GDPR第一案:“一站式主管机制”适用问题研究
闫 飞
(华东政法大学 国际法学院,上海 200042)
摘要 :2019年1月,法国数据保护监管机构CNIL针对Google LLC案做出审查决定,认定谷歌美国违反GDPR多项条款,并处巨额罚款。GDPR一站式主管机制适用与否,成为本案焦点问题。CNIL在本案中确立了两项关于该机制认定的原则,即客观标准原则及闭门磋商原则。客观标准原则在“主要实体”认定问题上的运用,将为相关各方提供有效指引。在确定行政执法程序开放程度方面,闭门磋商原则有其正当性。后续,关于一站式主管机制的适用问题,应当考虑引入听证,更好地实现该机制的设立初衷。
关键词: GDPR;一站式主管机制;法律适用;客观标准;闭门沟通
一、引 言
相较于《个人数据保护指令》(Data Protection Directive 95/46/EC, DPD),2018年5月正式生效的《一般个人数据保护条例》(General Data Protection Regulation, GDPR)显著扩大了欧盟立法在个人数据保护领域的适用范围。在地理范围(territorial scope)方面,GDPR以覆盖欧盟全境为基础,同时通过对相关定义的语义范围延伸而追求更广泛的跨境适用。GDPR适用于在欧盟境内有实体(establishment)的公私主体,并且也在一定条件下适用于无欧洲实体的公私主体(1) GDPR第2条、第3条。 。诚然,个人数据或隐私法律领域的法律适用与管辖权扩张在晚近相关国家立法中已经成为普遍做法,相对于同时代的其他立法,GDPR仍然具有显著区别特征。与美国代表性的数据保护立法《澄清域外合法使用数据法》(The Clarifying Lawful Overseas Use of Data Act,CLOUD)相比,GDPR的管辖权扩张更加突出对数据主体的保护,而CLOUD则更突出政府的行政“长臂管辖”。与同期中国《网络安全法》相关规定相比,GDPR管辖权扩张更突出域外管辖(extraterrestrial jurisdiction),而《网络安全法》更注重本国主管部门对涉外案件行使管辖权。鉴于以上区别特征,GDPR的法律实施必将在管辖权问题上面临更多的挑战,确认管辖权将成为GDPR法律适用的普遍难题。
在GDPR法律实施层面,主管机关管辖权的确认至关重要,这既关系到相关当事人的直接利益,也直接关乎个人数据保护机关的公信力,并最终影响GDPR的法律实施效果。欧盟是一个特殊的跨法域组织,其本身拥有欧盟(EU)及各成员国(member states)双重法制。在司法管辖层面,管辖权冲突调和的实践相对充分[1],但在行政主管机关的管辖权上,问题则相对复杂,并且公布案例较少。GDPR将个人数据保护法律适用的一致连贯性(coherence)作为重要的原则(2) GDPR 序言第8段。 ,为了确保一致连贯性原则的实现,GDPR明文纳入一站式主管机制(one-stop-shop mechanism)(3) GDPR 序言第127段。 。一站式主管机制目的在于,在跨境个人数据保护相关案件处理中,通过加强成员国监管机构的协调合作,增强GDPR审查决定的一致连贯性,以确保GDPR这项“史上最严”个人数据保护法得以顺利实施,达到保护欧盟基本人权——个人隐私权的目的[2]。
综合上述已有的研究,发现国外学者主要从绿色金融的理论、绿色金融与经济发展及环境保护之间的关系、绿色融资等问题进行研究;国内学者主要是从绿色金融的概念、政策,国外经验借鉴等方面进行研究,还有部分学者通过实证分析研究影响绿色金融发展和实施的因素,但其理论尚无法解决我国当前绿色产业发展融资难、绿色激励机制缺失等瓶颈问题。鉴于此,本文在现有文献研究基础上,构建金融机构、政府监管机构、企业三方博弈模型,探讨绿色金融政策下技术创新投入对企业走绿色生产模式的影响和内在机理,进而为我国发展绿色金融的机制和路径优化提出对策建议。
