(一)对同意要求的强化
信息主体的同意是信息控制者合法处理信息的其中一个理由,也是个人对自身信息进行控制的重要保障。议会生效文本对同意要求的规定变得更加严格。它改变了对同意的界定与取得信息主体同意的条件,且这样的改变贯穿于整个条例文本。在《数据保护指令》下,只有在处理敏感数据时,才需取得信息主体的明确同意,而在《通用数据保护条例》的修订过程中,根据欧委会草案备忘录的说明,之所以将“明确”同意的要求加入进来,并在广义范围进行适用,是为了能够有一个单一且一贯的对同意的界定,以确保信息主体意识到在哪些方面,他赋予了信息控制者处理其个人信息的同意授权。
《通用数据保护条例》叙文第32条指出了信息主体同意信息控制者处理其信息的恰当作出方式,即通过声明或采取一项明确的肯定行动的方式来提供。信息主体应自由地作出同意的意思表示,并给予具体、明确的指示。例如通过书面声明,包括通过电子手段、口头声明,或是能明确表明信息主体愿意信息控制者在特定情况下处理其个人信息的方式来表达同意。这可以包括在访问互联网网站时勾选框,选择信息社会服务的技术设置或在该上下文中清楚地指示信息主体接受对其个人数据的处理的声明或行为。因此,沉默、预先勾选都不应构成同意。如果信息主体的同意是在一项电子请求下给予的,则这项电子请求应当清楚、简明且不应对信息主体施加不必要的扰乱其使用此项服务的阻挠。
《通用数据保护条例》第7(1)款通过在信息控制者身上施加要求其证明信息主体是为了特定目的而同意信息处理的举证负担来强化同意规则的适用。为了达到举证责任的要求,考虑到每一次信息处理的敏感性,控制者需要通过可靠的方式取得信息主体的同意。控制者需能证明信息的处理经过了信息主体对特定信息处理活动的同意,要么通过书面同意的方式,要么通过保存电子同意记录的方式。
《通用数据保护条例》第7(2)款规定,如果信息控制者是通过书面声明的方式取得信息主体的授权同意,且声明中包含了对其他事项的约定,则取得信息主体同意的条款应采用区别于声明中其他条款的方式,并予以清晰的显示。如果在取得信息主体的授权同意上出现任何违反条例规定的约定,都将导致这些约定条款的完全无效。
欧委会草案禁止在力量显著悬殊的背景下使用同意规则。这个规定引发了一场关于何种类型与何种范围不属于力量显著失衡情形的讨论。《通用数据保护条例》并没有在修订文本中保留此条款。它引入了一些附加条件替代原有规定,如第7(4)款规定,在判断信息控制者的行为是否违反了有关“同意应当是自由做出”时,当数据处理并不是执行双方间合同或提供服务所必需时,合同的执行或服务的提供不能以信息主体同意信息控制者处理其信息为条件。更重要的是,《通用数据保护条例》第7(3)款,赋予了数据主体可以随时撤回同意的权利。信息控制者应当明确告知用户现有该权利,并为用户方便地行使该权利提供便利。
《通用数据保护条例》第8条是专门拟定的,适用于处理儿童信息的专用条款。当一项服务是专门针对儿童提供时,条例对处理16岁以下未成年人的信息采用了不同的处理方法。在处理16岁以下儿童信息时,只有在儿童的父母或法定监护人给予了与信息处理程度相应的授权同意时,信息处理行为才是合法的。《通用数据保护条例》对于儿童个人数据做出了特殊保护规定,但允许成员国对于儿童的年龄标准在13—16岁之间做出调整。
(二)被遗忘的权利
欧盟《数据保护指令》(95/46/EC)与被遗忘权最相关的条文是第12(b)与第14条。第14条规定了信息主体拒绝信息处理的权利,但适用范围有限,仅对两种情形做出强行性规定,要求成员国授予信息主体拒绝信息处理的权利。第一,当信息的处理源于官方授权或涉及公共利益时,信息主体需要有拒绝信息处理的有说服力的合理理由[11];第二,当保护信息主体的基本权利和自由比保护信息控制者或接受信息披露的第三方所追求的合法利益更为重要时,信息主体也需要有说服力的合理理由来证成。[12]“有说服力的合理理由”的要求加大了信息主体的证明责任,给裁判者留下了较大的自由裁量空间。
