General Data Protection Regulation(以下簡稱:GDPR)是2016年4月14日由歐洲議會(TheEuropean Parliament)投票通過,并于2018年5月25日起在所有歐盟成員國正式生效的一部對歐盟公民個(gè)人數(shù)據(jù)保護(hù)的法案。GDPR主要的立法目的是用于保護(hù)個(gè)人隱私權(quán)和促進(jìn)此權(quán)利的行使,其中從個(gè)人數(shù)據(jù)權(quán)利的法律歸屬上,設(shè)定了“個(gè)人數(shù)據(jù)”、“數(shù)據(jù)主體”和“數(shù)據(jù)主體權(quán)利”以及采取了嚴(yán)格的全球個(gè)人隱私保護(hù)要求。
2017年6月1日,我國首部《網(wǎng)絡(luò)安全法》正式施行,這是我國網(wǎng)信法治領(lǐng)域的重大事件。為保護(hù)公民個(gè)人信息安全,防止公民個(gè)人信息被竊取、泄露和非法使用,依法保障公民個(gè)人網(wǎng)絡(luò)信息有序安全流動,《網(wǎng)絡(luò)安全法》第四章用較大的篇幅規(guī)定了公民個(gè)人信息權(quán)保護(hù)的基本法律制度;2017年10月1日起施行的《中華人民共和國民法總則》第111條規(guī)定,自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買賣、提供或者公開他人個(gè)人信息。
盡管我國《網(wǎng)絡(luò)安全法》和《民法總則》沒有就“個(gè)人信息權(quán)”給出專門的法律定義,但根據(jù)上述法律對“個(gè)人信息”保護(hù)的法律邊界,可以清晰地看出:我國“個(gè)人信息權(quán)”確立的基礎(chǔ)和保護(hù)的核心,并不僅僅不在于“個(gè)人信息”本身,而重點(diǎn)在于如何規(guī)制個(gè)人信息的控制者和處理者對公民個(gè)人信息的收集、使用、加工、傳輸?shù)刃袨?。因此,公民行使信息?quán)利的基礎(chǔ),是基于公民作為信息主體有權(quán)決定其個(gè)人信息在何時(shí)、何地及以何種方式被何人收集、使用、加工和傳輸。
一、關(guān)于GDPR名稱的理解與翻譯
目前,筆者看到若干GDPR的中譯本, GDPR名稱大致被翻譯為以下幾種:《一般數(shù)據(jù)保護(hù)法案》、《一般數(shù)據(jù)保護(hù)規(guī)則》、《一般數(shù)據(jù)保護(hù)條例》等。事實(shí)上,GDPR是由歐洲議會(European Parliament)通過的一部條例,歐洲議會是歐盟三大機(jī)構(gòu)(歐盟理事會、歐盟委員會、歐洲議會)之一,歐洲議會的主要職權(quán)包括四種,立法權(quán)、財(cái)政預(yù)算權(quán)、行政監(jiān)督權(quán)、以及對外關(guān)系上的同意權(quán)。當(dāng)然,最重要的權(quán)力莫過于議會的立法權(quán)。
歐盟法的基本法律特征是超國家性,歐盟不是國家,沒有軍隊(duì)、警察等國家機(jī)器,其存在和發(fā)揮作用,皆憑歐盟法律制度,法律是歐盟的基本保證。歐盟法要發(fā)揮應(yīng)有的作用,就必須保證歐盟法的超國家性,這是歐盟法律制度的基本要求,是歐洲聯(lián)盟的基礎(chǔ)。歐盟法的超國家性體現(xiàn)在兩個(gè)方面:一是歐盟法在成員國直接適用;二是歐盟法對成員國法具有優(yōu)先性。
歐盟法,包括歐盟自己為實(shí)施條約而制定的各項(xiàng)條例、指令、決定和判例以及歐盟各國的相關(guān)國內(nèi)法,是調(diào)整歐盟各國對內(nèi)和對外關(guān)系的國際法和國內(nèi)法規(guī)范的總稱。歐洲議會作為歐盟的立法機(jī)構(gòu)頒布的法規(guī)主要有以下幾種:
1.“條例”(regulation),條例實(shí)際上具有了一般制定法的本質(zhì)特征,根據(jù)《歐洲共同體條約》第189條的規(guī)定,條例具有以下特性:首先,條例具有普遍地適用效力,是針對某一領(lǐng)域的事項(xiàng)發(fā)布的通用性法規(guī),它并不僅僅對于某個(gè)人或同一類數(shù)量有限的人發(fā)揮作用,而是對歐盟境內(nèi)所有的法律主體都發(fā)生效力;其次,條例的各個(gè)部分都具有法律約束力,這種法律上的約束力不僅表現(xiàn)在其特定的目標(biāo)上,而且表現(xiàn)在為實(shí)現(xiàn)該特定目標(biāo)所須采取的各種方式和措施等。所以成員國在實(shí)施條例各條款時(shí)不能采取選擇性的行為,以排除成員國認(rèn)為會損害其本國利益的條款;再次,條例直接適用于所有歐盟成員國。據(jù)此,條例將自動為成員國國內(nèi)法院所援引,成為成員國法律的一部分,不依賴也不允許成員國國內(nèi)立法機(jī)關(guān)的轉(zhuǎn)化措施即可具有執(zhí)行效力,除非條例本身有如此規(guī)定。
