帶你讀《資料自治》第三章資料權3.3個人資料權（一）

3.3       個人資料權 

《民法典》在第五章“民事權利”規定：自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隐私權、婚姻自主權等權利；自然人的個人資訊受法律保護。任何組織或者個人需要擷取他人個人資訊的，應當依法取得并確定資訊安全，不得非法收集、使用、加工、傳輸他人個人資訊，不得非法買賣、提供或者公開他人個人資訊。《個人資訊保護法》立法程序的加快将為國家大資料戰略和國家數字經濟創新發展提供強有力的法治保障。國際上，歐盟《通用資料保護條例》（GeneralDataProtectionRegulation，GDPR）對個人資料權進行了詳細的描述。

3.3.1         資料身

一個人的資料身是指存儲在網絡空間中的身份資料、現實行為資料、網絡行為資料的總和。試想一下，如果警察局删除了你的所有資料，這意味着身份證失效，那你如何證明你是你呢？如果真是這樣，從某種意義上說，你就“不存在”了，是以說人類還生存在網絡空間中。當今，人的絕大部分行為會以資料的形式記錄在資料界，這些資料構成一個人的資料身。

顯然，資料身是更廣義的個人資料，其包含《民法典》和 GDPR中定義的個人資料和一般意義上的個人隐私資料。

（1）個人資料

《民法典》第一千零三十四條規定：自然人的個人資訊受法律保護。個人資訊是

以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識别特定自然人的各種資訊，包括自然人的姓名、出生日期、身份證件号碼、生物識别資訊、住址、電話号碼、電子郵箱、健康資訊、行蹤資訊等。根據歐盟 GDPR的定義，“個人資料”是指任何指向一個已識别或可識别的自然人（資料主體）的資訊。該可識别的自然人能夠被直接或間接地識别，尤其是通過諸如姓名、身份證号碼、定位資料、線上身份識别這類辨別，或者通過該自然人的實體、生理、遺傳、心理、經濟、文化或社會身份等一項或多項要素予以識别。

顯然，個人資料包括肖像資料、直接識别資料、間接識别資料。其中，肖像資料是一類直接識别資料，但是肖像和肖像權在《民法典》中有明确定義，是以把肖像資料單列出來。

•  肖像資料。根據《民法典》，肖像是通過影像、雕塑、繪畫等方式在一定載體上所反映的特定自然人可以被識别的外部形象。是以，肖像資料就是以影像、雕塑、繪畫等方式在網絡空間載體上所反映的特定自然人可以被識别的外部形象資料。例如，人臉資料。

•  直接識别資料：能夠直接唯一識别個人身份的資料，如姓名、身份證号碼、手機号碼、信用卡号碼等。

•  間接識别資料：能夠間接識别某人身份的資料。比如小區名稱、年齡和性别，這些都不是直接識别資料，但是如果将這 3個資料關聯起來，可能就會指向某一個具體的人，是以，它們都是間接識别資料。

（2）個人隐私資料

涉及個人隐私的資料為個人隐私資料，個人隐私資料和個人資料是不同的。根據《民法典》，隐私是自然人的私人生活安甯和不願為他人知曉的私密空間、私密活動、私密資訊。相對于《民法總則》，《民法典》這次特别規定了“私密資訊”，這個規定意義重大。在這之前，隐私資料可以是隐私的載體，例如，卧室的照片就可以被認為是隐私的載體，但它是私密資訊，是以也是隐私。在資訊化廣泛普及應用、大資料快速發展的今天，随便一部手機就可以記錄下個人的私密空間和私密活動，顯然這些記錄下來的資料都屬于“私密資訊”。是以，隻要自然人不願意他人知曉，所有涉及“私密空間、私密活動、私密資訊”的資料都是個人隐私資料。

不願為他人知曉、私密是隐私的兩個要素，如果自然人願意讓“他人知曉”，則這些資訊不是隐私；如果不是私密空間、私密活動、私密資訊，那麼也不構成隐

私。例如，公民個人的私人存款數額屬于個人隐私，而公民個人的工資數額則不是個人隐私。下面兩類資料不是個人隐私資料：

•  公開的或公知的（不是個人秘密）資料（例如人臉、姓名、電話号碼、工作機關及工資收入等）不是個人隐私資料；

•  個人願意公開的涉及私密空間、私密活動、私密資訊的資料也不是個人隐私資料。

3.3.2         GDPR個人資料權

GDPR第三章規定了資料主體所擁有的多項權利，包括資料主體的知情權、通路權、糾正權、被遺忘權（删除權）、限制處理權、反對權、拒絕權、自主決定權、資料攜帶權，等等。

特别介紹一下資料主體對其個人資料的知情權、反對權、被遺忘權。

•  知情權：即資料主體通路個人資料和擷取相關資訊的權利。在資料主體資訊被收集之前，資料主體有權獲知資料控制者的身份、詳細聯系方式、處理目的等相關資訊；資料主體應當有權從資料控制者處獲知其個人資料是否正在被處理，如果正在被處理，資料主體有權通路個人資料和獲知資料處理的目的、相關個人資料的類型、個人資料已經被或将被披露給的接收者及接收者的類型、個人資料将被存儲的預期期限等。

•  反對權：資料主體有權在任何時候反對有關其個人資料的處理行為，GDPR特别指出了資料主體有權反對以直接營銷為目的而處理個人資料的行為，包括與此類直接營銷相關的概況分析。

•  被遺忘權：即删除權，資料主體有權要求資料控制者永久删除有關資料主體的個人資料，有權被網際網路遺忘。