论个人信息保护与市场竞争的互动关系
——从个人信息保护视角观察*
2020-03-01王融腾讯研究院专家
王融 / 腾讯研究院专家
一、引言
一个多世纪前的工业时代,隐私保护学说和竞争法制度几乎同时诞生。1如果聚焦于美国法律史,一个有意思的发现是,美国隐私法原理和竞争实体法诞生在同一年。1890年,美国人萨姆尔.D.沃伦(Samule D.Warren)和路易斯.D.布兰代斯(Louis D.Bran-deis)在《哈佛法学评论》(第四期)上发表的《论隐私权》一文是有关隐私权的第一篇法学专论。自此以后,法律实务和法律学说都对隐私权问题展开了孜孜不倦的探索。而与此同时,美国的第一部竞争成文法《谢尔曼法》也于1890年颁布。人类历史上也首次通过法律制度,来保护喧嚣市场中个人的安宁与自由,免受外界过分滋扰;同时保护经营者的竞争自由,建立公平、正当、有序的市场秩序。长久以来,隐私保护法与竞争法区隔明显,二者在调整行为、执法机构、救济机制等方面泾渭分明。例如,房东在租户的屋子里安装了窃听装置,毫无疑问人们将围绕隐私问题而探讨,与竞争法无关。
但是,一百多年后的今天,信息通信技术所带来的数字化洪流,将人类社会推入到以数据为生产资料的新时代,隐私与竞争问题变得不再那么容易区隔,而是密切交织在一起。同一个市场活动,可能会同时引发隐私与竞争问题关切。特别是在国内互联网市场,自“3Q大战”2“3Q大战”指自2010年9月开始的,网络安全企业奇虎360与腾讯之间一系列的纠纷,争议包括隐私、竞争等话题,纠纷诉讼至2014年最高院判决告终。北京奇虎科技有限公司诉腾讯科技(深圳)有限公司、深圳市腾讯计算机系统有限公司滥用市场支配地位纠纷案,(2013)民三终字第4号。以来,围绕数据的竞争日益白热化,特别是近两年,从“新浪诉脉脉”案,3北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷上诉案,(2016)京73民终588号。“菜鸟顺丰之争”、4“顺丰菜鸟之争”是指2017年6月发生的,快递企业顺丰与阿里菜鸟网络之间的争议,同样包含隐私、竞争话题,该纠纷以国家监管部门的介入而告一段落。到“大众点评诉百度地图”案,5大众点评诉百度不正当竞争案 (2016)沪73民终242号民事判决书。几乎每一个纠纷都同时引发了隐私与竞争问题的共同关切。隐私与竞争问题彼此交织,呈现复杂的市场面貌。但究其原因,更多与数字经济的生产资料-数据本身的二元属性相关。
其一是数据所带有的用户权利属性。个人依据隐私与个人信息保护法,享有隐私保护利益以及个人数据利益。6本书中的“隐私”概念涵盖了隐私权学说的隐私利益保护,以及以隐私权为基础的个人信息保护,为行文简洁,统一表达为“隐私”。数字经济中的数据资料十分广泛,包括不具有个人身份属性的其他数据,如天气、矿产资源、工业数据等。但不可否认,我们正在经历的移动互联网时代,所累积的数据矿藏中最有价值的部分多集中于个人数据。当然,也有人质疑,由于网络世界的无孔不入,用户基于数据的隐私权利早已不复存在。但事实恰恰相反,隐私保护权利不论在学说上,还是法律实践上,都有着长足的发展。人们普遍认为:“隐私”并不是信息分享的对立面,而是对信息分享的控制。用户与特定的经营者分享个人信息,并不影响用户就该部分信息对经营者主张“合理的隐私期待利益”,欧盟更是强化了用户的个人数据保护权利,各国网络安全法关于网络服务提供者的安全保障义务,也很大程度构建在保护用户隐私权及个人信息合法利益的基础之上。
