积极义务方面的判例主要涉及到以下四个事项。

第一类事项涉及到对包括儿童、少数民族或种族、移民或外国人等在内的弱势群体提供特殊保护。[55]

第二类事项是以保护公民合法权益之目的，建立相关机制以确保个人在寻求救济时在合理的限度内得知实施侵害行为的人的身份。以2008年的I. v. Finland案[56]为例。本案中，他人通过查看申诉人的医院记录发现申诉人患有艾滋病，尽管医院后来采取了措施阻止进一步查看，并使用假名和新的社会保险号来掩盖申诉人的身份，但拒绝提供已经查看该记录的人的信息。欧洲人权法院认为芬兰国内法未能提必要的信息披露途径，违反了其所应当承担的保护个人数据的积极义务。

第三类事项涉及到在打击包括贪腐案件在内的职务性犯罪时，确保相关官员或人员的个人数据的合理公开，并保证公民有有效途径接触此类数据。[57]2009年的Wypych v. Poland案涉及到对身为镇理事会理事的申诉人财务和资产信息在网络上的公开。欧洲人权法院认为，借助互联网公开官员财务信息可以有效调动公共监督，从而减少腐败，因而国家有义务使公民可以接触到此类信息。

国家应当履行的第四类积极义务涉及到在网络服务提供商凭借自身技术或资源能力无法充分保护用户个人数据安全时，提供必要的协助。例如在2007年的Muscio v. Italy案中，申诉人收到了大量的色情电子邮件，他本人无法追踪到具体发件人，而电子邮件服务平台也难以有效过滤此类邮件。欧洲人权法院认为国家此时应当提供有效的监督和保障措施。

五、结语

通过对近些年来欧洲有关个人数据保护的立法与司法实践加以审视，我们可以总结出以下几种趋势。

首先，尽管法院总体上仍试图将个人数据保护纳入到《公约》第八条的规范之下，但是网络时代的发展已经使得原有规范捉襟见肘；诸如“隐私”、“安全”甚至“个人”等概念，其内涵和外延都亟待更新和细化。

其次，网络放大了个人数据可能受到的干预或侵犯，而这种量变在某种意义上已经发展出了质变，即每个人已经难以像在物理世界中那样对有关自己的数据享有相对垄断的能力，这些数据被主动或被动地提交给了提供商业服务、社会公共服务、或进行社会治安管理的机构或个人。从这个角度讲，如果说物理世界中侵犯个人数据意味着要破除层层障碍来进行窥探，那么网络环境下则是每个普通公民都赤裸裸暴露在聚光灯之下。原先一些不太可能实施干预行为的主体可能成为新的干扰源，而原先一些可能无害的行为会演变成个人数据安全及相关利益保护的新的灾区。

从第二个趋势出发，可以推演出第三个趋势，或者说一种推断，即网络语境下社会权力即将或者正在进行重新配置，而权力的来源在于对于大规模数据的掌控。基于这种推断，所可以预见的是，在短期内，诸如谷歌或阿里这样的大型的互联网企业和享有公权力的政府机构将共享网络空间的控制权，而在长期内，这种权力可能会进一步分散化，以至于形成新的社会秩序。

从这个意义上延伸出去，我们就可以看到，在互联网语境下，或者更扩大一些说，在数字时代探讨个人数据的保护，绝不等同于将物理世界的规则照搬过去。事实上，这样一种语境转换的意义可能不亚于从低维度世界向高纬度世界的跨越，它意味着一些基本假设的变动甚至推翻，以及由此演变出的语义、规则、秩序、思维乃至文化的重构。国家的权力与职责，公民社会的权利与义务，在新的语境下都需要进行新的思考和定位。

参考文献

（请向下滑动）

[1] 例如工信部的相关文件列表2013年工业和信息计划部出台的《电信和互联网用户个人信息保护规定》，《中华人民共和国电信条例》、《互联网信息服务管理办法》2014年工业和信息化部发布的《大数据白皮书》等。

