對(duì)歐盟GDPR反對(duì)權(quán)的本土主義反思與建議

刁勝先　徐云燕

摘? ? 要：個(gè)人數(shù)據(jù)反對(duì)權(quán)是GDPR中的重要權(quán)利，在實(shí)踐中存在案件數(shù)量較少、適用情形比較單一、獨(dú)立適用反對(duì)權(quán)條款比例較低等情況。對(duì)此，在對(duì)其界定、要素、抗辯情形、行使與救濟(jì)途徑等進(jìn)行分析的基礎(chǔ)上，結(jié)合我國(guó)立法情況，有必要從本土化思維轉(zhuǎn)向本土主義反思和探討。對(duì)于我國(guó)的“反對(duì)權(quán)”，不主張將GDPR反對(duì)權(quán)本土化以設(shè)為獨(dú)立的個(gè)人信息權(quán)利類型，而建議：明確其不是獨(dú)立的權(quán)利種類而是權(quán)利行使方式;明確“反對(duì)”是信息自決權(quán)的自力救濟(jì)方式，以阻止個(gè)人信息濫用;明確反對(duì)行為的客體既有個(gè)人信息處理過程也有處理結(jié)果及其運(yùn)用;設(shè)置多層融匯的規(guī)范以實(shí)現(xiàn)“基本原則—權(quán)利義務(wù)規(guī)則—自力公力救濟(jì)—法律責(zé)任”的邏輯銜接。

關(guān)鍵詞：反對(duì)權(quán);GDPR;本土主義;反思;權(quán)利義務(wù)規(guī)則

中圖分類號(hào)：D 913? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? 文章編號(hào)：2096-9783（2021）05-0045-10

引 言

歐盟已實(shí)施的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）不僅對(duì)個(gè)人數(shù)據(jù)1等相關(guān)概念進(jìn)行規(guī)定和解釋，還在加強(qiáng)信息主體對(duì)自己個(gè)人數(shù)據(jù)自決自控的理念下構(gòu)建了數(shù)據(jù)主體的權(quán)利[1]。其中，反對(duì)權(quán)就是重要的一項(xiàng)內(nèi)容，并與訪問權(quán)、數(shù)據(jù)可攜帶權(quán)、刪除權(quán)、限制處理權(quán)等一起組成GDPR中數(shù)據(jù)主體的權(quán)利體系。我國(guó)《民法典》第1037條規(guī)定個(gè)人信息應(yīng)受保護(hù)，內(nèi)容包括查閱權(quán)、復(fù)制權(quán)、異議并請(qǐng)求及時(shí)更正等采取必要措施權(quán)、刪除權(quán)，但并未規(guī)定反對(duì)權(quán)。鑒于歐盟GDPR和我國(guó)《民法典》同時(shí)具有的立法地位與社會(huì)影響，對(duì)此差異，有必要從本土主義視角思考和研究個(gè)人信息反對(duì)權(quán)，以為我國(guó)后續(xù)的個(gè)人信息法律發(fā)展提供參考。

本土主義不同于本土化，因?yàn)槠涑霭l(fā)點(diǎn)與本位思想不同。個(gè)人信息保護(hù)的立法上，歐美一直在領(lǐng)跑世界，在歐盟1995年頒布的《數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱《95指令》）基礎(chǔ)上升級(jí)的GDPR對(duì)世界的影響尤為重要。我國(guó)的一些研究和立法對(duì)此難免有借鑒和本土化思考[2]。此處“本土化”思維，是以歐美立法為本位，本土化的權(quán)利既來源于該法律權(quán)利譜系，既去向上又力求能銜接于該權(quán)利譜系的坐標(biāo)而與之接軌。本土主義則立足于本土，從自身的立法變遷和社會(huì)需求出發(fā)，哪怕是借鑒和吸收外在的經(jīng)驗(yàn)，最終也是服務(wù)于自己的發(fā)展，而不刻意去迎合外在的坐標(biāo)體系。可見，個(gè)人信息權(quán)利的“本土化”思維下，我國(guó)的立法難免總是在跟跑，但是“本土主義”視角下，我們則可能會(huì)領(lǐng)跑，或者堅(jiān)持自主跑。比如在個(gè)人信息反對(duì)權(quán)上，我國(guó)《民法典》并未跟跑，而是基于本土主義的考量，并未將其作為權(quán)益內(nèi)容加以確定。但是，這是否意味著我國(guó)就沒有關(guān)于反對(duì)權(quán)的立法內(nèi)容呢？或者我國(guó)就徹底拋棄反對(duì)權(quán)呢？其實(shí)不然，我國(guó)只是脫離了移植、本土化等思維慣性，而是基于自身的國(guó)情與需求，表現(xiàn)出本土主義的中國(guó)特色的自主考量與規(guī)范選擇。

一、GDPR個(gè)人數(shù)據(jù)反對(duì)權(quán)概析

（一）反對(duì)權(quán)的界定

反對(duì)權(quán)是指數(shù)據(jù)控制者或處理者在對(duì)個(gè)人數(shù)據(jù)進(jìn)行某些特定處理時(shí)，該個(gè)人數(shù)據(jù)主體基于對(duì)自己個(gè)人數(shù)據(jù)的保護(hù)，可以隨時(shí)提出反對(duì)的權(quán)利。

設(shè)立反對(duì)權(quán)的目的在于給予數(shù)據(jù)主體控制權(quán)，肯定和加強(qiáng)數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的支配權(quán)，是一項(xiàng)高度人身性權(quán)利。目前信息技術(shù)的進(jìn)步，使個(gè)人數(shù)據(jù)被廣泛而輕易地收集、提供、利用、儲(chǔ)存和傳輸?shù)龋瑫r(shí)催生出“信息繭房”[3]2、大數(shù)據(jù)殺熟等現(xiàn)象，信息主體對(duì)個(gè)人數(shù)據(jù)的失控有增無減。正確地實(shí)施反對(duì)權(quán)，可促進(jìn)個(gè)人數(shù)據(jù)自決理念和權(quán)益保障的落實(shí)。

