General Data Protection Regulation(以下简称:GDPR)是2016年4月14日由欧洲议会(TheEuropean Parliament)投票通过,并于2018年5月25日起在所有欧盟成员国正式生效的一部对欧盟公民个人数据保护的法案。GDPR主要的立法目的是用于保护个人隐私权和促进此权利的行使,其中从个人数据权利的法律归属上,设定了“个人数据”、“数据主体”和“数据主体权利”以及采取了严格的全球个人隐私保护要求。
2017年6月1日,我国首部《网络安全法》正式施行,这是我国网信法治领域的重大事件。为保护公民个人信息安全,防止公民个人信息被窃取、泄露和非法使用,依法保障公民个人网络信息有序安全流动,《网络安全法》第四章用较大的篇幅规定了公民个人信息权保护的基本法律制度;2017年10月1日起施行的《中华人民共和国民法总则》第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
尽管我国《网络安全法》和《民法总则》没有就“个人信息权”给出专门的法律定义,但根据上述法律对“个人信息”保护的法律边界,可以清晰地看出:我国“个人信息权”确立的基础和保护的核心,并不仅仅不在于“个人信息”本身,而重点在于如何规制个人信息的控制者和处理者对公民个人信息的收集、使用、加工、传输等行为。因此,公民行使信息权利的基础,是基于公民作为信息主体有权决定其个人信息在何时、何地及以何种方式被何人收集、使用、加工和传输。
一、关于GDPR名称的理解与翻译
目前,笔者看到若干GDPR的中译本, GDPR名称大致被翻译为以下几种:《一般数据保护法案》、《一般数据保护规则》、《一般数据保护条例》等。事实上,GDPR是由欧洲议会(European Parliament)通过的一部条例,欧洲议会是欧盟三大机构(欧盟理事会、欧盟委员会、欧洲议会)之一,欧洲议会的主要职权包括四种,立法权、财政预算权、行政监督权、以及对外关系上的同意权。当然,最重要的权力莫过于议会的立法权。
欧盟法的基本法律特征是超国家性,欧盟不是国家,没有军队、警察等国家机器,其存在和发挥作用,皆凭欧盟法律制度,法律是欧盟的基本保证。欧盟法要发挥应有的作用,就必须保证欧盟法的超国家性,这是欧盟法律制度的基本要求,是欧洲联盟的基础。欧盟法的超国家性体现在两个方面:一是欧盟法在成员国直接适用;二是欧盟法对成员国法具有优先性。
欧盟法,包括欧盟自己为实施条约而制定的各项条例、指令、决定和判例以及欧盟各国的相关国内法,是调整欧盟各国对内和对外关系的国际法和国内法规范的总称。欧洲议会作为欧盟的立法机构颁布的法规主要有以下几种:
1.“条例”(regulation),条例实际上具有了一般制定法的本质特征,根据《欧洲共同体条约》第189条的规定,条例具有以下特性:首先,条例具有普遍地适用效力,是针对某一领域的事项发布的通用性法规,它并不仅仅对于某个人或同一类数量有限的人发挥作用,而是对欧盟境内所有的法律主体都发生效力;其次,条例的各个部分都具有法律约束力,这种法律上的约束力不仅表现在其特定的目标上,而且表现在为实现该特定目标所须采取的各种方式和措施等。所以成员国在实施条例各条款时不能采取选择性的行为,以排除成员国认为会损害其本国利益的条款;再次,条例直接适用于所有欧盟成员国。据此,条例将自动为成员国国内法院所援引,成为成员国法律的一部分,不依赖也不允许成员国国内立法机关的转化措施即可具有执行效力,除非条例本身有如此规定。
2.“指令”(directive ),是欧盟委员会颁布的,要求某个或某些成员国在规定的时间内必须实现欧洲联盟层面上所要求的某种目标,但允许成员国对实现目标的手段和方法自由选择的法律文件。指令并不具有普遍的适用性,颁布指令的目的也不是为了直接的、统一的适用,而是为了实现成员国立法的协调或趋同。
3.“决定”(decision),决定是针对特定对象颁布的单独法令,并不具有普遍的约束力。它的对象可以是一个或数个国家,也可以是个人,包括自然人和法人。
