南京邮电大学|王春晖
GDPR主要的立法目的在于保护个人隐私权并促进此权利的行使,其中从个人数据权利的法律归属上,设定了“个人数据”“数据主体”“数据主体权利”以及采取了严格的全球个人隐私保护要求。
回首2018年,在全球数据隐私保护立法领域,最具有影响力的当属欧盟发布的《一般数据保护条例(General Data Protection Regulation,GDPR)》,GDPR被称为史上最严的个人数据保护条例。GDPR经过两年多的预备期,于2018年5月25日起正式生效。
在全球现有的数据隐私保护法规中,GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。这项法规不仅决定了企业如何通过合法的技术及业务创新来获取基于个人数据的巨大价值,同时也因为严格的处罚条款而使众多企业出现了生死攸关的“归零风险”。
根据GDPR的规定,任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。相关公司必须遵守GDPR的具体标准有:欧盟境内拥有业务;在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;超过250名员工;少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。这将意味着,GDPR几乎适用于全球所有的公司。
GDPR主要的立法目的在于保护个人隐私权并促进此权利的行使,其中从个人数据权利的法律归属上,设定了“个人数据”“数据主体”“数据主体权利”以及采取了严格的全球个人隐私保护要求。
GDPR大致赋予数据主体七项数据权利,主要是知情权、访问权、修正权、删除权(被遗忘权)和限制处理权(反对权)、可携带权和拒绝权。
一是知情权。数据控制者收集个人信息必须给予个人充分的知情权。应当向数据主体提供相应的信息以保障数据主体对控制者身份、个人信息处理目的及方式、权利维护途径等内容的知晓。比如依据GDPR第14条的规定,数据控制者在收集与数据主体相关的个人数据时,应当告知数据主体,包括数据控制者的身份与详细联系方式、数据保护官的详细联系方式、数据处理将涉及的个人数据使用目的,以及处理个人数据的法律依据等。
二是访问权。GDPR第15条专门规定了“Right of access by the data subject(数据主体的访问权)”,即数据主体有权从数据控制者那里得知关于其个人数据是否正在被处理的真实情形,如果其数据正在被处理的话,数据主体应当有权访问个人数据并有权获知相关信息,如该数据处理的目的;相关个人数据的类型;个人数据已经被或将被披露给数据接收者的类型,特别是当数据的接收者属于第三国或国际组织;在可能的情形下,个人数据将被储存的预期期限等。
三是修正权。数据主体有权要求数据控制及时地纠正与其相关的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式进行完善。GDPR第16条规定,数据主体应当有权要求控制者无不当延误地修正不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据具有完整性,包括通过提供补充声明等方式。
四是删除权(被遗忘权)。数据主体有权要求数据控制者及时删除其个人相关数据的权利。依据GDPR第17条第1款的规定,出现“个人数据对于实现其被收集或处理的相关目的不再必要”等六种情形之一时,数据控制者有责任及时删除其个人数据。
GDPR第17条第3款同时规定了数据主体行使“删除权”的例外情形,如数据控制者执行或者为了执行基于公共利益的某项任务,或者基于被官方授权而履行某项任务,欧盟或成员国的法律要求进行处理的数据,以及为了科学或历史研究或统计目的数据等,数据主体不能行使“删除权”。
五是限制处理权(反对权)。在特定情况下,数据主体有权限制数据控制者处理数据。例如数据主体对个人数据的准确性提出质疑,且允许数据控制者在一定期限内核实个人数据的准确性;该数据处理是非法的,并且数据主体反对删除该个人数据,同时要求限制使用该个人数据;数据控制者基于该处理目的不再需要该个人数据,但数据主体为设立、行使或捍卫合法权利而需要该个人数据;数据主体对个人数据的准确性有争议,并给予数据控制者以一定的期限以核实个人数据的准确性。
六是可携带权。数据主体有权以结构化、通用和机器可读的格式接收其提供给数据控制者与其有关的个人数据,数据主体有权将这些数据传输给另一个数据控制者,而被要求转移数据的控制者应当配合数据主体的相应要求。根据2016年12月欧盟数据工作保护组公布的《数据可携权指南》(Guidelines on the right to data portability. 16/EN WP 242.),用户数据可携权不仅赋予用户取得、重复利用相关数据的权利,还赋予用户传输该数据的权利。
GDPR在赋予数据主体“可携带权”的同时,又规定了例外的情形,主要是“可携带权”不适用于为公共利益所执行的某项任务所必需的数据处理,也不适用于官方授权而进行的数据处理等。
七是拒绝权(反对权)。对于根据GDPR第6(1)条(e)或(f)点而进行的有关数据主体的数据处理,包括根据这些条款而进行的用户画像,数据主体有权随时提出反对。此时,数据控制者须立即停止针对这部分个人数据的处理行为,除非数据控制者证明,相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或辩护法律性主张。
如果个人数据是为直接营销目的进行的处理,数据主体有权在任何时候反对处理与其本人有关的个人数据来进行这种营销行为,包括在与这种直接营销有关的范围内所进行的数据分析。根据GDPR第89条第1款,个人数据因科学或历史研究或统计目的被处理,数据主体在与其相关的特定情形下,也有权拒绝对其个人数据的处理,除非这种数据处理行为是基于公众利益的目的。
整体来看,GDPR主要突出数据私权至上的原则,极大地扩充数据主体的数据权利范围和保护机制,对数据控制者和处理者使用个人数据进行了严格的限制,加大了数据控制者和处理者对个人数据管理的法律责任,并对违反GDPR的行为,尤其是违反监管机构发布的命令,规定了极其严厉的惩罚措施,如GDPR规定,违反第58(2)条规定的监管机构发布的命令,应当按第2段的规定施加最高2000万欧元的行政罚款,如果是集团的话,可以施加最高前一年全球总营业额4%的罚款,两者取高的一项进行罚款。
GDPR在突出数据私权保护的基础上,也明确了一些例外的情况,比如当数据私权与数据公权相互冲突时,仍然是公权优先于私权,比如当隐私保护的权利和处置原则与国家安全、政府监管、公共安全、公共利益、司法程序与司法独立等发生冲突的情况下,应当首先满足后者的需求。