第12(b)规定,成员国应保证每个信息主体都有权从信息控制者处“对信息做出适当的修改、删除或者限制……”但该条文对适用范围作了限定,要求“该信息的处理不符合《数据保护指令》的规定,特别是因为信息的不完整或者不准确导致时”才能行使。该条文被视为信息主体享有删除权的一般条款。从举证责任的角度来看,欧盟《数据保护指令》对信息主体行使删除权的举证责任要求较高,需要证明信息处理者行为的违法性或采集信息的不准确性,而被遗忘权在举证责任上,只需指出应被遗忘的负面信息与信息主体之间表面看来存在利害关联,应被删除即可。不论对该条做扩大或者限缩解释,都无法将其归结为“被遗忘权”。(www.xing528.com)
《通用数据保护条例》第17条引入了一项新型权利——删除权(被遗忘权)。[13]该条赋予了信息主体向信息的控制者请求删除个人信息并避免信息进一步传播的权利。《条例》第17条第1款的核心仍然是传统个人信息保护法中已经确立的删除权:当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。遗忘与删除的动因包括:信息采集的目的已经达到;个人撤回同意;信息的储存期限已届满;信息控制者不再具有处理信息的合法理由;信息主体有超越信息控制者处理信息合法利益的值得保护的基本权利与自由;信息控制者在进行信息处理时没有遵循其他法律规定。
这项权利的引入成为欧盟立法改革最具争议的条款之一,引发了学者们对“遗忘”内涵的广泛讨论。该项权利不仅会对相关的基本权利,如自由表达、公众知情产生影响,也会增加对互联网的审查。虽然存在这些权利冲突,条例第17(2)还是拓展了《数据保护指令》第12(b)款下删除权的适用范围。关于“被遗忘”的精神更多体现在第17条第2款,它为控制者引入了如下义务,若信息主体提出了删除与其个人信息相关的链接、副本或备份资料的请求时,信息控制者有义务采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理成本),如果信息控制者向第三方公开了被要求删除的个人信息,信息控制者有责任通知处理此数据的第三方,要求第三方删除关于信息主体所主张的个人数据链接、复制件及相关内容。
被遗忘的权利有三个层面上的涵义:第一,个人信息适时删除的权利。当个人信息采集时所确立的信息处理的目的已经达到、储存期限届满、信息的处理超越授权、信息主体撤回授权或有其他违法情形时,个人有权要求信息控制者将其信息移除;第二,允许人们从头再来的权利,在特定领域,限制对信息主体不利的、过时的且负面的信息的披露与使用,这层涵义是从个人与社会发展的角度来考量的,是对原谅、忘却、个体重新来过的权衡;第三个层面,是个人享有的表达见解与改变观点的自由。人们不应被定格在发表观点的当下,也无须担心所表达的内容在未来会用作对自己不利的证据。[14]第一个层面的“被遗忘权”,在《数据保护指令》的框架下是由第12(b)款下的删除与隔离权与第14(a)款的拒绝权来规制的。《通用数据条例》第17(2)款为信息控制者引入的新义务,即当信息被转移给第三方或没有恰当的法律依据就予以公开,则信息控制者有义务将信息主体删除信息的请求通知第三方。而第二与第三个层面的涵义,即不用担心过时的、负面且不相关的信息或曾经表达的观点会在未来用作对自己不利因素的证据,此点则与很多基本权利之间存在冲突,如自由表达的权利、知情权等基本权利。
