美歐數(shù)據(jù)權利歸屬的立法現(xiàn)狀及啟示

2019-12-13 11:06:27袁媛

法制博覽 2019年24期

關鍵詞：主體

袁媛

北京郵電大學人文學院，北京 100876

一、當前美歐國家立法現(xiàn)狀

目前，數(shù)據(jù)權利保護的立法模式主要分為體系式立法和分散式立法。采取體系式立法的典型代表就是大陸法系國家和地區(qū)，包括英國、德國等歐洲國家以及韓國、新加坡和我國港澳臺地區(qū)等，通過成文法將個人信息保護的法律規(guī)范加以固定。其中，德國確立的“個人信息自決權”，雖未直接回答“個人何以如此控制的權利基礎”，但非常強調(diào)個人對其信息的控制手段；同時，歐盟也在法律體系中創(chuàng)造性地設立多種信息權利，完善和細化了個人信息權利，賦予數(shù)據(jù)主體對其個人信息的實際控制能力。除了傳統(tǒng)的知情同意權，1995年的《歐盟關于個人數(shù)據(jù)處理中的個人保護和數(shù)據(jù)自由流動的指令》主要賦予了公民的查閱權(Right to Access)、更正權(Right to Correct)、反對權(Right to object)和不受制于自動化決定的權利(Right to not be subject to certain automated decisions)等權利。2018年5月正式生效的《關于個人信息處理保護及個人信息自由傳輸?shù)臈l例》(General Data Protection Regulation，GDPR)(以下簡稱《歐盟條例》)新增被遺忘權(Right to be Forgotten)和數(shù)據(jù)可攜帶權(Right to Data Portability)。其中數(shù)據(jù)可攜帶權有利于數(shù)據(jù)主體控制其個人信息在不同的運營商間自由移轉(zhuǎn)，一定程度上可以減少壟斷，促進市場良性競爭，其法律基礎體現(xiàn)了個人信息自決權的特點。

當歐洲和亞太地區(qū)國家多采取體系式立法保護個人信息時，美國則屬于典型的分散式立法國家，通過將個人信息納入大隱私權概念進行法律保護，在公法領域以成文法建立了政府數(shù)據(jù)保護標準，在司法領域?qū)π畔⑹占⒗煤涂刂浦黧w設置數(shù)據(jù)保護義務并限制其收集和使用行為，并主要依賴于政府強制執(zhí)行和當事人提起民事訴訟等事后救濟手段，具有相對的靈活性和非規(guī)范性?！睹绹?lián)邦貿(mào)易委員會正當通信通則》中形成了五項核心的隱私保護原則，其中“數(shù)據(jù)的完整性和安全性”是被廣泛接受的通則，不僅要求數(shù)據(jù)收集者采取合理手段來保證數(shù)據(jù)完整性，如不使用信譽不良的數(shù)據(jù)源，同時要求其利用管理和技術兩方面的措施，以防止數(shù)據(jù)丟失以及未經(jīng)授權的訪問、破壞、使用或披露；而“選擇/同意”原則中的“選擇”涉及信息的次級使用，例如企業(yè)是否能夠向第三方主體轉(zhuǎn)讓信息的問題，就應當由用戶做出決定。這體現(xiàn)出美國對于提高公民對個人信息控制力的重視，尤其當部分數(shù)據(jù)涉及宗教、種族、膚色、身體健康狀況、國籍、基因等敏感因素時，如果不能保障公民對于個人信息的控制能力，則會產(chǎn)生大數(shù)據(jù)時代的歧視不公等一系列問題，可見在這一點上聯(lián)邦貿(mào)易委員會的主張實質(zhì)上和歐盟基本一致。