就一站式主管机制在GDPR中的适用问题,国内外研究文献资料尚不丰富,目前的研究成果主要集中在法律实务部门。荷兰Loyens & Loeff律师事务所、Fieldfisher律师事务所较早地对GDPR一站式主管机制进行了研究,然而其成果或仅限于条文归纳,未能展开,[3]或因缺乏实际案例支撑,落入空泛[4]。德勤(Deloitte)会计师事务所的研究虽然从消费者及公司两个角度分析了GDPR适用一站式主管机制的潜在影响,然而其过分偏向以客户视角为导向的应用层面[5],遗憾未能触及一站式主管机制的意义、价值要旨。然而,尽管从单一的应用视角出发研究相关问题的做法并不可取,但必须承认,一站式主管机制的法律问题偏向应用法学,理论研究必须结合最新实际案例,方能言之有物。
以上诸多要素,各有界说,各有内涵。以实行“学校管理——教学部门管理——实验教师自我管理”三位一体的实验教学管理机制为提纲挈领,以独立设课、独立的教科书及实验室等实验条件为依托和基本保障,以实验教学内容、方法、考核的实施和管理为中心,以实验教学教师的培养和管理为内在驱动力,以实验教学质量评估、竞赛、论坛、期刊等为拓展平台。相互联系、相互依存、相互作用、相辅相成,共同建构了警察高校实验教学的基本管理体系。
2019年初,在GDPR正式生效实施数月后,经过半年多的审查,备受关注的GDPR“第一案”——Google LCC案终于尘埃落定。法国数据保护监管机构CNIL做出处罚决定,Google(谷歌)被处罚金5000万欧元[6]。GDPR监管机构首次在审查决定说理部分对该案能否适用一站式主管机制进行了论证,从实然层面揭开了一站式主管机制适用问题的“面纱”。
(4)本刊办公电话:0538-6213228转分机;0538-8839334。专用电子信箱:jiaoxingtougao@163.com;jxwk1994@126.com;财务专用信箱:jiaoxingwaikecaiwu@163.com;邮编:271000
研究一站式主管机制适用问题,首先应当明确其概念、意义及价值。同时,应当结合Google LCC案的说理部分,研析GDPR执法部门的执法观点,从实践出发,总结实例中的认定原则并加以评析。完成由理论到实践,再从实践总结提炼新的理论,进而得以展望GDPR这项具有革命性意义的立法[7]应当如何继续完善。
二、一站式主管机制要旨
(一) GDPR中的“一站式主管机制”
一站式主管机制并非GDPR的专有术语,其普遍存在于欧盟竞争、税收、海关等各领域立法中。以竞争法为例,《欧洲经济区协定》(The Agreement on the European Economic Area, EEA)第58条、第109条规定,欧盟竞争法的实施包含一站式主管机制[8]选项。在个人数据保护法领域,一站式主管机制是伴随着GDPR的颁布方得以纳入的,其目的在于建立成员国数据保护机构之间的行政管辖沟通协调机制。
在DPD时代,作为欧盟指令(EU directive)位阶的法律规范性文件,DPD需要通过成员国国内立法而实现对成员国的法律效力。通常,欧盟各成员国的数据保护监管机构(data protection authority, DPA)负责其个人数据保护,成员国数据保护监管机构之间无须进行普遍的行政执法协调,各自行使管辖权,因此不需要协调机制。在GDPR时代,作为欧盟条例(EU Regulation),GDPR的法律效力位阶更高,直接适用于欧盟及各成员国,各国数据保护监管机构得以直接援引GDPR行使管辖权。在处理跨境数据保护案件中,当出现管辖权积极冲突或消极冲突时,GDPR需明确冲突调和的机制,以确保其法律适用。因此,为了避免行政管辖权出现不稳定状态,GDPR设置了多项执法协调机制,其中包括欧盟层面的欧洲数据保护委员会(European Data Protection Board, EDPB)(4) GDPR 序言第72段。 以及一站式主管机制,其中,一站式主管机制是在行政执法层面更具操作性的协调工具。
