博言 ▏個人數(shù)據(jù)權(quán)利歸屬

來源：數(shù)據(jù)觀 時間：2018-05-27 23:07:41 作者：李愛君

?【導(dǎo)讀】每年5月，在中國貴陽召開的中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會（簡稱“數(shù)博會”）提供大平臺，集中展示最新技術(shù)及理論成果，齊聚行業(yè)相關(guān)人士共商大數(shù)據(jù)產(chǎn)業(yè)發(fā)展大計。在2018數(shù)博會召開之際，數(shù)據(jù)觀特別邀請行業(yè)專家、學(xué)者、企業(yè)家深入剖析產(chǎn)業(yè)發(fā)展現(xiàn)狀，推出系列大數(shù)據(jù)產(chǎn)業(yè)深度評論專欄《博言》。今天刊發(fā)的文章，是由中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院院長李愛君撰寫的《個人數(shù)據(jù)權(quán)利歸屬》。

?經(jīng)過歐盟議會長達四年的討論，歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）在2018年5月25日生效。該文以《一般數(shù)據(jù)保護條例》為視角，探討分析個人數(shù)據(jù)權(quán)利歸屬問題。

?個人數(shù)據(jù)權(quán)利屬于新型財產(chǎn)權(quán)

?個人數(shù)據(jù)權(quán)利屬于新型財產(chǎn)權(quán)。其新型主要表現(xiàn)在個人數(shù)據(jù)客體具有財產(chǎn)權(quán)、人格權(quán)、國家主權(quán)的屬性。個人數(shù)據(jù)權(quán)利的屬性是由數(shù)據(jù)權(quán)利結(jié)構(gòu)決定的。數(shù)據(jù)權(quán)利的結(jié)構(gòu)是由數(shù)據(jù)權(quán)利主體、數(shù)據(jù)權(quán)利內(nèi)容、數(shù)據(jù)權(quán)利客體組成。個人數(shù)據(jù)權(quán)利的屬性是由個人數(shù)據(jù)權(quán)利結(jié)構(gòu)中的客體性質(zhì)決定的。從GDPR內(nèi)容分析個人數(shù)據(jù)權(quán)利的結(jié)構(gòu)：個人數(shù)據(jù)主體是自然人；個人數(shù)據(jù)權(quán)利客體是個人數(shù)據(jù)；個人數(shù)據(jù)權(quán)利的內(nèi)容是權(quán)利與義務(wù)。個人數(shù)據(jù)的性質(zhì)決定了個人數(shù)據(jù)權(quán)利的屬性。

?（一）個人數(shù)據(jù)權(quán)利的人格權(quán)屬性

?從GDPR中的“個人數(shù)據(jù)”定義分析。GDPR的個人數(shù)據(jù)是指：“任何指向一個已識別或可識別的自然人（“數(shù)據(jù)主體”）的信息。該可識別的自然人能夠被直接或間接地識別，尤其是通過參照諸如姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別這類標(biāo)識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素”定義分析可得知個人數(shù)據(jù)具有人格屬性，如姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別這類標(biāo)識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素”。該定義中的“姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別這類標(biāo)識，或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的要素”都是與人格相關(guān)的數(shù)據(jù)，因此個人數(shù)據(jù)權(quán)利具有人格權(quán)屬性。

?（二）個人數(shù)據(jù)權(quán)利的財產(chǎn)權(quán)屬性

?財產(chǎn)權(quán)是以財產(chǎn)為客體的權(quán)利。其特點是權(quán)利直接體現(xiàn)經(jīng)濟價值和權(quán)利可以轉(zhuǎn)移。

?個人數(shù)據(jù)“可轉(zhuǎn)移性”。根據(jù)對GDPR“處理”的定義分析可得出“個人數(shù)據(jù)”是可以轉(zhuǎn)移的，如“處理是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷毀，無論此操作是否采用自動化的手段”；根據(jù)GDPR第1章一般規(guī)定第1條宗旨與目標(biāo)“1. 本法就與個人數(shù)據(jù)處理相關(guān)的自然人保護及個人數(shù)據(jù)自由流動訂立規(guī)則”中的“個人數(shù)據(jù)自由流動”可得出“個人數(shù)據(jù)”可轉(zhuǎn)移性；根據(jù)“接收者”的定義：“是指接收到被傳遞的個人數(shù)據(jù)的，無論其是否是第三方的，自然人、法人、公共機構(gòu)、行政機關(guān)或其他非法人組織。但是，政府因在歐盟或其成員國法律框架內(nèi)特定調(diào)查接收到個人數(shù)據(jù)的，不得被視為“接收者”；政府處理這些數(shù)據(jù)應(yīng)當(dāng)根據(jù)數(shù)據(jù)處理的目的遵循可適用的數(shù)據(jù)保護規(guī)則?！敝械摹敖邮铡币彩恰皞€人數(shù)據(jù)”的可轉(zhuǎn)移性；

