【导读】每年5月,在中国贵阳召开的中国国际大数据产业博览会(简称“数博会”)提供大平台,集中展现最新技术及实际效果,齐聚行业相关人士共商大数据产业开展大计。在2018数博会召开之际,数据观特别约请行业专家、学者、企业家深化分析产业开展现状,推出系列大数据产业深度评论专栏《博言》。明天刊发的文章,是由中国政法大学互联网金融法律研讨院院长李爱君撰写的《团体数据权益归属》。
经过欧盟议会长达四年的讨论,欧盟《普通数据维护条例》(General Data Protection Regulation,简称GDPR)在2018年5月25日失效。该文以《普通数据维护条例》为视角,讨论剖析团体数据权益归属成绩。
团体数据权益属于新型财富权
团体数据权益属于新型财富权。其新型次要表如今团体数据客体具有财富权、人格权、国度主权的属性。团体数据权益的属性是由数据权益构造决议的。数据权益的构造是由数据权益主体、数据权益内容、数据权益客体组成。团体数据权益的属性是由团体数据权益构造中的客体性质决议的。从GDPR内容剖析团体数据权益的构造:团体数据主体是自然人;团体数据权益客体是团体数据;团体数据权益的内容是权益与义务。团体数据的性质决议了团体数据权益的属性。
(一)团体数据权益的人格权属性
从GDPR中的“团体数据”定义剖析。GDPR的团体数据是指:“任何指向一个已辨认或可辨认的自然人(“数据主体”)的信息。该可辨认的自然人可以被直接或直接地辨认,尤其是经过参照诸如姓名、身份证号码、定位数据、在线身份辨认这类标识,或许是经过参照针对该自然人一个或多个如物理、生理、遗传、心思、经济、文明或社会身份的要素”定义剖析可得知团体数据具有人格属性,如姓名、身份证号码、定位数据、在线身份辨认这类标识,或许是经过参照针对该自然人一个或多个如物理、生理、遗传、心思、经济、文明或社会身份的要素”。该定义中的“姓名、身份证号码、定位数据、在线身份辨认这类标识,或许是经过参照针对该自然人一个或多个如物理、生理、遗传、心思、经济、文明或社会身份的要素”都是与人格相关的数据,因而团体数据权益具有人格权属性。
(二)团体数据权益的财富权属性
财富权是以财富为客体的权益。其特点是权益直接表现经济价值和权益可以转移。
团体数据“可转移性”。依据对GDPR“处置”的定义剖析可得出“团体数据”是可以转移的,如“处置是指针对团体数据或团体数据集合的任何一个或一系列操作,诸如搜集、记载、组织、建构、存储、自顺应或修正、检索、征询、运用、披露、传达或其他的应用,陈列、组合、限制、删除或销毁,无论此操作能否采用自动化的手腕”;依据GDPR第1章普通规则第1条主旨与目的“1. 本法就与团体数据处置相关的自然人维护及团体数据自在活动订立规则”中的“团体数据自在活动”可得出“团体数据”可转移性;依据“接纳者”的定义:“是指接纳到被传递的团体数据的,无论其能否是第三方的,自然人、法人、公共机构、行政机关或其他合法人组织。但是,政府因在欧盟或其成员国法律框架内特定调查接纳到团体数据的,不得被视为“接纳者”;政府处置这些数据该当依据数据处置的目的遵照可适用的数据维护规则。”中的“接纳”也是“团体数据”的可转移性;
团体数据的“经济价值”,表现在GDPR规则的主旨与目的上。经济价值就是利益的表现,利益就等于权益与义务。GDPR是调整团体数据使用所构成的法律关系的标准。法律关系包括主体、客体与内容,内容就是权益与义务。因而团体数据具有经济价值。
(三)团体数据权益的国度主权属性
法律自身就是国度主权的表现。首先,在欧盟境内设立数据控制或处置机构,不论其对团体数据处置的行为能否发作在欧盟境内,都受GDPR的拘谨。此管辖规则属于传统的属地主义准绳,在欧盟内设无机构,当然应受欧盟法的约束。其次,即便在欧盟境内没有设立数据控制或处置机构,有两类数据处置行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或效劳,无论能否免费或收费;另一类是对数据主体发作在欧盟内的行为停止监控的。此管辖规则实践上确立了GDPR的属人主义准绳,即不论企业在欧盟内有没有设立机构,只需其对欧盟数据主体提供了商品、效劳,或对其停止了监控,就受GDPR的拘谨。属人主义准绳确实立,大大扩展了GDPR的管辖范围。再次,在欧盟内没有设立机构,但数据处置行为,依国际公法可适用欧盟成员国法律,受GDPR的拘谨。依据此管辖规则,欧盟监管机构既不根据属地主义,也不根据属人主义,依然能够依国际公法规则对数据处置行为停止监管。第四,GDPR第5节第23条:“1.联盟或成员国的法律规则数据控制者或处置者是主体,可以经过立法措施限制第12条至22条和第34条的权益与义务的范围,以落第5条中与在第12条至22条的权益义务绝对应的条款。这样一种限制尊重了根本权益和自在的实质,是一种在民主社会必要的、相契合的措施,以此维护:(a)国度平安;(b)防卫;(c)公共平安;………”