其二是数据本身的竞争价值属性。数字经济,不止于经济活动本身的数字化。离开数据的支撑,产品和服务提供将难以为继;更为关键的是,竞争方式的数据化,某些商业活动离开数据的哺育,产品和服务无法得以优化,从而无法形成核心竞争力。以搜索引擎业务为例,谷歌2016年处理的搜索请求年度超过2万亿次,平均每秒超过6万次以上,7Danny Sullivan: “Google now handles at least 2 trillion searches per year”, available at https://searchengineland.com/googlenow-handles-2-999-trillion-searches-per-year-250247, last visited on Dec.23th 2018.也正是基于巨大丰沛的数据资源,谷歌的核心算法得以不断优化,仅2014年核心算法改进890次之多。算法和数据之间的良性互动,使得谷歌始终在搜索结果的相关性、快速性、及时性上保持领先竞争力。
对于隐私与竞争问题的交汇,如何协调适用隐私法和竞争法,有着不同观点。有观点认为:对数字市场竞争问题的考量,不仅应当关注价格因素,还应纳入隐私等非价格因素;但也有反对者认为,仍应区分竞争与隐私问题的不同性质,将隐私问题交由隐私法和相应的执法机构去解决。8Maurice E.Stucke and Allen P.Gruenes, Big Data and Competition Policy, Oxford, 2016, pp.259-260.但事实上,尽管同一类行为同时触发了隐私与竞争关切,但隐私与竞争法的制度目标、调解方式仍有明显区别,关键在于不论是隐私问题的调查分析,还是竞争问题的调查分析,都不应再满足于单一的一元元素的分析,而要考虑到其他方面。换言之,个人信息保护法与竞争法要彼此关注和呼应原本属于对方领域的问题。
二、隐私与市场的关系
(一)隐私保护与市场效率并不完全是对立关系
对于隐私保护和市场效率,普遍存在着二者对立的误解,认为隐私保护降低了信息流动的效率,对创新发展有阻碍作用。正如法经济学者理查德·艾伦·波斯纳(Richard Allen Posner)认为:隐私并不如人们所感知那样,它并不是多数人所相信的社会价值(Posner 2008)。
隐私机制在降低信息流动效率的同时,同时存在隐私与市场和谐关系的另一面,即隐私保护机制帮助市场更有效和稳定的运行。隐私让个人区别于他人,成为独立的个体。同时,个人无法在真空中获得自我实现,他/她需要进入社会,了解到他人的信息,而市场在其中发挥了重要的角色。如果隐私缺失,一些社会活动、机制、以及人类所认同的价值观念将遭到侵蚀。事实上,隐私一直是市场机制有效运行的不可或缺的一部分。已有社会试验表明,在工作场景中,如果雇主使用全面的监控系统,实际上雇员的工作效率最低。9Ryan Calo, Privacy and Markets,“a Love Story, Legal Studies Research Paper” No.2015-26, University of Washington School of Law.
