我国数据立法的思考和建议

陆峰

2016年4月14日，欧洲议会投票通过了《通用数据保护条例》（下称《条例》），取代了1995年发布的《欧盟数据保护指令》，该条例将于今年5月25日生效。《条例》开创性地提出数据被遗忘权、可携权等，并就众多例外应用情形做了特别规定，较好地兼顾个人信息保护和数字社会发展。

然而，目前国内对《条例》仍然存在一些认识误区，比如，认为《条例》会限制经济社会发展，个人随时可以主张删除数据，数据可携权无条件限制，数据跨境转移变得更为严格，数据控制者权益被极大剥夺等。所以，正确认识欧盟《条例》的创新性和立法的严谨性，对推动我国数据立法具有重要借鉴意义。

对《条例》的六个认识误区

误区一：会限制经济社会发展

《条例》要求，不能以保护个人数据为由，对欧盟内部个人数据的自由流动进行限制或禁止。《条例》认为，数据主体享有的权利并不是绝对的，有关数据权利应当与其他权利及正当利益之间形成恰当的平衡关系，以更好地促进经济社会发展。

为此，《条例》应兼顾平衡，对个人数据保护权利作出适当限制，对义务、责任予以适当豁免。例如，数据访问权、被遗忘权、数据可携权等条款，均要在有限定条件下实行，规模在250人以下的中小企业可以豁免其数据活动文档化记录义务，引入多种变通机制来调和不同权利。

误区二：个人信息使用必须征得个人同意

《条例》未将用户同意作为数据收集和使用的唯一合法理由。考虑到数据处理的多种可能场景以及其他正当利益需求，除了数据主体同意之外，《条例》还规定了五类个人数据处理情形， 可以默认为“同意”的替代机制，包括：数据控制者为了公共利益或履行法律职责的需要，为了履行数据主体所参与的合同，为了保护数据主体或其他自然人的核心利益，保护数据控制者或第 三方所追求的正当利益等五种情况。

误区三：个人随时可以主张删除数据

《条例》提出的“被遗忘权”，是指当用户依法撤回同意或控制者不再享有合法理由继续处理数据等情形时，用户有权要求删除数据，该权利是传统个人数据保护法中“删除权”的升级。

《条例》要求数据控制者采取所有合理方式予以删除，并通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接等。但在开放的网络空间，要控制者去确定并通知所有第三方删除，操作难度非常大，几乎难以完成。此外，《条例》规定了不适用“被遗忘权”例外情形，包括基于表达自由、信息自由、公共利益、履行法律职责、历史记录、社会统计、科学研究、合法权利等多种情形。

误区四：数据可携权无条件限制

《条例》明确了个人有权获得其提供给数据控制者的相关个人数据、且获得的个人数据应当是结構化的、普遍可使用的和机器可读的。同时，《条例》也明确了“可携权”适用的两个限定条件：在“用户同意”基础上的数据处理活动和处理通过自动化方式完成。

《条例》同时要求可携带不能对他人的权利或自由产生负面影响，对于涉及到其他第三方个人数据的数据转移，只能 将此类数据用于个人和家庭事务目的。

《条例》同时认为，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输给另一个控制者，考虑到技术可行性，《条例》并没有将可携权上升到推广强制性的互兼容和互操作技术标准的程度。

误区五：数据跨境传输比以前更为严格

《条例》对跨境数据流动政策进行了大幅度改革，开辟了更多的合法数据跨境方式，提升跨境流动的灵活度。针对事前许可制度却带来官僚主义问题，《条例》简化了数据跨境传输机制，取消许可管理做法，只要符合了《条例》中跨境数据流动的相关条件，成员国则不得再通过许可方式予以限制。

增加了充分性认定的对象类型，除了国家之外，还可针对一国的特定地区、行业领域，以及国际组织的保护水平作出评估判断。扩展“标准合同条款”，为企业提供更多符合实际需求的跨境转移合同文本选择。将“有约束力的公司规则”正式确定为法定有效的数据跨境机制，使得个人数据可以从集团内的一个成员合法传输给另一个成员。

误区六：数据控制者权益被极大剥夺

《条例》将数据控制者的正当利益与用户同意并列作为数据处理的合法理由，表明了个人的权利并不总是优先，而是需要在用户个人权利与数据控制者的合法利益之间做出平衡。

比如，在下列情况下，数据控制者的权利将得到法律保护：基于交易历史的直接推广、以预防欺诈为目的的数据处理活动、出于保障网络信息安全目的处理个人信息、在集团或者系统内部出于行政管理需要的数据披露、向主管部门报告犯罪或者公共安全重大威胁。

对我国数据立法的几点建议

统筹考虑个人信息保护和产业创新发展

一是坚持有条件保护个人信息的原则。在涉及公共利益、科学研究、社会统计、言论自由、新闻传播、个人其他权益等情况下，需要综合权衡个人信息保护和社会发展进步的需要。

二是在加强个人信息保护的同时，也要为促进产业创新发展预留空间，可借鉴欧盟的做法采取数据访问权、被遗忘权、数据可携权等权利规定，但具体实施均需要在有限定条件下实行，否则会给企业发展带来束缚，增加产业发展成本。

三是尽可能引入多种变通机制来调和不同权利，比如，在原则性禁止条款中，设置用户同意例外等原则，为产业创新预留空间。

统筹考虑数据所有者和数据控制者权益

一是数据所有者主张的数据访问权、被遗忘权、数据可携权等权利的实行，不能损害到数据控制者本应该具备的权利。例如，被遗忘权会损害数据控制者对数据历史溯源，数据可携权可能影响到不同控制者之间的公平竞争，这就需要实行有限定的被遗忘权、数据可携权等权利，否则无限制的权利会给企业增加巨大负担。

二是数据控制者在某些情况下开发利用数据，比如精准营销、预防欺诈、保障网络信息和社会公共安全、集团内部管理等情况，都需要得到法律保护和支持，个人信息使用无需个人同意，可以默认为“同意”的替代机制。

统筹考虑数据保护需求和数据保护成本

一是统筹考虑网络信息安全风险的不可测性，以及企业数据保护成本，对企业已经按法律法规规定对个人数据进行严密保护的情形下，个人信息仍发生泄露等意外事件，可以部分免除企业责任。

二是对数据所有者主张的被遗忘权，考虑到网络空间的开放性，删除网络空间所有数据副本具有较大难度，建议实施可发现有限范围的被遗忘权，对数据所有者可发现的数据副本，有权要求数据控制者采取措施进行删除。