美歐數據權利歸屬的立法現狀及啟示

袁 媛

北京郵電大學人文學院，北京 100876

一、當前美歐國家立法現狀

目前，數據權利保護的立法模式主要分為體系式立法和分散式立法。采取體系式立法的典型代表就是大陸法系國家和地區，包括英國、德國等歐洲國家以及韓國、新加坡和我國港澳臺地區等，通過成文法將個人信息保護的法律規范加以固定。其中，德國確立的“個人信息自決權”，雖未直接回答“個人何以如此控制的權利基礎”，但非常強調個人對其信息的控制手段；同時，歐盟也在法律體系中創造性地設立多種信息權利，完善和細化了個人信息權利，賦予數據主體對其個人信息的實際控制能力。除了傳統的知情同意權，1995年的《歐盟關于個人數據處理中的個人保護和數據自由流動的指令》主要賦予了公民的查閱權(Right to Access)、更正權(Right to Correct)、反對權(Right to object)和不受制于自動化決定的權利(Right to not be subject to certain automated decisions)等權利。2018年5月正式生效的《關于個人信息處理保護及個人信息自由傳輸的條例》(General Data Protection Regulation，GDPR)(以下簡稱《歐盟條例》)新增被遺忘權(Right to be Forgotten)和數據可攜帶權(Right to Data Portability)。其中數據可攜帶權有利于數據主體控制其個人信息在不同的運營商間自由移轉，一定程度上可以減少壟斷，促進市場良性競爭，其法律基礎體現了個人信息自決權的特點。

當歐洲和亞太地區國家多采取體系式立法保護個人信息時，美國則屬于典型的分散式立法國家，通過將個人信息納入大隱私權概念進行法律保護，在公法領域以成文法建立了政府數據保護標準，在司法領域對信息收集、利用和控制主體設置數據保護義務并限制其收集和使用行為，并主要依賴于政府強制執行和當事人提起民事訴訟等事后救濟手段，具有相對的靈活性和非規范性。《美國聯邦貿易委員會正當通信通則》中形成了五項核心的隱私保護原則，其中“數據的完整性和安全性”是被廣泛接受的通則，不僅要求數據收集者采取合理手段來保證數據完整性，如不使用信譽不良的數據源，同時要求其利用管理和技術兩方面的措施，以防止數據丟失以及未經授權的訪問、破壞、使用或披露；而“選擇/同意”原則中的“選擇”涉及信息的次級使用，例如企業是否能夠向第三方主體轉讓信息的問題，就應當由用戶做出決定。這體現出美國對于提高公民對個人信息控制力的重視，尤其當部分數據涉及宗教、種族、膚色、身體健康狀況、國籍、基因等敏感因素時，如果不能保障公民對于個人信息的控制能力，則會產生大數據時代的歧視不公等一系列問題，可見在這一點上聯邦貿易委員會的主張實質上和歐盟基本一致。

二、完善我國數據權利歸屬制度的法律建議

(一)明確價值取向

在構建我國個人信息保護制度時，應當注重法的價值。既需要使得數據控制者在特定情形下協助國家司法，保障國家公權力得以實現；又要注重規范數據控制者之間對于數據流轉的審查權限，減少不正當競爭，滿足促進大數據技術和人工智能技術發展的需要。凡屬權利必有界限，數據權利作為一種絕對權，也不能夠凌駕于公權力的實現和社會發展的需要之上，但如前所述，當前主要國家和地區的數據權利相關立法出于“保護人權、賦予用戶更多的自主性權利和自由”的目的，紛紛在法律制度中增加了諸多用戶可選擇的自決權，強化個人信息自決權已經成為一種明顯的立法發展趨勢。可見我國立法更應當從數據權利歸屬于數據主體的角度出發進行制度設計，這不僅符合自然法中“天賦人權、人人平等、公正至上”的思想要旨、滿足一般人的精神需要和發展需要，同時與當今世界保護個人信息立法的發展趨勢相一致。

(二)建立跨平臺數據共享機制

鑒于實際需要，我國可以嘗試通過建立統一跨平臺數據共享機制，以便進行企業間用戶數據流轉，同時應對因數據控制者人為原因導致的不正當競爭等問題。相對于由數據控制者設定向第三方進行數據轉移的許可條件，該數據共享機制可以更好地進行許可審查，并相對客觀中立地保障數據主體在各環節中行使自身權利。建議將地域或者行業作為劃分標準，負責對所屬范圍內的數據使用進行管理和規范，這主要是基于以下兩個方面的考慮：一方面，設定授權條件要求高。就單個數據控制者而言，無法很好地對請求數據接入的第三方主體的資質進行核查，非具備相關技能和特殊知識的人員不能勝任。因此建立數據共享機制可以強化技術保障，確保流轉過程中的數據安全；另一方面，確保授權條件的客觀性。確保數據權利歸屬于數據主體的關鍵就是保障用戶知情權，建立數據共享機制可保證在一定程度少減少數據控制者的隱瞞干預。同時，能夠便利有需要的企業獲取相關原始數據進行進一步技術研發，這對于降低企業間的不正當競爭、促進數據經濟發展具有重要意義。但不可否認這種跨平臺數據共享機制也存在一定弊端，主要是在數據安全保護方面帶來的壓力。海量的數據存儲面臨著更高的數據泄露風險，且一旦泄露將會對數據主體和數據控制者造成不可估量的影響，因此，在具體運行過程中需要格外注意。

(三)完善內部監管體系

此外我國可以借鑒《歐盟條例》中規定的數據保護官制度，通過建立第三方監管體系，保障數據權利歸屬于數據主體。數據保護官的主要作用是確保他所在的機構，在處理員工、客戶、供應商或任何其他個人(也稱為數據對象)的個人數據時，應當符合數據保護規則。數據保護官最主要的職權就是對數據控制者或者處理者正在進行或將要進行的數據收集、處理及分析等活動提出合理化建議，保障公私主體的數據處理合規，切實有效地實現保障數據權利歸屬于數據主體的制度價值。雖然，我國《個人信息安全規范》中存在類似規定，即在“明確責任部門與人員”方面要求，企業需明確由“法定代表人或主要負責人對個人信息安全負全面領導責任”。①但該規范僅為國家推薦性標準，不具備法律的強制性效力，立法位階偏低。因此我國仍需應當進一步完善數據保護的內部監管機制，構建結構化的責任體系。

[ 注 釋 ]

①信息安全技術個人信息安全規范. http： // c. gb 688. cn/ bzgk/ gb/ showGb ? type = online & hcno = 4FFAA51 D63BA 21B9 EE40C51DD3 CC40BE，2018-11-28.