其他
高富平:GDPR 的制度缺陷及其对我国《个人信息保护法》实施的警示
作
者
简
介
高富平,华东政法大学法律学院教授,法学博士。
·摘要:
《统一数据保护条例》(GDPR)是披着基本权利保护法外衣的经济立法,服务于欧洲统一数据市场需要。为实现这一目标,GDPR采取提高保护水平从而增强民众对个人信息流通利用信心的路径。然而,GDPR不仅背离其制度设计初衷,而且宽泛个人信息,模糊个人识别,泛在个人信息处理,正使其实施陷入无解的困境。缓解我国《个人信息保护法》与数字经济发展冲突的出路在于:第一,清晰认知技术变迁对于个人信息保护的挑战;第二,深刻把握个人信息的社会资源属性;第三,准确理解个人信息及处理等核心概念;第四,明确主张去标识化信息可以利用规则。·目录:一、GDPR的基本定位(一)GDPR是一部基本权利保护法(二)GDPR是一部欧洲市场统一法二、GDPR:背离初衷的制度设计(一)宽泛合法性基础未实现个人信息流通(二)加强对主体保护未实现个人信息流通(三)未考虑个人信息流通路径三、GDPR:内在缺陷带来的实施困境(一)无边的个人信息(二)模糊的个人识别(三)泛在的信息处理四、《个人信息保护法》解释适用的时代元素和方向(一)清晰认知技术变迁对于个保法的挑战(二)深刻把握个人信息是社会资源的基本定位(三)准确理解个人信息及处理等核心概念
(四)明确主张去标识化信息可以利用原则
五、结语
(一)GDPR是一部基本权利保护法
世界各国均将个人信息保护视为保护个人尊严或自由的一项基本人权(或基本权利),个保法是基本人权保护法。欧洲的个人信息保护立法源自于欧洲委员会在1981年制定的《个人信息自动处理中的个人保护公约》(下称《公约》),该《公约》是为了落实《欧洲人权公约》(缩写ECHR,1953年9月生效)。ECHR中的第8条(尊重私人和家庭生活的权利)是《世界人权公约》第12条在欧洲法中的体现,《世界人权宣言》第12条和ECHR第8条中“家庭”和“通信”在世界许多国家宪法中均已确立并有相当的历史了,但“隐私”和“私人生活”则是新的。由此欧洲将个人尊严和家庭生活受尊重,视为公民最为重要的基本权利之一。《公约》即是用来贯彻EUHR第8条,将个人信息保护视为“尊重私人生活”这一基本人权的重要内容。基于对私人生活的理解,欧洲人权法院将其分为三种类型(类型间可能有重叠):(1)包括了身体的、精神的完整;(2)隐私;(3)身份和自主。而数据保护被囊括进隐私类别之中,他们认为,使用个人信息对个人进行不可预测的分析可能对言论自由、隐私权和身份权(therighttoprivacyandidentity),以及个人自决造成影响。因此,欧洲个保法制度源自基本人权保护,源自人权意义上的隐私权。但是,之后欧盟落实《公约》过程中,将个人信息从隐私权中独立出来成为一项独立的基本权利——个人信息保护权。2000年《欧盟基本权利宪章》除了在第7条规定隐私权(与ECHR第8条同)之外,还规定了第8条,将个人信息保护上升为一种独立的公民基本权利。2009年《欧盟运行条约》(TFEU)的签署使得宪章的规定具有了法律效力。TFEU第16条重申了个人信息保护权,为对各个领域的个人信息进行全面保护提供了坚实的法律基础。GDPR也正是基于第16条制定的。基本权利具有双重属性,人格权本质上是源自对作为主体的人的保护,在普通法体系下人格权被纳入隐私权之中,而在大陆法系人格权被分为宪法上的人格权和私法上人格权。实际上,二者都是以保护自治和人的尊严为目的。但是,至今并没有国家在民法典中直接规定个人信息保护权。个人信息保护基本上是在公民基本权利层面进行。