刘悦心等|大数据时代下德国数据权利保护的研究
上海政法学院人工智能法学院学生
吴惟予上海政法学院人工智能法学院讲师
龙怡上海政法学院人工智能法学院副教授
要目
一、数据来源和研究方法二、德国数据权利的概念三、德国数据保护法律法规形成发展四、德国数据权利保护法律成效五、德国数据权利保护的司法实践六、德国数据权利保护对我国的启示与展望揭示该领域研究前沿和发展趋势,为数据权利保护的启示与展望提供决策参考。以CNKI和WOS中收录的“德国数据保护及数据权利保护”主题的论文为数据来源,利用CiteSpace对该领域研究热点绘制可视化图谱,并对相关主题文献进行归纳总结。揭示该领域研究前沿和发展趋势,为数据权利保护的启示与展望提供决策参考。通过对该领域文献的研究分析,得出德国数据权利保护的研究热点主要集中在数据权利、立法保护、司法实践等方面,最后再进一步分析德国数据权利保护的启示与展望。
数据权利保护是一个较新的边缘学科,旨在解决大数据时代下的一系列新的法律问题。电子数据的收集及处理进入人们几乎各个生活领域,给法律生活及法制建设带来的一系列新的问题。在大数据广泛应用的信息化社会中,通过立法及监督等手段确保公民的合法权益不受侵犯。因为当前电子计算机被广泛应用于与人们的隐私密切相关的行业,极大地便利了人们的生活及工作;人们同时也应当清楚地认识到现代化的数据收集及处理技术也隐藏着许多隐患和危险。若电子数据的收集及处理过程中储存的个人数据保护不当或被非法利用,将对公民和社会带来不可估量的损害。所以,在大数据时代下对数据权利保护的研究就更加需要被重视。
一、数据来源和研究方法
本文数据来自中国知网数据库和Web Of Science(以下简称为WOS)。因为现阶段德国对数据保护及数据权利保护仍在研究摸索,对该主题的学术研究学者使用着表述不一的关键词,故为增强对有关主题文献的检全性,应用了多个关键词合并表达的检索式。检索时间为2021年3月20日,时间跨度为2006-2021年。将检索到的文献导入Endnote去重,并剔除各类无效文献,最终检索到的有效文献共322篇,然后将这些相关文献以Refwork格式导入CiteSpace软件中进行处理分析。
本文利用CiteSpace软件对德国数据权利的相关文献进行可视化分析,反映出世界对于德国较为成熟的数据保护领域目前的研究热点。将CiteSpace中的Node Types选为“Keyword”,绘制出共现图谱后在此基础上对相关文献的关键词进行聚类分析(如图1),以反映出关键词间的相互关系,进而展现出该领域的研究热点,从而引导我们的研究思路。基于图1的数据,我们把词频较高的关键词经过统计汇总后绘制成表1。结合图1及相关文献的研究得出目前德国数据保护及数据权利保护领域的研究热点主要集中的方向,再去除表1关键词词频统计表中的相似关键词及概念较宽泛的关键词,得出被引次数最高的几个关键词。
图1为依据WOS检索文献的研究热点聚类共现分析图。由此图可知,Citespace V 5.7.R5界面导出的数据,将德国数据权利保护研究主要分为7个聚类,分别是数据保护、公众认知、德国、议会控制、软信息和硬信息、神经网络、登陆目的。议会控制是指联邦对数据权利保护的立法行为,软硬信息则是分别指代企业与政府等不同类型的数据信息。而其中提及的神经网络与登陆目的则是因为学界针对医疗健康、智能汽车、社交软件等具体方向的数据权利保护问题有许多研究。由于笔者研究方向集中在大数据时代德国的数据权利保护法律,故选择了集中在聚类里的数据保护、公众认知、议会控制等方面,下文也即将依据这些研究前沿领域展开综合分析与论述。