?個人數(shù)據(jù)的“經(jīng)濟價值”，體現(xiàn)在GDPR規(guī)則的宗旨與目標(biāo)上。經(jīng)濟價值就是利益的體現(xiàn)，利益就等于權(quán)利與義務(wù)。GDPR是調(diào)整個人數(shù)據(jù)應(yīng)用所形成的法律關(guān)系的規(guī)范。法律關(guān)系包括主體、客體與內(nèi)容，內(nèi)容就是權(quán)利與義務(wù)。因此個人數(shù)據(jù)具有經(jīng)濟價值。

?（三）個人數(shù)據(jù)權(quán)利的國家主權(quán)屬性

?法律本身就是國家主權(quán)的體現(xiàn)。首先，在歐盟境內(nèi)設(shè)立數(shù)據(jù)控制或處理機構(gòu)，不管其對個人數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內(nèi)，都受GDPR的拘束。此管轄規(guī)則屬于傳統(tǒng)的屬地主義原則，在歐盟內(nèi)設(shè)有機構(gòu)，當(dāng)然應(yīng)受歐盟法的約束。其次，即使在歐盟境內(nèi)沒有設(shè)立數(shù)據(jù)控制或處理機構(gòu)，有兩類數(shù)據(jù)處理行為也受GDPR的約束。一類是向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論是否收費或免費；另一類是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行監(jiān)控的。此管轄規(guī)則實際上確立了GDPR的屬人主義原則，即不管企業(yè)在歐盟內(nèi)有沒有設(shè)立機構(gòu)，只要其對歐盟數(shù)據(jù)主體提供了商品、服務(wù)，或?qū)ζ溥M行了監(jiān)控，就受GDPR的拘束。屬人主義原則的確立，大大擴大了GDPR的管轄范圍。再次，在歐盟內(nèi)沒有設(shè)立機構(gòu)，但數(shù)據(jù)處理行為，依國際公法可適用歐盟成員國法律，受GDPR的拘束。根據(jù)此管轄規(guī)則，歐盟監(jiān)管機構(gòu)既不依據(jù)屬地主義，也不依據(jù)屬人主義，仍然可能依國際公法規(guī)則對數(shù)據(jù)處理行為進行監(jiān)管。第四，GDPR第5節(jié)第23條：“1.聯(lián)盟或成員國的法律規(guī)定數(shù)據(jù)控制者或處理者是主體，可以通過立法措施限制第12條至22條和第34條的權(quán)利與義務(wù)的范圍，以及第5條中與在第12條至22條的權(quán)利義務(wù)相對應(yīng)的條款。這樣一種限制尊重了基本權(quán)利和自由的本質(zhì)，是一種在民主社會必要的、相符合的措施，以此維護：（a）國家安全；（b）防衛(wèi)；（c）公共安全；………”

?個人數(shù)據(jù)權(quán)利歸屬個人數(shù)據(jù)主體

?個人數(shù)據(jù)權(quán)利歸數(shù)據(jù)主體。此權(quán)利屬于絕對權(quán)。此絕對權(quán)主要體現(xiàn)在GDPR的第三章數(shù)據(jù)主體權(quán)利規(guī)則中。

?個人數(shù)據(jù)權(quán)利是無實體財產(chǎn)權(quán)，個人數(shù)據(jù)沒有特定的實體，無色，無味，無質(zhì)量，不占有空間，不具備可感性。個人數(shù)據(jù)如果不借助于一定的載體便無法存在。個人數(shù)據(jù)財產(chǎn)權(quán)的這種特征不是因為有體之物而產(chǎn)生，相反它是依無體之物而產(chǎn)生。因此在占有方面，對個人數(shù)據(jù)的掌握沒有客觀上的物理壟斷性，同樣的個人數(shù)據(jù)可以同時被多個權(quán)利主體掌握；同時，個人數(shù)據(jù)的使用價值和價值在其被支配的過程中沒有損害，某權(quán)利主體通過對個人數(shù)據(jù)的運用或交易獲得利益時，無法構(gòu)成對其他主體通過相同方式獲取直接經(jīng)濟利益的排除。GDPR是以行為規(guī)范實現(xiàn)個人數(shù)據(jù)主體的絕對權(quán)。

