对欧盟GDPR反对权的本土主义反思与建议
2021-10-19刁胜先徐云燕
刁胜先 徐云燕
摘 要:个人数据反对权是GDPR中的重要权利,在实践中存在案件数量较少、适用情形比较单一、独立适用反对权条款比例较低等情况。对此,在对其界定、要素、抗辩情形、行使与救济途径等进行分析的基础上,结合我国立法情况,有必要从本土化思维转向本土主义反思和探讨。对于我国的“反对权”,不主張将GDPR反对权本土化以设为独立的个人信息权利类型,而建议:明确其不是独立的权利种类而是权利行使方式;明确“反对”是信息自决权的自力救济方式,以阻止个人信息滥用;明确反对行为的客体既有个人信息处理过程也有处理结果及其运用;设置多层融汇的规范以实现“基本原则—权利义务规则—自力公力救济—法律责任”的逻辑衔接。
关键词:反对权;GDPR;本土主义;反思;权利义务规则
中图分类号:D 913 文献标识码:A 文章编号:2096-9783(2021)05-0045-10
引 言
欧盟已实施的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)不仅对个人数据1等相关概念进行规定和解释,还在加强信息主体对自己个人数据自决自控的理念下构建了数据主体的权利[1]。其中,反对权就是重要的一项内容,并与访问权、数据可携带权、删除权、限制处理权等一起组成GDPR中数据主体的权利体系。我国《民法典》第1037条规定个人信息应受保护,内容包括查阅权、复制权、异议并请求及时更正等采取必要措施权、删除权,但并未规定反对权。鉴于欧盟GDPR和我国《民法典》同时具有的立法地位与社会影响,对此差异,有必要从本土主义视角思考和研究个人信息反对权,以为我国后续的个人信息法律发展提供参考。
本土主义不同于本土化,因为其出发点与本位思想不同。个人信息保护的立法上,欧美一直在领跑世界,在欧盟1995年颁布的《数据保护指令》(以下简称《95指令》)基础上升级的GDPR对世界的影响尤为重要。我国的一些研究和立法对此难免有借鉴和本土化思考[2]。此处“本土化”思维,是以欧美立法为本位,本土化的权利既来源于该法律权利谱系,既去向上又力求能衔接于该权利谱系的坐标而与之接轨。本土主义则立足于本土,从自身的立法变迁和社会需求出发,哪怕是借鉴和吸收外在的经验,最终也是服务于自己的发展,而不刻意去迎合外在的坐标体系。可见,个人信息权利的“本土化”思维下,我国的立法难免总是在跟跑,但是“本土主义”视角下,我们则可能会领跑,或者坚持自主跑。比如在个人信息反对权上,我国《民法典》并未跟跑,而是基于本土主义的考量,并未将其作为权益内容加以确定。但是,这是否意味着我国就没有关于反对权的立法内容呢?或者我国就彻底抛弃反对权呢?其实不然,我国只是脱离了移植、本土化等思维惯性,而是基于自身的国情与需求,表现出本土主义的中国特色的自主考量与规范选择。
一、GDPR个人数据反对权概析
(一)反对权的界定
反对权是指数据控制者或处理者在对个人数据进行某些特定处理时,该个人数据主体基于对自己个人数据的保护,可以随时提出反对的权利。
设立反对权的目的在于给予数据主体控制权,肯定和加强数据主体对个人数据的支配权,是一项高度人身性权利。目前信息技术的进步,使个人数据被广泛而轻易地收集、提供、利用、储存和传输等,同时催生出“信息茧房”[3]2、大数据杀熟等现象,信息主体对个人数据的失控有增无减。正确地实施反对权,可促进个人数据自决理念和权益保障的落实。
