General Data Protection Regulation(以下簡(jiǎn)稱:GDPR)是2016年4月14日由歐洲議會(huì)(TheEuropean Parliament)投票通過�����,并于2018年5月25日起在所有歐盟成員國正式生效的一部對(duì)歐盟公民個(gè)人數(shù)據(jù)保護(hù)的法案����。GDPR主要的立法目的是用于保護(hù)個(gè)人隱私權(quán)和促進(jìn)此權(quán)利的行使,其中從個(gè)人數(shù)據(jù)權(quán)利的法律歸屬上����,設(shè)定了“個(gè)人數(shù)據(jù)”、“數(shù)據(jù)主體”和“數(shù)據(jù)主體權(quán)利”以及采取了嚴(yán)格的全球個(gè)人隱私保護(hù)要求�����。
2017年6月1日��,我國首部《網(wǎng)絡(luò)安全法》正式施行�����,這是我國網(wǎng)信法治領(lǐng)域的重大事件����。為保護(hù)公民個(gè)人信息安全,防止公民個(gè)人信息被竊取�����、泄露和非法使用���,依法保障公民個(gè)人網(wǎng)絡(luò)信息有序安全流動(dòng)�,《網(wǎng)絡(luò)安全法》第四章用較大的篇幅規(guī)定了公民個(gè)人信息權(quán)保護(hù)的基本法律制度�;2017年10月1日起施行的《中華人民共和國民法總則》第111條規(guī)定,自然人的個(gè)人信息受法律保護(hù)����。任何組織和個(gè)人需要獲取他人個(gè)人信息的,應(yīng)當(dāng)依法取得并確保信息安全��,不得非法收集���、使用��、加工����、傳輸他人個(gè)人信息�����,不得非法買賣、提供或者公開他人個(gè)人信息����。
盡管我國《網(wǎng)絡(luò)安全法》和《民法總則》沒有就“個(gè)人信息權(quán)”給出專門的法律定義,但根據(jù)上述法律對(duì)“個(gè)人信息”保護(hù)的法律邊界����,可以清晰地看出:我國“個(gè)人信息權(quán)”確立的基礎(chǔ)和保護(hù)的核心,并不僅僅不在于“個(gè)人信息”本身����,而重點(diǎn)在于如何規(guī)制個(gè)人信息的控制者和處理者對(duì)公民個(gè)人信息的收集、使用�、加工、傳輸?shù)刃袨?����。因此�����,公民行使信息?quán)利的基礎(chǔ),是基于公民作為信息主體有權(quán)決定其個(gè)人信息在何時(shí)�����、何地及以何種方式被何人收集����、使用�、加工和傳輸。
一�����、關(guān)于GDPR名稱的理解與翻譯
目前�,筆者看到若干GDPR的中譯本, GDPR名稱大致被翻譯為以下幾種:《一般數(shù)據(jù)保護(hù)法案》���、《一般數(shù)據(jù)保護(hù)規(guī)則》���、《一般數(shù)據(jù)保護(hù)條例》等。事實(shí)上���,GDPR是由歐洲議會(huì)(European Parliament)通過的一部條例�����,歐洲議會(huì)是歐盟三大機(jī)構(gòu)(歐盟理事會(huì)�����、歐盟委員會(huì)���、歐洲議會(huì))之一�,歐洲議會(huì)的主要職權(quán)包括四種����,立法權(quán)、財(cái)政預(yù)算權(quán)���、行政監(jiān)督權(quán)�����、以及對(duì)外關(guān)系上的同意權(quán)��。當(dāng)然�,最重要的權(quán)力莫過于議會(huì)的立法權(quán)�����。
歐盟法的基本法律特征是超國家性,歐盟不是國家�����,沒有軍隊(duì)�����、警察等國家機(jī)器���,其存在和發(fā)揮作用,皆憑歐盟法律制度�����,法律是歐盟的基本保證�����。歐盟法要發(fā)揮應(yīng)有的作用�,就必須保證歐盟法的超國家性,這是歐盟法律制度的基本要求��,是歐洲聯(lián)盟的基礎(chǔ)。歐盟法的超國家性體現(xiàn)在兩個(gè)方面:一是歐盟法在成員國直接適用����;二是歐盟法對(duì)成員國法具有優(yōu)先性。
歐盟法�,包括歐盟自己為實(shí)施條約而制定的各項(xiàng)條例、指令���、決定和判例以及歐盟各國的相關(guān)國內(nèi)法���,是調(diào)整歐盟各國對(duì)內(nèi)和對(duì)外關(guān)系的國際法和國內(nèi)法規(guī)范的總稱。歐洲議會(huì)作為歐盟的立法機(jī)構(gòu)頒布的法規(guī)主要有以下幾種:
1.“條例”(regulation)���,條例實(shí)際上具有了一般制定法的本質(zhì)特征����,根據(jù)《歐洲共同體條約》第189條的規(guī)定����,條例具有以下特性:首先,條例具有普遍地適用效力�����,是針對(duì)某一領(lǐng)域的事項(xiàng)發(fā)布的通用性法規(guī),它并不僅僅對(duì)于某個(gè)人或同一類數(shù)量有限的人發(fā)揮作用��,而是對(duì)歐盟境內(nèi)所有的法律主體都發(fā)生效力�����;其次���,條例的各個(gè)部分都具有法律約束力�,這種法律上的約束力不僅表現(xiàn)在其特定的目標(biāo)上��,而且表現(xiàn)在為實(shí)現(xiàn)該特定目標(biāo)所須采取的各種方式和措施等����。所以成員國在實(shí)施條例各條款時(shí)不能采取選擇性的行為�,以排除成員國認(rèn)為會(huì)損害其本國利益的條款;再次�����,條例直接適用于所有歐盟成員國�����。據(jù)此,條例將自動(dòng)為成員國國內(nèi)法院所援引��,成為成員國法律的一部分��,不依賴也不允許成員國國內(nèi)立法機(jī)關(guān)的轉(zhuǎn)化措施即可具有執(zhí)行效力�,除非條例本身有如此規(guī)定。
