🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

新书 | 张韬略译:《欧盟个人数据保护制度》

知识产权与竞争法
2024-08-26


欧盟个人数据保护制度
《一般数据保护条例》
(法律与科技译丛)

﹝波兰﹞马里厄斯·克里奇斯托弗克 著
张韬略 译

ISBN:978-7-100-21961-7
商务印书馆2023年3月出版

目次

1 作者与译者简介


2 张平教授、程啸教授推荐语


3 内容简介


4 本书目录


5 中文版作者序


6 译者序

  


作者与译者简介


作者简介: 
马里厄斯·克里奇斯托弗克,波兰人,法学博士,美国乔治敦大学和威斯康星大学拉克罗斯分校的访问学者,华沙银行学院“杰出讲师”。波兰司法部、数字事务部和商业电视频道的数据法专家,多家跨国公司的数据保护官和隐私法律顾问。

译者简介:
张韬略,中国政法大学法学学士,北京大学法学硕士,同济大学管理学博士。同济大学法学院副教授,博士研究生导师。德国联邦总理奖学金获得者,曾访学于美国芝加哥肯特法学院、德国慕尼黑马普知识产权与竞争法研究所、美国洛杉矶洛约拉法学院等国外学府。目前担任同济大学法学院互联网与人工智能法律研究中心主任、知识产权与竞争法中心副主任,上海市人工智能社会治理协同创新中心研究员。主要研究方向为知识产权法、软件法、互联网法。 

张平教授、程啸教授推荐语


欧盟的《一般数据保护条例》(GDPR)在个人数据保护的成文法上为世界各国做出了表率,也成为各国相关法律制定的参考。本书作者深度剖析了GDPR的制定背景、个人数据保护的法理基础以及对主要内容的解读,更加有利于读者全面客观认识和理解GDPR。感谢本书译者的专业精神和精彩翻译,及时将这部专著呈现给读者。特别是我国《个人信息保护法》的制定和实施都有借鉴这部条例,社会各界更应该多角度、多方位了解对GDPR的深度评析,本书值得研读。
—— 张平 北京大学法学院教授、博士生导师

欧盟《一般数据保护条例》是当今世界上影响极大的个人数据保护立法,其关于管辖范围、个人数据处理的法律基础、数据主体的权利、处理者的义务、跨境数据传输等内容的规定都极具特色,对很多国家的相关立法产生了重要影响。我国《民法典》《个人信息保护法》也充分吸收借鉴了该条例的不少优秀立法成果和经验。张韬略教授翻译的《欧盟个人数据保护制度》是由欧盟学者独著的、全面分析研究《一般数据保护条例》的佳作,值得推荐给每一位想学习研究该条例的读者!
—— 程啸 清华大学法学院副院长、教授、博士生导师

内容简介


本书对欧盟《一般数据保护条例》(GDPR)的具体适用做了全面、系统的介绍和评述,内容包括GDPR的适用范围、个人数据的隐私权内涵、个人数据处理的主要原则和法律基础,数据主体的权利、数据控制者的义务和数据保护官的职责,以及诸如广告营销、刑事案件、雇佣关系、产品设计保护、数据跨境流动等特殊场景的个人数据保护问题。对从事欧盟个人数据保护实务和研究的企业、律师和学者而言,本书及时地提供了欧洲数据保护机构多年来所通过的针对上述个人数据保护问题的众多判例法、指南和最佳实践。我国社会各界也可以借之更好地理解GDPR相关规则的历史源流和具体适用,确定适当的数据合规策略,或开展对应的研究。


本书目录


第一章  《一般数据保护条例》的主题、目标及其所引发变化的本质;条例的直接适用性  
第二章  隐私权的定义;作为隐私权内容之一的个人数据保护;欧盟隐私权的法律基础;欧盟判例法中隐私权的范围
第三章  《一般数据保护条例》和个人数据保护的范围;关键概念  
第四章  个人数据处理的主要原则  
第五章  个人数据处理的法律基础  
第六章  直接营销、电子营销、Cookies和在线行为广告  
第七章  雇员个人数据的处理  
第八章  敏感数据和犯罪记录  
第九章  提供数据处理相关信息的义务及隐私声明  
第十章  数据主体的权利 
第十一章  数据控制者和共同控制者;数据处理者及其挑选标准和合同条款  
第十二章  数据的设计保护和默认保护;风险路径下数据安全措施的适当性;个人数据处理活动的记录;数据处理的授权;向监管部门和数据主体通报个人数据泄露;数据保护影响评估;向监管机构咨询有关数据保护的影响;行为准则和认证  
第十三章  数据保护官  
第十四章  向非欧盟/非欧洲经济区成员国传输个人数据  
第十五章  互联网和监视时代的隐私;技术对隐私的威胁  
索引