1.反對(duì)權(quán)與反自動(dòng)化決策權(quán)。反自動(dòng)化決策權(quán)是指數(shù)據(jù)主體有權(quán)反對(duì)完全依靠自動(dòng)化處理（包括用戶畫像）做出的對(duì)數(shù)據(jù)主體產(chǎn)生嚴(yán)重影響的決策。進(jìn)一步講，反自動(dòng)化決策權(quán)是反對(duì)權(quán)行使的一種特殊情況，二者共同構(gòu)成GDPR第三章的第四節(jié)。第一，從權(quán)利性質(zhì)與設(shè)立目的看，兩者都屬于數(shù)據(jù)主體的控制權(quán)，是一種私權(quán)利，都為保障個(gè)人信息利益不受損害而設(shè)立。第二，被反對(duì)的客體范圍上，反對(duì)權(quán)的反對(duì)范圍包括自動(dòng)化與非自動(dòng)化處理，而反自動(dòng)化決策權(quán)僅針對(duì)為完全依靠自動(dòng)化處理（包括用戶畫像）做出的對(duì)數(shù)據(jù)主體產(chǎn)生重大影響的決策[4]，可見前者包含后者[5]。第三，行使方式上，兩者都通過反對(duì)的意思表示來主張權(quán)利。

2.反對(duì)權(quán)與人格權(quán)。根據(jù)GDPR和我國(guó)《民法典》的界定，個(gè)人信息的實(shí)質(zhì)要件是“識(shí)別特定自然人”，帶有很強(qiáng)的人身屬性。與此同時(shí)，數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，使個(gè)人數(shù)據(jù)展現(xiàn)出很強(qiáng)的財(cái)產(chǎn)屬性，可以作為一種財(cái)產(chǎn)加以利用，因而兼有人身與財(cái)產(chǎn)雙重價(jià)值。反對(duì)權(quán)的屬性與個(gè)人信息權(quán)一致，對(duì)此理論界存在“人格權(quán)說”[6]“財(cái)產(chǎn)權(quán)說”[7]“人格權(quán)與財(cái)產(chǎn)權(quán)雙重屬性說”[8]三種觀點(diǎn)，三種學(xué)說以個(gè)人信息兼具人格利益與財(cái)產(chǎn)利益雙重屬性為共識(shí)基礎(chǔ)[9]。那么，在“人格權(quán)與財(cái)產(chǎn)權(quán)”二元體系下，個(gè)人信息權(quán)如何歸屬呢？其實(shí)，個(gè)人信息雖然兼具雙重利益的價(jià)值屬性，但是兩種利益價(jià)值的內(nèi)在關(guān)系并未被大家認(rèn)識(shí)，進(jìn)而在權(quán)利歸屬上難以抉擇。個(gè)人信息的兩種價(jià)值中，人格利益是第一位的、原始性的價(jià)值，財(cái)產(chǎn)利益是第二位的、依附性的價(jià)值，沒有“識(shí)別特定自然人”這一人格價(jià)值，個(gè)人數(shù)據(jù)就難有財(cái)產(chǎn)價(jià)值，而只能作為不能識(shí)別的或匿名化的非個(gè)人數(shù)據(jù)，其價(jià)值范疇已與個(gè)人數(shù)據(jù)無關(guān)。因此，反對(duì)權(quán)針對(duì)個(gè)人數(shù)據(jù)的處理進(jìn)行反對(duì)，應(yīng)歸入人格權(quán)，這樣既表明個(gè)人信息兩種價(jià)值的關(guān)系，又不排斥對(duì)個(gè)人信息上財(cái)產(chǎn)利益的保護(hù)。我國(guó)《民法典》人格權(quán)編也體現(xiàn)了這種思想與路徑，其突出亮點(diǎn)之一就是保護(hù)人格權(quán)中的財(cái)產(chǎn)利益3。

（二）GDPR反對(duì)權(quán)的要素

1.反對(duì)權(quán)的權(quán)利主體是個(gè)人信息主體，簡(jiǎn)稱信息主體。GDPR序言第1條第（2）款和第14條規(guī)定GDPR保護(hù)的主體是自然人，排除了企業(yè)、法人與死者。其主要原因在于個(gè)人信息權(quán)主要保護(hù)個(gè)人人格利益，企業(yè)、法人和死者并無私生活，也無精神痛苦。如果企業(yè)與法人信息被非法公開，可通過商業(yè)秘密或財(cái)產(chǎn)權(quán)途徑進(jìn)行救濟(jì)[10]。同時(shí)， GDPR也對(duì)兒童進(jìn)行特別規(guī)定：兒童處理自己的數(shù)據(jù)之前需由父母做一個(gè)提前判斷4。

2.反對(duì)權(quán)的義務(wù)主體是不特定的多數(shù)人，通常表現(xiàn)為個(gè)人信息控制者或處理者，可為單獨(dú)或共同處理者，通常有自然人、法人、公共機(jī)構(gòu)、代理機(jī)構(gòu)和其他組織。“數(shù)據(jù)控制者”的概念起源于歐盟的《95指令》，之后便被廣泛使用。但是，隨著大數(shù)據(jù)時(shí)代的到來，GDPR界定的控制者與處理者的區(qū)分較難把握，而實(shí)踐中控制與處理也通常聚合在同一主體上[11]5。我國(guó)《民法典》已拋棄“控制者”這一稱謂，將進(jìn)行個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等行為的主體，統(tǒng)一稱為個(gè)人信息處理者，該處理者對(duì)信息主體行使查閱權(quán)、復(fù)制權(quán)、異議并更正等必要措施采取權(quán)和刪除權(quán)時(shí)具有配合義務(wù)，對(duì)個(gè)人信息安全承擔(dān)“安全保障義務(wù)”。

3.反對(duì)權(quán)客體是特定數(shù)據(jù)處理行為與基于自動(dòng)化處理的決策行為6。與一般反對(duì)權(quán)不同，反自動(dòng)化決策權(quán)的客體不是自動(dòng)化處理行為本身，而是基于該自動(dòng)化處理而作出的決策行為;該決策行為是對(duì)自動(dòng)化處理結(jié)果的一種應(yīng)用，并且該應(yīng)用會(huì)對(duì)數(shù)據(jù)主體產(chǎn)生法律影響或類似嚴(yán)重影響。

