《通用数据保护条例》中“数据主体权利”例外规定及其价值考量

赵淑钰 中国信息通信研究院互联网法律研究中心工程师

1　引言

欧盟《通用数据保护条例》将于2018年5月25日正式实施。相较于其他国家、地区的数据（个人信息）保护立法以及欧盟1995年颁布的《欧盟数据保护指令》，GDPR首次对数据主体的权利进行了专章规定，并创新性的规定了新的数据权利类型。但GDPR对于数据主体的权利保障并不是绝对的，而是规定了若干适用的例外情形。“GDPR的立法者们充分关注到了数据主体享有的并不是绝对权利，有关数据的权利应当与其他权利及正当利益之间形成恰当的平衡关系，为此，GDPR精心设计了大量的但书、克减条款，对例外情形做出补充，对权利做出适当限制，对义务、责任予以适当豁免。”本文主要对GDPR规定的数据主体权利适用的例外情形进行了梳理，并总结例外情形中所包含的价值考量因素，以求对我国的个人信息保护立法和实践提供有益参考。

2　GDPR对数据主体权利的规定

数据主体权利是GDPR的一大亮点，延续了欧盟强调公民权利保护的立法传统，GDPR在第二章“立法原则”之后，专门有一章对数据主体的权利进行了规定，其中主要包括6类权利。

一是知情权。数据主体有权知道其个人数据是否被处理，以及个人数据处理的具体信息，如数据处理的目的、处理的数据类型、向第三方披露情况、投诉权等。数据控制者应当以简洁透明、清晰可读、易获取的方式向数据主体提供与数据主体权利相关的信息。二是修正权。数据主体认为其个人数据有错误或不完整时，有权要求数据控制者立即进行修正。三是被遗忘权。数据主体在满足一定条件时，有权要求数据控制者立即删除其个人数据，具体包括：个人数据相对于收集目的不再必要、数据主体撤回同意、非法处理、成员国法律规定等。四是限制处理权。在数据不准确、处理不合法、数据主体拒绝等情形下，数据主体可以限制数据控制者处理其个人数据。五是数据可携权。即数据主体向一个数据控制者提供的结构化的、常用的、机器可读的个人数据，可以直接转移给另一个数据控制者。六是拒绝权。数据主体有权拒绝数据控制者的数据处理，有权拒绝单纯依据自动处理做出的决策。

上述6项权利从个人数据处理的全流程实现了对数据主体的权利的保护。在收集阶段，数据主体享有对数据处理的知情权。在数据主体知情且同意的前提下，数据控制者（及处理者）才有权对个人数据采取处理措施，且数据主体有权随时撤回同意。在数据处理过程中，数据主体享有对个人数据进行修正的权利，在特定情形下也有权删除个人数据（被遗忘权）。对于数据处理结果，数据主体也享有拒绝的权利。数据可携权则保证了数据主体的自由选择权，同时也有利于促进数据在欧盟内部的自由流动。GDPR实现了数据主体权利的全面覆盖，但同时也规定了特殊情形和特定利益权衡下数据主体权利的限制条件。

3　数据主体权利例外规定

GDPR被外界称为“史上最严的个人数据保护条例”，主要体现在“对个人权利的细致保护，以及对违法行为的高昂处罚”两个方面。在强化对个人权利保护的同时，GDPR也关注到权利设置的科学性、现实性，为数据主体权利规定了适用的例外情形。GDPR第23条规定了所有数据主体权利适用的例外情形，具体包括：（1）国家安全；（2）公共防卫；（3）公共安全；（4）预防、调查、侦查、起诉刑事犯罪或者执行刑事处罚，包括对公共安全威胁预防的情形；（5）成员国的一般公共利益，特别是经济或财政以及公共健康、公共安全相关的公共问题；（6）司法程序相关问题；（7）预防、调查、侦查和起诉违反职业道德规范的情形；（8）涉及上述问题政府履行监管职能的情形；（9）对数据主体及相关主体权利保护的情形；（10）执行民事赔偿情形。除一般性例外规定外，GDPR对知情权、被遗忘权、拒绝权又分别规定了具体的例外规则。

3.1　对于知情权的例外规定

GDPR明确了数据主体有获取数据处理相关信息的权利，但在下列情形下，数据控制者可不向数据主体提供相关信息，包括：（1）数据主体已经获得相关信息；（2）信息的提供不具有现实可行性；（3）成员国国内法对于可披露的信息进行了规定；（4）依据成员国法律规定必须保密。

