南京郵電大學(xué)|王春暉

GDPR主要的立法目的在于保護(hù)個(gè)人隱私權(quán)并促進(jìn)此權(quán)利的行使，其中從個(gè)人數(shù)據(jù)權(quán)利的法律歸屬上，設(shè)定了“個(gè)人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權(quán)利”以及采取了嚴(yán)格的全球個(gè)人隱私保護(hù)要求。

回首2018年，在全球數(shù)據(jù)隱私保護(hù)立法領(lǐng)域，最具有影響力的當(dāng)屬歐盟發(fā)布的《一般數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，GDPR）》，GDPR被稱為史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)條例。GDPR經(jīng)過兩年多的預(yù)備期，于2018年5月25日起正式生效。

全球最嚴(yán)格的個(gè)人隱私數(shù)據(jù)法規(guī)

在全球現(xiàn)有的數(shù)據(jù)隱私保護(hù)法規(guī)中，GDPR是迄今為止覆蓋面最廣、監(jiān)管條件最嚴(yán)格的關(guān)于個(gè)人隱私和數(shù)據(jù)安全的法規(guī)。這項(xiàng)法規(guī)不僅決定了企業(yè)如何通過合法的技術(shù)及業(yè)務(wù)創(chuàng)新來獲取基于個(gè)人數(shù)據(jù)的巨大價(jià)值，同時(shí)也因?yàn)閲?yán)格的處罰條款而使眾多企業(yè)出現(xiàn)了生死攸關(guān)的“歸零風(fēng)險(xiǎn)”。

根據(jù)GDPR的規(guī)定，任何存儲或處理歐盟國家內(nèi)有關(guān)歐盟公民個(gè)人信息的公司，即使在歐盟境內(nèi)沒有業(yè)務(wù)存在，也必須遵守GDPR。相關(guān)公司必須遵守GDPR的具體標(biāo)準(zhǔn)有：歐盟境內(nèi)擁有業(yè)務(wù)；在歐盟境內(nèi)沒有業(yè)務(wù)，但是存儲或處理歐盟公民的個(gè)人信息；超過250名員工；少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私，或是包含某些類型的敏感個(gè)人數(shù)據(jù)。這將意味著，GDPR幾乎適用于全球所有的公司。

GDPR主要的立法目的在于保護(hù)個(gè)人隱私權(quán)并促進(jìn)此權(quán)利的行使，其中從個(gè)人數(shù)據(jù)權(quán)利的法律歸屬上，設(shè)定了“個(gè)人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權(quán)利”以及采取了嚴(yán)格的全球個(gè)人隱私保護(hù)要求。

GDPR賦予數(shù)據(jù)主體的七大權(quán)利

GDPR大致賦予數(shù)據(jù)主體七項(xiàng)數(shù)據(jù)權(quán)利，主要是知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)（被遺忘權(quán)）和限制處理權(quán)（反對權(quán)）、可攜帶權(quán)和拒絕權(quán)。

一是知情權(quán)。數(shù)據(jù)控制者收集個(gè)人信息必須給予個(gè)人充分的知情權(quán)。應(yīng)當(dāng)向數(shù)據(jù)主體提供相應(yīng)的信息以保障數(shù)據(jù)主體對控制者身份、個(gè)人信息處理目的及方式、權(quán)利維護(hù)途徑等內(nèi)容的知曉。比如依據(jù)GDPR第14條的規(guī)定，數(shù)據(jù)控制者在收集與數(shù)據(jù)主體相關(guān)的個(gè)人數(shù)據(jù)時(shí)，應(yīng)當(dāng)告知數(shù)據(jù)主體，包括數(shù)據(jù)控制者的身份與詳細(xì)聯(lián)系方式、數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式、數(shù)據(jù)處理將涉及的個(gè)人數(shù)據(jù)使用目的，以及處理個(gè)人數(shù)據(jù)的法律依據(jù)等。