2.“指令”(directive )�����,是歐盟委員會(huì)頒布的����,要求某個(gè)或某些成員國在規(guī)定的時(shí)間內(nèi)必須實(shí)現(xiàn)歐洲聯(lián)盟層面上所要求的某種目標(biāo),但允許成員國對(duì)實(shí)現(xiàn)目標(biāo)的手段和方法自由選擇的法律文件�����。指令并不具有普遍的適用性�����,頒布指令的目的也不是為了直接的��、統(tǒng)一的適用�,而是為了實(shí)現(xiàn)成員國立法的協(xié)調(diào)或趨同��。
3.“決定”(decision)�����,決定是針對(duì)特定對(duì)象頒布的單獨(dú)法令�,并不具有普遍的約束力�����。它的對(duì)象可以是一個(gè)或數(shù)個(gè)國家��,也可以是個(gè)人�,包括自然人和法人。
由此�����,General Data Protection Regulation(GDPR)的法律名稱���,建議翻譯為《通用數(shù)據(jù)保護(hù)條例》,其中GeneralRegulation應(yīng)當(dāng)理解為” Regulation affecting all the people inEuropean Union”(對(duì)歐盟所有成員國普遍適用的規(guī)則)�。從立法結(jié)構(gòu)上看,一部基本法的法律結(jié)構(gòu)分為總則�、分則和附則��,而“通則”則是既包括了總則部分��,也涵蓋了部分分則的內(nèi)容��。GDPR本身包括了總則的部分�����,盡管沒有明確表述“分則“的字樣�����,但是卻涵蓋了分則中有關(guān)個(gè)人數(shù)據(jù)保護(hù)的實(shí)質(zhì)性內(nèi)容��,是一部“通則式“的法律結(jié)構(gòu)�����。
GDPR 第一章“Chapter 1 General Provisions“��,基本上都被翻譯成”一般規(guī)定“���,這種譯法有待商榷,建議統(tǒng)一譯成“總則”���。一個(gè)國家的法律�����,按照法律地位劃分�����,可以分為根本法����、基本法和一般法三部分。歐盟法分為一級(jí)立法和二級(jí)立法����,前者指構(gòu)成歐盟法律制度基礎(chǔ)的立法,其他法律都是此基礎(chǔ)上制定的����;后者是指由歐盟機(jī)構(gòu)制定,旨在實(shí)施《歐共體條約》的那些法律�����。根據(jù)《歐共體條約》的規(guī)定�,“條例”(Regulation)屬于二級(jí)立法,一般都有總則部分(General Provisions)�,但不設(shè)專門的“分則”。
一部法律的總則是該法律的序言�,主要對(duì)該法律立法目的、適用范圍和基本內(nèi)容進(jìn)行的綱領(lǐng)性��、概括性的表述�����。比如我國全國人民代表大會(huì)常務(wù)委員會(huì)制定的“一般法”通常設(shè)有“總則”部分��,但不專門設(shè)置“分則”��,比如《著作權(quán)法》第一章是“總則”�����,包括“立法目的���、適用范圍�����、著作權(quán)行政管理部門”等����,從第二章“著作權(quán)”以及第三章“著作權(quán)許可使用和轉(zhuǎn)讓合同”到第四章“出版、表演����、錄音錄像、播放”����,這些都是該部法律的實(shí)質(zhì)性部分。最后兩章�,即第五章和第六章分別設(shè)置了“法律責(zé)任和執(zhí)法措施”和“附則”?�?梢?,歐盟的二級(jí)立法-條例(Regulation)的體例與我國“一般法”的立法體例基本相同。在GDPR的總則部分(General provisions)也主要規(guī)定了Subject-matter andobjectives(立法的目的)����;Material scope(適用范圍);Territorial scope(地域范圍)����;Definitions(法律定義)。
二����、如何區(qū)分“個(gè)人數(shù)據(jù)”“和“個(gè)人信息”
在網(wǎng)絡(luò)時(shí)代,“信息”(Information)和“數(shù)據(jù)”(Data)是使用頻率最高的兩個(gè)詞匯����,經(jīng)常被許多政府規(guī)范性文件甚至法律視為同一概念。目前在各國的個(gè)人信息保護(hù)立法中����,多數(shù)國家將“個(gè)人信息”視為“個(gè)人數(shù)據(jù)”。如歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》第2條(a)規(guī)定�����,個(gè)人數(shù)據(jù)����,指“與一個(gè)人身份已被識(shí)別或者身份可以識(shí)別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息”;法國《數(shù)據(jù)處理�����、數(shù)據(jù)文件及個(gè)人自由法》第2條第1款規(guī)定�����,個(gè)人數(shù)據(jù),指“可以通過身份證號(hào)碼�����、一項(xiàng)或多項(xiàng)個(gè)人特有因素被肢解或間接識(shí)別的自然人相關(guān)的任何信息”�����;德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第3節(jié)規(guī)定��,個(gè)人數(shù)據(jù)���,指“任何關(guān)于一個(gè)已識(shí)別的或者可識(shí)別的個(gè)人(數(shù)據(jù)主體)的私人或者具體狀態(tài)的信息”�。
