汪雪含　張墨涵

關(guān)鍵詞 個人數(shù)據(jù)保護(hù) 法制現(xiàn)狀 GDPR 法律意見

作者簡介：汪雪含、張墨涵，華東理工大學(xué)本科生。

中圖分類號：D99 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2019.06.128

一、我國個人數(shù)據(jù)保護(hù)法律制度現(xiàn)狀及問題

隨著信息技術(shù)的持續(xù)改進(jìn)，信息產(chǎn)業(yè)迎來了巨大的發(fā)展。但是，充分利用個人信息的同時，相關(guān)的侵權(quán)甚至是犯罪也日益增加。 2011年，僅有12例個人數(shù)據(jù)相關(guān)案件，而六年后案件數(shù)量激增至1100件。越來越多的個人數(shù)據(jù)案件暴露出我國個人數(shù)據(jù)保護(hù)立法的漏洞。目前，在我國，統(tǒng)一的個人數(shù)據(jù)保護(hù)法處于缺位狀態(tài)，現(xiàn)有的規(guī)定大多屬于效力位階較低的部門規(guī)章。在大約 478 個相關(guān)法律法規(guī)當(dāng)中，部門規(guī)章和地方性法規(guī)占到了約 440部，占比超過 92%①。

不健全的法律法規(guī)體系導(dǎo)致對個人數(shù)據(jù)的保護(hù)不力，因此，有必要完善相關(guān)規(guī)定。從社會現(xiàn)狀和當(dāng)前的學(xué)者研究的情況來看，筆者認(rèn)為在我國個人信息的保護(hù)存在三大難題。

（一）缺少對于個人信息的明確定義

目前，中國尚無統(tǒng)一且明確的個人信息定義，同時未在各級不同類型的法律中將個人信息權(quán)作為獨立法律概念進(jìn)行規(guī)定，因此，當(dāng)個人信息權(quán)利受到侵犯時，只能通過維護(hù)隱私，人格或聲譽來間接進(jìn)行保護(hù)，而無法直接依法保護(hù)。盡管我國已經(jīng)頒布實施了一些涉及個人信息保護(hù)的法律法規(guī)，但大部分內(nèi)容都是針對互聯(lián)網(wǎng)領(lǐng)域，并未涵蓋收集、控制和使用個人信息的所有主體。關(guān)于國家機構(gòu)收集和使用個人信息，這些規(guī)定并未包含詳盡的內(nèi)容②。

由于我國立法中對個人信息權(quán)利缺乏明確規(guī)定，并且公民在個人信息權(quán)利被侵害后，其民事上訴將被抑制，權(quán)益保護(hù)將被限制。在這種情況下，公民只能選擇放棄權(quán)利或者私了解決。

（二）未全面規(guī)定數(shù)據(jù)主體的權(quán)利

我國對數(shù)據(jù)主體的不同權(quán)利沒有具體規(guī)定?！栋踩ā分幸?guī)定的權(quán)利只有更正和刪除的權(quán)利。此外，此處的刪除權(quán)僅屬于賠償權(quán)，主要適用于處理非法或無效個人數(shù)據(jù)的情況下。除了網(wǎng)絡(luò)安全法，我國《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法規(guī)，不僅規(guī)定了更正和刪除的權(quán)利，還規(guī)定了查詢信息的權(quán)利和注銷帳戶的權(quán)利。基于上述權(quán)利，《信息安全技術(shù)個人信息安全規(guī)范》吸納了GDPR的被遺忘的權(quán)利，數(shù)據(jù)可攜帶的權(quán)利以及限制自動化決策的權(quán)利等理念。其中，自動決策權(quán)的限制與GDPR基本相同。但是，刪除和傳輸數(shù)據(jù)的權(quán)利已被削弱，保護(hù)力度較弱③?？梢宰⒁獾?，這些權(quán)利的規(guī)定受到的保護(hù)較少，而且不夠詳細(xì)。

（三）缺乏統(tǒng)一的個人數(shù)據(jù)保護(hù)和侵權(quán)懲罰機制

法律對于個人數(shù)據(jù)的保護(hù)仍停留在原則性保護(hù)上。例如，《網(wǎng)絡(luò)安全法》第四十條至四十五條規(guī)定“數(shù)據(jù)授權(quán)需要合理”“數(shù)據(jù)運營主體需要負(fù)起責(zé)任”，但是，如何具體實施、明確主要責(zé)任和分工，還需要通過相關(guān)法律法規(guī)加以改進(jìn)④。