[2] 例如2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》。

[3] 参见：《网信办：将制定个人信息保护法律》，新华网2015年2月1日，引自

http://tech.sina.com.cn/i/2015-02-01/doc-iavxeafs0663223.shtml。访问日期2016年1月22日。相关讨论参见彭玉勇：《论网络服务提供者的权利和义务》，《暨南学报（哲学社会科学版）》，2014年第12期，第67-82页。

[4] 例如2015年浙江省高院与阿里合作送达文书的做法，就引发了对个人数据安全保障的担忧。参见《淘宝地址送达法律文书侵犯隐私吗？呼唤大数据的法律保护》，新浪司法2015年12月11日，引自

http://finance.sina.com.cn/sf/news/2015-12-11/102713066.html。访问日期2016年2月17日。

[5] 2012年欧盟委员会启动了《一般数据保护规定》（General Data Protection Regulation (GDPR)）的制定，预期在2016年正式通过，并经过两年的过渡期转化为欧盟成员国国内法。到时该《规定》将取代1995年《指令》，并具有更强的约束力。

[6] S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, 4 December 2008.

[7] Van der Velden v. the Netherlands (dec.), no. 29514/05, ECHR 2006-XV.

[8] Uzun v. Germany, no. 35623/05, ECHR, 2 September 2010

[9] Copland v. the United Kingdom, no. 62617/00, ECHR 2007-IV

[10] 例如Klass and Others v. Germany, no.5029/71, ECHR 1978; Malone v. the United Kingdom, no. 8691/79, ECHR 2 August 1984; Kruslin v. France, no. 11801/85, ECHR 4 April 1990; Kopp v. Switzerland, no. 23224/94, ECHR 25 May 1998; Amann v. Switzerland, no. 27798/95, ECHR 16 February 2000; Wisse v. France, no. 71611/01, ECHR 20 December 2005; Roman Zakharov v. Russia, no. 47143/06, ECHR 4 December 2015.

[11] Szabó and Vissy v. Hungary, no. 37138/14, ECHR 2016。相关案例参见Bureau of Investigative Journalism and Alice Ross v. the United Kingdom, no. 62322/14, communicated on 5 January 2015; Big Brother Watch and Others v. the United Kingdom, no. 58170/13, communicated in January 2014。

[12] Leander v. Sweden, 26 March 1987, § 48, Series A no. 116。相关案件参见Amann v. Switzerland [GC] no. 27798/95, ECHR 202-III; Van der Velden v. the Netherlands (dec.) no. 29514/05, ECHR 2006-XV.

[13] 参见Amann v. Switzerland [GC], no. 27798/95, § 69, ECHR 2000-II

[14] 相关案例参见Rotaru v. Romania [GC], no. 28341/95, ECHR 2000-V, Amann v. Switzerland [GC], no. 27798/95, ECHR 2000-II。这两个案件均涉及到国家安全机构对特定个人的监控行为，该监控行为均形成了永久记录，法院认为该系统性或永久性记录构成对个人数据的不当干预。

[15] 就超出使用目的而持续存储的个人数据，欧盟的《数据存留指令》（Data Retention Directive）的第六条第一款（e）项以及欧洲理事会（Council of Europe）《自动处理个人数据时的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）（下文简称“欧洲理事会第108号公约”）第五条（e）款均提出了将数据去身份化，具体方式既可以删除与个人相关的因素，亦可以使用类似假名等。

[16] B.B. v. France, no. 5335/06, ECHR 17 December 2009; Gardel v. France, no. 15428/05, ECHR 17 December 2009。类似案例参见Dalea v. France (dec.), no. 964/07, ECHR 2 February 2010.

[17] Khelili v. Switzerland, no. 16188/07, ECHR 18 October 2011.

[18] P. and S. v. Poland, no. 57375/08, ECHR 30 October 2013.

[19] K.U. v. Finland, no. 2872/02, § 43, 2 December 2008

[20] 参见Iran Brown, ‘Communications Data Retention in an Evolving Internet’, 19(2) International Journal of Law and Information Technology (2010), 95-109.