2.“指令”(directive ),是歐盟委員會頒布的,要求某個(gè)或某些成員國在規(guī)定的時(shí)間內(nèi)必須實(shí)現(xiàn)歐洲聯(lián)盟層面上所要求的某種目標(biāo),但允許成員國對實(shí)現(xiàn)目標(biāo)的手段和方法自由選擇的法律文件。指令并不具有普遍的適用性,頒布指令的目的也不是為了直接的、統(tǒng)一的適用,而是為了實(shí)現(xiàn)成員國立法的協(xié)調(diào)或趨同。
3.“決定”(decision),決定是針對特定對象頒布的單獨(dú)法令,并不具有普遍的約束力。它的對象可以是一個(gè)或數(shù)個(gè)國家,也可以是個(gè)人,包括自然人和法人。
由此,General Data Protection Regulation(GDPR)的法律名稱,建議翻譯為《通用數(shù)據(jù)保護(hù)條例》,其中GeneralRegulation應(yīng)當(dāng)理解為” Regulation affecting all the people inEuropean Union”(對歐盟所有成員國普遍適用的規(guī)則)。從立法結(jié)構(gòu)上看,一部基本法的法律結(jié)構(gòu)分為總則、分則和附則,而“通則”則是既包括了總則部分,也涵蓋了部分分則的內(nèi)容。GDPR本身包括了總則的部分,盡管沒有明確表述“分則“的字樣,但是卻涵蓋了分則中有關(guān)個(gè)人數(shù)據(jù)保護(hù)的實(shí)質(zhì)性內(nèi)容,是一部“通則式“的法律結(jié)構(gòu)。
GDPR 第一章“Chapter 1 General Provisions“,基本上都被翻譯成”一般規(guī)定“,這種譯法有待商榷,建議統(tǒng)一譯成“總則”。一個(gè)國家的法律,按照法律地位劃分,可以分為根本法、基本法和一般法三部分。歐盟法分為一級立法和二級立法,前者指構(gòu)成歐盟法律制度基礎(chǔ)的立法,其他法律都是此基礎(chǔ)上制定的;后者是指由歐盟機(jī)構(gòu)制定,旨在實(shí)施《歐共體條約》的那些法律。根據(jù)《歐共體條約》的規(guī)定,“條例”(Regulation)屬于二級立法,一般都有總則部分(General Provisions),但不設(shè)專門的“分則”。
一部法律的總則是該法律的序言,主要對該法律立法目的、適用范圍和基本內(nèi)容進(jìn)行的綱領(lǐng)性、概括性的表述。比如我國全國人民代表大會常務(wù)委員會制定的“一般法”通常設(shè)有“總則”部分,但不專門設(shè)置“分則”,比如《著作權(quán)法》第一章是“總則”,包括“立法目的、適用范圍、著作權(quán)行政管理部門”等,從第二章“著作權(quán)”以及第三章“著作權(quán)許可使用和轉(zhuǎn)讓合同”到第四章“出版、表演、錄音錄像、播放”,這些都是該部法律的實(shí)質(zhì)性部分。最后兩章,即第五章和第六章分別設(shè)置了“法律責(zé)任和執(zhí)法措施”和“附則”??梢?,歐盟的二級立法-條例(Regulation)的體例與我國“一般法”的立法體例基本相同。在GDPR的總則部分(General provisions)也主要規(guī)定了Subject-matter andobjectives(立法的目的);Material scope(適用范圍);Territorial scope(地域范圍);Definitions(法律定義)。
二、如何區(qū)分“個(gè)人數(shù)據(jù)”“和“個(gè)人信息”
在網(wǎng)絡(luò)時(shí)代,“信息”(Information)和“數(shù)據(jù)”(Data)是使用頻率最高的兩個(gè)詞匯,經(jīng)常被許多政府規(guī)范性文件甚至法律視為同一概念。目前在各國的個(gè)人信息保護(hù)立法中,多數(shù)國家將“個(gè)人信息”視為“個(gè)人數(shù)據(jù)”。如歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》第2條(a)規(guī)定,個(gè)人數(shù)據(jù),指“與一個(gè)人身份已被識別或者身份可以識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息”;法國《數(shù)據(jù)處理、數(shù)據(jù)文件及個(gè)人自由法》第2條第1款規(guī)定,個(gè)人數(shù)據(jù),指“可以通過身份證號碼、一項(xiàng)或多項(xiàng)個(gè)人特有因素被肢解或間接識別的自然人相關(guān)的任何信息”;德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第3節(jié)規(guī)定,個(gè)人數(shù)據(jù),指“任何關(guān)于一個(gè)已識別的或者可識別的個(gè)人(數(shù)據(jù)主體)的私人或者具體狀態(tài)的信息”。
