General Data Protection Regulation(以下簡稱:GDPR)是2016年4月14日由歐洲議會(TheEuropean Parliament)投票通過����,并于2018年5月25日起在所有歐盟成員國正式生效的一部對歐盟公民個人數(shù)據(jù)保護的法案�。GDPR主要的立法目的是用于保護個人隱私權和促進此權利的行使��,其中從個人數(shù)據(jù)權利的法律歸屬上���,設定了“個人數(shù)據(jù)”���、“數(shù)據(jù)主體”和“數(shù)據(jù)主體權利”以及采取了嚴格的全球個人隱私保護要求��。
2017年6月1日�,我國首部《網(wǎng)絡安全法》正式施行���,這是我國網(wǎng)信法治領域的重大事件。為保護公民個人信息安全����,防止公民個人信息被竊取、泄露和非法使用�,依法保障公民個人網(wǎng)絡信息有序安全流動,《網(wǎng)絡安全法》第四章用較大的篇幅規(guī)定了公民個人信息權保護的基本法律制度�;2017年10月1日起施行的《中華人民共和國民法總則》第111條規(guī)定,自然人的個人信息受法律保護�����。任何組織和個人需要獲取他人個人信息的����,應當依法取得并確保信息安全,不得非法收集�����、使用、加工�����、傳輸他人個人信息���,不得非法買賣�����、提供或者公開他人個人信息����。
盡管我國《網(wǎng)絡安全法》和《民法總則》沒有就“個人信息權”給出專門的法律定義���,但根據(jù)上述法律對“個人信息”保護的法律邊界�����,可以清晰地看出:我國“個人信息權”確立的基礎和保護的核心���,并不僅僅不在于“個人信息”本身,而重點在于如何規(guī)制個人信息的控制者和處理者對公民個人信息的收集、使用�、加工、傳輸?shù)刃袨?��。因此���,公民行使信息權利的基礎,是基于公民作為信息主體有權決定其個人信息在何時�、何地及以何種方式被何人收集�、使用、加工和傳輸�。
一、關于GDPR名稱的理解與翻譯
目前��,筆者看到若干GDPR的中譯本���, GDPR名稱大致被翻譯為以下幾種:《一般數(shù)據(jù)保護法案》��、《一般數(shù)據(jù)保護規(guī)則》����、《一般數(shù)據(jù)保護條例》等�����。事實上�,GDPR是由歐洲議會(European Parliament)通過的一部條例,歐洲議會是歐盟三大機構(歐盟理事會�、歐盟委員會、歐洲議會)之一��,歐洲議會的主要職權包括四種�����,立法權���、財政預算權、行政監(jiān)督權�、以及對外關系上的同意權。當然����,最重要的權力莫過于議會的立法權�。
歐盟法的基本法律特征是超國家性�����,歐盟不是國家����,沒有軍隊��、警察等國家機器����,其存在和發(fā)揮作用�,皆憑歐盟法律制度�,法律是歐盟的基本保證。歐盟法要發(fā)揮應有的作用��,就必須保證歐盟法的超國家性�,這是歐盟法律制度的基本要求,是歐洲聯(lián)盟的基礎���。歐盟法的超國家性體現(xiàn)在兩個方面:一是歐盟法在成員國直接適用���;二是歐盟法對成員國法具有優(yōu)先性。
歐盟法�,包括歐盟自己為實施條約而制定的各項條例、指令����、決定和判例以及歐盟各國的相關國內法,是調整歐盟各國對內和對外關系的國際法和國內法規(guī)范的總稱��。歐洲議會作為歐盟的立法機構頒布的法規(guī)主要有以下幾種:
1.“條例”(regulation)����,條例實際上具有了一般制定法的本質特征,根據(jù)《歐洲共同體條約》第189條的規(guī)定�,條例具有以下特性:首先,條例具有普遍地適用效力�,是針對某一領域的事項發(fā)布的通用性法規(guī),它并不僅僅對于某個人或同一類數(shù)量有限的人發(fā)揮作用���,而是對歐盟境內所有的法律主體都發(fā)生效力����;其次����,條例的各個部分都具有法律約束力����,這種法律上的約束力不僅表現(xiàn)在其特定的目標上�����,而且表現(xiàn)在為實現(xiàn)該特定目標所須采取的各種方式和措施等���。所以成員國在實施條例各條款時不能采取選擇性的行為����,以排除成員國認為會損害其本國利益的條款��;再次����,條例直接適用于所有歐盟成員國���。據(jù)此�����,條例將自動為成員國國內法院所援引�,成為成員國法律的一部分,不依賴也不允許成員國國內立法機關的轉化措施即可具有執(zhí)行效力�����,除非條例本身有如此規(guī)定�。