1.反对权与反自动化决策权。反自动化决策权是指数据主体有权反对完全依靠自动化处理(包括用户画像)做出的对数据主体产生严重影响的决策。进一步讲,反自动化决策权是反对权行使的一种特殊情况,二者共同构成GDPR第三章的第四节。第一,从权利性质与设立目的看,两者都属于数据主体的控制权,是一种私权利,都为保障个人信息利益不受损害而设立。第二,被反对的客体范围上,反对权的反对范围包括自动化与非自动化处理,而反自动化决策权仅针对为完全依靠自动化处理(包括用户画像)做出的对数据主体产生重大影响的决策[4],可见前者包含后者[5]。第三,行使方式上,两者都通过反对的意思表示来主张权利。
2.反对权与人格权。根据GDPR和我国《民法典》的界定,个人信息的实质要件是“识别特定自然人”,带有很强的人身属性。与此同时,数据产业的发展,使个人数据展现出很强的财产属性,可以作为一种财产加以利用,因而兼有人身与财产双重价值。反对权的属性与个人信息权一致,对此理论界存在“人格权说”[6]“财产权说”[7]“人格权与财产权双重属性说”[8]三种观点,三种学说以个人信息兼具人格利益与财产利益双重属性为共识基础[9]。那么,在“人格权与财产权”二元体系下,个人信息权如何归属呢?其实,个人信息虽然兼具双重利益的价值属性,但是两种利益价值的内在关系并未被大家认识,进而在权利归属上难以抉择。个人信息的两种价值中,人格利益是第一位的、原始性的价值,财产利益是第二位的、依附性的价值,没有“识别特定自然人”这一人格价值,个人数据就难有财产价值,而只能作为不能识别的或匿名化的非个人数据,其价值范畴已与个人数据无关。因此,反对权针对个人数据的处理进行反对,应归入人格权,这样既表明个人信息两种价值的关系,又不排斥对个人信息上财产利益的保护。我国《民法典》人格权编也体现了这种思想与路径,其突出亮点之一就是保护人格权中的财产利益3。
(二)GDPR反对权的要素
1.反对权的权利主体是个人信息主体,简称信息主体。GDPR序言第1条第(2)款和第14条规定GDPR保护的主体是自然人,排除了企业、法人与死者。其主要原因在于个人信息权主要保护个人人格利益,企业、法人和死者并无私生活,也无精神痛苦。如果企业与法人信息被非法公开,可通过商业秘密或财产权途径进行救济[10]。同时, GDPR也对儿童进行特别规定:儿童处理自己的数据之前需由父母做一个提前判断4。
2.反对权的义务主体是不特定的多数人,通常表现为个人信息控制者或处理者,可为单独或共同处理者,通常有自然人、法人、公共机构、代理机构和其他组织。“数据控制者”的概念起源于欧盟的《95指令》,之后便被广泛使用。但是,随着大数据时代的到来,GDPR界定的控制者与处理者的区分较难把握,而实践中控制与处理也通常聚合在同一主體上[11]5。我国《民法典》已抛弃“控制者”这一称谓,将进行个人信息收集、存储、使用、加工、传输、提供、公开等行为的主体,统一称为个人信息处理者,该处理者对信息主体行使查阅权、复制权、异议并更正等必要措施采取权和删除权时具有配合义务,对个人信息安全承担“安全保障义务”。
3.反对权客体是特定数据处理行为与基于自动化处理的决策行为6。与一般反对权不同,反自动化决策权的客体不是自动化处理行为本身,而是基于该自动化处理而作出的决策行为;该决策行为是对自动化处理结果的一种应用,并且该应用会对数据主体产生法律影响或类似严重影响。
4.反对权内容是个人数据主体对特定处理行为可以随时提出反对。GDPR第4条第2款规定的“处理”7概念继承了《95指令》中第2条第b项的“处理”概念,包括自动化处理和手动处理[12]。可见,反对权不是单纯地保护数据,而是保护整个数据的处理过程。并且也规定了“同意”的标准,但此标准存在“同意失灵”与“同意过度”的双重担忧[13]。根据GDPR第21-22条,反对权的内容有如下几种情形:
