欧盟信息保护立法与美国域外取证的冲突和启示马晓旭摘要在全球化和信息化的时代背景下，数据信息安全的保护成为各国积极研究的课题，欧盟历经近30年的摸索与实践，逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。

该体系的建立对于保护个人信息安全具有十分重要的积极意义，但同时也对国际司法协助的开展产生一定的影响，尤其欧盟与美国域外取证之间的冲突和矛盾，至今无法解决。

而我国信息安全立法的缺失，常常使司法机关在外国提起的调查取证中处于被动地位，因此欧盟的信息保护立法对我国今后的相关立法具有重要的参考价值。

关键词欧盟信息安全美国调查取证国际司法协助共和国商业银行法》等少数法律文件，导致我国当事人在应对美国等发达国家的调查取证请求时，无法保护自身的合法权益，因此，如何有效利用信息保护立法，进而在外国调查取证中保护我国企业的正当权益成为目前亟需研究的问题之一。

本文希望可以通过对欧盟的信息保护立法和司法实践的介绍，为我国如何应对外国调查取证，保护我国数据信息安全提供一些启示。

一、欧盟信息保护立法的发展与实践（一）《欧盟数据保护指令》的出台背景和目的《欧盟数据保护指令》是“欧盟隐私和人权法”的重要组成部分，所谓“指令”（Directive〔1〕）是欧盟的一种立法方式，“指令”只要求欧盟成员国达成特定的目标，但并不限制成员国达成目标的方法，“指令”通常都为成员国留有酌情权，好让成员国有弹性地执行。

在欧洲的法治进程中，欧洲国家关于隐私权相关法律的发展比较成熟。

《欧盟人权公约》第8条规定了尊重他人“隐私及家庭生活、家庭住址和联系方式”的权利，在具体适用中，欧洲人权法院对这一条进行了非常宽泛的解释。

1980年，经济合作发展组织（OrganizationforEco- 经济全球化和电子技术的不断进步，使数据信息流通变得更为频繁和便利，为保护本国信息安全，各国逐渐开始对数据信息保护进行立法和规范。

欧盟在信息的保护立法和实践中，走在国际前沿。

早在1995年10月24日，欧洲议会和欧洲理事会就颁布了第95/46/EC号指令，以保护个人信息的处理及流转（以下简称《欧盟数据保护指令》(EUDataProtectionDirective），这也是欧盟信息数据保护框架的核心文件。

2002年7月12日，欧洲议会和欧洲理事会再次颁布第2002/58/EC 指令，用以补充规范电子通信领域个人数据处理和隐私保护（以下简称《欧盟电子隐私指令》(EUE-PrivacyDirective），为了顺应时代发展和技术进步，2012年1月，欧洲委员会又提出了《欧盟数据保护规则》草案，以取代《欧盟数据保护指令》。

这一法案未来需在欧洲议会全体会议上表决,并获得欧盟28个成员国的支持，才能最终通过并得以实施。

新法案的出台，将标志着欧盟在信息保护方面进入了一个全新的阶段，具有里程碑式的重要意义。

不过，欧盟各国的信息保护立法虽然在保护本国公民权益和国家利益方面具有突出的作用和意义，但也给非欧盟国家的域外取证带来了很大的障碍，其中与之冲突最明显的就是美国的域外取证制度，欧盟成员国根据各自的信息保护立法，都无法接受美国法院调查取证请求的范围和形式，使美国在欧盟领域内的调查取证存在很大的困难，这一冲突已成为国际司法协助领域内至今仍无法协调的矛盾之一。

而在中国，随着经济的快速发展，越来越多的企业开始向国外拓展业务，国内企业在国外发生法律纠纷的情况难以避免，因此国外法院向我国法院提出的调查取证请求也会逐渐增多，但我国在信息保护方面的发展相对滞后，至今尚无较为完善的信息保护体系，关于信息保护的规定，仅散见于《中华人民共和国保密法》、《中华人民nomicCooperationandDevelopment(OECD)试图在欧洲建立一个广泛的数据保护系统，并提出了具体的建议，〔2〕但OECD的建议缺乏约束力，欧洲各国的隐私信息保护立法仍属于各自为政的状态。

1981年，欧洲议会开始制定保护《自动处理个人数据的保护公约》（ConventionfortheProtectionofIndividualswithregardtoAutomaticProcess-ingofPerso nalData），该公约要求签约国对个人数据自动处理的保护进行立法。

之后，欧洲委员会意识到如果欧洲各国对个人数据保护的立法原则不同，将会阻碍欧盟内部个人信息数据的流转，在这种背景下，欧洲委员会提出了制定《欧盟数据保护指令》的建议。

1995年《欧盟数据保护指令》正式颁布，目的是为了确〔1〕"directive"在欧盟官方的德文用语里叫做"Richtlinie"，就是准则之意。

〔2〕RecommendationsoftheCouncilConcerningGuidelinesGoverningthePr otectionofPrivacyandTrans-BorderFlowsofPersonalData.118JournalofLawApplication法律适用法律适用201320132014年年第第1293期期保欧盟领域内私人数据信息被处理时可以得到一定标准的保护措施。

