陸峰

2016年4月14日，歐洲議會投票通過了《通用數(shù)據(jù)保護(hù)條例》（下稱《條例》），取代了1995年發(fā)布的《歐盟數(shù)據(jù)保護(hù)指令》，該條例將于今年5月25日生效。《條例》開創(chuàng)性地提出數(shù)據(jù)被遺忘權(quán)、可攜權(quán)等，并就眾多例外應(yīng)用情形做了特別規(guī)定，較好地兼顧個人信息保護(hù)和數(shù)字社會發(fā)展。

然而，目前國內(nèi)對《條例》仍然存在一些認(rèn)識誤區(qū)，比如，認(rèn)為《條例》會限制經(jīng)濟(jì)社會發(fā)展，個人隨時可以主張刪除數(shù)據(jù)，數(shù)據(jù)可攜權(quán)無條件限制，數(shù)據(jù)跨境轉(zhuǎn)移變得更為嚴(yán)格，數(shù)據(jù)控制者權(quán)益被極大剝奪等。所以，正確認(rèn)識歐盟《條例》的創(chuàng)新性和立法的嚴(yán)謹(jǐn)性，對推動我國數(shù)據(jù)立法具有重要借鑒意義。

對《條例》的六個認(rèn)識誤區(qū)

誤區(qū)一：會限制經(jīng)濟(jì)社會發(fā)展

《條例》要求，不能以保護(hù)個人數(shù)據(jù)為由，對歐盟內(nèi)部個人數(shù)據(jù)的自由流動進(jìn)行限制或禁止?！稐l例》認(rèn)為，數(shù)據(jù)主體享有的權(quán)利并不是絕對的，有關(guān)數(shù)據(jù)權(quán)利應(yīng)當(dāng)與其他權(quán)利及正當(dāng)利益之間形成恰當(dāng)?shù)钠胶怅P(guān)系，以更好地促進(jìn)經(jīng)濟(jì)社會發(fā)展。

為此，《條例》應(yīng)兼顧平衡，對個人數(shù)據(jù)保護(hù)權(quán)利作出適當(dāng)限制，對義務(wù)、責(zé)任予以適當(dāng)豁免。例如，數(shù)據(jù)訪問權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等條款，均要在有限定條件下實行，規(guī)模在250人以下的中小企業(yè)可以豁免其數(shù)據(jù)活動文檔化記錄義務(wù)，引入多種變通機(jī)制來調(diào)和不同權(quán)利。

誤區(qū)二：個人信息使用必須征得個人同意

《條例》未將用戶同意作為數(shù)據(jù)收集和使用的唯一合法理由。考慮到數(shù)據(jù)處理的多種可能場景以及其他正當(dāng)利益需求，除了數(shù)據(jù)主體同意之外，《條例》還規(guī)定了五類個人數(shù)據(jù)處理情形， 可以默認(rèn)為“同意”的替代機(jī)制，包括：數(shù)據(jù)控制者為了公共利益或履行法律職責(zé)的需要，為了履行數(shù)據(jù)主體所參與的合同，為了保護(hù)數(shù)據(jù)主體或其他自然人的核心利益，保護(hù)數(shù)據(jù)控制者或第 三方所追求的正當(dāng)利益等五種情況。

誤區(qū)三：個人隨時可以主張刪除數(shù)據(jù)

《條例》提出的“被遺忘權(quán)”，是指當(dāng)用戶依法撤回同意或控制者不再享有合法理由繼續(xù)處理數(shù)據(jù)等情形時，用戶有權(quán)要求刪除數(shù)據(jù)，該權(quán)利是傳統(tǒng)個人數(shù)據(jù)保護(hù)法中“刪除權(quán)”的升級。

《條例》要求數(shù)據(jù)控制者采取所有合理方式予以刪除，并通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體所主張的個人數(shù)據(jù)鏈接等。但在開放的網(wǎng)絡(luò)空間，要控制者去確定并通知所有第三方刪除，操作難度非常大，幾乎難以完成。此外，《條例》規(guī)定了不適用“被遺忘權(quán)”例外情形，包括基于表達(dá)自由、信息自由、公共利益、履行法律職責(zé)、歷史記錄、社會統(tǒng)計、科學(xué)研究、合法權(quán)利等多種情形。

誤區(qū)四：數(shù)據(jù)可攜權(quán)無條件限制

《條例》明確了個人有權(quán)獲得其提供給數(shù)據(jù)控制者的相關(guān)個人數(shù)據(jù)、且獲得的個人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、普遍可使用的和機(jī)器可讀的。同時，《條例》也明確了“可攜權(quán)”適用的兩個限定條件：在“用戶同意”基礎(chǔ)上的數(shù)據(jù)處理活動和處理通過自動化方式完成。

《條例》同時要求可攜帶不能對他人的權(quán)利或自由產(chǎn)生負(fù)面影響，對于涉及到其他第三方個人數(shù)據(jù)的數(shù)據(jù)轉(zhuǎn)移，只能 將此類數(shù)據(jù)用于個人和家庭事務(wù)目的。

《條例》同時認(rèn)為，如果技術(shù)可行，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)將個人數(shù)據(jù)直接從一個控制者傳輸給另一個控制者，考慮到技術(shù)可行性，《條例》并沒有將可攜權(quán)上升到推廣強(qiáng)制性的互兼容和互操作技術(shù)標(biāo)準(zhǔn)的程度。