?（一）以“同意的要件”實現(xiàn)了“個人數(shù)據(jù)”的“占有”

?第一，GDPR通過“第2章第7條同意的要件”實現(xiàn)了“個人數(shù)據(jù)”的“占有權(quán)”，如：“如處理是基于同意，則控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理他或她的個人數(shù)據(jù)；數(shù)據(jù)主體有權(quán)隨時撤回同意。同意的撤回不應(yīng)影響在撤回前基于同意作出的合法的數(shù)據(jù)處理。在作出同意前，數(shù)據(jù)主體應(yīng)被告知上述權(quán)利。撤回同意應(yīng)與作出同意同樣容易”；第8條關(guān)于信息社會服務(wù)適用于兒童同意的條件：“1. 如適用第6條第1款（a）項，關(guān)于直接向兒童提供信息社會服務(wù)的，對16周歲以上兒童的個人數(shù)據(jù)的處理為合法。兒童未滿16周歲時，處理只有在征得父母同意情形下或父母授權(quán)兒童同意的范圍內(nèi)才合法。如兒童年齡不低于13周歲，則成員國可以通過法律途徑對兒童進行授權(quán)。2. 考慮到現(xiàn)有技術(shù)，控制者應(yīng)當(dāng)作出合理的努力，去核實在此種情況下父母的同意或授權(quán)?！?/p>

?（二）以“數(shù)據(jù)訪問權(quán)”實現(xiàn)“個人數(shù)據(jù)”的“處理”

?GDPR的第15條數(shù)據(jù)訪問權(quán)：“1.數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從管理者處確認關(guān)于該主體的個人數(shù)據(jù)是否正在被處理，以及有權(quán)在該種情況下訪問個人數(shù)據(jù)和以下信息：（a）處理的目的；（b）有關(guān)個人數(shù)據(jù)的類別；（c）個人數(shù)據(jù)已經(jīng)被泄露或者將會被泄露給的接受者或接受者類別，特別是第三國或國際組織的接受者；（d）在可能的情況下，預(yù)想的個人數(shù)據(jù)存儲期間；或者不可能時，用于確定該期間的標(biāo)準(zhǔn)；（e）有權(quán)要求管理者糾正或刪除該個人數(shù)據(jù)或者限制或拒絕處理關(guān)于該數(shù)據(jù)主體的個人數(shù)據(jù)；（f）向監(jiān)管機構(gòu)提出投訴的權(quán)利；（g）在個人數(shù)據(jù)并非由數(shù)據(jù)主體收集的情況下，關(guān)于其來源的任何可用信息；（h）自動化決策，以及涉及到的至少，包括第22條第1款和第4款提到的概要。2.在前述情況下有意義的邏輯方面的信息，和這種處理行為對數(shù)據(jù)主體而言的意義和預(yù)想的后果。如果將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)根據(jù)第46條獲得有關(guān)轉(zhuǎn)讓的適當(dāng)保障的通知。3.控制者應(yīng)提供正在處理的個人數(shù)據(jù)的副本。對于數(shù)據(jù)主體要求的任何進一步的文本，控制者可以根據(jù)管理成本收取合理的費用。如果數(shù)據(jù)主體通過電子方式提出請求，除非數(shù)據(jù)主體另有要求，信息應(yīng)當(dāng)以常用的電子形式提供。4.獲得第3款所指副本的權(quán)利不得對他人的權(quán)利和自由產(chǎn)生不利影響。

?（三）以“修正和刪除”實現(xiàn)“控制”

