欧盟个人信息保护分析(中英文)

介绍（Introduction）：
With the development of technology, Internet has become an inseparable part of daily life. As great convenience it brings to us，in the same time，it put people personal information at high risk of breaching.
当我们享受着信息时代为我们带来的轻松愉快的信息共享盛宴的同时，我们同样不得不面对信息失控给我们带来的威胁，也许有一天，当你打开网页搜索自己的名字的时候会惊奇地发现，上面可以找到自己的电话、职位等等信息，而这些信息并不是你所希望让别人知道的。

随着垃圾短信的增加，骚扰电话的不断，每一个人都切身体会到了信息安全的威胁，每个人在个人信息保护方面都开始谨小慎微，但是当360和腾讯骂战开始的时候，人们突然发现，信息的泄露已经防不胜防，它已经渗透到了我们生活的方方面面，互联网及大数据的发展使得个人信息的传播泛滥成灾，成千上万的我个人信息被互联网肆意传播，一次不经意的个人信息泄露，就会造成难以挽回的麻烦。

针对于个人信息泄露引发的各类案件的增多，也引起了社会的重视，国家也通过适当的法律对信息安全的保护进行了立法。

本案例分析以指定案例作为分析对象，以欧盟数据保护法与中国规范互联网信息服务市场秩序若干规定分别作为法律依据进行分析，同时讨论加强个人信息保护的紧迫性和必要性。

事实（Fact）：
1、Lily purchased a laptop as well as a tablet computer from , using her credit card in payment. However，’s servers were hacked
so that the hackers had gained access to a number of accounts, including Lily’s, and used her payment information stored in account to buy a large number of expensive items.
2、For reading E-books，Eddie gives his name, address, email address and date of birth. A week later, in order to unlock further levels on games, Eddie completed several surveys about his tastes in food and in movies. Then Eddie start to receive large quantities of spam email from companies other than .
分析（Analysis）:
问题一：
欧盟保护个人信息的目的在于：保护自然人的基本权利和自由，特别是涉及处理个人数据的隐私权；成员国不应因保护个人数据而限制或禁止个人数据在成员国之间的自由流动。

欧盟将个人信息界定为：个人数据是指一个数据主体相关的任何信息；数据主体是指一个可识别的自然人，或控制者、自然人、法人通过有效运用数据而识别的一个自然人，特别是运用这个人的身份证号码、定位数据、网络标识符、生理、心理、基因、精神、经济、文化、社会身份。

并对基因数据、生物识别数据及健康数据进行了分别界定，将基因数据、健康数据、性生活及犯罪前科作为特殊类型的数据予以专门保护。

这表明欧盟对个人信息的保护内容范围是比较广的。

欧盟在信息的保护立法和实践中，走在国际前沿。

欧盟历经近30年的摸索与实践，逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。

该体系的建立对于保护个人信息安全具有十分重要的积极意义。

早在1995年10月24日，欧洲议会和欧洲理事会就颁布了第95/46/EC号指令，以保护个人信息的处理及流转(EU Data Protection Directive），这也是欧盟信息数据保护框架的核心文件。

2002年7月12日，欧洲议会和欧洲理事会再次颁布第2002/58/EC指令，用以补充规范电子通信领域个人数据处理和隐私保护（以下简称《欧盟电子隐私指令》(EU E-Privacy Directive），为了顺应时代发展和技术进步，2012年1月，欧洲委员会又提出了《欧盟数据
保护规则》草案，以取代《欧盟数据保护指令》。

新法案的出台，将标志着欧盟在信息保护方面进入了一个全新的阶段，具有里程碑式的重要意义。

首先，《欧盟数据保护指令》对个人信息的界定非常广泛，是指能够确认个人身份直接或者间接的所有信息，包括照片、电子邮箱地址、银行信息、在网络发布的言论、医疗信息以及计算机信息等所有相关信息。

指令要求所有相关信息必须“合理并合法”地进行使用和处理，必须基于特定、明确以及合法的理由进行收集，不应因其他理由而被使用。

同时，个人信息的使用应被严格限制范围，不应超出使用目的之外进行处理。

指令第1 条开宗明义地指出:成员国应该保护自然人的基本权利和自由, 尤其是他们涉及个人数据处理的隐私权。

合法处理数据的要
求有六项: ( 1) 同意。

只有数据主体明确同意, 个人数据才可能被处理。

( 2) 合同。

只有处理数据是为了履行数据主体作为其中一方而签订的合同或者为了执行参与合同的数据主体的请求, 个人数据才可能被处理。

( 3) 法定义务。

如果处理数据与数据主体履行其法定义务相符, 则个人数据可以被处理。

( 4) 重要利益。

如果处理数据是为了保护数据主体的重要利益, 则个人数据可以被处理。

( 5) 公共利益。

如果处理数据是为了执行维护公共利益的任务, 则个人数据可以被处理。

( 6) 合法利益。

如果处理数据是为了保护知晓该数据的数据管理者或第三方的合法利益, 则个人数据可以被处理, 除非在指令第1 条保护下的数据主体的利益、基本权利和自由胜过该合法利益。

