汪雪含　张墨涵

关键词 个人数据保护 法制现状 GDPR 法律意见

作者简介：汪雪含、张墨涵，华东理工大学本科生。

中图分类号：D99                                                               文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.06.128

一、我国个人数据保护法律制度现状及问题

随着信息技术的持续改进，信息产业迎来了巨大的发展。但是，充分利用个人信息的同时，相关的侵权甚至是犯罪也日益增加。 2011年，仅有12例个人数据相关案件，而六年后案件数量激增至1100件。越来越多的个人数据案件暴露出我国个人数据保护立法的漏洞。目前，在我国，统一的个人数据保护法处于缺位状态，现有的规定大多属于效力位阶较低的部门规章。在大约 478 个相关法律法规当中，部门规章和地方性法规占到了约 440部，占比超过 92%①。

不健全的法律法规体系导致对个人数据的保护不力，因此，有必要完善相关规定。从社会现状和当前的学者研究的情况来看，笔者认为在我国个人信息的保护存在三大难题。

（一）缺少对于个人信息的明确定义

目前，中国尚无统一且明确的个人信息定义，同时未在各级不同类型的法律中将个人信息权作为独立法律概念进行规定，因此，当个人信息权利受到侵犯时，只能通过维护隐私，人格或声誉来间接进行保护，而无法直接依法保护。尽管我国已经颁布实施了一些涉及个人信息保护的法律法规，但大部分内容都是针对互联网领域，并未涵盖收集、控制和使用个人信息的所有主体。关于国家机构收集和使用个人信息，这些规定并未包含详尽的内容②。

由于我国立法中对个人信息权利缺乏明确规定，并且公民在个人信息权利被侵害后，其民事上诉将被抑制，权益保护将被限制。在这种情况下，公民只能选择放弃权利或者私了解决。

（二）未全面规定数据主体的权利

我国对数据主体的不同权利没有具体规定。《安全法》中规定的权利只有更正和删除的权利。此外，此处的删除权仅属于赔偿权，主要适用于处理非法或无效个人数据的情况下。除了网络安全法，我国《征信业管理条例》《电信和互联网用户个人信息保护规定》等法规，不仅规定了更正和删除的权利，还规定了查询信息的权利和注销帐户的权利。基于上述权利，《信息安全技术个人信息安全规范》吸纳了GDPR的被遗忘的权利，数据可携带的权利以及限制自动化决策的权利等理念。其中，自动决策权的限制与GDPR基本相同。但是，删除和传输数据的权利已被削弱，保护力度較弱③。可以注意到，这些权利的规定受到的保护较少，而且不够详细。

（三）缺乏统一的个人数据保护和侵权惩罚机制

法律对于个人数据的保护仍停留在原则性保护上。例如，《网络安全法》第四十条至四十五条规定“数据授权需要合理”“数据运营主体需要负起责任”，但是，如何具体实施、明确主要责任和分工，还需要通过相关法律法规加以改进④。

个人数据存在众多流转环节，主体很复杂，责任分工不是很明确。由于缺乏公共法律的明确规定，如果出现了侵害用户个人数据权利的现象，用户通常无法找到合适的有关部门进行反映。目前，对用户没有具体的救济途径和措施指导，或者尽管法律法规中有明确规定，但因为部门之间存在严重的交叉责任，他们很容易模糊分工和相互推诿⑤。目前，中国在大数据利用的背景下，对个人数据的监测主要是基于行政审查和对机构活动范围的审批。在机构披露个人数据后，相关部门缺乏事后监督和长期监督。此外，我国个人数据侵权的违法成本相对较低，不利于遏制侵权行为的发生。

二、GDPR关于个人数据保护相关规定

1995年欧盟已开始颁布并着手实施了《数据保护指令》（以下简称95指令），该指令为欧盟成员国的个人数据保护提供了可以参考的最低标准。随着欧盟成员国的数量不断增加，同时信息技术的发展日新月异，原有的指令已经不能满足人们对于个人信息保护的要求，因此在这种背景下，欧盟进行了讨论并且制定了《一般数据保护条例》。该条例于2016年5月24日生效，自2018年5月25日起直接适用于欧盟全体成员国。条例把对于个人数据的保护进行了扩大，不仅对于数据主体进行个人数据的保护，对于数据控制者的个人数据处理行为也进行了保护。此项举措有利于在个人利益和社会利益之间找到平衡点，达到维护社会稳定的立法目的⑥。

（一） 明确个人数据概念

GDPR第4条规定，任何信息凡是与已识别或者可识别的自然人有关的都被称为“个人信息”。在自然人当中，直接或者间接能够被识别的都称为可识别自然人，尤其是通过参照诸如姓名、身份证号码、定位数据这类标识，或者是通过参照该自然人一个以上的如物理、生理、遗传、心理、经济、 文化或社会身份的要素后可识别的人。

此外，在GDPR的序言部分，欧盟同时指出在一定的合理范围和限度内，不论是技术手段还是非技术手段都可以用来识别自然人。拿假名数据举例，因为其可以通过其他额外信息来识别一个人，假名数据也可以成为个人数据⑦。

一般个人数据和敏感个人数据被GDPR进行了区分，并且他们被实行了区别对待，进行差别化保护。GDPR第9条规定，禁止对能揭示诸如民族和种族的起源、政治观点、宗教或哲学信仰、工会成员的个人数据以及能够识别出特定自然人的基因数据、生物特征数据，还有健康、自然人的性生活或性取向数据的处理，除非对数据的处理符合特定情形，有可以处理的合法理由。对个人特殊数据的特别保护是一项非常明智的措施，它有利于保护数据主体个人隐私不受侵犯，使得数据主体在大数据时代享有安全感，实现个人利益与社会利益的共同可持续发展。