许多奇:限制处理权适用规则的解析与本土化重构

——兼与崔聪聪教授商榷
选择字号:   本文共阅读 48 次 更新时间:2022-05-17 01:08:29

进入专题: 限制处理权  

许多奇  

  

   崔聪聪副教授在《个人信息限制处理权的制度建构——〈个人信息保护法(草案)〉第44条之修改建议》(《探索与争鸣》2020年第11期,以下简称“崔文”)一文中以欧盟限制处理权(Right to restriction of processing)为范本,围绕限制处理权的适用条件、行使程序、限制处理之解除等诸方面进行了详细阐述,为我国限制处理权的落地实施提供了诸多有益参考。不过,崔文对欧盟语境下限制处理权行权规则分析方面尚存有待深入挖掘的空间,在权利具体内容构造方面还可以从行权逻辑科学性、权利保护标准明确性等角度进一步深化。此外,崔文在限制处理权相关制度构建时,没有充分阐明该项权利行使的实践困境,未能在本土化构建上因地制宜地结合我国立法实践和制度环境,通过一条内在的逻辑线索进行贯彻与完善,不失为一种遗憾。基于此,本文就崔文中有关内容提出几点见解,以供商榷。

  

   对欧盟限制处理权适用规则的解析

   限制处理权是指在特定情形下,数据主体有权限制数据控制者处理其个人数据。该项权利的核心价值在于,进一步强化了数据主体在数据处理活动中的自决权,有助于数据主体深度参与数据处理活动,并基于其自身利益需求请求数据控制者暂停或者停止处理其个人数据。从限制处理权的权利内容来看,该项权利具备有别于更正权、删除权以及反对权等既有数据权利的独立权能,在个人数据权利体系中享有独立地位。深入剖析欧盟限制处理权的权利构造后可知,该项权利在权利构造上与其他既有权利之间构成了紧密的内在逻辑和行权联结。

   (一)限制处理权行权条件的内在逻辑

   瞰览欧盟限制处理权的演进历史可知,限制处理权并非首次出现于《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),而是最初由《个人数据保护指令》(EU Directive 95/46/EC)(以下简称《指令》)中删除权的“屏蔽”功能演化而来。从其权利行使条件上来看,某种程度上该项权利可被视为一种附加权利,与更正权、删除权(被遗忘权)以及反对权的权利行使密切相关。仔细分析上述相关权利的立法条文可察,四者之间并非相互割裂、独立存在,而是存在一定的内在联系与行权逻辑。

   首先,从更正权、删除权(被遗忘权)以及限制处理权三者之间的关系来看,这三者之间实则构筑了以删除权(被遗忘权)为核心的权利体系。在行权方式上,更正权是删除权的缓和形式,限制处理权则具有可替代性,可将需要删除的数据代之以按下暂停键的方式限制处理。值得注意的是,GDPR第17条将删除权与被遗忘权加以并行规定,但删除权(被遗忘权)实则是两种不同性质的权利混合,二者无论是在权能还是适用范围上均存在较大的差异。2由此导致具有可替代性的限制处理权的内涵和外延,亦呈现一定的复杂性。该项权利除可作为删除权的替代性救济方式外,实则与被遗忘权有着内在的密切关联。“谷歌西班牙诉冈萨雷案”(Google Spain SL v.Agencia Espa?ola de Protección de Datos,以下简称“谷歌西班牙案”)作为“被遗忘权”第一案而被世人熟知。学界对于该案件的讨论多围绕删除权和被遗忘权展开,实际上,该案与GDPR第18条规定的限制处理权亦有关联。在该案中,针对冈萨雷斯提出的主张——“请求谷歌删除或隐藏与其相关的个人数据,从而使得其不再出现在搜索结果之中,亦不再出现在指向《先锋报》的链接中”,欧盟法院支持了该项请求,将搜索引擎界定为数据处理者,并裁决谷歌“删除”指向搜索结果的链接。值得注意的是,欧盟法院裁决中的“删除”并非将个人数据从互联网中彻底删除,而是从基于姓名的检索中移除指向网页的链接。换言之,该“删除”并非与删除权意义上的“删除”等同,而是要求数据控制者通过断开链接、删除信息源的方式封锁其个人数据,从而间接达到被人遗忘的目的。该案援引了《指令》第12条(b)项:在该数据处理不符合指令的规定,特别是数据不完整或者不准确时,对数据可修改、删除或屏蔽。其中,该条中的“屏蔽”功能即为欧盟限制处理权的雏形。法院关于此案的判决虽未直接对被遗忘权予以确认,但实则通过限制处理权的行权方式,达成了个人数据被遗忘的效果。从该层面上看,限制处理权可作为被遗忘权的行权手段。被遗忘权可通过删除以及限制处理的方式予以实现。