由此,General Data Protection Regulation(GDPR)的法律名称,建议翻译为《通用数据保护条例》,其中GeneralRegulation应当理解为” Regulation affecting all the people inEuropean Union”(对欧盟所有成员国普遍适用的规则)。从立法结构上看,一部基本法的法律结构分为总则、分则和附则,而“通则”则是既包括了总则部分,也涵盖了部分分则的内容。GDPR本身包括了总则的部分,尽管没有明确表述“分则“的字样,但是却涵盖了分则中有关个人数据保护的实质性内容,是一部“通则式“的法律结构。
GDPR 第一章“Chapter 1 General Provisions“,基本上都被翻译成”一般规定“,这种译法有待商榷,建议统一译成“总则”。一个国家的法律,按照法律地位划分,可以分为根本法、基本法和一般法三部分。欧盟法分为一级立法和二级立法,前者指构成欧盟法律制度基础的立法,其他法律都是此基础上制定的;后者是指由欧盟机构制定,旨在实施《欧共体条约》的那些法律。根据《欧共体条约》的规定,“条例”(Regulation)属于二级立法,一般都有总则部分(General Provisions),但不设专门的“分则”。
一部法律的总则是该法律的序言,主要对该法律立法目的、适用范围和基本内容进行的纲领性、概括性的表述。比如我国全国人民代表大会常务委员会制定的“一般法”通常设有“总则”部分,但不专门设置“分则”,比如《着作权法》第一章是“总则”,包括“立法目的、适用范围、着作权行政管理部门”等,从第二章“着作权”以及第三章“着作权许可使用和转让合同”到第四章“出版、表演、录音录像、播放”,这些都是该部法律的实质性部分。最后两章,即第五章和第六章分别设置了“法律责任和执法措施”和“附则”。可见,欧盟的二级立法-条例(Regulation)的体例与我国“一般法”的立法体例基本相同。在GDPR的总则部分(General provisions)也主要规定了Subject-matter andobjectives(立法的目的);Material scope(适用范围);Territorial scope(地域范围);Definitions(法律定义)。
二、如何区分“个人数据 ”“和“个人信息”
在网络时代,“信息”(Information)和“数据”(Data)是使用频率最高的两个词汇,经常被许多政府规范性文件甚至法律视为同一概念。目前在各国的个人信息保护立法中,多数国家将“个人信息”视为“个人数据”。如欧盟《个人数据保护指令》第2条(a)规定,个人数据,指“与一个人身份已被识别或者身份可以识别的自然人(数据主体)相关的任何信息”;法国《数据处理、数据文件及个人自由法》第2条第1款规定,个人数据,指“可以通过身份证号码、一项或多项个人特有因素被肢解或间接识别的自然人相关的任何信息”;德国《联邦数据保护法》第3节规定,个人数据,指“任何关于一个已识别的或者可识别的个人(数据主体)的私人或者具体状态的信息”。
GDPR第4条对“个人数据“(personal data)的定义是,个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;可识别的自然人是能够被直接或间接识别的个体,特别是通过诸如姓名、ID号、位置数据、网上标识,或者与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。
GDPR第4条“个人数据“定义中英文原文中的“information relating to anidentified or identifiable natural person”可被认为是“Personal Identifiable Information”(PII)。一般而言,个人隐私敏感性信息称为个人可标识信息(PII)。要被认为是 PII,该信息必须在特定地与某个自然人相关联,而PII广泛存在于从电子邮件和社交平台到人力资源(HR)、人力资源管理(HCM)和顾客关系管理(CRM)系统中,这是数据控制者和处理者罪敏感和最应当规制的信息源。该款中的“Data subject”(数据主体)也意味着” an individualabout whom information is stored in a computer-based system.”
