专业文章
个人数据保护立法现状概要
大数据(Big Data)是以多元形式,搜集多处来源的数据而形成的庞大数据组。随着人们生活与信息网络关系日益密切、工作与生活与信息网络的联系维度与深度不断加大,大数据时代也应运而生,并在各个行业掀起巨浪。个人数据是大数据时代个人隐私信息化的产物。在大数据应用快速发展的同时,个人数据也更容易被传播和利用并因此受到侵害。近年来数据收集、利用不规范和数据泄露等问题频频发生,其后果也相比传统个人隐私侵权而言,更为严重。
我国目前尚无专门的“个人数据保护法”,对个人数据保护只是分布在各个不同的法律法规中。其中,我国《刑法修正案(七)》中增加了“侵犯公民信息罪”后,2013年《刑法修正案(九)》对其进行修订。2013年《消费者权益保护法》也增加了对消费者信息保护的相关规定。2017年10月1日起实施的《民法总则》也肯定了自然人的个人信息受法律保护。 最值得我们关注的是,2017年6月1日开始实施的《网络安全法》规定了网络运营者在收集用户信息时的数据保护义务,如第二十四条“未经被收集者同意,不得向他人提供个人信息”,以及第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,系目前个人信息保护最为直接、效力层级最高的法律依据。
尽管我国法律在多部和多个位阶上对公民信息保护相关问题进行了规定,尤其是《网络安全法》和《民法总则》明确了个人信息受我国法律保护,但是,由于各部法律之间衔接和法律实践可操作性等仍存在很大的问题。我们对个人信息的法律性质和权利归属还存在争议,在个人信息数据发生被非法窃取或不当使用等侵害时,缺乏相应的法律救济机制,也存在较大证明难度。对此,我们可以参考国外一些已经比较成熟的法律体系中对个人数据保护中的相关概念、权利范围和保护模式等基础性问题,或对我国未来个人数据保护的立法以些许启发。由于篇幅有限,本文仅就多国立法中关于个人数据的定义及范围,数据主体的权利以及对个人数据的保护模式进行简要介绍。
1、个人数据的定义及范围
“个人数据”从字面含义来看,是指个人的数据或与个人相关的数据。从功能性角度来看,个人数据是与个人隐私相对应,指用于识别个人的数据。“个人数据”的 “相关性”和“可识别性”是立法关注的重点。
从被称为是史上最严的个人数据保护法律的欧盟《一般数据保护条例》(General Data Protection Regulation)来看,其在第四条定义中明确“个人数据”是指能够被直接或间接地识别自然人的信息。其中,识别(identity)可以是参照姓名、身份证号码、定位数据、在线身份识别这类标识,也可以是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。德国《联邦数据保护法》(Federal Information Protection Act)界定“个人数据”的概念为已识别、或可识别个人(数据主体)的个人情况或实质情况的任何信息。英国《数据保护法案(草案)》(Data Protection Bill [HL])则将“个人数据”定义为:任何与识别的自然人相关的信息,“可识别的自然人”是指可以被直接或间接识别,尤其是通过(a)一种标识,如姓名、身份证号、定位、线上标识,或者(b)针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份中一个或多个因素。
可见,欧洲的国家大多仅强调“个人数据”的“可识别性”。除此之外,加拿大的《个人数据保护法案》((Personnel Information Protection Act))和新加坡《个人数据保护法》(Personnel Data Protection Act)也将“个人数据”的“可识别性”作为界定法律保护“个人数据”的范围。
韩国则使用“相关性”和“可识别性”同时界定“个人信息”的范围。韩国《个人信息保护法》则定义“个人信息”为与任何存在的人有关的,可以通过他/她的姓名和居民登记号码、图像等来识别这些个人的信息(包括间接识别)。
2、“数据主体”界定及其权利
“数据主体”为通过其个人数据而被识别到的主体。对此,通常要探讨以下三个问题:
第一,该主体的范围是否仅指活着的自然人?
第二,该主体范围是否包含法人主体?
第三, “数据主体”的权利范围是什么?
第一,针对个人数据保护中“自然人”定义,韩国《个人信息保护法》(Personnel Information Protection Act)明确该法保护对象为存在的自然人;而新加坡《个人数据保护法》中的“个人”为是指一个自然人,无论存活还是死亡。对此,笔者认为各个国家对数据保护中“自然人”的界定与其民法规定具有竞合关系,故我们可以结合我国民法相关概念来界定此处“自然人”的范围。鉴于我国民法规定, “公民从出生时起到死亡时止,具有民事权利能力,依法享有民事权利,和承担民事义务” ,笔者认为,我国对“自然人”的界定也应为活着的主体。
第二,一般而言,“个人数据”的主体应该仅指自然人。这与“个人数据”与个人隐私权等基本人权相关。但是,在少数国家也有将法人纳入个人数据保护的范围,如丹麦的《数据保护法》、挪威《个人数据登记法》等。笔者认为,虽然法人的数据保护问题也非常重要,但是其可以通过商业秘密法律等其他体系进行调整,无需置于“个人数据保护法”调整范围内。
第三,针对“数据主体”的权利范围。
“数据主体”依照各国相应数据保护法赋予其“数据主体”享有一定的权利。虽然我国民法肯定了对个人数据进行法律保护,但是“数据主体”是否对其“个人数据”具有所有权或者应该享有何种权利?
