數據私權至上解析歐盟GDPR的個人數據保護法規

南京郵電大學|王春暉

GDPR主要的立法目的在于保護個人隱私權并促進此權利的行使，其中從個人數據權利的法律歸屬上，設定了“個人數據”“數據主體”“數據主體權利”以及采取了嚴格的全球個人隱私保護要求。

回首2018年，在全球數據隱私保護立法領域，最具有影響力的當屬歐盟發布的《一般數據保護條例（General Data Protection Regulation，GDPR）》，GDPR被稱為史上最嚴的個人數據保護條例。GDPR經過兩年多的預備期，于2018年5月25日起正式生效。

全球最嚴格的個人隱私數據法規

在全球現有的數據隱私保護法規中，GDPR是迄今為止覆蓋面最廣、監管條件最嚴格的關于個人隱私和數據安全的法規。這項法規不僅決定了企業如何通過合法的技術及業務創新來獲取基于個人數據的巨大價值，同時也因為嚴格的處罰條款而使眾多企業出現了生死攸關的“歸零風險”。

根據GDPR的規定，任何存儲或處理歐盟國家內有關歐盟公民個人信息的公司，即使在歐盟境內沒有業務存在，也必須遵守GDPR。相關公司必須遵守GDPR的具體標準有：歐盟境內擁有業務；在歐盟境內沒有業務，但是存儲或處理歐盟公民的個人信息；超過250名員工；少于250名員工，但是其數據處理方式影響數據主體的權利和隱私，或是包含某些類型的敏感個人數據。這將意味著，GDPR幾乎適用于全球所有的公司。

GDPR主要的立法目的在于保護個人隱私權并促進此權利的行使，其中從個人數據權利的法律歸屬上，設定了“個人數據”“數據主體”“數據主體權利”以及采取了嚴格的全球個人隱私保護要求。

GDPR賦予數據主體的七大權利

GDPR大致賦予數據主體七項數據權利，主要是知情權、訪問權、修正權、刪除權（被遺忘權）和限制處理權（反對權）、可攜帶權和拒絕權。

一是知情權。數據控制者收集個人信息必須給予個人充分的知情權。應當向數據主體提供相應的信息以保障數據主體對控制者身份、個人信息處理目的及方式、權利維護途徑等內容的知曉。比如依據GDPR第14條的規定，數據控制者在收集與數據主體相關的個人數據時，應當告知數據主體，包括數據控制者的身份與詳細聯系方式、數據保護官的詳細聯系方式、數據處理將涉及的個人數據使用目的，以及處理個人數據的法律依據等。

二是訪問權。GDPR第15條專門規定了“Right of access by the data subject（數據主體的訪問權）”，即數據主體有權從數據控制者那里得知關于其個人數據是否正在被處理的真實情形，如果其數據正在被處理的話，數據主體應當有權訪問個人數據并有權獲知相關信息，如該數據處理的目的；相關個人數據的類型；個人數據已經被或將被披露給數據接收者的類型，特別是當數據的接收者屬于第三國或國際組織；在可能的情形下，個人數據將被儲存的預期期限等。

三是修正權。數據主體有權要求數據控制及時地糾正與其相關的不準確個人數據。考慮到處理的目的，數據主體應當有權使不完整的個人數據完整，包括通過提供補充聲明的方式進行完善。GDPR第16條規定，數據主體應當有權要求控制者無不當延誤地修正不準確個人數據。考慮到處理的目的，數據主體應當有權使不完整的個人數據具有完整性，包括通過提供補充聲明等方式。

四是刪除權（被遺忘權）。數據主體有權要求數據控制者及時刪除其個人相關數據的權利。依據GDPR第17條第1款的規定，出現“個人數據對于實現其被收集或處理的相關目的不再必要”等六種情形之一時，數據控制者有責任及時刪除其個人數據。

GDPR第17條第3款同時規定了數據主體行使“刪除權”的例外情形，如數據控制者執行或者為了執行基于公共利益的某項任務，或者基于被官方授權而履行某項任務，歐盟或成員國的法律要求進行處理的數據，以及為了科學或歷史研究或統計目的數據等，數據主體不能行使“刪除權”。

五是限制處理權（反對權）。在特定情況下，數據主體有權限制數據控制者處理數據。例如數據主體對個人數據的準確性提出質疑，且允許數據控制者在一定期限內核實個人數據的準確性；該數據處理是非法的，并且數據主體反對刪除該個人數據，同時要求限制使用該個人數據；數據控制者基于該處理目的不再需要該個人數據，但數據主體為設立、行使或捍衛合法權利而需要該個人數據；數據主體對個人數據的準確性有爭議，并給予數據控制者以一定的期限以核實個人數據的準確性。

六是可攜帶權。數據主體有權以結構化、通用和機器可讀的格式接收其提供給數據控制者與其有關的個人數據，數據主體有權將這些數據傳輸給另一個數據控制者，而被要求轉移數據的控制者應當配合數據主體的相應要求。根據2016年12月歐盟數據工作保護組公布的《數據可攜權指南》（Guidelines on the right to data portability. 16/EN WP 242.），用戶數據可攜權不僅賦予用戶取得、重復利用相關數據的權利，還賦予用戶傳輸該數據的權利。

GDPR在賦予數據主體“可攜帶權”的同時，又規定了例外的情形，主要是“可攜帶權”不適用于為公共利益所執行的某項任務所必需的數據處理，也不適用于官方授權而進行的數據處理等。

七是拒絕權（反對權）。對于根據GDPR第6（1）條（e）或（f）點而進行的有關數據主體的數據處理，包括根據這些條款而進行的用戶畫像，數據主體有權隨時提出反對。此時，數據控制者須立即停止針對這部分個人數據的處理行為，除非數據控制者證明，相比數據主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或辯護法律性主張。

GDPR強調數據私權至上

如果個人數據是為直接營銷目的進行的處理，數據主體有權在任何時候反對處理與其本人有關的個人數據來進行這種營銷行為，包括在與這種直接營銷有關的范圍內所進行的數據分析。根據GDPR第89條第1款，個人數據因科學或歷史研究或統計目的被處理，數據主體在與其相關的特定情形下，也有權拒絕對其個人數據的處理，除非這種數據處理行為是基于公眾利益的目的。

整體來看，GDPR主要突出數據私權至上的原則，極大地擴充數據主體的數據權利范圍和保護機制，對數據控制者和處理者使用個人數據進行了嚴格的限制，加大了數據控制者和處理者對個人數據管理的法律責任，并對違反GDPR的行為，尤其是違反監管機構發布的命令，規定了極其嚴厲的懲罰措施，如GDPR規定，違反第58（2）條規定的監管機構發布的命令，應當按第2段的規定施加最高2000萬歐元的行政罰款，如果是集團的話，可以施加最高前一年全球總營業額4%的罰款，兩者取高的一項進行罰款。

GDPR在突出數據私權保護的基礎上，也明確了一些例外的情況，比如當數據私權與數據公權相互沖突時，仍然是公權優先于私權，比如當隱私保護的權利和處置原則與國家安全、政府監管、公共安全、公共利益、司法程序與司法獨立等發生沖突的情況下，應當首先滿足后者的需求。