第一种,基于事先合法、但事中事后可随时提出的反对。第6条第1款第(e)(f)项规定了合法处理事项8,但第21条又将其列为可以随时反对的处理,这可以防止基于法定许可的合法性滥用凌驾于基于数据主体直接同意的合法性之上,所以授予数据主体以事中事后的反对权来修正与平衡。
第二种,基于事先未同意的反对。对于为了直接营销目的而处理相关个人数据和此类直接营销相关的用户画像,数据主体有权随时反对。该类处理行为不属于GDPR第6条“处理的合法性”所列举范围,其合法性取决于数据主体的同意。所以,数据主体事先未同意的该类处理,当然可以随时反对。
第三种,基于公共利益非必要的特定情形下的科学、历史研究或统计目的的反对9。根据第21条,除非处理对于实现公共利益的某项任务是必要的,在防护措施欠缺、匿名化等去识别的处理方式未优先或未被当然采取等特定情形下,数据主体有权反对处理关乎其权利自由的个人数据。
第四种,对自动化决策的反对,即反对完全依靠自动化处理—包括用户画像—对数据主体做出具有法律影响或类似严重影响的决策。
(三)针对反对权的抗辩情形
为了利益平衡,兼顾权益保护与信息自由,在GDPR对反对权的设计中,数据主体、数据控制者或第三人利益、公共利益等处于缠绕博弈的状态。因此,GDPR确立反对权的同时,也对该权利进行限制,规定了抗辩情形,具体如下:
1.控制者成功履行正当性自证义务。根据第21条第1款,针对反对权的第一种权利内容,控制者证明自己具有压倒性的正当理由而需要进行处理,或者处理是为了提起、行使或辩护法律性主张,那么,反对权被限制,以防止数据主体反对权的过界与滥用。但是,该处何为“压倒性正当理由”,却不见明确说明,太过模糊,这为实践操作留下了困惑和弹性空间。
因此,针对该种反对与限制反对的客体,相关主体的权益博弈如表1:
2.对反对权的第三种行使情形,如果处理对于实现公共利益的某项任务是必要的,则反对权可被抗辩。
3.对于反对权的第四种特殊情形,其适用例外有:(1)决策是合同签订或履行所必要;(2)决策由欧盟或成员国法律所授权,控制者是决策主体且已经制定恰当措施保证数据主体权益;(3)决策建立在数据主体明确同意基础上。对该三种例外情形,数据控制者可以实行自动化决策,但都应承担采取适当措施以保障主体权益的义务。
该(1)(2)(3)三种例外所规定的决策的基础不适用于第9(1)条所规定的特定类型的个人数据,即对敏感数据应当禁止处理。换句话,禁止处理的敏感信息,哪怕基于合同的必要、法律授权、明确同意等,都可以对其自动化决策加以反对。但是,禁止处理的情形只要具有第9(2)条(a)点或(g)点规定的条件之一,并且已经采取了保护数据主体权利、自由与正当利益的措施,则不再禁止处理。
(四)反对权的行使与救济
1.向义务主体行使反对权。一般而言,数据主体可直接向数据控制者等义务主体发出反对的意思表示以行使反对权。根据GDPR第12条第3款、第4款,一般情况下,数据控制者在收到请求起不超过一个月内采取行动;当请求内容较为复杂时,可再延长两个月。若未采取行动,也应于1个月内将原因通知数据主体。
2.救济上,GDPR规定了不同情形与方式。首先,可向监管机构申诉,即数据主体主张权利后若数据控制者或处理者未在合理时间内实施有效措施,每个数据主体在不影响任何其他行政或司法救济前提下有权向监管机构进行申诉。其次,可向法院寻求司法救济,这包括针对监管机构主张司法救济和针对控制者或处理者主张的司法救济。再次,可请求损害赔偿。
3.监管上,监管机构对反对权义务主体可进行行政处罚,包括罚款和矫正性权力的行使。其中,GDPR第83条要求监管机构进行的罚款应当是有效、成比例和劝诫性的,并列巨规定行政处罚应充分考虑的11种因素,其中至少有两项与反对权有关:(1)违反处理的基本原则,比如违反同意的条件,这也是反对权行使的一种情形;(2)违反第12条至22条规定的数据主体的权利,其中第21-22条即是反对权的内容。