誤區(qū)五：數(shù)據(jù)跨境傳輸比以前更為嚴(yán)格

《條例》對跨境數(shù)據(jù)流動政策進(jìn)行了大幅度改革，開辟了更多的合法數(shù)據(jù)跨境方式，提升跨境流動的靈活度。針對事前許可制度卻帶來官僚主義問題，《條例》簡化了數(shù)據(jù)跨境傳輸機(jī)制，取消許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動的相關(guān)條件，成員國則不得再通過許可方式予以限制。

增加了充分性認(rèn)定的對象類型，除了國家之外，還可針對一國的特定地區(qū)、行業(yè)領(lǐng)域，以及國際組織的保護(hù)水平作出評估判斷。擴(kuò)展“標(biāo)準(zhǔn)合同條款”，為企業(yè)提供更多符合實際需求的跨境轉(zhuǎn)移合同文本選擇。將“有約束力的公司規(guī)則”正式確定為法定有效的數(shù)據(jù)跨境機(jī)制，使得個人數(shù)據(jù)可以從集團(tuán)內(nèi)的一個成員合法傳輸給另一個成員。

誤區(qū)六：數(shù)據(jù)控制者權(quán)益被極大剝奪

《條例》將數(shù)據(jù)控制者的正當(dāng)利益與用戶同意并列作為數(shù)據(jù)處理的合法理由，表明了個人的權(quán)利并不總是優(yōu)先，而是需要在用戶個人權(quán)利與數(shù)據(jù)控制者的合法利益之間做出平衡。

比如，在下列情況下，數(shù)據(jù)控制者的權(quán)利將得到法律保護(hù)：基于交易歷史的直接推廣、以預(yù)防欺詐為目的的數(shù)據(jù)處理活動、出于保障網(wǎng)絡(luò)信息安全目的處理個人信息、在集團(tuán)或者系統(tǒng)內(nèi)部出于行政管理需要的數(shù)據(jù)披露、向主管部門報告犯罪或者公共安全重大威脅。

對我國數(shù)據(jù)立法的幾點建議

統(tǒng)籌考慮個人信息保護(hù)和產(chǎn)業(yè)創(chuàng)新發(fā)展

一是堅持有條件保護(hù)個人信息的原則。在涉及公共利益、科學(xué)研究、社會統(tǒng)計、言論自由、新聞傳播、個人其他權(quán)益等情況下，需要綜合權(quán)衡個人信息保護(hù)和社會發(fā)展進(jìn)步的需要。

二是在加強(qiáng)個人信息保護(hù)的同時，也要為促進(jìn)產(chǎn)業(yè)創(chuàng)新發(fā)展預(yù)留空間，可借鑒歐盟的做法采取數(shù)據(jù)訪問權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利規(guī)定，但具體實施均需要在有限定條件下實行，否則會給企業(yè)發(fā)展帶來束縛，增加產(chǎn)業(yè)發(fā)展成本。

三是盡可能引入多種變通機(jī)制來調(diào)和不同權(quán)利，比如，在原則性禁止條款中，設(shè)置用戶同意例外等原則，為產(chǎn)業(yè)創(chuàng)新預(yù)留空間。

統(tǒng)籌考慮數(shù)據(jù)所有者和數(shù)據(jù)控制者權(quán)益

一是數(shù)據(jù)所有者主張的數(shù)據(jù)訪問權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利的實行，不能損害到數(shù)據(jù)控制者本應(yīng)該具備的權(quán)利。例如，被遺忘權(quán)會損害數(shù)據(jù)控制者對數(shù)據(jù)歷史溯源，數(shù)據(jù)可攜權(quán)可能影響到不同控制者之間的公平競爭，這就需要實行有限定的被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等權(quán)利，否則無限制的權(quán)利會給企業(yè)增加巨大負(fù)擔(dān)。

二是數(shù)據(jù)控制者在某些情況下開發(fā)利用數(shù)據(jù)，比如精準(zhǔn)營銷、預(yù)防欺詐、保障網(wǎng)絡(luò)信息和社會公共安全、集團(tuán)內(nèi)部管理等情況，都需要得到法律保護(hù)和支持，個人信息使用無需個人同意，可以默認(rèn)為“同意”的替代機(jī)制。

統(tǒng)籌考慮數(shù)據(jù)保護(hù)需求和數(shù)據(jù)保護(hù)成本

一是統(tǒng)籌考慮網(wǎng)絡(luò)信息安全風(fēng)險的不可測性，以及企業(yè)數(shù)據(jù)保護(hù)成本，對企業(yè)已經(jīng)按法律法規(guī)規(guī)定對個人數(shù)據(jù)進(jìn)行嚴(yán)密保護(hù)的情形下，個人信息仍發(fā)生泄露等意外事件，可以部分免除企業(yè)責(zé)任。

二是對數(shù)據(jù)所有者主張的被遺忘權(quán)，考慮到網(wǎng)絡(luò)空間的開放性，刪除網(wǎng)絡(luò)空間所有數(shù)據(jù)副本具有較大難度，建議實施可發(fā)現(xiàn)有限范圍的被遺忘權(quán)，對數(shù)據(jù)所有者可發(fā)現(xiàn)的數(shù)據(jù)副本，有權(quán)要求數(shù)據(jù)控制者采取措施進(jìn)行刪除。