二是訪問權(quán)。GDPR第15條專門規(guī)定了“Right of access by the data subject（數(shù)據(jù)主體的訪問權(quán)）”，即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者那里得知關(guān)于其個(gè)人數(shù)據(jù)是否正在被處理的真實(shí)情形，如果其數(shù)據(jù)正在被處理的話，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)訪問個(gè)人數(shù)據(jù)并有權(quán)獲知相關(guān)信息，如該數(shù)據(jù)處理的目的；相關(guān)個(gè)人數(shù)據(jù)的類型；個(gè)人數(shù)據(jù)已經(jīng)被或?qū)⒈慌督o數(shù)據(jù)接收者的類型，特別是當(dāng)數(shù)據(jù)的接收者屬于第三國或國際組織；在可能的情形下，個(gè)人數(shù)據(jù)將被儲存的預(yù)期期限等。

三是修正權(quán)。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制及時(shí)地糾正與其相關(guān)的不準(zhǔn)確個(gè)人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個(gè)人數(shù)據(jù)完整，包括通過提供補(bǔ)充聲明的方式進(jìn)行完善。GDPR第16條規(guī)定，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)要求控制者無不當(dāng)延誤地修正不準(zhǔn)確個(gè)人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個(gè)人數(shù)據(jù)具有完整性，包括通過提供補(bǔ)充聲明等方式。

四是刪除權(quán)（被遺忘權(quán)）。數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者及時(shí)刪除其個(gè)人相關(guān)數(shù)據(jù)的權(quán)利。依據(jù)GDPR第17條第1款的規(guī)定，出現(xiàn)“個(gè)人數(shù)據(jù)對于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再必要”等六種情形之一時(shí)，數(shù)據(jù)控制者有責(zé)任及時(shí)刪除其個(gè)人數(shù)據(jù)。

GDPR第17條第3款同時(shí)規(guī)定了數(shù)據(jù)主體行使“刪除權(quán)”的例外情形，如數(shù)據(jù)控制者執(zhí)行或者為了執(zhí)行基于公共利益的某項(xiàng)任務(wù)，或者基于被官方授權(quán)而履行某項(xiàng)任務(wù)，歐盟或成員國的法律要求進(jìn)行處理的數(shù)據(jù)，以及為了科學(xué)或歷史研究或統(tǒng)計(jì)目的數(shù)據(jù)等，數(shù)據(jù)主體不能行使“刪除權(quán)”。

五是限制處理權(quán)（反對權(quán)）。在特定情況下，數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者處理數(shù)據(jù)。例如數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑，且允許數(shù)據(jù)控制者在一定期限內(nèi)核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性；該數(shù)據(jù)處理是非法的，并且數(shù)據(jù)主體反對刪除該個(gè)人數(shù)據(jù)，同時(shí)要求限制使用該個(gè)人數(shù)據(jù)；數(shù)據(jù)控制者基于該處理目的不再需要該個(gè)人數(shù)據(jù)，但數(shù)據(jù)主體為設(shè)立、行使或捍衛(wèi)合法權(quán)利而需要該個(gè)人數(shù)據(jù)；數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性有爭議，并給予數(shù)據(jù)控制者以一定的期限以核實(shí)個(gè)人數(shù)據(jù)的準(zhǔn)確性。

六是可攜帶權(quán)。數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用和機(jī)器可讀的格式接收其提供給數(shù)據(jù)控制者與其有關(guān)的個(gè)人數(shù)據(jù)，數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)傳輸給另一個(gè)數(shù)據(jù)控制者，而被要求轉(zhuǎn)移數(shù)據(jù)的控制者應(yīng)當(dāng)配合數(shù)據(jù)主體的相應(yīng)要求。根據(jù)2016年12月歐盟數(shù)據(jù)工作保護(hù)組公布的《數(shù)據(jù)可攜權(quán)指南》（Guidelines on the right to data portability. 16/EN WP 242.），用戶數(shù)據(jù)可攜權(quán)不僅賦予用戶取得、重復(fù)利用相關(guān)數(shù)據(jù)的權(quán)利，還賦予用戶傳輸該數(shù)據(jù)的權(quán)利。

