美欧数据权利归属的立法现状及启示
袁 媛
北京邮电大学人文学院,北京100876
摘 要: 近年来人工智能技术发展突飞猛进,前景十分广阔,数据的重要性越来越不容忽视。本文通过分析当前美国和欧盟等主要国家和地区关于数据权利的立法现状,并结合我国实际,尝试从明确价值取向、建立跨平台数据共享机制、完善内部监管体系等方面探索完善我国数据权利归属制度。
关键词: 数据权利;数据归属;个人信息;保护
一、当前美欧国家立法现状
目前,数据权利保护的立法模式主要分为体系式立法和分散式立法。采取体系式立法的典型代表就是大陆法系国家和地区,包括英国、德国等欧洲国家以及韩国、新加坡和我国港澳台地区等,通过成文法将个人信息保护的法律规范加以固定。其中,德国确立的“个人信息自决权”,虽未直接回答“个人何以如此控制的权利基础”,但非常强调个人对其信息的控制手段;同时,欧盟也在法律体系中创造性地设立多种信息权利,完善和细化了个人信息权利,赋予数据主体对其个人信息的实际控制能力。除了传统的知情同意权,1995年的《欧盟关于个人数据处理中的个人保护和数据自由流动的指令》主要赋予了公民的查阅权(Right to Access)、更正权(Right to Correct)、反对权(Right to object)和不受制于自动化决定的权利(Right to not be subject to certain automated decisions)等权利。2018年5月正式生效的《关于个人信息处理保护及个人信息自由传输的条例》(General Data Protection Regulation,GDPR)(以下简称《欧盟条例》)新增被遗忘权(Right to be Forgotten)和数据可携带权(Right to Data Portability)。其中数据可携带权有利于数据主体控制其个人信息在不同的运营商间自由移转,一定程度上可以减少垄断,促进市场良性竞争,其法律基础体现了个人信息自决权的特点。
当欧洲和亚太地区国家多采取体系式立法保护个人信息时,美国则属于典型的分散式立法国家,通过将个人信息纳入大隐私权概念进行法律保护,在公法领域以成文法建立了政府数据保护标准,在司法领域对信息收集、利用和控制主体设置数据保护义务并限制其收集和使用行为,并主要依赖于政府强制执行和当事人提起民事诉讼等事后救济手段,具有相对的灵活性和非规范性。《美国联邦贸易委员会正当通信通则》中形成了五项核心的隐私保护原则,其中“数据的完整性和安全性”是被广泛接受的通则,不仅要求数据收集者采取合理手段来保证数据完整性,如不使用信誉不良的数据源,同时要求其利用管理和技术两方面的措施,以防止数据丢失以及未经授权的访问、破坏、使用或披露;而“选择/同意”原则中的“选择”涉及信息的次级使用,例如企业是否能够向第三方主体转让信息的问题,就应当由用户做出决定。这体现出美国对于提高公民对个人信息控制力的重视,尤其当部分数据涉及宗教、种族、肤色、身体健康状况、国籍、基因等敏感因素时,如果不能保障公民对于个人信息的控制能力,则会产生大数据时代的歧视不公等一系列问题,可见在这一点上联邦贸易委员会的主张实质上和欧盟基本一致。
二、完善我国数据权利归属制度的法律建议
(一)明确价值取向
在构建我国个人信息保护制度时,应当注重法的价值。既需要使得数据控制者在特定情形下协助国家司法,保障国家公权力得以实现;又要注重规范数据控制者之间对于数据流转的审查权限,减少不正当竞争,满足促进大数据技术和人工智能技术发展的需要。凡属权利必有界限,数据权利作为一种绝对权,也不能够凌驾于公权力的实现和社会发展的需要之上,但如前所述,当前主要国家和地区的数据权利相关立法出于“保护人权、赋予用户更多的自主性权利和自由”的目的,纷纷在法律制度中增加了诸多用户可选择的自决权,强化个人信息自决权已经成为一种明显的立法发展趋势。可见我国立法更应当从数据权利归属于数据主体的角度出发进行制度设计,这不仅符合自然法中“天赋人权、人人平等、公正至上”的思想要旨、满足一般人的精神需要和发展需要,同时与当今世界保护个人信息立法的发展趋势相一致。
