博言 ▏个人数据权利归属
【导读】每年5月,在中国贵阳召开的中国国际大数据产业博览会(简称“数博会”)提供大平台,集中展示最新技术及理论成果,齐聚行业相关人士共商大数据产业发展大计。在2018数博会召开之际,数据观特别邀请行业专家、学者、企业家深入剖析产业发展现状,推出系列大数据产业深度评论专栏《博言》。今天刊发的文章,是由中国政法大学互联网金融法律研究院院长李爱君撰写的《个人数据权利归属》。
经过欧盟议会长达四年的讨论,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)在2018年5月25日生效。该文以《一般数据保护条例》为视角,探讨分析个人数据权利归属问题。
个人数据权利属于新型财产权
个人数据权利属于新型财产权。其新型主要表现在个人数据客体具有财产权、人格权、国家主权的属性。个人数据权利的属性是由数据权利结构决定的。数据权利的结构是由数据权利主体、数据权利内容、数据权利客体组成。个人数据权利的属性是由个人数据权利结构中的客体性质决定的。从GDPR内容分析个人数据权利的结构:个人数据主体是自然人;个人数据权利客体是个人数据;个人数据权利的内容是权利与义务。个人数据的性质决定了个人数据权利的属性。
(一)个人数据权利的人格权属性
从GDPR中的“个人数据”定义分析。GDPR的个人数据是指:“任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素”定义分析可得知个人数据具有人格属性,如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素”。该定义中的“姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素”都是与人格相关的数据,因此个人数据权利具有人格权属性。
(二)个人数据权利的财产权属性
财产权是以财产为客体的权利。其特点是权利直接体现经济价值和权利可以转移。
个人数据“可转移性”。根据对GDPR“处理”的定义分析可得出“个人数据”是可以转移的,如“处理是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段”;根据GDPR第1章一般规定第1条宗旨与目标“1. 本法就与个人数据处理相关的自然人保护及个人数据自由流动订立规则”中的“个人数据自由流动”可得出“个人数据”可转移性;根据“接收者”的定义:“是指接收到被传递的个人数据的,无论其是否是第三方的,自然人、法人、公共机构、行政机关或其他非法人组织。但是,政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的,不得被视为“接收者”;政府处理这些数据应当根据数据处理的目的遵循可适用的数据保护规则。”中的“接收”也是“个人数据”的可转移性;
个人数据的“经济价值”,体现在GDPR规则的宗旨与目标上。经济价值就是利益的体现,利益就等于权利与义务。GDPR是调整个人数据应用所形成的法律关系的规范。法律关系包括主体、客体与内容,内容就是权利与义务。因此个人数据具有经济价值。
(三)个人数据权利的国家主权属性
法律本身就是国家主权的体现。首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。此管辖规则实际上确立了GDPR的属人主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。属人主义原则的确立,大大扩大了GDPR的管辖范围。再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据属人主义,仍然可能依国际公法规则对数据处理行为进行监管。第四,GDPR第5节第23条:“1.联盟或成员国的法律规定数据控制者或处理者是主体,可以通过立法措施限制第12条至22条和第34条的权利与义务的范围,以及第5条中与在第12条至22条的权利义务相对应的条款。这样一种限制尊重了基本权利和自由的本质,是一种在民主社会必要的、相符合的措施,以此维护:(a)国家安全;(b)防卫;(c)公共安全;………”
个人数据权利归属个人数据主体
个人数据权利归数据主体。此权利属于绝对权。此绝对权主要体现在GDPR的第三章数据主体权利规则中。
