我國(guó)數(shù)據(jù)立法的思考和建議

陸峰

2016年4月14日，歐洲議會(huì)投票通過(guò)了《通用數(shù)據(jù)保護(hù)條例》（下稱(chēng)《條例》），取代了1995年發(fā)布的《歐盟數(shù)據(jù)保護(hù)指令》，該條例將于今年5月25日生效?！稐l例》開(kāi)創(chuàng)性地提出數(shù)據(jù)被遺忘權(quán)、可攜權(quán)等，并就眾多例外應(yīng)用情形做了特別規(guī)定，較好地兼顧個(gè)人信息保護(hù)和數(shù)字社會(huì)發(fā)展。

然而，目前國(guó)內(nèi)對(duì)《條例》仍然存在一些認(rèn)識(shí)誤區(qū)，比如，認(rèn)為《條例》會(huì)限制經(jīng)濟(jì)社會(huì)發(fā)展，個(gè)人隨時(shí)可以主張刪除數(shù)據(jù)，數(shù)據(jù)可攜權(quán)無(wú)條件限制，數(shù)據(jù)跨境轉(zhuǎn)移變得更為嚴(yán)格，數(shù)據(jù)控制者權(quán)益被極大剝奪等。所以，正確認(rèn)識(shí)歐盟《條例》的創(chuàng)新性和立法的嚴(yán)謹(jǐn)性，對(duì)推動(dòng)我國(guó)數(shù)據(jù)立法具有重要借鑒意義。

對(duì)《條例》的六個(gè)認(rèn)識(shí)誤區(qū)

誤區(qū)一：會(huì)限制經(jīng)濟(jì)社會(huì)發(fā)展

《條例》要求，不能以保護(hù)個(gè)人數(shù)據(jù)為由，對(duì)歐盟內(nèi)部個(gè)人數(shù)據(jù)的自由流動(dòng)進(jìn)行限制或禁止?！稐l例》認(rèn)為，數(shù)據(jù)主體享有的權(quán)利并不是絕對(duì)的，有關(guān)數(shù)據(jù)權(quán)利應(yīng)當(dāng)與其他權(quán)利及正當(dāng)利益之間形成恰當(dāng)?shù)钠胶怅P(guān)系，以更好地促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展。

為此，《條例》應(yīng)兼顧平衡，對(duì)個(gè)人數(shù)據(jù)保護(hù)權(quán)利作出適當(dāng)限制，對(duì)義務(wù)、責(zé)任予以適當(dāng)豁免。例如，數(shù)據(jù)訪問(wèn)權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等條款，均要在有限定條件下實(shí)行，規(guī)模在250人以下的中小企業(yè)可以豁免其數(shù)據(jù)活動(dòng)文檔化記錄義務(wù)，引入多種變通機(jī)制來(lái)調(diào)和不同權(quán)利。

誤區(qū)二：個(gè)人信息使用必須征得個(gè)人同意

《條例》未將用戶同意作為數(shù)據(jù)收集和使用的唯一合法理由?？紤]到數(shù)據(jù)處理的多種可能場(chǎng)景以及其他正當(dāng)利益需求，除了數(shù)據(jù)主體同意之外，《條例》還規(guī)定了五類(lèi)個(gè)人數(shù)據(jù)處理情形， 可以默認(rèn)為“同意”的替代機(jī)制，包括：數(shù)據(jù)控制者為了公共利益或履行法律職責(zé)的需要，為了履行數(shù)據(jù)主體所參與的合同，為了保護(hù)數(shù)據(jù)主體或其他自然人的核心利益，保護(hù)數(shù)據(jù)控制者或第 三方所追求的正當(dāng)利益等五種情況。

誤區(qū)三：個(gè)人隨時(shí)可以主張刪除數(shù)據(jù)

《條例》提出的“被遺忘權(quán)”，是指當(dāng)用戶依法撤回同意或控制者不再享有合法理由繼續(xù)處理數(shù)據(jù)等情形時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)，該權(quán)利是傳統(tǒng)個(gè)人數(shù)據(jù)保護(hù)法中“刪除權(quán)”的升級(jí)。

