試論個人數據權的法律保護

孫金海

【摘要】大數據時代帶來的有機遇也有挑戰，海量個人數據的合理使用可以使大眾享受到優質便捷的生活，帶動經濟增長。法律作為制度保障，要為個人數據權進行保護，規范數據控制者的行為。面對當前現狀，我國亟須制定出一部個人數據保護法，適應新時代需求，保護個人信息，保護公民財產。

【關鍵詞】個人信息;網絡安全法;立法保護

一、數據權的概念

數據權是一種在互聯網絡發展之下產生的新興權利，近年來得到了大眾的廣泛關注。在賽博時代，數據作為存儲個人信息的介質，包含了大量的公民隱私。只要在網絡上，一切行為都由數據記錄并保存。數據權保護的權益是個人數據（信息），在互聯網時代，對個人數據也應當重新定義。從1980年世界范圍內第一部關于個人數據保護的法律———世界經濟與合作組織發布的《隱私保護與個人數據跨境流動的指導方針》到2016年我國的《中華人民共和國網絡安全法》，都將個人數據的“可識別性”作為數據權的一項重要特征在對個人數據的定義中加以強調。筆者認為，數據權不僅包括具有可識別性的生物數據，如指紋、面部信息等，也應當包括公民在互聯網上被儲存的一切行為數據。因此在本文中將數據權定義為“民事主體享有未經本人同意不被他人收集、利用和公開個人數據的權利”。

二、實踐中典型數據權侵權行為

（一）用戶不能行使數據自決權

世界各國可借鑒的立法中，都將個人數據自決權作為數據權的基本內容，由權利人自己決定自己的數據能否被收集，以何種方式收集以及何時進行收集;決定對自己的信息進行修改或刪除的權利。但在實踐中，很多侵犯個人數據權的行為并沒有得到有效規范。

事實上，相較于政府來講，更易采集公民個人數據的是互聯網企業，在網上的每一次點擊都可以被軟件提供商采集并用以分析公民個人偏好，嚴重侵害了公民的個人數據權，也對社會秩序造成了極為不利的影響。雖然大多軟件都將

《個人信息及隱私保護服務條款》提供給權利人，權利人可以選擇同意或者不同意，用以規避侵犯公民數據采集知情權的可能。然而，權利人真的有不選擇同意的能力嗎？毫無疑問的是，權利人在這種關系中處于弱勢地位，市面上幾乎所有的軟件都設定成若權利人不同意《服務條款》，App供應商就拒絕提供服務，這就違背了保護公民數據權的意圖，事實上并沒有為權利人行使數據權提供有效支持，甚至是企業在倒逼權利人將放棄自己的數據權力。

（二）精準推送阻礙信息流動

即便用戶數據并未被泄露或利用、用戶得以行使被刪除權、被遺忘權，也并不代表用戶數據權沒有被侵犯。筆者認為，數據控制者基于用戶的數據，在未經用戶同意的前提下通過算法向用戶精準推送內容，也構成對個人數據權的侵犯。數據控制者利用了用戶的數據，為用戶打造了一個信息繭房，精準推送在某種程度上阻礙了用戶獲取開放信息的權利，造成了信息的不對稱。這種行為并不能稱為是對用戶個人數據的合法利用，尤其在數據控制者并沒有明確告知用戶其數據會被應用于自身的情況下。數據控制者利用個人數據為其推薦產品，表面上看是改善用戶體驗，優化信息分配，創造商業價值，但究其根本，不僅違背了互聯網信息開放性和流動性的原則，還侵犯了個人數據控制權。

三、我國數據權立法保護

（一）當前我國數據權立法現狀

法律要為現實服務，為了保護個人數據、規范數據控制者行為，必須要有相應的法律制度。我國法律中并沒有規定數據權，而是以概括的個人信息予以保護。刑法規定了侵犯公民個人信息罪與非法獲取計算機信息系統數據罪以遏制非法獲取他人信息和計算機內數據信息的行為;《網絡安全法》規定網絡產品、服務收集用戶個人信息需要得到用戶的明示同意，網絡平臺方負有保護用戶個人信息的義務;2017年11月，中國國家標準化管理委員會發布了《信息安全技術移動智能終端個人信息保護技術要求》，通過制定國家標準的方式規定平臺獲取個人數據的方式和范圍;此外，近兩年來，網信辦、公安部、工信部也紛紛出臺了部門規章，以保護個人互聯網信息安全。然而，目前我國仍然沒有一部完善的法律將個人數據權作為一項單獨的權利予以保護，面對日益猖獗的個人數據侵權行為，救濟途徑不夠暢通。

（二）對我國數據權立法的建議

1.明確數據權的權利屬性

數據權的權利屬性對數據權保護具有至關重要的作用。目前我國將數據權作為個人信息的一部分加以保護，僅僅體現了數據權的人身權屬性，甚至這一點也是附屬于隱私權之上的。刑法中規定的非法獲取計算機信息系統數據罪，認為其侵害的客體是社會管理秩序。但正如先前論述，數據權是一種復合權利，既是人身權利，也是財產權利，在數據權立法中也應當有所體現。

2.明確數據控制者的責任

現有法律已經基本確認了數據權利人的自決權，即只有在權利人知情并授權的情況下數據控制者才能獲取數據和利用數據。但對數據控制者的責任限定不夠明確，數據控制者作為相對強勢的一方，權利人基于對其的信任提供數據，但數據控制者應當在權利人授權范圍內合理使用數據，并保護數據不被泄露給第三方。數據控制者若要將數據提供給第三方，必須經過“用戶授權+平臺授權+用戶授權”的三重授權原則，保證用戶的知情權。

3.建立完善的權利救濟途徑

“有權利則有救濟”，同樣是在新浪訴脈脈案中，脈脈公司非法抓取新浪微博用戶個人信息，新浪公司以不正當競爭起訴并獲得了法院支持。但這個案件中事實上被侵犯的是大批用戶的個人數據信息，僅僅讓數據控制者以不正當競爭的理由起訴并不足以保護個人數據權。亟須建立完善的權利救濟途徑，使每一個公民都有途徑去維護自己正當的數據權利

四、結束語

在大數據被廣泛應用，區塊鏈被反復提及的新時代背景之下，個人數據權成為公眾最為關心的權利之一。由于數據權是一種新興權利，對數據權的立法保護顯然還有很多的不足。法律具有滯后性，面對現實的數據權保護問題，法律依舊應當作為社會共同的底線被制定并適用。文章從數據權的概念入手，分析個人數據面臨的法律隱憂，提出立法建議。

參考文獻：

[1]劉曉春.歐盟《通用數據保護條例》原則條款解析[N].中國市場監管報，2019-04-16（6）.

[2]徐夢醒.大數據時代消費者隱私權保護芻議[J].中國市場監管研究，2017（9）.