欧盟超国家治理：华中传播研究

2023-10-20 理论教育版权反馈

【摘要】：GDPR是在促进欧洲内部市场一体化的背景下提出的，是欧盟超国家治理的典型体现。与此同时，欧盟也逐渐超越民族主权国家体制，从一个国家间的经济合作组织，逐渐发展出日益深化的区域性超国家治理模式。该指令规定了欧盟范围内数据收集、处理和保护的基本原则，为成员国的数据保护设立了最低标准。在随后的修改过程中，欧盟数据保护监督员作为独立数据监管当局，采纳了欧盟委员会提出的意见。

GDPR是在促进欧洲内部市场一体化的背景下提出的，是欧盟超国家治理的典型体现。从最初的煤钢联营到1957年《罗马条约》签署后经济共同体的成立，从1965年的《布鲁塞尔协议》到1986年的《单一欧洲法令》，再到1992年的《马斯特里赫特条约》及其修订版的1997年《阿姆斯特丹条约》，欧洲一体化程度不断加深。与此同时，欧盟也逐渐超越民族主权国家体制，从一个国家间的经济合作组织，逐渐发展出日益深化的区域性超国家治理模式。

以传媒治理为例，欧洲一体化在最初的数十年里并不涉及传媒领域，直到20世纪80年代中期，基于媒介技术的融合以及媒介产业化发展的巨大潜力，欧盟才在单一内部市场的框架下逐步进行以“电视无国界”为代表的对广播电视的超国家治理。［2］与之类似的是，GDPR也是在单一内部市场的框架下提出的。

早在1974年，欧洲经济合作与发展组织（OECD）就成立关于跨境个人信息传输和隐私权保护的专家组开展研究，1980年经合组织理事会提出了《保护个人信息跨国传送及隐私权指导纲领》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）。1981年，欧洲理事会成员国签署了《有关个人数据自动化处理之个人保护公约》及其附加议定书，这是欧盟层面首次制订具有法律约束力的个人数据保护文件，也是全球首个关于数据保护的有法律约束力的公约。但该公约并没有取得预期效果，到1989年底，大部分欧共体成员国没有批准该公约，即使批准该公约的7个成员国，也都没有建立配套的国内实施法规，而各国的信息保护法发展的差异，已经对欧洲市场的发展构成障碍。有鉴于此，欧盟委员会于1990年向欧洲理事会提交了一份《关于保护共同体个人信息及信息安全的指令草稿》，从而开启了欧洲信息保护法律制度一体化的进程。1992年《马斯特里赫特条约》正式生效，宣告欧盟诞生。1995年，欧盟通过《关于个人数据处理保护与自由流动指令》。该指令规定了欧盟范围内数据收集、处理和保护的基本原则，为成员国的数据保护设立了最低标准。由于当时的互联网商用正处于初级阶段，因此对个人信息的保护，仅限于用户名称、个人地址、联系方式及相对简单的交易信息和通信记录。此外，根据欧盟法律，指令无法直接适用于成员国，而必须由成员国转化为国内适用的法律，因此《95指令》仅具有指示性，不具有强制性。在指令实施过程中，成员国在将指令转化为国内法时，也采取不同的解释和选择，其中一些开放式条款让各国在执法和释法中产生了分歧，由此造成欧盟个人信息保护法律制度的复杂性和不确定性，增加了行政成本。

所有的欧盟政策，都必须在欧盟法律框架下进行。按照《马斯特里赫特条约》的框架，欧洲联盟有三大支柱，即欧共体事务、公共外交与安全政策以及刑事领域的警务与司法合作。［3］后两者属于仍然维持“政府间”性质的“高阶政治”，而欧共体事务下的一体化政策则在相当程度上攫取了成员国的政策制定权，其政策机制主要是超国家的，包括咨询程序、同意程序和共同决策等基本程序，其中又以共同决策程序的超国家色彩最强。这一点，也明显反映在GDPR的制订过程中。

