趙淑鈺 中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心工程師

1　引言

歐盟《通用數(shù)據(jù)保護(hù)條例》將于2018年5月25日正式實(shí)施。相較于其他國(guó)家、地區(qū)的數(shù)據(jù)（個(gè)人信息）保護(hù)立法以及歐盟1995年頒布的《歐盟數(shù)據(jù)保護(hù)指令》，GDPR首次對(duì)數(shù)據(jù)主體的權(quán)利進(jìn)行了專章規(guī)定，并創(chuàng)新性的規(guī)定了新的數(shù)據(jù)權(quán)利類型。但GDPR對(duì)于數(shù)據(jù)主體的權(quán)利保障并不是絕對(duì)的，而是規(guī)定了若干適用的例外情形?！癎DPR的立法者們充分關(guān)注到了數(shù)據(jù)主體享有的并不是絕對(duì)權(quán)利，有關(guān)數(shù)據(jù)的權(quán)利應(yīng)當(dāng)與其他權(quán)利及正當(dāng)利益之間形成恰當(dāng)?shù)钠胶怅P(guān)系，為此，GDPR精心設(shè)計(jì)了大量的但書(shū)、克減條款，對(duì)例外情形做出補(bǔ)充，對(duì)權(quán)利做出適當(dāng)限制，對(duì)義務(wù)、責(zé)任予以適當(dāng)豁免。”本文主要對(duì)GDPR規(guī)定的數(shù)據(jù)主體權(quán)利適用的例外情形進(jìn)行了梳理，并總結(jié)例外情形中所包含的價(jià)值考量因素，以求對(duì)我國(guó)的個(gè)人信息保護(hù)立法和實(shí)踐提供有益參考。

2　GDPR對(duì)數(shù)據(jù)主體權(quán)利的規(guī)定

數(shù)據(jù)主體權(quán)利是GDPR的一大亮點(diǎn)，延續(xù)了歐盟強(qiáng)調(diào)公民權(quán)利保護(hù)的立法傳統(tǒng)，GDPR在第二章“立法原則”之后，專門有一章對(duì)數(shù)據(jù)主體的權(quán)利進(jìn)行了規(guī)定，其中主要包括6類權(quán)利。

一是知情權(quán)。數(shù)據(jù)主體有權(quán)知道其個(gè)人數(shù)據(jù)是否被處理，以及個(gè)人數(shù)據(jù)處理的具體信息，如數(shù)據(jù)處理的目的、處理的數(shù)據(jù)類型、向第三方披露情況、投訴權(quán)等。數(shù)據(jù)控制者應(yīng)當(dāng)以簡(jiǎn)潔透明、清晰可讀、易獲取的方式向數(shù)據(jù)主體提供與數(shù)據(jù)主體權(quán)利相關(guān)的信息。二是修正權(quán)。數(shù)據(jù)主體認(rèn)為其個(gè)人數(shù)據(jù)有錯(cuò)誤或不完整時(shí)，有權(quán)要求數(shù)據(jù)控制者立即進(jìn)行修正。三是被遺忘權(quán)。數(shù)據(jù)主體在滿足一定條件時(shí)，有權(quán)要求數(shù)據(jù)控制者立即刪除其個(gè)人數(shù)據(jù)，具體包括：個(gè)人數(shù)據(jù)相對(duì)于收集目的不再必要、數(shù)據(jù)主體撤回同意、非法處理、成員國(guó)法律規(guī)定等。四是限制處理權(quán)。在數(shù)據(jù)不準(zhǔn)確、處理不合法、數(shù)據(jù)主體拒絕等情形下，數(shù)據(jù)主體可以限制數(shù)據(jù)控制者處理其個(gè)人數(shù)據(jù)。五是數(shù)據(jù)可攜權(quán)。即數(shù)據(jù)主體向一個(gè)數(shù)據(jù)控制者提供的結(jié)構(gòu)化的、常用的、機(jī)器可讀的個(gè)人數(shù)據(jù)，可以直接轉(zhuǎn)移給另一個(gè)數(shù)據(jù)控制者。六是拒絕權(quán)。數(shù)據(jù)主體有權(quán)拒絕數(shù)據(jù)控制者的數(shù)據(jù)處理，有權(quán)拒絕單純依據(jù)自動(dòng)處理做出的決策。

