丁晓东:什么是数据权利?

  • 时间:
  • 浏览:0
  • 来源:大发棋牌有多少人赢_大发棋牌登录_大发棋牌苹果下载安装

   摘要:  欧洲《一般数据保护条例》是全球被委托人数据保护的最重要立法之一。通过对该条文的分析,还可不可以发现该法案采取了强化数据主体对被委托人数据控制的导向。通过对赋予数据主体的数据隐私权的分析,还可不可以发现什儿 权利同时具另一人个格权与财产权的特性,其边界从不清晰,也从不一定能实现立法者所期望实现的目的。保护隐私权益,应当更多采取公法风险规制与消费者法保护的框架,而都是寻求两种具有选择性边界的隐私权或被委托人信息权。这是可能性,数据隐私都要放进特定的语境与社群中才能理解,只有结合具体语境与社群中的信息流通,才能准确思考隐私的边界与被委托人数据流通的合理性,才能对相关权利进行合理的界定。

   关键词:  《一般数据保护条例》;数据隐私;数据权利;语境;风险规制;消费者保护

   2016年4月27日,欧洲议会通过了规制被委托人数据或被委托人信息的《一般数据保护条例》(General Data Protection Regulation,英文简称“GDPR”,下文将简称《条例》),[1]其他已于2018年5月25日正式生效,替代此前的“95指令”。

   对于从前一部极为重要的隐私与数据法,不仅欧洲国家对其进行了大量的讨论,美国等域外国家也积极参与了其立法过程,[2]其他发表了大量研究。[3]一方面,《条例》对美国商业领域和隐私法领域产生了极为重要的影响,诸如Google、Facebook从前的互联网企业将直接受到《条例》的管辖,一旦违反《条例》的规定,企业可能性面临高额罚款。被委托人面,《条例》在隐私法与数据保护领域的创新,类似 被遗忘权、数据携带权等权利的规定将改写现有的隐私与数据保护法框架。可能性缺少对有有哪些问题的探讨,只有未来隐私法与数据保护法的规则制定权就将牢牢地掌握在欧洲国家的身旁。

   在中国,对于《条例》的介绍、讨论和参与仍然很少。目前,只有大量译介《条例》的文章与著作,而对于《条例》的全面分析,包括对《条例》所规定的被遗忘权、数据携带权、反对自动补救权的层厚分析则更是指在起步阶段。[4]

   什儿 现状无疑指在不小的问题。首先,和美国等其他国家一样,《条例》所设定的宽泛的管辖范围会对中国企业产生重大和直接影响。当中国企业数据业务涉及“为欧盟内的数据主体提供商品或服务——不论否有要求数据主体进行支付”,可能性“监控指在在欧洲范围内的数据主体的活动”时,[5]就受到《条例》的规制。这假如有一天说,可能性某家中国企业通过相关数据分析欧盟某成员国的消费者。据以准备供货订单,可能性分析中国公民在欧盟内活动的数据,即使大伙儿儿使用的是诸如微信、淘宝从前的平台,也都要遵守《条例》的规则。[6]其次,从未来隐私法与数据保护的规则制定来说,对于《条例》的整体分析以及对其具体制度的层厚分析也具有迫在眉睫的需求。尽管中国的互联网企业和其他企业可能性具备了和美国等大型企业竞争的能力,但在隐私与数据保护规则等方面,中国的企业与知识界的准备却远远欠缺。还可不可以想见,可能性未来中国企业希望进入欧洲市场,可能性进入其他隐私与数据保护标准较高的市场,其所面临的制度风险将远远超过欧洲企业和美国企业。最后,从学术的层面来看,《条例》所规定的一系列数据主体的权利可能性对现有的法律理论提出了新的挑战。怎么理解隐私与被委托人数据?被委托人数据是两种被委托人还可不可以随意补救的财产或准财产,还是只有否随意补救的被委托人人格的一主次?对隐私与被委托人数据的保护应当采取财产权保护的框架,还是人格权保护的框架?可能性否有应当将被委托人数据视为两种知识产权,采取知识产权的保护框架?对《条例》进行分析,将能够大伙儿儿理解有有哪些根本性的学术问题。

