返回上一页 文章阅读 登录

丁晓东:什么是数据权利?

——从欧洲《一般数据保护条例》看数据隐私的保护

更新时间:2018-09-27 07:37:55
作者: 丁晓东  

   摘要:  欧洲《一般数据保护条例》是全球个人数据保护的最重要立法之一。通过对该条文的分析,可以发现该法案采取了强化数据主体对个人数据控制的导向。通过对赋予数据主体的数据隐私权的分析,可以发现这种权利同时具有人格权与财产权的特征,其边界并不清晰,也并不一定能实现立法者所期望实现的目的。保护隐私权益,应当更多采取公法风险规制与消费者法保护的框架,而不是寻求一种具有确定性边界的隐私权或个人信息权。这是因为,数据隐私必须放在特定的语境与社群中才能理解,只有结合具体语境与社群中的信息流通,才能准确思考隐私的边界与个人数据流通的合理性,才能对相关权利进行合理的界定。

   关键词:  《一般数据保护条例》;数据隐私;数据权利;语境;风险规制;消费者保护

  

   2016年4月27日,欧洲议会通过了规制个人数据或个人信息的《一般数据保护条例》(General Data Protection Regulation,英文简称“GDPR”,下文将简称《条例》),[1]并且已于2018年5月25日正式生效,替代此前的“95指令”。

   对于这样一部极为重要的隐私与数据法,不仅欧洲国家对其进行了大量的讨论,美国等域外国家也积极参与了其立法过程,[2]而且发表了大量研究。[3]一方面,《条例》对美国商业领域和隐私法领域产生了极为重要的影响,诸如Google、Facebook这样的互联网企业将直接受到《条例》的管辖,一旦违反《条例》的规定,企业可能面临高额罚款。另一方面,《条例》在隐私法与数据保护领域的创新,例如被遗忘权、数据携带权等权利的规定将改写现有的隐私与数据保护法框架。如果缺少对这些问题的探讨,那么未来隐私法与数据保护法的规则制定权就将牢牢地掌握在欧洲国家的手中。

   在中国,对于《条例》的介绍、讨论和参与仍然很少。目前,只有少量译介《条例》的文章与著作,而对于《条例》的全面分析,包括对《条例》所规定的被遗忘权、数据携带权、反对自动处理权的深度分析则更是处于起步阶段。[4]

   这种现状无疑存在不小的问题。首先,和美国等其他国家一样,《条例》所设定的宽泛的管辖范围会对中国企业产生重大和直接影响。当中国企业数据业务涉及“为欧盟内的数据主体提供商品或服务——不论是否要求数据主体进行支付”,或者“监控发生在欧洲范围内的数据主体的活动”时,[5]就受到《条例》的规制。这就是说,如果某家中国企业通过相关数据分析欧盟某成员国的消费者。据以准备供货订单,或者分析中国公民在欧盟内活动的数据,即使他们使用的是诸如微信、淘宝这样的平台,也必须遵守《条例》的规则。[6]其次,从未来隐私法与数据保护的规则制定来说,对于《条例》的整体分析以及对其具体制度的深度分析也具有迫在眉睫的需求。尽管中国的互联网企业和其他企业已经具备了和美国等大型企业竞争的能力,但在隐私与数据保护规则等方面,中国的企业与知识界的准备却远远不足。可以想见,如果未来中国企业希望进入欧洲市场,或者进入其他隐私与数据保护标准较高的市场,其所面临的制度风险将远远超过欧洲企业和美国企业。最后,从学术的层面来看,《条例》所规定的一系列数据主体的权利已经对现有的法律理论提出了新的挑战。如何理解隐私与个人数据?个人数据是一种个人可以随意处置的财产或准财产,还是不可以随意处置的个人人格的一部分?对隐私与个人数据的保护应当采取财产权保护的框架,还是人格权保护的框架?或者是否应当将个人数据视为一种知识产权,采取知识产权的保护框架?对《条例》进行分析,将有助于我们理解这些根本性的学术问题。

   基于这些考虑,本文将首先介绍《条例》的整体框架与重点条文,指出《条例》从整体上采取了一种强化数据主体权利的进路。随后指出这种强化数据主体权利的进路面临着界定的难题:无论是将数据隐私界定为一种人格权还是界定为一种财产权,都面临着不小的困境。究其原因,现有对数据权利、隐私权、人格权与财产权的思考都没有充分考虑语境与社群的隐私。一旦我们将这些概念与特定语境及社群中的信息流通结合起来,就能更合理地理解数据隐私的本质,也能够更好地反思数据隐私保护的法律框架。保护数据隐私不应当期待可以寻求某种客观的权利边界,而应当更多采取风险规制的公法框架与尊重预期的消费者法框架,通过这两个框架来界定相关权利的边界。

  

一、《条例》鸟瞰


   从章节设置来看,《条例》一共分为十一章,分别是一般条款;原则;数据主体的权利;控制者和处理者;将个人数据转移到第三国或国际组织;独立监管机构;合作与融贯性;救济、责任与惩罚;和特定处理情形相关的条款;授权法案与实施性法案;最后条款。