GDPR第4條對(duì)“個(gè)人數(shù)據(jù)“(personal data)的定義是�����,個(gè)人數(shù)據(jù)”指的是任何已識(shí)別或可識(shí)別的自然人(“數(shù)據(jù)主體”)相關(guān)的信息���;可識(shí)別的自然人是能夠被直接或間接識(shí)別的個(gè)體����,特別是通過諸如姓名、ID號(hào)��、位置數(shù)據(jù)�����、網(wǎng)上標(biāo)識(shí)��,或者與該自然人的身體�、生理�、遺傳、心理���、經(jīng)濟(jì)��、文化或社會(huì)身份有關(guān)的一個(gè)或多個(gè)因素���。
GDPR第4條“個(gè)人數(shù)據(jù)“定義中英文原文中的“information relating to anidentified or identifiable natural person”可被認(rèn)為是“Personal Identifiable Information”(PII)。一般而言�����,個(gè)人隱私敏感性信息稱為個(gè)人可標(biāo)識(shí)信息(PII)�����。要被認(rèn)為是 PII,該信息必須在特定地與某個(gè)自然人相關(guān)聯(lián)��,而PII廣泛存在于從電子郵件和社交平臺(tái)到人力資源(HR)�、人力資源管理(HCM)和顧客關(guān)系管理(CRM)系統(tǒng)中,這是數(shù)據(jù)控制者和處理者罪敏感和最應(yīng)當(dāng)規(guī)制的信息源�����。該款中的“Data subject”(數(shù)據(jù)主體)也意味著” an individualabout whom information is stored in a computer-based system.”
可見��,以上國家立法和歐盟GDPR中所謂的“個(gè)人數(shù)據(jù)”�,實(shí)質(zhì)上是個(gè)人的“網(wǎng)絡(luò)信息”或“電子信息”。筆者一直堅(jiān)持���,網(wǎng)絡(luò)與信息法中的“個(gè)人數(shù)據(jù)”(personal) Data)與“個(gè)人信息”(personal information)有所不同�����,前者是附著在電子信息系統(tǒng)載體的客觀事物記錄���,是未經(jīng)過處理的個(gè)人原始記錄,其不能脫離電子信息系統(tǒng)載體而獨(dú)立存在��,如個(gè)人體檢在醫(yī)院電子信息系統(tǒng)留下的原始記錄;后者是指?jìng)€(gè)人數(shù)據(jù)經(jīng)過加工處理后����,形成的具有使用價(jià)值的內(nèi)容——信息,而且可以脫離電子信息載體而獨(dú)立存在�����,如個(gè)人體檢的電子數(shù)據(jù)經(jīng)過醫(yī)生的分析和系統(tǒng)的處理����,形成的具有使用價(jià)值的體檢報(bào)告����,其存在的形式可以是電子狀態(tài),也可以是紙質(zhì)狀態(tài)����。由此可以得出:個(gè)人信息=個(gè)人數(shù)據(jù)+分析處理。
個(gè)人信息保護(hù)的目的��,在于保護(hù)具有使用價(jià)值的個(gè)人信息���,而不是所有的個(gè)人數(shù)據(jù)�����。因此�,我國《網(wǎng)絡(luò)安全法》和《民法總則》在立法技術(shù)上均采用了“個(gè)人信息”的表述,特別是網(wǎng)絡(luò)安全法第七十六條中對(duì)“網(wǎng)絡(luò)數(shù)據(jù)”和“個(gè)人信息”的含義專門進(jìn)行了文意解釋:“網(wǎng)絡(luò)數(shù)據(jù)�����,是指通過網(wǎng)絡(luò)收集�����、存儲(chǔ)�、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”����;“個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息����,包括但不限于自然人的姓名、出生日期�����、身份證件號(hào)碼、個(gè)人生物識(shí)別信息���、住址��、電話號(hào)碼等����。” 2018年出臺(tái)的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》不但界定了“個(gè)人信息主體”���,即“個(gè)人信息所標(biāo)識(shí)的自然人”�,同時(shí)對(duì)個(gè)人信息( personal information)進(jìn)行了明確的定義:以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息��,包括個(gè)人信息包括姓名�����、出生日期��、身份證件號(hào)碼����、個(gè)人生物識(shí)別信息�����、住址、通信通訊聯(lián)系方式���、通信記錄和內(nèi)容��、賬號(hào)密碼�、財(cái)產(chǎn)信息�����、征信信息�、行蹤軌跡、住宿信息��、健康生理信息�����、交易信息等��。由此可見���,我國《網(wǎng)絡(luò)安全法》及其配套規(guī)定分別從ICT技術(shù)的角度對(duì)個(gè)人數(shù)據(jù)和個(gè)人信息作出的法律定義�����,要比GDPR“個(gè)人數(shù)據(jù)“的定義更加嚴(yán)謹(jǐn)�����,也便于實(shí)際操作��。
