数据控制者的权利与限制

在大数据分析技术不断发展与完善的基础上,数据正在成为一种新的资源并为越来越多的主体所重视与争夺,同时也造成了一系列数据泄露与侵犯个人隐私的事件。而数据控制者作为整个数据产业中至关重要的一环,其权利的内容、边界与限制都没有得到统一的规定。对数据控制者权利的设计与限制是实现数据安全与数据产业顺利发展的关键因素,通过对数据控制者权利与限制的研究能够探讨数据产业发展的新路径,同时结合当前个人数据保护的形态研究在大数据时代下个人数据保护的路径。

第三方数据信托:数据控制者义务的困境及其破解

第三方数据信托的提出旨在解决数据控制者面临的合同义务或信义义务双重困境。作为数据主体和数据控制者之间的中介,第三方数据信托机构对数据主体负有信义义务,通过对数据控制者的资质进行筛选,对数据处理活动进行监督,有效平衡数据的保护和利用之间的关系,重建数据市场的信任机制。第三方数据信托的机制构建以明确数据权属和定价为前提,以相关主体、信托标的和实现机制为基本内涵,以建立数据信托机构的准入和监督机制、明晰数据信托机构的基本责任以及引入数据领域的公益诉讼作为法律保障。

欧盟数据控制者的义务:源起、变迁及其缘由

数据控制者的概念源于欧洲法律,对数据控制者所应承担的义务经立法明确后,随着技术发展历经多次变迁。欧洲数据控制者的义务类别多达12项,其中数据安全、告知、更正和清除是主要的三项义务。数据控制者的义务变迁路径呈现出从原则性义务向规则性义务过渡,从数据主体权利要求向数据控制者义务承担过渡等趋势。义务种类逐渐增多、核心义务长期存续及义务来自同一法源是欧盟数据控制者义务变迁的三大特点。分析欧盟数据控制者的义务类别,及其变迁路径、特点、缘由,有助于我国借鉴欧洲数据控制者义务保障体系。

GDPR中数据控制者的立法解读和经验探讨

解读欧盟数据控制者的立法模式,旨在阐释数据控制者的概念要义和义务类型,并从中提炼欧盟在个人数据保护方面拟制法律主体的可鉴经验。从对象、行为、主体类型和意思联络四个要素理解数据控制者的概念要义,可知该概念的语词构造表征了以"个人数据"为保护对象以及"控制与被控制"的法律关系,而其概括加列举的定义方式体现出判断某行为是否构成数据控制者的各要素。将数据控制者的义务类型化为采取适当的技术和组织措施、指定特定的主体、如实记录和保存数据处理泄露情况、及时报告和告知数据泄露情况、进行数据保护影响评估和向监管机构事先咨询,可知实现数据控制者内部监督和侧重数据安全的事前保障,能够有效地实现个人数据的法律保护效果。

大数据背景下“数据控制者信息权”权益定位——以《民法典》个人信息权为视阈

关于侵犯公民个人信息罪法益的争议一直不断,个人信息权立足于信息自然人主体,具有人身附属性,无法评价大数据背景下批量信息的社会属性;公共性法益的抽象性模糊了法益的处罚边界,丧失了法益解释机能的作用。面对批量信息在市场经济秩序中流转和共享的自由和安全,需要重新解读个人信息权,将数据控制者信息权纳入刑法规制的范围,从而化解自由与安全、个人法益与公共性法益之间的矛盾冲突。

元监管“次生风险”之先定规范机制研究——以欧盟GDPR数据控制者为例

元监管是一种能够确保数据安全风险防范目的与手段相适应的风险规制技术手段。本文以欧盟GDPR中的数据控制者为样本进行研究,分析了元监管的制度设计和治理效能,发现元监管必然导致"次生风险"问题,并从其内容、形式以及表现等维度,对该问题进行揭示。研究结论得出,运用先定规范机制对数据控制者的权力进行限定,是解决该问题的路径之一。

“数据控制者标准”取证模式及中国因应

“数据控制者标准”取证模式是以“数据的实际控制者”为属人连结点来确定跨境数据管辖权的模式,其指向的是跨境网络服务提供者控制的能够作为证据的各类境外数据。该模式正将跨境数据取证由以“数据本地化”为表现形式的属地原则转向以“数据控制者”为核心管辖要素的属人原则。基于“数据控制者标准”取证模式直接向数据控制者调取境外数据的特点,该模式极易引发其与包括我国在内的采用“数据本地化标准”国家之间的数据主权冲突。“数据控制者标准”取证模式与我国相关程序法和数据保护法相抵牾,而我国阻断法在应对境外数据强制调取时发挥的制约作用有限。我国可尝试采用“以数据本地化标准为主,以数据控制者标准为辅”的策略,在尊重主权差异与国际礼让的基础上,实行对等原则基础上有限度的数据出境。同时,充分发挥阻断法的作用,以消减“数据控制者标准”取证模式对我国的不利影响。