团体数据权益归属团体数据主体
团体数据权益归数据主体。此权益属于相对权。此相对权次要表现在GDPR的第三章数据主体权益规则中。
团体数据权益是无实体财富权,团体数据没有特定的实体,无色,无味,无质量,不占有空间,不具有可理性。团体数据假如不借助于一定的载体便无法存在。团体数据财富权的这种特征不是由于有体之物而发生,相反它是依无体之物而发生。因而在占无方面,对团体数据的掌握没有客观上的物理垄断性,异样的团体数据可以同时被多个权益主体掌握;同时,团体数据的运用价值和价值在其被支配的进程中没有损害,某权益主体经过对团体数据的运用或买卖取得利益时,无法构成对其他主体经过相反方式获取直接经济利益的扫除。GDPR是以行为标准完成团体数据主体的相对权。
(一)以“赞同的要件”完成了“团体数据”的“占有”
第一,GDPR经过“第2章第7条赞同的要件”完成了“团体数据”的“占有权”,如:“如处置是基于赞同,则控制者应能证明数据主体曾经赞同处置他或她的团体数据;数据主体有权随时撤回赞同。赞同的撤回不应影响在撤回前基于赞同作出的合法的数据处置。在作出赞同前,数据主体应原告知上述权益。撤回赞同应与作出赞同异样容易”;第8条关于信息社会效劳适用于儿童赞同的条件:“1. 如适用第6条第1款(a)项,关于直接向儿童提供信息社会效劳的,对16周岁以上儿童的团体数据的处置为合法。儿童未满16周岁时,处置只要在征得父母赞同情形下或父母受权儿童赞同的范围内才合法。如儿童年龄不低于13周岁,则成员国可以经过法律途径对儿童停止受权。2. 思索到现有技术,控制者该当作出合理的努力,去核真实此种状况下父母的赞同或受权。”
(二)以“数据拜访权”完成“团体数据”的“处置”
GDPR的第15条数据拜访权:“1.数据主体该当有权从管理者处确认关于该主体的团体数据能否正在被处置,以及有权在该种状况下拜访团体数据和以下信息:(a)处置的目的;(b)有关团体数据的类别;(c)团体数据曾经被泄露或许将会被泄露给的承受者或承受者类别,特别是第三国或国际组织的承受者;(d)在能够的状况下,料想的团体数据存储时期;或许不能够时,用于确定该时期的规范;(e)有权要求管理者纠正或删除该团体数据或许限制或回绝处置关于该数据主体的团体数据;(f)向监管机构提出赞扬的权益;(g)在团体数据并非由数据主体搜集的状况下,关于其来源的任何可用信息;(h)自动化决策,以及触及到的至多,包括第22条第1款和第4款提到的概要。2.在前述状况下有意义的逻辑方面的信息,和这种处置行为对数据主体而言的意义和料想的结果。假如将团体数据转移到第三国或国际组织,数据主体该当有权依据第46条取得有关转让的适当保证的告诉。3.控制者应提供正在处置的团体数据的正本。关于数据主体要求的任何进一步的文本,控制者可以依据管理本钱收取合理的费用。假如数据主体经过电子方式提出恳求,除非数据主体另有要求,信息该当以常用的电子方式提供。4.取得第3款所指正本的权益不得对别人的权益和自在发生不利影响。
(三)以“修正和删除”完成“控制”
GDPR第3章修正和删除第16条修正权:“数据主体该当有权要求控制者无不当延误地修正不精确团体数据。思索四处理的目的,数据主体该当有权使不完好的团体数据完好,包括经过提供补充声明的方式”;第17条删除权(被遗忘权):“1.数据主体有权要求控制者无不当延误地删除有关其的团体数据,并且在下列理由之一的状况下,控制者有义务无延误地删除团体数据:(a)就搜集或以其他方式处置团体数据的目的而言,该团体数据曾经是不用要的;(b)数据主体依据第6条第1款(a)项或第9条第2款(a)项撤回赞同,并且没有其他有关(数据)处置的法律根据的状况时;(c)数据主体依据第21条第1款支持处置,并且没有有关(数据)处置的首要合法根据,或许数据主体依据第21条第2款支持处置;(d)团体数据被合法处置;(e)为恪守控制者所受制的联盟或成员国法律规则的法定义务,团体数据必需被删除;(f)团体数据是依据第8条第1款所提及的信息社会效劳的提供而搜集的。2.假如控制者已将团体数据地下,并且依据第1款有义务删除这些团体数据,控制者在思索现有技术及施行本钱后,该当采取包括技术措施在内的合理步骤,告诉正在处置团体数据的控制者,数据主体曾经要求这些控制者删除该团体数据的任何链接、正本或复制件。3.当(数据)处置关于以下情形而言是必要的时,第1款和第2款不该当被适用:(a)为了行使言论和信息自在的权益;(b)为了恪守需求由控制者所受制的联盟或成员国法律处置的法定义务,或为了公共利益或外行使被授予控制者的官方权限时执行义务;(c)依据第9条第2款(h)、(i)项以落第9条第3款,为了公共卫生范畴的公共利益的缘由;(d)依据第89条第1款,为了公共利益的存档目的、迷信或历史研讨目的或统计目的,只需第1款所述的权益很能够难以完成或许很能够严重损害该处置目的的完成;(e)为了设立、行使或保卫合法权益。
