一图看懂欧盟错综复杂的数据保护机构和官名

不排除我对欧盟体系认识不够，但以我的了解“欧盟数据保护监察专员”的职位是不存在的，这种提法的出现大概是由于翻译不准所致。“监察专员”(Ombudsmen) 的概念在欧盟体系中有专门所指；而在数据保护方面，欧盟机构“政出多头”，官名错综复杂，但没有“监察专员”一职。

梳理欧盟数据保护体系之前，需要提及一份重要的规定，其英文全称是 REGULATION (EC) No 45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data，浅译为《欧洲议会及欧盟委员会就保护公民在个人数据处理方面（的权益）以及这些数据自由流动的规定》（以下简称《规定》）[1]。这一《规定》是由欧洲议会 (European Parliament) 和欧盟委员会 (European Commission) 联合出台的一部奠基性的数据保护规范，目的在于保护个人的基本权利和自由，以及个人数据在欧盟成员国之间的自由流动。我们要讨论了众多机构和官名，也都是以这一《规定》为法律基础。

下面来回答开头的问题。首先需要澄清的是，欧盟数据保护机构中并未设有“监察专员”这一职位；正相反，在欧盟监察专员办公室 (European Ombudsman's Office) 下倒是设有数据保护专员 (Data Protection Officer)。[2] 这就有必要先说明一下监察专员这一官名在欧盟体系中的角色意义。

实际上，只有欧盟 (European Union) 这一最高层级才设立监察专员，由欧洲议会选出，法律基础是《欧盟条约》( Treaty on European Union, TEU)，又称马斯特里赫特条约 (Maastricht Treaty)。第一任监察专员由芬兰人Jacob Söderman担任，现任专员为爱尔兰人Emily O'Reilly。[3]

监察专员的职责与数据保护并不直接相关，管辖范围也远大于此。顾名思义，监察专员就是监察欧盟公权力机关行使职权，发现并纠正不行使职权、行使不当或过度行使职权的行为，可类比公司的监事会，或者共产党的纪委。不同的是，监察专员“有名无实”，其行为至多是披露欧盟机构的不当行为，并提出改善意见，但没有强制纠正的权力（但并不意味着其意见在欧洲的执行力不高）。所以，准确来说，监察专员（的一部分职责）是督促数据保护机关，而不实质性地参与数据保护。

现在可以把目光聚焦在数据保护领域：到底都有什么样的机构和官职？

对于一个不了解欧盟体系的人来说，可能会看到很多机构名称，诸如欧盟委员会 (European Commission)、欧洲议会 (European Parliament)、欧洲理事会 (European Council)、欧盟理事会 (Council of European Union)、欧洲法院 (European Court of Justice) 等。[4] 与数据保护相关的官名也有很多，诸如监督员(supervisor)、专员 (commissioner) 和官员 (officer) 。 上述体系的复杂程度可见一斑，如果翻译不慎，还可能造成混淆和误解，理解着实不易。

关于欧盟三大机构的关系，已经存在很多中文文献，此处不再赘述。但围绕着《规定》，三者的关系可简单归纳为：欧洲理事会草拟了《欧盟条约》，该条约催生了欧盟委员会和欧洲议会，后二者共同制定了《规定》。

三个具体官名值得详细介绍。首先，在欧盟数据保护体系中“专员” (Commissioner) 这个概念没有被采用，但其他法律体系中是有人使用的：部分国家或地区——比如英格兰、爱尔兰及香港等——的隐私保护机关的最高长官都称之为专员。[5]

在欧盟中，主要可以看到剩下两种官职：监督员 (Supervisor) 和官员 (Officer)。

与监察专员 (Ombudsmen) 不同，监督员 (Supervisor) 有独立的监督权力，从事的是与数据保护直接相关的实质性的工作，保证欧盟境内的机构或组织能够保护隐私和数据。从《规定》全文的第一条开始，监督员的概念多次出现，而明确其性质和角色的是第41条，规定“欧盟数据保护监督员负责监督并保障本规定的条款以及其他有关（自然人）在个人数据处理上的基本权利和自由保护的法案”。由此可见，监督员是《规定》授权的主要执行者。