无论是否基于数据主体(信息主体,本文通用)的同意,依据GDPR数据主体可以通过随时撤回同意、拒绝性权利(限制处理权、拒绝权、拒绝自动分析约束权)、移转权和删除权“参与”到数据处理全过程,使数据主体在法律上(至少在法律形式上)能控制个人信息处理,防范个人信息滥用。这些权利是为了维护数据主体尊严,防范数据控制人的滥用行为的权利,本质上属于维护个人尊严,而非对数据的排他支配权。我们一定要明确,GDPR是一部公民基本权利保护法,而不是一部私法或人格权法,我们不能将GDPR赋予的权利与私权直接划等号。这样做最大的好处是便于国际对抗和谈判。因为我们很难拿保护私权在国际事务中说事,而一旦保护公民基本权利时,大家就可以相对抗并取得共识。(二)GDPR是一部欧洲市场统一法
欧洲议会和欧盟理事会1995年10月24日通过《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》(下称《指令》)。借助《指令》,欧盟成员国率先开启了制定个人信息保护单行法的潮流,并对整个世界产生了影响。1991年,欧洲一体化取得重大进展,欧共体首脑会议当年通过了《马斯特里赫特条约》(1993年11月正式生效),宣告了欧盟的正式成立。欧盟的目标是统一欧洲市场。本来公约已经为数据保护建立了很好的法律框架。但有些成员国拖延实施公约,而实施公约的效果也不尽相同,甚至在一些情形给个人信息向他国流动施加限制。为此,欧盟委员会非常担心统一规则的缺失会妨碍内部市场的发展,尤其是对个人信息处理在人力资源和服务自由流动扮演重要角色的行业。1990年委员会即提出指令建议案,目的有二:一是保护个人信息权利,二是消除个人信息在共同体内部自由流通的障碍。1993年,欧共体委员会发布白皮书《增长、竞争力与就业——进入21世纪的挑战与道路》,强调信息时代的来临不可阻挡,与建立统一的商品、服务、人力资源市场一样,在欧洲建立一个统一的信息市场是提高欧洲全球竞争力的必备条件,而统一的信息法律制度是建立统一信息市场的基石,也是充分保护个人权利的必然要求。之后,经过反复争论和调研,最终在1995年10月24日《指令》获得通过。《指令》有双重目的:首先它要求成员国保护自然人基本权利和自由;其次它要求成员国不要基于保护而限制或禁止个人信息在成员国之间的流动。这两项目标相互关联,旨在使成员国达到相同的保护水平以实现内部市场的平衡发展。这两项目的可以从《指令》第1条立法目的规定看出,指令保护自然人的基本权利和自由,尤其是数据处理过程中的个人隐私权,但这不能成为各成员国限制或禁止数据在成员国之间合法流通的借口。《指令》虽然促成成员国更加一致化,但仍然不能提供完全一致的解决方案。这就导致GDPR的诞生。GDPR在形式上一改指令的指引规范,成为直接适用的欧盟法。之所以要上升为欧盟法律,是因为欧盟不满足于各成员国在立法和实施上的差异化保护,这妨碍商品、人员、服务和资本自由流动,妨碍单一市场(TheSingleMarket)建立。制定欧盟范围内统一的数据保护条例以取代分散立法的模式已成为欧盟实施“数字单一市场”战略的重要筹码。笔者对GDPR简要评价如下:GDPR通过调整个人信息处理行为来保护的对象是个人信息处理和流通过程中涉及的自然人基本权利与自由,促进个人信息在欧盟境内的自由流通,它是一部地地道道的以经济为目的的法。《法治研究》热忱欢迎学界朋友的赐稿!
稿件无论采用与否,我们都会在一个月内回复,如未能在限定时间内收到通知,烦请及时联系我们。
·官方网址:
https://fzyt.cbpt.cnki.net
·投稿邮箱:
fazhiyanjiu @vip.163.com
·联系电话:
0571-87059288