(四)“以限制处置权”完成“运用”
GDPR第18条限制处置权:“1.在下列状况之一,数据主体该当有权限制控制者处置(数据):(a)数据主体对团体数据的精确性提出争议,且允许控制者在一活期间内核实团体数据的精确性;(b)该处置是合法的,并且数据主体支持删除该团体数据,要求限制运用;(c)控制者基于该处置目的不再需求该团体数据,但该团体数据为数据主体设立、行使或保卫合法权益而必需;(d)数据主体在核实控制者的法律根据能否优先于数据主体的法律根据之前已依据第21条第1款停止处置。2.假如处置(行为)依据第1款遭到限制,除贮存之外,这些团体数据只应在数据主体赞同的状况下,或为设立、行使或保卫合法权益,或为维护其他自然人或法人的权益,或为了联盟或成员国的重要公共利益的缘由被处置。3.依据第1款有权限制处置(数据)的数据主体该当在处置限制解除之前收到控制者的告诉。
(五)以“修正或删除团体数据或限制处置的告诉义务”保证“相对权”的完成
GDPR第19条关于修正或删除团体数据或限制处置的告诉义务:“除非被证明不能够完成或许包括不成比例的任务量,控制者该当将依据第16条、第17条第1款以落第18条对团体数据停止的任何纠正、删除或许处置限制,传达给已向其披露团体数据的接纳者。假如数据主体恳求,控制者该当告诉数据主体这些接纳者。
(六)“以支持权”保证“相对权”的完成
GDPR第20条支持权:“1.数据主体有权以构造化,常用和机器可读格式接纳他或她提供应控制者的团体材料,若满足以下条件,有权将这些数据无妨碍地传送给另一个控制者:(a)处置是依据第6(1)条(a)项或第9(2)条(a)项或(6)(b)项合同的赞同;以及(b)数据处置以自动方式停止。2.在依据第1款行使其数据可移植性的权益时,在技术上可行的前提下,数据主体有权将团体数据从一个控制者向另一个控制者停止直接传输。3.本条第1款所述权益的行使不能违犯第17条的规则。该权益不适用于为实行公共利益或行使正式受权而展开义务所必需的处置控制4.第1款所述的权益不得对别人的权益和自在发生不利影响”。
(七)以“回绝权和自主决议权”保证“相对权”的完成
GDPR第4节回绝权和自主决议权第21条回绝权:“1.在牵涉其利益的特定情形下,在任何工夫处置触及第6条第1款第(e)或第(f)项规则的团体数据,和基于这些条款的剖析,数据主体享有回绝权。控制者不能处置团体数据,除非控制者可以证明不顾数据主体的利益、权益和自在处置数据或许树立、行使或维护这种法律权益具有令人服气的合理化理由。2. 团体数据由于直接营销被处置的,数据主体该当有权益回绝在任何工夫为商业目处置与其有关的团体数据,这种商业目的包括剖析到达有关这种直接营销的水平。3. 数据主体回绝为直接的商业目的处置数据的,团体数据不应该因而种目的而处置。4. 至多应在与数据主体第一次沟通时,就应该明白地提起数据主体留意在第1款和第2款中指代的权益,这些信息应该被明晰地出现且与任何其他的信息相区分。5. 在信息社会效劳运用的背景下,即便有欧共体2002年的指令,数据主体也可以经过运用技术标准的自动化方式行使其的回绝权。6. 依据第89条第1款规则团体数据因迷信或历史研讨或统计的目的被处置的,数据主体对与其有关的数据,有权益回绝对其团体数据停止处置,除非这种处置是出于公共利益的需求。”;第22条自主化的团体决策,包括剖析:“1. 数据主体有权不受仅仅依托自动化处置(包括剖析)的决议的限制,这会发生与其有关或仅仅影响其的法律结果。2. 在以下情形下,第1款不能适用:
(a)关于数据主体和一个数据控制者之间合同的树立和实行是必要的。(b)这个控制者是数据主体,以及确立维护数据主体权益、自在和合理化利益的适当措施是联盟或成员国的法律所规则的;或许(c)基于数据主体的明白赞同。3. 在触及到第2款第(a)和(c)项的状况下,数据控制者该当施行适当的措施维护数据主体的权益、自在和合理化利益,至多取得对控制者局部的人为干涉权,表达其观念和决议权。4. 在第2款触及的决议不该当基于第9条第1款提及的团体数据的停止特殊分类,除非可以适用第9条第2款的(a)或(g)项和确立适当的措施维护数据主体的权益、自在和合理化利益”。
(作者:李爱君,中国政法大学互联网金融法律研讨院院长、教授、博士生导师,中国互联网协会团体信息维护专业委员会副主任委员)
责任编辑:陈近梅