内容简介
《简明欧洲信息技术法/威科法律译丛》囊括了与信息技术相关的14件重要欧盟指令或条例,并对欧盟运行条约的相关条文进行了专门介绍。在各领域专家对这些欧里指令、条例及条约相关条文进行逐条分析的基础上,借助欧洲法院、成员国高等法院等判例,从历史和实践两个方面给读者提供了颇具深度的学术观点概览。
当前,我国的互联网立法架构以及电子商务法律正处于逐步完善的过程中,我们需要的不仅仅是对其中既有法律问题的透彻了解,更需要选择恰当的工具予以应对。在这方面,《简明欧洲信息技术法/威科法律译丛》涉及的欧盟相关指令和条例,都会给我们带来有益的启示和借鉴,为我们解决相关问题提供更为多样的思路和选择。
精彩书摘
《简明欧洲信息技术法/威科法律译丛》:
第17条
(1)成员国须规定控制主体须采取适当的技术及组织措施,在数据处理涉及网络传输数据时保护个人数据,使之免于因事故或违法原因而遭毁坏,或遭受意外损失、改变,或遭受未获授权的披露或查看及其他所有形式的违法数据处理。
(2)在数据处理是以控制主体名义处理的情形下,成员国须规定数据控制主体须选择一个对处理技术安全措施及组织措施方面有充分保障的处理主体,并须确保这些措施得到遵守。
(3)通过处理主体进行数据处理的,须由能够使控制主体约束处理主体的合同或法律文书进行规制,该合同尤其应该规定以下事项:
一处理主体仅得在控制主体指示时方可行动;
一第1款规定的义务如被处理主体设立地成员国的法律所界定,也应由处理主体承担。
(4)为了证据保存之目的,合同或法律文书中与数据保护及第1款所指措施的规定应以书面或其他同等形式作出。
1.数据安全(第1款)。控制主体有义务采取必要措施确保数据安全。这些措施可以是技术性的,也可以是组织措施。技术性的措施包括利用密码、安全连接及防火墙技术,还包括诸如安全室等方式使得无法对硬件进行实际查看。组织措施包括在登录信息技术系统时使用授权及认证程序,还包括雇员甄别或者对任务进行功能性分工的措施。
2.适当的措施及成本(第1款)。就数据处理相关风险及数据特性而言,所采取的措施必须是适当的。敏感数据也许需要采取更复杂的安全措施。相较小型及临时数据处理而言,大型体系化的数据处理操作也许还会要求采取更稳妥的安全措施。在数据保护领域缺少具体安全要求的情形下,一般认为可以使用诸如ISO/IEC 27002之类的一般信息安全标准,也可在可能的情形下采用诸如荷兰医学领域使用的NEN 7510S之类适用于具体领域的安全标准。因此,数据控制主体有必要在建构及实施数据处理体系的时候,雇佣或者咨询信息安全专业人员,以帮助自己实施这些标准。数据控制主体并没有义务使用市场上最为复杂的安全措施。在对数据处理风险及处理该等风险所需成本作出评估之后,数据控制主体可以选择任何现有的适当措施。成本须与风险相匹配,并不需要开支过大。然而,尤其在数据网络或者互联网上处理数据的情形下,道高一尺,魔高一丈,数据控制主体就需要定期对风险进行评估,并在必要的时候更新其所实施的安全措施。
3.设计保障隐私。如今“设计保障隐私”的概念受到了很多关注。这就暗示着隐私保护措施是信息处理设计中的有机组成,而不仅仅是事后在信息处理之外添加的保护措施。设计保障隐私意味着信息处理及其商业生态体系的设立就是以隐私保护为宗旨的。它包括能动的预防措施,在侵犯隐私事件发生前就予以预见并加以防范。这意味着隐私无须经个人或用户选择就可以默认得到保护。隐私保护植入到信息系统设计之中,使得隐私成为该等体系运作的核心要素。另外,保障隐私在设计中加以体现,就意味着从采集数据开始,就适用数据最小化原则,直到对数据予以安全和及时销毁这整个生命周期,隐私都得到了保护。包括对承诺及目的的独立验证在内,对于所有利益相关方,所有这些都是可以完全预见并保持透明。最后一点也很重要,这也意味着数据主体因这些措施而能够很容易地了解其隐私所面临的风险并根据其偏好作出相应选择。
……
目录
前言
第一部分 数据保护指令
欧洲议会及欧盟理事会第95/46/EC号指令(《个人数据保护指令》)
