南京郵電大學|王春暉

GDPR主要的立法目的在于保護個人隱私權并促進此權利的行使，其中從個人數(shù)據(jù)權利的法律歸屬上，設定了“個人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權利”以及采取了嚴格的全球個人隱私保護要求。

回首2018年，在全球數(shù)據(jù)隱私保護立法領域，最具有影響力的當屬歐盟發(fā)布的《一般數(shù)據(jù)保護條例（General Data Protection Regulation，GDPR）》，GDPR被稱為史上最嚴的個人數(shù)據(jù)保護條例。GDPR經過兩年多的預備期，于2018年5月25日起正式生效。

全球最嚴格的個人隱私數(shù)據(jù)法規(guī)

在全球現(xiàn)有的數(shù)據(jù)隱私保護法規(guī)中，GDPR是迄今為止覆蓋面最廣、監(jiān)管條件最嚴格的關于個人隱私和數(shù)據(jù)安全的法規(guī)。這項法規(guī)不僅決定了企業(yè)如何通過合法的技術及業(yè)務創(chuàng)新來獲取基于個人數(shù)據(jù)的巨大價值，同時也因為嚴格的處罰條款而使眾多企業(yè)出現(xiàn)了生死攸關的“歸零風險”。

根據(jù)GDPR的規(guī)定，任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業(yè)務存在，也必須遵守GDPR。相關公司必須遵守GDPR的具體標準有：歐盟境內擁有業(yè)務；在歐盟境內沒有業(yè)務，但是存儲或處理歐盟公民的個人信息；超過250名員工；少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權利和隱私，或是包含某些類型的敏感個人數(shù)據(jù)。這將意味著，GDPR幾乎適用于全球所有的公司。

GDPR主要的立法目的在于保護個人隱私權并促進此權利的行使，其中從個人數(shù)據(jù)權利的法律歸屬上，設定了“個人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權利”以及采取了嚴格的全球個人隱私保護要求。

GDPR賦予數(shù)據(jù)主體的七大權利

GDPR大致賦予數(shù)據(jù)主體七項數(shù)據(jù)權利，主要是知情權、訪問權、修正權、刪除權（被遺忘權）和限制處理權（反對權）、可攜帶權和拒絕權。

一是知情權。數(shù)據(jù)控制者收集個人信息必須給予個人充分的知情權。應當向數(shù)據(jù)主體提供相應的信息以保障數(shù)據(jù)主體對控制者身份、個人信息處理目的及方式、權利維護途徑等內容的知曉。比如依據(jù)GDPR第14條的規(guī)定，數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關的個人數(shù)據(jù)時，應當告知數(shù)據(jù)主體，包括數(shù)據(jù)控制者的身份與詳細聯(lián)系方式、數(shù)據(jù)保護官的詳細聯(lián)系方式、數(shù)據(jù)處理將涉及的個人數(shù)據(jù)使用目的，以及處理個人數(shù)據(jù)的法律依據(jù)等。

二是訪問權。GDPR第15條專門規(guī)定了“Right of access by the data subject（數(shù)據(jù)主體的訪問權）”，即數(shù)據(jù)主體有權從數(shù)據(jù)控制者那里得知關于其個人數(shù)據(jù)是否正在被處理的真實情形，如果其數(shù)據(jù)正在被處理的話，數(shù)據(jù)主體應當有權訪問個人數(shù)據(jù)并有權獲知相關信息，如該數(shù)據(jù)處理的目的；相關個人數(shù)據(jù)的類型；個人數(shù)據(jù)已經被或將被披露給數(shù)據(jù)接收者的類型，特別是當數(shù)據(jù)的接收者屬于第三國或國際組織；在可能的情形下，個人數(shù)據(jù)將被儲存的預期期限等。

三是修正權。數(shù)據(jù)主體有權要求數(shù)據(jù)控制及時地糾正與其相關的不準確個人數(shù)據(jù)。考慮到處理的目的，數(shù)據(jù)主體應當有權使不完整的個人數(shù)據(jù)完整，包括通過提供補充聲明的方式進行完善。GDPR第16條規(guī)定，數(shù)據(jù)主體應當有權要求控制者無不當延誤地修正不準確個人數(shù)據(jù)。考慮到處理的目的，數(shù)據(jù)主體應當有權使不完整的個人數(shù)據(jù)具有完整性，包括通過提供補充聲明等方式。

四是刪除權（被遺忘權）。數(shù)據(jù)主體有權要求數(shù)據(jù)控制者及時刪除其個人相關數(shù)據(jù)的權利。依據(jù)GDPR第17條第1款的規(guī)定，出現(xiàn)“個人數(shù)據(jù)對于實現(xiàn)其被收集或處理的相關目的不再必要”等六種情形之一時，數(shù)據(jù)控制者有責任及時刪除其個人數(shù)據(jù)。

