趙淑鈺 中國信息通信研究院互聯(lián)網(wǎng)法律研究中心工程師

1　引言

歐盟《通用數(shù)據(jù)保護條例》將于2018年5月25日正式實施。相較于其他國家、地區(qū)的數(shù)據(jù)（個人信息）保護立法以及歐盟1995年頒布的《歐盟數(shù)據(jù)保護指令》，GDPR首次對數(shù)據(jù)主體的權(quán)利進行了專章規(guī)定，并創(chuàng)新性的規(guī)定了新的數(shù)據(jù)權(quán)利類型。但GDPR對于數(shù)據(jù)主體的權(quán)利保障并不是絕對的，而是規(guī)定了若干適用的例外情形?！癎DPR的立法者們充分關(guān)注到了數(shù)據(jù)主體享有的并不是絕對權(quán)利，有關(guān)數(shù)據(jù)的權(quán)利應(yīng)當與其他權(quán)利及正當利益之間形成恰當?shù)钠胶怅P(guān)系，為此，GDPR精心設(shè)計了大量的但書、克減條款，對例外情形做出補充，對權(quán)利做出適當限制，對義務(wù)、責任予以適當豁免?！北疚闹饕獙DPR規(guī)定的數(shù)據(jù)主體權(quán)利適用的例外情形進行了梳理，并總結(jié)例外情形中所包含的價值考量因素，以求對我國的個人信息保護立法和實踐提供有益參考。

2　GDPR對數(shù)據(jù)主體權(quán)利的規(guī)定

數(shù)據(jù)主體權(quán)利是GDPR的一大亮點，延續(xù)了歐盟強調(diào)公民權(quán)利保護的立法傳統(tǒng)，GDPR在第二章“立法原則”之后，專門有一章對數(shù)據(jù)主體的權(quán)利進行了規(guī)定，其中主要包括6類權(quán)利。

一是知情權(quán)。數(shù)據(jù)主體有權(quán)知道其個人數(shù)據(jù)是否被處理，以及個人數(shù)據(jù)處理的具體信息，如數(shù)據(jù)處理的目的、處理的數(shù)據(jù)類型、向第三方披露情況、投訴權(quán)等。數(shù)據(jù)控制者應(yīng)當以簡潔透明、清晰可讀、易獲取的方式向數(shù)據(jù)主體提供與數(shù)據(jù)主體權(quán)利相關(guān)的信息。二是修正權(quán)。數(shù)據(jù)主體認為其個人數(shù)據(jù)有錯誤或不完整時，有權(quán)要求數(shù)據(jù)控制者立即進行修正。三是被遺忘權(quán)。數(shù)據(jù)主體在滿足一定條件時，有權(quán)要求數(shù)據(jù)控制者立即刪除其個人數(shù)據(jù)，具體包括：個人數(shù)據(jù)相對于收集目的不再必要、數(shù)據(jù)主體撤回同意、非法處理、成員國法律規(guī)定等。四是限制處理權(quán)。在數(shù)據(jù)不準確、處理不合法、數(shù)據(jù)主體拒絕等情形下，數(shù)據(jù)主體可以限制數(shù)據(jù)控制者處理其個人數(shù)據(jù)。五是數(shù)據(jù)可攜權(quán)。即數(shù)據(jù)主體向一個數(shù)據(jù)控制者提供的結(jié)構(gòu)化的、常用的、機器可讀的個人數(shù)據(jù)，可以直接轉(zhuǎn)移給另一個數(shù)據(jù)控制者。六是拒絕權(quán)。數(shù)據(jù)主體有權(quán)拒絕數(shù)據(jù)控制者的數(shù)據(jù)處理，有權(quán)拒絕單純依據(jù)自動處理做出的決策。