[21] Benedik v. Slovenia, no. 62357/14, communicated on 8 April 2015。相关案件参见Ringler v. Austria, no. 2309/10, communicated in May 2013.

[22] 参见Lupker and Others v. the Netherlands, no. 18395/91, Commission decision of 7 December 1992（权力机构对当事人主动提供的信息的不当使用）；Friedl v. Austria, judgment of 31 January 1995, Series A no. 305-B, opinion of the Commission（政府在公开展示中使用权利人的照片）。

[23] 参见Peck v. the United Kingdom, no. 44647/98, ECHR 2003-I。

[24] 原文为“Defused – the partnership between CCTV and the police prevents a potentially dangerous situation”.

[25] 参见David Kaye, Report of the Special Rapporteur on the Promotion and Protection of the Right to Freedom of Opinion and Expression, 22 May 2015, available at 

http://daccess-dds-ny.qa.un.org/doc/UNDOC/GEN/G15/095/85/PDF/G1509585.pdf?OpenElement. Accessed 15 February 2016.

[26] 以上规则由欧洲人权法院在M. M. v. United Kingdom（no. 24029/07, ECHR 13 November 2012）一案中加以确立。关于何种规定可以被视为“可预期”，参见Amann v. Switzerland [GC], No. 27798/95, ECHR 16 February 2000, para. 50。

[27] Opinion 01/2014 on the Application of Necessity and Proportionality Concepts and Data Protection within the Law Enforcement Sector, adopted on 27 February 2014, available at 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp211_en.pdf. Accessed 14 February 2016.

[28] The Sunday Times v. The United Kingdom, no. 6538/74, ECHR 26 April 1979.

[29] Coster v. the United Kingdom [GC], no. 24876/94, ECHR 18 January 2001, papa 104.

[30] 参见Evelyn Ellis (ed.), The Principle of Proportionality in the Laws of Europe, Oregon: Hart Publishing, 1999.

[31] 参见Axel Springer AG. v. Germany [GC], no. 39954/08, ECHR 7 February 2012, paras. 90 and 91.本案中，申诉人的报纸报道了一名知名演员被逮捕和定罪的新闻，该新闻后来被禁止，欧洲人权法院根据三个标准判定禁止该报道的行为构成对言论自由的不正当干预。另参见Von Hannover v. Germany (No.2) [GC], nos. 40660/08 and 60641/08, ECHR 7 February 2012.与之形成对照的是上文提及的Peck案，以及Biriuk v. Lithuania, no. 23373/03, ECHR 25 November 2008.

[32] Társaság a Szabadságjogokért v. Hungary, no. 37374/05, ECHR 14 April 2009.

[33] Opinion of the Data Protection Supervisor, 11 January 2011, s 15, available at 

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf. Accessed 15 February 2016.

[34] 参见欧洲法院（European Court of Justice, ECJ）在Digital Rights Ireland Ltd v. Ireland (C-293/12 and C-594-12)案中的裁决意见。

[35] 参见Stavros Tsakyrakis, ‘Proportionality: An Assault on Human Rights?’, May 27 I.CON (2009), 1-26。这一问题也引起了学界的争论，参见Madhav Khosla, ‘Proportionality: An Assault on Human Rights?: A Reply’, 8(2) I.CON (2010), 298-306.

[36] 参见欧盟法院（Court of Justice of the European Union, CJEU）判例，C-92/09 and C-93/09, Volker and Markus Schecke GbR and Hartmut Eifert v. Land Hessen, 9 November 2010, para. 48.

[37] Frank La Rue, Special Rapporteur on the Promotion and Protection of the Right to Freedom of Opinion and Expression, distributed on 17 April 2013, available at 

http://daccess-dds-ny.un.org/doc/UNDOC/GEN/G13/133/03/PDF/G1313303.pdf?OpenElement. Accessed 18 February 2016.