一站式主管机制明确于GDPR前言部分第127段。当数据控制者或处理者在一个以上成员国设立实体,每一个成员国的监管机构都有权处理当地案件。关于跨境案件,应当考虑是否存在牵头监管机构(lead supervisory authority)。牵头监管机构如果得以确立,成员国应当及时将案件通知牵头监管机构(5) 关于牵头监管机构,在GDPR第56条有具体定义。 。接到通知后,牵头监管机构应当决定:(1)与其他有关成员国的监管机构共同处理此案,或(2)由最初受案的成员国监管机构在当地层面处理此案。如果牵头监管机构决定由其牵头处理案件,其应当允许最初受案的成员国监管机构发表意见,实现监管机构之间的协调。GDPR前言部分第127段进一步规定,相关主管机构有权提交一份审查决定草案,牵头监管机构起草审查决定时应当最大限度参考该草案。据此,GDPR一站式主管机制得以作为传统属地管辖的补充,通过协调机制确定最适当的主管机关。
从其适用程序上看,一站式主管机制具有如下特征:首先,一站式主管机制是GDPR各成员国监管机构之间的协调机制,该机制的适用以数据控制者或处理者在欧盟从事跨境数据处理为前提。在具体案件中,如果某一成员国认定相关数据控制或处理行为仅发生在其境内,并不涉及其他成员国或外国主体,则无须考虑该机制。其次,是否适用该机制最终取决于监管机构的裁量。一旦确认适用一站式主管机制,最初受案的监管机构即实际移交了全案的监管主导权,牵头监管机构统筹案件处理。然而,最初受案机构并未因此失去对案件的管辖权,其管辖权得以通过协调机制行使。
(二)一站式主管机制的实用价值
2.闭门沟通原则——行政执法程序正当性
其次,一站式主管机制能够提高执法稳定性及效率,促进实体正义。基于个案的协调合作机制可以避免因审查处理尺度的不一致而造成的执法差异,也在一定程度上避免大型数据平台利用差异进行执法层面的管辖竞择(forum shopping)。从数据控制者及处理者角度,在欧洲层面拥有统一的执法尺度参照,有利于其有的放矢地建立个人数据合规管理体系。
此外,带有协商机制意味的一站式主管机制可以类比行政法中的一事不再罚原则,避免数据控制者及处理者因同一行为在不同成员国遭到重复处罚。类比例如,在国际税收征管领域,识别与解决双重征税也是重要的议题,在此不做赘述。
本案中,谷歌主张,谷歌爱尔兰是其在欧洲的主要经营实体,并构成GDPR项下的主要实体,爱尔兰数据保护委员会(Ireland Data Protection Commission)应当根据GDPR第60条的合作条款担任牵头监管机构,据此,法国监管机构CNIL在本案程序中管辖权不适格。为证明该主张,谷歌列举以下依据:首先,谷歌在欧洲进行实际经营,有实体商业存在。该公司在欧盟内拥有超过3600名雇员,并配有专门团队负责欧盟范围内的保密及个人隐私保护工作。其次,谷歌在欧洲的经营行为以爱尔兰为中心。其自2003年以来以谷歌爱尔兰为主要实体,负责欧洲、中东及非洲的诸多地区的业务职能,包括税务、会计内审等。第三,谷歌正考虑从2019年开始,将部分欧洲数据控制者职能向谷歌爱尔兰转移。
三、Google LLC案中关于一站式主管机制的认定原则
(一)案情要述 (6) 鉴于该案程序和实体问题复杂,以及篇幅所限,仅就本文相关的案情进行要述。 Google LLC案中, CNIL官方公布文件为法文,为力求严谨,同时便于专家学者回溯查阅,本文“案情要述”对部分用语的法文原文进行了对应标注。
成立于1998年的美国公司Google LLC(下称“谷歌美国”)是全球领先的互联网公司,谷歌美国在欧洲拥有多家分支企业实体,包括注册在法国的公司Google France Sarl(下称“谷歌法国”)以及注册在爱尔兰的公司Google Ireland Limited(下称“谷歌爱尔兰”)。谷歌美国设计并运营移动终端操作系统——安卓(Android),以及包括Google Play应用市场在内的移动终端应用。其操作系统在法国拥有约3000万用户。同时,谷歌美国在全球经营网络广告服务业务,通过安卓系统收集个人数据,并进行个性化广告推送。
