作(zuò)者：

陳松濤（浙江豐國律師事務所工會委員會主任）

王立（經濟法博士、杭師(shī)大(dà)錢江學院講師(shī)）

        大(dà)數據時代，數據信息量突飛猛進。大(dà)數據帶來(lái)的數據經濟發展和數據資産化加速趨勢，使得(de)個人(rén)信息保護問(wèn)題[1]更加凸顯。數據經濟本身(shēn)呈現了一種複雜的利益關系，一方面是數據經營者對個人(rén)信息數據化利用的需求，另一方面是用戶對于其個人(rén)信息保護的需要。盡管大(dà)數據的商業化運用最終也有利于全面提升消費者生(shēng)活品質，但(dàn)這兩方面的要求已然在現實層面形成沖突。李彥宏說(shuō)“中國(guó)人(rén)願意用隐私換便利”不見(jiàn)得(de)是事(shì)實，但(dàn)隐私與便利在大(dà)多時候确爲魚與熊掌的關系。
 

        如(rú)何在制度上設計(jì)或處理(lǐ)好個人(rén)信息保護和經營者使用之間的這種利益沖突，就(jiù)成爲當前數據經濟及數據資産化能否得(de)到有效合理(lǐ)展開的基本前提。遺憾的是，我國(guó)立法迄今爲止沒有對此提供一套完整的清晰解決方案。

          歐洲提供了一個重要範本，即今年(nián)5月25日(rì)生(shēng)效的歐盟《通用數據保護條例》（GeneralData Protection Regulation，GDPR）。歐盟《通用數據保護條例》相(xiàng)對于歐盟1995年(nián)95/46/EC号指令（“隐私權指令”）的最大(dà)變化，是用“個人(rén)數據保護權”對“隐私權”進行了更替。這是在權利基礎層面進行了整體(tǐ)邏輯上的變革，絕非僅是表述上的調整。1995年(nián)指令主要保護隐私權，而GDPR主要規制個人(rén)數據保護權。這是大(dà)數據時代個人(rén)隐私、個人(rén)信息保護的重大(dà)新發展。隻有從(cóng)基礎權利的理(lǐ)念性更替角度，才能真正深刻理(lǐ)解歐盟《通用數據保護條例》的這種重大(dà)變革，而不迷失于洋洋灑灑的具體(tǐ)文本。
 

      “ 個人(rén)數據保護權”雖脫胎于“隐私權”概念，但(dàn)已然超越了“隐私權”。與後者的消極防禦不同，個人(rén)數據保護權具有鮮明的主動防護特征。而且前者要遠(yuǎn)比後者明晰具體(tǐ)，可(kě)精确描述。相(xiàng)較于隐私權，個人(rén)數據保護權的保護力度更大(dà)。
 

         對這種新型權利的精确描述體(tǐ)現在GDPR的第三章(zhāng)“數據主體(tǐ)的權利（rights of the data subject）”。按照(zhào)GDPR第4條的規定，數據主體(tǐ)是指“一個已被識别的自(zì)然人(rén)或者控制者或其他(tā)自(zì)然人(rén)或法人(rén)可(kě)通過合理(lǐ)可(kě)行的直接或間接手段識别的自(zì)然人(rén)，特别是通過身(shēn)份證号碼、位置數據、在線身(shēn)份或者一個或多個與其身(shēn)體(tǐ)、生(shēng)理(lǐ)、基因、精神、經濟、文化或者社會身(shēn)份有關的特殊因素來(lái)确定的人(rén)”這個概念強調已識别性或可(kě)識别性。凡是能直接或間接識别的自(zì)然人(rén)信息，都(dōu)屬于個人(rén)信息，須特别加以保護。

        GDPR中的個人(rén)數據保護權包括七個方面的具體(tǐ)内容：知情權，訪問(wèn)權，修正權，删除權（被遺忘權），限制處理(lǐ)權（反對權），可(kě)攜帶權和拒絕權。其中删除權和數據便攜性的權利是1995年(nián)隐私權指令所沒有的。另外，GDPR對同意權的規定更爲嚴格，同意隻能是具體(tǐ)的，不能被假設。
 