中文版作者序


个人数据保护已经成为理解当前世界体系的核心问题之一。欧盟在个人数据保护领域创建了一个复杂的制度,其集大成者即目前正在实施的《一般数据保护条例》(GDPR)。《一般数据保护条例》的主要目标是保护自然人的基本权利和自由,特别是保护其个人数据权利(该权利是隐私权的具体表述,而隐私权是人的权利和基本自由,是人的一项基本权利)和个人数据在欧盟内的自由流动,同时确保尊重成员国公民保护其个人数据的权利。借助该条例,欧盟内部建立了统一的数据保护标准。

环顾全球,类似 《一般数据保护条例》的立法模式,或者至少欧盟委员会认定达到了欧盟保护水平的数据保护制度,也已被许多非欧盟国家(包括亚洲和环太平洋地区)所采用。

曾经有一段时间,作为两个主要的全球参与者,中国和美国并没有采取欧盟这种立法模式。但是,2021年11月1日生效的中国《个人信息保护法》(PIPL)建立了一个全面的数据保护框架,用以规制在中国的个人的数据处理,并具有域外效力,即可适用于不在中国但向位于中国的个人提供商品或服务或分析或评估活动的企业,该法在许多方面与 《一般数据保护条例》有着明显相似之处。中国《个人信息保护法》改变了游戏规则,该法不仅影响了中国的企业和公民,而且——由于中国是世界上人口最多的国家以及在全球经济中的地位——也影响了国际的数据流动。

同样的,美国在联邦层面由参议院起草了《建立确保数据访问、透明度和问责制的美国框架法》(SAFE DATA Act)立法草案,引发了关于联邦消费者数据隐私标准的辩论。美国加州通过了《加州消费者隐私法》 (CCPA),该法案将由《加州隐私权法》 (CPRA) 做进一步修订。

国家之间围绕个人数据保护法律的这种协调有助于消除国际经济合作的障碍。同时,它确保参与全球活动的大多数国家(包含了全球大多数的人口)的公民保护其个人数据的权利能够得到尊重。

信息技术在全球范围的大量应用和演进改变了数据处理环境,带来了新的挑战。这种变革与下述现象尤其相关:大量数据在网络上处理,可访问互联网的设备无处不在,社交网络服务、在线购物和在线银行的普遍使用,跨国公司内部数据的大规模传输,以及数据处理硬件和软件容量的增长。大量收集可用以开发用户画像的数据,企业的监控,向广告商出售用户行为数据,移动电话运营商收集地理定位数据,互联网用户画像,面向服务的架构,云数据处理,公共场所无处不在的闭路摄像机,购买或卡交易信息的获取等等做法,在加剧隐私侵犯可能性的同时,也给现有秩序带来了严重的挑战,进而呼唤数据隐私保护时代的来临。

在这种时代背景之下,我的书能面向中国读者在中国出版,我感到非常荣幸。对于在该领域进行研究或向客户提供建议的企业、客户、承包商、律师和学者而言,本书提供了欧洲数据保护机构多年来年所通过的众多判例法、指南和最佳实践。

更令我高兴的是,这本书的出版发生在中国《个人信息保护法》(PIPL)刚刚生效之后不久。由于欧盟《一般数据保护条例》和中国《个人信息保护法》有很多相似之处,所以本书之中的很多评论可能有更广泛的适用性。中国读者会发现,虽然它们主要用于《一般数据保护条例》分析,但在一定程度上也可以适用于中国《个人信息保护法》,以及适用于许多受到该条例影响并采用同等制度或类似法规的非欧盟司法管辖区。

非常感谢上海同济大学法学院张韬略教授对本书的精彩翻译,这是我的荣幸。我为这次学术合作过程之中双方的专业精神和友好沟通感到由衷的高兴,对此我非常感谢译者。我还要感谢商务印书馆和威科出版社的通力合作,以及两家出版社的法规和编辑团队的精心投入,没有这些努力,本书无法在中国出版。

马里厄斯·克里奇斯托弗克

2022年3月


译者序


在读者阅读本书具体章节,详细了解欧盟《一般数据保护条例》(GDPR)的具体规定如何适用之前,有必要简单了解GDPR的出台背景以及它在整个欧盟数据战略之中的地位,以便从历史和体系的角度,更加全面、立体地把握这部立法