我国数据携带权的司法适用问题研究

在我国2021年11月1日施行的《个人信息保护法》第45条明确了个人对其数据享有数据获得权与数据转移权,虽然在表面上已经具备数据携带权的构成条件,但是其立法精神和目的与欧盟委员会颁布的GDPR并不等同,因此,我国在法律上尚未真正确立数据携带权的法律制度。数据携带权最早是由欧盟创建并实行的,应当对欧盟设置数据携带权的内容与过程进行全面分析,学习并归纳相关经验,为我国构建具有实质意义的数据携带权法律制度供给支撑。

区块链技术与个人数据保护规范的内源性冲突及调和路径——以欧盟GDPR为例

[研究目的]基于集中式数据保护模式的GDPR与基于分布式架构的区块链技术之间存在张力,难以实现GDPR所赋予数据主体的数据权利。通过研究区块链技术与个人数据保护规范冲突的归因逻辑及实质,为完善我国个人信息保护法提供可资借鉴的经验。[研究方法]根据欧盟第29条工作组出台的GDPR相关术语解释指南,基于区块链技术本身的技术性架构,整理欧盟为调和区块链与GDPR冲突出台的文件,研究其冲突的根源,探求调和二者冲突的可能路径。[研究结论]我国应从理念与实体两个层次应对这一冲突。理念上,短期内需解释法律并调适区块链技术,长远来看仍需寻求法律代码化进路。实体上,鉴于公有链与许可链不同的去中心化程度,采取公有链的技术路径与许可链的法律路径分别予以规制,由此实现区块链与个人信息保护法律规范的有效衔接。

数据财产权益的归属判定

现代信息技术推动社会数字化转型的过程中,明晰的数据权属是数据经济健康发展的逻辑前提,也是构建数据财产权益法律制度的首要环节,但是我国现行立法未对其作出明确规定,现有学说亦未形成理论共识。数据权属分为两个层次:一为人格权益归属;二为财产权益归属。个人数据保护立法的具体规范和人格权的一般理论表明:在划分个人数据与非个人数据的场合下,(个人)数据的人格权益归属于个人数据所关联的已识别或可识别的自然人。数据的财产权益归属作为当前争议焦点尚无定论,既与数据权属的研究角度不同有关,更与缺乏有力的数据权属分配标准有关。解决该难题的关键在于全面考察财产权益分配的理论基础与实践线索,从理论依据、法制标准和裁判立场三个维度辨析数据权属的配置标准。具体而言,判定数据财产权益归属,在理论依据维度上:需从法哲学层面考量并入理论、投射理论、劳动理论和公约理论的可适用性,明确何者对数据投入了劳动和资本、归属于何者较能满足社会共识;从法人类学层面梳理财产权益分配的社会历史脉络,明确何者需要保障其数据生产积极性以增进社会整体生产力;从法经济学层面分析财产权益分配的经济考量因素,明确何者对出产数据具有激励必要且能有效率利用数据。在法制标准维度上:需从关于物、智力成果、商业秘密和数据库等多种客体的既有法律规范,提炼财产权益分配的立法精神,明确何种数据权属配置更加契合立法的内在规律。在裁判立场维度上:需从域内外典型案例的裁判结果和裁判理由,总结司法机关对数据权属的基本见解,明确何种归属可得映照司法者对数据财产权益归属的实务处断。尽管三个维度视角各异,但经分析验证,三者在不同程度上蕴含一项共性原则——“播种者收获”,均倾向于将数据财产权益分配给合法收集处理数据的主体,该主体可称为合法的数据控制者,即决定数据处理目的与方式之人,实践中包括但不限于运营互联网、物联网和智能制造的企业。

论大数据邻接权保护的正当性及其制度构建

信息化3.0时代,大数据已成为继土地、劳动力、技术、资本之外的第五种生产要素,发挥着驱动经济社会发展的重要作用。大数据的非物质性、社会性、公开性特征与邻接权客体的特征具有一致性,将其纳入邻接权保护具有合理性、必要性及可行性。数据控制者对大数据的采集、储存投入了大量的人力、物力,由此产生的利益理应受到法律保护,在邻接权制度内引入数据控制者权,是大数据法律保护的合适进路。

个人信息控制权的界定困境与应对之策

一、个人信息控制权的界定困境我国关于个人信息控制者的相关规定首见于《信息安全技术-个人信息安全规范》(GB/T35273-2020),其中第3.4条明确规定个人信息控制者指的是有能力决定个人信息处理目的、方式等的组织或个人。此条在一定程度上反映了在个人信息保护立法层面上我国对欧盟的借鉴。因为根据GDPR第4条,数据控制者是指单独或与他人共同决定处理数据的自然人、法人、公共权力机关或机构等等。可见GDPR的实施唤起了各国对数据保护的重视,其对数据控制者的定义已基本成为一个国际通行标准。

破产程序中数据权益之保护——以信义义务为视角

破产程序中数据权益保护问题渐受重视,而现行物权、合同、知识产权等适用规则对此面临保护不足、调整失当的困境。比较法所确立的个人控制论立场,从数据主体锁定数据使用流向的视角出发,对数据权益的商品化约束过甚,无法调息数据人格权益与财产权益的内在冲突,并与破产程序中债务人财产价值最大化的理念相悖离。应重视数据主体与数据控制者之间信赖关系的建构,根据信义义务构成要件理论与破产法的团队生产理论,在破产程序中为数据控制者施加保密、安全、透明与忠实的受托人义务,并根据场景化的路径在数据平台企业与经营管理层之间妥善分配责任,通过强制性的法定责任约束,为数据控制者在破产程序中提供行为指引,以强化对数据主体权益在破产程序中的保护。