GDPR第4條對“個(gè)人數(shù)據(jù)“(personal data)的定義是,個(gè)人數(shù)據(jù)”指的是任何已識別或可識別的自然人(“數(shù)據(jù)主體”)相關(guān)的信息;可識別的自然人是能夠被直接或間接識別的個(gè)體,特別是通過諸如姓名、ID號、位置數(shù)據(jù)、網(wǎng)上標(biāo)識,或者與該自然人的身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會身份有關(guān)的一個(gè)或多個(gè)因素。
GDPR第4條“個(gè)人數(shù)據(jù)“定義中英文原文中的“information relating to anidentified or identifiable natural person”可被認(rèn)為是“Personal Identifiable Information”(PII)。一般而言,個(gè)人隱私敏感性信息稱為個(gè)人可標(biāo)識信息(PII)。要被認(rèn)為是 PII,該信息必須在特定地與某個(gè)自然人相關(guān)聯(lián),而PII廣泛存在于從電子郵件和社交平臺到人力資源(HR)、人力資源管理(HCM)和顧客關(guān)系管理(CRM)系統(tǒng)中,這是數(shù)據(jù)控制者和處理者罪敏感和最應(yīng)當(dāng)規(guī)制的信息源。該款中的“Data subject”(數(shù)據(jù)主體)也意味著” an individualabout whom information is stored in a computer-based system.”
可見,以上國家立法和歐盟GDPR中所謂的“個(gè)人數(shù)據(jù)”,實(shí)質(zhì)上是個(gè)人的“網(wǎng)絡(luò)信息”或“電子信息”。筆者一直堅(jiān)持,網(wǎng)絡(luò)與信息法中的“個(gè)人數(shù)據(jù)”(personal) Data)與“個(gè)人信息”(personal information)有所不同,前者是附著在電子信息系統(tǒng)載體的客觀事物記錄,是未經(jīng)過處理的個(gè)人原始記錄,其不能脫離電子信息系統(tǒng)載體而獨(dú)立存在,如個(gè)人體檢在醫(yī)院電子信息系統(tǒng)留下的原始記錄;后者是指個(gè)人數(shù)據(jù)經(jīng)過加工處理后,形成的具有使用價(jià)值的內(nèi)容——信息,而且可以脫離電子信息載體而獨(dú)立存在,如個(gè)人體檢的電子數(shù)據(jù)經(jīng)過醫(yī)生的分析和系統(tǒng)的處理,形成的具有使用價(jià)值的體檢報(bào)告,其存在的形式可以是電子狀態(tài),也可以是紙質(zhì)狀態(tài)。由此可以得出:個(gè)人信息=個(gè)人數(shù)據(jù)+分析處理。
個(gè)人信息保護(hù)的目的,在于保護(hù)具有使用價(jià)值的個(gè)人信息,而不是所有的個(gè)人數(shù)據(jù)。因此,我國《網(wǎng)絡(luò)安全法》和《民法總則》在立法技術(shù)上均采用了“個(gè)人信息”的表述,特別是網(wǎng)絡(luò)安全法第七十六條中對“網(wǎng)絡(luò)數(shù)據(jù)”和“個(gè)人信息”的含義專門進(jìn)行了文意解釋:“網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”;“個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、電話號碼等。” 2018年出臺的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》不但界定了“個(gè)人信息主體”,即“個(gè)人信息所標(biāo)識的自然人”,同時(shí)對個(gè)人信息( personal information)進(jìn)行了明確的定義:以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括個(gè)人信息包括姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。由此可見,我國《網(wǎng)絡(luò)安全法》及其配套規(guī)定分別從ICT技術(shù)的角度對個(gè)人數(shù)據(jù)和個(gè)人信息作出的法律定義,要比GDPR“個(gè)人數(shù)據(jù)“的定義更加嚴(yán)謹(jǐn),也便于實(shí)際操作。
筆者注意到,在個(gè)人信息權(quán)的內(nèi)涵中,我國重點(diǎn)保護(hù)的是涉及公民隱私的個(gè)人信息權(quán),早在2012年,我國全國人民代表大會常務(wù)委員會頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一條就明確規(guī)定,國家保護(hù)能夠識別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。這一點(diǎn)與GDPR是一致的,GDPR的實(shí)質(zhì)就是一部個(gè)人隱私數(shù)據(jù)權(quán)保護(hù)法案。