“冲啊!”夏国忠和他的战士们发出排山倒海的吼声,狂风一般向敌人的江岸阵地扑去。一时间,敌人的江岸阵地上枪声,手榴弹的爆炸声响成一片。很多日军还在睡梦中没有醒来,就赤身祼体下了地狱。
(二)建立跨平台数据共享机制
鉴于实际需要,我国可以尝试通过建立统一跨平台数据共享机制,以便进行企业间用户数据流转,同时应对因数据控制者人为原因导致的不正当竞争等问题。相对于由数据控制者设定向第三方进行数据转移的许可条件,该数据共享机制可以更好地进行许可审查,并相对客观中立地保障数据主体在各环节中行使自身权利。建议将地域或者行业作为划分标准,负责对所属范围内的数据使用进行管理和规范,这主要是基于以下两个方面的考虑:一方面,设定授权条件要求高。就单个数据控制者而言,无法很好地对请求数据接入的第三方主体的资质进行核查,非具备相关技能和特殊知识的人员不能胜任。因此建立数据共享机制可以强化技术保障,确保流转过程中的数据安全;另一方面,确保授权条件的客观性。确保数据权利归属于数据主体的关键就是保障用户知情权,建立数据共享机制可保证在一定程度少减少数据控制者的隐瞒干预。同时,能够便利有需要的企业获取相关原始数据进行进一步技术研发,这对于降低企业间的不正当竞争、促进数据经济发展具有重要意义。但不可否认这种跨平台数据共享机制也存在一定弊端,主要是在数据安全保护方面带来的压力。海量的数据存储面临着更高的数据泄露风险,且一旦泄露将会对数据主体和数据控制者造成不可估量的影响,因此,在具体运行过程中需要格外注意。
(三)完善内部监管体系
此外我国可以借鉴《欧盟条例》中规定的数据保护官制度,通过建立第三方监管体系,保障数据权利归属于数据主体。数据保护官的主要作用是确保他所在的机构,在处理员工、客户、供应商或任何其他个人(也称为数据对象)的个人数据时,应当符合数据保护规则。数据保护官最主要的职权就是对数据控制者或者处理者正在进行或将要进行的数据收集、处理及分析等活动提出合理化建议,保障公私主体的数据处理合规,切实有效地实现保障数据权利归属于数据主体的制度价值。虽然,我国《个人信息安全规范》中存在类似规定,即在“明确责任部门与人员”方面要求,企业需明确由“法定代表人或主要负责人对个人信息安全负全面领导责任”。①但该规范仅为国家推荐性标准,不具备法律的强制性效力,立法位阶偏低。因此我国仍需应当进一步完善数据保护的内部监管机制,构建结构化的责任体系。
[ 注 释 ]
①信息安全技术个人信息安全规范. http: // c. gb 688. cn/ bzgk/ gb/ showGb ? type = online & hcno = 4FFAA51 D63BA 21B9 EE40C51DD3 CC40BE,2018-11-28.
从城阳区乡村旅游者的月收入来看,大部分集中在中等偏上收入。3001-4000收入者最多,占36%;其次收入为2001-3000,占30%;1000-2000、4000以上收入者分别占14%和16%,1000以下收入者最少,占9%。
[ 参 考 文 献 ]
[1]刘金瑞.个人信息与权利配置——个人信息自决权的反思和出路[M].北京:法律出版社,2017.
[2]田新月.欧盟《一般数据保护条例》新规则评析[J].武大国际法评论,2016(2).
[3]高富平,主编.个人数据保护和利用国际规则:潮流与趋势[M].北京:法律出版社,2016.
[4][美]E.博登海默.法理学法律哲学与法律方法[M].邓正来,译.北京:中国政法大学出版社,2017.
[5]京东法律研究院.欧盟数据宪章:《一般数据保护条例GDPR评述及实务指引》[M].北京:法律出版社,2018.
中图分类号: D90-5
文献标识码: A
文章编号: 2095-4379- (2019 )24-0180-02
作者简介: 袁媛(1994- ),女,汉族,黑龙江人,北京邮电大学人文学院,硕士研究生在读,研究方向:网络法。
标签:数据权利论文; 数据归属论文; 个人信息论文; 保护论文; 北京邮电大学人文学院论文;