3.3.1 肖像数据权
根据《民法典》,自然人享有肖像权,有权依法制作、使用、公开或者许可他人使用自己的肖像。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。未经肖像权人同意,肖像作品权利人不得以发表、复制、发行、出租、展览等方式使用或者公开肖像权人的肖像。
肖像数据是特定自然人可以被识别的外部形象数据,是肖像的一种载体,具备再现自然人的外貌形象、具有物的属性(数据的物理属性)等法律意义上的肖像特征,因此,数据主体有权享有其肖像数据权。例如数据主体的人脸数据、声音数据属于个人肖像数据,未经肖像权人同意,不得制作、使用、公开肖像权人的肖像。因此,网络上出现的人工智能换脸、声音模仿等技术及其使用可能触犯了法律。
3.3.2 隐私数据权
《民法典》第六章专门规定了隐私权和个人信息保护。《民法典》第一千零三十二条规定:自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。《民法典》第一千零三十四条规定:自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
关于隐私数据权,《民法典》规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。因此,个人隐私数据受到隐私权和个人信息保护两方面的法律保护。隐私权规定:个人隐私受法律保护不得侵犯;个人信息保护规定:公开的个人信息也受到法律保护,未经同意不得处理和使用。
另外,《民法典》第一千零三十九条特别规定:国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。这一条在政府数据开放共享过程中尤其要小心谨慎。
就个人来讲,隐私数据应该是针对个人私密空间、私密活动、私密信息的,与公共利益无关的数据。与公共利益相关的个人信息不属于个人隐私数据,例如,公开工资分配表中记录的个人在工作中的劳动所得数额就不是隐私数据,不须任何个人的同意,这是因为:一,工资是分配劳动所得的情况和记录,不归个人所有;二,劳动分配与全体劳动者的公共利益息息相关。
随着手机等数字化设备的广泛普及使用,个人隐私越来越难以掩藏,更加容易暴露在公众面前,隐私权的含义和范围发生了巨大变化,隐私保护越来越体现出对隐私数据泄露的防范。在经济利益的诱惑下,越来越多的主体参与个人数据的获取、
发掘、利用,导致实施侵害的主体范围不断扩大。隐私数据权可以看作传统隐私权在网络空间中的延伸,其保护范围更大,保护难度也更大。
3.3.3 被遗忘权
GDPR规定了被遗忘权,即数据主体要求数据控制者删除关于其个人数据的权利,数据控制者有责任在特定情况下及时删除个人数据。简单来讲,如果一个人想被互联网世界遗忘,相关主体应该删除有关此人的网上的个人信息。
GDPR被遗忘权的行使涉及以下 3 个方面。
• 数据主体的个人意愿:对于收集或处理个人数据的目的而言,如果该个人数据已经是不必要的,则数据主体有权撤回之前的同意授权,有权行使反对处理权。
• 数据控制行为的合法性:当个人数据被非法处理时,为遵守数据控制者所受制的联盟或成员国法律规定的法定义务,这些个人数据必须被删除;
• 删除数据的范围:如果数据控制者已将个人数据公开,数据控制者在考虑现有技术及实施成本后,应当采取合理步骤(包括技术措施),通知正在处理个人数据的其他数据控制者,数据主体要求删除其个人数据的所有链接、副本和复制件。
被遗忘权的提出引起了广泛的兴趣。前面讨论过个人隐私数据和个人数据是不同的,如果个人隐私数据被放到网络上,可以用隐私权保护来处理,但如果个人隐私数据之外的个人数据被放到了网络上,个人希望删除是否可以?《民法典》第一千零三十七条规定:自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议,并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