上述6項(xiàng)權(quán)利從個(gè)人數(shù)據(jù)處理的全流程實(shí)現(xiàn)了對(duì)數(shù)據(jù)主體的權(quán)利的保護(hù)。在收集階段，數(shù)據(jù)主體享有對(duì)數(shù)據(jù)處理的知情權(quán)。在數(shù)據(jù)主體知情且同意的前提下，數(shù)據(jù)控制者（及處理者）才有權(quán)對(duì)個(gè)人數(shù)據(jù)采取處理措施，且數(shù)據(jù)主體有權(quán)隨時(shí)撤回同意。在數(shù)據(jù)處理過(guò)程中，數(shù)據(jù)主體享有對(duì)個(gè)人數(shù)據(jù)進(jìn)行修正的權(quán)利，在特定情形下也有權(quán)刪除個(gè)人數(shù)據(jù)（被遺忘權(quán)）。對(duì)于數(shù)據(jù)處理結(jié)果，數(shù)據(jù)主體也享有拒絕的權(quán)利。數(shù)據(jù)可攜權(quán)則保證了數(shù)據(jù)主體的自由選擇權(quán)，同時(shí)也有利于促進(jìn)數(shù)據(jù)在歐盟內(nèi)部的自由流動(dòng)。GDPR實(shí)現(xiàn)了數(shù)據(jù)主體權(quán)利的全面覆蓋，但同時(shí)也規(guī)定了特殊情形和特定利益權(quán)衡下數(shù)據(jù)主體權(quán)利的限制條件。

3　數(shù)據(jù)主體權(quán)利例外規(guī)定

GDPR被外界稱為“史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)條例”，主要體現(xiàn)在“對(duì)個(gè)人權(quán)利的細(xì)致保護(hù)，以及對(duì)違法行為的高昂處罰”兩個(gè)方面。在強(qiáng)化對(duì)個(gè)人權(quán)利保護(hù)的同時(shí)，GDPR也關(guān)注到權(quán)利設(shè)置的科學(xué)性、現(xiàn)實(shí)性，為數(shù)據(jù)主體權(quán)利規(guī)定了適用的例外情形。GDPR第23條規(guī)定了所有數(shù)據(jù)主體權(quán)利適用的例外情形，具體包括：（1）國(guó)家安全；（2）公共防衛(wèi)；（3）公共安全；（4）預(yù)防、調(diào)查、偵查、起訴刑事犯罪或者執(zhí)行刑事處罰，包括對(duì)公共安全威脅預(yù)防的情形；（5）成員國(guó)的一般公共利益，特別是經(jīng)濟(jì)或財(cái)政以及公共健康、公共安全相關(guān)的公共問(wèn)題；（6）司法程序相關(guān)問(wèn)題；（7）預(yù)防、調(diào)查、偵查和起訴違反職業(yè)道德規(guī)范的情形；（8）涉及上述問(wèn)題政府履行監(jiān)管職能的情形；（9）對(duì)數(shù)據(jù)主體及相關(guān)主體權(quán)利保護(hù)的情形；（10）執(zhí)行民事賠償情形。除一般性例外規(guī)定外，GDPR對(duì)知情權(quán)、被遺忘權(quán)、拒絕權(quán)又分別規(guī)定了具體的例外規(guī)則。

3.1　對(duì)于知情權(quán)的例外規(guī)定

GDPR明確了數(shù)據(jù)主體有獲取數(shù)據(jù)處理相關(guān)信息的權(quán)利，但在下列情形下，數(shù)據(jù)控制者可不向數(shù)據(jù)主體提供相關(guān)信息，包括：（1）數(shù)據(jù)主體已經(jīng)獲得相關(guān)信息；（2）信息的提供不具有現(xiàn)實(shí)可行性；（3）成員國(guó)國(guó)內(nèi)法對(duì)于可披露的信息進(jìn)行了規(guī)定；（4）依據(jù)成員國(guó)法律規(guī)定必須保密。