(五)GDPR反对权的实证考察
GDPR实施以来,截止到2019年3月,来自27个欧洲经济区的数据保护机构的统计数据显示,共上报281 088例案件[14];截止到2021年4月1日,遭受罚款的案例共有294件[15]10。其中,涉及GDPR第21条反对权的处罚为24件,以此为基础进行实证考察和分析,可得出如下结论:
(1)反对权罚款案件数量较少,但罚款总金额较高。从2018年7月至2021年4月共罚款案例294件,罚款金额488 876 268欧元,其中,以GDPR第21条进行惩处的数量有24件,仅占总数的8.1%,但罚款金额54 825 478欧元,占罚款总金额的10.9%。
(2)处罚的反对权侵权情形以直接营销目的为主。虽然GDPR规定反对权行使有四种情形,但是现有24件中16件案例,均是对用于直接营销目的处理的反对。由此可见,反对权行使的其他三种情形,要么不常发生,要么发生后由于容易被义务主体限制和抗辩,因而较少出现。
(3)适用反对权处罚的国家较少且较为集中。截止到2021年4月1日,欧盟27个成员国中,仅7个国家对触犯反对权的数据持有者进行了处罚。其中罗马尼亚2例、西班牙8例、意大利3例、法国3例、希腊2例、德国1例、比利时5例。
(4)同时依据其他条款一并处罚的较多。在处罚的24例案例中,只有西班牙2020年7月2日的两例和2020年7月31日的案例是单独根据GDPR第21条给予处罚的,其余的同时触犯其他条款,其中同时依据第7条的12次,第6条11次,第5条9次,第15条11次,第24条5次,第17条、第32条、第23条、第48条各3次,第13条、第14条、第16条与第25条、第28条各2次,第11条、第12条、第31条、第33条各1次。
(六)小结
综上,GDPR在立法上明确确立了个人数据反对权,并对权利内容分出两个层面,即一般反对权和反自动化决策权;围绕权利的行使、限制和救济,GDPR也做了较为立体和全面的设计。同时,该权利在实践中也有运用,起到了一定的预期作用。但是,对于该权利的设立,仍有待进一步思考和论证。从实践考察看,该权利的行使较少发生,适用情形比较单一;在案件数量、独立适用反对权条款方面,比例也不算大。理论上,该权利独立存在的必要性、正当性及其性质等,尚有堪疑和探讨空间,在我国国情下尤其如此。
二、本土主义下我国个人信息反对权的立法现状
(一)规范条文梳理
1.《民法典》
《民法典》关于个人信息的条款及与反对权的关联情况,列表如表2:
综上,我国《民法典》在赋权条款中没有确立个人信息反对权,但是在个人信息权益保护的所有条款中,直接或间接地规定有与反对相关的内容,信息主体可以实施反对行为;但反对行为的实施基础不是反对权,而是基于整体的个人信息权益保障所需,其性质、對象、效果等都有别于GDPR反对权。
2.《网络安全法》
《网络安全法》相关条款为《民法典》提供了基础,该法第43条规定个人对网络运营者具有删除与更正请求权,但没有反对权。第47-48条从管理义务的角度,要求义务主体主动停止相关个人信息处理行为,规定网络运营者立即停止传输,电子信息发送服务提供者和应用软件下载服务提供者应当履行安全管理义务、停止提供服务等情形。该义务规制的效果与GDPR反对权行使效果契合,但具有消极被动的防御性。
3.《个人信息保护国家标准》