GDPR在賦予數(shù)據(jù)主體“可攜帶權(quán)”的同時(shí)，又規(guī)定了例外的情形，主要是“可攜帶權(quán)”不適用于為公共利益所執(zhí)行的某項(xiàng)任務(wù)所必需的數(shù)據(jù)處理，也不適用于官方授權(quán)而進(jìn)行的數(shù)據(jù)處理等。

七是拒絕權(quán)（反對權(quán)）。對于根據(jù)GDPR第6（1）條（e）或（f）點(diǎn)而進(jìn)行的有關(guān)數(shù)據(jù)主體的數(shù)據(jù)處理，包括根據(jù)這些條款而進(jìn)行的用戶畫像，數(shù)據(jù)主體有權(quán)隨時(shí)提出反對。此時(shí)，數(shù)據(jù)控制者須立即停止針對這部分個(gè)人數(shù)據(jù)的處理行為，除非數(shù)據(jù)控制者證明，相比數(shù)據(jù)主體的利益、權(quán)利和自由，具有壓倒性的正當(dāng)理由需要進(jìn)行處理，或者處理是為了提起、行使或辯護(hù)法律性主張。

GDPR強(qiáng)調(diào)數(shù)據(jù)私權(quán)至上

如果個(gè)人數(shù)據(jù)是為直接營銷目的進(jìn)行的處理，數(shù)據(jù)主體有權(quán)在任何時(shí)候反對處理與其本人有關(guān)的個(gè)人數(shù)據(jù)來進(jìn)行這種營銷行為，包括在與這種直接營銷有關(guān)的范圍內(nèi)所進(jìn)行的數(shù)據(jù)分析。根據(jù)GDPR第89條第1款，個(gè)人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計(jì)目的被處理，數(shù)據(jù)主體在與其相關(guān)的特定情形下，也有權(quán)拒絕對其個(gè)人數(shù)據(jù)的處理，除非這種數(shù)據(jù)處理行為是基于公眾利益的目的。

整體來看，GDPR主要突出數(shù)據(jù)私權(quán)至上的原則，極大地?cái)U(kuò)充數(shù)據(jù)主體的數(shù)據(jù)權(quán)利范圍和保護(hù)機(jī)制，對數(shù)據(jù)控制者和處理者使用個(gè)人數(shù)據(jù)進(jìn)行了嚴(yán)格的限制，加大了數(shù)據(jù)控制者和處理者對個(gè)人數(shù)據(jù)管理的法律責(zé)任，并對違反GDPR的行為，尤其是違反監(jiān)管機(jī)構(gòu)發(fā)布的命令，規(guī)定了極其嚴(yán)厲的懲罰措施，如GDPR規(guī)定，違反第58（2）條規(guī)定的監(jiān)管機(jī)構(gòu)發(fā)布的命令，應(yīng)當(dāng)按第2段的規(guī)定施加最高2000萬歐元的行政罰款，如果是集團(tuán)的話，可以施加最高前一年全球總營業(yè)額4%的罰款，兩者取高的一項(xiàng)進(jìn)行罰款。

GDPR在突出數(shù)據(jù)私權(quán)保護(hù)的基礎(chǔ)上，也明確了一些例外的情況，比如當(dāng)數(shù)據(jù)私權(quán)與數(shù)據(jù)公權(quán)相互沖突時(shí)，仍然是公權(quán)優(yōu)先于私權(quán)，比如當(dāng)隱私保護(hù)的權(quán)利和處置原則與國家安全、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨(dú)立等發(fā)生沖突的情況下，應(yīng)當(dāng)首先滿足后者的需求。