2018年5月25日及28日,名为“与你无关”(None of Your Business, NOYB)和“正交网络协会”(l’association La Quadrature du Net, LQDN)的两家组织共代表9974名自然人向法国国家信息及自由化委员会(Commission nationale de l’informatique et des libertés,CNIL)进行集体申诉,申诉指向谷歌及其安卓系统。NOYB诉称,安卓系统强制要求移动终端用户接受谷歌隐私权政策及通用服务条款与条件(general terms and conditions),如果安卓系统用户拒绝接受上述条款,将导致移动终端无法正常使用,上述行为构成违反GDPR。LQDN则诉称,谷歌以行为分析及个性化广告为目的的数据处理缺乏法律依据,违反GDPR。同年6月1日,CNIL将上述诉请通过欧洲信息交换系统向相关成员国个人数据监管机构进行抄送。随后,CNIL根据GDPR第56条之规定确认自身管辖权,对案件进行实质调查。
首先应当明确,一站式主管机制属于执法范畴下的合作机制,关于当事方的任何程序性权利的讨论都应限于执法范畴内。广义的执法是指国家行政机关、司法机关和其他单位一切执行、适用法律的活动,狭义上的执法是指国家行政机关实施法律的活动[11],本案中无疑取狭义。从程序法基本理论出发,执法程序正义理论源于正当程序原则,其贯穿于与法律相关的全部环节,包括立法、守法、执法各阶段。在行政执法阶段讨论程序正义问题,主要应当考虑告知、听证、回避、记录及对抗等方面。
2019年1月15日,在最终会议上,报告员与谷歌口头回顾了书面报告及谷歌相关答辩意见。1月21日,CNIL认定,谷歌个性化广告业务缺乏透明度、信息不足及未获得数据主体的有效同意,违反GDPR,决定对谷歌美国处以5000万欧元经济罚款。
本案的首要焦点在于,CNIL的管辖权是否充分。在认定CNIL的管辖权问题上,GDPR一站式主管机制的适用性问题成为核心。在最终的处罚决定中,CNIL认定谷歌在欧洲的公司实体,特别是谷歌爱尔兰,不属于GDPR定义的“主要实体”。因此,本案不适用牵头主管机构依据一站式主管机制管辖的情况。
这本书的封面,是一只穿着蓝色鞋子的人类的大脚从画面的左上方伸将下来,马上就要踏到地面了。那只大脚下面,正栖息着几只小小的昆虫。
(二)一站式主管机制认定原则
在Google LLC案件中,针对谷歌方面的主张,CNIL在最终处罚决定中大篇幅讨论了一站式主管机制在本案的适用性问题,首次确立了该机制适用问题的原则。
对于本案,尽管CNIL在审查过程中声称其已经与相关成员国数据监管机构及ECPB进行了非正式讨论(discussions informelles),但是鉴于谷歌并没有出席参与这些讨论,谷歌方面主张该讨论没有法律效果。这便提出了一个问题,在执法协商程序方面,相关当事人究竟拥有怎样程度的参与权?实质上,本案以闭门沟通原则完成了法律适用问题的成员国间合作沟通。
众所周知,GDPR扩大了其适用范围,采取扩张的管辖权原则,因此,确认案件主管管辖权是其法律实施中重要的基础问题[10]。本案的管辖权问题主要集中在一站式主管机制适用与否上。“主要实体”(main establishment)的认定,是确认一站式主管机制是否适用的关键因素。GDPR第55条赋予各成员国数据保护监管机构对个人数据控制者及处理者的属地管辖权(8) GDPR第55(1)条。 ,在随后的第56条,GDPR将“主要实体”所在地的监管机构定义为牵头监管机构,并进一步明确其在跨境数据保护案件中进行主导监管(9) GDPR第56(1)条。 。上述两项条文共同构成了确认牵头机构的法规框架,明确了主要实体识别问题的关键地位,即如果在具体案件中主要实体得以确认,则案件适用一站式主管机制由牵头监管机构处理。
尽管一站式主管机制的法律价值已经得以明确,然而关于机制的具体适用问题仍需进一步厘清。数据保护主管机关应当采取哪些步骤或根据什么原则来完成推演?