4.反對(duì)權(quán)內(nèi)容是個(gè)人數(shù)據(jù)主體對(duì)特定處理行為可以隨時(shí)提出反對(duì)。GDPR第4條第2款規(guī)定的“處理”7概念繼承了《95指令》中第2條第b項(xiàng)的“處理”概念，包括自動(dòng)化處理和手動(dòng)處理[12]。可見，反對(duì)權(quán)不是單純地保護(hù)數(shù)據(jù)，而是保護(hù)整個(gè)數(shù)據(jù)的處理過程。并且也規(guī)定了“同意”的標(biāo)準(zhǔn)，但此標(biāo)準(zhǔn)存在“同意失靈”與“同意過度”的雙重?fù)?dān)憂[13]。根據(jù)GDPR第21-22條，反對(duì)權(quán)的內(nèi)容有如下幾種情形：

第一種，基于事先合法、但事中事后可隨時(shí)提出的反對(duì)。第6條第1款第（e）（f）項(xiàng)規(guī)定了合法處理事項(xiàng)8，但第21條又將其列為可以隨時(shí)反對(duì)的處理，這可以防止基于法定許可的合法性濫用凌駕于基于數(shù)據(jù)主體直接同意的合法性之上，所以授予數(shù)據(jù)主體以事中事后的反對(duì)權(quán)來修正與平衡。

第二種，基于事先未同意的反對(duì)。對(duì)于為了直接營(yíng)銷目的而處理相關(guān)個(gè)人數(shù)據(jù)和此類直接營(yíng)銷相關(guān)的用戶畫像，數(shù)據(jù)主體有權(quán)隨時(shí)反對(duì)。該類處理行為不屬于GDPR第6條“處理的合法性”所列舉范圍，其合法性取決于數(shù)據(jù)主體的同意。所以，數(shù)據(jù)主體事先未同意的該類處理，當(dāng)然可以隨時(shí)反對(duì)。

第三種，基于公共利益非必要的特定情形下的科學(xué)、歷史研究或統(tǒng)計(jì)目的的反對(duì)9。根據(jù)第21條，除非處理對(duì)于實(shí)現(xiàn)公共利益的某項(xiàng)任務(wù)是必要的，在防護(hù)措施欠缺、匿名化等去識(shí)別的處理方式未優(yōu)先或未被當(dāng)然采取等特定情形下，數(shù)據(jù)主體有權(quán)反對(duì)處理關(guān)乎其權(quán)利自由的個(gè)人數(shù)據(jù)。

第四種，對(duì)自動(dòng)化決策的反對(duì)，即反對(duì)完全依靠自動(dòng)化處理—包括用戶畫像—對(duì)數(shù)據(jù)主體做出具有法律影響或類似嚴(yán)重影響的決策。

（三）針對(duì)反對(duì)權(quán)的抗辯情形

為了利益平衡，兼顧權(quán)益保護(hù)與信息自由，在GDPR對(duì)反對(duì)權(quán)的設(shè)計(jì)中，數(shù)據(jù)主體、數(shù)據(jù)控制者或第三人利益、公共利益等處于纏繞博弈的狀態(tài)。因此，GDPR確立反對(duì)權(quán)的同時(shí)，也對(duì)該權(quán)利進(jìn)行限制，規(guī)定了抗辯情形，具體如下：

1.控制者成功履行正當(dāng)性自證義務(wù)。根據(jù)第21條第1款，針對(duì)反對(duì)權(quán)的第一種權(quán)利內(nèi)容，控制者證明自己具有壓倒性的正當(dāng)理由而需要進(jìn)行處理，或者處理是為了提起、行使或辯護(hù)法律性主張，那么，反對(duì)權(quán)被限制，以防止數(shù)據(jù)主體反對(duì)權(quán)的過界與濫用。但是，該處何為“壓倒性正當(dāng)理由”，卻不見明確說明，太過模糊，這為實(shí)踐操作留下了困惑和彈性空間。

因此，針對(duì)該種反對(duì)與限制反對(duì)的客體，相關(guān)主體的權(quán)益博弈如表1：

2.對(duì)反對(duì)權(quán)的第三種行使情形，如果處理對(duì)于實(shí)現(xiàn)公共利益的某項(xiàng)任務(wù)是必要的，則反對(duì)權(quán)可被抗辯。

3.對(duì)于反對(duì)權(quán)的第四種特殊情形，其適用例外有：（1）決策是合同簽訂或履行所必要;（2）決策由歐盟或成員國(guó)法律所授權(quán)，控制者是決策主體且已經(jīng)制定恰當(dāng)措施保證數(shù)據(jù)主體權(quán)益;（3）決策建立在數(shù)據(jù)主體明確同意基礎(chǔ)上。對(duì)該三種例外情形，數(shù)據(jù)控制者可以實(shí)行自動(dòng)化決策，但都應(yīng)承擔(dān)采取適當(dāng)措施以保障主體權(quán)益的義務(wù)。

該（1）（2）（3）三種例外所規(guī)定的決策的基礎(chǔ)不適用于第9（1）條所規(guī)定的特定類型的個(gè)人數(shù)據(jù)，即對(duì)敏感數(shù)據(jù)應(yīng)當(dāng)禁止處理。換句話，禁止處理的敏感信息，哪怕基于合同的必要、法律授權(quán)、明確同意等，都可以對(duì)其自動(dòng)化決策加以反對(duì)。但是，禁止處理的情形只要具有第9（2）條（a）點(diǎn)或（g）點(diǎn)規(guī)定的條件之一，并且已經(jīng)采取了保護(hù)數(shù)據(jù)主體權(quán)利、自由與正當(dāng)利益的措施，則不再禁止處理。

（四）反對(duì)權(quán)的行使與救濟(jì)

