【摘要】 个人数据保护权的兴起是大数据时代法制发展的新动向。在欧盟范围内，个人数据保护权取代隐私权，成为信息隐私保护和数据保护法制重构的首要权利。个人数据保护进入“后隐私权”时代。与强调消极防御的隐私权不同，个人数据保护权具有鲜明的主动防护特征。与人格权、信息自决权相比，它的规范内容更加确定。欧盟力推个人数据保护权兼具浓厚的法律和产业背景。棱镜门事件后，个人数据保护权的影响力突破区域局限，对全球大数据时代相关市场和法律规范重构发挥重大作用。然而，个人数据保护权也不是没有成本的制度设置，运用不当可能拖累互联网经济发展，甚至会产生保护主义的过度防御问题。我国应对欧盟个人数据保护权的效应进行综合研判，可在规范基础、制度结构和法律形态方面对其进行适当借鉴，但不宜盲目照搬其立法形态。

　　 【中文关键词】 个人数据保护权；隐私权；人格权；信息自决权；个人数据保护法

　　 目次

　　 一、欧盟个人数据保护权的由来与内容

　　 二、后隐私权变革：个人数据保护权兴起的多重意义

　　 三、欧盟个人数据保护权的局限

　　 四、欧盟个人数据保护权对我国的启发意义

　　 “互联网时代精神教父”凯文•凯利(Kevin Kelly)调侃法律“是一组写在纸上而不是电脑上的复杂条款。工作速度慢；计算的对象是公正与秩序(理想状态下)”。尽管如此，他仍然认为“法律有利于人类进步”的观念使“烦琐的法律体系巩固了西方社会的基础”。[1]无论法律能否促进人类进步，它都必须与科技共同演进，否则难以维护公正与秩序。20世纪70年代以来，人类逐步走向信息社会，以隐私权为基础的个人数据保护法制应运而生。但近年来，个人数据保护权(The right to protection of personal data)[2]取代隐私权成为欧盟数据保护的基础权利。个人数据保护进入“后隐私权”时代。这是信息隐私和个人数据保护领域的重大变革。分析个人数据保护权的特征、意义与局限，对理解信息法制的发展趋势以及构建我国相关制度是有价值的。

一、欧盟个人数据保护权的由来与内容

　　 (一)由来

　　 2016年4月27日，欧盟通过了《通用数据保护条例》(General Data Protection Regulation)(以下简称《条例》)。《条例》经两年过渡期后取代1995年95/46/EC号指令[3]于2018年5月25日正式生效。这标志着欧盟建立了统一的个人数据保护法制。

　　 20世纪70年代以来，西方各国陆续建立个人数据保护法制。但各国对个人数据保护的重视程度不同，法律规定各异，甚至存在冲突。为改变这种状况，欧盟推出1995年指令。该指令的基本目标有二：一是协调各国对自然人在数据处理领域的基本权利和自由的保护；二是保证成员国之间个人数据的自由流动。因此，欧盟统一的个人数据保护框架本身就是为了改善相关权利和自由的保护而产生。1995年指令设立了所有欧盟成员国必须遵守的个人数据保护和流动的准则，但允许成员国依据自身情况，施行合标准的规则。该指令不仅极大改善了欧盟区域内个人数据的保护，更推动了全球信息法制的发展。因为指令特别强调应限制向不具备充分数据保护水平的国家传输数据，促使欧盟主要贸易伙伴纷纷调整或建构自己的个人数据保护标准，进而推动了全球个人数据保护秩序的建立。

　　 然而，法律的脚步往往落后于现实的发展。在1995年指令颁布时只有约百分之一的人使用互联网。进入21世纪后，互联网已成为人们生活和工作的基本工具。社会网络网站、云计算、定位技术给人们带来便利的同时也潜藏着新的风险。另外，欧盟内部个人数据保护一体化的进程缓慢，相关法律要求和规则往往被忽视，相关权利的应用也十分有限。[4]在2011年的一项调查中，百分之九十的欧洲人希望在欧盟范围内有同等的数据保护。[5]

　　 基于此种情况，欧盟委员会(European Commission)于2012年1月25日向欧洲议会以及欧盟理事会提出了《关于涉及个人数据处理的个人保护以及此类数据自由流动的条例的建议》。各界原本期望该条例草案于2014年经过立法程序确定其效力。然而，由于引发的争议过大，经过大幅修改后在2016年4月方完成立法程序。虽历经周折，《条例》出台仍然标志着适应信息社会的个人数据保护法制在欧洲诞生。与1995年指令相比，《条例》可谓焕然一新。实际上，该条例如此“难产”，主要是因为欧盟想要避免立法出台就落后于现实。为此，欧盟特别在意这部条例的前瞻性和适应性，在多种机制和规范方面有所创新。但最大的变化无疑是权利基础的变化。1995年指令第1条规定：“为与本指令相一致，成员国应当保护自然人的基本权利和自由，尤其是与数据处理有关的隐私权。”《条例》第1条则变为：“本条例保护自然人的基本权利和自由，尤其是他们的个人数据保护权(their right to the protection of personal data)。”这绝不仅是表述上的调整，而是意味着个人数据保护权取代了隐私权成为欧盟数据保护法制的首要权利。《条例》对个人数据保护权的规定宣告个人数据保护从此有了明晰的权利基础，摆脱了过去以隐私权为主但又难于精确描述的尴尬状态。