   其次,限制处理权是删除权(被遗忘权)和反对权之间紧密关联的连接器。通常,数据主体可在三种情况下行使限制处理权:一是当他们行使更正权、删除权和反对权时,为了确保能够确认上述权利的适用性,对利害关系人的个人数据处理加以限制;二是当数据处理不合法时,数据主体倾向于防止数据删除,可考虑通过限制数据处理的方式达到目的;三是当数据不再用于数据控制或处理目的(意味着可以删除),但数据主体需要它们来建立、行使权利或进行法律辩护时,可启用限制处理权。当限制处理的权利被授予时,“受限制的数据”将不会被删除,但它们超出存储本身的进一步处理,将以适用于一个特别有限的处理理由为条件。从立法技术观之,并结合GDPR第17条以及第21条可以推断,反对权实则是删除权(被遗忘权)的权利基础,反对权的实现需要依靠删除权(被遗忘权)的行使来达到反对的实效。其中,数据主体亦可行使限制处理权,直到数据控制者证明其处理数据的合法依据优先于数据主体的利益为止。

   (二)限制处理权在个人信息权利体系中的定位

   我国与欧盟均采取了赋权模式对个人信息主体的利益进行保护,但如上所述,显然后者在个人信息权利保护的构建上更具体系性,欧盟立法者致力于全要素、全过程、多场景、面向数据生命周期构建一体化的行权机制。各项权利之间行权机制连贯、顺畅,使限制处理权在数据处理事中阶段起到了行权联结点的作用,与更正权、删除权(被遗忘权)以及反对权进行了无缝对接,有效填补了权利空白。这为个人信息主体自由行使数据权利提供了多元化的行权方案,在对抗私权力侵害个人信息主体利益,提升数据安全方面起到了补充保障作用。现阶段,我国《个人信息保护法》(以下简称《个保法》)虽初步搭建起我国的个人信息权利体系,但仔细梳理《个保法》第四章个人在信息处理活动中享有的相关权利后可知,信息主体享有的个人信息权利在行权连贯性方面还颇显薄弱,与限制处理权行权相关的配套权利还未构建完整。如《个保法》第44条将拒绝权规定于知情权、决定权之后,却缺乏对其权利内容的细化厘定,导致限制处理权在权利内容构造上的完整性尚付阙如,无法与拒绝权之间形成有效的行权联结。限制处理权的制度构建有赖于个人信息权利体系的完整,而同时个人信息权利体系的完整也为限制处理权的制度构建提供了有力支撑,二者之间是互促共进的关系,对限制处理权进行内部配置和权利构造时需要将其置于个人信息权利体系中予以界定。

   与崔文“限制处理权制度构建”之观点商榷

   我国个人信息保护立法通过赋予信息主体丰富且多层次的权利,为个人信息主体积极参与数据处理活动、制衡信息处理者提供了强有力的保障。崔文有关限制处理权的制度构建为我国限制处理权的落地实施提供了可能。但遗憾的是,该文发表之际,《个保法》尚未出台,因而其未能精准厘清限制处理权与既有权利之间的内在逻辑关系,在限制处理权的具体内容构建上存在值得商榷之处。

   第一,将“个人信息主体对完全自动化决策系统的决策结果存在异议”作为限制处理权的行权条件,不符合限制处理权的行权逻辑。崔文将该情形作为限制处理权的行权条件,未能精准、全面地理解限制处理权行权条件之间的内在逻辑。正如上文所述,欧盟的限制处理权与更正权、删除权(被遗忘权)以及反对权之间具有内在互联互动的行权机制,GDPR中关于该条的表述为“个人数据主体可以根据第21条第1款规定行使反对权直到确认了控制者的合法理由优于个人数据主体”,即个人数据主体在行使反对权后,在数据控制者未采取具体措施之前,个人数据主体请求数据控制者暂停处理其个人数据。但崔文中所述行权条件并非对应于GDPR第21条规定的反对权,而是对应于GDPR第22条规定的“免受自动化决策约束权”。按照崔文逻辑,个人信息主体主张免受自动化决策约束权后,个人信息主体可以同时主张行使限制处理权,请求信息处理者暂停或者停止对其个人信息进行处理。该行权条件显然与限制处理权的行权逻辑不符。

