在人工智能和大数据时代，人们常常会问如下问题：对企业疯狂采集个人数据的行为，作为公民个人，可以说“不”吗？企业采集的公民个人数据到底属于谁，企业还是个人？面对企业基于营销而完成的用户画像，个人可以说“不”吗？

　　Facebook的数据“泄漏”事件为世人瞩目，扎克伯格也正急着四处灭火。恰逢此时，《欧盟通用数据保护条例》（GDPR）于2018年5月25日正式生效，《欧盟通用数据保护条例》针对这一系列的问题给出了答案，对于我国完善数据立法具有重要的借鉴意义。

　　个人数据与隐私不是相同概念

　　《欧盟通用数据保护条例》关注“自然人享有的个人数据保护的权利”的保护，并为企业在收集和利用个人数据方面制定了“严格”的规则。

　　《欧盟通用数据保护条例》还尽可能把更多的企业纳入到自己的管辖范畴，至少以下二类企业需要受该法律调整：设在欧盟内部的企业（即使其服务器设在欧盟之外）会受该法律的调整；数据处理商没有设在欧盟，比如美国的企业，但如果它对欧盟内的自然人提供商品或服务（哪怕是免费的商品或服务），同样受该法律的调整。

　　根据《欧盟通用数据保护条例》的规定，这里的个人数据与民法中的“隐私”并非是同一概念。隐私是一个民法学上的概念，它着重强调自然人私密的、不愿意公开的信息。个人数据的范畴较为广泛，包括姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份信息等，可以说，凡是能够识别自然人主体相关的信息，都可以称为个人数据。个人数据当中的绝大多数信息，包括姓名、网上标识等恰恰又是需要公开的，不属于隐私的范畴。

　　用户个人数据虽然不能等同于民法上的“隐私”，但借助个人数据所完成的用户画像，又可以完整地呈现一个人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪。从这一意义上讲，在大数据和人工智能时代，用户个人数据又会将用户隐私带入一个全新的领域。

　　个人数据利用的规定

　　个人数据使用原则

　　在涉及个人数据利用问题上，《欧盟通用数据保护条例》明确规定了数据利用的基本原则，包括：

　　1、合法、合理、透明原则。用户个人数据抓取、存储、用户画像等使用过程中，需要严格按照规定，并且还要遵守合理和透明的原则。

　　2、目的限制原则。如果企业违反初始目的即视为对协议的违反。当然，基于公共利益、科学或历史研究或统计目的，不视为违反初始目的。

　　3、最小化使用原则。只需要采集能够实现初始目的相关和最小化数据。

　　4、准确使用原则。当用户数据被错误利用时，用户享有请求纠正的权利。

　　5、重要数据的期限存储原则。这里的“重要数据”是指能够识别用户的个人数据，比如姓名、身份证号码等数据。上述数据的存储时间不得超过实现目的的必要时间。

　　6、安全使用原则。用户企业应当安全使用数据，要防止被黑客非法利用。安全使用原则还要求“不得毁损和灭失”。

　　个人数据合法使用的基础

　　《欧盟通用数据保护条例》回答了企业利用用户个人数据合法性的基础。如果企业要证明自己采集、使用、管理用户个人数据合法，至少需要证明存在以下任何一项事由：

　　1、同意。同意即意味着双方的契约。

　　2、为了实现用户的合同目的。比如在金融管理中，需要存储和使用用户个人数据，以实现为用户提供金融管理服务合同目的。

　　3、履行其法定义务所必须。如保险公司基于保险法之义务，收集和记录用户个人数据信息。

　　4、为了用户的核心利益所必要。如银行为客户打印存款单的行为，即为了准确记录用户余额而使用用户数据。

　　5、基于公共利益或官方权威。比如为配合司法调查，采集和使用用户的个人数据。

　　6、对于企业或第三方所追求的正当利益是必要的。企业需要证明其利用数据是为了追求自己的正当利益，何为正当利益，这为数据使用留下了些许的自由裁量权。

　　数据主体所作出的同意是可以撤销的。企业应当在对数据处理前就告知用户有这种撤销权。该法还进一步明确，用户作出撤销的意思表示应当像作出同意那样的意思表示一样“简单”。

　　特殊类型数据的禁用原则

　　特殊类型的个人数据应当被禁止使用，这里所谓“特殊类型的个人数据”，是指那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员、基因数据、为了特定识别自然人的生物性识别数据以及和自然人健康、个人性生活或性取向相关的数据。