1.向義務(wù)主體行使反對(duì)權(quán)。一般而言，數(shù)據(jù)主體可直接向數(shù)據(jù)控制者等義務(wù)主體發(fā)出反對(duì)的意思表示以行使反對(duì)權(quán)。根據(jù)GDPR第12條第3款、第4款，一般情況下，數(shù)據(jù)控制者在收到請(qǐng)求起不超過一個(gè)月內(nèi)采取行動(dòng);當(dāng)請(qǐng)求內(nèi)容較為復(fù)雜時(shí)，可再延長(zhǎng)兩個(gè)月。若未采取行動(dòng)，也應(yīng)于1個(gè)月內(nèi)將原因通知數(shù)據(jù)主體。

2.救濟(jì)上，GDPR規(guī)定了不同情形與方式。首先，可向監(jiān)管機(jī)構(gòu)申訴，即數(shù)據(jù)主體主張權(quán)利后若數(shù)據(jù)控制者或處理者未在合理時(shí)間內(nèi)實(shí)施有效措施，每個(gè)數(shù)據(jù)主體在不影響任何其他行政或司法救濟(jì)前提下有權(quán)向監(jiān)管機(jī)構(gòu)進(jìn)行申訴。其次，可向法院尋求司法救濟(jì)，這包括針對(duì)監(jiān)管機(jī)構(gòu)主張司法救濟(jì)和針對(duì)控制者或處理者主張的司法救濟(jì)。再次，可請(qǐng)求損害賠償。

3.監(jiān)管上，監(jiān)管機(jī)構(gòu)對(duì)反對(duì)權(quán)義務(wù)主體可進(jìn)行行政處罰，包括罰款和矯正性權(quán)力的行使。其中，GDPR第83條要求監(jiān)管機(jī)構(gòu)進(jìn)行的罰款應(yīng)當(dāng)是有效、成比例和勸誡性的，并列巨規(guī)定行政處罰應(yīng)充分考慮的11種因素，其中至少有兩項(xiàng)與反對(duì)權(quán)有關(guān)：（1）違反處理的基本原則，比如違反同意的條件，這也是反對(duì)權(quán)行使的一種情形;（2）違反第12條至22條規(guī)定的數(shù)據(jù)主體的權(quán)利，其中第21-22條即是反對(duì)權(quán)的內(nèi)容。

（五）GDPR反對(duì)權(quán)的實(shí)證考察

GDPR實(shí)施以來，截止到2019年3月，來自27個(gè)歐洲經(jīng)濟(jì)區(qū)的數(shù)據(jù)保護(hù)機(jī)構(gòu)的統(tǒng)計(jì)數(shù)據(jù)顯示，共上報(bào)281 088例案件[14];截止到2021年4月1日，遭受罰款的案例共有294件[15]10。其中，涉及GDPR第21條反對(duì)權(quán)的處罰為24件，以此為基礎(chǔ)進(jìn)行實(shí)證考察和分析，可得出如下結(jié)論：

（1）反對(duì)權(quán)罰款案件數(shù)量較少，但罰款總金額較高。從2018年7月至2021年4月共罰款案例294件，罰款金額488 876 268歐元，其中，以GDPR第21條進(jìn)行懲處的數(shù)量有24件，僅占總數(shù)的8.1%，但罰款金額54 825 478歐元，占罰款總金額的10.9%。

（2）處罰的反對(duì)權(quán)侵權(quán)情形以直接營(yíng)銷目的為主。雖然GDPR規(guī)定反對(duì)權(quán)行使有四種情形，但是現(xiàn)有24件中16件案例，均是對(duì)用于直接營(yíng)銷目的處理的反對(duì)。由此可見，反對(duì)權(quán)行使的其他三種情形，要么不常發(fā)生，要么發(fā)生后由于容易被義務(wù)主體限制和抗辯，因而較少出現(xiàn)。

（3）適用反對(duì)權(quán)處罰的國(guó)家較少且較為集中。截止到2021年4月1日，歐盟27個(gè)成員國(guó)中，僅7個(gè)國(guó)家對(duì)觸犯反對(duì)權(quán)的數(shù)據(jù)持有者進(jìn)行了處罰。其中羅馬尼亞2例、西班牙8例、意大利3例、法國(guó)3例、希臘2例、德國(guó)1例、比利時(shí)5例。

（4）同時(shí)依據(jù)其他條款一并處罰的較多。在處罰的24例案例中，只有西班牙2020年7月2日的兩例和2020年7月31日的案例是單獨(dú)根據(jù)GDPR第21條給予處罰的，其余的同時(shí)觸犯其他條款，其中同時(shí)依據(jù)第7條的12次，第6條11次，第5條9次，第15條11次，第24條5次，第17條、第32條、第23條、第48條各3次，第13條、第14條、第16條與第25條、第28條各2次，第11條、第12條、第31條、第33條各1次。

（六）小結(jié)

綜上，GDPR在立法上明確確立了個(gè)人數(shù)據(jù)反對(duì)權(quán)，并對(duì)權(quán)利內(nèi)容分出兩個(gè)層面，即一般反對(duì)權(quán)和反自動(dòng)化決策權(quán);圍繞權(quán)利的行使、限制和救濟(jì)，GDPR也做了較為立體和全面的設(shè)計(jì)。同時(shí)，該權(quán)利在實(shí)踐中也有運(yùn)用，起到了一定的預(yù)期作用。但是，對(duì)于該權(quán)利的設(shè)立，仍有待進(jìn)一步思考和論證。從實(shí)踐考察看，該權(quán)利的行使較少發(fā)生，適用情形比較單一;在案件數(shù)量、獨(dú)立適用反對(duì)權(quán)條款方面，比例也不算大。理論上，該權(quán)利獨(dú)立存在的必要性、正當(dāng)性及其性質(zhì)等，尚有堪疑和探討空間，在我國(guó)國(guó)情下尤其如此。

