個人數據保護法的實施

為了更高水平的保護，歐盟建立了以私人權利為基礎，公權力監管機構為核心，以私人機構為支撐的個人數據保護實施框架，以實現尊重基本權利和保障個人數據自由流通之間的平衡證個人數據在成員國之間的自由流動，並在歐盟的範圍內保障給予基本權利和自由權利更高。歐盟針對《條例》的實施，設置了三種機制，分別為公共監管機構的監管機制、制定行為準則和實施認證的自律機制、以數據保護專員為核心的內部管理機制。

一、監管機制

1、成員國監管機構（第五十一條至第五十九條）：各成員國監管機構的定位、設立、職責和執法權 。

2、監管機構協同（第六十條至第六十七條）：

監管機構之間協作和協助、聯合行動。

監管機構與歐洲數據保護委員會之間協同。

3、歐洲數據保護委員會（第六十八條至第七十六條）：設立歐洲數據保護委員會作為歐盟獨立機構，該機構的定位設置和運行。

二、自律機制（第四十條至第四十三條）

數據控制者和處理者的組織機構制定和實施行為準則，實施條例。

建立數據保護認證機構，以證明數據控制者或處理者的行為符合《條例》。

三、內部管理（第三十七條至第三十九條）

數據控制者和處理者應當指定數據保護專員，擔負組織內部個人數據保護職責，同時配合監管。

一

數據保護監管機構的定位和運行

《條例》第五十一條授權各成員國自主設立一個或一個以上的監管機構，沒有強制性要求統一名稱，但對監管機構的性質、成員、許可權、職責等做了一些具體規定。

（一）監管機構的獨立性

【法條詳見GDPR第52條】

【解讀】

獨立性應當是監管機構的天然屬性，只有確保了監管機構的獨立性，才能真正發揮其監督與管理職責。《條例》通過第五十二條的規定正式確立了監管機構的獨立地位。第五十二條從三個方面體現監管機構的獨立性：

1.獨立履職：

禁止主動或者被動的接受他人指示。

2.組織與人員獨立：

成員國向監管機構提供技術、財政資源、辦公場所和必要的基礎設施等，並確保各監管機構自主選擇並僱傭職員。

3.財政獨立：

各成員國不得以財政控制或影響監管機構的獨立性。

監管機構的獨立性不僅要求排除來自被監管機構的所有影響，也包括直接或間接的所有指示和其他外部影響，其應當有獨立的組織機構與人員構成，並不受任何財政控制，一切非獨立性因素都可能損害監管機構的客觀、公正，降低對個人數據的保護水平。

（二）監管機構的成員

【法條詳見第53、54條】

【解讀】

第五十三條及五十四條規定了監管機構的設立。監管機構的成員由成員國議會、政府、國家元首或經授權的獨立機構任命。成員應當具備相關的尤其是個人數據保護領域的資質、經驗和技能。成員每屆任期不得少於4年，其只能在重大失誤或不滿足必備條件時才能被解僱，任期內或任期結束後負有專業保密義務。關於監管機構成員的資置與資格條件、任命程序與規則、管理規則，《條例》授權各成員國法律自主規定。

（三）監管機構的管轄

【法條詳見第55、56條】

【解讀】

各監管機構在各自所在成員國境內履行職責，行使權力，其無權監管法院行使司法職權所實施的數據處理操作。根據數據處理活動所涉及的範圍及其性質，各監管機構之間有不同的許可權劃分：

對於監管機構的管轄權，需主要關注跨境數據處理活動中有許可權的監管機構，即識別主要監管機構。確定主要監管機構僅在控制者或處理者進行個人數據的跨境處理時才有意義。《條例》將「跨境處理」定義為兩種情形：其一，數據控制者或數據處理者在多個成員國境內多個營業場所所開展的數據處理營業活動；其二，個人數據處理髮生在位於歐盟境內的數據控制者或數據處理者的單一營業場所，但該活動對多個成員國的數據主體產生或可能產生實質影響。對第二種情形中的「實質影響」，不僅僅是指實際上的實質影響，只要存在實質影響的可能性，也能夠構成跨境數據處理。對「實質影響」的判定，可以考慮數據處理的背景、數據的類型、處理的目的以及處理是否涉及如下的因素：造成或可能對個人造成損害；對限制權利或拒絕機會具有或可能具有實際影響；影響或可能影響個人的健康，幸福或安寧；影響或可能影響個人的財務或經濟狀況；使個人受到歧視或不公平待遇；涉及對特殊類別的個人數據或其他侵入性數據，特別是兒童的個人數據的分析；導致或可能導致個人以顯著的方式改變他們的行為；對個人造成意料之外或不必要的後果；造成尷尬或其他消極後果，包括聲譽損害； 或涉及廣泛的個人數據處理。

（1）處理活動跨境時主要監管機構的確定

數據控制者或數據處理者在多個成員國境內多個營業場所所開展數據處理營業活動的，主要營業場所所在地的監管機構有權作為主要監管機構。對於主要營業場所的判斷，遵循以下方法：①數據處理活動僅涉及一個控制者，或者同時涉及控制者和處理者的，根據控制者判定主要監管機構：將控制者位於歐盟境內的管理中心視為主要營業場所；但是如果對於個人數據處理的目的和方式的決策是由另一有權營業場所作出的，將做出這類決策的營業場所視為主要營業場所。②數據處理活動僅涉及一個處理者的，即根據該處理者判定主要監管機構：將處理者位於歐盟境內的管理中心視為主要營業場所；但是如果在歐盟沒有管理中心，則將其以受本條例約束的處理活動為主要活動的營業場所視為其主要營業場所。

（2）實質影響跨境時主要監管機構的確定

個人數據處理髮生在位於歐盟境內的數據控制者或數據處理者的單一營業場所，但該活動對多個成員國的數據主體產生或可能產生實質影響的，則單一成員國的單一營業場所就是處理者和/或控制者的主要營業場所，改營業場所所在地的監管機構即是主要監管機構。（詳見下圖）

（四）監管機構的職責

【法條詳見第57條】

【解讀】

《條例》通過第五十七條全面系統的列舉了監管機構的法定職責，促進《條例》適當且一致的實施。總結如下：

（五）監管機構的權力

【法條詳見第58條】

【解讀】

《條例》第五十八條對監管機構的權力範圍作了明確規定。總結如下：

1.調查權

命令數據控制者或處理者提供所需信息；訪問違法行為涉及到的所有個人數據及必要信息；進入其實施違法行為的場所並調查所有處理數據的設備和工具。

2.矯正權

向數據控制者或處理者發出警告、訓斥，命令其更正行為，消除影響。具體包括通知數據控制者或處理者存在違法行為並命令其採取補救措施；命令其尊重數據主體的法定權利、提供必要信息；命令其更正、消除違法處理的數據；甚至可以做出臨時性或終局性的限制，比如禁止處理數據，禁止向第三國轉移數據；撤銷認證機制發放的認證；處以罰款。

3.授權與建議權

授權認證機構；批准認證標準；授權合同條款；批准公司約束規則；主動或根據請求，就有關個人數據保護的問題向國家議會、成員國政府或其他政治機構以及公眾發表意見。

4.受保護權

行使權力受合理保護，包括司法救濟、正當程序。

5.司法參與權

監管機構可以對數據控制者或處理者的違法處理行為提起訴訟。

責任編輯：顏容

【版權申明】本微信公眾號刊載的原創文章，歡迎個人轉發。未經授權，其他媒體、微信公眾號和網站不得轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！