個人數(shù)據(jù)存在眾多流轉(zhuǎn)環(huán)節(jié)，主體很復(fù)雜，責(zé)任分工不是很明確。由于缺乏公共法律的明確規(guī)定，如果出現(xiàn)了侵害用戶個人數(shù)據(jù)權(quán)利的現(xiàn)象，用戶通常無法找到合適的有關(guān)部門進(jìn)行反映。目前，對用戶沒有具體的救濟途徑和措施指導(dǎo)，或者盡管法律法規(guī)中有明確規(guī)定，但因為部門之間存在嚴(yán)重的交叉責(zé)任，他們很容易模糊分工和相互推諉⑤。目前，中國在大數(shù)據(jù)利用的背景下，對個人數(shù)據(jù)的監(jiān)測主要是基于行政審查和對機構(gòu)活動范圍的審批。在機構(gòu)披露個人數(shù)據(jù)后，相關(guān)部門缺乏事后監(jiān)督和長期監(jiān)督。此外，我國個人數(shù)據(jù)侵權(quán)的違法成本相對較低，不利于遏制侵權(quán)行為的發(fā)生。

二、GDPR關(guān)于個人數(shù)據(jù)保護(hù)相關(guān)規(guī)定

1995年歐盟已開始頒布并著手實施了《數(shù)據(jù)保護(hù)指令》（以下簡稱95指令），該指令為歐盟成員國的個人數(shù)據(jù)保護(hù)提供了可以參考的最低標(biāo)準(zhǔn)。隨著歐盟成員國的數(shù)量不斷增加，同時信息技術(shù)的發(fā)展日新月異，原有的指令已經(jīng)不能滿足人們對于個人信息保護(hù)的要求，因此在這種背景下，歐盟進(jìn)行了討論并且制定了《一般數(shù)據(jù)保護(hù)條例》。該條例于2016年5月24日生效，自2018年5月25日起直接適用于歐盟全體成員國。條例把對于個人數(shù)據(jù)的保護(hù)進(jìn)行了擴大，不僅對于數(shù)據(jù)主體進(jìn)行個人數(shù)據(jù)的保護(hù)，對于數(shù)據(jù)控制者的個人數(shù)據(jù)處理行為也進(jìn)行了保護(hù)。此項舉措有利于在個人利益和社會利益之間找到平衡點，達(dá)到維護(hù)社會穩(wěn)定的立法目的⑥。

（一） 明確個人數(shù)據(jù)概念

GDPR第4條規(guī)定，任何信息凡是與已識別或者可識別的自然人有關(guān)的都被稱為“個人信息”。在自然人當(dāng)中，直接或者間接能夠被識別的都稱為可識別自然人，尤其是通過參照諸如姓名、身份證號碼、定位數(shù)據(jù)這類標(biāo)識，或者是通過參照該自然人一個以上的如物理、生理、遺傳、心理、經(jīng)濟、 文化或社會身份的要素后可識別的人。

此外，在GDPR的序言部分，歐盟同時指出在一定的合理范圍和限度內(nèi)，不論是技術(shù)手段還是非技術(shù)手段都可以用來識別自然人。拿假名數(shù)據(jù)舉例，因為其可以通過其他額外信息來識別一個人，假名數(shù)據(jù)也可以成為個人數(shù)據(jù)⑦。

一般個人數(shù)據(jù)和敏感個人數(shù)據(jù)被GDPR進(jìn)行了區(qū)分，并且他們被實行了區(qū)別對待，進(jìn)行差別化保護(hù)。GDPR第9條規(guī)定，禁止對能揭示諸如民族和種族的起源、政治觀點、宗教或哲學(xué)信仰、工會成員的個人數(shù)據(jù)以及能夠識別出特定自然人的基因數(shù)據(jù)、生物特征數(shù)據(jù)，還有健康、自然人的性生活或性取向數(shù)據(jù)的處理，除非對數(shù)據(jù)的處理符合特定情形，有可以處理的合法理由。對個人特殊數(shù)據(jù)的特別保護(hù)是一項非常明智的措施，它有利于保護(hù)數(shù)據(jù)主體個人隱私不受侵犯，使得數(shù)據(jù)主體在大數(shù)據(jù)時代享有安全感，實現(xiàn)個人利益與社會利益的共同可持續(xù)發(fā)展。