?GDPR第3章修正和刪除第16條修正權(quán)：“數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)要求控制者無不當(dāng)延誤地修正不準(zhǔn)確個人數(shù)據(jù)?？紤]到處理的目的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)使不完整的個人數(shù)據(jù)完整，包括通過提供補充聲明的方式”；第17條刪除權(quán)（被遺忘權(quán)）：“1.數(shù)據(jù)主體有權(quán)要求控制者無不當(dāng)延誤地刪除有關(guān)其的個人數(shù)據(jù)，并且在下列理由之一的情況下，控制者有義務(wù)無延誤地刪除個人數(shù)據(jù)：（a）就收集或以其他方式處理個人數(shù)據(jù)的目的而言，該個人數(shù)據(jù)已經(jīng)是不必要的；（b）數(shù)據(jù)主體根據(jù)第6條第1款（a）項或第9條第2款（a）項撤回同意，并且沒有其他有關(guān)（數(shù)據(jù)）處理的法律依據(jù)的情況時；（c）數(shù)據(jù)主體根據(jù)第21條第1款反對處理，并且沒有有關(guān)（數(shù)據(jù)）處理的首要合法依據(jù)，或者數(shù)據(jù)主體根據(jù)第21條第2款反對處理；（d）個人數(shù)據(jù)被非法處理；（e）為遵守控制者所受制的聯(lián)盟或成員國法律規(guī)定的法定義務(wù)，個人數(shù)據(jù)必須被刪除；（f）個人數(shù)據(jù)是根據(jù)第8條第1款所提及的信息社會服務(wù)的提供而收集的。2.如果控制者已將個人數(shù)據(jù)公開，并且根據(jù)第1款有義務(wù)刪除這些個人數(shù)據(jù)，控制者在考慮現(xiàn)有技術(shù)及實施成本后，應(yīng)當(dāng)采取包括技術(shù)措施在內(nèi)的合理步驟，通知正在處理個人數(shù)據(jù)的控制者，數(shù)據(jù)主體已經(jīng)要求這些控制者刪除該個人數(shù)據(jù)的任何鏈接、副本或復(fù)制件。3.當(dāng)（數(shù)據(jù)）處理對于以下情形而言是必要的時，第1款和第2款不應(yīng)當(dāng)被適用：（a）為了行使言論和信息自由的權(quán)利；（b）為了遵守需要由控制者所受制的聯(lián)盟或成員國法律處理的法定義務(wù)，或為了公共利益或在行使被授予控制者的官方權(quán)限時執(zhí)行任務(wù)；（c）根據(jù)第9條第2款（h）、（i）項以及第9條第3款，為了公共衛(wèi)生領(lǐng)域的公共利益的原因；（d）根據(jù)第89條第1款，為了公共利益的存檔目的、科學(xué)或歷史研究目的或統(tǒng)計目的，只要第1款所述的權(quán)利很可能難以實現(xiàn)或者很可能嚴重損害該處理目標(biāo)的實現(xiàn)；（e）為了設(shè)立、行使或捍衛(wèi)合法權(quán)利。

?（四）“以限制處理權(quán)”實現(xiàn)“使用”

?GDPR第18條限制處理權(quán)：“1.在下列情況之一，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)限制控制者處理（數(shù)據(jù)）：（a）數(shù)據(jù)主體對個人數(shù)據(jù)的準(zhǔn)確性提出爭議，且允許控制者在一定期間內(nèi)核實個人數(shù)據(jù)的準(zhǔn)確性；（b）該處理是非法的，并且數(shù)據(jù)主體反對刪除該個人數(shù)據(jù)，要求限制使用；（c）控制者基于該處理目的不再需要該個人數(shù)據(jù)，但該個人數(shù)據(jù)為數(shù)據(jù)主體設(shè)立、行使或捍衛(wèi)合法權(quán)利而必須；（d）數(shù)據(jù)主體在核實控制者的法律依據(jù)是否優(yōu)先于數(shù)據(jù)主體的法律依據(jù)之前已根據(jù)第21條第1款進行處理。2.如果處理（行為）根據(jù)第1款受到限制，除儲存之外，這些個人數(shù)據(jù)只應(yīng)在數(shù)據(jù)主體同意的情況下，或為設(shè)立、行使或捍衛(wèi)合法權(quán)利，或為保護其他自然人或法人的權(quán)利，或為了聯(lián)盟或成員國的重要公共利益的原因被處理。3.根據(jù)第1款有權(quán)限制處理（數(shù)據(jù)）的數(shù)據(jù)主體應(yīng)當(dāng)在處理限制解除之前收到控制者的通知。

?（五）以“修正或刪除個人數(shù)據(jù)或限制處理的通知義務(wù)”保證“絕對權(quán)”的實現(xiàn)

?GDPR第19條關(guān)于修正或刪除個人數(shù)據(jù)或限制處理的通知義務(wù)：“除非被證明不可能完成或者包含不成比例的工作量，控制者應(yīng)當(dāng)將根據(jù)第16條、第17條第1款以及第18條對個人數(shù)據(jù)進行的任何糾正、刪除或者處理限制，傳達給已向其披露個人數(shù)據(jù)的接收者。如果數(shù)據(jù)主體請求，控制者應(yīng)當(dāng)通知數(shù)據(jù)主體這些接收者。

?（六）“以反對權(quán)”保證“絕對權(quán)”的實現(xiàn)