   一方面,从文义解释来看,GDPR中关于限制处理权的行权对象仅限于针对“个人数据”的操作过程,数据主体行使限制处理权的对象,只能是个人数据而非数据经自动化处理后的结果。换言之,免受自动化决策约束权所指向的对象是经自动化处理后所产生的决策结果,与限制处理权所指向的个人数据存在本质区别。另一方面,从行权逻辑来看,限制处理权仅可作为个人信息自动化决策处理的事中而非事后救济手段。一旦个人信息主体主张免受自动化决策约束权,则意味着个人信息主体的个人信息已经自动化处理并形成了决策结果。免受自动化决策约束权是为对抗算法技术导致的算法歧视、个人权利侵害,而赋予个人信息主体享有免受自动化决策约束的权利。该项权利主要面向的是自动化决策的事后阶段,而限制处理权则面向的是自动化处理的事中阶段。例如,在信贷领域,银行在进行自动化决策的事前决策信息公示阶段,用户若发现其个人信息不准确、不完整,可行使限制处理权,请求银行暂停处理其个人信息,以避免形成错误的决策结果。而一旦其个人信息经自动化决策形成用户画像,用户仅能针对该自动化决策结果主张免受自动化决策约束权,而非限制处理权。两种权利在自动化决策过程中行权介入阶段完全不同。可见,二者无论是在行权对象还是行权逻辑方面都无法有效契合。

   第二,崔文中限制处理权的权利客体范围过于宽泛。限制处理权的权利客体范围是指个人信息主体申请限制处理的个人信息应当纳入限制处理权的行权界限。崔聪聪教授在另外一篇与之相关的论文中指出,限制处理权适用于具有识别性的个人数据,不适用于经过匿名化处理的个人信息。笔者认为,个人数据是一个较为宽泛的概念,崔文将限制处理权的行权标准界定为“个人数据”过于笼统,或会导致权利在适用上缺乏明确的指引。

   限制处理权乃是一项请求权,该项权利的行使必然需要满足一定的行权条件,当且仅当行权条件达成时,方可主张该项权利。虽然更正权、删除权(被遗忘权)、限制处理权以及反对权各具不同的内涵和外延,各属性质不同的独立权利,但结合上文可知,相关权利之间在权利行使上具有一定的内在逻辑性。在与限制处理权行权条件一致的范围内,更正权、删除权(被遗忘权)以及反对权的行权可视为启动限制处理权的“按钮”。在行权对象上,更正权主要针对的是不准确、不完整的个人信息,删除权主要针对的是缺乏法律基础的信息。不同于更正权、删除权具有明确的行权范围,被遗忘权及反对权在权利客体的判断上并非直接采用可识别性这个唯一标准。在确定二者的行权范围时,需要结合价值判断予以确定。如在反对权的行权范围界定上,需要将所涉数据上的个人利益与公共利益、数据控制者的利益以及第三方利益进行价值衡量。如“谷歌西班牙案”中,被删除权的行权范围就限缩为针对“不相关、过时的和不适当”的个人数据。在判断原告所主张的个人数据是否予以删除时,也未采用单一标准予以判断,而是采用了大量价值判断,对相关利益进行了多方位的权衡。鉴于利益平衡存在较大的模糊性,“谷歌西班牙案”案后,欧盟原第29条工作小组专门对可“删除”的标准进行了设定,需考虑个人数据主体的身份类型、处理的数据类型等13项标准。

值得注意的是,欧盟法认为限制处理权与被遗忘权之间亦具有密切联系。我国相关立法并未规定被遗忘权,(点击此处阅读下一页)

    进入专题: 限制处理权  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 经济法学
本文链接:http://www.aisixiang.com/data/133729.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统