2.“指令”(directive ),是歐盟委員會頒布的�,要求某個或某些成員國在規(guī)定的時間內必須實現(xiàn)歐洲聯(lián)盟層面上所要求的某種目標,但允許成員國對實現(xiàn)目標的手段和方法自由選擇的法律文件����。指令并不具有普遍的適用性,頒布指令的目的也不是為了直接的�、統(tǒng)一的適用,而是為了實現(xiàn)成員國立法的協(xié)調或趨同�����。
3.“決定”(decision)���,決定是針對特定對象頒布的單獨法令�����,并不具有普遍的約束力����。它的對象可以是一個或數(shù)個國家,也可以是個人�,包括自然人和法人。
由此��,General Data Protection Regulation(GDPR)的法律名稱�����,建議翻譯為《通用數(shù)據(jù)保護條例》����,其中GeneralRegulation應當理解為” Regulation affecting all the people inEuropean Union”(對歐盟所有成員國普遍適用的規(guī)則)。從立法結構上看���,一部基本法的法律結構分為總則�����、分則和附則����,而“通則”則是既包括了總則部分�����,也涵蓋了部分分則的內容�。GDPR本身包括了總則的部分,盡管沒有明確表述“分則“的字樣��,但是卻涵蓋了分則中有關個人數(shù)據(jù)保護的實質性內容�����,是一部“通則式“的法律結構�����。
GDPR 第一章“Chapter 1 General Provisions“�����,基本上都被翻譯成”一般規(guī)定“���,這種譯法有待商榷��,建議統(tǒng)一譯成“總則”�����。一個國家的法律����,按照法律地位劃分,可以分為根本法��、基本法和一般法三部分��。歐盟法分為一級立法和二級立法�����,前者指構成歐盟法律制度基礎的立法���,其他法律都是此基礎上制定的���;后者是指由歐盟機構制定,旨在實施《歐共體條約》的那些法律�。根據(jù)《歐共體條約》的規(guī)定,“條例”(Regulation)屬于二級立法�����,一般都有總則部分(General Provisions),但不設專門的“分則”����。
一部法律的總則是該法律的序言�����,主要對該法律立法目的��、適用范圍和基本內容進行的綱領性����、概括性的表述。比如我國全國人民代表大會常務委員會制定的“一般法”通常設有“總則”部分���,但不專門設置“分則”��,比如《著作權法》第一章是“總則”�,包括“立法目的�、適用范圍、著作權行政管理部門”等��,從第二章“著作權”以及第三章“著作權許可使用和轉讓合同”到第四章“出版�����、表演、錄音錄像��、播放”�,這些都是該部法律的實質性部分。最后兩章����,即第五章和第六章分別設置了“法律責任和執(zhí)法措施”和“附則”?�?梢?�,歐盟的二級立法-條例(Regulation)的體例與我國“一般法”的立法體例基本相同���。在GDPR的總則部分(General provisions)也主要規(guī)定了Subject-matter andobjectives(立法的目的)��;Material scope(適用范圍)��;Territorial scope(地域范圍)�;Definitions(法律定義)���。
二��、如何區(qū)分“個人數(shù)據(jù)”“和“個人信息”