GDPR第17條第3款同時規(guī)定了數(shù)據(jù)主體行使“刪除權”的例外情形，如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項任務，或者基于被官方授權而履行某項任務，歐盟或成員國的法律要求進行處理的數(shù)據(jù)，以及為了科學或歷史研究或統(tǒng)計目的數(shù)據(jù)等，數(shù)據(jù)主體不能行使“刪除權”。

五是限制處理權（反對權）。在特定情況下，數(shù)據(jù)主體有權限制數(shù)據(jù)控制者處理數(shù)據(jù)。例如數(shù)據(jù)主體對個人數(shù)據(jù)的準確性提出質疑，且允許數(shù)據(jù)控制者在一定期限內核實個人數(shù)據(jù)的準確性；該數(shù)據(jù)處理是非法的，并且數(shù)據(jù)主體反對刪除該個人數(shù)據(jù)，同時要求限制使用該個人數(shù)據(jù)；數(shù)據(jù)控制者基于該處理目的不再需要該個人數(shù)據(jù)，但數(shù)據(jù)主體為設立、行使或捍衛(wèi)合法權利而需要該個人數(shù)據(jù)；數(shù)據(jù)主體對個人數(shù)據(jù)的準確性有爭議，并給予數(shù)據(jù)控制者以一定的期限以核實個人數(shù)據(jù)的準確性。

六是可攜帶權。數(shù)據(jù)主體有權以結構化、通用和機器可讀的格式接收其提供給數(shù)據(jù)控制者與其有關的個人數(shù)據(jù)，數(shù)據(jù)主體有權將這些數(shù)據(jù)傳輸給另一個數(shù)據(jù)控制者，而被要求轉移數(shù)據(jù)的控制者應當配合數(shù)據(jù)主體的相應要求。根據(jù)2016年12月歐盟數(shù)據(jù)工作保護組公布的《數(shù)據(jù)可攜權指南》（Guidelines on the right to data portability. 16/EN WP 242.），用戶數(shù)據(jù)可攜權不僅賦予用戶取得、重復利用相關數(shù)據(jù)的權利，還賦予用戶傳輸該數(shù)據(jù)的權利。

GDPR在賦予數(shù)據(jù)主體“可攜帶權”的同時，又規(guī)定了例外的情形，主要是“可攜帶權”不適用于為公共利益所執(zhí)行的某項任務所必需的數(shù)據(jù)處理，也不適用于官方授權而進行的數(shù)據(jù)處理等。

七是拒絕權（反對權）。對于根據(jù)GDPR第6（1）條（e）或（f）點而進行的有關數(shù)據(jù)主體的數(shù)據(jù)處理，包括根據(jù)這些條款而進行的用戶畫像，數(shù)據(jù)主體有權隨時提出反對。此時，數(shù)據(jù)控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為，除非數(shù)據(jù)控制者證明，相比數(shù)據(jù)主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或辯護法律性主張。

GDPR強調數(shù)據(jù)私權至上

如果個人數(shù)據(jù)是為直接營銷目的進行的處理，數(shù)據(jù)主體有權在任何時候反對處理與其本人有關的個人數(shù)據(jù)來進行這種營銷行為，包括在與這種直接營銷有關的范圍內所進行的數(shù)據(jù)分析。根據(jù)GDPR第89條第1款，個人數(shù)據(jù)因科學或歷史研究或統(tǒng)計目的被處理，數(shù)據(jù)主體在與其相關的特定情形下，也有權拒絕對其個人數(shù)據(jù)的處理，除非這種數(shù)據(jù)處理行為是基于公眾利益的目的。

整體來看，GDPR主要突出數(shù)據(jù)私權至上的原則，極大地擴充數(shù)據(jù)主體的數(shù)據(jù)權利范圍和保護機制，對數(shù)據(jù)控制者和處理者使用個人數(shù)據(jù)進行了嚴格的限制，加大了數(shù)據(jù)控制者和處理者對個人數(shù)據(jù)管理的法律責任，并對違反GDPR的行為，尤其是違反監(jiān)管機構發(fā)布的命令，規(guī)定了極其嚴厲的懲罰措施，如GDPR規(guī)定，違反第58（2）條規(guī)定的監(jiān)管機構發(fā)布的命令，應當按第2段的規(guī)定施加最高2000萬歐元的行政罰款，如果是集團的話，可以施加最高前一年全球總營業(yè)額4%的罰款，兩者取高的一項進行罰款。

GDPR在突出數(shù)據(jù)私權保護的基礎上，也明確了一些例外的情況，比如當數(shù)據(jù)私權與數(shù)據(jù)公權相互沖突時，仍然是公權優(yōu)先于私權，比如當隱私保護的權利和處置原則與國家安全、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨立等發(fā)生沖突的情況下，應當首先滿足后者的需求。