大数据时代企业数据权利保护的困境与突破

大数据时代企业数据权利的保护已经成为迫切需要解决的法律难题之一。既有立法例多以个人数据保护为中心,从中反向推导出企业的数据权利范围。这一立法模式因个人数据权利难以精确界定,导致企业数据权利边界模糊不清。现有解决方案中,行为规制说与分类保护说均无法提供恰当的规则指引。赋权保护说虽已明确意识到数据权属界定的积极意义,却没有考虑到企业数据来源的多样性而陷入了一体保护主义。我国未来数据权利保护立法宜采取正面界定的方法,明确企业对数据产品及非个人数据享有占有、使用、收益、处分等所有者权益;对企业数据中涉及个人数据的部分,借鉴数据控制者的立法设计,构建企业对个人数据的权限范围与义务内容。

GDPR“数据保护官”制度探析——兼论其对中国的启示

本文首先结合欧盟其他与数据保护相关的数据法律文件,对 GDPR 中的“数据保护官”制度进行了全面的介绍和解构。而想要对该制度进行更深层次的探究,还需立足“数据保护官”制度在立法过程中和生效前后的争议焦点,剖析不同利益团体对该制度的需求和态度。在这样的研究基础上,本文试图讨论 GDPR 全面实施后,“数据保护官”制度对不同主体产生的具体影响;并对中国如何构建类似制度,提出一些建议。

数据库开发与应用中的隐私权限制

以个人数据为直接对象的数据库上存在着两种权利:数据库权利和数据主体权利。对前者而言,它的核心是财产利益;对后者来说,它的核心是人的尊严和人格利益。两种权利在数据库的开发和应用过程中经常冲突,体现在个人敏感数据被非法收集和处理,以及公民被无处不在的数据监控包围。然而,现代文明是向尊重和保护隐私权的社会不断迈进的过程,数据资源的整合与挖掘不能以牺牲个人隐私为代价。数据库的开发与利用必须尊重数据主体围绕隐私的基本权利,并从数据分类、数据处理行为、数据库控制者责任三个方面设置相应的法律保护条款。

数据可携带权在欧美法律实践上的权利要旨对我国个人信息权益保护的借鉴

数据可携带权作为欧盟《一般数据保护条例》引入的一项新兴权利,以获取数据副本权利和转移数据副本权利为核心内容,为加强个人信息主体对于数据的控制能力、推动行业数据传输标准合同的构建、推进数据自由流动和产业健康发展具有积极效能,但也面临着隐私自治、数据迁移权的安全风险与企业合规成本的利益衡量。我国《个人信息保护法》引入了个人信息可携带权这一新型权利,也面临着新兴权利的法律适用调整与本土化的践行困境等问题。因此,我国应正确拆解数据可携带权的法理溯源、权利属性、实现机制和本土化设计等维度,以便充分发挥数据可携带权在维护我国数据产业公平竞争和个人信息权益保护方面的潜在功效。

美国CLOUD法案对我国跨境数据获取的挑战及应对

双边司法协助低效率的取证程序难以满足电子取证及时的要求,而美国CLOUD法案的颁布破解了传统跨境数据取证耗时长效率低的问题。CLOUD法案采取的是数据控制者模式,这与大多数国家所确立的数据本地化模式不同,此将引发诸如管辖权冲突、数据主权和网络主权冲突、与其他条约或国家法律条文内容相冲突等问题。我国可合理运用国际礼让原则,适度放开数据本地化模式,完善《国际刑事司法协助法》《国家安全法》《网络安全法》等法律规范,加强阻断立法,协作治理网络空间,加强国际数据管辖的平等合作,有效应对CLOUD法案对跨境数据获取的挑战。

从各国数据保护法律法规看数据保护要点

在研究美国、欧盟、俄罗斯、新加坡等国数据保护相关法律法规的基础上,从数据主体、数据控制者、数据监管者三个层面,梳理出数据保护涉及的相关要点,并比较了美国、欧盟、澳大利亚、新加坡各国在法律法规中界定这些要点时的不同策略和思路,为我国制定和出台数据保护相关法律法规和行政规章提供参考。

欧盟数据可携权的法律构造与本土化思考

为削弱美国互联网企业对本土网络的巨大影响,欧盟于2016年在《通用数据保护条例》中创设出“数据可携权”制度,对其权利演进、具体内容和法律构造等进行理论分析,对我国是否引入可携权两个方面的观点进行梳理。在肯定引入价值的前提下,结合我国立法实际,明确可携权本土化可能面临的障碍,有针对性地提出完善措施。建议我国宜限缩权利主体范围,循序渐进、审慎地引入可携权制度,以期实现其加强用户数据控制和优化市场竞争环境的双重目的。