二、本土主義下我國(guó)個(gè)人信息反對(duì)權(quán)的立法現(xiàn)狀

（一）規(guī)范條文梳理

1.《民法典》

《民法典》關(guān)于個(gè)人信息的條款及與反對(duì)權(quán)的關(guān)聯(lián)情況，列表如表2：

綜上，我國(guó)《民法典》在賦權(quán)條款中沒有確立個(gè)人信息反對(duì)權(quán)，但是在個(gè)人信息權(quán)益保護(hù)的所有條款中，直接或間接地規(guī)定有與反對(duì)相關(guān)的內(nèi)容，信息主體可以實(shí)施反對(duì)行為;但反對(duì)行為的實(shí)施基礎(chǔ)不是反對(duì)權(quán)，而是基于整體的個(gè)人信息權(quán)益保障所需，其性質(zhì)、對(duì)象、效果等都有別于GDPR反對(duì)權(quán)。

2.《網(wǎng)絡(luò)安全法》

《網(wǎng)絡(luò)安全法》相關(guān)條款為《民法典》提供了基礎(chǔ)，該法第43條規(guī)定個(gè)人對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者具有刪除與更正請(qǐng)求權(quán)，但沒有反對(duì)權(quán)。第47-48條從管理義務(wù)的角度，要求義務(wù)主體主動(dòng)停止相關(guān)個(gè)人信息處理行為，規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者立即停止傳輸，電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者應(yīng)當(dāng)履行安全管理義務(wù)、停止提供服務(wù)等情形。該義務(wù)規(guī)制的效果與GDPR反對(duì)權(quán)行使效果契合，但具有消極被動(dòng)的防御性。

3.《個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)》

我國(guó)2020年新版《個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)》（GB/T 35273-2020）已經(jīng)實(shí)施，其中第7.4條規(guī)定用戶畫像的使用限制，對(duì)個(gè)人信息控制者作出三方面限制，包括用戶畫像中對(duì)個(gè)人信息主體的特征描述?、在業(yè)務(wù)運(yùn)營(yíng)或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像?、授權(quán)目的必需之外去識(shí)別性使用等方面作出要求。該標(biāo)準(zhǔn)第7.7 條規(guī)定了信息系統(tǒng)自動(dòng)決策機(jī)制的使用并明確其注意事項(xiàng)?。這表明，該國(guó)家標(biāo)準(zhǔn)不反對(duì)、不禁止對(duì)個(gè)人信息的自動(dòng)化處理，不反對(duì)用戶畫像及其使用，但是同時(shí)預(yù)見到自動(dòng)化決策機(jī)制和用戶畫像的使用會(huì)對(duì)個(gè)人信息主體和第三人合法權(quán)益、國(guó)家與社會(huì)公共利益造成侵害，因此作出相應(yīng)的限制性規(guī)定。但是，限制性規(guī)定采取封閉式列舉方式，表明“自由使用為原則、限制使用為例外”的價(jià)值取向，以促進(jìn)個(gè)人信息的自由使用與流動(dòng)。

第8條列舉的個(gè)人信息主體權(quán)利有個(gè)人信息查詢、更正、刪除、撤回授權(quán)同意、注銷賬戶、獲取個(gè)人信息副本或傳輸給指定第三方、請(qǐng)求響應(yīng)和投訴管理八項(xiàng)內(nèi)容。其中，沒有直接規(guī)定反對(duì)權(quán)，但是“撤回授權(quán)同意”的權(quán)利意味著對(duì)自始同意、但事中事后撤回同意的處理，自然可以反對(duì)，但該反對(duì)本身不是一項(xiàng)權(quán)利，而是行使“撤回授權(quán)同意”權(quán)利的附隨行為或者應(yīng)有效力。

4.《個(gè)人信息保護(hù)法（草案）》

2020年10月，我國(guó)審議的《個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱《草案》）第二章圍繞個(gè)人信息處理規(guī)則作出了規(guī)定。

第一節(jié)一般規(guī)定里，對(duì)自動(dòng)化決策，要求個(gè)人信息處理者承擔(dān)保證、說明和提供義務(wù)?。同時(shí)，信息主體有拒絕權(quán)——拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。此外，原則上不得公開其處理的個(gè)人信息，除非取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定。但是，對(duì)于單獨(dú)同意和法律法規(guī)沖突時(shí)，該草案沒有明確何者優(yōu)先。對(duì)于公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全目的，不得公開或者向他人提供;取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。這里，“不得”之行為，也是信息主體得反對(duì)的處理行為，只有信息主體單獨(dú)同意或法律法規(guī)另有規(guī)定才構(gòu)成抗辯。

第二節(jié)“敏感個(gè)人信息的處理規(guī)則”里，處理獲得的同意應(yīng)為“個(gè)人單獨(dú)同意”;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，從其規(guī)定;獲得處理敏感個(gè)人信息的“同意”具有附隨義務(wù)，即除了本法第18條的一般規(guī)定外，還應(yīng)向個(gè)人告知必要性以及對(duì)個(gè)人的影響。

第三節(jié)對(duì)國(guó)家機(jī)關(guān)履行法定職責(zé)而處理個(gè)人信息作了特別規(guī)定，包括：依法處理、不超必須范圍與限度、取得個(gè)人同意[16]、不得公開或者向他人提供其處理的個(gè)人信息、境內(nèi)存儲(chǔ)和境外提供前風(fēng)險(xiǎn)評(píng)估等。

可見，信息主體授權(quán)同意處理與法律、行政法規(guī)法定許可處理，構(gòu)成個(gè)人信息合法處理的兩大基礎(chǔ);缺失該基礎(chǔ)，則通常處于“不得”等禁止或反對(duì)范圍;對(duì)僅通過自動(dòng)化決策的方式對(duì)信息主體做出決定的，尤其明確規(guī)定“有權(quán)拒絕”。