   基于有有哪些考虑,本文将首先介绍《条例》的整体框架与重点条文,指出《条例》从整体上采取了两种强化数据主体权利的进路。之前 指出什儿 强化数据主体权利的进路面临着界定的问题:无论是将数据隐私界定为两种人格权还是界定为两种财产权,都面临着不小的困境。究其导致 分析,现有对数据权利、隐私权、人格权与财产权的思考都只有充分考虑语境与社群的隐私。一旦大伙儿儿将有有哪些概念与特定语境及社群中的信息流通结合起来,就能更合理地理解数据隐私的本质,也才能更好地反思数据隐私保护的法律框架。保护数据隐私不应当期待还可不可以寻求两种客观的权利边界,而应当更多采取风险规制的公法框架与尊重预期的消费者法框架,通过这另一个多 框架来界定相关权利的边界。

一、《条例》鸟瞰

   从章节设置来看,《条例》一共分为十一章,分别是一般条款;原则;数据主体的权利;控制者和补救者;将被委托人数据转移到第三国或国际组织;独立监管机构;战略合作与融贯性;救济、责任与惩罚;和特定补救请况相关的条款;授权法案与实施性法案;最后条款。

   第一章规定了《条例》所涉及的主要事项与目标、适用范围、地域管辖范围以及相关概念的定义。就主要事项与目标来说,《条例》开宗明义,“本条例制定关于补救被委托人数据中对自然人进行保护的规则,以及被委托人数据自由流动的规则”,[7]将保护自然人的自然数据权利和设定被委托人数据自由流动规则作为条例的主要事项与目标。就适用范围来说,条例设定了宽泛的管辖权,[8]类似 ,就地域管辖范围来说,条例除了规定在欧盟内控 设立的数据控制者或补救者的数据补救受本条例管辖之外,[9]还规定了“为欧盟内的数据主体提供商品或服务——不论否有要求数据主体进行支付;可能性监控指在在欧洲范围内的数据主体的活动”,此类数据补救也受条例的管辖。这就导致 分析,可能性《条例》得到严格执行,《条例》的管辖范围不仅仅限于欧盟内控 ,其他会影响到其他各国企业与实体的数据补救。就定义来说,其中最为重要的是被委托人数据的定义:“‘被委托人数据’的含义是任何已识别或可识别的自然人(‘数据主体’)相关的信息;另一个多 可识别的自然人是另一个多 才能被直接或间接识别的个体,有点是通过诸如姓名、身份编号、地址数据、网上标识可能性自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。”[10]

   第二章是数据补救的一般原则。《条例》规定了六项原则。[11](a)“合法性、合理性和透明性”原则:“对涉及数据主体的被委托人数据,应当以合法的、公平的和透明的辦法 来进行补救。”(b)“目的限制”原则:“被委托人数据的收集应当遵循具体的、清晰的和正当的目的,对被委托人数据的补救不应当和此类目的不相容。”(c)“数据最小化”原则:被委托人数据对于为了实现数据补救目的来说应当是适当的、相关的和必要的。(d)“准确性”原则:被委托人数据应当是准确的,如有必要,都要及时更新;都要采取所有步骤,保证为了实现某项目的而补救的不准确的被委托人数据被擦除或及时更正。(e)“限期储存”原则:“对于才能识别数据主体的被委托人数据,其保存辦法 应当不长于为了实现被委托人数据补救目的所必要的期限;超过此期限的数据补救只有在如下请况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织辦法 。”(f)“诚实与保密”原则:“被委托人数据的补救应当通过合理的技术或组织手段,保障被委托人数据的合理安全,包括防御未授权或非法的补救,防御意外损失、销毁或损害。”同时,《条例》还规定“可问责性”原则,控制者除了遵守以上六点补救原则,“其他应当有责任对此提供证明”。