3.2　對(duì)被遺忘權(quán)的例外規(guī)定

被遺忘權(quán)是GDPR首次提出的數(shù)據(jù)權(quán)利類型，對(duì)于個(gè)人數(shù)據(jù)保護(hù)具有里程碑式的意義，也引發(fā)了理論界和實(shí)務(wù)界的深入探討。GDPR對(duì)被遺忘權(quán)進(jìn)行了嚴(yán)謹(jǐn)?shù)闹贫仍O(shè)計(jì)，同時(shí)規(guī)定了適用條件和不適用的例外情形，進(jìn)一步限定了被遺忘權(quán)行使的場(chǎng)景。根據(jù)GDPR第17條第3款的規(guī)定，基于如下原因數(shù)據(jù)主體不享有被遺忘權(quán)：（1）為行使言論自由和信息自由的必要；（2）根據(jù)成員國(guó)法律規(guī)定，為遵守?cái)?shù)據(jù)控制者的法定義務(wù)，或?yàn)榱斯怖娴谋匾唬?）為實(shí)現(xiàn)公共衛(wèi)生領(lǐng)域的公共利益的必要；（4）為了公益性的存檔、科學(xué)或歷史研究目的，且不會(huì)對(duì)數(shù)據(jù)主體的權(quán)利造成嚴(yán)重?fù)p害；（5）為了設(shè)立、行使、捍衛(wèi)合法求償權(quán)的必要。

3.3　對(duì)拒絕權(quán)的例外規(guī)定

GDPR規(guī)定特定情形下，數(shù)據(jù)主體無(wú)權(quán)拒絕自動(dòng)決策結(jié)果，包括：（1）自動(dòng)決策結(jié)果是數(shù)據(jù)主體與數(shù)據(jù)控制者之間建立合同或?qū)嵤┓尚袨榈谋匾獥l件；（2）根據(jù)成員國(guó)法律規(guī)定，對(duì)于數(shù)據(jù)主體的權(quán)利已經(jīng)采取了適當(dāng)?shù)谋Ｗo(hù)措施；（3）數(shù)據(jù)主體明示同意。

4　數(shù)據(jù)主體權(quán)利適用例外的價(jià)值考量

歐盟立法者在堅(jiān)持對(duì)數(shù)據(jù)主體權(quán)利充分保護(hù)原則的基礎(chǔ)上，充分考慮各成員國(guó)國(guó)內(nèi)立法情況，綜合平衡多方價(jià)值需求，對(duì)數(shù)據(jù)主體權(quán)利做出了限制性的規(guī)定。

4.1　國(guó)家利益與個(gè)人權(quán)利的平衡

例外規(guī)定首先考慮國(guó)家利益與個(gè)人利益之間的平衡。在個(gè)人權(quán)利與國(guó)家整體利益出現(xiàn)沖突時(shí)，GDPR立法者選擇個(gè)人權(quán)利服從于國(guó)家利益。如在第23條的一般性限制條款中規(guī)定，當(dāng)涉及國(guó)家安全問(wèn)題時(shí)，可以限制數(shù)據(jù)主體的權(quán)利。

4.2　公共利益與個(gè)人權(quán)利的平衡

除國(guó)家利益外，個(gè)人權(quán)利也應(yīng)讓渡于社會(huì)整體的公共利益。如第23條規(guī)定當(dāng)涉及公共安全、刑事偵查、財(cái)政金融、公共健康、司法程序、政府監(jiān)管等領(lǐng)域的相關(guān)問(wèn)題時(shí)，個(gè)人的數(shù)據(jù)權(quán)利也應(yīng)當(dāng)受到相應(yīng)限制，服從于社會(huì)整體的公共價(jià)值。被遺忘權(quán)中也規(guī)定了為保護(hù)公共利益需求可以限制數(shù)據(jù)主體行使被遺忘權(quán)。

