万权之策

  

  欧盟的数据保护是极为严格的,法律不仅赋予了数据主体一系列权利,以制约数据掌控者对数据的不当处理,还设定了严厉的数据处理法律责任。

  近年来,数字经济越发成为中国经济的新增长源。而毫无疑问,作为生产要素的数据必将成为未来互联网数字经济的核心。对于企业来说,数据即财富,拥有了数据就相当于拥有了生产资料,数据可以直接转化为利润;对于政府来说,数据,特别是经过分析的大数据,有利于优化行政决策,提升行政执法水平。

  个人数据保护存在危机

  在所有国家中,政府和企业都掌握了大量的数据。在我国,由于各种实名制的存在,如寄快递实名、购买车票实名、住宿登记实名、各类社交App实名注册等等,而且由于几乎与我们每一个人息息相关的网络购物,也需要住址、电话等大量个人信息,所以公民个人不得不把大量数据,交给相关政府部门和企业。

  然而,我国至今还未制定个人信息保护法等专门法律,个人数据保护亦面临严重危机。个人数据经常被不当收集、储存、利用,甚至用来非法交易。

  因此,在互联网时代,我们很多人似乎都处于“裸奔”状态,很多时候我们可能毫无隐私可言。各种各样“知根知底”的营销电话、短信接踵而来,就连上网痕迹、手机通话、聊天记录中的关键词也可能被抓取用来实施“精准”营销。

  欧盟数据保护,立法先行

  在个人数据保护方面,我们可能更得向欧盟取经。

  早在1981年,欧洲议会就通过了有关个人数据保护的《保护自动化处理个人数据公约》,这是世界上首个有约束力的有关规范数据使用、保护个人隐私、促进数据交流的国际公约。1995年,欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(简称《个人数据保护指令》)。

  在立法目的上,《个人数据保护指令》定位为两个方面:一是保护自然人的基本权利和自由,特别是保护数据处理过程中的个人隐私权;二是促进数据在成员国之间的合法流通。

  随着互联网技术的不断发展,数据挖掘和分析技术不断提高,互联网经济平台每分每秒都会形成海量的数据信息。为了应对互联网时代个人数据保护的新挑战,并确保数据能够高效和安全流通,2012年欧盟委员会公布了《一般数据保护条例》(GDPR),拟对实施了近17年的《个人数据保护指令》进行修订。

  由于存在诸多争议,直到2016年4月14日,欧洲议会才最终投票通过了商讨多年的《一般数据保护条例》,该条例将在2018年5月25日生效。GDPR新条例的通过意味着欧盟对数据保护达到了前所未有的高度,堪称史上最严格的数据保护条例。

  数据处理条件严格

  在欧盟,数据掌控者不能随意处置数据。只有至少满足下列条件之一,数据处理才是合法的:第一,数据主体同意为一个或多个特定目的处理其数据;第二,数据处理是为签订或履行合同所需;第三,数据处理是为遵守法定义务所需;第四,数据处理是为了保护数据主体或其他自然人至关重要的利益;第五,数据处理是为了保护公共利益或行使政府授予的权力;第六,数据处理是为追求数据控制者或第三人的正当利益,但不得损害数据主体特别是儿童的利益或基本权利与自由。

  欧盟保护儿童权益的理念也体现在了数据保护当中。在欧盟,处理16岁以下的儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。欧盟成员国可对上述年龄进行调整,但是不得低于13岁。

  此外,欧盟立法还禁止处理特殊数据。如禁止处理反映个人种族或民族起源、政治观点、宗教或哲学信仰、是否为工会组织成员的数据,禁止处理能有效识别自然人的基因数据、生物数据,或涉及自然人健康、性生活、性取向的数据。

  但是,在例外的情况下也可以处理以上数据,例如已获得个人的明示同意,或数据控制者出于处理劳动关系、社会保险之需要而在法律允许的范围内且已采取了适当的保护手段等。

  特别重视数据主体的权利

  为了制约数据控制者对数据的不当处理,欧盟法律赋予了数据主体一系列较为强大的权利,如同意权、被遗忘权、数据可携带权、拒绝权、获得救济权等权利。

  其中,同意权是指数据操作者在收集和使用个人数据前,必须向数据所有者明确告知数据的收集内容和使用方式,并且需要获得数据所有者的明确同意。

  被遗忘权的含义是数据主体有被遗忘的权利,有权要求数据控制者永久删除某些数据,除非数据的保留有正当的理由。数据主体不但有权要求数据控制者删除其直接控制的数据信息,还有权要求数据控制者删除经第三方转载、复制后的所有数据。

  拒绝权指数据主体有权以合法充分的理由拒绝某些情形的数据处理,有权拒绝以直接营销为目的的个人数据处理。如果存在正当的拒绝理由,数据控制人不得处理相关数据。

  获得救济与赔偿权则是指数据主体有权向数据控制者请求赔偿因非法数据处理造成的损害,但数据控制者能证明损害并非是由其造成的,则可以全部或部分免除他的责任。

  数据处理违法责任严厉

  对于侵犯个人数据的现象,欧盟的惩罚堪称严厉。比如,对于一般的数据处理违法行为,政府部门可以给予行政处罚,最高可处以1000万欧元的行政处罚,或者处以上一年度全球营业收入的2%的行政处罚。对于严重的数据处理违法行为,最高可处以2000万欧元的行政处罚,或者处以上一年度全球营业收入的4%的行政处罚。如果数据处理行为构成犯罪的,还会被追究刑罚责任。

  可见,欧盟的数据保护是极为严格的。法律不仅严格规定了数据处理的目的、原则、条件、程序等,而且还赋予了数据主体一系列较为强大的权利,以制约数据掌控者对数据的不当处理。另外,法律还规定了较为完善的监督与救济机制,设定了严厉的数据处理法律责任。

  尽管在数据保护方面,欧盟有诸多经验值得我国认真学习,但过于严厉的数据保护制度,或许可能阻碍数据流通,不利于大数据合法交易,可能有碍数字经济的良性快速发展。欧洲和美国的行业组织提出警告说,欧盟严厉的数据保护制度可能将极大阻碍数据商业价值的挖掘,并将给企业带来相当大的额外成本。

  但不管怎么说,我国目前的问题不是数据保护过于严厉,而是不足。因此,在数字经济飞速发展的当下,我国应当加快完善数据保护法律制度,以真正能有效推动互联网、大数据、人工智能和实体经济的深度融合。

  □刘权(中央财经大学法学院副教授、北京大学法学博士)