随着互联网技术的发展和用户隐私需求的变化，《95指令》中的信息保护框架亟待修订。进入千禧年后，欧盟于2002年和2009年先后通过了《隐私和电子通信保护指令》（2002/58/EC）和《欧盟Cookie指令》（2009/136/EC）。前者确定了一些个人数据保护的基本原则，如未经用户同意不得保留和使用用户数据、网络服务商必须保障用户的知情权、通知收集的数据范围和进一步处理时的意图并且告知用户有不同意的权利等；后者则是对前者的重要补充，包括勾勒了电子商务中Cookie的使用规范和信息披露机制，强化了用户的知情权，让用户对网站收集、保留和追踪用户信息有了更为明晰的了解，对网站生成、使用和管理各类基于Cookie的个人数据，提出了更为严格的界定，以避免个人信息被滥用。上述法律的陆续颁布，构成了21世纪前十年欧盟数据保护制度的基石。

2009年《里斯本条约》生效后，欧盟的发展迎来了一个新的阶段。面对内部困境和外部新兴经济体崛起等一系列挑战，欧盟迫切需要加强一体化建设，整合更多的内部资源，寻找新的增长点。有鉴于此，欧盟于2010年公布了“欧洲2020战略”（Europe 2020 strategy），将“欧洲数字议程”（Digital Agenda）列为七大旗舰计划之一。该议程提出的明确目标是：建立数字市场以便实现欧洲的智能、可持续和包容性增长。2011年，欧盟制定的《单一市场法案（一期）》（Single Market Act I）也将数字领域列为潜在增长点，希望数字化成为欧盟参与全球竞争的主要推动力。上述目标的实现，有赖于充足的数据资源实现内部自由流动，因而需要统一立法来为数字经济增长保驾护航。欧盟已经意识到，各国的单独立法让单一数字市场建设变得难以为继，无法形成统一的治理规则，因此，对现有数据保护制度的修订随即提上日程。(www.chuimin.cn)

按照咨询程序、同意程序和共同决策程序，在当年的欧盟委员会通讯上，欧盟数据保护监督员（European Data Protection Supervisor，即EDPS）提出了对现有数据保护制度进行改革的意见。欧盟委员会认为，《95指令》已经无法阻止各国在个人信息保护过程中各自为政，因此需要更加全面和连贯的政策来确保个人数据保护中的基本权利。欧盟委员会还认为，对现有个人信息保护制度改革的目标，应当是加强在线隐私权利、振兴数字经济。经过讨论，欧洲议会在2012年公布了GDPR草案。针对草案中的一些条款，一些来自欧洲本土和美国的科技公司提出了大量修改意见，希望不要因为过于严苛的数据保护制度而扼杀了数字创新。在随后的修改过程中，欧盟数据保护监督员作为独立数据监管当局，采纳了欧盟委员会提出的意见。在采纳之后，作为咨询机构的第29条工作组（Article 29 WP）提出了部分修改建议。［4］2014年初，欧洲议会以投票形式通过对意见的采纳和修改。2015年中，欧洲理事会形成了关于GDPR内容的总体思路，并且在一个月后，由欧盟数据保护监督员公布了GDPR的最终内容草案。欧洲议会、欧洲理事会和欧盟委员会在当年底就草案内容达成了协议，并于2016年4月正式公布，规定在2018年5月25日生效。GDPR正式取代了《95指令》，成为欧盟统一的数据保护法，在各国具有强制执行力。