《條例》要求數(shù)據(jù)控制者采取所有合理方式予以刪除，并通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體所主張的個(gè)人數(shù)據(jù)鏈接等。但在開(kāi)放的網(wǎng)絡(luò)空間，要控制者去確定并通知所有第三方刪除，操作難度非常大，幾乎難以完成。此外，《條例》規(guī)定了不適用“被遺忘權(quán)”例外情形，包括基于表達(dá)自由、信息自由、公共利益、履行法律職責(zé)、歷史記錄、社會(huì)統(tǒng)計(jì)、科學(xué)研究、合法權(quán)利等多種情形。

誤區(qū)四：數(shù)據(jù)可攜權(quán)無(wú)條件限制

《條例》明確了個(gè)人有權(quán)獲得其提供給數(shù)據(jù)控制者的相關(guān)個(gè)人數(shù)據(jù)、且獲得的個(gè)人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、普遍可使用的和機(jī)器可讀的。同時(shí)，《條例》也明確了“可攜權(quán)”適用的兩個(gè)限定條件：在“用戶同意”基礎(chǔ)上的數(shù)據(jù)處理活動(dòng)和處理通過(guò)自動(dòng)化方式完成。

《條例》同時(shí)要求可攜帶不能對(duì)他人的權(quán)利或自由產(chǎn)生負(fù)面影響，對(duì)于涉及到其他第三方個(gè)人數(shù)據(jù)的數(shù)據(jù)轉(zhuǎn)移，只能 將此類(lèi)數(shù)據(jù)用于個(gè)人和家庭事務(wù)目的。

《條例》同時(shí)認(rèn)為，如果技術(shù)可行，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)將個(gè)人數(shù)據(jù)直接從一個(gè)控制者傳輸給另一個(gè)控制者，考慮到技術(shù)可行性，《條例》并沒(méi)有將可攜權(quán)上升到推廣強(qiáng)制性的互兼容和互操作技術(shù)標(biāo)準(zhǔn)的程度。

誤區(qū)五：數(shù)據(jù)跨境傳輸比以前更為嚴(yán)格

《條例》對(duì)跨境數(shù)據(jù)流動(dòng)政策進(jìn)行了大幅度改革，開(kāi)辟了更多的合法數(shù)據(jù)跨境方式，提升跨境流動(dòng)的靈活度。針對(duì)事前許可制度卻帶來(lái)官僚主義問(wèn)題，《條例》簡(jiǎn)化了數(shù)據(jù)跨境傳輸機(jī)制，取消許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動(dòng)的相關(guān)條件，成員國(guó)則不得再通過(guò)許可方式予以限制。

增加了充分性認(rèn)定的對(duì)象類(lèi)型，除了國(guó)家之外，還可針對(duì)一國(guó)的特定地區(qū)、行業(yè)領(lǐng)域，以及國(guó)際組織的保護(hù)水平作出評(píng)估判斷。擴(kuò)展“標(biāo)準(zhǔn)合同條款”，為企業(yè)提供更多符合實(shí)際需求的跨境轉(zhuǎn)移合同文本選擇。將“有約束力的公司規(guī)則”正式確定為法定有效的數(shù)據(jù)跨境機(jī)制，使得個(gè)人數(shù)據(jù)可以從集團(tuán)內(nèi)的一個(gè)成員合法傳輸給另一個(gè)成員。

誤區(qū)六：數(shù)據(jù)控制者權(quán)益被極大剝奪

《條例》將數(shù)據(jù)控制者的正當(dāng)利益與用戶同意并列作為數(shù)據(jù)處理的合法理由，表明了個(gè)人的權(quán)利并不總是優(yōu)先，而是需要在用戶個(gè)人權(quán)利與數(shù)據(jù)控制者的合法利益之間做出平衡。