二、完善我國數(shù)據(jù)權利歸屬制度的法律建議

(一)明確價值取向

在構建我國個人信息保護制度時，應當注重法的價值。既需要使得數(shù)據(jù)控制者在特定情形下協(xié)助國家司法，保障國家公權力得以實現(xiàn)；又要注重規(guī)范數(shù)據(jù)控制者之間對于數(shù)據(jù)流轉(zhuǎn)的審查權限，減少不正當競爭，滿足促進大數(shù)據(jù)技術和人工智能技術發(fā)展的需要。凡屬權利必有界限，數(shù)據(jù)權利作為一種絕對權，也不能夠凌駕于公權力的實現(xiàn)和社會發(fā)展的需要之上，但如前所述，當前主要國家和地區(qū)的數(shù)據(jù)權利相關立法出于“保護人權、賦予用戶更多的自主性權利和自由”的目的，紛紛在法律制度中增加了諸多用戶可選擇的自決權，強化個人信息自決權已經(jīng)成為一種明顯的立法發(fā)展趨勢?？梢娢覈⒎ǜ鼞攺臄?shù)據(jù)權利歸屬于數(shù)據(jù)主體的角度出發(fā)進行制度設計，這不僅符合自然法中“天賦人權、人人平等、公正至上”的思想要旨、滿足一般人的精神需要和發(fā)展需要，同時與當今世界保護個人信息立法的發(fā)展趨勢相一致。

(二)建立跨平臺數(shù)據(jù)共享機制

鑒于實際需要，我國可以嘗試通過建立統(tǒng)一跨平臺數(shù)據(jù)共享機制，以便進行企業(yè)間用戶數(shù)據(jù)流轉(zhuǎn)，同時應對因數(shù)據(jù)控制者人為原因?qū)е碌牟徽敻偁幍葐栴}。相對于由數(shù)據(jù)控制者設定向第三方進行數(shù)據(jù)轉(zhuǎn)移的許可條件，該數(shù)據(jù)共享機制可以更好地進行許可審查，并相對客觀中立地保障數(shù)據(jù)主體在各環(huán)節(jié)中行使自身權利。建議將地域或者行業(yè)作為劃分標準，負責對所屬范圍內(nèi)的數(shù)據(jù)使用進行管理和規(guī)范，這主要是基于以下兩個方面的考慮：一方面，設定授權條件要求高。就單個數(shù)據(jù)控制者而言，無法很好地對請求數(shù)據(jù)接入的第三方主體的資質(zhì)進行核查，非具備相關技能和特殊知識的人員不能勝任。因此建立數(shù)據(jù)共享機制可以強化技術保障，確保流轉(zhuǎn)過程中的數(shù)據(jù)安全；另一方面，確保授權條件的客觀性。確保數(shù)據(jù)權利歸屬于數(shù)據(jù)主體的關鍵就是保障用戶知情權，建立數(shù)據(jù)共享機制可保證在一定程度少減少數(shù)據(jù)控制者的隱瞞干預。同時，能夠便利有需要的企業(yè)獲取相關原始數(shù)據(jù)進行進一步技術研發(fā)，這對于降低企業(yè)間的不正當競爭、促進數(shù)據(jù)經(jīng)濟發(fā)展具有重要意義。但不可否認這種跨平臺數(shù)據(jù)共享機制也存在一定弊端，主要是在數(shù)據(jù)安全保護方面帶來的壓力。海量的數(shù)據(jù)存儲面臨著更高的數(shù)據(jù)泄露風險，且一旦泄露將會對數(shù)據(jù)主體和數(shù)據(jù)控制者造成不可估量的影響，因此，在具體運行過程中需要格外注意。

(三)完善內(nèi)部監(jiān)管體系

此外我國可以借鑒《歐盟條例》中規(guī)定的數(shù)據(jù)保護官制度，通過建立第三方監(jiān)管體系，保障數(shù)據(jù)權利歸屬于數(shù)據(jù)主體。數(shù)據(jù)保護官的主要作用是確保他所在的機構，在處理員工、客戶、供應商或任何其他個人(也稱為數(shù)據(jù)對象)的個人數(shù)據(jù)時，應當符合數(shù)據(jù)保護規(guī)則。數(shù)據(jù)保護官最主要的職權就是對數(shù)據(jù)控制者或者處理者正在進行或?qū)⒁M行的數(shù)據(jù)收集、處理及分析等活動提出合理化建議，保障公私主體的數(shù)據(jù)處理合規(guī)，切實有效地實現(xiàn)保障數(shù)據(jù)權利歸屬于數(shù)據(jù)主體的制度價值。雖然，我國《個人信息安全規(guī)范》中存在類似規(guī)定，即在“明確責任部門與人員”方面要求，企業(yè)需明確由“法定代表人或主要負責人對個人信息安全負全面領導責任”。①但該規(guī)范僅為國家推薦性標準，不具備法律的強制性效力，立法位階偏低。因此我國仍需應當進一步完善數(shù)據(jù)保護的內(nèi)部監(jiān)管機制，構建結(jié)構化的責任體系。

[ 注釋 ]