?GDPR第20條反對權(quán)：“1.數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化，常用和機器可讀格式接收他或她提供給控制者的個人資料，若滿足以下條件，有權(quán)將這些數(shù)據(jù)無障礙地傳送給另一個控制者：（a）處理是根據(jù)第6（1）條（a）項或第9（2）條（a）項或（6）（b）項合同的同意；以及（b）數(shù)據(jù)處理以自動方式進行。2.在根據(jù)第1款行使其數(shù)據(jù)可移植性的權(quán)利時，在技術(shù)上可行的前提下，數(shù)據(jù)主體有權(quán)將個人數(shù)據(jù)從一個控制者向另一個控制者進行直接傳輸。3.本條第1款所述權(quán)利的行使不能違背第17條的規(guī)定。該權(quán)利不適用于為履行公共利益或行使正式授權(quán)而開展任務(wù)所必需的處理控制4.第1款所述的權(quán)利不得對他人的權(quán)利和自由產(chǎn)生不利影響”。

?（七）以“拒絕權(quán)和自主決定權(quán)”保證“絕對權(quán)”的實現(xiàn)

?GDPR第4節(jié)拒絕權(quán)和自主決定權(quán)第21條拒絕權(quán)：“1.在關(guān)涉其利益的特定情形下，在任何時間處理涉及第6條第1款第（e）或第（f）項規(guī)定的個人數(shù)據(jù)，和基于這些條款的分析，數(shù)據(jù)主體享有拒絕權(quán)?？刂普卟荒芴幚韨€人數(shù)據(jù)，除非控制者能夠證明不顧數(shù)據(jù)主體的利益、權(quán)利和自由處理數(shù)據(jù)或者建立、行使或維護這種法律權(quán)利具有令人信服的正當(dāng)化理由。2. 個人數(shù)據(jù)因為直接營銷被處理的，數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)利拒絕在任何時間為商業(yè)目處理與其有關(guān)的個人數(shù)據(jù)，這種商業(yè)目的包括分析達到有關(guān)這種直接營銷的程度。3. 數(shù)據(jù)主體拒絕為直接的商業(yè)目的處理數(shù)據(jù)的，個人數(shù)據(jù)不應(yīng)該因此種目的而處理。4. 至少應(yīng)在與數(shù)據(jù)主體第一次溝通時，就應(yīng)該明確地提起數(shù)據(jù)主體注意在第1款和第2款中指代的權(quán)利，這些信息應(yīng)該被清晰地呈現(xiàn)且與任何其他的信息相區(qū)分。5. 在信息社會服務(wù)使用的背景下，即使有歐共體2002年的指令，數(shù)據(jù)主體也可以通過使用技術(shù)規(guī)范的自動化方式行使其的拒絕權(quán)。6. 根據(jù)第89條第1款規(guī)定個人數(shù)據(jù)因科學(xué)或歷史研究或統(tǒng)計的目的被處理的，數(shù)據(jù)主體對與其有關(guān)的數(shù)據(jù)，有權(quán)利拒絕對其個人數(shù)據(jù)進行處理，除非這種處理是出于公共利益的需要。”；第22條自主化的個人決策，包括分析：“1. 數(shù)據(jù)主體有權(quán)不受僅僅依靠自動化處理（包括分析）的決定的限制，這會產(chǎn)生與其有關(guān)或僅僅影響其的法律后果。2. 在以下情形下，第1款不能適用：

?（a）對于數(shù)據(jù)主體和一個數(shù)據(jù)控制者之間合同的建立和履行是必要的。（b）這個控制者是數(shù)據(jù)主體，以及確立保護數(shù)據(jù)主體權(quán)利、自由和正當(dāng)化利益的適當(dāng)措施是聯(lián)盟或成員國的法律所規(guī)定的；或者（c）基于數(shù)據(jù)主體的明確同意。3. 在涉及到第2款第（a）和（c）項的情況下，數(shù)據(jù)控制者應(yīng)當(dāng)實施適當(dāng)?shù)拇胧┍Ｗo數(shù)據(jù)主體的權(quán)利、自由和正當(dāng)化利益，至少獲得對控制者部分的人為干預(yù)權(quán)，表達其觀點和決定權(quán)。4. 在第2款涉及的決定不應(yīng)當(dāng)基于第9條第1款提及的個人數(shù)據(jù)的進行特殊分類，除非能夠適用第9條第2款的（a）或（g）項和確立適當(dāng)?shù)拇胧┚S護數(shù)據(jù)主體的權(quán)利、自由和正當(dāng)化利益”。

?（作者：李愛君，中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院院長、教授、博士生導(dǎo)師，中國互聯(lián)網(wǎng)協(xié)會個人信息保護專業(yè)委員會副主任委員）

責(zé)任編輯：陳近梅