我国2020年新版《个人信息保护国家标准》(GB/T 35273-2020)已经实施,其中第7.4条规定用户画像的使用限制,对个人信息控制者作出三方面限制,包括用户画像中对个人信息主体的特征描述?、在业务运营或对外业务合作中使用用户画像?、授权目的必需之外去识别性使用等方面作出要求。该标准第7.7 条规定了信息系统自动决策机制的使用并明确其注意事项?。这表明,该国家标准不反对、不禁止对个人信息的自动化处理,不反对用户画像及其使用,但是同时预见到自动化决策机制和用户画像的使用会对个人信息主体和第三人合法权益、国家与社会公共利益造成侵害,因此作出相应的限制性规定。但是,限制性规定采取封闭式列举方式,表明“自由使用为原则、限制使用为例外”的价值取向,以促进个人信息的自由使用与流动。
第8条列举的个人信息主体权利有个人信息查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本或传输给指定第三方、请求响应和投诉管理八项内容。其中,没有直接规定反对权,但是“撤回授权同意”的权利意味着对自始同意、但事中事后撤回同意的处理,自然可以反对,但该反对本身不是一项权利,而是行使“撤回授权同意”权利的附随行为或者应有效力。
4.《个人信息保护法(草案)》
2020年10月,我国审议的《个人信息保护法(草案)》(以下简称《草案》)第二章围绕个人信息处理规则作出了规定。
第一节一般规定里,对自动化决策,要求个人信息处理者承担保证、说明和提供义务?。同时,信息主体有拒绝权——拒绝个人信息处理者仅通过自动化决策的方式作出决定。此外,原则上不得公开其处理的个人信息,除非取得个人单独同意或者法律、行政法规另有规定。但是,对于单独同意和法律法规冲突时,该草案没有明确何者优先。对于公共场所安装图像采集、个人身份识别设备所收集的个人图像、个人身份特征信息只能用于维护公共安全目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。这里,“不得”之行为,也是信息主体得反对的处理行为,只有信息主体单独同意或法律法规另有规定才构成抗辩。
第二节“敏感个人信息的处理规则”里,处理获得的同意应为“个人单独同意”;法律、行政法规规定应当取得书面同意的,从其规定;获得处理敏感个人信息的“同意”具有附随义务,即除了本法第18条的一般规定外,还应向个人告知必要性以及对个人的影响。
第三节对国家机关履行法定职责而处理个人信息作了特别规定,包括:依法处理、不超必须范围与限度、取得个人同意[16]、不得公开或者向他人提供其处理的个人信息、境内存储和境外提供前风险评估等。
可见,信息主体授权同意处理与法律、行政法规法定许可处理,构成个人信息合法处理的两大基础;缺失该基础,则通常处于“不得”等禁止或反对范围;对仅通过自动化决策的方式对信息主体做出决定的,尤其明确规定“有权拒绝”。
草案第四章围绕信息处理活动中的个人权利,首先规定知情权、决定权、限制或拒绝处理权,并明确该权利客体是“个人信息处理”;随后规定查阅、复制权,更正、补充权和删除权三项实体权利,以及“对处理规则请求解释说明的权利”与“行使权利申请获得受理和处理的权利”两项程序权利。此处需要讨论的是,草案第44条确立了哪些权利?对此至少有两种看法:一是一种权利,即知情决定权;二是两种权利,即知情决定权、限制或拒绝处理权。笔者选择第一种看法,该条仅仅确立了知情决定权,理由如下:(1)立法体例上,《草案》赋予的查阅复制权、更正补充权、删除权等独立权利,均通过单独条款加以确立。(2)“知情”是决定的前提,所以知情权、决定权可以合为一个权利,即“知情决定权”。(3)“知情决定权”行使的正面结果是“完全同意他人对其个人信息进行处理”,该种情况一般不用在条文中特别列出;而“限制或者拒绝处理”是“知情”后作出的一种负面“决定”,包括有限同意处理即限制处理、完全不同意处理即拒绝处理。因此,第44条并没有将“限制处理”或“拒绝处理”确立为一项独立的权利,而只是知情决定权的一项权利内容或行使方式,也是该权利消极权能的体现,通常以明示或默示反对的意思表示来实现。《草案》因而没有对“拒绝处理”单独设立一个赋权条款,而是规定在“知情同意权”后面作为递进补充。