   第二章还对补救的合法性所需满足的条件作出了规定。第6条规定,补救的合法性都要满足某项条件,类似 “数据主体可能性同意基于一项或多项目的而对其被委托人数据进行补救”。而在数据主体未表示同意的请况下,补救的合法性都只是为了实现数据主体利益、[12]履行公共职责、[13]保护第三人核心利益、[14]实现公共利益、[15]控制者或第三人的正当利益[16]。而对于何谓数据主体的同意,《条例》作出了标准很高的规定。控制者首先负有举证责任,其有责任证明“数据主体可能性同意对其被委托人数据进行补救”。[17]其次,“可能性数据主体的同意是在涉及其他事项的书面声明的请况下作出的,请求获得同意应当完正区别于其他事项,其他应当以两种容易理解的形式,使用清晰和平白的语言”,任何控制者所发表的免责声明都是具有效力。[18]再次,“数据主体应当有权随时归还其同意”。[19]最后,《条例》还规定,“分析同意否有自由做出的,应当最大限度地考虑的其他是:对契约的履行——包括履行条款所规定的服务——否有要求同意履行契约所从从不的被委托人数据补救。”[20]

   第三章规定了数据主体所拥有的权利。第12条至第14条规定数据主体获取信息的权利,在收集数据主体信息之前 ,其有权获取控制者的身份与完正联系辦法 、补救目的等相关信息。第15条至第22条规定了数据主体对被委托人数据的访问权、更正权、擦除权(“被遗忘权”)、限制补救权、数据携带权、一般反对权和反对自动化补救的权利。其中,最重要的当属对数据的访问权、更正权、擦除权与携带权。

   就访问权而言,《条例》规定,“数据主体应当有权从控制者处得知,关于其被委托人数据否有正在被补救”,而可能性正在被补救话语,数据主体“有权访问被委托人数据”和获知一系列信息,包括补救的目的、相关被委托人数据的类型、被委托人数据可能性被或将被披露给接收者或接收者的类型、被委托人数据将被储存的预期期限、数据主体所拥有的相关权利。[21]就更正权而言,《条例》规定:“数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑补救目的的前提下,数据主体应当有权完善不充分的被委托人数据,包括通过提供额外声明的辦法 来进行完善。”[22]就擦除权(“被遗忘权”)而言,《条例》规定在其他请况下,“数据主体有权要求控制者擦除关于其被委托人数据的权利”。类似 ,可能性“被委托人数据对于实现其被收集或补救的相关目的不再必要”,[23]可能性数据主体归还同意,[24]可能性“可能性指在非法的被委托人数据补救”。[25]就携带权而言,《条例》规定:“数据主体有权获得其提供给控制者的相关被委托人数据,其他其获得被委托人数据应当是经过收集的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给从前控制者。”[26]

第四章规定了数据控制者和补救者的责任。其中第一主次第25条至第31条规定了控制者与补救者的一般责任。类似 第25条规定,控制者都要承担“通过设计的数据保护和默认的数据保护(data protection by design and by default)”的责任。所谓通过设计的数据保护,指的是控制者应当有一套固有的数据保护机制,而从都是采取其他临时性和个案性的保护辦法 。[27]而所谓的默认的数据保护,指的是控制者的数据保护责任是两种缺省规则。[28]第二主次规定了控制者与补救者对于被委托人数据安全所应承担的责任和采取的辦法 。类似 第32条规定,在考虑了“最新水平、实施成本、补救的性质、补救的范围、补救的语境与目的之前 ,以及补救给自然人权利与自由带来的伤害可能性性与严重性之前 ”,控制者和补救者应当采取“适当技术与组织辦法 ,以便保证和风险相称的安全水平”。第三主次规定了数据保护影响评估与数据补救之前 的之前 咨询要求。类似 第35条规定,当数据补救对被委托人因素“进行系统性与全面性的评价”其他“其决策对自然人产生法律影响或类似 重大影响”时,[29]补救特定类型的数据或犯罪相关数据时,[1000]可能性数据补救与大规模的辦法 系统性地监控某个公众还可不可以访问的空间相关时,[31]“控制者应当在补救之前 评估计划的补救多多守护进程 对被委托人数据保护的影响”。[32]第四主次是关于数据保护官的规定。类似 第37条规定,(点击此处阅读下一页)

本文责编:陈冬冬 发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学 本文链接:http://www.aisixiang.com/data/112527.html