试论个人数据权的法律保护

孙金海

【摘要】大数据时代带来的有机遇也有挑战，海量个人数据的合理使用可以使大众享受到优质便捷的生活，带动经济增长。法律作为制度保障，要为个人数据权进行保护，规范数据控制者的行为。面对当前现状，我国亟须制定出一部个人数据保护法，适应新时代需求，保护个人信息，保护公民财产。

【关键词】个人信息;网络安全法;立法保护

一、数据权的概念

数据权是一种在互联网络发展之下产生的新兴权利，近年来得到了大众的广泛关注。在赛博时代，数据作为存储个人信息的介质，包含了大量的公民隐私。只要在网络上，一切行为都由数据记录并保存。数据权保护的权益是个人数据（信息），在互联网时代，对个人数据也应当重新定义。从1980年世界范围内第一部关于个人数据保护的法律———世界经济与合作组织发布的《隐私保护与个人数据跨境流动的指导方针》到2016年我国的《中华人民共和国网络安全法》，都将个人数据的“可识别性”作为数据权的一项重要特征在对个人数据的定义中加以强调。笔者认为，数据权不仅包括具有可识别性的生物数据，如指纹、面部信息等，也应当包括公民在互联网上被储存的一切行为数据。因此在本文中将数据权定义为“民事主体享有未经本人同意不被他人收集、利用和公开个人数据的权利”。

二、实践中典型数据权侵权行为

（一）用户不能行使数据自决权

世界各国可借鉴的立法中，都将个人数据自决权作为数据权的基本内容，由权利人自己决定自己的数据能否被收集，以何种方式收集以及何时进行收集;决定对自己的信息进行修改或删除的权利。但在实践中，很多侵犯个人数据权的行为并没有得到有效规范。

事实上，相较于政府来讲，更易采集公民个人数据的是互联网企业，在网上的每一次点击都可以被软件提供商采集并用以分析公民个人偏好，严重侵害了公民的个人数据权，也对社会秩序造成了极为不利的影响。虽然大多软件都将

《个人信息及隐私保护服务条款》提供给权利人，权利人可以选择同意或者不同意，用以规避侵犯公民数据采集知情权的可能。然而，权利人真的有不选择同意的能力吗？毫无疑问的是，权利人在这种关系中处于弱势地位，市面上几乎所有的软件都设定成若权利人不同意《服务条款》，App供应商就拒绝提供服务，这就违背了保护公民数据权的意图，事实上并没有为权利人行使数据权提供有效支持，甚至是企业在倒逼权利人将放弃自己的数据权力。

（二）精准推送阻碍信息流动

即便用户数据并未被泄露或利用、用户得以行使被删除权、被遗忘权，也并不代表用户数据权没有被侵犯。笔者认为，数据控制者基于用户的数据，在未经用户同意的前提下通过算法向用户精准推送内容，也构成对个人数据权的侵犯。数据控制者利用了用户的数据，为用户打造了一个信息茧房，精准推送在某种程度上阻碍了用户获取开放信息的权利，造成了信息的不对称。这种行为并不能称为是对用户个人数据的合法利用，尤其在数据控制者并没有明确告知用户其数据会被应用于自身的情况下。数据控制者利用个人数据为其推荐产品，表面上看是改善用户体验，优化信息分配，创造商业价值，但究其根本，不仅违背了互联网信息开放性和流动性的原则，还侵犯了个人数据控制权。

三、我国数据权立法保护

（一）当前我国数据权立法现状

法律要为现实服务，为了保护个人数据、规范数据控制者行为，必须要有相应的法律制度。我国法律中并没有规定数据权，而是以概括的个人信息予以保护。刑法规定了侵犯公民个人信息罪与非法获取计算机信息系统数据罪以遏制非法获取他人信息和计算机内数据信息的行为;《网络安全法》规定网络产品、服务收集用户个人信息需要得到用户的明示同意，网络平台方负有保护用户个人信息的義务;2017年11月，中国国家标准化管理委员会发布了《信息安全技术移动智能终端个人信息保护技术要求》，通过制定国家标准的方式规定平台获取个人数据的方式和范围;此外，近两年来，网信办、公安部、工信部也纷纷出台了部门规章，以保护个人互联网信息安全。然而，目前我国仍然没有一部完善的法律将个人数据权作为一项单独的权利予以保护，面对日益猖獗的个人数据侵权行为，救济途径不够畅通。

（二）对我国数据权立法的建议

1.明确数据权的权利属性

数据权的权利属性对数据权保护具有至关重要的作用。目前我国将数据权作为个人信息的一部分加以保护，仅仅体现了数据权的人身权属性，甚至这一点也是附属于隐私权之上的。刑法中规定的非法获取计算机信息系统数据罪，认为其侵害的客体是社会管理秩序。但正如先前论述，数据权是一种复合权利，既是人身权利，也是财产权利，在数据权立法中也应当有所体现。

2.明确数据控制者的责任

现有法律已经基本确认了数据权利人的自决权，即只有在权利人知情并授权的情况下数据控制者才能获取数据和利用数据。但对数据控制者的责任限定不够明确，数据控制者作为相对强势的一方，权利人基于对其的信任提供数据，但数据控制者应当在权利人授权范围内合理使用数据，并保护数据不被泄露给第三方。数据控制者若要将数据提供给第三方，必须经过“用户授权+平台授权+用户授权”的三重授权原则，保证用户的知情权。

3.建立完善的权利救济途径

“有权利则有救济”，同样是在新浪诉脉脉案中，脉脉公司非法抓取新浪微博用户个人信息，新浪公司以不正当竞争起诉并获得了法院支持。但这个案件中事实上被侵犯的是大批用户的个人数据信息，仅仅让数据控制者以不正当竞争的理由起诉并不足以保护个人数据权。亟须建立完善的权利救济途径，使每一个公民都有途径去维护自己正当的数据权利

四、结束语

在大数据被广泛应用，区块链被反复提及的新时代背景之下，个人数据权成为公众最为关心的权利之一。由于数据权是一种新兴权利，对数据权的立法保护显然还有很多的不足。法律具有滞后性，面对现实的数据权保护问题，法律依旧应当作为社会共同的底线被制定并适用。文章从数据权的概念入手，分析个人数据面临的法律隐忧，提出立法建议。

参考文献：

[1]刘晓春.欧盟《通用数据保护条例》原则条款解析[N].中国市场监管报，2019-04-16（6）.

[2]徐梦醒.大数据时代消费者隐私权保护刍议[J].中国市场监管研究，2017（9）.