可见,以上国家立法和欧盟GDPR中所谓的“个人数据”,实质上是个人的“网络信息”或“电子信息”。笔者一直坚持,网络与信息法中的“个人数据”(personal) Data)与“个人信息”(personal information)有所不同,前者是附着在电子信息系统载体的客观事物记录,是未经过处理的个人原始记录,其不能脱离电子信息系统载体而独立存在,如个人体检在医院电子信息系统留下的原始记录;后者是指个人数据经过加工处理后,形成的具有使用价值的内容——信息,而且可以脱离电子信息载体而独立存在,如个人体检的电子数据经过医生的分析和系统的处理,形成的具有使用价值的体检报告,其存在的形式可以是电子状态,也可以是纸质状态。由此可以得出:个人信息=个人数据+分析处理。
个人信息保护的目的,在于保护具有使用价值的个人信息,而不是所有的个人数据。因此,我国《网络安全法》和《民法总则》在立法技术上均采用了“个人信息”的表述,特别是网络安全法第七十六条中对“网络数据”和“个人信息”的含义专门进行了文意解释:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”;“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 2018年出台的《信息安全技术 个人信息安全规范》不但界定了“个人信息主体”,即“个人信息所标识的自然人”,同时对个人信息( personal information)进行了明确的定义:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。由此可见,我国《网络安全法》及其配套规定分别从ICT技术的角度对个人数据和个人信息作出的法律定义,要比GDPR“个人数据“的定义更加严谨,也便于实际操作。
笔者注意到,在个人信息权的内涵中,我国重点保护的是涉及公民隐私的个人信息权,早在2012年,我国全国人民代表大会常务委员会颁布的《关于加强网络信息保护的决定》第一条就明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。这一点与GDPR是一致的,GDPR的实质就是一部个人隐私数据权保护法案。
我国《民法总则》在第五章“民事权利”一章中将“个人信息权”作为一项新型的基本民事权利加以确认与保护,而GDPR同样将“个人数据权”视为自然人的一项基本权利给予特别保护,如GDPR第1条“主题与目标”中第2款规定,本条例保护自然人的基本权利和自由,尤其是保护自然人所享有的个人数据权。
三、欧盟GDPR的个人数据权
整体上看, GDPR主要突出数据私权至上的原则, 极大地扩充数据主体的数据权利范围和保护机制, 对数据控制者和处理者使用个人数据进行了严格的限制, 加大了数据控制者和处理者对个人数据管理的法律责任,并对违反GDPR的行为,尤其是违反监管机构发布的命令,规定了极其严厉的惩罚措施,如GDPR规定,违反第58(2)条规定的监管机构发布的命令,应当按第2段的规定施加最高20,000,000欧元的行政罚款,如果是集团的话,可以施加最高前一年全球总营业额4%的罚款,两者取其高的一项进行罚款。
当然,GDPR在突出对数据私权保护的基础上,也明确了一些例外的情况,即当数据私权与数据公权相互冲突时,仍然是公权优先于私权,比如当隐私保护的权利和处置原则与国家安全、政府监管、公共安全、公共利益、司法程序与司法独立等发生冲突的情况下,应当首先满足后者的需求。
GDPR大致赋予数据主体七项数据权利,主要是:知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权。
1.知情权。数据控制者收集个人信息必须给予个人充分的知情权。应当向数据主体提供相应的信息以保障数据主体对控制者身份、个人信息处理目的及方式、权利维护途径等内容的知晓。比如依据GDPR第14条的规定,数据控制者在收集与数据主体相关的个人数据时,应当告知数据主体,包括数据控制者的身份与详细联系方式、数据保护官的详细联系方式、数据处理将涉及的个人数据的使用目的,以及处理个人数据的法律依据等。
2.访问权。GDPR第15条专门规定了“Right of access by the data subject”(数据主体的访问权),即数据主体有权从数据控制者那里得知关于其个人数据是否正在被处理的真实情形,如果其数据正在被处理的话,数据主体应当有权访问个人数据并有权获知相关信息,如该数据处理的目的;相关个人数据的类型;个人数据已经被或将被披露给数据接收者或接收者的类型,特别是当数据的接收者属于第三国或国际组织;在可能的情形下,个人数据将被储存的预期期限等。
3.修正权。数据主体有权要求数据控制及时地纠正与其相关的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式进行完善。
4.删除权(被遗忘权)。数据主体有权要求数据控制者及时删除其个人相关数据的权利。依据GDPR第17条第1款的规定,出现“个人数据对于实现其被收集或处理的相关目的不再必要”等六种情形之一时,数据控制者有责任及时删除其个人数据。