介绍性说明
指令条文
第一章 一般条款
第二章 个人数据处理合法性之一般规则
第三章 司法救济、法律责任及处罚措施
第四章 将个人数据转移予第三国
第五章 行为准则
第六章 个人数据处理所涉个人权利保护监管机构及工作方机构
第七章 共同体实施措施
最终条款
欧洲议会及欧盟理事会第2002/58/EC号指令(《隐私与电子通讯指令》)
适用范围及宗旨
定义
有关服务
数据处理之安全
通讯的保密
通讯数据
出具明细账单
显示及限制来电及线路接通号码
通讯数据之外的位置数据
例外情形
自动呼叫转接
用户号码簿
非请而至的通讯
技术特征及标准化
小组委员会程序
适用第95/46/EC号指令相关规定
实施及执行
过渡安排
转换
审议
废止
生效
适用对象
第2006/24/EC号指令(《数据留存指令》)
主题事项及范围
定义
数据留存义务
查看数据
……
第二部分 电子商务指令
第三部分 公共领域信息指令
第四部分 其他相关指令
第五部分 附录
试读
《简明欧洲信息技术法/威科法律译丛》:
第17条
(1)成员国须规定控制主体须采取适当的技术及组织措施,在数据处理涉及网络传输数据时保护个人数据,使之免于因事故或违法原因而遭毁坏,或遭受意外损失、改变,或遭受未获授权的披露或查看及其他所有形式的违法数据处理。
(2)在数据处理是以控制主体名义处理的情形下,成员国须规定数据控制主体须选择一个对处理技术安全措施及组织措施方面有充分保障的处理主体,并须确保这些措施得到遵守。
(3)通过处理主体进行数据处理的,须由能够使控制主体约束处理主体的合同或法律文书进行规制,该合同尤其应该规定以下事项:
一处理主体仅得在控制主体指示时方可行动;
一第1款规定的义务如被处理主体设立地成员国的法律所界定,也应由处理主体承担。
(4)为了证据保存之目的,合同或法律文书中与数据保护及第1款所指措施的规定应以书面或其他同等形式作出。
1.数据安全(第1款)。控制主体有义务采取必要措施确保数据安全。这些措施可以是技术性的,也可以是组织措施。技术性的措施包括利用密码、安全连接及防火墙技术,还包括诸如安全室等方式使得无法对硬件进行实际查看。组织措施包括在登录信息技术系统时使用授权及认证程序,还包括雇员甄别或者对任务进行功能性分工的措施。
2.适当的措施及成本(第1款)。就数据处理相关风险及数据特性而言,所采取的措施必须是适当的。敏感数据也许需要采取更复杂的安全措施。相较小型及临时数据处理而言,大型体系化的数据处理操作也许还会要求采取更稳妥的安全措施。在数据保护领域缺少具体安全要求的情形下,一般认为可以使用诸如ISO/IEC 27002之类的一般信息安全标准,也可在可能的情形下采用诸如荷兰医学领域使用的NEN 7510S之类适用于具体领域的安全标准。因此,数据控制主体有必要在建构及实施数据处理体系的时候,雇佣或者咨询信息安全专业人员,以帮助自己实施这些标准。数据控制主体并没有义务使用市场上最为复杂的安全措施。在对数据处理风险及处理该等风险所需成本作出评估之后,数据控制主体可以选择任何现有的适当措施。成本须与风险相匹配,并不需要开支过大。然而,尤其在数据网络或者互联网上处理数据的情形下,道高一尺,魔高一丈,数据控制主体就需要定期对风险进行评估,并在必要的时候更新其所实施的安全措施。
3.设计保障隐私。如今“设计保障隐私”的概念受到了很多关注。这就暗示着隐私保护措施是信息处理设计中的有机组成,而不仅仅是事后在信息处理之外添加的保护措施。设计保障隐私意味着信息处理及其商业生态体系的设立就是以隐私保护为宗旨的。它包括能动的预防措施,在侵犯隐私事件发生前就予以预见并加以防范。这意味着隐私无须经个人或用户选择就可以默认得到保护。隐私保护植入到信息系统设计之中,使得隐私成为该等体系运作的核心要素。另外,保障隐私在设计中加以体现,就意味着从采集数据开始,就适用数据最小化原则,直到对数据予以安全和及时销毁这整个生命周期,隐私都得到了保护。包括对承诺及目的的独立验证在内,对于所有利益相关方,所有这些都是可以完全预见并保持透明。最后一点也很重要,这也意味着数据主体因这些措施而能够很容易地了解其隐私所面临的风险并根据其偏好作出相应选择。