欧盟《一般数据保护条例》在第三章通过约束数据控制者,规定数据主体享有行使权利的透明度、交流和模式,获得其被收集信息的权利、数据访问权、修正和删除不准确的个人信息(被遗忘权),限制处理权、反对权、拒绝权、数据自动化个人决策权等。德国《联邦数据保护法》在数据主体的权利一节,确认了数据主体的访问权(通知和向数据主体提供信息)以及纠正、删除或封锁的权利不得被协议排除或限制。另外,韩国《个人信息保护法》规定数据主体权利享有权利有被告知、否决、确认、要求访问其信息和处理其信息(包括处理范围),暂停处理、修改、删除和销毁其信息的权利,以及就个人信息的任何损害经合法程序后获得适当的补偿。
尽管是否赋予“数据主体”以“个人数据权”在我国学术界还存在争论,但从上述国家和地区法律规定来看,“数据主体”对其“个人数据”并不拥有所有权,而是“数据主体”对其“个人数据”的支配权。我们在确认“数据主体”的相应权利时,可以参考其他国家的立法,并结合处理“个人数据”时的一般性原则,如合法性、公平性和透明性,目的限制、数据最小化、数据精确、储存限制要求,完整性和机密性以及可问责性等,以确定我国“数据主体”的权利范围。
3、各国“个人数据”保护模式
我国现阶段主要规定了“个人数据”的使用者或控制者的义务,如网络运营商等,还没有专门的行政机构对“个人数据”进行保护。对此,我们可以参考一些国家的“个人数据”保护模式。
新加坡《个人数据保护法》除规定数据控制机构应该遵循的义务外,还设立个人数据保护委员会和行政机关,赋予其增强公民数据保护意识、提供数据保护的专业服务、向政府提出相关意见,代表政府进行一系列与数据保护相关的活动,执行相关法律等职能。行政机关的执行还包括投诉和调解替代性纠纷解决机制、执行审查权和指示权等。“数据主体”还可以提起相关的数据保护民事诉讼,以获得司法救济(包括赔偿)等。欧盟《一般数据保护条例》在一方面加大对数据控制者和处理者的义务和责任同时,另一方面还规定了监督机构的权力和职责, 如欧盟设有数据保护局实施和执行欧盟法令和成员国法律。在成员国中,如德国,设有专门的数据保护官员以实现个人数据保护。韩国的《个人信息保护法》也规定了国家对个人数据保护的义务,包括国家和地方应制定、修改相关法律和政策、建立个人信息保护委员会等。根据上述国家和地区的数据保护相关法律,可见其监管机构主导的行政救济制度,帮助“数据主体”维护其“个人数据”,结合在私法层面上,加强数据应用主体的义务,解决数据主体与数据控制主体信息不对称等因素,以及强调“个人数据”受侵害时的赔偿权等,形成多层次保护公民的“个人数据”模式。
4、结 语
我国在制定个人数据相关法律时,可以参考国外已有的数据保护相关法律,同时根据我国国情去明晰与“个人数据”相关的概念及范围,在立法、执法和司法多维度地解决现阶段的侵害个人数据的问题。大数据时代在带给不同行业和主体便捷、高效、针对性强等优势的同时,也给不同主体带来了数据隐私威胁。在立法不完备的背景下,由于数据本身的特性,数据主体尤其是在互联网环境下,很难进行个人数据自我保护。如何在更好地利用数据的同时,加强个人数据保护,是我们面对的一项难题。然而,加快专门的个人数据立法是解决该难题的重要环节之一。
【参考文献】
书籍:
韩瑜,《个人数据保护法研究》,2012年第一版,北京大学出版社
李爱君、苏佳梅主编,《国际数据保护规则要览》,2018年第一版,法律出版社
高富平,《个人数据保护和利用国际规则:源流与趋势》,2016年第一版,法律出版社
国外法律法规:
欧盟《一般数据保护条例》(General Data Protection Regulation)
德国《联邦数据保护法》(Federal Information Protection Act)
法国《数字共和国法案》(Digital Republic Law)
英国《数据保护法案(草案)》(Data Protection Bill [HL])
韩国《个人信息保护法》(Personnel Information Protection Act)
新加坡《个人数据保护法》(Personnel Data Protection Act)
加拿大《个人信息保护法》(Personnel Information Protection Act)