       仔細比較傳統隐私權保護，個人(rén)數據保護權提供的保護更爲有力。首先，個人(rén)數據權拓寬了保護範圍。傳統隐私權僅保護那些人(rén)們不願意公開的私人(rén)隐秘信息，對自(zì)願公開的數據信息一般不予保護，但(dàn)個人(rén)數據保護權對這些公開的數據信息也同樣加以保護。比如(rú)個人(rén)年(nián)齡、職業、收入等信息，在傳統隐私權理(lǐ)念看(kàn)來(lái)，隻要你(nǐ)主動公開，構成隐私的那些私人(rén)隐秘信息就(jiù)喪失了隐私屬性，不再受法律保護。但(dàn)是在個人(rén)數據權理(lǐ)念看(kàn)來(lái)，你(nǐ)要使用某個互聯網産品，就(jiù)不得(de)不進行實名注冊，不得(de)不主動填寫年(nián)齡、性别、職業、收入等信息。因此，即便你(nǐ)是主動公開的信息，也不意味着你(nǐ)失去(qù)了這些個人(rén)數據的受保護權。即便主動公開或授權使用，也不意味着這些個人(rén)信息不受法律保護。
 

        其次，個人(rén)數據權升級了保護方式。傳統隐私權一般強調事(shì)後救濟，是一種消極防禦，但(dàn)個人(rén)數據保護權則強調事(shì)前預防與主動防範。傳統隐私權保護強調的是個人(rén)生(shēng)活不受打擾，安甯、獨立的生(shēng)活空間是其價值追求。這種價值的保護往往通過侵權法來(lái)實現。但(dàn)侵權法有着典型的事(shì)後救濟特征。隐私與數據一旦被侵害，事(shì)後救濟往往于事(shì)無補，因此變消極防禦爲主動防護，實爲必要。如(rú)“授權同意”規則、數據處理(lǐ)制度等都(dōu)需要進行重構。對于個人(rén)信息，數據運營者能不能用，用到什麽程度，是否可(kě)以轉授權，都(dōu)取決于授權和數據處理(lǐ)規範。

        與隐私權保護限于侵權法這種民(mín)法規則不同，個人(rén)信息、個人(rén)數據的全面保護不應再局限于傳統的民(mín)法、私法領域，而應采取跨部門(mén)聯動的新型綜合立法模式。我國(guó)《民(mín)法總則》規定了個人(rén)信息保護的相(xiàng)關内容，但(dàn)條款内容太過抽象，缺乏可(kě)操作(zuò)性和預防性。我國(guó)個人(rén)信息保護立法應以信息處理(lǐ)制度爲基礎，這不是民(mín)法能夠單獨處理(lǐ)的問(wèn)題。《網絡安全法》《個人(rén)信息保護法》等都(dōu)應當協同民(mín)法對個人(rén)信息保護作(zuò)出貢獻。
  

        第三，個人(rén)數據權重新定位了司法目标。傳統隐私權更多關注人(rén)權保護，但(dàn)個人(rén)數據保護權則具有非常強的經濟性，對人(rén)格權和财産權一并保護。個人(rén)數據保護圈的規制核心是數據處理(lǐ)制度，而非數據産權歸屬。大(dà)數據時代，個人(rén)隐私和數據産權不能再作(zuò)爲一種靜(jìng)态的财産所有權，立法更應該将規制焦點集中于動态的财産權（數據采集、評價、使用與交易等）。

       大(dà)數據時代的個人(rén)信息保護不能再簡單按照(zhào)傳統隐私權保護的侵權法進路(lù)來(lái)進行絕對化立法，而應該在用戶基于個人(rén)信息的人(rén)格權和财産權與數據經營者基于數據的經營權和資産權之間尋求制度平衡。一味強調個人(rén)信息人(rén)格權單邊保護不利于網絡平台服務的提供和經營，用戶自(zì)身(shēn)最終也會失去(qù)網絡便利。個人(rén)信息人(rén)格權的絕對保護模式也會使網絡經營者的數據經營動力脆弱，不利于發揮創造性。不宜簡單站(zhàn)在用戶立場，隻爲了保護個人(rén)信息而保護個人(rén)信息。對數據活動進行簡單粗暴的限制，不符合經濟發展規律，更不符合消費者利益。
 

       申言之，我國(guó)個人(rén)信息保護制度的構建應當順應大(dà)數據時代的新特征，超越傳統“個人(rén)隐私保護”的立法邏輯，轉而從(cóng)“個人(rén)數據保護”入手構建整個立法框架。然而不可(kě)不察的是，GDPR 被稱爲是全球保護隐私裡(lǐ)程碑式的立法，但(dàn)是也有其不足之處，主要是限制了數據的流動和共享。對個人(rén)數據的過度保護導緻歐洲互聯網經濟發展緩慢(màn)。這中間的平衡與度的把握，歐盟并沒有掌握好。我國(guó)須謹慎借鑒。
 

[1]個人(rén)數據與個人(rén)信息，嚴格來(lái)說(shuō)範圍并不相(xiàng)同。歐盟更多使用個人(rén)數據概念，我國(guó)更多使用個人(rén)信息概念。但(dàn)由于兩個概念的外延整體(tǐ)一緻，因此本文暫且混同使用。