该“指令”在性质上并非法律，但应作为欧盟各国进行相关立法的指导原则和范本。

这是一种典型的欧盟立法模式，通过范本的指引，实现欧盟各国统一的立法原则。

在这种模式下，各国立法的宗旨和原则是基本一致的，但不排除各国根据各自实际情况，进行有差异的立法。

（二）《欧盟数据保护指令》的基本框架和主要特点《欧盟数据保护指令》共34条，分为7个章节，第1章是总则，阐述了本指令的主要目的、定义了指令中涉及的基本概念、界定了指令适用的范围和应适用的国内法等；第2章是处置个人信息的一般规则，为在欧盟领域内合法处置个人信息设定了条件和范围、信息主体所享有的权利等；第3章是对在非法处置个人信息情况下，受害人可以采取的司法救济、当事人承担的责任和法院可以签发的禁令等进行规定；第4章主要规定了向第三国转移数据的相关法律问题，这里第三国是指非欧盟国家；第5章规定了指令适用的行为准则，对各成员国的行为进行约束；第6章要求各成员国成立监管机构，包括机构的具体职能和人员构成；第7章是欧盟委员会的执行措施；在最后条款中，对各国根据本指令进行国内立法的具体要求，例如时限等。

《欧盟数据保护指令》经过将近20年的实践，已成为欧洲信息保护框架的核心，具有如下几个特点。

1.《欧盟数据保护指令》首次对信息保护中的相关概念进行了界定。

首先，《欧盟数据保护指令》对个人信息的界定非常广泛，是指能够确认个人身份直接或者间接的所有信息，包括照片、电子邮箱地址、银行信息、在网络发布的言论、医疗信息以及计算机信息等所有相关信息；其次，与个人信息相关的概念，比如“信息主体”，是指个人信息所涉及的个人，但“信息主体”并不一定是该信息的所有者；使用信息的行为被称为“信息处理”，包括对信息的收集、翻录、组织、储存、调整、修改、检索、咨询、使用或者披露等所有与信息相关的行为，在这种广泛的定义下，一封从欧盟发出的e-mail或者附件都可能属于被保护的个人信息。

2.明确了在欧盟范围处置个人信息的具体要求。

指令要求所有相关信息必须“合理并合法”地进行使用和处理，必须基于特定、明确以及合法的理由进行收集，不应因其他理由而被使用。

同时，个人信息的使用应被严格限制范围，不应超出使用目的之外进行处理。

3.建立专门的监管机构。

《欧盟数据保护指令》要求每个成员国建立独立的信息保护监管机构（DataProtectionSupervisoryAuthority(DPA)），赋予其调查和起诉的权力。

DPA的成员与欧盟委员会的相关代表以及欧盟数据保护监管人共同构成了《欧盟数据保护指令》第29条所指的在处理个人数据中保护个人信息的工作组（WORKINGPARTY），工作组通过提出建议、意见以及工作文件的形国外司法式影响着指令在欧盟范围内的执行和适用。

4.明确欧盟信息数据向第三国流转的具体要求。

指令要求如果请求获取数据的国家不是欧盟成员国，则必须在收到相关信息后对数据提供足够的保护措施，欧盟主要会从几方面判断请求国的保护措施是否合格，通过对请求国国内法的评估，给出一个具体的意见。

任何违反该规定任意提供相关信息的个人或实体，将根据各成员国的不同情况，面临罚款和监禁等不同程度的处罚，该规定并非强制性法律，而仅是要求各成员国将信息保护的内容体现在各自的国内法中，而具体的惩罚措施则留给各成员国自行规定。

（三）欧盟信息保护立法的最新发展1995年的《欧盟数据保护指令》在个人信息保护的发展历史上具有里程碑式的重要意义，它所确立的基本原则以及对个人基本权利的有效保护，时至18年后的今天，仍然有效。

但是由于欧盟各国具体立法的差异，导致各国在保护个人信息时存在差别，比如就同一人而言，由于在不同的地方生活或者活动，所受到的保护并不一样。

此外，随着技术的革新和进步，《欧盟数据保护指令》需要现代化的更新。

在创立之初，计算机还在萌芽阶段，快速的技术进步以及全球化的发展都为个人信息保护带来了新的挑战。

因此，欧盟需要对原有的个人信息保护框架进行修改，使之能够适应未来的数据时代。

在此背景下，2012年1月25日，欧盟委员会公布了《欧盟数据保护规则》草案（GeneralDataProtectionRegula-tion），该规则将取代之前各国根据《欧盟数据保护指令》而制定的相关法律。

在形式方面，欧盟不再使用“指令”的立法方式，而使用“规则”的立法方式，新的规则将直接成为欧盟各成员国国内法的一部分，这将统一各国在信息保护方面司法实践的尺度和标准。

在实质内容方面，最主要的变化是规则草案扩大了欧盟数据保护法律的适用范围，不仅针对欧盟内的企业，更将范围扩大到任何处理欧盟公民数据的外国公司，根据欧盟委员会的最新解释，新的“个人信息是指关于个人的任何信息，不论是其私人生活、职业领域或者公共生活，信息包括但不限于姓名、照片、电子邮箱地址、银行信息、网络发言、医疗信息或者计算机IP地址等”；此外，由于新规则统一了欧盟各国在信息保护方面的适用标准，有利于外国公司在实践中理解和遵守欧盟的信息保护规定。

在立法程序方面，欧盟的立法程序向来比较缓慢，之前1995年《欧盟数据保护指令》耗时两年才获通过，目前，《欧盟数据保护规则》草案已取得实质进展，已获得欧洲议会公民自由、司法与内政事务委员会通过，但仍需在欧盟议会全体会议上表决,并获得欧盟28个成员国的支持方能最终通过并得以实施，初步预计将在2014年生效，在两JournalofLawApplication119国外司法年的过渡期后，于2016年正式实施。

二、欧盟信息保护体系与美国域外调查取证的冲突《欧盟数据保护指令》的出台，对欧盟外国家诉讼律师在调查取证方面造成了很大的障碍，尤其是美国依据联邦民事诉讼规则（FRCP）提出的调查取证请求。