GDPR第17条第3款同时规定了数据主体行使“删除权”的例外情形,如数据控制者执行或者为了执行基于公共利益的某项任务,或者基于被官方授权而履行某项任务,欧盟或成员国的法律要求进行处理的数据,以及为了科学或历史研究目的或统计目的数据等,数据主体不能行使“删除权”。
5.限制处理权。在特定情况下,数据主体有权限制数据控制者处理数据。例如数据主体对个人数据的准确性提出质疑,且允许数据控制者在一定期限内核实个人数据的准确性;该数据处理是非法的,并且数据主体反对删除该个人数据,同时要求限制使用该个人数据;数据控制者基于该处理目的不再需要该个人数据,但数据主体为设立、行使或扞卫合法权利而需要该个人数据;数据主体对个人数据的准确性有争议,并给与数据控制者以一定的期限以核实个人数据的准确性。
6.可携带权。数据主体有权以结构化、通用和机器可读的格式接收其提供给数据控制者的与其有关个人数据,数据主体有权将这些数据传输给另一个数据控制者,而被要求转移数据的控制者应当配合数据主体的相应要求。根据2016年12月,欧盟数据工作保护组公布的《数据可携权指南》(Guidelines on the right to data portability. 16/EN WP 242. ),用户数据可携权不仅赋予用户取得、重复利用相关数据的权利,还赋予用户传输该等数据的权利。
GDPR在赋予数据主体“”可携带权“的同时,又提规定了例外的情形,主要是”可携带权“不适用于为公共利益所执行的某项任务所必需的数据处理,也不适用于官方授权而进行的数据处理等。
7.拒绝权(反对权)。对于根据GDPR第6(1)条(e)或(f)点而进行的有关数据主体的数据处理,包括根据这些条款而进行的用户画像,数据主体有权随时提出反对。此时,数据控制者须立即停止针对这部分个人数据的处理行为,除非数据控制者证明,相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或辩护法律性主张。
如果个人数据是为直接营销目的进行的处理,数据主体有权在任何时候反对处理与其本人有关的个人数据,来进行这种营销行为,包括在与这种直接营销有关的范围内所进行的数据分析。根据GDPR第89 条第1 款,个人数据因科学或历史研究或统计的目的被处理的,数据主体在与其相关的特定情形下,也有权拒绝对其个人数据的处理,除非这种数据处理行为是基于公众利益的目的。
四、中国《网络安全法》的个人信息权
目前,我们尚没有一部专门的《个人信息保护法》,个人信息权仅仅是《我网络安全法》中的一部分,相比较而言,GDPR更重视保护自然人的个人隐私数据权。从法律属性看,公民个人信息权的保护应当严格区分“个人信息权”与“个人隐私权”。从精神性人格权的属性研究,“隐私”是与公共利益、群众利益无关的,为当事人不愿意他人知道或他人不便知道的私人信息,当事人不愿意他人干涉或他人不便干涉的私人活动,当事人不愿意他人侵入或他人不便侵入的私人空间。
长期以来,我国的民事立法上一直没有把隐私权作为一项独立的基本的公民权利来加以直接保护,而是将公民的隐私权归入名誉权中进行间接保护,因此导致我国公民个人隐私权的保护一直未能得到有效重视。事实上,名誉权与隐私权是两种完全不同的概念,两项权利应该是并列关系而不是包含关系。
我国《民法总则》是民法典编纂的首期工程,在我国民事立法史上具有里程碑式的意义,其中一个突出的亮点是首次在民事权利的层面规定了“个人信息权”,并明确了对个人信息权利的保护规范。笔者认为,当前和未来一段时期我国个人信息安全保护边界的基本要义是在确保基本个人人格权和隐私权不受非法侵害的基础上,促进个人信息资源在“合法、正当、必要”法定原则的基础上进行适当的处理和利用。
我国《网络安全法》确立了多项“个人信息权”,但与GDPR相比较,条文不够细化,规定比较原则,需要系列配套规范加以细化。2018年5月1日起实施的《信息安全技术个人信息安全规范》(简称:“个人信息安全规范”)就是《网络安全法》第四章的一项重要配套规范,《个人信息安全规范》在制定过程中参照和对标了国际最先进的规则和立法标准,也参考了在个人信息保护方面最先进的国外立法,包括GDPR、OECD(经济合作与发展组织)隐私框架、APEC(亚洲太平洋经济合作组织)隐私框架等国际规则、欧美“隐私盾”(EU-US PrivacyShield)协议、美国“消费者隐私权法案”(Consumer Privacy Bill of Rights)等欧美个人信息保护方面的立法,堪称是中国的“GDPR”。
《个人信息安全规范》与GDPR最大的不同,就是效力等级不同,前者是一个标准,且只是一部推荐性标准,还不是一部强制性标准;后者的效力层级是欧盟的“条例”(编号为EU-DSGVO),GDPR的各个部分都具有法律约束力,这种法律上的约束力不仅表现在其特定的目标上,而且表现在为实现该特定目标所须采取的各种方式和措施等。
中国《网络安全法》及其配套规定设定的“个人信息权“大致也有七类:知情权、删除权、更正权、明示同意权、访问权、注销权、撤回权。