4.3　數(shù)據(jù)主體權(quán)利與其他自然人權(quán)利平衡

當(dāng)數(shù)據(jù)主體的權(quán)利與其他自然人權(quán)利發(fā)生沖突時(shí)，GDPR對(duì)于數(shù)據(jù)主體權(quán)利也不是絕對(duì)的保護(hù)，而是根據(jù)雙方權(quán)利屬性、重要程度進(jìn)行權(quán)衡。當(dāng)數(shù)據(jù)主體權(quán)利在重要性、維護(hù)成本等方面低于其他自然人權(quán)利時(shí)，數(shù)據(jù)主體權(quán)利需要讓渡于其他自然人的權(quán)利。如第23條規(guī)定了出于保護(hù)他人權(quán)利、自由或執(zhí)行民事賠償?shù)囊?，可限制?shù)據(jù)主體權(quán)利。被遺忘權(quán)中也規(guī)定了，為保障公民的言論自由（基本權(quán)利）可以限制數(shù)據(jù)主體行使被遺忘權(quán)。

4.4　GDPR與國(guó)內(nèi)法沖突的平衡

GDPR是歐盟層面發(fā)布的條例層級(jí)的文件，其對(duì)于成員國(guó)具有強(qiáng)制效力。但GDPR仍然為成員國(guó)保留了自主規(guī)定的空間，如允許成員國(guó)對(duì)于兒童的年齡在13～16歲之間做出調(diào)整，允許成員國(guó)對(duì)處罰標(biāo)準(zhǔn)自行規(guī)定等。因此，當(dāng)GDPR的具體規(guī)定與歐盟成員現(xiàn)行國(guó)內(nèi)立法發(fā)生沖突時(shí)，GDPR同樣選擇尊重成員國(guó)國(guó)內(nèi)法的規(guī)定。如在數(shù)據(jù)主體的知情權(quán)方面，如果國(guó)內(nèi)法規(guī)定了可以披露的信息的范圍，則數(shù)據(jù)主體的知情權(quán)只能在允許的范圍內(nèi)實(shí)現(xiàn)。如果國(guó)內(nèi)法規(guī)定相關(guān)內(nèi)容屬于保密內(nèi)容，數(shù)據(jù)主體的知情權(quán)則無(wú)法實(shí)現(xiàn)。

4.5　尊重?cái)?shù)據(jù)主體放棄權(quán)利的主觀意志

在對(duì)國(guó)家利益、公共利益以及其他自然人重要權(quán)益進(jìn)行衡量的同時(shí)，GDPR也充分尊重?cái)?shù)據(jù)主體的選擇權(quán)。GDPR第7條確定了用戶同意的基本原則，即處理個(gè)人數(shù)據(jù)必須經(jīng)過(guò)數(shù)據(jù)主體的同意。在數(shù)據(jù)主體權(quán)利保護(hù)方面，同樣體現(xiàn)了尊重?cái)?shù)據(jù)主體主觀意志的理念。當(dāng)數(shù)據(jù)主體通過(guò)明示方式表示同意放棄數(shù)據(jù)權(quán)利時(shí)，數(shù)據(jù)控制者（或數(shù)據(jù)處理者）可以不受數(shù)據(jù)主體權(quán)利的強(qiáng)制性要求。例如，數(shù)據(jù)主體明確放棄拒絕權(quán)時(shí)，自動(dòng)決策結(jié)果可直接對(duì)數(shù)據(jù)主體產(chǎn)生法律效力。

4.6　考慮權(quán)利實(shí)現(xiàn)的現(xiàn)實(shí)可能性

當(dāng)數(shù)據(jù)主體的權(quán)利不具有實(shí)施的現(xiàn)實(shí)可能性時(shí)，GDPR也規(guī)定了不再?gòu)?qiáng)調(diào)對(duì)數(shù)據(jù)主體權(quán)利的保障。如在知情權(quán)的規(guī)定中，數(shù)據(jù)主體本身享有對(duì)其個(gè)人數(shù)據(jù)處理相關(guān)信息的知情權(quán)，且知情權(quán)是其他數(shù)據(jù)權(quán)利實(shí)現(xiàn)的基礎(chǔ)。但當(dāng)相關(guān)信息不再具有獲取的可能性時(shí)，數(shù)據(jù)主體不再具有要求權(quán)利履行的現(xiàn)實(shí)基礎(chǔ)，不得再要求數(shù)據(jù)控制者履行相關(guān)義務(wù)。