从整个出台过程来看，GDPR经历了提出意见、采纳和修订、内部讨论、草案达成、最终通过、缓冲期等阶段，在充分体现各方立场的基础上达成了共识，是多种利益平衡的产物。

企业认为，数据是互联网时代的生产资料和财富发酵场，用户的上网记录、浏览器记录、网购次数、交易行为、聊天记录等，在大数据时代蕴含着巨大的经济价值，可以用作广告精准投放、市场评估和用户行为分析。他们担心，一旦条款过于严苛，将不利于充分使用数据资源，最终不利于数字经济发展。因为获取原数据的边际成本接近为零，互联网巨头自然不会放弃这些“原始股”，因此谷歌、亚马逊等硅谷企业将欧洲视作重要市场，奉“信息的自由市场”和“数据的自由流动”为圭臬。广大用户则认为，侵犯用户个人信息安全的行为已经无处不在，对个人隐私的破坏变得无孔不入，因此必须建立一套完善的用户个人信息保护体系，满足个人信息自决权的实现。从立法导向来看，欧盟将内部数字壁垒、数据保护立法碎片化等视作发展数字经济的阻碍，因此GDPR提出，“内部市场运行带来的经济和社会一体化导致个人数据跨境流动的实质性增长”，“考虑到在内部市场建立信任体系以促进数字经济发展的重要性，需要在欧盟建立一套有效的且条理分明的数据保护框架并使之有效施行。自然人应当对其个人数据具有控制力。自然人、经济运行者和公权力机构的法律适应的确定性应该被提高”。

我们可以从三个方面来看GDPR所体现出的超国家治理特征。一是从适用范围来看，GDPR无须转化为国内法即可在欧盟全境生效，体现出法律的超国家性。二是在监管机构设置上，GDPR设立了欧盟数据保护委员会（European Data Protection Board，简称EDPB）来确保GDPR执法过程中的统一和连续。EDPB处于欧盟数据保护体系的中心位置。根据GDPR第68条规定，GDPR生效后，欧盟数据保护委员会（EDPB）取代之前的第29条工作组，推动并协调成员国数据保护机构合作，确保欧盟境内数据保护规则的应用。在人员构成上，EDPB由各国数据保护监管机构和欧盟数据保护监督员或其代表组成，［5］欧盟委员会有权在不投票的前提下参与会议，这种组成模式可以让各国做到充分沟通，具有充分的代表性。在具体任务上，欧盟数据保护委员会不仅制定GDPR执行的指南性文件，同时也对数据跨境处理等争议发布具有约束力的决定权，避免GDPR在执行过程中因各国司法体系的差异产生混淆，因此EDPB相当于争议的最高裁决者。GDPR还规定，欧盟各实体机构要设立专门的数据保护官员（Data Protection Officer，简称DPO）来监管内部的个人数据处理活动是否合规。从职能来看，DPO相当于机构内部的首席隐私官，其主要作用在于评估潜在的隐私风险并提出针对性建议。目前已经有包括欧洲议会、欧洲中央银行在内的数十个欧盟机构设立了数据保护官员。从组织形态来看，这套“联盟—实体机构—国家”三级数据保护体系的设立，有助于建立“一站式”的争议解决和服务流程。此外，GDPR还规定了欧盟境内企业主体或主成立地所在国的监管机构可以对企业的全部数据活动进行监管，其效力适用于欧盟全境，主导的监管机构要尽量反馈其他成员国的意见，如有分歧则必须提交欧盟层面处理。

此外，GDPR是由欧洲议会立法通过的。按照《罗马条约》的规定，创议权由欧盟委员会独享，最终立法权则属于欧盟理事会，因此以往的欧洲议会并不像各国议会那样具有完全的立法权，而仅仅具有有限的接受咨询和提出建议的权力，这被认为是欧盟“民主赤字”的缘由。但是1992年《欧洲联盟条约》创造的138条B款，极大地增强了欧洲议会的立法创议权。在媒介治理方面，欧洲议会作为代表人权与公民权的独特平台，不断设置议程，并且针对欧盟相关条约的市场偏向，竭力从维护公共利益出发，积极参与共同决策程序，发挥着重要的政治、文化和社会影响。回顾GDPR的出台，可以看出欧洲议会的该项立法，既是政治行为也有经济考量，既反映了欧盟从经济一体化向政治一体化的发展进程，也体现出欧盟区域性超国家治理的制度化建设成果。

欧盟超国家治理：华中传播研究

相关推荐