上述6項權(quán)利從個人數(shù)據(jù)處理的全流程實現(xiàn)了對數(shù)據(jù)主體的權(quán)利的保護。在收集階段，數(shù)據(jù)主體享有對數(shù)據(jù)處理的知情權(quán)。在數(shù)據(jù)主體知情且同意的前提下，數(shù)據(jù)控制者（及處理者）才有權(quán)對個人數(shù)據(jù)采取處理措施，且數(shù)據(jù)主體有權(quán)隨時撤回同意。在數(shù)據(jù)處理過程中，數(shù)據(jù)主體享有對個人數(shù)據(jù)進行修正的權(quán)利，在特定情形下也有權(quán)刪除個人數(shù)據(jù)（被遺忘權(quán)）。對于數(shù)據(jù)處理結(jié)果，數(shù)據(jù)主體也享有拒絕的權(quán)利。數(shù)據(jù)可攜權(quán)則保證了數(shù)據(jù)主體的自由選擇權(quán)，同時也有利于促進數(shù)據(jù)在歐盟內(nèi)部的自由流動。GDPR實現(xiàn)了數(shù)據(jù)主體權(quán)利的全面覆蓋，但同時也規(guī)定了特殊情形和特定利益權(quán)衡下數(shù)據(jù)主體權(quán)利的限制條件。

3　數(shù)據(jù)主體權(quán)利例外規(guī)定

GDPR被外界稱為“史上最嚴的個人數(shù)據(jù)保護條例”，主要體現(xiàn)在“對個人權(quán)利的細致保護，以及對違法行為的高昂處罰”兩個方面。在強化對個人權(quán)利保護的同時，GDPR也關(guān)注到權(quán)利設(shè)置的科學(xué)性、現(xiàn)實性，為數(shù)據(jù)主體權(quán)利規(guī)定了適用的例外情形。GDPR第23條規(guī)定了所有數(shù)據(jù)主體權(quán)利適用的例外情形，具體包括：（1）國家安全；（2）公共防衛(wèi)；（3）公共安全；（4）預(yù)防、調(diào)查、偵查、起訴刑事犯罪或者執(zhí)行刑事處罰，包括對公共安全威脅預(yù)防的情形；（5）成員國的一般公共利益，特別是經(jīng)濟或財政以及公共健康、公共安全相關(guān)的公共問題；（6）司法程序相關(guān)問題；（7）預(yù)防、調(diào)查、偵查和起訴違反職業(yè)道德規(guī)范的情形；（8）涉及上述問題政府履行監(jiān)管職能的情形；（9）對數(shù)據(jù)主體及相關(guān)主體權(quán)利保護的情形；（10）執(zhí)行民事賠償情形。除一般性例外規(guī)定外，GDPR對知情權(quán)、被遺忘權(quán)、拒絕權(quán)又分別規(guī)定了具體的例外規(guī)則。

3.1　對于知情權(quán)的例外規(guī)定

GDPR明確了數(shù)據(jù)主體有獲取數(shù)據(jù)處理相關(guān)信息的權(quán)利，但在下列情形下，數(shù)據(jù)控制者可不向數(shù)據(jù)主體提供相關(guān)信息，包括：（1）數(shù)據(jù)主體已經(jīng)獲得相關(guān)信息；（2）信息的提供不具有現(xiàn)實可行性；（3）成員國國內(nèi)法對于可披露的信息進行了規(guī)定；（4）依據(jù)成員國法律規(guī)定必須保密。

3.2　對被遺忘權(quán)的例外規(guī)定

被遺忘權(quán)是GDPR首次提出的數(shù)據(jù)權(quán)利類型，對于個人數(shù)據(jù)保護具有里程碑式的意義，也引發(fā)了理論界和實務(wù)界的深入探討。GDPR對被遺忘權(quán)進行了嚴謹?shù)闹贫仍O(shè)計，同時規(guī)定了適用條件和不適用的例外情形，進一步限定了被遺忘權(quán)行使的場景。根據(jù)GDPR第17條第3款的規(guī)定，基于如下原因數(shù)據(jù)主體不享有被遺忘權(quán)：（1）為行使言論自由和信息自由的必要；（2）根據(jù)成員國法律規(guī)定，為遵守數(shù)據(jù)控制者的法定義務(wù)，或為了公共利益的必要；（3）為實現(xiàn)公共衛(wèi)生領(lǐng)域的公共利益的必要；（4）為了公益性的存檔、科學(xué)或歷史研究目的，且不會對數(shù)據(jù)主體的權(quán)利造成嚴重損害；（5）為了設(shè)立、行使、捍衛(wèi)合法求償權(quán)的必要。