我國《民法總則》在第五章“民事權(quán)利”一章中將“個(gè)人信息權(quán)”作為一項(xiàng)新型的基本民事權(quán)利加以確認(rèn)與保護(hù),而GDPR同樣將“個(gè)人數(shù)據(jù)權(quán)”視為自然人的一項(xiàng)基本權(quán)利給予特別保護(hù),如GDPR第1條“主題與目標(biāo)”中第2款規(guī)定,本條例保護(hù)自然人的基本權(quán)利和自由,尤其是保護(hù)自然人所享有的個(gè)人數(shù)據(jù)權(quán)。
三、歐盟GDPR的個(gè)人數(shù)據(jù)權(quán)
整體上看, GDPR主要突出數(shù)據(jù)私權(quán)至上的原則, 極大地?cái)U(kuò)充數(shù)據(jù)主體的數(shù)據(jù)權(quán)利范圍和保護(hù)機(jī)制, 對數(shù)據(jù)控制者和處理者使用個(gè)人數(shù)據(jù)進(jìn)行了嚴(yán)格的限制, 加大了數(shù)據(jù)控制者和處理者對個(gè)人數(shù)據(jù)管理的法律責(zé)任,并對違反GDPR的行為,尤其是違反監(jiān)管機(jī)構(gòu)發(fā)布的命令,規(guī)定了極其嚴(yán)厲的懲罰措施,如GDPR規(guī)定,違反第58(2)條規(guī)定的監(jiān)管機(jī)構(gòu)發(fā)布的命令,應(yīng)當(dāng)按第2段的規(guī)定施加最高20,000,000歐元的行政罰款,如果是集團(tuán)的話,可以施加最高前一年全球總營業(yè)額4%的罰款,兩者取其高的一項(xiàng)進(jìn)行罰款。
當(dāng)然,GDPR在突出對數(shù)據(jù)私權(quán)保護(hù)的基礎(chǔ)上,也明確了一些例外的情況,即當(dāng)數(shù)據(jù)私權(quán)與數(shù)據(jù)公權(quán)相互沖突時(shí),仍然是公權(quán)優(yōu)先于私權(quán),比如當(dāng)隱私保護(hù)的權(quán)利和處置原則與國家安全、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨(dú)立等發(fā)生沖突的情況下,應(yīng)當(dāng)首先滿足后者的需求。
GDPR大致賦予數(shù)據(jù)主體七項(xiàng)數(shù)據(jù)權(quán)利,主要是:知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)(被遺忘權(quán))、限制處理權(quán)(反對權(quán))、可攜帶權(quán)、拒絕權(quán)。
1.知情權(quán)。數(shù)據(jù)控制者收集個(gè)人信息必須給予個(gè)人充分的知情權(quán)。應(yīng)當(dāng)向數(shù)據(jù)主體提供相應(yīng)的信息以保障數(shù)據(jù)主體對控制者身份、個(gè)人信息處理目的及方式、權(quán)利維護(hù)途徑等內(nèi)容的知曉。比如依據(jù)GDPR第14條的規(guī)定,數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關(guān)的個(gè)人數(shù)據(jù)時(shí),應(yīng)當(dāng)告知數(shù)據(jù)主體,包括數(shù)據(jù)控制者的身份與詳細(xì)聯(lián)系方式、數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式、數(shù)據(jù)處理將涉及的個(gè)人數(shù)據(jù)的使用目的,以及處理個(gè)人數(shù)據(jù)的法律依據(jù)等。
2.訪問權(quán)。GDPR第15條專門規(guī)定了“Right of access by the data subject”(數(shù)據(jù)主體的訪問權(quán)),即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者那里得知關(guān)于其個(gè)人數(shù)據(jù)是否正在被處理的真實(shí)情形,如果其數(shù)據(jù)正在被處理的話,數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)訪問個(gè)人數(shù)據(jù)并有權(quán)獲知相關(guān)信息,如該數(shù)據(jù)處理的目的;相關(guān)個(gè)人數(shù)據(jù)的類型;個(gè)人數(shù)據(jù)已經(jīng)被或?qū)⒈慌督o數(shù)據(jù)接收者或接收者的類型,特別是當(dāng)數(shù)據(jù)的接收者屬于第三國或國際組織;在可能的情形下,個(gè)人數(shù)據(jù)將被儲存的預(yù)期期限等。