3.2　对被遗忘权的例外规定

被遗忘权是GDPR首次提出的数据权利类型，对于个人数据保护具有里程碑式的意义，也引发了理论界和实务界的深入探讨。GDPR对被遗忘权进行了严谨的制度设计，同时规定了适用条件和不适用的例外情形，进一步限定了被遗忘权行使的场景。根据GDPR第17条第3款的规定，基于如下原因数据主体不享有被遗忘权：（1）为行使言论自由和信息自由的必要；（2）根据成员国法律规定，为遵守数据控制者的法定义务，或为了公共利益的必要；（3）为实现公共卫生领域的公共利益的必要；（4）为了公益性的存档、科学或历史研究目的，且不会对数据主体的权利造成严重损害；（5）为了设立、行使、捍卫合法求偿权的必要。

3.3　对拒绝权的例外规定

GDPR规定特定情形下，数据主体无权拒绝自动决策结果，包括：（1）自动决策结果是数据主体与数据控制者之间建立合同或实施法律行为的必要条件；（2）根据成员国法律规定，对于数据主体的权利已经采取了适当的保护措施；（3）数据主体明示同意。

4　数据主体权利适用例外的价值考量

欧盟立法者在坚持对数据主体权利充分保护原则的基础上，充分考虑各成员国国内立法情况，综合平衡多方价值需求，对数据主体权利做出了限制性的规定。

4.1　国家利益与个人权利的平衡

例外规定首先考虑国家利益与个人利益之间的平衡。在个人权利与国家整体利益出现冲突时，GDPR立法者选择个人权利服从于国家利益。如在第23条的一般性限制条款中规定，当涉及国家安全问题时，可以限制数据主体的权利。

4.2　公共利益与个人权利的平衡

除国家利益外，个人权利也应让渡于社会整体的公共利益。如第23条规定当涉及公共安全、刑事侦查、财政金融、公共健康、司法程序、政府监管等领域的相关问题时，个人的数据权利也应当受到相应限制，服从于社会整体的公共价值。被遗忘权中也规定了为保护公共利益需求可以限制数据主体行使被遗忘权。

4.3　数据主体权利与其他自然人权利平衡

当数据主体的权利与其他自然人权利发生冲突时，GDPR对于数据主体权利也不是绝对的保护，而是根据双方权利属性、重要程度进行权衡。当数据主体权利在重要性、维护成本等方面低于其他自然人权利时，数据主体权利需要让渡于其他自然人的权利。如第23条规定了出于保护他人权利、自由或执行民事赔偿的要求，可限制数据主体权利。被遗忘权中也规定了，为保障公民的言论自由（基本权利）可以限制数据主体行使被遗忘权。

4.4　GDPR与国内法冲突的平衡

GDPR是欧盟层面发布的条例层级的文件，其对于成员国具有强制效力。但GDPR仍然为成员国保留了自主规定的空间，如允许成员国对于儿童的年龄在13～16岁之间做出调整，允许成员国对处罚标准自行规定等。因此，当GDPR的具体规定与欧盟成员现行国内立法发生冲突时，GDPR同样选择尊重成员国国内法的规定。如在数据主体的知情权方面，如果国内法规定了可以披露的信息的范围，则数据主体的知情权只能在允许的范围内实现。如果国内法规定相关内容属于保密内容，数据主体的知情权则无法实现。

4.5　尊重数据主体放弃权利的主观意志

在对国家利益、公共利益以及其他自然人重要权益进行衡量的同时，GDPR也充分尊重数据主体的选择权。GDPR第7条确定了用户同意的基本原则，即处理个人数据必须经过数据主体的同意。在数据主体权利保护方面，同样体现了尊重数据主体主观意志的理念。当数据主体通过明示方式表示同意放弃数据权利时，数据控制者（或数据处理者）可以不受数据主体权利的强制性要求。例如，数据主体明确放弃拒绝权时，自动决策结果可直接对数据主体产生法律效力。

4.6　考虑权利实现的现实可能性

当数据主体的权利不具有实施的现实可能性时，GDPR也规定了不再强调对数据主体权利的保障。如在知情权的规定中，数据主体本身享有对其个人数据处理相关信息的知情权，且知情权是其他数据权利实现的基础。但当相关信息不再具有获取的可能性时，数据主体不再具有要求权利履行的现实基础，不得再要求数据控制者履行相关义务。