(二)小结
综上,针对个人信息反对权,我国现有立法与GDPR都规定有相关内容,旨在赋予个人信息主体通过“反对”或“限制、拒绝”对其个人信息进行处理的方式,达到从源头上控制自己个人信息的目的,进而实现信息自决自控的权利。但是,比较可见,中欧立法差异较大,明显表现出我国已经摆脱“移植”“本土化”等依赖国外立法体系的思维方式,而是基于本土主义的需要和思考,做出了自主的立法设计。结合差异和我国的特有规范,提炼出相关的理论焦点,对此进行思考与分析,有利于确定本土主义下我国个人信息反对权的立法进路,从而有利于我国个人信息保护立法的深化和细化发展。
具言之,有关个人信息反对权的理论焦点有:性质上,个人信息反对权是独立的权利种类还是仅为权利的行使方式;效力上,反对是对个人信息自决权的自力救济还是阻却个人信息处理上的滥用;内容上,反对的客体是个人信息处理过程还是对处理结果的运用;规范上,是单一归置到权利条款,还是多层融汇在规范的不同部分。对此,在立法、司法和学理中,虽然用语上都可以使用“反对权”一词,但是因对上述焦点问题的回应有所区别而具有不同内涵。
三、本土主義下我国个人信息“反对权”的立法建议
(一)明确个人信息“反对权”不是独立的权利种类而是权利行使方式
毋庸置疑,GDPR 用专章专条确立了个人信息反对权的独立权利地位,并将反自动化决策权作为该权利的一项特殊内容加以明确和细化,在权利主体、客体、内容、限制、救济与法律责任等方面做出全面设计,这不失为一种创举。但是,我国立法并未跟风,《民法典》《网络安全法》并未将其明确为独立的个人信息权利种类;《个人信息法(草案)》虽然在权利条款第44条使用了“有权限制或拒绝他人对其个人信息进行处理”的表述,但结合整个条文和整个规范来看,与其将此解释为反对权的赋权条款,不如解释为“知情决定权”消极权能之描述,正如我国定义物权为“权利人依法对特定的物享有直接支配和排他的权利”,所有权是“所有权人对自己的不动产或者动产,依法享有占有、使用、收益和处分的权利”。草案第44条的“限制或拒绝”就类似于此处的“排他”、“占有、使用、收益和处分”等表述,是对权利的权能加以明确,以指引权利的行使和实现。
笔者认为,我国立法更加符合权利法理。“个人信息反对权”不应成为与访问权、复制权、删除权、更正权等并列的权利类型,而是作为抽象整体的个人信息自决权益具备的一项基本的消极权能,与访问、修改、变更等正面自决的积极自决权能构成一枚硬币的两面,是自决权能的反向保障,并贯穿在访问权等不同的具体权利种类中。如果“访问”“复制”“删除”“更正”等是自决权能的正面体现,基于行为方式与保护法益不同而成为各自独立的权利内容,那么“反对”“拒绝”就是自决权能的反面体现,是这些独立权利共有的反面消极权能,其保护的法益存在于所有个人信息权利种类中,属于“公因式权能”,为正面权能的“不同自由领地”起到“戍边”的保障作用,恰如所有物权都具有的“排他”作用,因而不具独立性。
(二)明确“反对”是信息自决权的自力救济方式以阻止个人信息滥用
GDPR将反对权规定为个人信息自决权的一项子权利,与访问权等并列,由权利主体主动启动。结合我国相关规定,笔者认为,与其说反对权是独立的权利类型,不如说是信息自决权的自主救济方式。
1.从内容上看,信息自决权的内容,根据不同的处理范围而分为访问权、更正权、数据可携权、删除权等子权利,而反对权的客体是违反所有权利要求的处理行为,对所有处理权都具有救济意义。