筆者注意到���,在個(gè)人信息權(quán)的內(nèi)涵中��,我國重點(diǎn)保護(hù)的是涉及公民隱私的個(gè)人信息權(quán)��,早在2012年��,我國全國人民代表大會(huì)常務(wù)委員會(huì)頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一條就明確規(guī)定,國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息�����。這一點(diǎn)與GDPR是一致的����,GDPR的實(shí)質(zhì)就是一部個(gè)人隱私數(shù)據(jù)權(quán)保護(hù)法案���。
我國《民法總則》在第五章“民事權(quán)利”一章中將“個(gè)人信息權(quán)”作為一項(xiàng)新型的基本民事權(quán)利加以確認(rèn)與保護(hù),而GDPR同樣將“個(gè)人數(shù)據(jù)權(quán)”視為自然人的一項(xiàng)基本權(quán)利給予特別保護(hù)�����,如GDPR第1條“主題與目標(biāo)”中第2款規(guī)定�,本條例保護(hù)自然人的基本權(quán)利和自由,尤其是保護(hù)自然人所享有的個(gè)人數(shù)據(jù)權(quán)�����。
三���、歐盟GDPR的個(gè)人數(shù)據(jù)權(quán)
整體上看, GDPR主要突出數(shù)據(jù)私權(quán)至上的原則, 極大地?cái)U(kuò)充數(shù)據(jù)主體的數(shù)據(jù)權(quán)利范圍和保護(hù)機(jī)制, 對(duì)數(shù)據(jù)控制者和處理者使用個(gè)人數(shù)據(jù)進(jìn)行了嚴(yán)格的限制, 加大了數(shù)據(jù)控制者和處理者對(duì)個(gè)人數(shù)據(jù)管理的法律責(zé)任����,并對(duì)違反GDPR的行為����,尤其是違反監(jiān)管機(jī)構(gòu)發(fā)布的命令,規(guī)定了極其嚴(yán)厲的懲罰措施�����,如GDPR規(guī)定,違反第58(2)條規(guī)定的監(jiān)管機(jī)構(gòu)發(fā)布的命令����,應(yīng)當(dāng)按第2段的規(guī)定施加最高20,000�����,000歐元的行政罰款����,如果是集團(tuán)的話,可以施加最高前一年全球總營業(yè)額4%的罰款��,兩者取其高的一項(xiàng)進(jìn)行罰款����。
當(dāng)然,GDPR在突出對(duì)數(shù)據(jù)私權(quán)保護(hù)的基礎(chǔ)上����,也明確了一些例外的情況����,即當(dāng)數(shù)據(jù)私權(quán)與數(shù)據(jù)公權(quán)相互沖突時(shí)���,仍然是公權(quán)優(yōu)先于私權(quán),比如當(dāng)隱私保護(hù)的權(quán)利和處置原則與國家安全����、政府監(jiān)管、公共安全�、公共利益、司法程序與司法獨(dú)立等發(fā)生沖突的情況下����,應(yīng)當(dāng)首先滿足后者的需求。
GDPR大致賦予數(shù)據(jù)主體七項(xiàng)數(shù)據(jù)權(quán)利�,主要是:知情權(quán)、訪問權(quán)�����、修正權(quán)���、刪除權(quán)(被遺忘權(quán))���、限制處理權(quán)(反對(duì)權(quán))�、可攜帶權(quán)���、拒絕權(quán)�����。
1.知情權(quán)��。數(shù)據(jù)控制者收集個(gè)人信息必須給予個(gè)人充分的知情權(quán)����。應(yīng)當(dāng)向數(shù)據(jù)主體提供相應(yīng)的信息以保障數(shù)據(jù)主體對(duì)控制者身份����、個(gè)人信息處理目的及方式、權(quán)利維護(hù)途徑等內(nèi)容的知曉���。比如依據(jù)GDPR第14條的規(guī)定��,數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關(guān)的個(gè)人數(shù)據(jù)時(shí)����,應(yīng)當(dāng)告知數(shù)據(jù)主體�����,包括數(shù)據(jù)控制者的身份與詳細(xì)聯(lián)系方式��、數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式�����、數(shù)據(jù)處理將涉及的個(gè)人數(shù)據(jù)的使用目的�,以及處理個(gè)人數(shù)據(jù)的法律依據(jù)等。
2.訪問權(quán)�。GDPR第15條專門規(guī)定了“Right of access by the data subject”(數(shù)據(jù)主體的訪問權(quán)),即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者那里得知關(guān)于其個(gè)人數(shù)據(jù)是否正在被處理的真實(shí)情形����,如果其數(shù)據(jù)正在被處理的話,數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)訪問個(gè)人數(shù)據(jù)并有權(quán)獲知相關(guān)信息��,如該數(shù)據(jù)處理的目的�����;相關(guān)個(gè)人數(shù)據(jù)的類型���;個(gè)人數(shù)據(jù)已經(jīng)被或?qū)⒈慌督o數(shù)據(jù)接收者或接收者的類型��,特別是當(dāng)數(shù)據(jù)的接收者屬于第三國或國際組織�����;在可能的情形下�����,個(gè)人數(shù)據(jù)將被儲(chǔ)存的預(yù)期期限等�。