毫无疑问,欧盟是目前世界上对个人隐私和数据保护最为严格的地区,这与其历史文化和地缘政治是息息相关的。只要联想到一战、二战期间发生在欧洲的种族清洗(例如奥斯曼土耳其政府对亚美尼亚人和德国纳粹政府对犹太人)和其他政治迫害行为,联想到详实记录的个人数据被不法政府系统性地用于这类罄竹难书的反人类罪行,我们就能理解,为何欧盟自民间到政府都极为担忧个人数据被滥用,并异常坚决地将个人数据权利高举为公民的基本权利。GDPR为个人数据权利提供了高标准的保护,正是欧盟这种历史观和价值观的立法表现。

欧洲层面对个人信息保护的协调和规制,可以一路追溯到1980年9月23日由经济合作发展组织(欧洲经济合作组织的前身)所发布的《保护个人信息跨国流动及隐私权指导纲领》。该纲领虽对经济合作发展组织的成员国不具有法律约束力,但前瞻性地提出了个人数据保护的国内适用和国际适用的基本原则,包括个人数据国际间自由流通和合法限制原则,奠定了欧洲个人数据保护和跨境流动法律规制的方向和框架。

因应信息技术的发展,1981年1月28日欧洲理事会各成员国签署了《有关个人数据自动化处理之个人保护公约》以及附加议定书,明确了保护个人基本权利和自由,尊重个人隐私,并促进信息自由流动的宗旨。该公约成为欧洲层面首个具有法律约束力的规范个人数据保护的法律文件,也是全球首个有关数据保护的公约。虽然受限于签约国的数量,该公约的实施效果有限,但欧洲的个人数据立法借此拉开了正式影响全球数据治理格局和个人数据立法面貌的序幕。

此后,随着欧盟的诞生,欧洲个人数据保护开始了一体化的进程。1995年10月24日,欧盟通过了《关于个人数据处理和自由流动的个人保护的第95/46/EC号指令》(译著之中简称为《第95/46/EC号指令》)。该指令为欧盟成员国国内法设定了个人数据保护的最低标准,规定了个人数据保护的基本原则,数据主体的权利,数据控制者和处理者的义务,数据跨境传输的制度,以及相关的法律责任。虽然该指令在转化为欧盟成员国国内法的过程中,由于立法和执法标准差异问题,无法避免地导致了欧盟内部个人数据保护制度的复杂性和不确定性,但在GDPR出台之前20多年的时间里,该指令在欧盟个人数据保护领域发挥了至关重要的作用,属于“欧盟个人数据保护共同体法 (acquis communautaire)二级法律中的关键立法”(参见译著第一章第一节)。在该指令之后,欧盟在个人数据保护领域制定的重要法律文件是2002年7月12日由欧洲议会和理事会通过的《电子通讯隐私指令》以及2009年对其中Cookie使用规则的修订即《欧盟Cookie指令》,它们主要针对电信和互联网行业的个人数据安全和保护问题,要求成员国在保护电子通信领域个人数据和隐私等基本人权的同时,确保电信服务之中个人数据的自由流动。

为了在欧盟内部实现更加统一的和严格的个人数据保护制度,同时应对信息技术在各领域对个人数据保护的挑战,GDPR应运而生。从2012年欧洲议会公布草案,到2016年4月14日通过,GDPR的制定历经了4年。GDPR的出台是自《第95/46/EC号指令》之后,欧盟个人数据保护制度的首次全面改革,其在2018年5月28日起正式适用于欧盟各成员国,完全取代了《第95/46/EC号指令》,也影响到了《电子通讯隐私指令》的适用和后续修订。

欧盟的GDPR在立法过程就吸引了全球主要经济体的关注,在出台后更是影响了许多国家的个人数据保护立法。我国2021年颁布的《个人信息保护法》在立法体例、数据处理原则、权利义务设定、行政监管和执法等方面就与GDPR有着较高程度的相似性。从其立法理念和示范作用来看,GDPR可谓是欧盟一次值得称赞的成功立法了。然而,我们也应当看到, GDPR在施行之后也面临着诸多挑战。例如,欧盟各成员国的数据保护执法存在巨大差异,执法效率低下、选择性执法等现象依然存在;许多中小企业面临较为沉重的合规成本;美欧跨大西洋的数据跨境流动机制被屡屡阻断等等。何应对这些挑战,落实立法目标,在保护个人数据的同时促进其流动和利用,才是真正检验GDPR是否是一次成功立法的最终标准。