3.3　對拒絕權(quán)的例外規(guī)定

GDPR規(guī)定特定情形下，數(shù)據(jù)主體無權(quán)拒絕自動決策結(jié)果，包括：（1）自動決策結(jié)果是數(shù)據(jù)主體與數(shù)據(jù)控制者之間建立合同或?qū)嵤┓尚袨榈谋匾獥l件；（2）根據(jù)成員國法律規(guī)定，對于數(shù)據(jù)主體的權(quán)利已經(jīng)采取了適當?shù)谋Ｗo措施；（3）數(shù)據(jù)主體明示同意。

4　數(shù)據(jù)主體權(quán)利適用例外的價值考量

歐盟立法者在堅持對數(shù)據(jù)主體權(quán)利充分保護原則的基礎(chǔ)上，充分考慮各成員國國內(nèi)立法情況，綜合平衡多方價值需求，對數(shù)據(jù)主體權(quán)利做出了限制性的規(guī)定。

4.1　國家利益與個人權(quán)利的平衡

例外規(guī)定首先考慮國家利益與個人利益之間的平衡。在個人權(quán)利與國家整體利益出現(xiàn)沖突時，GDPR立法者選擇個人權(quán)利服從于國家利益。如在第23條的一般性限制條款中規(guī)定，當涉及國家安全問題時，可以限制數(shù)據(jù)主體的權(quán)利。

4.2　公共利益與個人權(quán)利的平衡

除國家利益外，個人權(quán)利也應(yīng)讓渡于社會整體的公共利益。如第23條規(guī)定當涉及公共安全、刑事偵查、財政金融、公共健康、司法程序、政府監(jiān)管等領(lǐng)域的相關(guān)問題時，個人的數(shù)據(jù)權(quán)利也應(yīng)當受到相應(yīng)限制，服從于社會整體的公共價值。被遺忘權(quán)中也規(guī)定了為保護公共利益需求可以限制數(shù)據(jù)主體行使被遺忘權(quán)。

4.3　數(shù)據(jù)主體權(quán)利與其他自然人權(quán)利平衡

當數(shù)據(jù)主體的權(quán)利與其他自然人權(quán)利發(fā)生沖突時，GDPR對于數(shù)據(jù)主體權(quán)利也不是絕對的保護，而是根據(jù)雙方權(quán)利屬性、重要程度進行權(quán)衡。當數(shù)據(jù)主體權(quán)利在重要性、維護成本等方面低于其他自然人權(quán)利時，數(shù)據(jù)主體權(quán)利需要讓渡于其他自然人的權(quán)利。如第23條規(guī)定了出于保護他人權(quán)利、自由或執(zhí)行民事賠償?shù)囊螅上拗茢?shù)據(jù)主體權(quán)利。被遺忘權(quán)中也規(guī)定了，為保障公民的言論自由（基本權(quán)利）可以限制數(shù)據(jù)主體行使被遺忘權(quán)。

4.4　GDPR與國內(nèi)法沖突的平衡

GDPR是歐盟層面發(fā)布的條例層級的文件，其對于成員國具有強制效力。但GDPR仍然為成員國保留了自主規(guī)定的空間，如允許成員國對于兒童的年齡在13～16歲之間做出調(diào)整，允許成員國對處罰標準自行規(guī)定等。因此，當GDPR的具體規(guī)定與歐盟成員現(xiàn)行國內(nèi)立法發(fā)生沖突時，GDPR同樣選擇尊重成員國國內(nèi)法的規(guī)定。如在數(shù)據(jù)主體的知情權(quán)方面，如果國內(nèi)法規(guī)定了可以披露的信息的范圍，則數(shù)據(jù)主體的知情權(quán)只能在允許的范圍內(nèi)實現(xiàn)。如果國內(nèi)法規(guī)定相關(guān)內(nèi)容屬于保密內(nèi)容，數(shù)據(jù)主體的知情權(quán)則無法實現(xiàn)。