草案第四章圍繞信息處理活動(dòng)中的個(gè)人權(quán)利，首先規(guī)定知情權(quán)、決定權(quán)、限制或拒絕處理權(quán)，并明確該權(quán)利客體是“個(gè)人信息處理”;隨后規(guī)定查閱、復(fù)制權(quán)，更正、補(bǔ)充權(quán)和刪除權(quán)三項(xiàng)實(shí)體權(quán)利，以及“對(duì)處理規(guī)則請(qǐng)求解釋說明的權(quán)利”與“行使權(quán)利申請(qǐng)獲得受理和處理的權(quán)利”兩項(xiàng)程序權(quán)利。此處需要討論的是，草案第44條確立了哪些權(quán)利？對(duì)此至少有兩種看法：一是一種權(quán)利，即知情決定權(quán);二是兩種權(quán)利，即知情決定權(quán)、限制或拒絕處理權(quán)。筆者選擇第一種看法，該條僅僅確立了知情決定權(quán)，理由如下：（1）立法體例上，《草案》賦予的查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等獨(dú)立權(quán)利，均通過單獨(dú)條款加以確立。（2）“知情”是決定的前提，所以知情權(quán)、決定權(quán)可以合為一個(gè)權(quán)利，即“知情決定權(quán)”。（3）“知情決定權(quán)”行使的正面結(jié)果是“完全同意他人對(duì)其個(gè)人信息進(jìn)行處理”，該種情況一般不用在條文中特別列出;而“限制或者拒絕處理”是“知情”后作出的一種負(fù)面“決定”，包括有限同意處理即限制處理、完全不同意處理即拒絕處理。因此，第44條并沒有將“限制處理”或“拒絕處理”確立為一項(xiàng)獨(dú)立的權(quán)利，而只是知情決定權(quán)的一項(xiàng)權(quán)利內(nèi)容或行使方式，也是該權(quán)利消極權(quán)能的體現(xiàn)，通常以明示或默示反對(duì)的意思表示來實(shí)現(xiàn)。《草案》因而沒有對(duì)“拒絕處理”單獨(dú)設(shè)立一個(gè)賦權(quán)條款，而是規(guī)定在“知情同意權(quán)”后面作為遞進(jìn)補(bǔ)充。

（二）小結(jié)

綜上，針對(duì)個(gè)人信息反對(duì)權(quán)，我國(guó)現(xiàn)有立法與GDPR都規(guī)定有相關(guān)內(nèi)容，旨在賦予個(gè)人信息主體通過“反對(duì)”或“限制、拒絕”對(duì)其個(gè)人信息進(jìn)行處理的方式，達(dá)到從源頭上控制自己個(gè)人信息的目的，進(jìn)而實(shí)現(xiàn)信息自決自控的權(quán)利。但是，比較可見，中歐立法差異較大，明顯表現(xiàn)出我國(guó)已經(jīng)擺脫“移植”“本土化”等依賴國(guó)外立法體系的思維方式，而是基于本土主義的需要和思考，做出了自主的立法設(shè)計(jì)。結(jié)合差異和我國(guó)的特有規(guī)范，提煉出相關(guān)的理論焦點(diǎn)，對(duì)此進(jìn)行思考與分析，有利于確定本土主義下我國(guó)個(gè)人信息反對(duì)權(quán)的立法進(jìn)路，從而有利于我國(guó)個(gè)人信息保護(hù)立法的深化和細(xì)化發(fā)展。

具言之，有關(guān)個(gè)人信息反對(duì)權(quán)的理論焦點(diǎn)有：性質(zhì)上，個(gè)人信息反對(duì)權(quán)是獨(dú)立的權(quán)利種類還是僅為權(quán)利的行使方式;效力上，反對(duì)是對(duì)個(gè)人信息自決權(quán)的自力救濟(jì)還是阻卻個(gè)人信息處理上的濫用;內(nèi)容上，反對(duì)的客體是個(gè)人信息處理過程還是對(duì)處理結(jié)果的運(yùn)用;規(guī)范上，是單一歸置到權(quán)利條款，還是多層融匯在規(guī)范的不同部分。對(duì)此，在立法、司法和學(xué)理中，雖然用語上都可以使用“反對(duì)權(quán)”一詞，但是因?qū)ι鲜鼋裹c(diǎn)問題的回應(yīng)有所區(qū)別而具有不同內(nèi)涵。

三、本土主義下我國(guó)個(gè)人信息“反對(duì)權(quán)”的立法建議

（一）明確個(gè)人信息“反對(duì)權(quán)”不是獨(dú)立的權(quán)利種類而是權(quán)利行使方式

毋庸置疑，GDPR 用專章專條確立了個(gè)人信息反對(duì)權(quán)的獨(dú)立權(quán)利地位，并將反自動(dòng)化決策權(quán)作為該權(quán)利的一項(xiàng)特殊內(nèi)容加以明確和細(xì)化，在權(quán)利主體、客體、內(nèi)容、限制、救濟(jì)與法律責(zé)任等方面做出全面設(shè)計(jì)，這不失為一種創(chuàng)舉。但是，我國(guó)立法并未跟風(fēng)，《民法典》《網(wǎng)絡(luò)安全法》并未將其明確為獨(dú)立的個(gè)人信息權(quán)利種類;《個(gè)人信息法（草案）》雖然在權(quán)利條款第44條使用了“有權(quán)限制或拒絕他人對(duì)其個(gè)人信息進(jìn)行處理”的表述，但結(jié)合整個(gè)條文和整個(gè)規(guī)范來看，與其將此解釋為反對(duì)權(quán)的賦權(quán)條款，不如解釋為“知情決定權(quán)”消極權(quán)能之描述，正如我國(guó)定義物權(quán)為“權(quán)利人依法對(duì)特定的物享有直接支配和排他的權(quán)利”，所有權(quán)是“所有權(quán)人對(duì)自己的不動(dòng)產(chǎn)或者動(dòng)產(chǎn)，依法享有占有、使用、收益和處分的權(quán)利”。草案第44條的“限制或拒絕”就類似于此處的“排他”、“占有、使用、收益和處分”等表述，是對(duì)權(quán)利的權(quán)能加以明確，以指引權(quán)利的行使和實(shí)現(xiàn)。