(二)隐私是市场竞争中一个重要的维度
隐私与竞争是市场得以持续活力发展的两大基石。二者背后的价值根基都折射了人类对自治和自由的追求。隐私保护关涉个人自由与安宁,而竞争法则保障经营者的经营自由秩序。充满竞争活力的市场,也将为用户提供有效的隐私保护供给。
以美国市场为例,尽管谷歌、脸书等巨头企业已经覆盖了搜索、社交的主流市场,但基于用户隐私保护功能的业务创新依然活跃。在搜索市场,以“不追踪用户”为竞争卖点的鸭鸭果(DuckDuckGo),明确表明不会记录用户的搜索行为,默认不利用“储存在用户本地终端上的数据(以下简称Cookie)”。2016年鸭鸭果(DuckDuckGo)搜索总量超100亿次,10DuckDuckGo, “Blog—10 Billion Private Searches & Counting!”, available at https://spreadprivacy.com/10-billion-privatesearches/, last visited on Feb.23th, 2018.在全球市场的热度翻倍,成为全球第5大搜索引擎网站。11Source :Alexa,“The top 500 sites on the web,” available at https://www.alexa.com/topsites/category/Computers/Internet/Searching/Search_Engines, last visited on Feb.23th, 2018.在2017年第一季度,主打“阅后即焚功能”的快照(Snapchat)社交软件日活跃用户已经达到1.6亿,每日视频点播量和脸书相当。12Source: Snapchat - Statistics & Facts, available at https://www.statista.com/topics/2882/snapchat/, last visited on Feb.23th,2018.可见,隐私保护仍然作为人类最基本的需求而存在,而一个有效竞争的市场能够面向此类需求提供服务,并展开竞争。而对于苹果、脸书、谷歌这些大型互联网公司而言,也始终将隐私保护作为其核心理念。特别以苹果为例,隐私保护是其产品的核心卖点之一。从最初的设计阶段开始,隐私保护的理念就已植根于产品与服务之中。在2016年协助FBI调查案件事件中,苹果与美国政府公开叫板,指责政府不应要求其在产品中增加后门。13Apple -Customer Letter, available at https://www.apple.com/customer-letter/, last visited on Feb 5th, 2018.
三、个人信息保护法律制度对市场竞争的影响
竞争法划定了数字经济中市场主体的经营行为边界,而由于个人信息保护法律制度直接设立了数字经济中最重要的个人数据的收集、流转与处理规则,从某种程度上来说,个人信息保护法律制度本身对数字市场竞争会带来影响。
(一)“opt-in ”与“opt-out”机制对市场效率的影响
“知情-同意”原则是个人信息保护的基本原则与核心内容,但这一原则在欧盟与美国的立法中有着不同的具体体现。在欧盟个人信息保护立法中,“知情同意”中更多表现为明示同意,或者表达为“opt-in”模式(“事前允诺”),即在收集个人数据之前,应当事前得到数据主体的本人的明确同意,否则即为违法。而在美国立法中则相反,更多表现为默示同意,即“optout”模式,即在数据收集的过程中,默认用户同意数据处理活动,用户如若不同意收集及处理活动,可以通过退出的方式来实现拒绝权。
opt-in与opt-out 两种制度模式更早出现在反垃圾邮件制度中。“opt-out事后退出”模式的立法是建立在假定邮件接收者同意的基础上,直到邮件接收者行使拒绝权。这两种制度模式有着明显的优劣点。在邮件场景中,opt-out模式减轻了企业的合规负担,有助于商业邮件的快速传播,但它把成本转移给了消费者,为了退订EMAIL,用户必须打开并回复;相反,opt-in模式虽然有利于消费者举证企业违法发送邮件,但它同时大大限制限制了互联网上的商业活动,减少了合同机会。
opt-in与opt-out制度模式的优劣点,对于个人信息的收集、处理效率也产生同样的影响。按照欧盟数据处理的合法性原则要求,在商业场景中处理个人数据,大部分情况下应当得到数据主体的同意,数据主体有权阻止有关于自己的数据的处理。在数据处理者将数据主体的数据出于商业营销目的披露给第三方之前,应当通知数据主体对象,后者有权拒绝此类披露。数据主体本人对于有关个人数据的收集、处理活动依法享有较强的控制力。在欧盟个人数据保护立法改革之后,《通用数据保护条例 》(General Data Protection Regulation,GDPR条例)更是增强了这种同意机制,要求同意必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围,则需要向用户做出单独明确的说明;如果将同意数据处理作为签订合同的前提条件,而这种数据处理事实上超出了提供服务所必需的范围,将违反有关“同意应当是自由做出”的规定。