4.7　對(duì)科研研究適當(dāng)放寬要求

當(dāng)個(gè)人數(shù)據(jù)處理用于科學(xué)研究的目的時(shí)，GDPR要求數(shù)據(jù)主體在一定程度上讓渡權(quán)利。如在對(duì)被遺忘權(quán)的規(guī)定中，在不會(huì)對(duì)數(shù)據(jù)主體權(quán)益造成嚴(yán)重?fù)p害的前提下，為歷史存檔、科學(xué)研究等目的，可以限制數(shù)據(jù)主體的被遺忘權(quán)，不對(duì)其個(gè)人數(shù)據(jù)進(jìn)行刪除。

5　GDPR數(shù)據(jù)主體權(quán)利規(guī)定對(duì)我國(guó)的啟示

目前我國(guó)《網(wǎng)絡(luò)安全法》、《民法總則》、《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《消費(fèi)者權(quán)益保護(hù)法》等法律文件都對(duì)個(gè)人信息保護(hù)進(jìn)行了規(guī)定，基本確立了我國(guó)個(gè)人信息保護(hù)的法律框架，但我國(guó)尚未制定專門的個(gè)人信息（數(shù)據(jù)）保護(hù)立法。隨著數(shù)字經(jīng)濟(jì)發(fā)展，大數(shù)據(jù)、云計(jì)算、人工智能等新技術(shù)新應(yīng)用不斷涌現(xiàn)，個(gè)人信息領(lǐng)域的立法空白日漸凸顯。歐盟GDPR在個(gè)人數(shù)據(jù)權(quán)利方面的設(shè)定以及對(duì)限定因素的考量，對(duì)于我國(guó)未來(lái)確立個(gè)人信息權(quán)利、完善個(gè)人信息保護(hù)制度的立法工作有現(xiàn)實(shí)的參考價(jià)值。

5.1　我國(guó)現(xiàn)行立法對(duì)個(gè)人信息保護(hù)的規(guī)定

目前，關(guān)于個(gè)人信息保護(hù)的規(guī)定散見(jiàn)于多層級(jí)、多部門的法律文件之中，對(duì)于侵犯公民個(gè)人信息的行為規(guī)定了民事、行政和刑事法律責(zé)任?！睹穹倓t》在“民事權(quán)利”一章中規(guī)定，“自然人的個(gè)人信息受法律保護(hù)”?！毒W(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”中明確了個(gè)人信息保護(hù)的基本制度。包括收集、使用用戶信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，獲得用戶同意；網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施保護(hù)用戶個(gè)人信息安全；個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違法、違約收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息等?！缎谭ā穼?duì)于非法獲取公民信息罪和出售、非法提供公民個(gè)人信息做了規(guī)定?！断M(fèi)者權(quán)益保護(hù)法》、《征信管理業(yè)管理?xiàng)l例》等對(duì)具體領(lǐng)域個(gè)人信息保護(hù)進(jìn)行了規(guī)定。

但我國(guó)現(xiàn)有的法律體系并未對(duì)個(gè)人信息的權(quán)利屬性和權(quán)利內(nèi)容進(jìn)行明確。即個(gè)人信息是否屬于一種權(quán)利，其在權(quán)利屬性上屬于哪類權(quán)利類型等，以及其具體包含了哪些權(quán)利內(nèi)容（權(quán)項(xiàng)），在目前的立法中都沒(méi)有明確的界定。學(xué)術(shù)界、實(shí)務(wù)界對(duì)于此問(wèn)題存在著廣泛的討論和爭(zhēng)議。需要在未來(lái)的個(gè)人信息保護(hù)立法中對(duì)這一問(wèn)題進(jìn)行明確和澄清，以更加系統(tǒng)、全面地實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)。

