1. 1970年代——欧洲各国的立法尝试
世界上第一部数据隐私法诞生于德国黑森州。该法于1970年通过,但并未对跨境数据流量进行任何限制。[ Hessisches Datenschutzgesetz, 7 October 1970. ]此后许多欧洲国家颁布了包含跨境限制的数据保护法,例如奥地利[ Österreichisches Datenschutzgesetz von 1978, pp. 32, 34.]、芬兰[ Personal Data File Act & Personal Data File Decree, 30 April 1987, p. 22. ]、法国[ Loi no. 78-17 relative à l’informatique, aux fichiers et aux libertés, Article 24. ]、爱尔兰[ Data Protection Bill, 1987, superseded by the Data Protection Act 1998. ]、卢森堡和瑞典等。这些规范跨界数据流动的早期立法主要是为了防止企业通过规避法律将个人数据传输到没有数据保护法的国家,[ See European Commission, “Proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data”, COM(92) 422 final, 15 October 1992, p. 34.]并要求在将个人数据传输到国外之前获得数据保护机构的明确授权(例如,在奥地利和瑞典法中)。该时期欧洲各国的立法相对简单,均处于对个人数据保护立法的尝试阶段,未形成具有统一意见的成文法。
2. 1980年代——欧洲理事会出台首部统一成文法
1981年1月28日,欧洲理事会各成员国签署了第一份具有约束力的国际文书《欧洲系列条约第108号条约:有关个人数据自动化处理之个人保护公约》。该公约对个人数据自动化处理做出了规定,保护了个人免受数据在收集和处理过程中滥用行为的侵扰,并试图规范个人数据的跨境流动。除了保护个人数据的收集处理,该公约还规定在没有法律允许的情况下收集和使用涉及种族、政治、健康、宗教、犯罪记录等个人“敏感”数据的行为是不合法的,只有涉及例如国家安全等公共利益的事由,才可能对“公约”赋予个人权利进行限制。在2001年,欧盟委员会通过了该公约的《附加议定书》。该议定书第2条第1款规定只有在确保“数据流入国可以对个人数据提供充分的保护”时,各方才同意将个人数据流转至非缔约方。因此,加入公约意味着要建立与欧盟相似的个人数据保护立法,并将被视为满足欧盟跨境数据流动“充分性保护”标准的重要参考。[ Council of Europe, “Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data”, http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108]
因此,欧盟第一代个人数据规制以欧洲各国的立法尝试以及《欧洲委员会第108号公约》为基础,[ 个人数据保护的国际纲领性文件—1980年经合组织《关于保护隐私和个人数据跨境流动指南》,内容主要分为“国内适用的基本原则”及“国际间适用的基本原则”。后者解决的即是个人数据跨境流动问题。进入“后斯诺登”时代,新一轮的数据跨境流动政策对数据类型有所扩展。但从各国政策的总体观察而看,政策对象仍以个人数据为主,在有限的案例中扩展至其他数据。]两者定义了现代意义上的“个人信息保护法”应具备的较为基本的内容。