4.7　对科研研究适当放宽要求

当个人数据处理用于科学研究的目的时，GDPR要求数据主体在一定程度上让渡权利。如在对被遗忘权的规定中，在不会对数据主体权益造成严重损害的前提下，为历史存档、科学研究等目的，可以限制数据主体的被遗忘权，不对其个人数据进行删除。

5　GDPR数据主体权利规定对我国的启示

目前我国《网络安全法》、《民法总则》、《全国人大常委会关于加强网络信息保护的决定》、《消费者权益保护法》等法律文件都对个人信息保护进行了规定，基本确立了我国个人信息保护的法律框架，但我国尚未制定专门的个人信息（数据）保护立法。随着数字经济发展，大数据、云计算、人工智能等新技术新应用不断涌现，个人信息领域的立法空白日渐凸显。欧盟GDPR在个人数据权利方面的设定以及对限定因素的考量，对于我国未来确立个人信息权利、完善个人信息保护制度的立法工作有现实的参考价值。

5.1　我国现行立法对个人信息保护的规定

目前，关于个人信息保护的规定散见于多层级、多部门的法律文件之中，对于侵犯公民个人信息的行为规定了民事、行政和刑事法律责任。《民法总则》在“民事权利”一章中规定，“自然人的个人信息受法律保护”。《网络安全法》第四章“网络信息安全”中明确了个人信息保护的基本制度。包括收集、使用用户信息应当遵循合法、正当、必要的原则，获得用户同意；网络运营者应当采取技术措施和其他必要措施保护用户个人信息安全；个人发现网络运营者违法、违约收集、使用其个人信息的，有权要求网络运营者删除其个人信息等。《刑法》对于非法获取公民信息罪和出售、非法提供公民个人信息做了规定。《消费者权益保护法》、《征信管理业管理条例》等对具体领域个人信息保护进行了规定。

但我国现有的法律体系并未对个人信息的权利属性和权利内容进行明确。即个人信息是否属于一种权利，其在权利属性上属于哪类权利类型等，以及其具体包含了哪些权利内容（权项），在目前的立法中都没有明确的界定。学术界、实务界对于此问题存在着广泛的讨论和争议。需要在未来的个人信息保护立法中对这一问题进行明确和澄清，以更加系统、全面地实现对个人信息的保护。

5.2　GDPR数据主体权利及例外规定对我国的借鉴

通过对GDPR中数据主体权利以及例外规定的梳理，体会立法者对于不同情形、不同利益的权衡，考虑到我国目前个人信息保护立法现状，笔者认为，我国未来对个人信息保护的实践和在立法工作中，应当考虑在以下3个方面借鉴欧盟经验。

（1）明确对个人信息权的保护

立法中可以考虑明确对个人信息权利的保护，确立其作为公民个人权利的属性。但由于目前对于个人数据权的属性的讨论尚无定论，我国可借鉴欧盟做法，搁置对于其权利属性的争议，先明确其作为公民权利的地位。同时，可以考虑采用GDPR的立法模式，在强化对公民个人信息权利保护的同时，也强调不是绝对保护而是相对的保护。根据实践的需求，为个人信息权设定相应的例外规定，保证个人信息权科学、有效的实现。

（2）明确个人信息权的权利内容

GDPR目前主要确定了六项数据主体权利，并对各项权利的内容进行了具体阐释。我国未来立法中也可考虑，除了确定个人信息权的地位外，还要对权利的具体内容进行详细阐释。明确规定公民对其个人信息所享有的权利内容，以及数据的收集者、使用者应当承担的义务，并适当规定每个权项下适用的例外情形。

（3）对个人信息权设定例外条款考虑的因素

对个人信息权进行充分保护，还要注重与其他法益的协调。根据GDPR的规定，我国未来立法在规定个人信息适用例外条款时，可以考虑以下方面的因素：一是国家整体利益；二是社会公益；三是对其他自然人权益的影响；四是与现有法律法规规定的衔接；五是科研、统计等对数据要求。

6　结束语

通过对GDPR关于数据主体权利规定的梳理，明确了欧盟立法者在加强对数据主体权利保护的同时，也对国家利益、公共利益、其他自然人权利等进行了权衡和考量。在未来我国个人信息保护的立法和实践中，可以参考欧盟的此种立法思路，对于公民个人信息进行相对的、科学的、理性的保护。