筆者認(rèn)為，我國(guó)立法更加符合權(quán)利法理。“個(gè)人信息反對(duì)權(quán)”不應(yīng)成為與訪問權(quán)、復(fù)制權(quán)、刪除權(quán)、更正權(quán)等并列的權(quán)利類型，而是作為抽象整體的個(gè)人信息自決權(quán)益具備的一項(xiàng)基本的消極權(quán)能，與訪問、修改、變更等正面自決的積極自決權(quán)能構(gòu)成一枚硬幣的兩面，是自決權(quán)能的反向保障，并貫穿在訪問權(quán)等不同的具體權(quán)利種類中。如果“訪問”“復(fù)制”“刪除”“更正”等是自決權(quán)能的正面體現(xiàn)，基于行為方式與保護(hù)法益不同而成為各自獨(dú)立的權(quán)利內(nèi)容，那么“反對(duì)”“拒絕”就是自決權(quán)能的反面體現(xiàn)，是這些獨(dú)立權(quán)利共有的反面消極權(quán)能，其保護(hù)的法益存在于所有個(gè)人信息權(quán)利種類中，屬于“公因式權(quán)能”，為正面權(quán)能的“不同自由領(lǐng)地”起到“戍邊”的保障作用，恰如所有物權(quán)都具有的“排他”作用，因而不具獨(dú)立性。

（二）明確“反對(duì)”是信息自決權(quán)的自力救濟(jì)方式以阻止個(gè)人信息濫用

GDPR將反對(duì)權(quán)規(guī)定為個(gè)人信息自決權(quán)的一項(xiàng)子權(quán)利，與訪問權(quán)等并列，由權(quán)利主體主動(dòng)啟動(dòng)。結(jié)合我國(guó)相關(guān)規(guī)定，筆者認(rèn)為，與其說反對(duì)權(quán)是獨(dú)立的權(quán)利類型，不如說是信息自決權(quán)的自主救濟(jì)方式。

1.從內(nèi)容上看，信息自決權(quán)的內(nèi)容，根據(jù)不同的處理范圍而分為訪問權(quán)、更正權(quán)、數(shù)據(jù)可攜權(quán)、刪除權(quán)等子權(quán)利，而反對(duì)權(quán)的客體是違反所有權(quán)利要求的處理行為，對(duì)所有處理權(quán)都具有救濟(jì)意義。

2.從性質(zhì)上看，訪問權(quán)、更正權(quán)、數(shù)據(jù)可攜權(quán)、刪除權(quán)等子權(quán)利是依靠信息自決權(quán)的積極權(quán)能、主動(dòng)要求義務(wù)主體為一定積極行為才得以實(shí)現(xiàn)的正面內(nèi)容，所以根據(jù)處理行為的性質(zhì)不同而被劃分成不同的、各自獨(dú)立的權(quán)利種類。但是，反對(duì)權(quán)是為維護(hù)信息自決權(quán)而要求他人不得為處理行為的消極權(quán)能，是為確保信息自決權(quán)正面內(nèi)容得以維護(hù)或?qū)崿F(xiàn)的一種方式;當(dāng)正面處理范圍被侵害后，信息主體得以實(shí)施“反對(duì)”行為加以矯正，使正面處理權(quán)回歸應(yīng)有范圍，因而“反對(duì)”是為其他權(quán)利服務(wù)、阻止個(gè)人處理權(quán)利被濫用的救濟(jì)方式。

3.從客體上看，反對(duì)權(quán)反對(duì)的不是合法、有權(quán)的個(gè)人信息處理行為，而是不合法、無授權(quán)的處理行為。但是，個(gè)人信息自決權(quán)的客體是合法、有權(quán)的處理行為，是權(quán)利主體依該權(quán)利可以為或不為、可以授權(quán)他人為或不為一定處理行為的自由，該行為自由均在合法、有權(quán)的范圍內(nèi)。可見，反對(duì)的客體不在信息自決權(quán)的正面范圍之內(nèi)，而是在此外圍，以清除和防控不合法、無授權(quán)的處理，為權(quán)利“戍邊”以保駕護(hù)航。

（三）明確反對(duì)行為的客體既有個(gè)人信息處理過程也有處理結(jié)果及其運(yùn)用

反對(duì)行為的實(shí)施，自然以符合反對(duì)的條件為前提。其中，對(duì)反對(duì)的客體特別需要加以明確。從GDPR規(guī)定看，一般反對(duì)權(quán)反對(duì)的是不合法、無授權(quán)的特定個(gè)人信息處理行為，而反自動(dòng)化決策權(quán)并不反對(duì)自動(dòng)化處理行為，而是在該自動(dòng)化處理基礎(chǔ)上的決策行為，即對(duì)自動(dòng)化處理得出特定結(jié)果并加以運(yùn)用的行為。該規(guī)定反映出，反對(duì)的客體并非一刀切，而要根據(jù)具體情況具體決定。在我國(guó)將“反對(duì)”定性為權(quán)利行使的消極權(quán)能或自力救濟(jì)方式的建議下，反對(duì)行為的客體應(yīng)當(dāng)與得以反對(duì)的權(quán)利基礎(chǔ)一致，即被反對(duì)的個(gè)人信息處理違反了相應(yīng)的權(quán)利范圍。至于反對(duì)的客體是處理行為本身，或是行為結(jié)果，亦或是行為結(jié)果的運(yùn)用，也要在不同權(quán)利的不同行使情形中加以確定。

（四）設(shè)置多層融匯的規(guī)范以實(shí)現(xiàn)“基本原則—權(quán)利義務(wù)規(guī)則—自力公力救濟(jì)—法律責(zé)任”的邏輯銜接

個(gè)人信息權(quán)益的保障，需要綜合立體的法律規(guī)范體系和協(xié)調(diào)聯(lián)動(dòng)的法律實(shí)施體系。為落實(shí)“反對(duì)權(quán)”的效果，也需在該理念指導(dǎo)下，設(shè)置多層融匯的規(guī)范，在“基本原則—權(quán)利義務(wù)規(guī)則—自力公力救濟(jì)—法律責(zé)任”的邏輯鏈條下，實(shí)現(xiàn)有機(jī)銜接和有效落地。

1.基本原則—權(quán)利義務(wù)規(guī)范—自主救濟(jì)。合法處理與授權(quán)同意處理的原則下，正面肯定信息主體的信息自決權(quán)，包括知情同意權(quán)、訪問權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等內(nèi)容;同時(shí)從反面蘊(yùn)含個(gè)人信息處理者的合法和有權(quán)處理義務(wù)，違反該義務(wù)，即沒有合法依據(jù)或無權(quán)處理則構(gòu)成義務(wù)違反，權(quán)利主體可啟動(dòng)反對(duì)方式以阻止相關(guān)處理，從而救濟(jì)和維護(hù)信息自決權(quán)的相關(guān)內(nèi)容。

