關於連邦 | 本所期刊 | 2018/12月號
上一頁 1 2 3 4 5 6 7 8 9下一頁
 



 GDPR有關個人資訊保護的權利屬性?

 

【來源:中國大陸檢察日報】

歐盟《一般資料保護規範》(General Data Protection Regulation,簡稱GDPR)正式施行後,全球企業界為了符合GDPR的要求,面臨很大壓力,也增加了許多相關支出。GDPR是歐盟的法律,對中國大陸內地不會有直接影響,但對於開展與歐盟相關業務的企業有一定影響。GDPR是個人資訊保護的領先規範,對於中國大陸個人資訊保護制度的發展與完善,具有高參考價值。

對於侵害個人資訊權益的行為,GDPR規定了數額很高的行政罰款,也規定資料主體(自然人)可以向法院提起訴訟。就個人起訴而言,其主要形式是民事訴訟,民事訴訟的基礎是自然人對其個人資訊享有權益。

GDPR明文規定了六種權利,分別是1.獲得權;2.更正權;3.刪除權(被遺忘權);4.限制處理權;5.資料可攜權和6.反對權,這些權利的性質值得探究。如果上述權利可以通過民事訴訟獲得救濟,那麼首先至少應屬私權,同時可能也屬於憲法意義上的基本權利。若上述權利屬於私權,它們在民法上的地位或者分類就值得再詳細探討,因為均非傳統意義上的民事權利,很難對這些權利進行現行法意義上的歸類。

個人資訊一般可以分為四大類:第一類是生活記錄資訊,是與個人生活相關的客觀記錄;第二類是觀察者資訊,包括外部的評價;第三類是檢測資訊,這也是客觀記錄,但涉及科學檢測;第四類是自我報告資訊,這是個人的自我評價。

從上述這些資訊可以分析出個人的人格。法律意義上的個人資訊,大體上不會超出上述範圍,GDPR還強調使用者畫像、個人特徵分析的概念,因為從個人資訊可以大致確定一個自然人是什麼樣的人。但是個人資訊是否屬於法律上的客體,具有哪些特性,則有待進一步釐清。

民法處理人與人之間的人身關係和財產關係,和個人資訊相關的也不超出人身關係和財產關係的範圍。把個人資訊單獨作為一種權利客體,會衝擊現行民事權利保護體系。如果把個人資訊權類型化賦予類似於所有權的權能,實際上與現實也不相符,因為有相當部分的個人資訊允許企業採集、使用,收集和分析個人資訊具有很高的社會經濟價值。網路產業、資料產業、大數據發展都有賴於此,只是個人資訊收集必須在投資和人格權保護之間取得平衡。

有些個人資訊公開後,個人無權要求刪除,例如:生效判決書依法上網公佈,除了法定情形外,個人不能要求法院刪除。所以在個人資訊上設定類似於所有權的絕對權,可行性微乎其微。即使將個人資訊權類型化,這種權利也不可能像物權、智慧財產權一樣成為全面的絕對權,而是一種基於政策考量和利益衡量,並經特別制度設計的民事權利,目的是確保自然人利益受到侵害後有救濟手段。

再從資料主體(自然人)的角度看,基於個人資訊的實質利益可以納入民法的形式化權利體系,基於個人資訊的權利屬於一般人格權,GDPR列舉的六類權利都可以歸類於此,然後透過侵權體系進行保護。例如:更正權、反對權,司法救濟或責任承擔方式就是排除妨礙,針對刪除權(被遺忘權)、限制處理權,責任承擔方式就是消除危險。

為什麼歐盟立法機構要設計出被遺忘權等私權?這是歐盟立法機構為了彌合歐盟成員國的法系差異而作出的特殊安排。GDPR規定的權利都是經過細化分解的實質權利,這些實質權利可以被不同法系、不同國家的形式化權利體系所涵蓋,這樣每個成員國的法律可以符合歐盟的要求。值得注意的是,GDPR沒有規定「個人資訊權」,而是規定了「個人資訊保護權」,這兩者存在差別,GDPR的做法是迫不得已的創新,因為有必要新造一個名詞。但是從中國大陸民法的立法和理論上都不需要引進這種不成熟的中間權利概念。關於個人資訊保護的實質權益應納入現行法體系,仍應採用民法/刑法/行政法的思維處理個人資訊資料保護的問題。

另外一個有關個人資訊保護的重要問題是:如何看待企業收集個人資訊/資料?企業對這些資料是否享有權利?GDPR中收集資料的企業是「資料控制者」,這也是一個新造的名詞,民法上如何定位?

其實傳統民法就可以解決這個問題。這類企業是個人資訊/資料的佔有者,可以沿用或準用佔有制度解決相關法律問題。關於個人資訊收集、使用的規則是GDPR的主要內容,也是中國大陸全國人大常委會2012年發佈的《關於加強網路資訊保護的決定》的主要內容,這些法律規定主要解決了個人資訊保護的基本制度設計問題。法律制度是利益分配機制而非利益產生機制,但會對主體產生激勵效應,進而影響利益生產,因此制度設計時必須考慮到利益平衡,要同時考量個人利益、產業利益和社會利益,也要進行經濟學上的分析。

但從個人權益司法保護角度看,這些規則實際上設定了相關主體的注意義務,這對於確定訴訟相關主體的過失分配具有重要作用。不管在侵權之訴還是在違約之訴中,過失如何確定比例,均具有重要的法律意義。GDPR或《關於加強網路資訊保護的決定》的規定,可以作為確定企業在保護個人資訊時所負注意義務的標準,違反法律規定在民事訴訟中可以被認定為違反注意義務,從而認定其具有過失,進而認定侵權成立。 

有關這部分的具體認定與更細部的論述,實有賴實務個案累積,才能提供更進一步的參考。

Top  
上一頁 1 2 3 4 5 6 7 8 9下一頁
 
 
  11th F1., 148 Songjiang Rd., Taipei, Taiwan | Tel : 886-2-2571-0150 | Fax : 886-2-2562-9103 | Email : info@tsailee.com.tw
© 2011 TSAI, LEE & CHEN CO LTD All Rights Reserved
   Web Design by Deep-White