在網(wǎng)絡時代����,“信息”(Information)和“數(shù)據(jù)”(Data)是使用頻率最高的兩個詞匯,經(jīng)常被許多政府規(guī)范性文件甚至法律視為同一概念�����。目前在各國的個人信息保護立法中�,多數(shù)國家將“個人信息”視為“個人數(shù)據(jù)”���。如歐盟《個人數(shù)據(jù)保護指令》第2條(a)規(guī)定���,個人數(shù)據(jù),指“與一個人身份已被識別或者身份可以識別的自然人(數(shù)據(jù)主體)相關的任何信息”����;法國《數(shù)據(jù)處理、數(shù)據(jù)文件及個人自由法》第2條第1款規(guī)定�����,個人數(shù)據(jù)�,指“可以通過身份證號碼、一項或多項個人特有因素被肢解或間接識別的自然人相關的任何信息”;德國《聯(lián)邦數(shù)據(jù)保護法》第3節(jié)規(guī)定��,個人數(shù)據(jù)����,指“任何關于一個已識別的或者可識別的個人(數(shù)據(jù)主體)的私人或者具體狀態(tài)的信息”。
GDPR第4條對“個人數(shù)據(jù)“(personal data)的定義是�����,個人數(shù)據(jù)”指的是任何已識別或可識別的自然人(“數(shù)據(jù)主體”)相關的信息��;可識別的自然人是能夠被直接或間接識別的個體�,特別是通過諸如姓名、ID號���、位置數(shù)據(jù)���、網(wǎng)上標識,或者與該自然人的身體�����、生理�����、遺傳、心理�����、經(jīng)濟�����、文化或社會身份有關的一個或多個因素�����。
GDPR第4條“個人數(shù)據(jù)“定義中英文原文中的“information relating to anidentified or identifiable natural person”可被認為是“Personal Identifiable Information”(PII)����。一般而言�,個人隱私敏感性信息稱為個人可標識信息(PII)。要被認為是 PII�,該信息必須在特定地與某個自然人相關聯(lián),而PII廣泛存在于從電子郵件和社交平臺到人力資源(HR)���、人力資源管理(HCM)和顧客關系管理(CRM)系統(tǒng)中���,這是數(shù)據(jù)控制者和處理者罪敏感和最應當規(guī)制的信息源����。該款中的“Data subject”(數(shù)據(jù)主體)也意味著” an individualabout whom information is stored in a computer-based system.”
可見����,以上國家立法和歐盟GDPR中所謂的“個人數(shù)據(jù)”,實質上是個人的“網(wǎng)絡信息”或“電子信息”�。筆者一直堅持,網(wǎng)絡與信息法中的“個人數(shù)據(jù)”(personal) Data)與“個人信息”(personal information)有所不同����,前者是附著在電子信息系統(tǒng)載體的客觀事物記錄,是未經(jīng)過處理的個人原始記錄���,其不能脫離電子信息系統(tǒng)載體而獨立存在�����,如個人體檢在醫(yī)院電子信息系統(tǒng)留下的原始記錄�����;后者是指個人數(shù)據(jù)經(jīng)過加工處理后����,形成的具有使用價值的內容——信息,而且可以脫離電子信息載體而獨立存在��,如個人體檢的電子數(shù)據(jù)經(jīng)過醫(yī)生的分析和系統(tǒng)的處理����,形成的具有使用價值的體檢報告,其存在的形式可以是電子狀態(tài)���,也可以是紙質狀態(tài)�����。由此可以得出:個人信息=個人數(shù)據(jù)+分析處理。
個人信息保護的目的�����,在于保護具有使用價值的個人信息�,而不是所有的個人數(shù)據(jù)。因此���,我國《網(wǎng)絡安全法》和《民法總則》在立法技術上均采用了“個人信息”的表述�����,特別是網(wǎng)絡安全法第七十六條中對“網(wǎng)絡數(shù)據(jù)”和“個人信息”的含義專門進行了文意解釋:“網(wǎng)絡數(shù)據(jù)�,是指通過網(wǎng)絡收集、存儲��、傳輸����、處理和產(chǎn)生的各種電子數(shù)據(jù)”;“個人信息��,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息�����,包括但不限于自然人的姓名�、出生日期、身份證件號碼���、個人生物識別信息����、住址��、電話號碼等。” 