在这种“同意”的高标准下,虽然GDPR条例并没有明确禁止“推定同意”模式(敏感数据处理、数据画像活动例外),但在实践中通过推定方式获得用户同意将很难被认为是有效合法的。也就是说,当前实践中普遍存在的通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过“打钩”方式作出一揽子授权的方式将可能失去合法性。业界普遍认为,GDPR条例关于有效合法同意的严格规定,使得用户的同意不会像现在这样被轻易获得。14王融:《欧盟数据保护通用条例详解》,载《大数据》2016年第4期。更重要的是,GDPR条例赋予了数据主体可以随时撤回同意的权利。数据控制者应当明确告知用户现有该权利,并为用户方便的行使该权利提供便利。
与欧盟相比,美国则在更多情形下选择认可默示同意。在美国个人信息保护相关法律法规中,鲜有对同意作出类似于欧盟的严格解释。要实现合法的数据处理活动,并不必然需要个人的明确同意,更多场景是只要为个人提供退出渠道即可,这就为企业的数据处理活动中留下了巨大的合法性空间。
美国合理使用信息原则(Fair Information Practice Pricinple, FIPP原则)是美国在消费者隐私保护与个人信息保护监管中所应用的重要原则。该原则起源于美国健康、教育和福利部1973年专题报告《公民记录、计算机和权利》,这份报告是1974年《隐私法》的核心,在美国多个州的数据保护规则中得以体现。这一原则在美国隐私监管的重要机构美国联邦贸易委员会的执法活动中也发挥着指引作用。15Daniel J.Solove and Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, Columbia Law Review Vol 114, p.583.FIPP原则提出的合理使用个人信息原则包括:透明性、个人参与、明确用途、数据最小化、使用限制、数据质量和完整性、安全性、可追责与审计。
与欧盟相比,美国的隐私保护原则不再特别强调个人的权利,特别是个人对于数据处理活动的控制力(集中体现为知情同意是数据处理活动的合法性要素),而仅仅是弱化为透明性和个人的参与。这些原则更多从对企业的最低责任出发来规定,例如企业应当明确用途、提供安全保障等。在多数情形下,能够为用户提供退出机制,则满足了主要的合规要求。即使在2016年美国美国联邦通信委员会(FCC)通过的《“宽带网络服务提供商隐私指导草案”》,这项被视为通信行业最为严格的隐私法规文件中,美国监管机构依旧遵循了美国法中常见的“告知—同意”(notice and consent)框架,并细分出以下三个类别:(1)默认同意。适用于提供宽带网络服务所必须使用到的消费者数据,以及向用户推销类似于用户已经购买的宽带网络服务时所需要的消费者数据,还包括满足“符合消费者预期的其他目的”时需要用到的数据。“隐私指导草案”认为,在用户与网络服务提供商之间达成关系时,已经默认网络服务提供商使用上述数据,因此不再需要用户额外的同意。(2)选择退出(Opt-out)。宽带服务提供商在提供服务时能收集到一系列用户数据,当宽带服务提供商向用户推销“与通信相关的服务时”,或向其下属机构共享用户数据以向用户推销“与通信相关的服务时”,“隐私指导草案”允许在宽带服务提供商组织内部共享和使用用户数据,除非用户明确选择退出这样的信息共享。(3)选择参与(Opt-in)。上述两类情形之外的其他任何(包括与第三方)使用、共享用户数据的行为原则上都是禁止的,除非用户明确表示选择参与。尽管这项草案已明确了默示同意和选择退出机制,但对于宽带服务商对部分数据利用行为,草案尝试引入了明示同意机制,遭到了强烈反对,最终被否决。16Michael Kan, “Congress dismantles Internet privacy rules, allowing ISPs to sell your web history“, available at https://www.pcworld.com/article/3185880/privacy/us-house-votes-to-undo-broadband-privacy-rules.html, last visited on Feb.23th,2018.