……
前言/序言
作为威科公司的法律评论出版物系列中重要的一本欧洲知识产权法律精要,本书囊括了与信息技术相关的14件重要欧盟指令或条例,并对欧盟运行条约的相关条文进行了专门介绍。在各领域专家对欧盟指令、条例及条约相关条文进行逐条分析的基础上,本书不但勾勒了欧洲信息技术法的架构,而且也借助欧洲法院、成员国高等法院等判例,从历史和实践两个方面给读者提供了颇具深度的学术观点概览,使得整本著述体系宏大又颇具深度。
一、概述
首先,何谓信息技术法,本书并没有试图做出清楚的界定,但是在引言部分,使用了看起来比较狭窄的概念:信息社会服务。这个概念是欧盟《电子商务指令》的核心。在其前言第17项,《电子商务指令》就所谓“信息社会服务”总结如下:“通常为取得报偿而应服务接受方的个别请求、远程通过电子设备处理(包括数据压缩)并存储数据所提供的任何服务。”据此,本书探讨的问题实际上类似于我国某种意义上的互联网法。但此处的互联网法并不涉及互联网内容服务,也不包括网络安全的相关法律制度。一方面,由于欧盟补充原则,所有的内容服务涉及欧盟成员国所保留的主权范围,欧盟对此并无职权。因此,欧盟互联网法不可能对互联网内容服务予以规制。对于互联网法的基础——电信法律,由于其已经在欧盟成为一个单独的研究领域,所以本书并没有将之纳入,而是将其中的《隐私与电子通讯指令》作为数据保护的一项措施加以论述。另一方面,对互联网的监控或监管是一个非常复杂的问题,在德国和法国这两个主要的欧盟成员国都遇到宪法上的问题,且西方舆论一直将互联网视为言论自由的一个通道,将网络安全简化为网络攻击问题,对网络安全的社会意义,其法律制度着墨不多。但是,斯诺登事件表明:在实践中,网络已经成为各主权国家基于各自利益予以监控或监管的对象,这与一直以来互联网“共享”、“自由”及“跨国界”的乌托邦设想格格不入。实际上,法国法院在“雅虎案”中通过对美国雅虎网站行使司法管辖权,就已经宣告了互联网乌托邦的终结。而继欧盟委员会于2013年发布《欧盟网络安全战略》之后,2016年7月6日,欧盟通过(EU) 2016/1148号《网络与信息系统安全指令》(Directive on Security of Network and Information Systems,简称NIS指令),该指令的宗旨是为了在欧盟范围内确保网络与信息系统实现高水准的安全。这样,虽然本书目前并不涵盖互联网内容和互联网安全议题,但互联网或信息社会服务的发展决定了其将属于本书在未来需要涵盖的范围。
其次,对于以信息社会服务为核心的“信息技术法”,本书实际上围绕着信息技术的两个方面加以展开。“一方面是要建立适应电子交易发展需要的法律架构,另一个则是对该发展趋势所弱化的个人自由权利予以保护。”后者主要是指以《数据保护指令》为核心的个人权利保护制度,而前者主要是指以《电子交易指令》为核心的交易制度。当然,这种架构并非绝对。首先,作为权利保护架构支柱的《数据保护指令》本身就具有双重目标:一方面,保护个人数据权利,另一方面,确保个人数据的自由流动。“这种双重目标就说明了《数据保护指令》需要处理的矛盾关系。这两方面都有其正当性,并不相互排斥。在《数据保护指令》制定者决定应该优先对待个人的隐私权时,就为其规定的数据自由流动划定了边界。”其次,在作为交易制度的支柱《电子交易指令》中,就十分强调对消费者权益的保护。虽然《消费者权利指令》并非本书的评述对象,但在评述中还是强调了《消费者权利指令》对电子交易环境下消费者权益保护的意义;最后,在欧盟信息社会服务制度中,一项十分重要的指令就是《数字签名指令》,该指令的核心实际上就是通过确保数字签名的安全来保障电子交易的安全有效。综上所述,本书主要是从权利保护和促进交易两个方面来对相关指令予以评述的。