2018年出臺的《信息安全技術 個人信息安全規(guī)范》不但界定了“個人信息主體”�,即“個人信息所標識的自然人”,同時對個人信息( personal information)進行了明確的定義:以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息��,包括個人信息包括姓名��、出生日期�、身份證件號碼、個人生物識別信息�、住址、通信通訊聯(lián)系方式�����、通信記錄和內容����、賬號密碼���、財產(chǎn)信息�、征信信息���、行蹤軌跡�、住宿信息、健康生理信息�、交易信息等。由此可見����,我國《網(wǎng)絡安全法》及其配套規(guī)定分別從ICT技術的角度對個人數(shù)據(jù)和個人信息作出的法律定義,要比GDPR“個人數(shù)據(jù)“的定義更加嚴謹��,也便于實際操作�。
筆者注意到,在個人信息權的內涵中��,我國重點保護的是涉及公民隱私的個人信息權��,早在2012年����,我國全國人民代表大會常務委員會頒布的《關于加強網(wǎng)絡信息保護的決定》第一條就明確規(guī)定,國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息���。這一點與GDPR是一致的��,GDPR的實質就是一部個人隱私數(shù)據(jù)權保護法案�。
我國《民法總則》在第五章“民事權利”一章中將“個人信息權”作為一項新型的基本民事權利加以確認與保護,而GDPR同樣將“個人數(shù)據(jù)權”視為自然人的一項基本權利給予特別保護���,如GDPR第1條“主題與目標”中第2款規(guī)定�����,本條例保護自然人的基本權利和自由���,尤其是保護自然人所享有的個人數(shù)據(jù)權。
三�、歐盟GDPR的個人數(shù)據(jù)權
整體上看, GDPR主要突出數(shù)據(jù)私權至上的原則, 極大地擴充數(shù)據(jù)主體的數(shù)據(jù)權利范圍和保護機制, 對數(shù)據(jù)控制者和處理者使用個人數(shù)據(jù)進行了嚴格的限制, 加大了數(shù)據(jù)控制者和處理者對個人數(shù)據(jù)管理的法律責任,并對違反GDPR的行為���,尤其是違反監(jiān)管機構發(fā)布的命令���,規(guī)定了極其嚴厲的懲罰措施,如GDPR規(guī)定�,違反第58(2)條規(guī)定的監(jiān)管機構發(fā)布的命令,應當按第2段的規(guī)定施加最高20���,000����,000歐元的行政罰款��,如果是集團的話��,可以施加最高前一年全球總營業(yè)額4%的罰款����,兩者取其高的一項進行罰款。
當然���,GDPR在突出對數(shù)據(jù)私權保護的基礎上�,也明確了一些例外的情況��,即當數(shù)據(jù)私權與數(shù)據(jù)公權相互沖突時�,仍然是公權優(yōu)先于私權,比如當隱私保護的權利和處置原則與國家安全����、政府監(jiān)管、公共安全�、公共利益、司法程序與司法獨立等發(fā)生沖突的情況下��,應當首先滿足后者的需求�����。
GDPR大致賦予數(shù)據(jù)主體七項數(shù)據(jù)權利,主要是:知情權��、訪問權����、修正權、刪除權(被遺忘權)��、限制處理權(反對權)���、可攜帶權�、拒絕權���。
1.知情權���。數(shù)據(jù)控制者收集個人信息必須給予個人充分的知情權。應當向數(shù)據(jù)主體提供相應的信息以保障數(shù)據(jù)主體對控制者身份�、個人信息處理目的及方式、權利維護途徑等內容的知曉����。比如依據(jù)GDPR第14條的規(guī)定��,數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關的個人數(shù)據(jù)時����,應當告知數(shù)據(jù)主體��,包括數(shù)據(jù)控制者的身份與詳細聯(lián)系方式�、數(shù)據(jù)保護官的詳細聯(lián)系方式���、數(shù)據(jù)處理將涉及的個人數(shù)據(jù)的使用目的���,以及處理個人數(shù)據(jù)的法律依據(jù)等。