　　 (二)内容

　　 个人数据保护权最早见于2000年《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union，以下简称《宪章》)。2007年《里斯本条约》更是将这一权利作为欧盟的一项构架性权利。《宪章》第8条“个人数据保护”(Protection of personal data)第1款规定：“每个人都拥有保护与他(或她)有关的个人数据的权利。”在该条第2款、第3款中没有进一步规定个人数据保护权的具体内容，而是简要概括了个人数据合法处理的一般原则。作为里斯本条约的一部分，《欧洲联盟运作方式条约》(Treaty on the functioning of the European Union)第16条的规定与《宪章》基本相同，也主要是宣告性的，没有具体内容。《条例》首次集中规定了该权利的具体内容。

　　 其实，1995年指令中已经罗列了《条例》中的大部分权利。但这些权利条款分散于指令第二章“关于个人数据处理合法性的一般规则”的第二节、第三节、第四节、第五节和第七节等部分。《条例》则在第三章以“数据主体的权利”(Rights of the data subject)命名，并用较大篇幅集中规定了权利内容。这说明个人数据保护权已经具备独立和整合的形态。第三章规定的各项权利的主体是数据主体(data subject)。而个人数据保护权的主体是一切自然人。从字面上看，数据主体的权利与个人数据保护权并非同义。但遵循条例的内在逻辑，不难发现这两种表述的内涵基本是一致的。关键在于，条例是通过界定“数据主体”的方式来定义“个人数据”的。按照《条例》第4条的定义，数据主体是指“一个已被识别的自然人或者控制者或其他自然人或法人可通过合理可行的直接或间接手段识别的自然人，特别是通过身份证号码、位置数据、在线身份或者一个或多个与其身体、生理、基因、精神、经济、文化或者社会身份有关的特殊因素来确定的人”。强调已被识别或可识别性的特性，为的是区分与自然人的人格紧密相关的个人数据(personal data)和仅与自然人相关的客观的数据(data)。当然，客观数据有可能与自然人有关，但如果这种关联程度并非足以影响人格，就不必被视为个人数据并纳入法律保护的范畴。而《条例》将个人数据简洁明了地界定为“任何与数据主体有关的信息”，实际包含了对数据主体的严格要求。此外，第三章实际上还规定了数据主体之外的各方当事人的义务和权利，例如数据控制者的义务、数据接收者的权利等。整体来看，应当将《条例》第三章的规定视为个人数据保护权的主要内容。

　　 个人数据保护权是个集合概念，包含五个方面的多种具体权利和相关义务。(1)透明性和方式。这部分规定了数据控制者的一系列义务，包括提供透明的信息和沟通；为数据主体行使权利建立相应程序和机制，以及对数据接收者的沟通义务。后者被表述为“涉及数据接收者的权利”(Rights in relation to recipients)。(2)告知和获取数据。包括告知数据主体(Information to the data subject)和数据主体接触数据的权利(Right of access for the data subject)。(3)编辑和删除。包括修改权(Right to recti?cation)、删除权(Right to erasure)、数据便携性的权利(Right to data portability)。(4)拒绝权和自动化的个人决策的权利。即拒绝权(Right to object)和自动化个人决策方面的权利，包括存档(Automated individual decision-making, including pro?ling)。(5)限制条款。规定了对个人数据保护权进行限制必须遵守的条件与形式。删除权[6]和数据便携性的权利[7]是1995年指令没有规定的。另外，《条例》对同意权的规定更为严格，数据主体的同意只能是具体的，不能被假设。很明显，这些规定有利于提升人们对自身数据的控制能力。

　　 个人数据保护权的效力已为实践肯定，并成为未来欧盟个人数据保护领域最具实效的权利。从实质内容上看，虽然1995年指令采用的是关于个人数据处理的隐私权保护这样的表述，但其基本精神与个人数据保护权是一致的。在司法领域，个人数据保护权早已获得了欧洲法院判例的支撑。其中比较著名的是与德国相关的两个合并处理的案件。2008年两原告向德国黑森州(Land of Hesse)有关当局申请欧洲农业担保基金(EAGF)和欧洲农村发展农业基金(EAFRD)的资金支持并获得批准。按照欧盟相关条例的规定，“德国联邦农业与食品办公室”这一联邦机构(Bundesanstalt)的网站有义务刊登关于他们的数据。两原告诉请威斯巴登行政法院要求黑森州不要刊登关于他们的数据，因为这将会侵犯其个人数据保护的基本权利。德国法院提请欧洲法院审查欧盟相关规则的合法性。欧洲法院最后支持了原告的立场，认为欧盟相关条例一般而言侵犯了受益者私生活受尊重的权利，尤其是侵犯了他们的个人数据保护权。[8]

　　 近年来，欧盟多个成员国通过的一系列支持“被遗忘的权利”的判决，更是秉持了《条例》的基本精神。

二、后隐私权变革：个人数据保护权兴起的多重意义

个人数据保护权的兴起有着明显的规范和建构意义。它不仅是“后隐私”时代个人数据保护法清晰的规范基础，还提供了一个法律与数据处理双向建构的可持续发展框架。此外，尽管个人数据保护权是在欧盟框架内兴起的，但已经发挥明显的域外效力。个人数据保护权已经并将持续推动全球个人数据保护标准的发展和提高，(点击此处阅读下一页)