3.修正權(quán)。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制及時(shí)地糾正與其相關(guān)的不準(zhǔn)確個(gè)人數(shù)據(jù)��?����?紤]到處理的目的����,數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個(gè)人數(shù)據(jù)完整,包括通過提供補(bǔ)充聲明的方式進(jìn)行完善�。
4.刪除權(quán)(被遺忘權(quán))。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時(shí)刪除其個(gè)人相關(guān)數(shù)據(jù)的權(quán)利��。依據(jù)GDPR第17條第1款的規(guī)定��,出現(xiàn)“個(gè)人數(shù)據(jù)對(duì)于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再必要”等六種情形之一時(shí),數(shù)據(jù)控制者有責(zé)任及時(shí)刪除其個(gè)人數(shù)據(jù)�����。
GDPR第17條第3款同時(shí)規(guī)定了數(shù)據(jù)主體行使“刪除權(quán)”的例外情形�����,如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項(xiàng)任務(wù)�����,或者基于被官方授權(quán)而履行某項(xiàng)任務(wù)�,歐盟或成員國的法律要求進(jìn)行處理的數(shù)據(jù)�,以及為了科學(xué)或歷史研究目的或統(tǒng)計(jì)目的數(shù)據(jù)等,數(shù)據(jù)主體不能行使“刪除權(quán)”�。
5.限制處理權(quán)。在特定情況下�����,數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者處理數(shù)據(jù)����。例如數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑����,且允許數(shù)據(jù)控制者在一定期限內(nèi)核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性��;該數(shù)據(jù)處理是非法的�,并且數(shù)據(jù)主體反對(duì)刪除該個(gè)人數(shù)據(jù),同時(shí)要求限制使用該個(gè)人數(shù)據(jù)���;數(shù)據(jù)控制者基于該處理目的不再需要該個(gè)人數(shù)據(jù)����,但數(shù)據(jù)主體為設(shè)立��、行使或捍衛(wèi)合法權(quán)利而需要該個(gè)人數(shù)據(jù)�����;數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭(zhēng)議���,并給與數(shù)據(jù)控制者以一定的期限以核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性���。
6.可攜帶權(quán)。數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用和機(jī)器可讀的格式接收其提供給數(shù)據(jù)控制者的與其有關(guān)個(gè)人數(shù)據(jù)��,數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)傳輸給另一個(gè)數(shù)據(jù)控制者��,而被要求轉(zhuǎn)移數(shù)據(jù)的控制者應(yīng)當(dāng)配合數(shù)據(jù)主體的相應(yīng)要求�����。根據(jù)2016年12月��,歐盟數(shù)據(jù)工作保護(hù)組公布的《數(shù)據(jù)可攜權(quán)指南》(Guidelines on the right to data portability. 16/EN WP 242. )��,用戶數(shù)據(jù)可攜權(quán)不僅賦予用戶取得��、重復(fù)利用相關(guān)數(shù)據(jù)的權(quán)利����,還賦予用戶傳輸該等數(shù)據(jù)的權(quán)利����。
GDPR在賦予數(shù)據(jù)主體“”可攜帶權(quán)“的同時(shí),又提規(guī)定了例外的情形��,主要是”可攜帶權(quán)“不適用于為公共利益所執(zhí)行的某項(xiàng)任務(wù)所必需的數(shù)據(jù)處理��,也不適用于官方授權(quán)而進(jìn)行的數(shù)據(jù)處理等。
7.拒絕權(quán)(反對(duì)權(quán))�����。對(duì)于根據(jù)GDPR第6(1)條(e)或(f)點(diǎn)而進(jìn)行的有關(guān)數(shù)據(jù)主體的數(shù)據(jù)處理�,包括根據(jù)這些條款而進(jìn)行的用戶畫像,數(shù)據(jù)主體有權(quán)隨時(shí)提出反對(duì)�。此時(shí),數(shù)據(jù)控制者須立即停止針對(duì)這部分個(gè)人數(shù)據(jù)的處理行為��,除非數(shù)據(jù)控制者證明���,相比數(shù)據(jù)主體的利益���、權(quán)利和自由,具有壓倒性的正當(dāng)理由需要進(jìn)行處理�,或者處理是為了提起、行使或辯護(hù)法律性主張�。