   第一章规定了《条例》所涉及的主要事项与目标、适用范围、地域管辖范围以及相关概念的定义。就主要事项与目标来说,《条例》开宗明义,“本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人数据自由流动的规则”,[7]将保护自然人的自然数据权利和设定个人数据自由流动规则作为条例的主要事项与目标。就适用范围来说,条例设定了宽泛的管辖权,[8]例如,就地域管辖范围来说,条例除了规定在欧盟内部设立的数据控制者或处理者的数据处理受本条例管辖之外,[9]还规定了“为欧盟内的数据主体提供商品或服务——不论是否要求数据主体进行支付;或者监控发生在欧洲范围内的数据主体的活动”,此类数据处理也受条例的管辖。这就意味着,如果《条例》得到严格执行,《条例》的管辖范围不仅仅限于欧盟内部,而且会影响到其他各国企业与实体的数据处理。就定义来说,其中最为重要的是个人数据的定义:“‘个人数据’的含义是任何已识别或可识别的自然人(‘数据主体’)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。”[10]

   第二章是数据处理的一般原则。《条例》规定了六项原则。[11](a)“合法性、合理性和透明性”原则:“对涉及数据主体的个人数据,应当以合法的、公平的和透明的方式来进行处理。”(b)“目的限制”原则:“个人数据的收集应当遵循具体的、清晰的和正当的目的,对个人数据的处理不应当和此类目的不相容。”(c)“数据最小化”原则:个人数据对于为了实现数据处理目的来说应当是适当的、相关的和必要的。(d)“准确性”原则:个人数据应当是准确的,如有必要,必须及时更新;必须采取所有步骤,保证为了实现某项目的而处理的不准确的个人数据被擦除或及时更正。(e)“限期储存”原则:“对于能够识别数据主体的个人数据,其保存方式应当不长于为了实现个人数据处理目的所必要的期限;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。”(f)“诚实与保密”原则:“个人数据的处理应当通过合理的技术或组织手段,保障个人数据的合理安全,包括防御未授权或非法的处理,防御意外损失、销毁或损害。”同时,《条例》还规定“可问责性”原则,控制者除了遵守以上六点处理原则,“而且应当有责任对此提供证明”。

   第二章还对处理的合法性所需满足的条件作出了规定。第6条规定,处理的合法性必须满足某项条件,例如“数据主体已经同意基于一项或多项目的而对其个人数据进行处理”。而在数据主体未表示同意的情形下,处理的合法性必须是为了实现数据主体利益、[12]履行公共职责、[13]保护第三人核心利益、[14]实现公共利益、[15]控制者或第三人的正当利益[16]。而对于何谓数据主体的同意,《条例》作出了标准很高的规定。控制者首先负有举证责任,其有责任证明“数据主体已经同意对其个人数据进行处理”。[17]其次,“如果数据主体的同意是在涉及其他事项的书面声明的情形下作出的,请求获得同意应当完全区别于其他事项,并且应当以一种容易理解的形式,使用清晰和平白的语言”,任何控制者所发表的免责声明都不具有效力。[18]再次,“数据主体应当有权随时撤回其同意”。[19]最后,《条例》还规定,“分析同意是否是自由做出的,应当最大限度地考虑的一点是:对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。”[20]

   第三章规定了数据主体所拥有的权利。第12条至第14条规定数据主体获取信息的权利,在收集数据主体信息之前,其有权获取控制者的身份与详细联系方式、处理目的等相关信息。第15条至第22条规定了数据主体对个人数据的访问权、更正权、擦除权(“被遗忘权”)、限制处理权、数据携带权、一般反对权和反对自动化处理的权利。其中,最重要的当属对数据的访问权、更正权、擦除权与携带权。

   就访问权而言,《条例》规定,“数据主体应当有权从控制者处得知,关于其个人数据是否正在被处理”,而如果正在被处理的话,数据主体“有权访问个人数据”和获知一系列信息,包括处理的目的、相关个人数据的类型、个人数据已经被或将被披露给接收者或接收者的类型、个人数据将被储存的预期期限、数据主体所拥有的相关权利。[21]就更正权而言,《条例》规定:“数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下,数据主体应当有权完善不充分的个人数据,包括通过提供额外声明的方式来进行完善。”[22]就擦除权(“被遗忘权”)而言,《条例》规定在某些情形下,“数据主体有权要求控制者擦除关于其个人数据的权利”。例如,如果“个人数据对于实现其被收集或处理的相关目的不再必要”,[23]或者数据主体撤回同意,[24]或者“已经存在非法的个人数据处理”。[25]就携带权而言,《条例》规定:“数据主体有权获得其提供给控制者的相关个人数据,而且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。”[26]

第四章规定了数据控制者和处理者的责任。其中第一部分第25条至第31条规定了控制者与处理者的一般责任。例如第25条规定,控制者必须承担“通过设计的数据保护和默认的数据保护(data protection by design and by default)”的责任。所谓通过设计的数据保护,指的是控制者应当有一套固有的数据保护机制,而不只是采取一些临时性和个案性的保护措施。[27]而所谓的默认的数据保护,指的是控制者的数据保护责任是一种缺省规则。[28]第二部分规定了控制者与处理者对于个人数据安全所应承担的责任和采取的措施。例如第32条规定,在考虑了“最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后”,控制者和处理者应当采取“适当技术与组织措施,以便保证和风险相称的安全水平”。第三部分规定了数据保护影响评估与数据处理之前的事先咨询要求。例如第35条规定,当数据处理对个人因素“进行系统性与全面性的评价”并且“其决策对自然人产生法律影响或类似重大影响”时,[29]处理特定类型的数据或犯罪相关数据时,[30]或者数据处理与大规模的方式系统性地监控某个公众可以访问的空间相关时,[31]“控制者应当在处理之前评估计划的处理进程对个人数据保护的影响”。[32]第四部分是关于数据保护官的规定。例如第37条规定,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/112527.html
收藏