个人数据权利是无实体财产权,个人数据没有特定的实体,无色,无味,无质量,不占有空间,不具备可感性。个人数据如果不借助于一定的载体便无法存在。个人数据财产权的这种特征不是因为有体之物而产生,相反它是依无体之物而产生。因此在占有方面,对个人数据的掌握没有客观上的物理垄断性,同样的个人数据可以同时被多个权利主体掌握;同时,个人数据的使用价值和价值在其被支配的过程中没有损害,某权利主体通过对个人数据的运用或交易获得利益时,无法构成对其他主体通过相同方式获取直接经济利益的排除。GDPR是以行为规范实现个人数据主体的绝对权。
(一)以“同意的要件”实现了“个人数据”的“占有”
第一,GDPR通过“第2章第7条同意的要件”实现了“个人数据”的“占有权”,如:“如处理是基于同意,则控制者应能证明数据主体已经同意处理他或她的个人数据;数据主体有权随时撤回同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前,数据主体应被告知上述权利。撤回同意应与作出同意同样容易”;第8条关于信息社会服务适用于儿童同意的条件:“1. 如适用第6条第1款(a)项,关于直接向儿童提供信息社会服务的,对16周岁以上儿童的个人数据的处理为合法。儿童未满16周岁时,处理只有在征得父母同意情形下或父母授权儿童同意的范围内才合法。如儿童年龄不低于13周岁,则成员国可以通过法律途径对儿童进行授权。2. 考虑到现有技术,控制者应当作出合理的努力,去核实在此种情况下父母的同意或授权。”
(二)以“数据访问权”实现“个人数据”的“处理”
GDPR的第15条数据访问权:“1.数据主体应当有权从管理者处确认关于该主体的个人数据是否正在被处理,以及有权在该种情况下访问个人数据和以下信息:(a)处理的目的;(b)有关个人数据的类别;(c)个人数据已经被泄露或者将会被泄露给的接受者或接受者类别,特别是第三国或国际组织的接受者;(d)在可能的情况下,预想的个人数据存储期间;或者不可能时,用于确定该期间的标准;(e)有权要求管理者纠正或删除该个人数据或者限制或拒绝处理关于该数据主体的个人数据;(f)向监管机构提出投诉的权利;(g)在个人数据并非由数据主体收集的情况下,关于其来源的任何可用信息;(h)自动化决策,以及涉及到的至少,包括第22条第1款和第4款提到的概要。2.在前述情况下有意义的逻辑方面的信息,和这种处理行为对数据主体而言的意义和预想的后果。如果将个人数据转移到第三国或国际组织,数据主体应当有权根据第46条获得有关转让的适当保障的通知。3.控制者应提供正在处理的个人数据的副本。对于数据主体要求的任何进一步的文本,控制者可以根据管理成本收取合理的费用。如果数据主体通过电子方式提出请求,除非数据主体另有要求,信息应当以常用的电子形式提供。4.获得第3款所指副本的权利不得对他人的权利和自由产生不利影响。
(三)以“修正和删除”实现“控制”
GDPR第3章修正和删除第16条修正权:“数据主体应当有权要求控制者无不当延误地修正不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式”;第17条删除权(被遗忘权):“1.数据主体有权要求控制者无不当延误地删除有关其的个人数据,并且在下列理由之一的情况下,控制者有义务无延误地删除个人数据:(a)就收集或以其他方式处理个人数据的目的而言,该个人数据已经是不必要的;(b)数据主体根据第6条第1款(a)项或第9条第2款(a)项撤回同意,并且没有其他有关(数据)处理的法律依据的情况时;(c)数据主体根据第21条第1款反对处理,并且没有有关(数据)处理的首要合法依据,或者数据主体根据第21条第2款反对处理;(d)个人数据被非法处理;(e)为遵守控制者所受制的联盟或成员国法律规定的法定义务,个人数据必须被删除;(f)个人数据是根据第8条第1款所提及的信息社会服务的提供而收集的。2.如果控制者已将个人数据公开,并且根据第1款有义务删除这些个人数据,控制者在考虑现有技术及实施成本后,应当采取包括技术措施在内的合理步骤,通知正在处理个人数据的控制者,数据主体已经要求这些控制者删除该个人数据的任何链接、副本或复制件。3.当(数据)处理对于以下情形而言是必要的时,第1款和第2款不应当被适用:(a)为了行使言论和信息自由的权利;(b)为了遵守需要由控制者所受制的联盟或成员国法律处理的法定义务,或为了公共利益或在行使被授予控制者的官方权限时执行任务;(c)根据第9条第2款(h)、(i)项以及第9条第3款,为了公共卫生领域的公共利益的原因;(d)根据第89条第1款,为了公共利益的存档目的、科学或历史研究目的或统计目的,只要第1款所述的权利很可能难以实现或者很可能严重损害该处理目标的实现;(e)为了设立、行使或捍卫合法权利。