如果個(gè)人數(shù)據(jù)是為直接營銷目的進(jìn)行的處理,數(shù)據(jù)主體有權(quán)在任何時(shí)候反對(duì)處理與其本人有關(guān)的個(gè)人數(shù)據(jù)�����,來進(jìn)行這種營銷行為����,包括在與這種直接營銷有關(guān)的范圍內(nèi)所進(jìn)行的數(shù)據(jù)分析�����。根據(jù)GDPR第89 條第1 款�����,個(gè)人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計(jì)的目的被處理的���,數(shù)據(jù)主體在與其相關(guān)的特定情形下,也有權(quán)拒絕對(duì)其個(gè)人數(shù)據(jù)的處理����,除非這種數(shù)據(jù)處理行為是基于公眾利益的目的����。
四、中國《網(wǎng)絡(luò)安全法》的個(gè)人信息權(quán)
目前����,我們尚沒有一部專門的《個(gè)人信息保護(hù)法》,個(gè)人信息權(quán)僅僅是《我網(wǎng)絡(luò)安全法》中的一部分���,相比較而言��,GDPR更重視保護(hù)自然人的個(gè)人隱私數(shù)據(jù)權(quán)���。從法律屬性看�,公民個(gè)人信息權(quán)的保護(hù)應(yīng)當(dāng)嚴(yán)格區(qū)分“個(gè)人信息權(quán)”與“個(gè)人隱私權(quán)”����。從精神性人格權(quán)的屬性研究,“隱私”是與公共利益�、群眾利益無關(guān)的,為當(dāng)事人不愿意他人知道或他人不便知道的私人信息��,當(dāng)事人不愿意他人干涉或他人不便干涉的私人活動(dòng)���,當(dāng)事人不愿意他人侵入或他人不便侵入的私人空間���。
長期以來,我國的民事立法上一直沒有把隱私權(quán)作為一項(xiàng)獨(dú)立的基本的公民權(quán)利來加以直接保護(hù)�,而是將公民的隱私權(quán)歸入名譽(yù)權(quán)中進(jìn)行間接保護(hù),因此導(dǎo)致我國公民個(gè)人隱私權(quán)的保護(hù)一直未能得到有效重視�����。事實(shí)上,名譽(yù)權(quán)與隱私權(quán)是兩種完全不同的概念���,兩項(xiàng)權(quán)利應(yīng)該是并列關(guān)系而不是包含關(guān)系��。
我國《民法總則》是民法典編纂的首期工程�����,在我國民事立法史上具有里程碑式的意義�����,其中一個(gè)突出的亮點(diǎn)是首次在民事權(quán)利的層面規(guī)定了“個(gè)人信息權(quán)”���,并明確了對(duì)個(gè)人信息權(quán)利的保護(hù)規(guī)范。筆者認(rèn)為��,當(dāng)前和未來一段時(shí)期我國個(gè)人信息安全保護(hù)邊界的基本要義是在確?;緜€(gè)人人格權(quán)和隱私權(quán)不受非法侵害的基礎(chǔ)上�����,促進(jìn)個(gè)人信息資源在“合法��、正當(dāng)、必要”法定原則的基礎(chǔ)上進(jìn)行適當(dāng)?shù)奶幚砗屠谩?/p>
我國《網(wǎng)絡(luò)安全法》確立了多項(xiàng)“個(gè)人信息權(quán)”�,但與GDPR相比較,條文不夠細(xì)化���,規(guī)定比較原則��,需要系列配套規(guī)范加以細(xì)化��。2018年5月1日起實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(簡(jiǎn)稱:“個(gè)人信息安全規(guī)范”)就是《網(wǎng)絡(luò)安全法》第四章的一項(xiàng)重要配套規(guī)范�����,《個(gè)人信息安全規(guī)范》在制定過程中參照和對(duì)標(biāo)了國際最先進(jìn)的規(guī)則和立法標(biāo)準(zhǔn)��,也參考了在個(gè)人信息保護(hù)方面最先進(jìn)的國外立法����,包括GDPR���、OECD(經(jīng)濟(jì)合作與發(fā)展組織)隱私框架�、APEC(亞洲太平洋經(jīng)濟(jì)合作組織)隱私框架等國際規(guī)則��、歐美“隱私盾”(EU-US PrivacyShield)協(xié)議���、美國“消費(fèi)者隱私權(quán)法案”(Consumer Privacy Bill of Rights)等歐美個(gè)人信息保護(hù)方面的立法����,堪稱是中國的“GDPR”。
《個(gè)人信息安全規(guī)范》與GDPR最大的不同���,就是效力等級(jí)不同�,前者是一個(gè)標(biāo)準(zhǔn)�,且只是一部推薦性標(biāo)準(zhǔn),還不是一部強(qiáng)制性標(biāo)準(zhǔn)�;后者的效力層級(jí)是歐盟的“條例”(編號(hào)為EU-DSGVO),GDPR的各個(gè)部分都具有法律約束力����,這種法律上的約束力不僅表現(xiàn)在其特定的目標(biāo)上,而且表現(xiàn)在為實(shí)現(xiàn)該特定目標(biāo)所須采取的各種方式和措施等��。
中國《網(wǎng)絡(luò)安全法》及其配套規(guī)定設(shè)定的“個(gè)人信息權(quán)“大致也有七類:知情權(quán)�、刪除權(quán)、更正權(quán)��、明示同意權(quán)���、訪問權(quán)��、注銷權(quán)����、撤回權(quán)����。
