數(shù)據(jù)私權(quán)至上解析歐盟GDPR的個人數(shù)據(jù)保護法規(guī)

2019-02-21 13:07:16南京郵電大學(xué)王春暉

通信世界 2019年3期

南京郵電大學(xué)|王春暉

GDPR主要的立法目的在于保護個人隱私權(quán)并促進此權(quán)利的行使，其中從個人數(shù)據(jù)權(quán)利的法律歸屬上，設(shè)定了“個人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權(quán)利”以及采取了嚴格的全球個人隱私保護要求。

回首2018年，在全球數(shù)據(jù)隱私保護立法領(lǐng)域，最具有影響力的當屬歐盟發(fā)布的《一般數(shù)據(jù)保護條例（General Data Protection Regulation，GDPR）》，GDPR被稱為史上最嚴的個人數(shù)據(jù)保護條例。GDPR經(jīng)過兩年多的預(yù)備期，于2018年5月25日起正式生效。

全球最嚴格的個人隱私數(shù)據(jù)法規(guī)

在全球現(xiàn)有的數(shù)據(jù)隱私保護法規(guī)中，GDPR是迄今為止覆蓋面最廣、監(jiān)管條件最嚴格的關(guān)于個人隱私和數(shù)據(jù)安全的法規(guī)。這項法規(guī)不僅決定了企業(yè)如何通過合法的技術(shù)及業(yè)務(wù)創(chuàng)新來獲取基于個人數(shù)據(jù)的巨大價值，同時也因為嚴格的處罰條款而使眾多企業(yè)出現(xiàn)了生死攸關(guān)的“歸零風(fēng)險”。

根據(jù)GDPR的規(guī)定，任何存儲或處理歐盟國家內(nèi)有關(guān)歐盟公民個人信息的公司，即使在歐盟境內(nèi)沒有業(yè)務(wù)存在，也必須遵守GDPR。相關(guān)公司必須遵守GDPR的具體標準有：歐盟境內(nèi)擁有業(yè)務(wù)；在歐盟境內(nèi)沒有業(yè)務(wù)，但是存儲或處理歐盟公民的個人信息；超過250名員工；少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私，或是包含某些類型的敏感個人數(shù)據(jù)。這將意味著，GDPR幾乎適用于全球所有的公司。

GDPR賦予數(shù)據(jù)主體的七大權(quán)利

GDPR大致賦予數(shù)據(jù)主體七項數(shù)據(jù)權(quán)利，主要是知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)（被遺忘權(quán)）和限制處理權(quán)（反對權(quán)）、可攜帶權(quán)和拒絕權(quán)。

一是知情權(quán)。數(shù)據(jù)控制者收集個人信息必須給予個人充分的知情權(quán)。應(yīng)當向數(shù)據(jù)主體提供相應(yīng)的信息以保障數(shù)據(jù)主體對控制者身份、個人信息處理目的及方式、權(quán)利維護途徑等內(nèi)容的知曉。比如依據(jù)GDPR第14條的規(guī)定，數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關(guān)的個人數(shù)據(jù)時，應(yīng)當告知數(shù)據(jù)主體，包括數(shù)據(jù)控制者的身份與詳細聯(lián)系方式、數(shù)據(jù)保護官的詳細聯(lián)系方式、數(shù)據(jù)處理將涉及的個人數(shù)據(jù)使用目的，以及處理個人數(shù)據(jù)的法律依據(jù)等。

二是訪問權(quán)。GDPR第15條專門規(guī)定了“Right of access by the data subject（數(shù)據(jù)主體的訪問權(quán)）”，即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者那里得知關(guān)于其個人數(shù)據(jù)是否正在被處理的真實情形，如果其數(shù)據(jù)正在被處理的話，數(shù)據(jù)主體應(yīng)當有權(quán)訪問個人數(shù)據(jù)并有權(quán)獲知相關(guān)信息，如該數(shù)據(jù)處理的目的；相關(guān)個人數(shù)據(jù)的類型；個人數(shù)據(jù)已經(jīng)被或?qū)⒈慌督o數(shù)據(jù)接收者的類型，特別是當數(shù)據(jù)的接收者屬于第三國或國際組織；在可能的情形下，個人數(shù)據(jù)將被儲存的預(yù)期期限等。

三是修正權(quán)。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制及時地糾正與其相關(guān)的不準確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當有權(quán)使不完整的個人數(shù)據(jù)完整，包括通過提供補充聲明的方式進行完善。GDPR第16條規(guī)定，數(shù)據(jù)主體應(yīng)當有權(quán)要求控制者無不當延誤地修正不準確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當有權(quán)使不完整的個人數(shù)據(jù)具有完整性，包括通過提供補充聲明等方式。

四是刪除權(quán)（被遺忘權(quán)）。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時刪除其個人相關(guān)數(shù)據(jù)的權(quán)利。依據(jù)GDPR第17條第1款的規(guī)定，出現(xiàn)“個人數(shù)據(jù)對于實現(xiàn)其被收集或處理的相關(guān)目的不再必要”等六種情形之一時，數(shù)據(jù)控制者有責任及時刪除其個人數(shù)據(jù)。