CNIL在审查决定中认为,识别主要实体应当以客观标准(objective criteria)为原则。客观标准原则的概念比较抽象,在本案认定推理中,监管机构主要从商业存在、与数据处理行为的联系等角度进行论证,以确认是否认定主要实体存在的连接点。根据CNIL对客观标准原则的解释,谷歌爱尔兰不符合GDPR关于主要实体的认定标准。具体而言,谷歌爱尔兰在欧洲的商业职能是业务拓展及其他辅助职能,其并不直接决策与本案相关的个人数据控制及处理。谷歌通过安卓系统收集、处理欧洲自然人个人数据,其目的在于个性化广告业务经营,而谷歌美国是个性化广告业务的经营者,并决定相关个人数据处理目的及处理方式。根据GDPR第36条,为了认定一个主体构成数据控制者在欧洲的主要实体,该主体应当实际有效地在数据处理的决策中做出主要决策。谷歌爱尔兰并未证明其在安卓系统个人数据处理中承担主要决策职能。相反,在其主张中提到谷歌正在将部分欧洲数据控制者职能向谷歌爱尔兰转移,这恰恰证明了谷歌爱尔兰在本案所涉期间内并不具备数据处理决策职能。因此,谷歌爱尔兰公司不能构成谷歌美国在欧洲的主要实体,爱尔兰数据保护委员会不是本案的牵头监管机构,CNIL及其他相关成员国数据保护机构对谷歌美国在相应成员国属地范围内进行的个人数据控制及处理行为各自拥有管辖权。
挑选10名食品专业人员组成感官评定小组,对9组试验的台式烤香肠的色泽、口感、风味和组织状态进行感官评价。各项指标与具体感官评定标准详见表1[8]。评价完成后收集评定表,并用模糊数学原理对其综合评价。
上述认定中,客观标准原则的运用主要有以下两个关键点:第一,服务提供方的识别。尽管谷歌爱尔兰在许多业务独立进行业务经营,但是,具体到本案相关的个性化广告业务,实际服务提供方仍然是谷歌美国。第二,个人数据处理决定权的判断。CNIL对主要实体的认定偏重于“行为主体”判断,而非“权利主体”识别。以上两个关键点构成了主要实体识别的客观标准原则,在认定主要实体问题上,相比数据控制者或处理者内部的组织架构,考察数据控制处理的决策流程更为重要。
客观标准原则的确立,为个人数据保护各方提供了有效指引。首先,关于数据主体。在提供个人数据之前,应当识别数据控制者的所在地,优先向数据处理决策位于数据主体惯常居所地本国境内的数据控制者提供数据。一旦发生个人数据侵权事件,这将更有利于数据主体发起或参与程序。尽管该原则的适用目前仅在Google LLC案件中得以明确,理论上,客观标准原则同样适用于其他案件中关于数据控制者或处理者主体地位的判断。其次,关于数据控制者及处理者。除了进行组织架构安排之外,从数据处理决策层面,应当同样进行架构设计,争取对本方更有利的管辖。相对于案件发生后的主管竞择,在数据收集、处理阶段甚至之前进行架构设计更受到GDPR及数据保护监管机构的欢迎,也更有可能实现设计目的。
这剃头店里奢华的物件就是镜子,嵌了半面墙,给店内增了不少亮度,添了几分生气,镜前的器具虽也陈旧,看上去也还是亲切的。
首先,一站式主管机制的适用,将实际降低数据保护案件的程序成本。尽管欧盟一体化已经显著减少了欧洲各国之间的立法差异,但是不容忽视的是,欧洲各国的行政、司法、经济及语言、文化背景的差异仍为相关方跨境法律事务的处理带来极大的不便。建立有效的执法协商机制,将为案件处理当事各方提供有效的便利,进而实现程序的提效降本。其一,从数据主体角度看,如果能够在其居所地成员国通过当地监管机构进行个人数据保护维权,将大幅降低数据主体的维权门槛,进而促进GDPR的更广泛深入实施。其二,从数据控制者或处理者角度,在互联网和移动终端时代,个人数据跨境处理几乎不可避免,一站式主管机制解决了相关单位可能需要应对众多国家执法部门的困扰。具体而言,在应对GDPR监管执法中,一旦适用一站式主管机制,则跨境数据控制者或处理者无须分别应对各成员国的执法机构,这将大幅降低案件处理沟通成本。此外,一站式主管机制可以避免GDPR法规在不同国家适用的差异性,数据控制者和处理者无须专门针对各成员国制定不同的合规政策方案,从而大幅降低了企业的后台合规成本。其三,从监管机构角度分析,一站式主管机制的应用将更有利于实现GDPR的公法价值[9]。在GDPR生效实施后,各成员国常设的个人数据保护监管机构案件受理量将远超DPD时代,因此,如何减少非必要的案件处理数量以提高政府机构资源的效率成为一大难题。该机制的设计初衷正是针对以上痛点,可以说,协调执法的过程是法律经济原则的具体体现。