监督员共设主副两个职位，目前由Giovanni Buttarelli和Wojciech Wiewiórowski分别担任，两人在2014年12月4日就职，任期5年。他们的主要职责包括监督、咨询和合作三部分。[6] 所谓“监督”(Supervision)，是指监督欧盟境内的机构或组织是否合法的处理数据，并负责处理公民个人的投诉和问询。所谓“咨询”(Consultation)，是指为欧盟三大机构提供数据保护相关的咨询服务，具体包括数据保护的新立法议案，以及关于数据保护影响的一系列问题的答复（近来关注的问题主要包括数据国际传送、互联网治理、欧美信任关系重建、e传播、网络安全、网络自由、安全与正义等等[7]）。所谓“合作”(Cooperation)，是指其他数据保护机关，比如第29条工作组 (The Article 29 Working Party) [8]，协同促进数据保护的统一体系形成。

最后是官员 (officer) 这一角色。单拎出“欧盟数据保护官员”这一概念 ，一般是指欧盟委员会(European Commission) 中的职位，确保欧委会（及其分支）遵守《规定》。目前现任官员为Philippe Renaudière，自2008年就任该职位至今。[9]

但是，“官员”(officer) 这个称谓并不归欧委会独有。根据《规定》第8节，欧盟机构都需设立这一职位，用于记录数据的处理并向数据保护监督员及时报告数据风险。换言之，官员的职责就在于保障自己所在的机构履行了《规定》的要求。值得一提的是，欧盟监察专员办公室 (European Ombudsman's Office) 也在2012年设立了“数据保护官员”的职位，由Rosita Agnew担任。[10] 因此回到问题上：如果说“数据保护监察专员”是指这个职位的话，也说得通，但是其意义表述非常模糊。

总结而言，“数据保护监察专员”的概念要拆开理解，监察专员 (Ombudsmen) 与数据保护不直接相关，但其下设了“数据保护官员”(Data Protection Officer) 的职位，负责办公室对《规定》的执行。在欧盟层面，被赋予权力统筹负责执行《规定》的是数据保护监督员 (Data Protection Supervisor)。

通俗来说，监督员 (Supervisor) 是主要督促数据保护的人，官员 (Officer) 是为履行监督员的要求而设立的接口人，监察专员 (Ombudsmen) 则是监督二者是否正当履行职权的人。

=============================================

*  知乎问题请戳 http://www.zhihu.com/question/245036411 

**  本文中涉及数字的更新时间为2015年10月13日。

***  下载pdf原图请戳 http://pan.baidu.com/s/1kbb5s 

=============================================

参考文献：

[1] 《规定》下载地址：http://eur-lex.europa.eu/legal-content/en/TXT/?uri=celex:32001R0045

[2] Decision of the European Ombudsman on the appointment of a Data Protection Officer, See http://www.ombudsman.europa.eu/en/resources/dataprotection/dpo.faces.

[3] The Ombudsman's Team, See http://www.ombudsman.europa.eu/en/atyourservice/team.faces.

[4] 国内文献对欧盟机构的翻译并不统一，本文主要采用了外交部官方网站以及维基百科提供的翻译版本，列在下方供读者参考：

[5] UK Information Commissioner's Office, See https://ico.org.uk/.

[6] Home Page of the European Data Protection Supervisor, See https://secure.edps.europa.eu/EDPSWEB/edps/lang/en/EDPS.

[7] 这些主题主要是《斯德哥尔摩计划》(Stockholm Programme) 所确立的，详见 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:jl0034.

[8] 这里的第29条，是指欧盟1995年出台的数据保护条令Directive 95/46/EC的第29条。

[9] Data Protection Officer, see http://ec.europa.eu/dataprotectionofficer/index_en.htm.

[10] 同[2]。