GDPR第17條第3款同時規(guī)定了數(shù)據(jù)主體行使“刪除權(quán)”的例外情形，如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項任務(wù)，或者基于被官方授權(quán)而履行某項任務(wù)，歐盟或成員國的法律要求進行處理的數(shù)據(jù)，以及為了科學(xué)或歷史研究或統(tǒng)計目的數(shù)據(jù)等，數(shù)據(jù)主體不能行使“刪除權(quán)”。

五是限制處理權(quán)（反對權(quán)）。在特定情況下，數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者處理數(shù)據(jù)。例如數(shù)據(jù)主體對個人數(shù)據(jù)的準確性提出質(zhì)疑，且允許數(shù)據(jù)控制者在一定期限內(nèi)核實個人數(shù)據(jù)的準確性；該數(shù)據(jù)處理是非法的，并且數(shù)據(jù)主體反對刪除該個人數(shù)據(jù)，同時要求限制使用該個人數(shù)據(jù)；數(shù)據(jù)控制者基于該處理目的不再需要該個人數(shù)據(jù)，但數(shù)據(jù)主體為設(shè)立、行使或捍衛(wèi)合法權(quán)利而需要該個人數(shù)據(jù)；數(shù)據(jù)主體對個人數(shù)據(jù)的準確性有爭議，并給予數(shù)據(jù)控制者以一定的期限以核實個人數(shù)據(jù)的準確性。

六是可攜帶權(quán)。數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用和機器可讀的格式接收其提供給數(shù)據(jù)控制者與其有關(guān)的個人數(shù)據(jù)，數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)傳輸給另一個數(shù)據(jù)控制者，而被要求轉(zhuǎn)移數(shù)據(jù)的控制者應(yīng)當配合數(shù)據(jù)主體的相應(yīng)要求。根據(jù)2016年12月歐盟數(shù)據(jù)工作保護組公布的《數(shù)據(jù)可攜權(quán)指南》（Guidelines on the right to data portability. 16/EN WP 242.），用戶數(shù)據(jù)可攜權(quán)不僅賦予用戶取得、重復(fù)利用相關(guān)數(shù)據(jù)的權(quán)利，還賦予用戶傳輸該數(shù)據(jù)的權(quán)利。

GDPR在賦予數(shù)據(jù)主體“可攜帶權(quán)”的同時，又規(guī)定了例外的情形，主要是“可攜帶權(quán)”不適用于為公共利益所執(zhí)行的某項任務(wù)所必需的數(shù)據(jù)處理，也不適用于官方授權(quán)而進行的數(shù)據(jù)處理等。

七是拒絕權(quán)（反對權(quán)）。對于根據(jù)GDPR第6（1）條（e）或（f）點而進行的有關(guān)數(shù)據(jù)主體的數(shù)據(jù)處理，包括根據(jù)這些條款而進行的用戶畫像，數(shù)據(jù)主體有權(quán)隨時提出反對。此時，數(shù)據(jù)控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為，除非數(shù)據(jù)控制者證明，相比數(shù)據(jù)主體的利益、權(quán)利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或辯護法律性主張。

GDPR強調(diào)數(shù)據(jù)私權(quán)至上

如果個人數(shù)據(jù)是為直接營銷目的進行的處理，數(shù)據(jù)主體有權(quán)在任何時候反對處理與其本人有關(guān)的個人數(shù)據(jù)來進行這種營銷行為，包括在與這種直接營銷有關(guān)的范圍內(nèi)所進行的數(shù)據(jù)分析。根據(jù)GDPR第89條第1款，個人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計目的被處理，數(shù)據(jù)主體在與其相關(guān)的特定情形下，也有權(quán)拒絕對其個人數(shù)據(jù)的處理，除非這種數(shù)據(jù)處理行為是基于公眾利益的目的。

整體來看，GDPR主要突出數(shù)據(jù)私權(quán)至上的原則，極大地擴充數(shù)據(jù)主體的數(shù)據(jù)權(quán)利范圍和保護機制，對數(shù)據(jù)控制者和處理者使用個人數(shù)據(jù)進行了嚴格的限制，加大了數(shù)據(jù)控制者和處理者對個人數(shù)據(jù)管理的法律責任，并對違反GDPR的行為，尤其是違反監(jiān)管機構(gòu)發(fā)布的命令，規(guī)定了極其嚴厲的懲罰措施，如GDPR規(guī)定，違反第58（2）條規(guī)定的監(jiān)管機構(gòu)發(fā)布的命令，應(yīng)當按第2段的規(guī)定施加最高2000萬歐元的行政罰款，如果是集團的話，可以施加最高前一年全球總營業(yè)額4%的罰款，兩者取高的一項進行罰款。

GDPR在突出數(shù)據(jù)私權(quán)保護的基礎(chǔ)上，也明確了一些例外的情況，比如當數(shù)據(jù)私權(quán)與數(shù)據(jù)公權(quán)相互沖突時，仍然是公權(quán)優(yōu)先于私權(quán)，比如當隱私保護的權(quán)利和處置原則與國家安全、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨立等發(fā)生沖突的情況下，應(yīng)當首先滿足后者的需求。