对于“opt-in”、“opt-out”模式的不同运用,是欧美个人信息保护立法体现出严格与宽松之区别的重要原因之一。同时,也对于将个人数据作为重要生产资料的数字经济市场效率产生了直接的影响。在移动互联网、云计算、物联网技术应用下,无处不在的智能终端、传感器,实现时时刻刻的数据收集与计算。在这种业务模式中,事前一一取得用户的明确同意,对于数据处理效率、业务模式都带来不可忽视的影响和效率损失。
(二)禁止跟踪(do not track)机制对数据获取的影响
除了“opt-in”,“opt-out”外,在个人信息保护政策中发展出的自律性准则禁止跟踪(do not track)机制也同样对数据获取效率产生影响。
理解禁止跟踪(do not track)机制,首先需要理解储存在用户本地终端上的数据(以下简称Cookie)。Cookie是指网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。网站利用Cookie信息,一方面得以为用户提供个性化服务,另一方面,对这些数据信息进行集合化分析,完善网站经营策略,同时,网站可以根据这些浏览记录,掌握用户的浏览习惯,以便更好地投放广告和提供服务。以cookie为基础的用户数据分析,是互联网商业模式主要特点。
Cookie通常是以 user@domain格式命名的,user是本地用户名,domain是所访问的网站的域名,17第三方cookie与搜索引擎+网站广告原理,载http://www.mamicode.com/info-detail-377965.html,2018年2月23日最后访问。大多数的第三方监测工具和网站分析工具都会采用第三方Cookie。所谓第一方和第三方的说法,是用来确定Cookie归属的,这个归属是指Cookie中记录的域(domain)。第一方和第三方的主要区别是:Cookie中的域名是否和被访问网站的域一样,是就是第一方,否就是第三方。在1993年Cookie技术初诞生时,cookie具有专属性原则(即A网站存放在Cookie的用户信息,B网站是无权访问的),但随着互联网广告产业的发展,网站除了嵌入自身的cookie,还可以在网页中嵌入第三方的cookie,这使得网站可以跨站使用其他网站Cookie中的个人信息,从而产生了隐私风险。
2010年12月,美国联邦贸易委员会发布的隐私问题报告中要求设计一个 禁止跟踪(do not track)系统让用户能控制自己在网络上的隐私信息。18Federal Trade Commission (FTC): Staff Issues Privacy Report, Offers Framework for Consumers, Businesses, and Policymakers, Federal Trade Commission, Retrieved 2 May 2012.随后,微软宣布其下一款浏览器(IE9)将会提供一个阻止第三方追踪的黑名单,用以保护用户的隐私不被追踪。
当用户提出禁止跟踪(do not track)请求时,具有禁止跟踪(do not track)功能的浏览器在http 数据传输中添加一个“头信息”(headers),这个头信息向商业网站的服务器表明用户不希望被追踪,这样,遵守该规则的网站就不会追踪用户的个人信息来用于更精准的在线广告。19维基百科:请勿追踪,载https://zh.wikipedia.org/wiki/%E8%AF%B7%E5%8B%BF%E8%BF%BD%E8%B8%AA,2018年2月23日最后访问。值得注意的是,禁止跟踪(do not track)功能是一个自律机制,它完全依赖于网站服务端是否自律,也就是说广告商可以忽略这个机制。有些公司同意不再将用户数据用于保险、医疗等行业,但是依然有可能会用在市场研究和产品开发中。因此,美国对于第三方cookie隐私问题的解决方案禁止跟踪(do not track)机制,并不是强制的法律规定,而是行业达成的自律承诺。
禁止跟踪(do not track)在这一标准中区分了第一方和第三方,如果用户仍然使用的是第一方平台的应用或者网页,则该平台则可以继续跟踪用户,但第三方则不能。从保护用户隐私角度来说,这是对于第三方cookie的合理规制,因为用户在访问特定网站时,该网站留存和分析自己的cookie数据是为了向用户提供更好的服务,符合用户的合理隐私期待。但对于用户访问网站之外的其他第三方获取其cookie数据,并用于广告营销分析,则超出了用户的合理期待边界。
