《欧盟数据保护基本条例》

2013年爆发的“棱镜门”事件引爆了世界范围内关于信息安全的广泛讨论，各国民众和政府普遍对网络环境下的个人信息保护深表忧虑。欧洲议会公民自由、司法与内政事务委员会于2013年10月22日通过了最新的《欧盟数据保护基本条例》（Datenschutz－Grundverordnung），正式回应社会逐渐高涨的要求建立更加严格的数据保护制度的呼声。新的数据保护条例的实施，目的是在欧盟范围内构建一套适应网络信息环境的统一的保护个人信息的立法体系。该条例的最大亮点在于赋予数据主体在个人信息受到侵犯时，可以通过条例规定的多种途径寻求救济。

（一）数据主体的“删除权”

根据《欧盟数据保护基本条例》的规定，数据主体可以在满足条例规定条件的情形下要求数据控制人删除与其有关的信息或者停止该信息进一步传播：（1）此信息不再有被收集或者以其他方式处理的必要；（2）数据主体不再同意其信息为实现一个或多个具体目的被处理；（3）数据主体可以在任何时候由于自身特别情况的原因提出拒绝处理其个人信息，除非该处理对于保护数据主体的基本权益至关重要，或者是履行公共利益的活动所必需的，或者对于信息的处理是数据掌管者行使国家权力；（4）欧盟范围内的一个法庭或者监督机关已经做出了相关数据必须删除的最终裁定；（5）相关数据被非法处理。数据主体一旦根据以上情况提出反对，数据控制者应当立即停止对其个人信息的使用和处理，防止损害扩大。

（二）向专门监督机关提起控诉

根据《欧盟数据保护基本条例》第六章的规定，欧盟每个成员国应当设立至少一个独立的监督机关，该机关的任务是监督基本条例在本国内的实施情况并为欧盟范围内的统一实施服务。根据该条例第73条的规定，在不影响其他行政救济或者司法救济的情况下，当认为对其相关的个人信息的处理没有遵守基本条例时，数据主体有权向成员国的监督机关提出控诉。监督机关因数据主体控诉权的行使，有权在合理范围内做出调查，并应在合理的期限内（3个月）告知数据主体控诉的进展与结果。

监督机关在查明事实后，对于没有履行基本条例规定的义务的，可以做出以下行政处罚：（1）如果是第一次且非故意违反，可以提出书面警告；（2）定期数据保护审查；（3）最高处以1亿欧元或者企业每年全球营业额5%的罚金，按照数额较大的金额予以处罚。

数据主体向监督机关提起控诉后，如果监督机关未对数据主体的控诉做出合理保护裁决的，或者保护裁决没有按照第52条第1款第b项的规定在3个月内使数据主体知道时，为了使监督机关履行积极的作为义务，数据主体可以行使司法救济权，起诉监督机关。对监督机构提起的诉讼程序，由欧盟各成员国监督机构所在地法院管辖。

（三）向司法机构提起诉讼

数据主体除了可以向监督机构申请救济之外，还可以针对数据控制者向司法机构提起诉讼。如果数据主体认为数据控制者违反数据保护基本条例有关收集与处理个人信息方面的规定时，数据主体有权针对数据控制者提起诉讼。就案件的性质而言，如果收集与处理个人数据的主体为私人身份的企业或个人，案件为民事诉讼；如果收集与处理个人数据的主体为行政机关，案件性质则为行政诉讼。数据主体既可以向数据收集与处理者所在地的法院提起诉讼，也可以向成员国内其经常居住地的法院提起诉讼。^[11]