2.訪問權���。GDPR第15條專門規(guī)定了“Right of access by the data subject”(數(shù)據(jù)主體的訪問權)�����,即數(shù)據(jù)主體有權從數(shù)據(jù)控制者那里得知關于其個人數(shù)據(jù)是否正在被處理的真實情形���,如果其數(shù)據(jù)正在被處理的話,數(shù)據(jù)主體應當有權訪問個人數(shù)據(jù)并有權獲知相關信息����,如該數(shù)據(jù)處理的目的�;相關個人數(shù)據(jù)的類型���;個人數(shù)據(jù)已經(jīng)被或將被披露給數(shù)據(jù)接收者或接收者的類型�����,特別是當數(shù)據(jù)的接收者屬于第三國或國際組織��;在可能的情形下�����,個人數(shù)據(jù)將被儲存的預期期限等�。
3.修正權�����。數(shù)據(jù)主體有權要求數(shù)據(jù)控制及時地糾正與其相關的不準確個人數(shù)據(jù)�����?��?紤]到處理的目的�����,數(shù)據(jù)主體應當有權使不完整的個人數(shù)據(jù)完整����,包括通過提供補充聲明的方式進行完善���。
4.刪除權(被遺忘權)���。數(shù)據(jù)主體有權要求數(shù)據(jù)控制者及時刪除其個人相關數(shù)據(jù)的權利。依據(jù)GDPR第17條第1款的規(guī)定�����,出現(xiàn)“個人數(shù)據(jù)對于實現(xiàn)其被收集或處理的相關目的不再必要”等六種情形之一時����,數(shù)據(jù)控制者有責任及時刪除其個人數(shù)據(jù)。
GDPR第17條第3款同時規(guī)定了數(shù)據(jù)主體行使“刪除權”的例外情形��,如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項任務�����,或者基于被官方授權而履行某項任務,歐盟或成員國的法律要求進行處理的數(shù)據(jù)�����,以及為了科學或歷史研究目的或統(tǒng)計目的數(shù)據(jù)等�����,數(shù)據(jù)主體不能行使“刪除權”�。
5.限制處理權。在特定情況下����,數(shù)據(jù)主體有權限制數(shù)據(jù)控制者處理數(shù)據(jù)。例如數(shù)據(jù)主體對個人數(shù)據(jù)的準確性提出質疑�,且允許數(shù)據(jù)控制者在一定期限內核實個人數(shù)據(jù)的準確性;該數(shù)據(jù)處理是非法的�����,并且數(shù)據(jù)主體反對刪除該個人數(shù)據(jù)��,同時要求限制使用該個人數(shù)據(jù);數(shù)據(jù)控制者基于該處理目的不再需要該個人數(shù)據(jù)�����,但數(shù)據(jù)主體為設立����、行使或捍衛(wèi)合法權利而需要該個人數(shù)據(jù);數(shù)據(jù)主體對個人數(shù)據(jù)的準確性有爭議�����,并給與數(shù)據(jù)控制者以一定的期限以核實個人數(shù)據(jù)的準確性��。
6.可攜帶權��。數(shù)據(jù)主體有權以結構化��、通用和機器可讀的格式接收其提供給數(shù)據(jù)控制者的與其有關個人數(shù)據(jù)�,數(shù)據(jù)主體有權將這些數(shù)據(jù)傳輸給另一個數(shù)據(jù)控制者�,而被要求轉移數(shù)據(jù)的控制者應當配合數(shù)據(jù)主體的相應要求。根據(jù)2016年12月����,歐盟數(shù)據(jù)工作保護組公布的《數(shù)據(jù)可攜權指南》(Guidelines on the right to data portability. 16/EN WP 242. ),用戶數(shù)據(jù)可攜權不僅賦予用戶取得�、重復利用相關數(shù)據(jù)的權利�,還賦予用戶傳輸該等數(shù)據(jù)的權利���。
GDPR在賦予數(shù)據(jù)主體“”可攜帶權“的同時����,又提規(guī)定了例外的情形��,主要是”可攜帶權“不適用于為公共利益所執(zhí)行的某項任務所必需的數(shù)據(jù)處理����,也不適用于官方授權而進行的數(shù)據(jù)處理等。
