带你读《数据自治》第三章数据权3.3个人数据权（一）

3.3       个人数据权

《民法典》在第五章“民事权利”规定：自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利；自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《个人信息保护法》立法进程的加快将为国家大数据战略和国家数字经济创新发展提供强有力的法治保障。国际上，欧盟《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR）对个人数据权进行了详细的描述。

3.3.1         数据身

一个人的数据身是指存储在网络空间中的身份数据、现实行为数据、网络行为数据的总和。试想一下，如果公安局删除了你的所有数据，这意味着身份证失效，那你如何证明你是你呢？如果真是这样，从某种意义上说，你就“不存在”了，因此说人类还生存在网络空间中。当今，人的绝大部分行为会以数据的形式记录在数据界，这些数据构成一个人的数据身。

显然，数据身是更广义的个人数据，其包含《民法典》和 GDPR中定义的个人数据和一般意义上的个人隐私数据。

（1）个人数据

《民法典》第一千零三十四条规定：自然人的个人信息受法律保护。个人信息是

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。根据欧盟 GDPR的定义，“个人数据”是指任何指向一个已识别或可识别的自然人（数据主体）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份等一项或多项要素予以识别。

显然，个人数据包括肖像数据、直接识别数据、间接识别数据。其中，肖像数据是一类直接识别数据，但是肖像和肖像权在《民法典》中有明确定义，因此把肖像数据单列出来。

•  肖像数据。根据《民法典》，肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。因此，肖像数据就是以影像、雕塑、绘画等方式在网络空间载体上所反映的特定自然人可以被识别的外部形象数据。例如，人脸数据。

•  直接识别数据：能够直接唯一识别个人身份的数据，如姓名、身份证号码、手机号码、信用卡号码等。

•  间接识别数据：能够间接识别某人身份的数据。比如小区名称、年龄和性别，这些都不是直接识别数据，但是如果将这 3个数据关联起来，可能就会指向某一个具体的人，因此，它们都是间接识别数据。

（2）个人隐私数据

涉及个人隐私的数据为个人隐私数据，个人隐私数据和个人数据是不同的。根据《民法典》，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。相对于《民法总则》，《民法典》这次特别规定了“私密信息”，这个规定意义重大。在这之前，隐私数据可以是隐私的载体，例如，卧室的照片就可以被认为是隐私的载体，但它是私密信息，因此也是隐私。在信息化广泛普及应用、大数据快速发展的今天，随便一部手机就可以记录下个人的私密空间和私密活动，显然这些记录下来的数据都属于“私密信息”。因此，只要自然人不愿意他人知晓，所有涉及“私密空间、私密活动、私密信息”的数据都是个人隐私数据。

不愿为他人知晓、私密是隐私的两个要素，如果自然人愿意让“他人知晓”，则这些信息不是隐私；如果不是私密空间、私密活动、私密信息，那么也不构成隐

私。例如，公民个人的私人存款数额属于个人隐私，而公民个人的工资数额则不是个人隐私。下面两类数据不是个人隐私数据：

•  公开的或公知的（不是个人秘密）数据（例如人脸、姓名、电话号码、工作单位及工资收入等）不是个人隐私数据；

•  个人愿意公开的涉及私密空间、私密活动、私密信息的数据也不是个人隐私数据。

3.3.2         GDPR个人数据权

GDPR第三章规定了数据主体所拥有的多项权利，包括数据主体的知情权、访问权、纠正权、被遗忘权（删除权）、限制处理权、反对权、拒绝权、自主决定权、数据携带权，等等。

特别介绍一下数据主体对其个人数据的知情权、反对权、被遗忘权。

•  知情权：即数据主体访问个人数据和获取相关信息的权利。在数据主体信息被收集之前，数据主体有权获知数据控制者的身份、详细联系方式、处理目的等相关信息；数据主体应当有权从数据控制者处获知其个人数据是否正在被处理，如果正在被处理，数据主体有权访问个人数据和获知数据处理的目的、相关个人数据的类型、个人数据已经被或将被披露给的接收者及接收者的类型、个人数据将被存储的预期期限等。

•  反对权：数据主体有权在任何时候反对有关其个人数据的处理行为，GDPR特别指出了数据主体有权反对以直接营销为目的而处理个人数据的行为，包括与此类直接营销相关的概况分析。

•  被遗忘权：即删除权，数据主体有权要求数据控制者永久删除有关数据主体的个人数据，有权被互联网遗忘。