二、德国数据权利的概念
数据权利是指个人、信息业者、其他组织与国家的数据关于其人格与财产法益保护的权利。数据权利在其相关的不同场合可以分为不同的种类:第一类是商业利益中的数据处理,第二类是安全、学术与归档利益中的数据处理。前者范围较广,例如,购物软件通过大数据乃至监听系统为用户提供个性化商品推荐和广告推送;智能家居在进行数据收集与智能计量后进行的自动控制行为(加热、用水、定时等);分析师通过数据评估判断脸书网络用户的肤色、性取向、智力水平、宗教信仰、政治面貌、消费记录等。
联邦数据保护法(BDSG,Federal Data Protection Act)还针对“个人数据”进行了较为明确的界定,其认为“个人数据”是指关于个人或已识别、能识别的数据主体的客观情况的信息,同时还特别规定了特殊种类的个人数据,是指关于种族血统、政治观点、宗教或哲学信仰、党派、健康情况或者性生活的信息。
法律行为是指法律事实的一种,能引起法律关系产生、变更和消灭的自然人、法人或社会组织的行为。随着互联网和大数据的飞速发展,个人数据越来越多地被用在各种方面。相关的法律行为主要包括对数据的收集、处理、使用、传播等。在进行这些法律行为时公民必须知情并同意。其中包括正当合理的使用,如为提升用户使用满意度而获取信息、为了保护使用第三人的合法权益、为了减少对国家安全与公共安全的影响或者对刑事违法行为提起诉讼以及营销、广告或者意见调查时采集的个人数据。但某些对个人数据的处理活动也会因过程中的数据泄露而侵犯公民个人权利。
在德国法律中,个人数据被视为是主体人格的一部分,具有不可转让性,类似于德国法中的版权法。但同时与版权中的使用权一样,个人数据的使用权事实上在破产程序中也可以转让给第三方,前提是需要满足一般数据保护条例(以下简称为GDPR)的规定和要求。
公共领域涉及的个人数据包括个人的基本信息、消费习惯及人脸信息。德国法律规定了特殊情况下可在公共领域进行录像:履行公共任务、行使允许或者拒绝他人进入的权利、为了具体的目的追求合法利益,并且其还规定了对监控事实以及数据控制主体的身份应当通过合理的方式为他人公知,及不得私用数据或损害其名誉。
公民个人对于自己的信息是否具有删除权和被遗忘权同样是德国现阶段正研究的重点问题。二者间的差别简单来讲即是对应关系的不同。删除权是一对一的,例如用户本人在认为其个人数据被违法收集或使用时,对企业提出删除其个人数据的要求。被遗忘权则是一对多,其不仅拥有删除权的权利,同时可以要求数据控制者对于其散布出去的个人信息采取必要措施进行消除。例如德国曾判处过的医生诉医生评级平台(Jameda平台)案中,原告医生提出评级平台删除已逾期的全部相关数据并停止公布其“个人资料”,体现的是公民有意识的行使个人数据权利中的删除权。但此案中法院认为公众对医疗服务信息的兴趣非常重要,因此得出被告平台是有助于信息交流的,患者也需要这些信息。而如果平台的信息来源依赖于每一位医生的同意,就很难以用同样的方式实现其为患者提供信息的目的。其次关于医生职业的数据和评估只涉及医生的“社会”领域,这一领域得到的保护是低于“亲密”或“秘密”隐私领域的,并不违反法律。故法院驳回了医生停止公布数据的要求,可以看出法院在审理个人数据权利案件进行综合评估时非常重视通信自由,因为这既保护作为重要中介的平台,也保护相关信息的公众和接受者,这一做法一定程度上规制了数据权利的滥用。
三、德国数据保护法律法规形成发展