3.修正權(quán)。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制及時(shí)地糾正與其相關(guān)的不準(zhǔn)確個(gè)人數(shù)據(jù)??紤]到處理的目的,數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個(gè)人數(shù)據(jù)完整,包括通過提供補(bǔ)充聲明的方式進(jìn)行完善。
4.刪除權(quán)(被遺忘權(quán))。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時(shí)刪除其個(gè)人相關(guān)數(shù)據(jù)的權(quán)利。依據(jù)GDPR第17條第1款的規(guī)定,出現(xiàn)“個(gè)人數(shù)據(jù)對于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再必要”等六種情形之一時(shí),數(shù)據(jù)控制者有責(zé)任及時(shí)刪除其個(gè)人數(shù)據(jù)。
GDPR第17條第3款同時(shí)規(guī)定了數(shù)據(jù)主體行使“刪除權(quán)”的例外情形,如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項(xiàng)任務(wù),或者基于被官方授權(quán)而履行某項(xiàng)任務(wù),歐盟或成員國的法律要求進(jìn)行處理的數(shù)據(jù),以及為了科學(xué)或歷史研究目的或統(tǒng)計(jì)目的數(shù)據(jù)等,數(shù)據(jù)主體不能行使“刪除權(quán)”。
5.限制處理權(quán)。在特定情況下,數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者處理數(shù)據(jù)。例如數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑,且允許數(shù)據(jù)控制者在一定期限內(nèi)核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性;該數(shù)據(jù)處理是非法的,并且數(shù)據(jù)主體反對刪除該個(gè)人數(shù)據(jù),同時(shí)要求限制使用該個(gè)人數(shù)據(jù);數(shù)據(jù)控制者基于該處理目的不再需要該個(gè)人數(shù)據(jù),但數(shù)據(jù)主體為設(shè)立、行使或捍衛(wèi)合法權(quán)利而需要該個(gè)人數(shù)據(jù);數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭議,并給與數(shù)據(jù)控制者以一定的期限以核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性。
6.可攜帶權(quán)。數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用和機(jī)器可讀的格式接收其提供給數(shù)據(jù)控制者的與其有關(guān)個(gè)人數(shù)據(jù),數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)傳輸給另一個(gè)數(shù)據(jù)控制者,而被要求轉(zhuǎn)移數(shù)據(jù)的控制者應(yīng)當(dāng)配合數(shù)據(jù)主體的相應(yīng)要求。根據(jù)2016年12月,歐盟數(shù)據(jù)工作保護(hù)組公布的《數(shù)據(jù)可攜權(quán)指南》(Guidelines on the right to data portability. 16/EN WP 242. ),用戶數(shù)據(jù)可攜權(quán)不僅賦予用戶取得、重復(fù)利用相關(guān)數(shù)據(jù)的權(quán)利,還賦予用戶傳輸該等數(shù)據(jù)的權(quán)利。
GDPR在賦予數(shù)據(jù)主體“”可攜帶權(quán)“的同時(shí),又提規(guī)定了例外的情形,主要是”可攜帶權(quán)“不適用于為公共利益所執(zhí)行的某項(xiàng)任務(wù)所必需的數(shù)據(jù)處理,也不適用于官方授權(quán)而進(jìn)行的數(shù)據(jù)處理等。
7.拒絕權(quán)(反對權(quán))。對于根據(jù)GDPR第6(1)條(e)或(f)點(diǎn)而進(jìn)行的有關(guān)數(shù)據(jù)主體的數(shù)據(jù)處理,包括根據(jù)這些條款而進(jìn)行的用戶畫像,數(shù)據(jù)主體有權(quán)隨時(shí)提出反對。此時(shí),數(shù)據(jù)控制者須立即停止針對這部分個(gè)人數(shù)據(jù)的處理行為,除非數(shù)據(jù)控制者證明,相比數(shù)據(jù)主體的利益、權(quán)利和自由,具有壓倒性的正當(dāng)理由需要進(jìn)行處理,或者處理是為了提起、行使或辯護(hù)法律性主張。