　　用户的数据权利

　　知情权

　　《欧盟通用数据保护条例》规定了两种场景下的知情权：一是企业需要收集用户数据的时候，首先是要征得用户的同意。企业有义务告知用户必要的信息，包括：我是谁，我会收集你的哪些信息，收集和处理信息的目的和法律基础等相关事项。二在数据收集完成后，针对数据的利用情况，用户仍有进一步知情的权利。

　　数据备份请求权

　　用户可以要求企业提供一份自己的个人数据备份。

　　更正权

　　该权利包括两方面的内容：一是对不正确信息的更正；二是对不充分信息的完善。

　　删除权与限制使用权

　　删除权也称“被遗忘权”，根据《欧盟通用数据保护条例》的规定，该权利是指用户有权要求企业删除个人数据的权利。需要特别考虑的情况是，一旦用户要求删除数据时，收集个人数据的企业，还有义务告知其他也在利用该数据的企业用户。如果基于公益的目的或者基于法律规定不宜删除的，用户要求删除的请求并不会被满足。

　　此外，在以下情况下，用户有权禁止企业使用其个人数据：对数据准确性存在争议；企业非法利用数据。

　　企业不再需要个人数据时，用户基于诉讼或者法律证据的考虑，可以要求企业不能删除；在涉及用户画像时，用户提出反对意见，可以暂时先停止用户画像。此时，企业除了储存数据外，原则上不得再采用其他方法使用上述数据。当然，基于法律诉讼的需要或者公共利益的目的利用个人数据可以不受限制。

　　数据携带权

　　当企业对个人数据收集完成后，如果用户需要把该数据“带给”其他企业使用时，用户该怎么办呢？数据携带权，实质上允许用户可以将一份数据卖给多家企业。

　　反对权

　　“反对权”不同于前面的“限制使用权”，仅仅是针对用户个人数据在特定应用场景下的应用的反对。

　　一是针对企业用户画像的反对。

　　用户画像不等于简单地收集信息，而是信息综合运算的结果。人工智能可以借助大数据完成用户画像，并实现自主决策。用户行使反对权后，企业不能提出压倒性的正当理由或者“为了提起、行使或辩护法律主张”，就应当停止用户画像。

　　有些机构会依据用户画像对用户作出评价，这些评价还会被广泛地运用到金融、法律等领域：法官决定对被告人量刑的依据，银行在风险评估时决定是否要对用户发放贷款。针对机构依据用户画像所作出的决策，用户个人同样有权提出反对。

　　二是针对直接营销目的的数据利用的反对。

　　数据安全的规定

　　企业在收集和使用个人数据的过程中，应当采用适当的技术措施保证个人数据的安全。《欧盟通用数据保护条例》着重强调三个方面：第一，数据的保密性，企业应当对个人数据采取保密措施，从而有效防止数据泄密；第二，保证数据的备份和完整，即便是在服务器遭受物理性或技术性攻击的情况下，企业仍然有能力保障数据的安全；第三，拥有正常使用数据的技术能力。

　　在对企业苛求安全义务的前提之下，进一步规定，一旦出现数据泄露，企业所要承担的报告的义务。当个人数据出现泄露的情况下，企业应当在其知悉后至迟72个小时内向监管机构报告。企业除了向监管机构报告，企业还应当向用户个人传达个人数据泄露的事宜。在数据泄露事件中，用户享有全面的知情权。

　　用户数据权利的救济

　　每个数据主体都有向监管机构申请保护的权利。对监管机构的决定，用户还有权进一步向法院提请诉讼的权利，从而获得司法救济权。当企业收集或使用数据的行为涉及侵犯用户数据权利的情况下，用户有权直接向法院提请诉讼。

　　由于个人数据问题往往会涉及人数众多，相关诉讼大都只可能是集体诉讼，作为诉讼的原告方大都会委托诉讼代表提请诉讼，为此该法律还特别规定了“代表诉讼”。用户个体有权委托非营利机构、实体或协会代表其行使相关救济权利：既包括代理用户向监管机构申请保护的权利，也包括代理用户向法院提请诉讼的权利。

　　如果企业违反本法导致用户利益受到损失，用户有权获得赔偿，尤其需要指出，该部法律还规定了精神损害赔偿。用户有权请求“控制者”和“处理者”承担连带法律责任，这里的“控制者”是指对数据享有实际控制权的主体，处理者则是受控制者委托实际收集和利用数据的主体（如接受委托的技术公司）。

　　最后，该法赋予了监管机构的处罚权。如果企业在收集和使用个人数据的过程中，违反了本法的相关规定，监管机构最高可以处罚至2000万欧元或者上一年度全球总营业额4%的罚款（两者择其高）。

　　（作者单位：中国社科院知识产权中心）