4.5　尊重數(shù)據(jù)主體放棄權(quán)利的主觀意志

在對國家利益、公共利益以及其他自然人重要權(quán)益進行衡量的同時，GDPR也充分尊重數(shù)據(jù)主體的選擇權(quán)。GDPR第7條確定了用戶同意的基本原則，即處理個人數(shù)據(jù)必須經(jīng)過數(shù)據(jù)主體的同意。在數(shù)據(jù)主體權(quán)利保護方面，同樣體現(xiàn)了尊重數(shù)據(jù)主體主觀意志的理念。當數(shù)據(jù)主體通過明示方式表示同意放棄數(shù)據(jù)權(quán)利時，數(shù)據(jù)控制者（或數(shù)據(jù)處理者）可以不受數(shù)據(jù)主體權(quán)利的強制性要求。例如，數(shù)據(jù)主體明確放棄拒絕權(quán)時，自動決策結(jié)果可直接對數(shù)據(jù)主體產(chǎn)生法律效力。

4.6　考慮權(quán)利實現(xiàn)的現(xiàn)實可能性

當數(shù)據(jù)主體的權(quán)利不具有實施的現(xiàn)實可能性時，GDPR也規(guī)定了不再強調(diào)對數(shù)據(jù)主體權(quán)利的保障。如在知情權(quán)的規(guī)定中，數(shù)據(jù)主體本身享有對其個人數(shù)據(jù)處理相關(guān)信息的知情權(quán)，且知情權(quán)是其他數(shù)據(jù)權(quán)利實現(xiàn)的基礎(chǔ)。但當相關(guān)信息不再具有獲取的可能性時，數(shù)據(jù)主體不再具有要求權(quán)利履行的現(xiàn)實基礎(chǔ)，不得再要求數(shù)據(jù)控制者履行相關(guān)義務(wù)。

4.7　對科研研究適當放寬要求

當個人數(shù)據(jù)處理用于科學(xué)研究的目的時，GDPR要求數(shù)據(jù)主體在一定程度上讓渡權(quán)利。如在對被遺忘權(quán)的規(guī)定中，在不會對數(shù)據(jù)主體權(quán)益造成嚴重損害的前提下，為歷史存檔、科學(xué)研究等目的，可以限制數(shù)據(jù)主體的被遺忘權(quán)，不對其個人數(shù)據(jù)進行刪除。

5　GDPR數(shù)據(jù)主體權(quán)利規(guī)定對我國的啟示

目前我國《網(wǎng)絡(luò)安全法》、《民法總則》、《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、《消費者權(quán)益保護法》等法律文件都對個人信息保護進行了規(guī)定，基本確立了我國個人信息保護的法律框架，但我國尚未制定專門的個人信息（數(shù)據(jù)）保護立法。隨著數(shù)字經(jīng)濟發(fā)展，大數(shù)據(jù)、云計算、人工智能等新技術(shù)新應(yīng)用不斷涌現(xiàn)，個人信息領(lǐng)域的立法空白日漸凸顯。歐盟GDPR在個人數(shù)據(jù)權(quán)利方面的設(shè)定以及對限定因素的考量，對于我國未來確立個人信息權(quán)利、完善個人信息保護制度的立法工作有現(xiàn)實的參考價值。