1.知情权。收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
2.删除权。《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。我国《网络安全法》中的“删除权”实质上类似于GDPR第17条规定的 Right toerasure (right to be forgotten),即“删除权(被遗忘权)“。数据主体有权要求数据控制者及时删除与其有关的个人数据,且在特定情形下数据控制者有义务立即删除这些个人数据。
我国《网络安全法》规定的公民对其信息的删除权请求权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经消灭或双方约定的期限已经届满,在这两种情形下,当事人均有权要求网络运营商删除和停止使用其个人信息。
3.更正权。《网络安全法》第四十三条同时规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。我国《网络安全法》中的“更正权“类似于GDPR的”修正权“,即数据主体有权要求数据控制者无不当延误地修正与其相关的不准确的个人数据。我国《网络安全法》中的“个人信息的更正权”是指,个人信息主体(personal data subject)发现网络运营商收集、存储的其个人信息有错误或者有缺失的,有权要求其补充或更正。
我国《网络安全法》规定的“删除权”和“更正权”基本上采用了“避风港”规则,即在网络运营商被通知前提下的“删除”或“更正”——“通知-删除或更正”,这是《网络安全法》对网络运营商的一种宽容性规定。
4.明示同意权。《个人信息安全规范》明确了“明示同意”(explicitconsent)的具体内涵,即个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。此种肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
我国《个人信息安全规范》的“明示同意”与GDPR的严格个人同意标准相比较,后者更为详细和严谨。GDPR的个人同意必须是自愿作出的、特定的、具体的、知情的及明确的同意。个人如果通过书面声明的方式同意, 同意的内容应当易于理解且与其他事项显着区别开, 数据控制者不能扩大个人同意的范围。而且GDPR授权个人随时可以撤回先前的同意, 数据控制者应保证撤回同意与作出同意一样容易。这意味着个人信息主体主动作出的声明,主动的格式合同“勾选“、主动点击“同意”等“明示同意”规则,将面临GDPR数据主体随意和便利地撤回信息的合规风险。
5.访问权。我国《个人信息安全规范》7.4 设置了“个人信息访问”权,要求个人信息控制者应向个人信息主体提供访问三类信息的方法:一是其所持有的关于该主体的个人信息或类型;二是上述个人信息的来源、所用于的目的;三是已经获得上述个人信息的第三方身份或类型。
如果个人信息主体提出访问非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定,并给出解释说明。
6.注销权。个人信息主体有权注销其账户,我国《个人信息安全规范》7.8要求个人信息控制者为个人信息主体提供注销账户的方法,一是通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;二是个人信息主体注销账户后,应删除其个人信息或做匿名化处理。
7.撤回权。个人信息主体有权撤回其先前的同意,个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息。
我国《个人信息安全规范》的“撤回同意”与GDPR的“撤回同意”相比较,后者更强调个人信息主体“撤回同意”的便利性,即It shall be as easy to withdraw as to give consent(撤回同意应当和表达同意一样简单)。
五、结语
总体上看,我国《网络安全法》及其配套规定关于个人信息权的行使与保护借鉴了国外的先进立法经验,同时具有中国独有的特色,特别是充分体现了信息化发展与个人信息安全保护并重的安全发展观,为全球贡献了中国智慧。
GDPR被称为是全球保护隐私里程碑式的立法,但也有尤其不足之处,主要是限制了数据的流动和共享。尽管GDPR第一条(3)规定,不得以处理个人数据过程中对自然人的保护为由,限制或禁止个人数据在欧盟内部进行自由流动。但纵观GDPR的诸多限制或禁止规定,大大地限制了数据的自由流动和本区域信息化的发展。而且有些制度尚不成熟,也没有大量的实践和普遍适用的可能,就被写入了GDPR,如“个人数据可携“,数据主体针对已经向数据控制者提供的个人数据,有权向数据控制者处获取结构化、通用化和可机读的上述数据;同时,数据主体有权将这些数据转移给其他数据控制者。从本质上看,数据主体的这项权利是GDPR对个人信息权利中的财产权和人格权的相互妥协,这本身就存在着矛盾和逻辑冲突。