1.客观标准原则——“主要实体”认定的指引
CNIL主席于2018年10月2日为本案指定(7) GDPR第47条。 报告员(rapporteur)。报告员于当月22日出具审查报告:拟认定谷歌违反GDPR第6、12及13条,并拟对谷歌美国处罚金5000万欧元,报告同时建议案件处理结果以公开形式发布。CNIL同时决定,于2019年1月10日召集谷歌共同召开最终会议,以确定最终审查决定。审查报告送达谷歌美国及谷歌法国,谷歌被告知,其有权向CNIL提交书面回复意见(communiquer ses observations écrites)。随后,谷歌分别请求会前听证(audition)及闭门磋商会(de huis-clos et de report de séance),报告员均未准予。谷歌于2018年11月22日、2019年1月4日两次提交关于审查报告的书面意见,并主张CNIL管辖权瑕疵。谷歌认为,本案应当适用一站式主管机制,首先确认牵头监管机构。其间,谷歌要求延期召开原定于2019年1月10日的最终会议。
谷歌抗辩的焦点在于谷歌是否有权参与GDPR项下各成员国监管机构之间的讨论?如果假设前者答案是肯定的,未经谷歌参与的非正式讨论是否具有法律效果?在最终做出的处罚决定中,CNIL认为本案关于是否适用一站式主管机制的非正式讨论并不需要通知相关方参与,可以采取闭门沟通形式进行。CNIL认定的依据主要是:第一,GDPR并没有明文规定当事人参与类似讨论的权利。CNIL执行案件审查过程,特别是认定管辖权的过程,符合GDPR第56条、第60条一站式主管机制的基本要求。第二,在本案的事实认定环节,CNIL已经给予谷歌方面进行书面答辩的权利,并且在最终处罚决定下达前给予谷歌口头陈述意见的权利,符合程序正义的要求。
在处罚决定做出后,谷歌美国尚未就程序认定问题提出进一步意见,不排除下一阶段,谷歌方面考虑将案件诉诸欧洲法院。届时,关于该问题会有进一步的讨论,并从司法层面得出明确结论。然而,仅从行政执法层面,可以判断,GDPR相关当事人主体能够主动参与认定程序的空间较小。
尽管闭门沟通原则并未给予数据控制者或处理者类似司法程序性质的抗辩权利,但是作为一项行政执法原则,并不能简单地否定其程序正当性。首先,体系解释下的正当性。对闭门沟通原则的解释不应当仅凭语义或逻辑进行,更多地应当进行体系考量。在本案中,CNIL尽管并未在一站式主管机制论证阶段引入听证程序,但是其已经依据国内法赋予了谷歌针对全案进行书面答辩和最终听证的程序权利,从整体而言实现了程序正当性。其次,比例原则下的正当性。尽管同属行政执法领域,政府机关在执行不同法律时,通常采纳不同的程序开放程度。显然,在处理交通违章、个人数据保护以及国家安全审查案例的行政执法中,为了实现程序正当,所允许当事人参与程序的程度是不尽相同的。其背后是与不同立法所保护的法益相适应的科学比例,例如,美国国家安全审查制度几乎不给予审查对象任何听证、回避、记录及对抗等方面的程序性权利。尽管并未给予谷歌方面充分的抗辩机会,从上述两项分析角度看,闭门沟通原则在本案的应用有其正当性。
四、结 语