7.拒絕權(反對權)���。對于根據(jù)GDPR第6(1)條(e)或(f)點而進行的有關數(shù)據(jù)主體的數(shù)據(jù)處理����,包括根據(jù)這些條款而進行的用戶畫像���,數(shù)據(jù)主體有權隨時提出反對���。此時,數(shù)據(jù)控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為,除非數(shù)據(jù)控制者證明�����,相比數(shù)據(jù)主體的利益��、權利和自由��,具有壓倒性的正當理由需要進行處理�����,或者處理是為了提起���、行使或辯護法律性主張�。
如果個人數(shù)據(jù)是為直接營銷目的進行的處理���,數(shù)據(jù)主體有權在任何時候反對處理與其本人有關的個人數(shù)據(jù),來進行這種營銷行為�����,包括在與這種直接營銷有關的范圍內所進行的數(shù)據(jù)分析�����。根據(jù)GDPR第89 條第1 款,個人數(shù)據(jù)因科學或歷史研究或統(tǒng)計的目的被處理的����,數(shù)據(jù)主體在與其相關的特定情形下,也有權拒絕對其個人數(shù)據(jù)的處理�����,除非這種數(shù)據(jù)處理行為是基于公眾利益的目的���。
四���、中國《網(wǎng)絡安全法》的個人信息權
目前,我們尚沒有一部專門的《個人信息保護法》���,個人信息權僅僅是《我網(wǎng)絡安全法》中的一部分���,相比較而言,GDPR更重視保護自然人的個人隱私數(shù)據(jù)權�����。從法律屬性看,公民個人信息權的保護應當嚴格區(qū)分“個人信息權”與“個人隱私權”�����。從精神性人格權的屬性研究����,“隱私”是與公共利益、群眾利益無關的����,為當事人不愿意他人知道或他人不便知道的私人信息,當事人不愿意他人干涉或他人不便干涉的私人活動���,當事人不愿意他人侵入或他人不便侵入的私人空間��。
長期以來��,我國的民事立法上一直沒有把隱私權作為一項獨立的基本的公民權利來加以直接保護���,而是將公民的隱私權歸入名譽權中進行間接保護�����,因此導致我國公民個人隱私權的保護一直未能得到有效重視。事實上���,名譽權與隱私權是兩種完全不同的概念�,兩項權利應該是并列關系而不是包含關系�����。
我國《民法總則》是民法典編纂的首期工程�����,在我國民事立法史上具有里程碑式的意義��,其中一個突出的亮點是首次在民事權利的層面規(guī)定了“個人信息權”����,并明確了對個人信息權利的保護規(guī)范。筆者認為�����,當前和未來一段時期我國個人信息安全保護邊界的基本要義是在確?;緜€人人格權和隱私權不受非法侵害的基礎上,促進個人信息資源在“合法�����、正當、必要”法定原則的基礎上進行適當?shù)奶幚砗屠谩?/p>
我國《網(wǎng)絡安全法》確立了多項“個人信息權”����,但與GDPR相比較,條文不夠細化��,規(guī)定比較原則���,需要系列配套規(guī)范加以細化�。2018年5月1日起實施的《信息安全技術個人信息安全規(guī)范》(簡稱:“個人信息安全規(guī)范”)就是《網(wǎng)絡安全法》第四章的一項重要配套規(guī)范���,《個人信息安全規(guī)范》在制定過程中參照和對標了國際最先進的規(guī)則和立法標準�,也參考了在個人信息保護方面最先進的國外立法���,包括GDPR����、OECD(經(jīng)濟合作與發(fā)展組織)隱私框架���、APEC(亞洲太平洋經(jīng)濟合作組織)隱私框架等國際規(guī)則���、歐美“隱私盾”(EU-US PrivacyShield)協(xié)議、美國“消費者隱私權法案”(Consumer Privacy Bill of Rights)等歐美個人信息保護方面的立法����,堪稱是中國的“GDPR”。
《個人信息安全規(guī)范》與GDPR最大的不同��,就是效力等級不同��,前者是一個標準�,且只是一部推薦性標準,還不是一部強制性標準�;后者的效力層級是歐盟的“條例”(編號為EU-DSGVO),GDPR的各個部分都具有法律約束力�����,這種法律上的約束力不僅表現(xiàn)在其特定的目標上���,而且表現(xiàn)在為實現(xiàn)該特定目標所須采取的各種方式和措施等����。
