信息安全与美国域外取证

欧盟信息保护立法

与美国域外取证的冲突和启示

马晓旭

摘要

在全球化和信息化的时代背景下，数据信息安全的保护成为各国积极研究的课题，欧盟历经近30年

的摸索与实践，逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。该体系的建立对于保护个人信息安全具有十分重要的积极意义，但同时也对国际司法协助的开展产生一定的影响，尤其欧盟与美国域外取证之间的冲突和矛盾，至今无法解决。而我国信息安全立法的缺失，常常使司法机关在外国提起的调查取证中处于被动地位，因此欧盟的信息保护立法对我国今后的相关立法具有重要的参考价值。关键词

欧盟

信息安全

美国

调查取证

国际司法协助

共和国商业银行法》等少数法律文件，导致我国当事人在应对美国等发达国家的调查取证请求时，无法保护自身的合法权益，因此，如何有效利用信息保护立法，进而在外国调查取证中保护我国企业的正当权益成为目前亟需研究的问题之一。本文希望可以通过对欧盟的信息保护立法和司法实践的介绍，为我国如何应对外国调查取证，保护我国数据信息安全提供一些启示。

一、欧盟信息保护立法的发展与实践（一）《欧盟数据保护指令》的出台背景和目的《欧盟数据保护指令》是“欧盟隐私和人权法”的重要组成部分，所谓“指令”（Directive〔1〕）是欧盟的一种立法方式，“指令”只要求欧盟成员国达成特定的目标，但并不限制成员国达成目标的方法，“指令”通常都为成员国留有酌情权，好让成员国有弹性地执行。

在欧洲的法治进程中，欧洲国家关于隐私权相关法律的发展比较成熟。《欧盟人权公约》第8条规定了尊重他人“隐私及家庭生活、家庭住址和联系方式”的权利，在具体适用中，欧洲人权法院对这一条进行了非常宽泛的解释。1980年，经济合作发展组织（OrganizationforEco- 经济全球化和电子技术的不断进步，使数据信息流通变得更为频繁和便利，为保护本国信息安全，各国逐渐开始对数据信息保护进行立法和规范。欧盟在信息的保护立法和实践中，走在国际前沿。早在1995年10月24日，欧洲议会和欧洲理事会就颁布了第95/46/EC号指令，

以保护个人信息的处理及流转（以下简称《欧盟数据保护指令》(EUDataProtectionDirective），这也是欧盟信息数据保护框架的核心文件。2002年7月12日，欧洲议会和欧洲理事会再次颁布第2002/58/EC 指令，用以补充规范电子通信领域个人数据处理和隐私保护（以下简称《欧盟电子隐私指令》(EUE-PrivacyDirective），为了顺应时代发展和技术进步，2012年1月，欧洲委员会又提出了《欧盟数据保护规则》草案，以取代《欧盟数据保护指令》。这一法案未来需在欧洲议会全体会议上表决,并获得欧盟28个成员国的支持，才能最终通过并得以实施。新法案的出台，将标志着欧盟在信息保护方面进入了一个全新的阶段，具有里程碑式的重要意义。

不过，欧盟各国的信息保护立法虽然在保护本国公民权益和国家利益方面具有突出的作用和意义，但也给非欧盟国家的域外取证带来了很大的障碍，其中与之冲突最明显的就是美国的域外取证制度，欧盟成员国根据各自的信息保护立法，都无法接受美国法院调查取证请求的范围和形式，使美国在欧盟领域内的调查取证存在很大的困难，这一冲突已成为国际司法协助领域内至今仍无法协调的矛盾之一。

而在中国，随着经济的快速发展，越来越多的企业开始向国外拓展业务，国内企业在国外发生法律纠纷的情况难以避免，因此国外法院向我国法院提出的调查取证请求也会逐渐增多，但我国在信息保护方面的发展相对滞后，至今尚无较为完善的信息保护体系，关于信息保护的规定，仅散见于《中华人民共和国保密法》、《中华人民

nomicCooperationandDevelopment(OECD)试图在欧洲建立一个广泛的数据保护系统，并提出了具体的建议，〔2〕但OECD的建议缺乏约束力，欧洲各国的隐私信息保护立法仍属于各自为政的状态。1981年，欧洲议会开始制定保护《自动处理个人数据的保护公约》（Conventionforthe

ProtectionofIndividualswithregardtoAutomaticProcess-ingofPerso nalData），该公约要求签约国对个人数据自动处理的保护进行立法。之后，欧洲委员会意识到如果欧洲各国对个人数据保护的立法原则不同，将会阻碍欧盟内部个人信息数据的流转，在这种背景下，欧洲委员会提出了制定《欧盟数据保护指令》的建议。

1995年《欧盟数据保护指令》正式颁布，目的是为了确

〔1〕"directive"在欧盟官方的德文用语里叫做"Richtlinie"，就是准则之意。

〔2〕RecommendationsoftheCouncilConcerningGuidelinesGoverningthePr otectionofPrivacyandTrans-BorderFlowsofPersonalData.

118

JournalofLaw

Application

法律适用法律适用

201320132014年年第第1293期期保欧盟领域内私人数据信息被处理时可以得到一定标准的保护措施。该“指令”在性质上并非法律，但应作为欧盟各国进行相关立法的指导原则和范本。这是一种典型的欧盟立法模式，通过范本的指引，实现欧盟各国统一的立法原则。在这种模式下，各国立法的宗旨和原则是基本一致的，但不排除各国根据各自实际情况，进行有差异的立法。

（二）《欧盟数据保护指令》的基本框架和主要特点《欧盟数据保护指令》共34条，分为7个章节，第1章是总则，阐述了本指令的主要目的、定义了指令中涉及的基本概念、界定了指令适用的范围和应适用的国内法等；第2章是处置个人信息的一般规则，为在欧盟领域内合法处置个人信息设定了条件和范围、信息主体所享有的权利等；第3章是对在非法处置个人信息情况下，受害人可以采取的司法救济、当事人承担的责任和法院可以签发的禁令等进行规定；第4章主要规定了向第三国转移数据的相关法律问题，这里第三国是指非欧盟国家；第5章规定了指令适用的行为准则，对各成员国的行为进行约束；第6章要求各成员国成立监管机构，包括机构的具体职能和人员构成；第7章是欧盟委员会的执行措施；在最后条款中，对各国根据本指令进行国内立法的具体要求，例如时限等。

《欧盟数据保护指令》经过将近20年的实践，已成为欧洲信息保护框架的核心，具有如下几个特点。