1.知情權(quán)。收集和使用公民個(gè)人信息必須遵循合法�����、正當(dāng)�����、必要原則����,且目的必須明確并經(jīng)用戶的知情同意?�!毒W(wǎng)絡(luò)安全法》第四十一條規(guī)定����,網(wǎng)絡(luò)運(yùn)營者收集�����、使用個(gè)人信息�,應(yīng)當(dāng)遵循合法��、正當(dāng)����、必要的原則,公開收集���、使用規(guī)則����,明示收集��、使用信息的目的�、方式和范圍,并經(jīng)被收集者同意�。
2.刪除權(quán)?��!毒W(wǎng)絡(luò)安全法》第四十三條規(guī)定�,個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集��、使用其個(gè)人信息的���,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息。我國《網(wǎng)絡(luò)安全法》中的“刪除權(quán)”實(shí)質(zhì)上類似于GDPR第17條規(guī)定的 Right toerasure (right to be forgotten)����,即“刪除權(quán)(被遺忘權(quán))“。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時(shí)刪除與其有關(guān)的個(gè)人數(shù)據(jù)�����,且在特定情形下數(shù)據(jù)控制者有義務(wù)立即刪除這些個(gè)人數(shù)據(jù)����。
我國《網(wǎng)絡(luò)安全法》規(guī)定的公民對(duì)其信息的刪除權(quán)請(qǐng)求權(quán)主要有兩種情形,一是當(dāng)事人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營商違反法律����、行政法規(guī)或違反雙方的約定收集和使用其信息;二是網(wǎng)絡(luò)運(yùn)營商所收集的個(gè)人信息的特定目的已經(jīng)消滅或雙方約定的期限已經(jīng)屆滿��,在這兩種情形下,當(dāng)事人均有權(quán)要求網(wǎng)絡(luò)運(yùn)營商刪除和停止使用其個(gè)人信息�����。
3.更正權(quán)���?����!毒W(wǎng)絡(luò)安全法》第四十三條同時(shí)規(guī)定����,個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集�、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正�。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。我國《網(wǎng)絡(luò)安全法》中的“更正權(quán)“類似于GDPR的”修正權(quán)“��,即數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者無不當(dāng)延誤地修正與其相關(guān)的不準(zhǔn)確的個(gè)人數(shù)據(jù)�����。我國《網(wǎng)絡(luò)安全法》中的“個(gè)人信息的更正權(quán)”是指�,個(gè)人信息主體(personal data subject)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營商收集�����、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤或者有缺失的�,有權(quán)要求其補(bǔ)充或更正�。
我國《網(wǎng)絡(luò)安全法》規(guī)定的“刪除權(quán)”和“更正權(quán)”基本上采用了“避風(fēng)港”規(guī)則,即在網(wǎng)絡(luò)運(yùn)營商被通知前提下的“刪除”或“更正”——“通知-刪除或更正”�����,這是《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)運(yùn)營商的一種寬容性規(guī)定��。
4.明示同意權(quán)�����?����!秱€(gè)人信息安全規(guī)范》明確了“明示同意”(explicitconsent)的具體內(nèi)涵���,即個(gè)人信息主體通過書面聲明或主動(dòng)做出肯定性動(dòng)作,對(duì)其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為�����。此種肯定性動(dòng)作包括個(gè)人信息主體主動(dòng)作出聲明(電子或紙質(zhì)形式)、主動(dòng)勾選�、主動(dòng)點(diǎn)擊“同意”、“注冊(cè)”���、“發(fā)送”��、“撥打”等�����。
我國《個(gè)人信息安全規(guī)范》的“明示同意”與GDPR的嚴(yán)格個(gè)人同意標(biāo)準(zhǔn)相比較�����,后者更為詳細(xì)和嚴(yán)謹(jǐn)��。GDPR的個(gè)人同意必須是自愿作出的��、特定的��、具體的�����、知情的及明確的同意�。個(gè)人如果通過書面聲明的方式同意, 同意的內(nèi)容應(yīng)當(dāng)易于理解且與其他事項(xiàng)顯著區(qū)別開, 數(shù)據(jù)控制者不能擴(kuò)大個(gè)人同意的范圍。而且GDPR授權(quán)個(gè)人隨時(shí)可以撤回先前的同意, 數(shù)據(jù)控制者應(yīng)保證撤回同意與作出同意一樣容易����。這意味著個(gè)人信息主體主動(dòng)作出的聲明,主動(dòng)的格式合同“勾選“���、主動(dòng)點(diǎn)擊“同意”等“明示同意”規(guī)則����,將面臨GDPR數(shù)據(jù)主體隨意和便利地撤回信息的合規(guī)風(fēng)險(xiǎn)���。
