我國數據立法的思考和建議

陸峰

2016年4月14日，歐洲議會投票通過了《通用數據保護條例》（下稱《條例》），取代了1995年發布的《歐盟數據保護指令》，該條例將于今年5月25日生效。《條例》開創性地提出數據被遺忘權、可攜權等，并就眾多例外應用情形做了特別規定，較好地兼顧個人信息保護和數字社會發展。

然而，目前國內對《條例》仍然存在一些認識誤區，比如，認為《條例》會限制經濟社會發展，個人隨時可以主張刪除數據，數據可攜權無條件限制，數據跨境轉移變得更為嚴格，數據控制者權益被極大剝奪等。所以，正確認識歐盟《條例》的創新性和立法的嚴謹性，對推動我國數據立法具有重要借鑒意義。

對《條例》的六個認識誤區

誤區一：會限制經濟社會發展

《條例》要求，不能以保護個人數據為由，對歐盟內部個人數據的自由流動進行限制或禁止。《條例》認為，數據主體享有的權利并不是絕對的，有關數據權利應當與其他權利及正當利益之間形成恰當的平衡關系，以更好地促進經濟社會發展。

為此，《條例》應兼顧平衡，對個人數據保護權利作出適當限制，對義務、責任予以適當豁免。例如，數據訪問權、被遺忘權、數據可攜權等條款，均要在有限定條件下實行，規模在250人以下的中小企業可以豁免其數據活動文檔化記錄義務，引入多種變通機制來調和不同權利。

誤區二：個人信息使用必須征得個人同意

《條例》未將用戶同意作為數據收集和使用的唯一合法理由。考慮到數據處理的多種可能場景以及其他正當利益需求，除了數據主體同意之外，《條例》還規定了五類個人數據處理情形， 可以默認為“同意”的替代機制，包括：數據控制者為了公共利益或履行法律職責的需要，為了履行數據主體所參與的合同，為了保護數據主體或其他自然人的核心利益，保護數據控制者或第 三方所追求的正當利益等五種情況。

誤區三：個人隨時可以主張刪除數據

《條例》提出的“被遺忘權”，是指當用戶依法撤回同意或控制者不再享有合法理由繼續處理數據等情形時，用戶有權要求刪除數據，該權利是傳統個人數據保護法中“刪除權”的升級。

《條例》要求數據控制者采取所有合理方式予以刪除，并通知處理此數據的其他數據控制者，刪除關于數據主體所主張的個人數據鏈接等。但在開放的網絡空間，要控制者去確定并通知所有第三方刪除，操作難度非常大，幾乎難以完成。此外，《條例》規定了不適用“被遺忘權”例外情形，包括基于表達自由、信息自由、公共利益、履行法律職責、歷史記錄、社會統計、科學研究、合法權利等多種情形。

誤區四：數據可攜權無條件限制

《條例》明確了個人有權獲得其提供給數據控制者的相關個人數據、且獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。同時，《條例》也明確了“可攜權”適用的兩個限定條件：在“用戶同意”基礎上的數據處理活動和處理通過自動化方式完成。

《條例》同時要求可攜帶不能對他人的權利或自由產生負面影響，對于涉及到其他第三方個人數據的數據轉移，只能 將此類數據用于個人和家庭事務目的。

《條例》同時認為，如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸給另一個控制者，考慮到技術可行性，《條例》并沒有將可攜權上升到推廣強制性的互兼容和互操作技術標準的程度。

誤區五：數據跨境傳輸比以前更為嚴格

《條例》對跨境數據流動政策進行了大幅度改革，開辟了更多的合法數據跨境方式，提升跨境流動的靈活度。針對事前許可制度卻帶來官僚主義問題，《條例》簡化了數據跨境傳輸機制，取消許可管理做法，只要符合了《條例》中跨境數據流動的相關條件，成員國則不得再通過許可方式予以限制。

增加了充分性認定的對象類型，除了國家之外，還可針對一國的特定地區、行業領域，以及國際組織的保護水平作出評估判斷。擴展“標準合同條款”，為企業提供更多符合實際需求的跨境轉移合同文本選擇。將“有約束力的公司規則”正式確定為法定有效的數據跨境機制，使得個人數據可以從集團內的一個成員合法傳輸給另一個成員。

誤區六：數據控制者權益被極大剝奪

《條例》將數據控制者的正當利益與用戶同意并列作為數據處理的合法理由，表明了個人的權利并不總是優先，而是需要在用戶個人權利與數據控制者的合法利益之間做出平衡。

比如，在下列情況下，數據控制者的權利將得到法律保護：基于交易歷史的直接推廣、以預防欺詐為目的的數據處理活動、出于保障網絡信息安全目的處理個人信息、在集團或者系統內部出于行政管理需要的數據披露、向主管部門報告犯罪或者公共安全重大威脅。

對我國數據立法的幾點建議

統籌考慮個人信息保護和產業創新發展

一是堅持有條件保護個人信息的原則。在涉及公共利益、科學研究、社會統計、言論自由、新聞傳播、個人其他權益等情況下，需要綜合權衡個人信息保護和社會發展進步的需要。

二是在加強個人信息保護的同時，也要為促進產業創新發展預留空間，可借鑒歐盟的做法采取數據訪問權、被遺忘權、數據可攜權等權利規定，但具體實施均需要在有限定條件下實行，否則會給企業發展帶來束縛，增加產業發展成本。

三是盡可能引入多種變通機制來調和不同權利，比如，在原則性禁止條款中，設置用戶同意例外等原則，為產業創新預留空間。

統籌考慮數據所有者和數據控制者權益

一是數據所有者主張的數據訪問權、被遺忘權、數據可攜權等權利的實行，不能損害到數據控制者本應該具備的權利。例如，被遺忘權會損害數據控制者對數據歷史溯源，數據可攜權可能影響到不同控制者之間的公平競爭，這就需要實行有限定的被遺忘權、數據可攜權等權利，否則無限制的權利會給企業增加巨大負擔。

二是數據控制者在某些情況下開發利用數據，比如精準營銷、預防欺詐、保障網絡信息和社會公共安全、集團內部管理等情況，都需要得到法律保護和支持，個人信息使用無需個人同意，可以默認為“同意”的替代機制。

統籌考慮數據保護需求和數據保護成本

一是統籌考慮網絡信息安全風險的不可測性，以及企業數據保護成本，對企業已經按法律法規規定對個人數據進行嚴密保護的情形下，個人信息仍發生泄露等意外事件，可以部分免除企業責任。

二是對數據所有者主張的被遺忘權，考慮到網絡空間的開放性，刪除網絡空間所有數據副本具有較大難度，建議實施可發現有限范圍的被遺忘權，對數據所有者可發現的數據副本，有權要求數據控制者采取措施進行刪除。