如果個(gè)人數(shù)據(jù)是為直接營銷目的進(jìn)行的處理,數(shù)據(jù)主體有權(quán)在任何時(shí)候反對處理與其本人有關(guān)的個(gè)人數(shù)據(jù),來進(jìn)行這種營銷行為,包括在與這種直接營銷有關(guān)的范圍內(nèi)所進(jìn)行的數(shù)據(jù)分析。根據(jù)GDPR第89 條第1 款,個(gè)人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計(jì)的目的被處理的,數(shù)據(jù)主體在與其相關(guān)的特定情形下,也有權(quán)拒絕對其個(gè)人數(shù)據(jù)的處理,除非這種數(shù)據(jù)處理行為是基于公眾利益的目的。
四、中國《網(wǎng)絡(luò)安全法》的個(gè)人信息權(quán)
目前,我們尚沒有一部專門的《個(gè)人信息保護(hù)法》,個(gè)人信息權(quán)僅僅是《我網(wǎng)絡(luò)安全法》中的一部分,相比較而言,GDPR更重視保護(hù)自然人的個(gè)人隱私數(shù)據(jù)權(quán)。從法律屬性看,公民個(gè)人信息權(quán)的保護(hù)應(yīng)當(dāng)嚴(yán)格區(qū)分“個(gè)人信息權(quán)”與“個(gè)人隱私權(quán)”。從精神性人格權(quán)的屬性研究,“隱私”是與公共利益、群眾利益無關(guān)的,為當(dāng)事人不愿意他人知道或他人不便知道的私人信息,當(dāng)事人不愿意他人干涉或他人不便干涉的私人活動,當(dāng)事人不愿意他人侵入或他人不便侵入的私人空間。
長期以來,我國的民事立法上一直沒有把隱私權(quán)作為一項(xiàng)獨(dú)立的基本的公民權(quán)利來加以直接保護(hù),而是將公民的隱私權(quán)歸入名譽(yù)權(quán)中進(jìn)行間接保護(hù),因此導(dǎo)致我國公民個(gè)人隱私權(quán)的保護(hù)一直未能得到有效重視。事實(shí)上,名譽(yù)權(quán)與隱私權(quán)是兩種完全不同的概念,兩項(xiàng)權(quán)利應(yīng)該是并列關(guān)系而不是包含關(guān)系。
我國《民法總則》是民法典編纂的首期工程,在我國民事立法史上具有里程碑式的意義,其中一個(gè)突出的亮點(diǎn)是首次在民事權(quán)利的層面規(guī)定了“個(gè)人信息權(quán)”,并明確了對個(gè)人信息權(quán)利的保護(hù)規(guī)范。筆者認(rèn)為,當(dāng)前和未來一段時(shí)期我國個(gè)人信息安全保護(hù)邊界的基本要義是在確?;緜€(gè)人人格權(quán)和隱私權(quán)不受非法侵害的基礎(chǔ)上,促進(jìn)個(gè)人信息資源在“合法、正當(dāng)、必要”法定原則的基礎(chǔ)上進(jìn)行適當(dāng)?shù)奶幚砗屠谩?/p>
我國《網(wǎng)絡(luò)安全法》確立了多項(xiàng)“個(gè)人信息權(quán)”,但與GDPR相比較,條文不夠細(xì)化,規(guī)定比較原則,需要系列配套規(guī)范加以細(xì)化。2018年5月1日起實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(簡稱:“個(gè)人信息安全規(guī)范”)就是《網(wǎng)絡(luò)安全法》第四章的一項(xiàng)重要配套規(guī)范,《個(gè)人信息安全規(guī)范》在制定過程中參照和對標(biāo)了國際最先進(jìn)的規(guī)則和立法標(biāo)準(zhǔn),也參考了在個(gè)人信息保護(hù)方面最先進(jìn)的國外立法,包括GDPR、OECD(經(jīng)濟(jì)合作與發(fā)展組織)隱私框架、APEC(亞洲太平洋經(jīng)濟(jì)合作組織)隱私框架等國際規(guī)則、歐美“隱私盾”(EU-US PrivacyShield)協(xié)議、美國“消費(fèi)者隱私權(quán)法案”(Consumer Privacy Bill of Rights)等歐美個(gè)人信息保護(hù)方面的立法,堪稱是中國的“GDPR”。
《個(gè)人信息安全規(guī)范》與GDPR最大的不同,就是效力等級不同,前者是一個(gè)標(biāo)準(zhǔn),且只是一部推薦性標(biāo)準(zhǔn),還不是一部強(qiáng)制性標(biāo)準(zhǔn);后者的效力層級是歐盟的“條例”(編號為EU-DSGVO),GDPR的各個(gè)部分都具有法律約束力,這種法律上的約束力不僅表現(xiàn)在其特定的目標(biāo)上,而且表現(xiàn)在為實(shí)現(xiàn)該特定目標(biāo)所須采取的各種方式和措施等。