2.人格權(quán)禁令。當(dāng)個(gè)人信息處理行為不合法或未取得授權(quán)，符合條件的?，可申請(qǐng)人格權(quán)禁令，以借助公權(quán)力表達(dá)反對(duì)的方式來救濟(jì)自己的權(quán)利。當(dāng)然，這不影響信息主體可同時(shí)進(jìn)行自力救濟(jì)，向行為人提出反對(duì)。

3.法律責(zé)任。直接反對(duì)或申請(qǐng)人格權(quán)禁令，即不論自力救濟(jì)還是公力救濟(jì)，都是以反對(duì)的方式及時(shí)止損、預(yù)防損失擴(kuò)大，但其本身不能補(bǔ)償已經(jīng)造成的損失，所以需要民事賠償責(zé)任來確保損失得到補(bǔ)償，并以行政處罰甚至刑罰來威懾和規(guī)范處理者的處理行為。法律責(zé)任的落實(shí)，是反對(duì)權(quán)行使效果的應(yīng)有保障，可確保“基本原則—權(quán)利義務(wù)規(guī)則—自力公力救濟(jì)—法律責(zé)任”鏈條的完整銜接和實(shí)際落地。

結(jié)? 語

我國(guó)個(gè)人信息法律保護(hù)的立法是一個(gè)系統(tǒng)的工程和逐漸完善的過程，并且需要立法、司法和法理等方面協(xié)同支撐。就反對(duì)權(quán)而言，上述建議僅限于對(duì)我國(guó)是否應(yīng)確立反對(duì)權(quán)、對(duì)反對(duì)權(quán)如何定位定性等方面做出的局部思考，其他內(nèi)容還需學(xué)界進(jìn)一步深入和全面地探討。

參考文獻(xiàn)：

[1] 京東法律研究院主編.<一般數(shù)據(jù)保護(hù)條例GDPR>評(píng)述及實(shí)務(wù)指引[M].北京：法律出版社，2018：58.

[2] 文銘，易永豪.論被遺忘權(quán)的本土化移植[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020（6）：79.

[3] 許竹.微博的“信息繭房”效應(yīng)及其思考[N].新聞愛好者，2018（2）：55-58.

[4] 唐林垚.“脫離算法自動(dòng)化決策”的虛幻承諾[J].東方法學(xué)，2020（6）：21.

[5] 張建文，李錦華.歐盟個(gè)人數(shù)據(jù)保護(hù)法上的反自動(dòng)化決策權(quán)研究[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2019（2）：27.

[6] 于向花.被遺忘權(quán)研究[D].吉林：吉林大學(xué)，2018.

[7] 劉德良.個(gè)人信息的財(cái)產(chǎn)權(quán)保護(hù)[J].法學(xué)研究，2007（3）：80.

[8] 張濤.個(gè)人信息權(quán)的界定及其民法保護(hù)——基于利益衡量之展開[D].吉林：吉林大學(xué)，2012.

[9] 王鵬鵬.論個(gè)人信用信息公開的私法規(guī)制[J].北京理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020（3）：144.

[10] 王澤鑒.人格權(quán)法：法釋義學(xué)、比較法、案例研究[M].北京：北京大學(xué)出版社，2013：229.

[11] 劉學(xué)濤，張翱鵬.被遺忘權(quán)的制度缺失、發(fā)展困境與中國(guó)構(gòu)建路徑[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）， 2019（3）：50.

[12] 金晶.歐盟<一般數(shù)據(jù)保護(hù)條例>：演進(jìn)、要點(diǎn)與疑義[J].歐洲研究，2018（4）：17.

[13] 翟相娟.個(gè)人信息保護(hù)立法中“同意規(guī)則”之檢視[J].科技與法律，2019（3）：58.

[14] 中興通訊.GDPR 執(zhí)法案例精選白皮書（2018.5-2019.5）[EB/OL].（2019-9-15）[2021-04-06] https：//www.vzkoo.com/doc/6111.html？a=3.

[15] 中興通訊.GDPR 執(zhí)法案例精選白皮書（2019.5-2020.5）[EB/OL].（2020-9-17）[2021-04-06] https：//www.doc88.com/p-37439707051450.html？r=ref-https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DO7UKcDz5 FZBeee29yNMxmzw583GO6rmEiEGCvPb1o_KumIOGjN hIGNlEz2KzSaESl8jibM30aghgHMAsb_Blcq%26wd%3D% 26eqid%3Dbcc0c93c0000fa1300000006606c1fbb.

[16] 趙龍.個(gè)人信息權(quán)法益確證及其場(chǎng)景化實(shí)踐規(guī)則[J].北京理工大學(xué)學(xué)報(bào)社會(huì)科學(xué)版，2021（1）：13.

The Nativist Reflection and Suggestions on the Right to Object in EU GDPR

Diao Shengxian， Xu Yunyan

（School of Cyberspace Security and Information Law， Chongqing University of Posts and Telecommunications， Chongqing 400065， China）

Abstract： The right to object to personal data is an important right in GDPR. In practice， the number of related cases is small， the application situation is relatively single， and the proportion of independent application of objection clauses is low. In this regard， based on the analysis of its definitions， elements， defenses， exercise and remedies， and combined with our country's legislation， it is necessary for our country to shift from localized thinking to nativist reflection and discussion. Regarding China's "right to object"， it is not advisable to localize the right to object in GDPR as an independent type of personal information rights. Instead， it is recommended that we should clarify that right to object is not an independent type of right but the way to exercise the right; clarify that "objection" is the self-relief method of information self-determination to prevent the abuse of personal information; clarify that the object of the "objection" includes both the personal information processing process and the processing results and its application; and set up multi-level convergent norms to realize the logical connection of "basic principles-rules of rights and obligations-self remedy and public remedy- legal responsibility".

Key words： right to object; GDPR; nativism; reflection; rules of rights and obligations