歐盟《通用數據保護條例》(GDPR)正式施行後,給全球企業界帶來了很大的合規壓力,增加了許多合規支出。GDPR作為歐盟的法律,對國內不會有直接影響,但對於開展與歐盟相關業務的企業有一定影響。作為個人信息保護的領先制度實踐,GDPR對於中國個人信息保護制度的發展完善具有較高參考價值。
對於侵害個人信息權益的行為,GDPR規定了數額很高的行政罰款,也規定數據主體(自然人)可以向法院提起訴訟。就個人起訴而言,其主要形式是民事訴訟,民事訴訟的基礎是自然人對其個人信息享有權益。GDPR明文規定了六種權利,分別是獲得權、更正權、刪除權(被遺忘權)、限制處理權、數據可攜權和反對權,這些權利的性質值得探究。如果上述權利可以通過民事訴訟獲得救濟,那麼首先至少應屬私權利,同時可能也屬於憲法意義上的基本權利。上述權利屬於私權利的話,它們在民法上的地位或者分類就值得探討,因為均非傳統意義上的民事權利,很難對這些權利進行現行法意義上的歸類。
根據人格心理學,個人信息可以分為四大類:第一類是生活記錄信息,是與個人生活相關的客觀記錄;第二類是觀察者信息,包括外部的評價;第三類是檢測信息,這也是客觀記錄,但涉及科學檢測;第四類是自我報告信息,這是個人的自我評價。可見,從這些信息可以分析出個人的人格。法律意義上的個人信息,大體上不會超出上述範圍,GDPR還強調用戶畫像、個人特徵分析的概念,因為從個人信息可以大體確定一個自然人是什麼樣的人。但是,個人信息(或者說數據)是不是法律上的客體,是值得懷疑的。民法處理人與人之間的人身和財產關係,和個人信息相關的也不外乎人身和財產關係。把個人信息單獨作為一種權利客體,會衝擊現行民事權利保護體系。如果把個人信息權類型化賦予類似於所有權的權能,實際上與現實並不相符,因為有相當部分的個人信息允許企業採集、使用,收集和分析個人信息數據本身具有很高的經濟和社會價值,互聯網產業、數據產業發展都有賴於此,只是必須在投資激勵和人格權保護之間取得平衡。有的個人信息公開後個人無權要求刪除,比如生效判決書依法上網公佈,除了法定情形個人不能要求法院刪除。所以說,在個人信息上設定類似於所有權的絕對權,可行性微乎其微。即使將個人信息權類型化,這種權利也不可能像物權、知識產權一樣成為全面的絕對權,而是一種基於政策考量和利益衡量並經特別制度設計的民事權利,目的是確保自然人利益受到侵害後有救濟手段。
從自然人(數據主體)角度看,基於個人信息的實質利益可以納入民法的形式化權利體系,基於個人信息的權利屬於一般人格權,GDPR列舉的六類權利都可以歸類於此,然後通過侵權法進行保護。比如就更正權、反對權而言,司法救濟或者說責任承擔方式就是排除妨礙,針對刪除權(被遺忘權)、限制處理權,責任承擔方式實際就是消除危險。
為什麼歐盟立法機構要設計出被遺忘權等私權利?這是歐盟立法機構為了彌合歐盟成員國的法系差異而作出的特殊安排(新造名詞)。GDPR規定的權利都是經過細化分解的實質權利,這些實質權利可以被不同法系、不同國家的形式化權利體系所涵蓋,這樣每個成員國的法律可以符合歐盟的要求。值得注意的是,GDPR沒有規定個人信息權,而是規定了個人信息保護權,這兩者存在差別,GDPR的做法是迫不得已的創新,它必須進行這種新造名詞的創新,但是我國從立法和理論上都不需要引進這種不成熟的中間權利概念。關於個人信息保護的實質權益應納入現行法體系,在我國法語境中,仍應採用民法/刑法/行政法的思維處理個人信息數據保護的問題。
關於個人信息保護有一個重要的問題,是如何看待企業收集個人信息數據,企業對這些數據是否享有權利?GDPR中收集數據的企業是數據控制者,這也是新造名詞,民法上如何定位?傳統民法可以解決這個問題,此類企業是個人信息數據的佔有者,可以沿用或準用佔有制度解決相關法律問題。關於個人信息收集、使用的規則是GDPR的主要內容,也是全國人大常委會2012年發佈的《關於加強網絡信息保護的決定》的主要內容,這些法律規定主要解決了個人信息保護的基本制度設計問題。法律制度都是利益分配機制而非利益產生機制,但會對主體產生激勵效應,進而影響利益生產環節,因此制度設計必須進行利益平衡,要同時考量個人利益、產業利益和社會利益,很多時候要進行經濟學上的分析。但從個人權益司法保護角度看,這些規則實際上設定了相關方的注意義務,這對於確定訴訟相關方的過錯具有重要作用,不管在侵權之訴還是在違約之訴中,過錯如何確定均具有重要法律意義,GDPR或《關於加強網絡信息保護的決定》的規定,可以作為確定企業在保護個人信息時所負注意義務的標杆,違反法律規定在民事訴訟中可以被認定為違反注意義務,從而認定其具有過錯,進而認定侵權成立。
閱讀更多 杭州檢察 的文章