[38] 例如Convention for the Protection of Individuals with regards to Automatic Processing of Personal Data (Convention 108)。

[39] 参见Volker and Markus Schecke and Hartmut Eifert v. Land Hessen, joined cases C-92/09 and C-93/09, CJEU 9 November 2010.

[40] 参见Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Data Protection Directive), OJ 1995 L 281.

[41]例如Bernh Larsen Holding AS and Others v. Norway, no. 24117/08, ECHR 14 March 2013。本案针对“个人数据”中的“个人的”定义进行了分析。

[42]例如 Amann v. Switzerland [GC], no. 27798/95, ECHR 16 February 2000。本案涉及到权力机构监听并存储与经营有关的通话记录时，对个人隐私的干涉。而在Copland v. the United Kingdom (no. 62617/00, ECHR 2007-IV)案中，则涉及到公权力通过监控个人互联网使用来获取商业信息的行为。

[43] 例如在2010年的Volker and Markus Schecke案中，欧洲法院认为对特定文化基金对受益者的包括收资助时间、次数、总额等个人信息不加区分的公布，构成对比例原则的违反。参见Volker and Markus Schecke GbR and Hartmut Eifert v. Land Hessen, joined cases C-92/09 and C-93/09, CJEU 9 November 2010, paras. 89 and 86.

[44] 参见S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, 4 December 2008)

[45] 相关案例参见Rotaru v. Romania [GC], no. 28341/95, ECHR 4 May 2000; Taylor-Sabori v. the United Kingdom, no. 47114/99, 22 October 2002; Copland v. the United Kingdom, no. 62617/00, ECHR 2007-I; Khelili v. Switzerland, no. 16188/07, 18 October 2011.

[46] S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, ECHR 4 December 2008

[47] Rotaru v. Romania [GC], no. 28341/95, 4 May 2000, para. 57。相关案例参见Taylor-Sabori v. the United Kingdom, no. 47114/99, ECHR 22 October 2002.

[48] 上文提及的Peck案中，欧洲人权法院就认定不存在合理的理由来正当化CCTV录像的直接披露。参见Peck v. the United Kingdom, no. 44647/98, 28 January 2003, para. 85.

[49] 目前欧洲人权法院尚未有具体案例专门针对这一问题，关于欧盟法对干预目的的三个要求，即“具体”（specification）、“明确”（explicit）以及“正当”（legitimate）的详细说明，参见Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, adopted on 2 April 2013, available at 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf. Accessed 17 February 2016。

[50] 欧盟《数据存留指令》第六条第1款（c）项以及欧洲理事会第108号公约第五条第c款。

[51] 这一点在《欧洲基本权利宪章》第八条第2、3款有明确规定。欧洲人权法院在2009年的Haralambie v. Romania（no. 21737/03, ECHR 27 October 2009）案中对这一原则也进行了确认。

[52] 参见M.M. v. the United Kingdom, no. 24029/07, ECHR 13 November 2012.

[53] 参见K.H. and Others v. Slovakia, no. 32881/04, ECHR 28 April 2009; Haralambie v. Romania, no. 21737/03, ECHR 27 October 2009。

[54] 经济合作与发展组织（Organization for Economic Co-operation and Development, OECD）在2013年的报告中特别强调了个人数据保护中责任化的重要性。参见OECD, Guidelines on governing the Protection of Privacy and transborder flows of personal data, article 14, available at 

http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm. Accessed 17 February 2016。

[55] 例如K.U. v. Finland, no. 2872/02, § 43, ECHR 2 December 2008（保护未成年人）；Féret v. Belgium, no. 15615/07, ECHR 16 July 2009（保护移民）；

[56] I. v. Finland, no. 20511/03, ECHR 17 July 2008;

[57] Wypych v. Poland (dec.), no. 2428/05, ECHR 25 October 2005.

感谢作者的授权

本文仅作学习交流之用

Rene Wiley

编辑：钟柳依

欢迎点击“阅读原文”