中國《網(wǎng)絡(luò)安全法》及其配套規(guī)定設(shè)定的“個(gè)人信息權(quán)“大致也有七類:知情權(quán)、刪除權(quán)、更正權(quán)、明示同意權(quán)、訪問權(quán)、注銷權(quán)、撤回權(quán)。
1.知情權(quán)。收集和使用公民個(gè)人信息必須遵循合法、正當(dāng)、必要原則,且目的必須明確并經(jīng)用戶的知情同意?!毒W(wǎng)絡(luò)安全法》第四十一條規(guī)定,網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
2.刪除權(quán)。《網(wǎng)絡(luò)安全法》第四十三條規(guī)定,個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息。我國《網(wǎng)絡(luò)安全法》中的“刪除權(quán)”實(shí)質(zhì)上類似于GDPR第17條規(guī)定的 Right toerasure (right to be forgotten),即“刪除權(quán)(被遺忘權(quán))“。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時(shí)刪除與其有關(guān)的個(gè)人數(shù)據(jù),且在特定情形下數(shù)據(jù)控制者有義務(wù)立即刪除這些個(gè)人數(shù)據(jù)。
我國《網(wǎng)絡(luò)安全法》規(guī)定的公民對其信息的刪除權(quán)請求權(quán)主要有兩種情形,一是當(dāng)事人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營商違反法律、行政法規(guī)或違反雙方的約定收集和使用其信息;二是網(wǎng)絡(luò)運(yùn)營商所收集的個(gè)人信息的特定目的已經(jīng)消滅或雙方約定的期限已經(jīng)屆滿,在這兩種情形下,當(dāng)事人均有權(quán)要求網(wǎng)絡(luò)運(yùn)營商刪除和停止使用其個(gè)人信息。
3.更正權(quán)?!毒W(wǎng)絡(luò)安全法》第四十三條同時(shí)規(guī)定,個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。我國《網(wǎng)絡(luò)安全法》中的“更正權(quán)“類似于GDPR的”修正權(quán)“,即數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者無不當(dāng)延誤地修正與其相關(guān)的不準(zhǔn)確的個(gè)人數(shù)據(jù)。我國《網(wǎng)絡(luò)安全法》中的“個(gè)人信息的更正權(quán)”是指,個(gè)人信息主體(personal data subject)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營商收集、存儲的其個(gè)人信息有錯(cuò)誤或者有缺失的,有權(quán)要求其補(bǔ)充或更正。
我國《網(wǎng)絡(luò)安全法》規(guī)定的“刪除權(quán)”和“更正權(quán)”基本上采用了“避風(fēng)港”規(guī)則,即在網(wǎng)絡(luò)運(yùn)營商被通知前提下的“刪除”或“更正”——“通知-刪除或更正”,這是《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運(yùn)營商的一種寬容性規(guī)定。
4.明示同意權(quán)。《個(gè)人信息安全規(guī)范》明確了“明示同意”(explicitconsent)的具體內(nèi)涵,即個(gè)人信息主體通過書面聲明或主動做出肯定性動作,對其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為。此種肯定性動作包括個(gè)人信息主體主動作出聲明(電子或紙質(zhì)形式)、主動勾選、主動點(diǎn)擊“同意”、“注冊”、“發(fā)送”、“撥打”等。
我國《個(gè)人信息安全規(guī)范》的“明示同意”與GDPR的嚴(yán)格個(gè)人同意標(biāo)準(zhǔn)相比較,后者更為詳細(xì)和嚴(yán)謹(jǐn)。GDPR的個(gè)人同意必須是自愿作出的、特定的、具體的、知情的及明確的同意。個(gè)人如果通過書面聲明的方式同意, 同意的內(nèi)容應(yīng)當(dāng)易于理解且與其他事項(xiàng)顯著區(qū)別開, 數(shù)據(jù)控制者不能擴(kuò)大個(gè)人同意的范圍。而且GDPR授權(quán)個(gè)人隨時(shí)可以撤回先前的同意, 數(shù)據(jù)控制者應(yīng)保證撤回同意與作出同意一樣容易。這意味著個(gè)人信息主體主動作出的聲明,主動的格式合同“勾選“、主動點(diǎn)擊“同意”等“明示同意”規(guī)則,將面臨GDPR數(shù)據(jù)主體隨意和便利地撤回信息的合規(guī)風(fēng)險(xiǎn)。