但从数据获取的视角出发,该标准实际上是对第一方、第三方获取用户数据作出了区别对待,第一方可以以默认方式获取用户行为数据,而第三方则默认不能获取,除非用户主动关闭禁止跟踪(do not track)。因此,如同“opt-in”与“opt-out ”机制影响了数据获取的效率一样,作为重要的隐私保护机制禁止跟踪(do not track)实际也影响了不同市场主体获取数据的效率。
(三)欧美个人信息保护政策对互联网产业的影响
欧盟和美国个人信息保护政策有着较大的区别,其中对待“opt-in”、“opt-out”的不同立场以及关于cookie的禁止跟踪(do not track)机制的态度是这种区别的典型表现。
欧盟在最早制定个人数据保护立法时就崇尚对个人信息自决权的保护,在个人权利的保护与互联网发展创新这一对矛盾中,欧盟立法更倾向于对个人权利的保护,该指导思想一直延续至今。美国对于互联网的管理一直崇尚的是保护创新,倡导行业自律,不通过严格的法律来限制企业行为,因此美国个人信息保护在个人权利保护与发展创新之间,选择了后者。美国的做法,在促进企业发展与创新方面确实起到了积极作用,目前全球市值排名靠前的互联网企业大部分都来自美国,而在欧洲却缺少这种大型的互联网企业。当然,欧盟关于个人信息保护的严格立法在某种程度上也是对美国互联网巨头企业的一种制衡。
四、个人信息保护制度扩张对市场竞争的影响
除 了“opt-in”、“opt-out”、 禁 止 跟 踪(do not track)等个人信息保护机制会对市场效率带来直接影响外,近年来随着欧盟对个人信息保护法的持续改革,一些新的保护机制与制度也会对市场竞争带来影响,其中尤以数据可携权制度为代表。
针对成员国个人数据保护碎片化问题,以及云计算、大数据带来的法律适用挑战,欧盟2012年启动对《1995年数据保护指令》的制度改革,在经过长达四年的立法进程后,欧盟于2016年4月通过的GDPR条例于2018年5月25日正式生效。GDPR条例继续坚守保护公民基本权利理念,全面提升个人数据保护力度,相比于1995年版指令,GDPR条例对数据主体的权利规定更细致入微,为个人有效行使权利提供了坚实的法律保障。其中不仅包括传统的个人信息保护法律中的个人权利,如知情权、访问权、反对权等,还全面引入了新型的权利类型,其中最典型的是“数据可携权”(第20条)的规定。
(一)欧盟“数据可携权”的相关规定
欧盟委员会在首次提出的GDPR条例草稿的第一个版本中,就出现了数据可携权。此后在2014年3月的欧洲议会讨论版本中,可携权与数据获取权合并在一起。在2016年4月,GDPR条例的最终版本,数据可携权又再次被单独列为一个条款,并在其适用范围方面留出了许多开放空间。
GDPR条例对于数据可携权的规定主要集中在第20条,具体为:
1.当存在如下情形时,数据主体有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者:
(a) 处理是建立在第6(1)条(a)点或9(2)条(a)点所规定的同意,或者6(1)条所规定的合同的基础上的;
(b) 处理是通过自动化方式的。
2.在行使第1段所规定的携带权时,如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
3.行使第1段所规定的权利,不能影响第17条的规定。对于控制者为了公共利益,或者为了行使其被授权的官方权威而进行的必要处理,这种权利不适用。
4.第1段所规定的权利不能对他人的权利或自由产生负面影响。
尽管GDPR条例明确引入了数据可携权,但也考虑到了数据主体权利与其他正当权利之间平衡,仅仅第20条难以完全解释“数据可携权”所可能包涵的丰富含义,以及在具体实践如何执行。因此,作为欧盟个人数据保护立法解释的权威机构,欧盟第29条工作组于2016年12月通过了《个人数据可携带权指南》,并于2017年4月对该指南进行了修订。20Article 29 Data Protection Working Party: Guidelines on the right to data portability,Adopted on December 13, 2016,last revised and adopted on April 5, 2017, 16/EN WP 242 rev.01.