比如，在下列情況下，數(shù)據(jù)控制者的權(quán)利將得到法律保護(hù)：基于交易歷史的直接推廣、以預(yù)防欺詐為目的的數(shù)據(jù)處理活動(dòng)、出于保障網(wǎng)絡(luò)信息安全目的處理個(gè)人信息、在集團(tuán)或者系統(tǒng)內(nèi)部出于行政管理需要的數(shù)據(jù)披露、向主管部門(mén)報(bào)告犯罪或者公共安全重大威脅。

對(duì)我國(guó)數(shù)據(jù)立法的幾點(diǎn)建議

統(tǒng)籌考慮個(gè)人信息保護(hù)和產(chǎn)業(yè)創(chuàng)新發(fā)展

一是堅(jiān)持有條件保護(hù)個(gè)人信息的原則。在涉及公共利益、科學(xué)研究、社會(huì)統(tǒng)計(jì)、言論自由、新聞傳播、個(gè)人其他權(quán)益等情況下，需要綜合權(quán)衡個(gè)人信息保護(hù)和社會(huì)發(fā)展進(jìn)步的需要。

二是在加強(qiáng)個(gè)人信息保護(hù)的同時(shí)，也要為促進(jìn)產(chǎn)業(yè)創(chuàng)新發(fā)展預(yù)留空間，可借鑒歐盟的做法采取數(shù)據(jù)訪問(wèn)權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利規(guī)定，但具體實(shí)施均需要在有限定條件下實(shí)行，否則會(huì)給企業(yè)發(fā)展帶來(lái)束縛，增加產(chǎn)業(yè)發(fā)展成本。

三是盡可能引入多種變通機(jī)制來(lái)調(diào)和不同權(quán)利，比如，在原則性禁止條款中，設(shè)置用戶同意例外等原則，為產(chǎn)業(yè)創(chuàng)新預(yù)留空間。

統(tǒng)籌考慮數(shù)據(jù)所有者和數(shù)據(jù)控制者權(quán)益

一是數(shù)據(jù)所有者主張的數(shù)據(jù)訪問(wèn)權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利的實(shí)行，不能損害到數(shù)據(jù)控制者本應(yīng)該具備的權(quán)利。例如，被遺忘權(quán)會(huì)損害數(shù)據(jù)控制者對(duì)數(shù)據(jù)歷史溯源，數(shù)據(jù)可攜權(quán)可能影響到不同控制者之間的公平競(jìng)爭(zhēng)，這就需要實(shí)行有限定的被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利，否則無(wú)限制的權(quán)利會(huì)給企業(yè)增加巨大負(fù)擔(dān)。

二是數(shù)據(jù)控制者在某些情況下開(kāi)發(fā)利用數(shù)據(jù)，比如精準(zhǔn)營(yíng)銷(xiāo)、預(yù)防欺詐、保障網(wǎng)絡(luò)信息和社會(huì)公共安全、集團(tuán)內(nèi)部管理等情況，都需要得到法律保護(hù)和支持，個(gè)人信息使用無(wú)需個(gè)人同意，可以默認(rèn)為“同意”的替代機(jī)制。

統(tǒng)籌考慮數(shù)據(jù)保護(hù)需求和數(shù)據(jù)保護(hù)成本

一是統(tǒng)籌考慮網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的不可測(cè)性，以及企業(yè)數(shù)據(jù)保護(hù)成本，對(duì)企業(yè)已經(jīng)按法律法規(guī)規(guī)定對(duì)個(gè)人數(shù)據(jù)進(jìn)行嚴(yán)密保護(hù)的情形下，個(gè)人信息仍發(fā)生泄露等意外事件，可以部分免除企業(yè)責(zé)任。

二是對(duì)數(shù)據(jù)所有者主張的被遺忘權(quán)，考慮到網(wǎng)絡(luò)空間的開(kāi)放性，刪除網(wǎng)絡(luò)空間所有數(shù)據(jù)副本具有較大難度，建議實(shí)施可發(fā)現(xiàn)有限范圍的被遺忘權(quán)，對(duì)數(shù)據(jù)所有者可發(fā)現(xiàn)的數(shù)據(jù)副本，有權(quán)要求數(shù)據(jù)控制者采取措施進(jìn)行刪除。