5.訪問權(quán)。我國《個(gè)人信息安全規(guī)范》7.4 設(shè)置了“個(gè)人信息訪問”權(quán),要求個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供訪問三類信息的方法:一是其所持有的關(guān)于該主體的個(gè)人信息或類型;二是上述個(gè)人信息的來源、所用于的目的;三是已經(jīng)獲得上述個(gè)人信息的第三方身份或類型。
如果個(gè)人信息主體提出訪問非其主動提供的個(gè)人信息時(shí),個(gè)人信息控制者可在綜合考慮不響應(yīng)請求可能對個(gè)人信息主體合法權(quán)益帶來的風(fēng)險(xiǎn)和損害,以及技術(shù)可行性、實(shí)現(xiàn)請求的成本等因素后,做出是否響應(yīng)的決定,并給出解釋說明。
6.注銷權(quán)。個(gè)人信息主體有權(quán)注銷其賬戶,我國《個(gè)人信息安全規(guī)范》7.8要求個(gè)人信息控制者為個(gè)人信息主體提供注銷賬戶的方法,一是通過注冊賬戶提供服務(wù)的個(gè)人信息控制者,應(yīng)向個(gè)人信息主體提供注銷賬戶的方法,且該方法應(yīng)簡便易操作;二是個(gè)人信息主體注銷賬戶后,應(yīng)刪除其個(gè)人信息或做匿名化處理。
7.撤回權(quán)。個(gè)人信息主體有權(quán)撤回其先前的同意,個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供方法撤回收集、使用其個(gè)人信息的同意授權(quán)。撤回同意后,個(gè)人信息控制者后續(xù)不得再處理相應(yīng)的個(gè)人信息。
我國《個(gè)人信息安全規(guī)范》的“撤回同意”與GDPR的“撤回同意”相比較,后者更強(qiáng)調(diào)個(gè)人信息主體“撤回同意”的便利性,即It shall be as easy to withdraw as to give consent(撤回同意應(yīng)當(dāng)和表達(dá)同意一樣簡單)。
五、結(jié)語
總體上看,我國《網(wǎng)絡(luò)安全法》及其配套規(guī)定關(guān)于個(gè)人信息權(quán)的行使與保護(hù)借鑒了國外的先進(jìn)立法經(jīng)驗(yàn),同時(shí)具有中國獨(dú)有的特色,特別是充分體現(xiàn)了信息化發(fā)展與個(gè)人信息安全保護(hù)并重的安全發(fā)展觀,為全球貢獻(xiàn)了中國智慧。
GDPR被稱為是全球保護(hù)隱私里程碑式的立法,但也有尤其不足之處,主要是限制了數(shù)據(jù)的流動和共享。盡管GDPR第一條(3)規(guī)定,不得以處理個(gè)人數(shù)據(jù)過程中對自然人的保護(hù)為由,限制或禁止個(gè)人數(shù)據(jù)在歐盟內(nèi)部進(jìn)行自由流動。但縱觀GDPR的諸多限制或禁止規(guī)定,大大地限制了數(shù)據(jù)的自由流動和本區(qū)域信息化的發(fā)展。而且有些制度尚不成熟,也沒有大量的實(shí)踐和普遍適用的可能,就被寫入了GDPR,如“個(gè)人數(shù)據(jù)可攜“,數(shù)據(jù)主體針對已經(jīng)向數(shù)據(jù)控制者提供的個(gè)人數(shù)據(jù),有權(quán)向數(shù)據(jù)控制者處獲取結(jié)構(gòu)化、通用化和可機(jī)讀的上述數(shù)據(jù);同時(shí),數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者。從本質(zhì)上看,數(shù)據(jù)主體的這項(xiàng)權(quán)利是GDPR對個(gè)人信息權(quán)利中的財(cái)產(chǎn)權(quán)和人格權(quán)的相互妥協(xié),這本身就存在著矛盾和邏輯沖突。
本文的精簡版將發(fā)表于《中國信息安全》2018年第7期
免責(zé)聲明:凡本網(wǎng)注明“來源:XXX(非駐馬店廣視網(wǎng)、駐馬店融媒、駐馬店網(wǎng)絡(luò)問政、掌上駐馬店、駐馬店頭條、駐馬店廣播電視臺)”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),作品版權(quán)歸原作者所有,如有侵犯您的原創(chuàng)版權(quán)請告知,我們將盡快刪除相關(guān)內(nèi)容。凡是本網(wǎng)原創(chuàng)的作品,拒絕任何不保留版權(quán)的轉(zhuǎn)載,如需轉(zhuǎn)載請標(biāo)注來源并添加本文鏈接:http://90m2em.cn/showinfo-572-217822-0.html,否則承擔(dān)相應(yīng)法律后果。
責(zé)任編輯 / 劉釗