论数据隐私保护中的数据权归属与保护.docxVIP

论数据隐私保护中的数据权归属与保护 特别是关于保护个人隐私权并促进该权利的行使，《基本法》规定了“个人数据”、“数据主体”和“数据主体权利”，并采取了严格的全球个人数据保护要求。 回首2018年, 在全球数据隐私保护立法领域, 最具有影响力的当属欧盟发布的《一般数据保护条例 (General Data Protection Regulation, GDPR) 》, GDPR被称为史上最严的个人数据保护条例。GDPR经过两年多的预备期, 于2018年5月25日起正式生效。 “归零风险”的体现 在全球现有的数据隐私保护法规中, GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。这项法规不仅决定了企业如何通过合法的技术及业务创新来获取基于个人数据的巨大价值, 同时也因为严格的处罚条款而使众多企业出现了生死攸关的“归零风险”。 根据GDPR的规定, 任何存储或处理欧盟国家内有关欧盟公民个人信息的公司, 即使在欧盟境内没有业务存在, 也必须遵守GDPR。相关公司必须遵守GDPR的具体标准有:欧盟境内拥有业务;在欧盟境内没有业务, 但是存储或处理欧盟公民的个人信息;超过250名员工;少于250名员工, 但是其数据处理方式影响数据主体的权利和隐私, 或是包含某些类型的敏感个人数据。这将意味着, GDPR几乎适用于全球所有的公司。 GDPR主要的立法目的在于保护个人隐私权并促进此权利的行使, 其中从个人数据权利的法律归属上, 设定了“个人数据”“数据主体”“数据主体权利”以及采取了严格的全球个人隐私保护要求。 个人数据的完整维护 GDPR大致赋予数据主体七项数据权利, 主要是知情权、访问权、修正权、删除权 (被遗忘权) 和限制处理权 (反对权) 、可携带权和拒绝权。 一是知情权。数据控制者收集个人信息必须给予个人充分的知情权。应当向数据主体提供相应的信息以保障数据主体对控制者身份、个人信息处理目的及方式、权利维护途径等内容的知晓。比如依据GDPR第14条的规定, 数据控制者在收集与数据主体相关的个人数据时, 应当告知数据主体, 包括数据控制者的身份与详细联系方式、数据保护官的详细联系方式、数据处理将涉及的个人数据使用目的, 以及处理个人数据的法律依据等。 二是访问权。GDPR第15条专门规定了“Right of access by the data subject (数据主体的访问权) ”, 即数据主体有权从数据控制者那里得知关于其个人数据是否正在被处理的真实情形, 如果其数据正在被处理的话, 数据主体应当有权访问个人数据并有权获知相关信息, 如该数据处理的目的;相关个人数据的类型;个人数据已经被或将被披露给数据接收者的类型, 特别是当数据的接收者属于第三国或国际组织;在可能的情形下, 个人数据将被储存的预期期限等。 三是修正权。数据主体有权要求数据控制及时地纠正与其相关的不准确个人数据。考虑到处理的目的, 数据主体应当有权使不完整的个人数据完整, 包括通过提供补充声明的方式进行完善。GDPR第16条规定, 数据主体应当有权要求控制者无不当延误地修正不准确个人数据。考虑到处理的目的, 数据主体应当有权使不完整的个人数据具有完整性, 包括通过提供补充声明等方式。 四是删除权 (被遗忘权) 。数据主体有权要求数据控制者及时删除其个人相关数据的权利。依据GDPR第17条第1款的规定, 出现“个人数据对于实现其被收集或处理的相关目的不再必要”等六种情形之一时, 数据控制者有责任及时删除其个人数据。 GDPR第17条第3款同时规定了数据主体行使“删除权”的例外情形, 如数据控制者执行或者为了执行基于公共利益的某项任务, 或者基于被官方授权而履行某项任务, 欧盟或成员国的法律要求进行处理的数据, 以及为了科学或历史研究或统计目的数据等, 数据主体不能行使“删除权”。 五是限制处理权 (反对权) 。在特定情况下, 数据主体有权限制数据控制者处理数据。例如数据主体对个人数据的准确性提出质疑, 且允许数据控制者在一定期限内核实个人数据的准确性;该数据处理是非法的, 并且数据主体反对删除该个人数据, 同时要求限制使用该个人数据;数据控制者基于该处理目的不再需要该个人数据, 但数据主体为设立、行使或捍卫合法权利而需要该个人数据;数据主体对个人数据的准确性有争议, 并给予数据控制者以一定的期限以核实个人数据的准确性。 六是可携带权。数据主体有权以结构化、通用和机器可读的格式接收其提供给数据控制者与其有关的个人数据, 数据主体有权将这些数据传输给另一个数据控制者, 而被要求转移数据的控制者应当配合数据主体的相应要求。根据2016年12月欧盟数据工作保护组公布的《数据可携权指南》 (Guidelines on the right to dat