GDPR對(duì)我國(guó)個(gè)人數(shù)據(jù)保護(hù)制度的啟示

汪雪含　張墨涵

關(guān)鍵詞 個(gè)人數(shù)據(jù)保護(hù) 法制現(xiàn)狀 GDPR 法律意見(jiàn)

作者簡(jiǎn)介：汪雪含、張墨涵，華東理工大學(xué)本科生。

中圖分類(lèi)號(hào)：D99 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2019.06.128

一、我國(guó)個(gè)人數(shù)據(jù)保護(hù)法律制度現(xiàn)狀及問(wèn)題

隨著信息技術(shù)的持續(xù)改進(jìn)，信息產(chǎn)業(yè)迎來(lái)了巨大的發(fā)展。但是，充分利用個(gè)人信息的同時(shí)，相關(guān)的侵權(quán)甚至是犯罪也日益增加。 2011年，僅有12例個(gè)人數(shù)據(jù)相關(guān)案件，而六年后案件數(shù)量激增至1100件。越來(lái)越多的個(gè)人數(shù)據(jù)案件暴露出我國(guó)個(gè)人數(shù)據(jù)保護(hù)立法的漏洞。目前，在我國(guó)，統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法處于缺位狀態(tài)，現(xiàn)有的規(guī)定大多屬于效力位階較低的部門(mén)規(guī)章。在大約 478 個(gè)相關(guān)法律法規(guī)當(dāng)中，部門(mén)規(guī)章和地方性法規(guī)占到了約 440部，占比超過(guò) 92%①。

不健全的法律法規(guī)體系導(dǎo)致對(duì)個(gè)人數(shù)據(jù)的保護(hù)不力，因此，有必要完善相關(guān)規(guī)定。從社會(huì)現(xiàn)狀和當(dāng)前的學(xué)者研究的情況來(lái)看，筆者認(rèn)為在我國(guó)個(gè)人信息的保護(hù)存在三大難題。

（一）缺少對(duì)于個(gè)人信息的明確定義

目前，中國(guó)尚無(wú)統(tǒng)一且明確的個(gè)人信息定義，同時(shí)未在各級(jí)不同類(lèi)型的法律中將個(gè)人信息權(quán)作為獨(dú)立法律概念進(jìn)行規(guī)定，因此，當(dāng)個(gè)人信息權(quán)利受到侵犯時(shí)，只能通過(guò)維護(hù)隱私，人格或聲譽(yù)來(lái)間接進(jìn)行保護(hù)，而無(wú)法直接依法保護(hù)。盡管我國(guó)已經(jīng)頒布實(shí)施了一些涉及個(gè)人信息保護(hù)的法律法規(guī)，但大部分內(nèi)容都是針對(duì)互聯(lián)網(wǎng)領(lǐng)域，并未涵蓋收集、控制和使用個(gè)人信息的所有主體。關(guān)于國(guó)家機(jī)構(gòu)收集和使用個(gè)人信息，這些規(guī)定并未包含詳盡的內(nèi)容②。

由于我國(guó)立法中對(duì)個(gè)人信息權(quán)利缺乏明確規(guī)定，并且公民在個(gè)人信息權(quán)利被侵害后，其民事上訴將被抑制，權(quán)益保護(hù)將被限制。在這種情況下，公民只能選擇放棄權(quán)利或者私了解決。

（二）未全面規(guī)定數(shù)據(jù)主體的權(quán)利

我國(guó)對(duì)數(shù)據(jù)主體的不同權(quán)利沒(méi)有具體規(guī)定?！栋踩ā分幸?guī)定的權(quán)利只有更正和刪除的權(quán)利。此外，此處的刪除權(quán)僅屬于賠償權(quán)，主要適用于處理非法或無(wú)效個(gè)人數(shù)據(jù)的情況下。除了網(wǎng)絡(luò)安全法，我國(guó)《征信業(yè)管理?xiàng)l例》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法規(guī)，不僅規(guī)定了更正和刪除的權(quán)利，還規(guī)定了查詢(xún)信息的權(quán)利和注銷(xiāo)帳戶(hù)的權(quán)利?；谏鲜鰴?quán)利，《信息安全技術(shù)個(gè)人信息安全規(guī)范》吸納了GDPR的被遺忘的權(quán)利，數(shù)據(jù)可攜帶的權(quán)利以及限制自動(dòng)化決策的權(quán)利等理念。其中，自動(dòng)決策權(quán)的限制與GDPR基本相同。但是，刪除和傳輸數(shù)據(jù)的權(quán)利已被削弱，保護(hù)力度較弱③?？梢宰⒁獾?，這些權(quán)利的規(guī)定受到的保護(hù)較少，而且不夠詳細(xì)。

（三）缺乏統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)和侵權(quán)懲罰機(jī)制

法律對(duì)于個(gè)人數(shù)據(jù)的保護(hù)仍停留在原則性保護(hù)上。例如，《網(wǎng)絡(luò)安全法》第四十條至四十五條規(guī)定“數(shù)據(jù)授權(quán)需要合理”“數(shù)據(jù)運(yùn)營(yíng)主體需要負(fù)起責(zé)任”，但是，如何具體實(shí)施、明確主要責(zé)任和分工，還需要通過(guò)相關(guān)法律法規(guī)加以改進(jìn)④。