2.从性质上看,访问权、更正权、数据可携权、删除权等子权利是依靠信息自决权的积极权能、主动要求义务主体为一定积极行为才得以实现的正面内容,所以根据处理行为的性质不同而被划分成不同的、各自独立的权利种类。但是,反对权是为维护信息自决权而要求他人不得为处理行为的消极权能,是为确保信息自决权正面内容得以维护或实现的一种方式;当正面处理范围被侵害后,信息主体得以实施“反对”行为加以矫正,使正面处理权回归应有范围,因而“反对”是为其他权利服务、阻止个人处理权利被滥用的救济方式。
3.从客体上看,反对权反对的不是合法、有权的个人信息处理行为,而是不合法、无授权的处理行为。但是,个人信息自决权的客体是合法、有权的处理行为,是权利主体依该权利可以为或不为、可以授权他人为或不为一定处理行为的自由,该行为自由均在合法、有权的范围内。可见,反对的客体不在信息自决权的正面范围之内,而是在此外围,以清除和防控不合法、无授权的处理,为权利“戍边”以保驾护航。
(三)明确反对行为的客体既有个人信息处理过程也有处理结果及其运用
反对行为的实施,自然以符合反对的条件为前提。其中,对反对的客体特别需要加以明确。从GDPR规定看,一般反对权反对的是不合法、无授权的特定个人信息处理行为,而反自动化决策权并不反对自动化处理行为,而是在该自动化处理基础上的决策行为,即对自动化处理得出特定结果并加以运用的行为。该规定反映出,反对的客体并非一刀切,而要根据具体情况具体决定。在我国将“反对”定性为权利行使的消极权能或自力救济方式的建议下,反对行为的客体应当与得以反对的权利基础一致,即被反对的个人信息处理违反了相应的权利范围。至于反对的客体是处理行为本身,或是行为结果,亦或是行为结果的运用,也要在不同权利的不同行使情形中加以确定。
(四)设置多层融汇的规范以实现“基本原则—权利义务规则—自力公力救济—法律责任”的逻辑衔接
个人信息权益的保障,需要综合立体的法律规范体系和协调联动的法律实施体系。为落实“反对权”的效果,也需在该理念指导下,设置多层融汇的规范,在“基本原则—权利义务规则—自力公力救济—法律责任”的逻辑链条下,实现有机衔接和有效落地。
1.基本原则—权利义务规范—自主救济。合法处理与授权同意处理的原则下,正面肯定信息主体的信息自决权,包括知情同意权、访问权、复制权、更正权、删除权等内容;同时从反面蕴含个人信息处理者的合法和有权处理义务,违反该义务,即没有合法依據或无权处理则构成义务违反,权利主体可启动反对方式以阻止相关处理,从而救济和维护信息自决权的相关内容。
2.人格权禁令。当个人信息处理行为不合法或未取得授权,符合条件的?,可申请人格权禁令,以借助公权力表达反对的方式来救济自己的权利。当然,这不影响信息主体可同时进行自力救济,向行为人提出反对。
3.法律责任。直接反对或申请人格权禁令,即不论自力救济还是公力救济,都是以反对的方式及时止损、预防损失扩大,但其本身不能补偿已经造成的损失,所以需要民事赔偿责任来确保损失得到补偿,并以行政处罚甚至刑罚来威慑和规范处理者的处理行为。法律责任的落实,是反对权行使效果的应有保障,可确保“基本原则—权利义务规则—自力公力救济—法律责任”链条的完整衔接和实际落地。
结 语
我国个人信息法律保护的立法是一个系统的工程和逐渐完善的过程,并且需要立法、司法和法理等方面协同支撑。就反对权而言,上述建议仅限于对我国是否应确立反对权、对反对权如何定位定性等方面做出的局部思考,其他内容还需学界进一步深入和全面地探讨。
参考文献:
[1] 京东法律研究院主编.<一般数据保护条例GDPR>评述及实务指引[M].北京:法律出版社,2018:58.