5.1　我國現(xiàn)行立法對個人信息保護的規(guī)定

目前，關(guān)于個人信息保護的規(guī)定散見于多層級、多部門的法律文件之中，對于侵犯公民個人信息的行為規(guī)定了民事、行政和刑事法律責任?！睹穹倓t》在“民事權(quán)利”一章中規(guī)定，“自然人的個人信息受法律保護”。《網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”中明確了個人信息保護的基本制度。包括收集、使用用戶信息應(yīng)當遵循合法、正當、必要的原則，獲得用戶同意；網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施保護用戶個人信息安全；個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違法、違約收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息等?！缎谭ā穼τ诜欠ǐ@取公民信息罪和出售、非法提供公民個人信息做了規(guī)定?！断M者權(quán)益保護法》、《征信管理業(yè)管理條例》等對具體領(lǐng)域個人信息保護進行了規(guī)定。

但我國現(xiàn)有的法律體系并未對個人信息的權(quán)利屬性和權(quán)利內(nèi)容進行明確。即個人信息是否屬于一種權(quán)利，其在權(quán)利屬性上屬于哪類權(quán)利類型等，以及其具體包含了哪些權(quán)利內(nèi)容（權(quán)項），在目前的立法中都沒有明確的界定。學(xué)術(shù)界、實務(wù)界對于此問題存在著廣泛的討論和爭議。需要在未來的個人信息保護立法中對這一問題進行明確和澄清，以更加系統(tǒng)、全面地實現(xiàn)對個人信息的保護。

5.2　GDPR數(shù)據(jù)主體權(quán)利及例外規(guī)定對我國的借鑒

通過對GDPR中數(shù)據(jù)主體權(quán)利以及例外規(guī)定的梳理，體會立法者對于不同情形、不同利益的權(quán)衡，考慮到我國目前個人信息保護立法現(xiàn)狀，筆者認為，我國未來對個人信息保護的實踐和在立法工作中，應(yīng)當考慮在以下3個方面借鑒歐盟經(jīng)驗。

（1）明確對個人信息權(quán)的保護

立法中可以考慮明確對個人信息權(quán)利的保護，確立其作為公民個人權(quán)利的屬性。但由于目前對于個人數(shù)據(jù)權(quán)的屬性的討論尚無定論，我國可借鑒歐盟做法，擱置對于其權(quán)利屬性的爭議，先明確其作為公民權(quán)利的地位。同時，可以考慮采用GDPR的立法模式，在強化對公民個人信息權(quán)利保護的同時，也強調(diào)不是絕對保護而是相對的保護。根據(jù)實踐的需求，為個人信息權(quán)設(shè)定相應(yīng)的例外規(guī)定，保證個人信息權(quán)科學(xué)、有效的實現(xiàn)。

（2）明確個人信息權(quán)的權(quán)利內(nèi)容

GDPR目前主要確定了六項數(shù)據(jù)主體權(quán)利，并對各項權(quán)利的內(nèi)容進行了具體闡釋。我國未來立法中也可考慮，除了確定個人信息權(quán)的地位外，還要對權(quán)利的具體內(nèi)容進行詳細闡釋。明確規(guī)定公民對其個人信息所享有的權(quán)利內(nèi)容，以及數(shù)據(jù)的收集者、使用者應(yīng)當承擔的義務(wù)，并適當規(guī)定每個權(quán)項下適用的例外情形。

（3）對個人信息權(quán)設(shè)定例外條款考慮的因素

對個人信息權(quán)進行充分保護，還要注重與其他法益的協(xié)調(diào)。根據(jù)GDPR的規(guī)定，我國未來立法在規(guī)定個人信息適用例外條款時，可以考慮以下方面的因素：一是國家整體利益；二是社會公益；三是對其他自然人權(quán)益的影響；四是與現(xiàn)有法律法規(guī)規(guī)定的銜接；五是科研、統(tǒng)計等對數(shù)據(jù)要求。

6　結(jié)束語

通過對GDPR關(guān)于數(shù)據(jù)主體權(quán)利規(guī)定的梳理，明確了歐盟立法者在加強對數(shù)據(jù)主體權(quán)利保護的同時，也對國家利益、公共利益、其他自然人權(quán)利等進行了權(quán)衡和考量。在未來我國個人信息保護的立法和實踐中，可以參考歐盟的此種立法思路，對于公民個人信息進行相對的、科學(xué)的、理性的保護。