中國《網(wǎng)絡安全法》及其配套規(guī)定設定的“個人信息權“大致也有七類:知情權���、刪除權����、更正權、明示同意權�����、訪問權�����、注銷權��、撤回權�����。
1.知情權��。收集和使用公民個人信息必須遵循合法�、正當、必要原則��,且目的必須明確并經(jīng)用戶的知情同意?�!毒W(wǎng)絡安全法》第四十一條規(guī)定�,網(wǎng)絡運營者收集、使用個人信息���,應當遵循合法、正當����、必要的原則,公開收集�、使用規(guī)則,明示收集��、使用信息的目的����、方式和范圍,并經(jīng)被收集者同意�。
2.刪除權?����!毒W(wǎng)絡安全法》第四十三條規(guī)定,個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律����、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的���,有權要求網(wǎng)絡運營者刪除其個人信息�����。我國《網(wǎng)絡安全法》中的“刪除權”實質上類似于GDPR第17條規(guī)定的 Right toerasure (right to be forgotten)�����,即“刪除權(被遺忘權)“���。數(shù)據(jù)主體有權要求數(shù)據(jù)控制者及時刪除與其有關的個人數(shù)據(jù),且在特定情形下數(shù)據(jù)控制者有義務立即刪除這些個人數(shù)據(jù)����。
我國《網(wǎng)絡安全法》規(guī)定的公民對其信息的刪除權請求權主要有兩種情形,一是當事人發(fā)現(xiàn)網(wǎng)絡運營商違反法律����、行政法規(guī)或違反雙方的約定收集和使用其信息;二是網(wǎng)絡運營商所收集的個人信息的特定目的已經(jīng)消滅或雙方約定的期限已經(jīng)屆滿,在這兩種情形下��,當事人均有權要求網(wǎng)絡運營商刪除和停止使用其個人信息����。
3.更正權?����!毒W(wǎng)絡安全法》第四十三條同時規(guī)定����,個人發(fā)現(xiàn)網(wǎng)絡運營者收集�、存儲的其個人信息有錯誤的,有權要求網(wǎng)絡運營者予以更正��。網(wǎng)絡運營者應當采取措施予以刪除或者更正���。我國《網(wǎng)絡安全法》中的“更正權“類似于GDPR的”修正權“���,即數(shù)據(jù)主體有權要求數(shù)據(jù)控制者無不當延誤地修正與其相關的不準確的個人數(shù)據(jù)。我國《網(wǎng)絡安全法》中的“個人信息的更正權”是指�����,個人信息主體(personal data subject)發(fā)現(xiàn)網(wǎng)絡運營商收集、存儲的其個人信息有錯誤或者有缺失的����,有權要求其補充或更正。
我國《網(wǎng)絡安全法》規(guī)定的“刪除權”和“更正權”基本上采用了“避風港”規(guī)則��,即在網(wǎng)絡運營商被通知前提下的“刪除”或“更正”——“通知-刪除或更正”�����,這是《網(wǎng)絡安全法》對網(wǎng)絡運營商的一種寬容性規(guī)定��。
4.明示同意權��?���!秱€人信息安全規(guī)范》明確了“明示同意”(explicitconsent)的具體內涵,即個人信息主體通過書面聲明或主動做出肯定性動作��,對其個人信息進行特定處理做出明確授權的行為�。此種肯定性動作包括個人信息主體主動作出聲明(電子或紙質形式)、主動勾選�、主動點擊“同意”���、“注冊”、“發(fā)送”��、“撥打”等�����。
我國《個人信息安全規(guī)范》的“明示同意”與GDPR的嚴格個人同意標準相比較�����,后者更為詳細和嚴謹�����。GDPR的個人同意必須是自愿作出的����、特定的���、具體的����、知情的及明確的同意。個人如果通過書面聲明的方式同意, 同意的內容應當易于理解且與其他事項顯著區(qū)別開, 數(shù)據(jù)控制者不能擴大個人同意的范圍�����。而且GDPR授權個人隨時可以撤回先前的同意, 數(shù)據(jù)控制者應保證撤回同意與作出同意一樣容易����。這意味著個人信息主體主動作出的聲明,主動的格式合同“勾選“����、主動點擊“同意”等“明示同意”規(guī)則,將面臨GDPR數(shù)據(jù)主體隨意和便利地撤回信息的合規(guī)風險�����。