[2] 文铭,易永豪.论被遗忘权的本土化移植[J].重庆邮电大学学报(社会科学版),2020(6):79.
[3] 许竹.微博的“信息茧房”效应及其思考[N].新闻爱好者,2018(2):55-58.
[4] 唐林垚.“脱离算法自动化决策”的虚幻承诺[J].东方法学,2020(6):21.
[5] 张建文,李锦华.欧盟个人数据保护法上的反自动化决策权研究[J].重庆邮电大学学报(社会科学版),2019(2):27.
[6] 于向花.被遗忘权研究[D].吉林:吉林大学,2018.
[7] 刘德良.个人信息的财产权保护[J].法学研究,2007(3):80.
[8] 张涛.个人信息权的界定及其民法保护——基于利益衡量之展开[D].吉林:吉林大学,2012.
[9] 王鹏鹏.论个人信用信息公开的私法规制[J].北京理工大学学报(社会科学版),2020(3):144.
[10] 王泽鉴.人格权法:法释义学、比较法、案例研究[M].北京:北京大学出版社,2013:229.
[11] 刘学涛,张翱鹏.被遗忘权的制度缺失、发展困境与中国构建路径[J].重庆邮电大学学报(社会科学版), 2019(3):50.
[12] 金晶.欧盟<一般数据保护条例>:演进、要点与疑义[J].欧洲研究,2018(4):17.
[13] 翟相娟.个人信息保护立法中“同意规则”之检视[J].科技与法律,2019(3):58.
[14] 中兴通讯.GDPR 执法案例精选白皮书(2018.5-2019.5)[EB/OL].(2019-9-15)[2021-04-06] https://www.vzkoo.com/doc/6111.html?a=3.
[15] 中兴通讯.GDPR 执法案例精选白皮书(2019.5-2020.5)[EB/OL].(2020-9-17)[2021-04-06] https://www.doc88.com/p-37439707051450.html?r=ref-https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DO7UKcDz5 FZBeee29yNMxmzw583GO6rmEiEGCvPb1o_KumIOGjN hIGNlEz2KzSaESl8jibM30aghgHMAsb_Blcq%26wd%3D% 26eqid%3Dbcc0c93c0000fa1300000006606c1fbb.
[16] 赵龙.个人信息权法益确证及其场景化实践规则[J].北京理工大学学报社会科学版,2021(1):13.
The Nativist Reflection and Suggestions on the Right to Object in EU GDPR
Diao Shengxian, Xu Yunyan
(School of Cyberspace Security and Information Law, Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The right to object to personal data is an important right in GDPR. In practice, the number of related cases is small, the application situation is relatively single, and the proportion of independent application of objection clauses is low. In this regard, based on the analysis of its definitions, elements, defenses, exercise and remedies, and combined with our country's legislation, it is necessary for our country to shift from localized thinking to nativist reflection and discussion. Regarding China's "right to object", it is not advisable to localize the right to object in GDPR as an independent type of personal information rights. Instead, it is recommended that we should clarify that right to object is not an independent type of right but the way to exercise the right; clarify that "objection" is the self-relief method of information self-determination to prevent the abuse of personal information; clarify that the object of the "objection" includes both the personal information processing process and the processing results and its application; and set up multi-level convergent norms to realize the logical connection of "basic principles-rules of rights and obligations-self remedy and public remedy- legal responsibility".
Key words: right to object; GDPR; nativism; reflection; rules of rights and obligations