德国目前已经建立了较为完善的数据保护法律体系。最早,德国数据保护源于德国宪法关于保护公民相互之间信件和通讯隐私的要求。联邦德国从1977年开始通过联邦和各州的法律来管理数据保护,并于1978年出台了联邦数据保护法,确立了数据保护的规则和框架。为执行欧盟对数据保护的指令,德国又分别于2001年、2003年、2006年和2015年对联邦数据保护法修订多次。经过两年的过渡期后,欧洲联盟一般数据保护条例于2018年5月25日生效,这代表了一项欧洲范围内有效的数据保护法,该法优先于国内法。在这一举措中,还额外涵盖了德国联邦数据保护法(BDSG)自2018年5月25日起生效的版本的规定。
针对通讯、媒体、艺术等领域特殊的数据保护要求,德国分别颁布了通讯法和媒体法等专门法规。随着大数据时代的到来,例如在远程媒体出现后,又制定了远程媒体法。同时,税法与社会保障法中对征税和社保方面的数据权利保护也作出了针对性的规定。以联邦数据保护法为基础,德国各州也根据自身实际情况制定了本州的数据保护法。这些法规构成了一个严密的法律体系,规范着德国的数据保护工作。
德国在2015年修订的联邦数据保护法中,主要呈现为六大部分。第一部分“总则”,明确了出台此法的目的和适用范围,详述了公共机构和私法主体概念并对收集、处理和使用数据时所要获取的同意进行了规定。第二部分“公共机构对数据的处理”,主要对做处理的法律依据、数据主体的权利、联邦数据专员这三个方面的定义和具体实施办法进行了详细规定。第三部分“私法主体和参与竞争的公法企业对数据的处理”,重点明确了企业机构作为主体的权利义务、法律依据、监管部门以及数据保护官的任命、职责和其行为规则。第四部分“特殊条款”,说明了“特殊秘密”条件下的使用限制条件的内容,包括作为专业和官方特殊秘密的个人数据的限制使用、研究机构和媒体对于个人数据的收集处理和使用和德国国籍广播电台数据保护官。第五和第六部分分别是“最后条款”和“过渡条款”,规定了罚款、犯罪规定和过渡时期的安排。
该法体着重体现出五大基本原则,分别是禁止法律许可保留原则、数据经济原则、同意知情原则、直接原则、合目的性及必要性原则。明确了四项权利,即知情权、修改、删除及阻滞权、拒绝权。
在国家层面,设立联邦数据保护专员,规定了联邦数据保护专员具有公法官员地位,独立行使职权,只服从于法律,受联邦政府法律监督,尽最大力度保障数据保护专员不受限于其他机关,保证其公正性。同时在内务部设立负责监督联邦政府的专员办公室,接收公民的申请、投诉、建议、意见等,作为保障数据保护工作的底线。内务部单独规划专员工作预算,以确保其独立性。法规还规定联邦数据保护专员即使在其任期结束后也应为其因履行职责而获得的信息保守秘密。此规定不适用于其履行职责时的正常通信、众所周知的事实以及未达到密级的信息。在未得到联邦内务部长同意的情况下,数据保护专员不可就此类信息在法庭内外发表任何声明。虽然数据隐私保护官员在别的国家也有设置,但其职能作用相较于德国整体较差、存在感不强,对行动与决定的监督作用有限。在地方层面,设立联邦各州数据保护专员,仅针对本州范围内的数据安全问题。在企业组织中,要设立数据保护专员,负责本机构的数据保护工作,并明确强调私营企业需在开业1个月内完成设置。
四、德国数据权利保护法律成效
德国设立了专门的监管机构来保证个人数据保护制度的顺利实施,对违反数据保护法行为的刑事责任、民事责任和行政责任等做出了详细规定。并明确规定监管机构的职责权限分工、工作程序规范等,同时又特别设立数据保护官对数据保护规定的执行情况进行监督。德国对于个人数据保护制度做出的一系列措施达到了欧盟对数据保护提出的“充分性标准”,现阶段已取得明显成效。联邦数据保护法对个人数据权利保护条款的细致和法律整体的强制性也让作为数据权利主体的公民本身对其个人数据更具保护意识,也对我国在个人数据权利保护方面建立法治体系具有良好的借鉴意义。