(四)“以限制处理权”实现“使用”
GDPR第18条限制处理权:“1.在下列情况之一,数据主体应当有权限制控制者处理(数据):(a)数据主体对个人数据的准确性提出争议,且允许控制者在一定期间内核实个人数据的准确性;(b)该处理是非法的,并且数据主体反对删除该个人数据,要求限制使用;(c)控制者基于该处理目的不再需要该个人数据,但该个人数据为数据主体设立、行使或捍卫合法权利而必须;(d)数据主体在核实控制者的法律依据是否优先于数据主体的法律依据之前已根据第21条第1款进行处理。2.如果处理(行为)根据第1款受到限制,除储存之外,这些个人数据只应在数据主体同意的情况下,或为设立、行使或捍卫合法权利,或为保护其他自然人或法人的权利,或为了联盟或成员国的重要公共利益的原因被处理。3.根据第1款有权限制处理(数据)的数据主体应当在处理限制解除之前收到控制者的通知。
(五)以“修正或删除个人数据或限制处理的通知义务”保证“绝对权”的实现
GDPR第19条关于修正或删除个人数据或限制处理的通知义务:“除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据第16条、第17条第1款以及第18条对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者。
(六)“以反对权”保证“绝对权”的实现
GDPR第20条反对权:“1.数据主体有权以结构化,常用和机器可读格式接收他或她提供给控制者的个人资料,若满足以下条件,有权将这些数据无障碍地传送给另一个控制者:(a)处理是根据第6(1)条(a)项或第9(2)条(a)项或(6)(b)项合同的同意;以及(b)数据处理以自动方式进行。2.在根据第1款行使其数据可移植性的权利时,在技术上可行的前提下,数据主体有权将个人数据从一个控制者向另一个控制者进行直接传输。3.本条第1款所述权利的行使不能违背第17条的规定。该权利不适用于为履行公共利益或行使正式授权而开展任务所必需的处理控制4.第1款所述的权利不得对他人的权利和自由产生不利影响”。
(七)以“拒绝权和自主决定权”保证“绝对权”的实现
GDPR第4节拒绝权和自主决定权第21条拒绝权:“1.在关涉其利益的特定情形下,在任何时间处理涉及第6条第1款第(e)或第(f)项规定的个人数据,和基于这些条款的分析,数据主体享有拒绝权。控制者不能处理个人数据,除非控制者能够证明不顾数据主体的利益、权利和自由处理数据或者建立、行使或维护这种法律权利具有令人信服的正当化理由。2. 个人数据因为直接营销被处理的,数据主体应当有权利拒绝在任何时间为商业目处理与其有关的个人数据,这种商业目的包括分析达到有关这种直接营销的程度。3. 数据主体拒绝为直接的商业目的处理数据的,个人数据不应该因此种目的而处理。4. 至少应在与数据主体第一次沟通时,就应该明确地提起数据主体注意在第1款和第2款中指代的权利,这些信息应该被清晰地呈现且与任何其他的信息相区分。5. 在信息社会服务使用的背景下,即使有欧共体2002年的指令,数据主体也可以通过使用技术规范的自动化方式行使其的拒绝权。6. 根据第89条第1款规定个人数据因科学或历史研究或统计的目的被处理的,数据主体对与其有关的数据,有权利拒绝对其个人数据进行处理,除非这种处理是出于公共利益的需要。”;第22条自主化的个人决策,包括分析:“1. 数据主体有权不受仅仅依靠自动化处理(包括分析)的决定的限制,这会产生与其有关或仅仅影响其的法律后果。2. 在以下情形下,第1款不能适用:
(a)对于数据主体和一个数据控制者之间合同的建立和履行是必要的。(b)这个控制者是数据主体,以及确立保护数据主体权利、自由和正当化利益的适当措施是联盟或成员国的法律所规定的;或者(c)基于数据主体的明确同意。3. 在涉及到第2款第(a)和(c)项的情况下,数据控制者应当实施适当的措施保护数据主体的权利、自由和正当化利益,至少获得对控制者部分的人为干预权,表达其观点和决定权。4. 在第2款涉及的决定不应当基于第9条第1款提及的个人数据的进行特殊分类,除非能够适用第9条第2款的(a)或(g)项和确立适当的措施维护数据主体的权利、自由和正当化利益”。
(作者:李爱君,中国政法大学互联网金融法律研究院院长、教授、博士生导师,中国互联网协会个人信息保护专业委员会副主任委员)
责任编辑:陈近梅