5.訪問權�。我國《個人信息安全規(guī)范》7.4 設置了“個人信息訪問”權,要求個人信息控制者應向個人信息主體提供訪問三類信息的方法:一是其所持有的關于該主體的個人信息或類型����;二是上述個人信息的來源、所用于的目的���;三是已經(jīng)獲得上述個人信息的第三方身份或類型�。
如果個人信息主體提出訪問非其主動提供的個人信息時,個人信息控制者可在綜合考慮不響應請求可能對個人信息主體合法權益帶來的風險和損害�����,以及技術可行性�����、實現(xiàn)請求的成本等因素后��,做出是否響應的決定�,并給出解釋說明。
6.注銷權��。個人信息主體有權注銷其賬戶�,我國《個人信息安全規(guī)范》7.8要求個人信息控制者為個人信息主體提供注銷賬戶的方法,一是通過注冊賬戶提供服務的個人信息控制者�,應向個人信息主體提供注銷賬戶的方法�,且該方法應簡便易操作;二是個人信息主體注銷賬戶后�����,應刪除其個人信息或做匿名化處理�����。
7.撤回權。個人信息主體有權撤回其先前的同意��,個人信息控制者應向個人信息主體提供方法撤回收集����、使用其個人信息的同意授權。撤回同意后��,個人信息控制者后續(xù)不得再處理相應的個人信息�。
我國《個人信息安全規(guī)范》的“撤回同意”與GDPR的“撤回同意”相比較,后者更強調個人信息主體“撤回同意”的便利性���,即It shall be as easy to withdraw as to give consent(撤回同意應當和表達同意一樣簡單)�����。
五�����、結語
總體上看�,我國《網(wǎng)絡安全法》及其配套規(guī)定關于個人信息權的行使與保護借鑒了國外的先進立法經(jīng)驗��,同時具有中國獨有的特色,特別是充分體現(xiàn)了信息化發(fā)展與個人信息安全保護并重的安全發(fā)展觀�,為全球貢獻了中國智慧。
GDPR被稱為是全球保護隱私里程碑式的立法�����,但也有尤其不足之處�,主要是限制了數(shù)據(jù)的流動和共享。盡管GDPR第一條(3)規(guī)定����,不得以處理個人數(shù)據(jù)過程中對自然人的保護為由,限制或禁止個人數(shù)據(jù)在歐盟內部進行自由流動��。但縱觀GDPR的諸多限制或禁止規(guī)定����,大大地限制了數(shù)據(jù)的自由流動和本區(qū)域信息化的發(fā)展。而且有些制度尚不成熟���,也沒有大量的實踐和普遍適用的可能,就被寫入了GDPR���,如“個人數(shù)據(jù)可攜“�����,數(shù)據(jù)主體針對已經(jīng)向數(shù)據(jù)控制者提供的個人數(shù)據(jù)��,有權向數(shù)據(jù)控制者處獲取結構化�、通用化和可機讀的上述數(shù)據(jù);同時���,數(shù)據(jù)主體有權將這些數(shù)據(jù)轉移給其他數(shù)據(jù)控制者���。從本質上看,數(shù)據(jù)主體的這項權利是GDPR對個人信息權利中的財產(chǎn)權和人格權的相互妥協(xié)��,這本身就存在著矛盾和邏輯沖突��。
本文的精簡版將發(fā)表于《中國信息安全》2018年第7期
免責聲明:凡本網(wǎng)注明“來源:XXX(非駐馬店廣視網(wǎng)��、駐馬店融媒���、駐馬店網(wǎng)絡問政�、掌上駐馬店����、駐馬店頭條�、駐馬店廣播電視臺)”的作品����,均轉載自其它媒體,轉載目的在于傳遞更多信息����,并不代表本網(wǎng)贊同其觀點和對其真實性負責,作品版權歸原作者所有���,如有侵犯您的原創(chuàng)版權請告知�����,我們將盡快刪除相關內容���。凡是本網(wǎng)原創(chuàng)的作品,拒絕任何不保留版權的轉載����,如需轉載請標注來源并添加本文鏈接:http://www.howtobuymyhome.com/showinfo-572-217822-0.html,否則承擔相應法律后果���。