同样需要注意的是,GDPR仅是欧盟个人数据治理法律框架的一个有机组成部分而已,远不是欧盟个人数据治理的全貌。随着数字时代的来临,特别是面对中美数字经济飞速发展以及美国的数据霸权,欧盟在近年觉醒数据主权,逐渐在强调个人数据和隐私的基本权利保护的同时,大力推进数据的利用和共享。
2019年的《开放数据和公共部门信息再利用指令》(《开放数据指令》)就开始强化对公共部门数据的利用。2020年2月19日,包含一系列立法策划的《欧盟数据战略》也应运而生。该战略畅想在未来5至10年内构建欧洲数据经济,创设欧盟共同数据空间,通过“开放更多数据”和“增强数据可用性”促进欧盟数字化转型。为推进该战略,欧盟2020年11月25日推出了系列立法之中的首个法案即《数据治理法案》。该法案明确定义了数据共享的欧盟路径和制度安排,且在2022年4、5月已经分别获得欧洲议会和欧盟理事会的批准。如果该战略的系列立法计划推进顺利,可以设想,在不久的将来,重在保护个人数据的GDPR将会与重在促进各类数据利用的《开放数据指令》、《数据治理法》、《数字市场法》、《数字服务法》、《数据法》等立法交汇到一起,共同构成欧盟单一数字市场的顶层设计。如何处理、协调GDPR与这些理念不同(甚至相互冲突的)的立法之间的关系,同样将成为考验GDPR及执法者的重大问题。我们可以拭目以待。

作为欧盟的第二贸易伙伴,我国政府、业界和学界从GDPR立法之初就给予极大的关注,国内也出现了GDPR法律文本的多个翻译版本。但就我了解,目前国内尚未全面、系统地引入欧盟和美国研究GDPR的专著。这与GDPR才施行数年,实务素材与理论研究的深度结合尚在酝酿阶段有一定的关系。而摆在读者面前的这本著作(《欧盟个人数据保护制度 ——<一般数据保护条例>》),可以说是这个领域的先行者之一了。

该书由波兰的马里厄斯·克里奇斯托弗克(MARIUSZ Krzysztofek)博士以英文写就。马里厄斯·克里奇斯托弗克是一名资深的学者型数据保护专家,目前是一家跨国公司的数据保护官和隐私法律顾问。多年以来,他一直深耕于隐私和个人数据保护领域,是六本专著和数十篇学术文章的作者。他曾在金融行业主要国际集团里担任过全球数据保护官,曾是四大会计师事务所(the Big Four)的专家。他在加格罗林大学法学院、南加州大学法学院和SGH华沙经济学院担任隐私和个人数据保护课程的讲师,获得过华沙银行学院(the Warsaw Institute of Banking)20年以来的“杰出讲师”称号。他曾获得过波兰银行协会授予的银行教育活动奖章,担任过波兰司法部、数字事务部以及商业电视频道的专家。他是美国乔治敦大学和威斯康星大学拉克罗斯分校的访问学者,也是《公共管理信息》(Information in Public Administration)季刊的项目委员会成员。马里厄斯·克里奇斯托弗克博士在个人数据保护领域的深厚学术和实践积累,保证了该书的质量,这也是商务印书馆和我决定推动该翻译项目的主要原因之一。

该书第一版由威科出版社在2016年于欧洲荷兰出版,2018年更新为第二版,2021年更新到第三版。与第一版相比,第三版在体例和内容方面都做了一些调整。从体例来看,新版不再沿袭初版之中的“重要提示”、“案例法”等实务色彩较重的栏目设置,但在保留这类重要信息的基础上,提升了著作的学术性。就内容来看,初版仅有11章,新版则扩张到15章,其中“雇员个人数据的处理” (第7章)、“数据的设计保护和默认保护”(第12章)、“数据保护官”(第13章)等都是通过扩充初版之中某些小节的内容而独立出来的。

