欧盟个人信息保护分析(中英文)

介绍（Introduction）：

With the development of technology, Internet has become an inseparable part of daily life. As great convenience it brings to us，in the same time，it put people personal information at high risk of breaching.

当我们享受着信息时代为我们带来的轻松愉快的信息共享盛宴的同时，我们同样不得不面对信息失控给我们带来的威胁，也许有一天，当你打开网页搜索自己的名字的时候会惊奇地发现，上面可以找到自己的电话、职位等等信息，而这些信息并不是你所希望让别人知道的。随着垃圾短信的增加，骚扰电话的不断，每一个人都切身体会到了信息安全的威胁，每个人在个人信息保护方面都开始谨小慎微，但是当360和腾讯骂战开始的时候，人们突然发现，信息的泄露已经防不胜防，它已经渗透到了我们生活的方方面面，互联网及大数据的发展使得个人信息的传播泛滥成灾，成千上万的我个人信息被互联网肆意传播，一次不经意的个人信息泄露，就会造成难以挽回的麻烦。针对于个人信息泄露引发的各类案件的增多，也引起了社会的重视，国家也通过适当的法律对信息安全的保护进行了立法。

本案例分析以指定案例作为分析对象，以欧盟数据保护法与中国规范互联网信息服务市场秩序若干规定分别作为法律依据进行分析，同时讨论加强个人信息保护的紧迫性和必要性。

事实（Fact）：

1、Lily purchased a laptop as well as a tablet computer from , using her credit card in payment. However，’s servers were hacked

so that the hackers had gained access to a number of accounts, including Lily’s, and used her payment information stored in account to buy a large number of expensive items.

2、For reading E-books，Eddie gives his name, address, email address and date of birth. A week later, in order to unlock further levels on games, Eddie completed several surveys about his tastes in food and in movies. Then Eddie start to receive large quantities of spam email from companies other than .

分析（Analysis）:

问题一：

欧盟保护个人信息的目的在于：保护自然人的基本权利和自由，特别是涉及处理个人数据的隐私权；成员国不应因保护个人数据而限制或禁止个人数据在成员国之间的自由流动。欧盟将个人信息界定为：个人数据是指一个数据主体相关的任何信息；数据主体是指一个可识别的自然人，或控制者、自然人、法人通过有效运用数据而识别的一个自然人，特别是运用这个人的身份证号码、定位数据、网络标识符、生理、心理、基因、精神、经济、文化、社会身份。并对基因数据、生物识别数据及健康数据进行了分别界定，将基因数据、健康数据、性生活及犯罪前科作为特殊类型的数据予以专门保护。这表明欧盟对个人信息的保护内容范围是比较广的。

欧盟在信息的保护立法和实践中，走在国际前沿。欧盟历经近30年的摸索与实践，逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。该体系的建立对于保护个人信息安全具有十分重要的积极意义。早在1995年10月24日，欧洲议会和欧洲理事会就颁布了第95/46/EC号指令，以保护个人信息的处理及流转(EU Data Protection Directive），这也是欧盟信息数据保护框架的核心文件。2002年7月12日，欧洲议会和欧洲理事会再次颁布第2002/58/EC指令，用以补充规范电子通信领域个人数据处理和隐私保护（以下简称《欧盟电子隐私指令》(EU E-Privacy Directive），为了顺应时代发展和技术进步，2012年1月，欧洲委员会又提出了《欧盟数据

保护规则》草案，以取代《欧盟数据保护指令》。新法案的出台，将标志着欧盟在信息保护方面进入了一个全新的阶段，具有里程碑式的重要意义。

首先，《欧盟数据保护指令》对个人信息的界定非常广泛，是指能够确认个人身份直接或者间接的所有信息，包括照片、电子邮箱地址、银行信息、在网络发布的言论、医疗信息以及计算机信息等所有相关信息。指令要求所有相关信息必须“合理并合法”地进行使用和处理，必须基于特定、明确以及合法的理由进行收集，不应因其他理由而被使用。同时，个人信息的使用应被严格限制范围，不应超出使用目的之外进行处理。

指令第1 条开宗明义地指出:成员国应该保护自然人的基本权利和自由, 尤其是他们涉及个人数据处理的隐私权。合法处理数据的要

求有六项: ( 1) 同意。只有数据主体明确同意, 个人数据才可能被处理。( 2) 合同。只有处理数据是为了履行数据主体作为其中一方而签订的合同或者为了执行参与合同的数据主体的请求, 个人数据才可能被处理。( 3) 法定义务。如果处理数据与数据主体履行其法定义务相符, 则个人数据可以被处理。( 4) 重要利益。如果处理数据是为了保护数据主体的重要利益, 则个人数据可以被处理。( 5) 公共利益。如果处理数据是为了执行维护公共利益的任务, 则个人数据可以被处理。( 6) 合法利益。如果处理数据是为了保护知晓该数据的数据管理者或第三方的合法利益, 则个人数据可以被处理, 除非在指令第1 条保护下的数据主体的利益、基本权利和自由胜过该合法利益。

数据主体主要有三项权利: ( 1) 知情权。每个数据主体都有权从数据管理者处知晓有关自身的数据是否被处理、处理该数据的目的、该数据所属类型、该数据的接收者或接收者的类型。( 2) 修改和阻止使用权。如果数据管理者因为采用了不全面或不准确的数据而对数据的处理与指令的规定不符, 则每个数据主体都有权要求管理者修改、删除或阻止对该数据的使用。( 3) 反对权。每个数据主体都有权在任何时候就其自身的特殊情况基于强制性的法定理由对数据处理提出反对。指令要求成员国采取合适的技术性和组织性措施保护个人数据不受偶然或非法的破坏, 防止对数据的意外丢失和未经授权对数据进行修改、披露或访问。适当的安全保障能够减小处理数据过程中所蕴含的风险。