5.訪問權(quán)。我國《個(gè)人信息安全規(guī)范》7.4 設(shè)置了“個(gè)人信息訪問”權(quán)��,要求個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供訪問三類信息的方法:一是其所持有的關(guān)于該主體的個(gè)人信息或類型���;二是上述個(gè)人信息的來源�、所用于的目的�;三是已經(jīng)獲得上述個(gè)人信息的第三方身份或類型。
如果個(gè)人信息主體提出訪問非其主動(dòng)提供的個(gè)人信息時(shí)�,個(gè)人信息控制者可在綜合考慮不響應(yīng)請(qǐng)求可能對(duì)個(gè)人信息主體合法權(quán)益帶來的風(fēng)險(xiǎn)和損害��,以及技術(shù)可行性�����、實(shí)現(xiàn)請(qǐng)求的成本等因素后�,做出是否響應(yīng)的決定����,并給出解釋說明。
6.注銷權(quán)���。個(gè)人信息主體有權(quán)注銷其賬戶��,我國《個(gè)人信息安全規(guī)范》7.8要求個(gè)人信息控制者為個(gè)人信息主體提供注銷賬戶的方法�,一是通過注冊(cè)賬戶提供服務(wù)的個(gè)人信息控制者��,應(yīng)向個(gè)人信息主體提供注銷賬戶的方法�,且該方法應(yīng)簡(jiǎn)便易操作;二是個(gè)人信息主體注銷賬戶后�,應(yīng)刪除其個(gè)人信息或做匿名化處理。
7.撤回權(quán)��。個(gè)人信息主體有權(quán)撤回其先前的同意��,個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供方法撤回收集、使用其個(gè)人信息的同意授權(quán)��。撤回同意后����,個(gè)人信息控制者后續(xù)不得再處理相應(yīng)的個(gè)人信息。
我國《個(gè)人信息安全規(guī)范》的“撤回同意”與GDPR的“撤回同意”相比較��,后者更強(qiáng)調(diào)個(gè)人信息主體“撤回同意”的便利性�����,即It shall be as easy to withdraw as to give consent(撤回同意應(yīng)當(dāng)和表達(dá)同意一樣簡(jiǎn)單)���。
五�����、結(jié)語
總體上看,我國《網(wǎng)絡(luò)安全法》及其配套規(guī)定關(guān)于個(gè)人信息權(quán)的行使與保護(hù)借鑒了國外的先進(jìn)立法經(jīng)驗(yàn)�����,同時(shí)具有中國獨(dú)有的特色�����,特別是充分體現(xiàn)了信息化發(fā)展與個(gè)人信息安全保護(hù)并重的安全發(fā)展觀,為全球貢獻(xiàn)了中國智慧�����。
GDPR被稱為是全球保護(hù)隱私里程碑式的立法�,但也有尤其不足之處,主要是限制了數(shù)據(jù)的流動(dòng)和共享��。盡管GDPR第一條(3)規(guī)定���,不得以處理個(gè)人數(shù)據(jù)過程中對(duì)自然人的保護(hù)為由���,限制或禁止個(gè)人數(shù)據(jù)在歐盟內(nèi)部進(jìn)行自由流動(dòng)。但縱觀GDPR的諸多限制或禁止規(guī)定�����,大大地限制了數(shù)據(jù)的自由流動(dòng)和本區(qū)域信息化的發(fā)展���。而且有些制度尚不成熟�����,也沒有大量的實(shí)踐和普遍適用的可能�����,就被寫入了GDPR��,如“個(gè)人數(shù)據(jù)可攜“�,數(shù)據(jù)主體針對(duì)已經(jīng)向數(shù)據(jù)控制者提供的個(gè)人數(shù)據(jù),有權(quán)向數(shù)據(jù)控制者處獲取結(jié)構(gòu)化�����、通用化和可機(jī)讀的上述數(shù)據(jù)����;同時(shí),數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者�����。從本質(zhì)上看�,數(shù)據(jù)主體的這項(xiàng)權(quán)利是GDPR對(duì)個(gè)人信息權(quán)利中的財(cái)產(chǎn)權(quán)和人格權(quán)的相互妥協(xié)��,這本身就存在著矛盾和邏輯沖突��。
本文的精簡(jiǎn)版將發(fā)表于《中國信息安全》2018年第7期
免責(zé)聲明:凡本網(wǎng)注明“來源:XXX(非駐馬店廣視網(wǎng)、駐馬店融媒�、駐馬店網(wǎng)絡(luò)問政、掌上駐馬店�、駐馬店頭條、駐馬店廣播電視臺(tái))”的作品����,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息�����,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)��,作品版權(quán)歸原作者所有��,如有侵犯您的原創(chuàng)版權(quán)請(qǐng)告知����,我們將盡快刪除相關(guān)內(nèi)容。凡是本網(wǎng)原創(chuàng)的作品�����,拒絕任何不保留版權(quán)的轉(zhuǎn)載,如需轉(zhuǎn)載請(qǐng)標(biāo)注來源并添加本文鏈接:http://cokin-filiter.com.cn/showinfo-572-217822-0.html��,否則承擔(dān)相應(yīng)法律后果�����。