德国树立了安全优先的理念,对于技术革新的发展方向以及社会治理的演进目标运用法治手段,从制度层面加强法律监管和约束。依靠健全的法律法规,对技术变革带来的一系列社会问题进行细化规范和严格把控。德国通过将严格的政府执法、公共压力的行业自律和低水平的诉讼机制相结合,形成了“合作法治主义”模式。对于损害主体合法权益的行为,均采用严格执法的措施,情节严重的甚至被纳入刑法处罚的范围。
虽然数据保护法是在欧盟一级制定的,但监督是在国家一级进行的,或是在次国家一级进行的(例如德国)。根据对德国18个独立数据保护机构的定性分析可发现它们在相对统一的监管环境下开展的活动多种多样。当局在活动方向、外界沟通和监督领域等方面各不相同,一个重要的区分是预防和制裁监督活动之间的紧张关系。此外,德国数据保护当局开发了不同领域的专业知识和通信数据,当局的政治、政策和资源是他们选择预防措施还是制裁措施的重要因素。德国数据保护机构目前采用了一系列监督策略和措施来确保整体高水平的数据保护,还指出了关于如何防止数据保护中的监管竞争的各种措施。
德国首先从立法高度上明确了个人在网络空间的权利和义务,将网络空间治理政策与群众利益紧密结合起来。建立维护网络空间数据安全的奖励、举报和惩罚制度,让公众成为维护网络秩序的先锋和主力军。增强了社会认知积极性,便于形成良好的网络安全文化氛围。越来越多的公众对法律保护的范围有所了解,能够很大程度上提高自我保护意识,从数据源头保障数据权利。高度重视个人数据在网络空间的重要性,加大立法和执法力度,针对破坏及损害个人信息的行为进行严惩,增强整体社会对于数据保护的积极性。
五、德国数据权利保护的司法实践
对个人隐私的收集、处理、使用、转移等操作都需要当事人即数据权利主体知情并同意。数据主体一般需要以书面形式表达本人自主决定的意思表示,然后需要按照规定完成一系列流程。例如,生物识别系统只能在得到工作委员会的同意和数据主体同意存储其生物识别数据的情况下才能在企业中实施。且运营商必须为那些由于技术、医疗或道德原因而不能或不想参与的个人提供一个后备程序。联邦数据保护法也分别设置了数据保护官与联邦数据保护专员。前者在私法主体内部负责监督项目与增强处理人员对法律的认识;后者由联邦政府选举任命,负责提出意见、与公共机构交流、进行监督、提起诉讼。对违反法律法规的主体依法处罚,为受到侵害的个人提供申诉途径。
依据德国联邦数据保护法,对于涉及跨国数据的转移处理基本上分为两类:第一,向欧盟其他成员国内、欧洲经济区其他成员国内及欧共体内应遵守该法向公共机构、私法主体传输数据等的相关规定;保证对数据的原始国、送达国、目的、性质、处理时间、法律法规等重要信息进行高度保护。第二,转移至其他机构,应依据《Law of European Community》在保证规定权益的条件下无须进行保护。与此同时,欧盟也列出了数据保护可信国家名单,对其中除上述两类以外的部分国家德国表示认可,需要进行针对性数据传输管理。但德国并不十分认可欧盟与美国于2000年签订的安全港协议,主要由于斯诺登事件的发生。所以在实践中德国与美国的数据交流方式还要根据不同情况提出不同要求。
由于通用条例具有直接适用效力,需要制度来保证其有效的执行,并对此过程进行监督。因此,条例设立了欧盟个人数据保护委员会作为最高权力机关,由各成员国个人数据保护监督机构领导和欧盟个人数据保护专员共同组成。各成员国还必须设立独立的数据保护监督机关来负责监督《通用条款》的统一有效执行。监督机关与个人数据处理者的密切联系,增强了监督机关的影响力。为保障监督机关的执行力,条例严格规定了监督机关的独立性,监督机关的工作人员除法定任务外不得从事其他工作,机关的资金和财产受到监督。