尽管GDPR在近些年之内不大可能会有改变,但欧盟各成员国在适用该条例的过程所产生具有约束力的裁判、指南和最佳执法实践,的确在不断推陈出新。
译者在比较该书原版的第一版、第二版和第三版时,能清楚看到作者紧跟实务、与时俱进的努力和专业精神。新版也确实覆盖到了GDPR领域最近几年一些比较重要的变化。但是,纸质专著的出版永远跟不上实践的变化,在经常变动的个人数据保护领域尤其如此。
举例来说,欧盟委员会于 2021 年 6 月 4 日发布了《关于将个人数据传输到第三国的标准合同条款的第(EU) 2021/914号委员会实施决议》,由此早先使用的根据《第2001/497/EC号决定》和《第2010/87/EU号决定》发布的数据保护标准合同条款(SCC)将被替代。根据新的决议,2021年9月27日之后,跨境传输数据的出口方必须停止使用旧版本的标准合同条款,转用新版本的标准合同条款。实务之中,这意味着数据出口和进口方必须围绕其中条款的变动进行新一轮的协商谈判。而根据史瑞姆斯II案(Schrems II,C-311/18)的判决结果,在使用欧盟数据传输机制——无论是标准合同条款(SCC)还是具有约束力之企业规则(BCR)——时,数据出口商必须逐案核实,数据进口国的政府(情报机构)对个人数据的访问是否符合欧盟标准并执行该标准合同,以确保达到充分的数据保护水平。
又如,本书第十四章提到,2021年2月19日,欧盟委员会根据GDPR发布了两项关于向英国传输个人数据的保护充分性决定的草案,且指出“该草案如果通过,其有关英国个人数据保护充分性的决定将允许个人数据从欧盟继续自由传输到英国”。后续的进展是:2021年6月28日,这两项草案都已经获得通过,英国个人数据保护充分性获得了欧盟委员会的承认;2021年12月17日,韩国个人数据保护充分性同样获得了欧盟委员会的承认。

其他来不及收入该书第三版的最新动态可能还有:第十一章脚注提到的《关于GDPR之中数据控制者和数据处理者概念的第 07/2020 号指南》第一版征求意见稿,已经在2021年7月7日更新为第二版,并在公众征求意见之后通过;欧洲数据保护委员会(EDPR)出台的一些特别指南,例如2021 年 11 月 18 日《关于GDPR第三条与第五章数据国际传输规定的适用的相互作用的指南》,2021 年 7 月 7 日《关于作为数据传输工具的行为准则指南》,以及2021年3月9日发布的《车联网个人数据保护指南2.0》等等。不过,这些信息的更新与否并不影响作品相关内容和分析的准确性。

该译著之所以能够顺利出版,离不开多方的辛苦劳动和精诚合作。借付梓作序的机会,我要向促成译著出版的各位同仁和朋友致以深深的谢意!
首先我要感谢商务印书馆政法编辑室金莹莹女士及同仁的辛苦付出。除了与国外出版社多番联系,落实原作多个版本的翻译版权事宜,她还对我的译稿做了认真、细致的校对,尤其是核实了大量非英文文献翻译的准确性。
我还要感谢原著作者马里厄斯·克里奇斯托弗克博士。在完成译文初稿之后,我联系上他并附上了很长的问题清单,他都耐心逐一回复。在发现出现版本更替问题之后,他还第一时间向我提供了交付给威科出版社筹备印刷的原文第三版,大大缩短了英文原著和中文译著出版的时间间隔。

在翻译的过程中,我还得到许多亲友的支持。2021年上半年,在译作初稿完成之后,我指导的九位研究生同学(白冰、程云鑫、黄杰、李永双、吴书曲、王倩、周祥回、张语兮、张钟月)协助我对译稿做了初步的“除错”工作。作为译稿的第一批读者,他们每人通读了将近50页的译文,帮我挑出明显纰漏或语言晦涩的地方。2022年上半年,任教于浙江大学法学院的魏立舟博士也向我反馈了若干修改意见。他们的无私帮助提升了部分译文的准确性与可读性。但限于译者能力,译稿的错漏仍在所难免,还请读者海涵。针对译著的任何批评和改进意见,欢迎大家向我提出,在此先行谢过!

译稿最后较对付印之际,恰逢京沪两地深陷疫情防控之中。我们的个人信息被现代信息技术大量收集和处理,并以“核酸码”及类似方式嵌入到我们每天的生活之中,极大影响了每个人的衣食住行。在疫情期间以及后疫情时代,我国新生的《个人信息保护法》应该如何适用,如何在维护公共利益的同时保护公民的个人数据权利不受侵犯,如何约束和预防数据处理者对个人数据的滥用,必将成为检验我国立法是否成功的标准,也是我国政府回避不了的法治话题。对此,我们同样拭目以待。

张韬略

同济大学衷和楼

2022年6月

排版/徐源
      
继续滑动看下一个
知识产权与竞争法
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存