数据主体主要有三项权利: ( 1) 知情权。

每个数据主体都有权从数据管理者处知晓有关自身的数据是否被处理、处理该数据的目的、该数据所属类型、该数据的接收者或接收者的类型。

( 2) 修改和阻止使用权。

如果数据管理者因为采用了不全面或不准确的数据而对数据的处理与指令的规定不符, 则每个数据主体都有权要求管理者修改、删除或阻止对该数据的使用。

( 3) 反对权。

每个数据主体都有权在任何时候就其自身的特殊情况基于强制性的法定理由对数据处理提出反对。

指令要求成员国采取合适的技术性和组织性措施保护个人数据不受偶然或非法的破坏, 防止对数据的意外丢失和未经授权对数据进行修改、披露或访问。

适当的安全保障能够减小处理数据过程中所蕴含的风险。

, as a large internet shopping company in the EU, failed to build security system matching its strength. For whatever reason, failed to try their best to maintain their security system. The company’s error provides hackers with legal identity to penetrate the network. In principle, can forestall this accident by imposing relative education or security policies.
问题二：
In China, there is no single law that governs information security regulations. Some patchworks of laws indirectly impose information security obligations. Such as PRC Security Statutes for Computer Information System, Administration of Internet Electronic Messaging Services Provisions, and Administrative Measures on Internet Information Service. They regulate requirements of keeping data secure for ISPs.
目前，中国网民数量已经达到4.97亿，互联网信息服务提供者达到355万家。

与此同时，互联网信息服务竞争日益激烈，违法事件逐渐增多，不规范经营、侵害用户权益的行为时有发生，有必要加快制定相关立法。

制定《若干规定》，有利于明确互联网信息服务的行为准则，形成良好的信息服务环境。

近年来的相关违法事件，凸显出互联网信息服务相关法律法规不健全、具体行为规范缺失等
问题。

通过制定《若干规定》进一步明确互联网信息服务规则和行为边界，有利于定纷止争，建立依法经营、依法维权的服务环境，保护互联网信息服务提供者和用户的合法权益。

制定《若干规定》，有利于推进互联网管理领域的依法行政。

在处置互联网信息服务违法事件的过程中，面临着有效法律手段缺乏、法律依据不足等问题。

制定《若干规定》，有利于进一步完善相关管理制度，推进互联网管理工作的依法进行。

In particular, the “Several Provisions on Regulating the Market Order for Internet Information Services“introduced by the PRC Ministry of Industry & Information Technology in 2012.
《规范互联网信息服务市场秩序若干规定》第四条，互联网信息服务提供者应当遵循平等、自愿、公平、诚信的原则提供服务。

第七条，互联网信息服务提供者不得实施下列侵犯用户合法权益的行为：（三）以欺骗、误导或者强迫等方式向用户提供互联网信息服务或者产品；（八）其他违反国家法律规定，侵犯用户合法权益的行为。

第十一条，未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息，不得将用户个人信息提供给他人，但是法律、行政法规另有规定的除外。

互联网信息服务提供者经用户同意收集用户个人信息的，应当明确告知用户收集和处理用户个人信息的方式、内容和用途，不得收集其提供服务所必需以外的信息，不得将用户个人信息用于其提供服务之外的目的。

第十二条，互
联网信息服务提供者应当妥善保管用户个人信息；保管的用户个人信息泄露或者可能泄露时，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告，并配合相关部门进行的调查处理。

同时，在其他规范性文件中同样有一些规则可以被参考。

《互联网电子公告服务管理规定》第十二条，电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露。

《互联网电子邮件管理方法》第十三条，任何组织或者个人不得有下列发送或者委托发送互联网电子邮件的行为：未经互联网电子邮件接收者明确同意，向其发送包含商业广告内容的互联网电子邮件；发送包含商业广告内容的互联网电子邮件时，未在互联网电子邮件标题信息前部注明“广告”或者“AD”字样。

《中华人民共和国刑法修正案（七）》，
将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

（）
参考文献：
1、欧洲会议95/46/EC指令和欧洲理事会在1995 年10 月24日颁布的关于私人数据处理和自由传输的个人保护政策。

2、Peter Cullen：《隐私信息和数据管理：分享信息，共享机会》. 载于周汉华：《个人信息保护前沿问题研究》.法律出版社2006年版，第374 页。

3、French date processing ,files and freedoms 1987，chapter 5 section 39.
4、Samuel Warren,Louis Brandeis.The Right to Privacy[EB/OL].。

/library/collec⁃tions/brandeis/node/225, 2012-11-10.
5、European Commission. Regulation on the protection of indi⁃viduals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
[EB/OL].http://ec.europa.eu/justice/data-protec⁃
tion/document/review2012/com_2012_11_en.pdf,2012-11-
6、Giorgos Rossides, DG JUSTICE, Data Protection Unit.A European Data Protection Framework for the 21st century: Safeguarding Privacy in a Connected World [EB/OL].
http://ec.europa.eu/sverige/documents/dp_re⁃
form_presentation_stockholm.pdf, 2012-11-22.
7、The European Union Direct ive on Dat a Prot ect ion , art . 1 para. 1；art . 6 para. 1；art . 7.。