作为史上最严格的数据保护法,GDPR的法律实施前景有待观察。从个人数据保护立法发展的历史角度看,倾向性意见应当是积极的。个人数据保护及隐私法律在过去几十年中已经经历了由简入繁、由个别到通用的发展阶段,不仅欧洲如此,美洲也如此[12]。确立原则的同时注重实际效果,是GDPR法律适用在现阶段最重要的议题,这也将继续成为GDPR作为严格的数据保护立法的重要价值所在,即真正实现保护个人数据及促进信息自由流通两项根本目的。
胃癌是临床最常见的消化系统恶性肿瘤之一,常常发生于中老年人,死亡率较高。早期胃癌是指肿瘤细胞的浸润深度在黏膜层和黏膜下层,而不论患者是否发生淋巴结的转移、不论肿瘤的面积大小。近年来,随着医学的不断发展,内镜超声、超声造影等诊断仪器在临床诊断胃癌分期中越来越受到欢迎[1]。胃窗超声造影和高频小探头超声内镜检查可以将胃壁的结构和周围结构清楚地表现出来,有利于判断肿瘤的浸润深度以及淋巴结转移情况,而手术前正确的肿瘤TNM分期对于制定治疗方法以及判断患者的预后有着至关重要的意义[2-3]。本研究主要探讨胃窗超声造影和高频小探头超声内镜在早期胃癌术前T分期中应用的价值。现将分析结果报告如下。
Google LLC案件中,CNIL的审查决定并不完美,仍然留有一定“想象空间”。例如,本案中在论证一站式主管机制适用性过程中,谷歌公司获得了两次书面答辩和最终会议口头沟通的机会,其听证要求并未获准。GDPR审查机关的执法虽属于行政权范畴,但在数据保护领域的案件中,当涉及复杂的程序、证据问题认定时,很难通过书面审查完成全部的调查工作,应当充分给予数据处理相关当事人对证据和调查报告发表意见的机会,确保审查决定的公正性。在后续的GDPR实践中,应当考虑通过召开听证会并设置对抗式举证环节,确保重大案件的事实、证据情况获得充分调查。考虑到一站式主管机制的构建目的就是增强沟通以确保GDPR跨境案件法律适用的稳定性,引入听证程序对于实现实体正义及程序正义都将起到正向推动作用。法律规范以合乎正义地解决法律问题为其功能[13],在不同案件中,应当在立法允许范围内,灵活适用行政程序中的比例原则,以提高开放程度为取向,更贴近法律正义。比例的确定是与具体法律执行同等复杂的问题,行政程序的开放程度不是一成不变的,后续,相关机构如何进一步确立执法尺度,值得关注。
建筑工程整个造价管理管理中,设计阶段造价管控发挥的作用非常关键。工程总费用中,此部分费用占比为2%,但其对工程造价造成的影响却达到75~90%。因而工程设计阶段加强工程造价管理,是建筑工程整个造价管理的重要任务:①全面实施设计招标与监理制度,将设计工程与制度化操作范畴融合起来,利用招投标由拥有过硬技术与完备功能的单位负责设计项目图纸,在设计过程中设计范围要严格依照要求考虑各种经济因素。②实施限额设计,为工程设计制定总概算机制,设计单位不能擅自更改工程设计造价总概算。
2.3.1 钩虫分布特征 钩虫虫体单纯发现在十二指肠降部共51例(40.80%),单纯发现在十二指肠球部共48例(38.40%),发现在十二指肠降部及球部共26 例(20.80%),均予活检钳钳出虫体,经送检确诊为钩虫,见表2。
尽管Google LLC案已经定论,在欧洲,针对大型互联网公司涉嫌违反GDPR的案件调查还在继续。诸如谷歌、微软、亚马逊一类的全球互联网公司在全球掌握数以百万计的互联网服务器[14],难以计数的个人信息每天通过这些公司的数据平台进行交互。在个人数据保护法律日趋严格的今天,个人数据非法利用的事件仍然层出不穷,GDPR法律适用实践案例也将陆续增加。理论与实践法学部门应当持续关注相关案件进展,归纳总结后续案件中的相关问题,避免管中窥豹。
参 考 文 献
[1]REVOLIDIS I. Judicial jurisdiction over internet privacy violations and the GDPR: a case of privacy tourism[J]. Masaryk U. J. L. & Tech., 2017, 11(1): 13.