5.2　GDPR數(shù)據(jù)主體權(quán)利及例外規(guī)定對(duì)我國(guó)的借鑒

通過(guò)對(duì)GDPR中數(shù)據(jù)主體權(quán)利以及例外規(guī)定的梳理，體會(huì)立法者對(duì)于不同情形、不同利益的權(quán)衡，考慮到我國(guó)目前個(gè)人信息保護(hù)立法現(xiàn)狀，筆者認(rèn)為，我國(guó)未來(lái)對(duì)個(gè)人信息保護(hù)的實(shí)踐和在立法工作中，應(yīng)當(dāng)考慮在以下3個(gè)方面借鑒歐盟經(jīng)驗(yàn)。

（1）明確對(duì)個(gè)人信息權(quán)的保護(hù)

立法中可以考慮明確對(duì)個(gè)人信息權(quán)利的保護(hù)，確立其作為公民個(gè)人權(quán)利的屬性。但由于目前對(duì)于個(gè)人數(shù)據(jù)權(quán)的屬性的討論尚無(wú)定論，我國(guó)可借鑒歐盟做法，擱置對(duì)于其權(quán)利屬性的爭(zhēng)議，先明確其作為公民權(quán)利的地位。同時(shí)，可以考慮采用GDPR的立法模式，在強(qiáng)化對(duì)公民個(gè)人信息權(quán)利保護(hù)的同時(shí)，也強(qiáng)調(diào)不是絕對(duì)保護(hù)而是相對(duì)的保護(hù)。根據(jù)實(shí)踐的需求，為個(gè)人信息權(quán)設(shè)定相應(yīng)的例外規(guī)定，保證個(gè)人信息權(quán)科學(xué)、有效的實(shí)現(xiàn)。

（2）明確個(gè)人信息權(quán)的權(quán)利內(nèi)容

GDPR目前主要確定了六項(xiàng)數(shù)據(jù)主體權(quán)利，并對(duì)各項(xiàng)權(quán)利的內(nèi)容進(jìn)行了具體闡釋。我國(guó)未來(lái)立法中也可考慮，除了確定個(gè)人信息權(quán)的地位外，還要對(duì)權(quán)利的具體內(nèi)容進(jìn)行詳細(xì)闡釋。明確規(guī)定公民對(duì)其個(gè)人信息所享有的權(quán)利內(nèi)容，以及數(shù)據(jù)的收集者、使用者應(yīng)當(dāng)承擔(dān)的義務(wù)，并適當(dāng)規(guī)定每個(gè)權(quán)項(xiàng)下適用的例外情形。

（3）對(duì)個(gè)人信息權(quán)設(shè)定例外條款考慮的因素

對(duì)個(gè)人信息權(quán)進(jìn)行充分保護(hù)，還要注重與其他法益的協(xié)調(diào)。根據(jù)GDPR的規(guī)定，我國(guó)未來(lái)立法在規(guī)定個(gè)人信息適用例外條款時(shí)，可以考慮以下方面的因素：一是國(guó)家整體利益；二是社會(huì)公益；三是對(duì)其他自然人權(quán)益的影響；四是與現(xiàn)有法律法規(guī)規(guī)定的銜接；五是科研、統(tǒng)計(jì)等對(duì)數(shù)據(jù)要求。

6　結(jié)束語(yǔ)

通過(guò)對(duì)GDPR關(guān)于數(shù)據(jù)主體權(quán)利規(guī)定的梳理，明確了歐盟立法者在加強(qiáng)對(duì)數(shù)據(jù)主體權(quán)利保護(hù)的同時(shí)，也對(duì)國(guó)家利益、公共利益、其他自然人權(quán)利等進(jìn)行了權(quán)衡和考量。在未來(lái)我國(guó)個(gè)人信息保護(hù)的立法和實(shí)踐中，可以參考?xì)W盟的此種立法思路，對(duì)于公民個(gè)人信息進(jìn)行相對(duì)的、科學(xué)的、理性的保護(hù)。