个人数据保护需要公法管制和民事救济双管齐下 5月24日

5月24日，清华大学教授、法学院党委副书记程啸在“欧盟GDPR的影响与应对”高峰论坛上发表了题为“个人数据保护与民法典人格权编立法”的演讲。程啸表示，通过公法管制和民事救济形成一个多角度的个人数据保护格局，将既有利于保护人民群众的人身和财产权利，也有利于网络科技与数据产业的发展。

个人数据权保护是自然人自主决定的利益

在大数据时代，如何建立个人数据保护成为社会各界关注的焦点。

程啸认为，在大数据时代，法律所保护的自然人对个人数据的利益，不是隐私利益和经济利益，而是自然人对个人数据被他人收集、存储、转让和使用的过程中的自主决定利益。这种利益主要表现为，自然人知道个人数据被收集、被收集的目的以及使用的目的、方式、范围并基对此加以同意；在没有经过同意的情况下，自然人可以拒绝个人数据被转让；同时在特定的情形下可以要求删除、更正或者补充。

程啸表示，保护自然人对个人数据的自主决定利益的根本原因是，大数据时代下个人数据被收集、被储存、被转让、被使用已成为不可逆转的趋势，这种的趋势导致很多新的商业交易形态的出现。个人数据给大家带来便利的同时，相当程度上也提升或改变了社会的风险状态，这种风险让我们的人身权、财产权非常容易被侵害。如果不能保护自然人对个人数据的自主决定利益，就很难筑起一道防止他人借助个人数据的收集、存储、使用、转让侵害自然人的人身权、财产权的法律屏障。

保护个人数据的关键是明确权利内容及救济方法

明确保护个人数据的目的之后，需要进一步明确个人数据的保护方法。对于如何保护个人数据的自主决定利益，程啸认为，最重要的是明确权利的内容以及权利被侵害时的救济方法。他指出，目前《侵权责任法》《民法总则》《网络安全法》对数据保护都有一些规定，从现行法对个人数据权利内容的规定来看，我国一些规定与欧盟《一般数据保护条例》是相同的，比如都有规定了同意权、更正权、删除权等。

为了既能有效的保护个人数据，又避免对数据的自由流动造成不当妨害，程啸认为，未来我国的《民法典人格权编》中，应当依据个人数据权利被侵害的情形而明确应适用的不同的侵权责任承担方式。当自然人发现他人没有经过同意正在对个人数据进行收集、储存、加工、转让，可以要求停止侵害、排除妨碍、消除危险。如果侵害自然人的个人数据进而导致自然人其他的民事权益被侵害，以至遭受损害时，可以要求损害赔偿。但这需要证明数据控制者存在过错、加害行为和损害之间有因果关系等要件。对于未经同意而转让给他人的数据，自然人无权要求返还财产（返还数据）。此外，除非能够证明取得该数据的民事主体具有主观上的故意，否则不能要求删除数据。某种程度上，侵害个人数据的侵权行为也不适用赔礼道歉、消除影响、恢复名誉以及精神损害赔偿，除非该侵害行为同时也导致了对名誉权、隐私权的侵害。

最后，程啸表示，《民法典人格权编》如果能对侵害个人数据权利的方式做出相应的规定，通过公法管制和民事救济形成一个多角度的数据保护格局，不仅可以在大数据时代更有效地保护广大民事主体的合法权益，也将有利数据的流动、网络科技与数据产业的繁荣发展。