[2]European Commission. Data protection in the EU[EB/OL].[2019-01-30]. https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en.
[3]Loyens & Loeff. GDPR-applicability and one-stop-shop supervisory mechanism[EB/OL]. (2016-06-27)[2018-02-06].https://www.loyensloeff.com/en-us/news-events/news/gdpr-update-applicability-and-one-stop-shop-supervisory-mechanism.
[4]PASTOR N. Understanding the one-stop-shop principle[EB/OL].(2017-01-30)[2018-02-03]. https://privacylawblog.fieldfisher.com/2017/understanding-the-one-stop-shop-principle.
[5]SPONSELEE A, MHUNGU R. The impact of the one stop shop mechanism[EB/OL].[2018-02-06]https://www2.deloitte.com/ch/en/pages/risk/articles/gdpr-one-stop-shop.html.
[6]Commission Nationale de l’Informatique et des Libertés. Délibération n°SAN-2019-001 du 21 janvier 2019, Délibération de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE, LLC[EB/OL].(2019-01-22)[2019-02-01]. https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExp Cnil&id=CNILTEXT000038032552&fastReqId=2103 387945&fastPos=1.
[7]ALBRECHT J P. How the GDPR will change the world[J]. Eur. Data Prot. L. Rev., 2016, 2(3): 287.
[8]Judgment of the Court of First Instance (Second Chamber) of 8 July 2004.JFE Engineering Corp., formerly NKK Corp. (T-67/00), Nippon Steel Corp. (T-68/00), JFE Steel Corp. (T-71/00) and Sumitomo Metal Industries Ltd (T-78/00) v Commission of the European Communities.Cartels - Market in seamless steel tubes and pipes - EFTA - Powers of the Commission - Infringement - Fines.Joined cases T-67/00, T-68/00, T-71/00 and T-78/00, European Court Reports 2004 II-02501[EB/OL].(2004-07-08)[2019-03-02]. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=155676021517 0&uri=CELEX:62000TJ0067.
[9]BRKAN M. Data protection and conflict-of-laws: a challenging relationship[J]. Eur. Data Prot. L. Rev., 2016, 2(3): 334.
[10]VIDOVIC M S. EU data protection reform: challenges for cloud computing[J]. Croatian Y.B. Eur. L. & Pol’y, 2016, 12(1): 202.
[11]张文显.法理学[M].北京:高等教育出版社,2003:263.
[12]SKELLY S J. Data protection legislation in Canada[J]. Y. B. L. Computers & Tech., 1987, 3(1): 79-80.
[13]齐佩利乌斯.法学方法论[M].金振豹,译.北京:法律出版社, 2009:3.
[14]Commission Staff Working Document Impact Assessment accompanying the document Commission Regulation laying down ecodesign requirements for servers and data storage products pursuant to Directive 2009/125/EC of the European Parliament and of the Council and amending Commission Regulation (EU) N°617/2013[EB/OL].(2019-01-06)[2019-02-01]. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=155677403 2320&uri=CELEX:52019SC0106.
中图分类号: D95; D913
文献标志码: A
收稿日期: 2019- 05- 04
作者简介: 闫 飞(1987-),男,博士研究生;E -mail: ukuleleyan@gmail.com
文章编号: 1671-7031(2019)05-0051-07
标签:GDPR论文; 一站式主管机制论文; 法律适用论文; 客观标准论文; 闭门沟通论文; 华东政法大学国际法学院论文;