個(gè)人數(shù)據(jù)存在眾多流轉(zhuǎn)環(huán)節(jié)，主體很復(fù)雜，責(zé)任分工不是很明確。由于缺乏公共法律的明確規(guī)定，如果出現(xiàn)了侵害用戶(hù)個(gè)人數(shù)據(jù)權(quán)利的現(xiàn)象，用戶(hù)通常無(wú)法找到合適的有關(guān)部門(mén)進(jìn)行反映。目前，對(duì)用戶(hù)沒(méi)有具體的救濟(jì)途徑和措施指導(dǎo)，或者盡管法律法規(guī)中有明確規(guī)定，但因?yàn)椴块T(mén)之間存在嚴(yán)重的交叉責(zé)任，他們很容易模糊分工和相互推諉⑤。目前，中國(guó)在大數(shù)據(jù)利用的背景下，對(duì)個(gè)人數(shù)據(jù)的監(jiān)測(cè)主要是基于行政審查和對(duì)機(jī)構(gòu)活動(dòng)范圍的審批。在機(jī)構(gòu)披露個(gè)人數(shù)據(jù)后，相關(guān)部門(mén)缺乏事后監(jiān)督和長(zhǎng)期監(jiān)督。此外，我國(guó)個(gè)人數(shù)據(jù)侵權(quán)的違法成本相對(duì)較低，不利于遏制侵權(quán)行為的發(fā)生。

二、GDPR關(guān)于個(gè)人數(shù)據(jù)保護(hù)相關(guān)規(guī)定

1995年歐盟已開(kāi)始頒布并著手實(shí)施了《數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱(chēng)95指令），該指令為歐盟成員國(guó)的個(gè)人數(shù)據(jù)保護(hù)提供了可以參考的最低標(biāo)準(zhǔn)。隨著歐盟成員國(guó)的數(shù)量不斷增加，同時(shí)信息技術(shù)的發(fā)展日新月異，原有的指令已經(jīng)不能滿(mǎn)足人們對(duì)于個(gè)人信息保護(hù)的要求，因此在這種背景下，歐盟進(jìn)行了討論并且制定了《一般數(shù)據(jù)保護(hù)條例》。該條例于2016年5月24日生效，自2018年5月25日起直接適用于歐盟全體成員國(guó)。條例把對(duì)于個(gè)人數(shù)據(jù)的保護(hù)進(jìn)行了擴(kuò)大，不僅對(duì)于數(shù)據(jù)主體進(jìn)行個(gè)人數(shù)據(jù)的保護(hù)，對(duì)于數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)處理行為也進(jìn)行了保護(hù)。此項(xiàng)舉措有利于在個(gè)人利益和社會(huì)利益之間找到平衡點(diǎn)，達(dá)到維護(hù)社會(huì)穩(wěn)定的立法目的⑥。

（一） 明確個(gè)人數(shù)據(jù)概念

GDPR第4條規(guī)定，任何信息凡是與已識(shí)別或者可識(shí)別的自然人有關(guān)的都被稱(chēng)為“個(gè)人信息”。在自然人當(dāng)中，直接或者間接能夠被識(shí)別的都稱(chēng)為可識(shí)別自然人，尤其是通過(guò)參照諸如姓名、身份證號(hào)碼、定位數(shù)據(jù)這類(lèi)標(biāo)識(shí)，或者是通過(guò)參照該自然人一個(gè)以上的如物理、生理、遺傳、心理、經(jīng)濟(jì)、 文化或社會(huì)身份的要素后可識(shí)別的人。

此外，在GDPR的序言部分，歐盟同時(shí)指出在一定的合理范圍和限度內(nèi)，不論是技術(shù)手段還是非技術(shù)手段都可以用來(lái)識(shí)別自然人。拿假名數(shù)據(jù)舉例，因?yàn)槠淇梢酝ㄟ^(guò)其他額外信息來(lái)識(shí)別一個(gè)人，假名數(shù)據(jù)也可以成為個(gè)人數(shù)據(jù)⑦。

一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)被GDPR進(jìn)行了區(qū)分，并且他們被實(shí)行了區(qū)別對(duì)待，進(jìn)行差別化保護(hù)。GDPR第9條規(guī)定，禁止對(duì)能揭示諸如民族和種族的起源、政治觀(guān)點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的個(gè)人數(shù)據(jù)以及能夠識(shí)別出特定自然人的基因數(shù)據(jù)、生物特征數(shù)據(jù)，還有健康、自然人的性生活或性取向數(shù)據(jù)的處理，除非對(duì)數(shù)據(jù)的處理符合特定情形，有可以處理的合法理由。對(duì)個(gè)人特殊數(shù)據(jù)的特別保護(hù)是一項(xiàng)非常明智的措施，它有利于保護(hù)數(shù)據(jù)主體個(gè)人隱私不受侵犯，使得數(shù)據(jù)主體在大數(shù)據(jù)時(shí)代享有安全感，實(shí)現(xiàn)個(gè)人利益與社會(huì)利益的共同可持續(xù)發(fā)展。