被遗忘的权利应构建在删除权的基础上,被遗忘权的行使与享有,取决于信息最初处理时正当化信息处理的法律事由。当信息处理是以信息主体的同意为基础时,信息主体有权无条件地要求相对方删除其个人信息,但当信息的处理并非基于信息主体的授权同意,而是基于如控制者追求自身信息处理的合法利益时,信息主体如果只根据《通用数据保护条例》第21条的规定拒绝信息的处理,则我们会发现,信息处理的拒绝权相比删除权而言,效力明显不如删除权那么强,因为反对信息处理的权利有待证明其合理性。
议会修订文本中的删除权(被遗忘权)掀起了一番不同观点的激烈交锋。删除权的适用范围过宽,可能会牺牲掉一些非常重要的权利,比如言论自由与公众知情。这些权利发生冲突时往往不能同时兼顾。由诸如搜索引擎服务提供商通过通知与取下程序在个案审查的基础上进行平衡,将可能导致数量惊人的删除请求,而搜索引擎公司为了避免法律纠纷,也可能会采取一经申请删除链接的举措。[15]
被遗忘权能否在实际操作中得到贯彻与执行,对该项权利能否存续至关重要。欧委会的草案也表明了这样的观点,即在一些情况下,要想执行被遗忘权是不现实的。欧委会草案第17(2)款规定,信息控制者若将个人信息公开,则当信息主体提出删除与其个人信息相关的链接、副本或备份资料的请求时,信息控制者有义务采取所有合理的措施,包括相关的技术手段通知第三方,告知其信息主体的请求。但当采取所有的措施后,是否能通知到第三方以及第三方是否会采取相应措施满足信息主体的请求都是无法保证的。2016《通用数据保护条例》进一步强化了信息主体享有的删除权(被遗忘权)。第17(2)款规定,信息控制者若将个人信息公开,信息控制者需要积极采取所有合理措施去删除信息,包括采取可用的技术手段和投入合理成本,而不再仅仅是去通知第三方信息主体的诉求。在欧洲网络与信息安全局的报告中提到,在不考虑制定该项权利愿景的背景下,“单纯的技术与全面的解决方案”在开放的互联网领域几乎是不可能实现的。需要一个跨学科的综合性方法,并明确诸如像搜索引擎及网络服务提供者,各自在过滤应被遗忘的信息时所扮演的角色。[16]
(三)数据可移植权利
《通用数据保护条例》第20条,规定了信息主体享有的数据可移植权利。当个人信息是通过电子方式以结构化的、通用的和机器可读的格式进行处理时,信息主体有权从服务提供商处获得其个人信息的副本,获取信息副本的格式应能在其他在线服务中进一步使用。虽然,条例在界定哪些格式属于通用格式方面予以了保留,但要想确切地界定该项新增权利的适用范围是不可能的。不论信息处理的法律依据是什么,信息主体都应能够获得通过电子方式以结构化、通用的和机器可读的格式进行信息处理的个人信息副本,且该副本能在在线服务中进一步被使用。《条例》第20条将数据可移植权利的适用范围限定在信息主体授权同意信息控制者进行信息处理或基于合同的信息处理的情形。在这样的情形下,信息主体有权将自己的个人信息以一种电子化且常用的格式从一个自动化的信息处理系统(比如社交网站)转移到另一个自动化的信息处理系统中。
在数据可移植权利上,此条款在审议过程中受到了大量的批评。首先,信息主体能否有意义地离开,即能否在取得副本后,删除服务提供者保存的与其相关的个人信息记录,是一个问题,这将受制于删除权(被遗忘权)在实践执行中面临的挑战。再有,叙文第68条指出,该权项利适用于信息主体自身同意提供个人数据,或者处理对于履行合同是必要时的情形。如果处理是基于同意或合同以外的法律理由,则不应适用。而《条例》第20(1)款规定的“由信息主体提供的信息”,其确切含义并不清楚,如果把它解释为由信息主体主动积极提供的信息,则该条规定的情形将与普遍践行的信息采集、使用的现实情况脱节。因为在现实生活中,大量信息的采集与使用都是在信息主体不知情的情况下进行的,更不必说信息主体的积极参与了。应看到,该条在实施中可能面临的诸多障碍,在条例规定中并未得到解决。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。