联邦数据保护法和一般数据保护条例都规定了个人数据只能在“有限的时间内”收集。然而BDSG允许几个例外:1.除非出于有效的科学目的,否则必须以书面形式给予许可。要求数据处理方向监管机构报告自动化数据处理技术。德国明确区分了收集、处理和使用数据。未经用户许可,不允许为科学目的收集数据,但允许对收集到的数据进行处理。以科学为目而收集的数据只得用于科学领域且必须尽快匿名。2.关于通信和邮电领域只有在提供服务或开账单时有必要,才能收集个人数据,提供商必须通知用户数据的收集和目的,数据在服务结束后立即删除。
六、德国数据权利保护对我国的启示与展望
德国数据权利保护的立法在世界范围内都很先进与完善。在五十多年的立法进程中,经过多次的实践与修订,才形成了现有的值得我国参考与借鉴的联邦数据保护法。立法是通过强制力明确保护数据权利的良好手段,因此加快立法进度是世界各国较为迫切的需求。同时,需要完善有关机构的设置,分配对于个人、组织、集体的权责承担部门,加快对违法获取、使用他人数据信息的跟踪速度,加大对此的打击力度。
笔者认为,由于我国进行司法审判时以成文法为主,因此在立法问题上我们需要格外谨慎。而影响我国数据保护法律制度产生的一大问题为我国还不足以明确数据保护和数据利用的界限,所以导致在推进立法工作时不能有效地定义具体行为的性质,从而使立法较为困难。故笔者认为加快明确数据保护与数据利用的界限将会推进我国数据保护的相应法律法规或措施的出台。
在推进立法与执法进程的加速时,也需要政府与法律学者积极宣传国家在数据权利保护方面的新政策、新主张,争取提高国际影响力,增强法律认同。与此同时,要与立场相似的国家开展良好的交流与合作,分享不同观点与认知,共同推进数据权利保护在全球范围内的发展,抵制网络霸权与数据窃取,建立良好的数字网络生态。
在大数据时代,数据保护法需要包括信息流动与信息安全两方面。在满足时代化需求的信息自由,并因此努力促进经济增长的同时保护数据隐私、数据主体的个人权益。但一味追求数据保护而忽视信息自由就会不利于信息经济的发展,即不能顺应飞速发展的大数据时代。德国联邦数据保护法的改革与发展便是对信息技术发展带来的新的法律课题的积极应对,也是基于信息经济对信息自由流动发展的需求而做出的主动调整。德国联邦数据保护法的制订和修改不仅对个人数据合法权利有了进一步的保护,还为大数据时代信息流动与合法使用明确了法律规范,推动了数据时代的前进。联邦数据保护法是根据信息技术和经济发展的新情况不断做出的修改,尽可能地顺应了大数据时代发展,对我国制定相关领域的法律规范有极大的借鉴和参考意义。
我国关于数据权利的研究具有一定滞后性,智能化越高意味着需要规制的现象也将越来越多。德国制定的法律法规对其设立的监管机构、监管机构职责、工作制度、权力范围都做出了明确规定。设立了数据保护官,详细规定了违反数据保护法的行为将会承担的民事责任、刑事责任和行政责任。德国在数据保护方面的做法给我国提供了良好的借鉴。
往期精彩回顾
康琳|APP用户个人信息安全问题研究——以6款相机类APP为研究对象
陈淇华|个人信息权与隐私权的关系——论个人信息包含说的科学性
刘旭峰|数据搜索与个人信息:规范表达与法律保护
刘益欣|国家机关处理个人信息中告知同意规则的排除适用
连雪晴|人工智能时代美国个人数据保护研究
赵艺|我国数据权利证成之要件反思
上海市法学会官网
http://www.sls.org.cn