《个人数据可携带权指南》明确指出:数据可携带权源于数据主体对于个人数据的可访问权,但与可访问权存在许多差别。这项权利的核心目的是赋予数据主体对于个人数据更强的控制力。同时,考虑到这项权利赋予了数据主体从数据控制者处直接获得并转移数据的权利,因此这项权利也将对数据市场竞争带来直接的影响,用户切换服务提供商的门槛更低,减少被数据“锁定”服务的可能,进一步促进数据的流动,并增强企业(作为数据控制者)之间的竞争。另一方面,对于用户而言,由于增强了个人对数据的控制力,将有利于数据的汇聚,例如用户可以将使用不同服务产生的数据共同传输到第三方,实现新的数据利用。例如:在健康领域,用户可以更加方便地将个人不同的医疗数据、健身数据汇聚和利用。
《个人数据可携带权指南》澄清了此项权利适用的基本前提要考虑数据处理活动的合法性要素,包括经过了数据主体的同意,或者是为了履行合同而必须。明确这项权利仅仅适用于数据主体提供(provided)给数据控制者的数据,但《个人数据可携带权指南》也提出,“提供”并不仅仅限于数据控制者在明知、积极的状态下获得的数据(例如数据主体通过在线电子表格的方式提供的数据),也包括因数据主体的活动而产生的数据。
从GDPR条例对数据可携权的表述看,该权利并不限定在转移数据的场景。作为“数据访问权”的升级版,该权利首先满足用户获得自身数据的需求,至于在获得该数据后,用户是否再转移,取决于用户的选择。因此《个人数据可携带权指南》中举了两个具体的场景的例子,一是用户在使用在线音乐播放服务时,可以获得关于个人最近播放的音乐清单数据,或者在使用电子邮箱服务时,获得邮箱联系人信息。实践中,其实已经有这样的自发的商业形态,例如“Google Take Out”,用户可以将其在Google+上的相关个人数据以多种开放的数据格式获取。
在用户选择直接转移的场景下,即从一个服务商传输到另外一个服务商时,GDPR条例要求服务商应当“无障碍”(without hindrance)地进行传输。因此GDPR条例在背景引言部分,在解释数据可携带权时,也鼓励数据控制者形成更加具有兼容性的数据系统,以更有效的帮助用户实现该权利。当然,使用“鼓励”措辞本身也意味着发展兼容性、或者互操作性的数据、系统格式,并不是数据控制者的法定义务。
(二)“数据可携权”的适用问题
1.“数据可携权”在哪些情形下适用?
根据《条例》第20条,数据可携权适用于自动化的数据处理活动,并且该处理活动活动获得了数据主体的同意;或者该处理活动是为了履行与数据主体签订的合同。因此,对于用户同意或者履行合同之外的数据处理活动,GDPR条例并没有建立一般意义上的“数据可携权”。例如,金融机构依据《反洗钱法》等行业专门立法的要求,开展的防范和识别洗钱的特定数据处理活动,并不适用于“数据可携权”。再如,在雇员数据领域,由于雇员的数据收集及处理活动往往是在就职场景中发生的,而在这一场景中,考虑到用户的同意往往并不是“自由”作出的。同时,一些人力资源数据处理系统的合法基础是建立在合法利益的基础之上,或者是为了满足劳动法的基本合规要求。因此对于雇员领域的数据可携带权的适用,也需要个案式的分析判断。
2.“数据可携权”适用于哪些数据?
GDPR条例第20条对所适用的数据,仅仅做了两个限定,一个是与本人相关的个人数据,二是数据主体提供(provide)给数据控制者的个人数据。因此,匿名化的数据并不适用于“数据可携权”,但根据GDPR条例对匿名化数据(anonoymous data)和假名数据(pseudonymous data)的区分,以及对假名数据仍然属于个人数据的判断,假名数据仍然适用于“数据可携权”。21EU: General Data Protection Regulation Recital 26.
在实践中往往有这样一种情形,数据控制者掌握的数据往往同时关涉几方数据主体,如电话记录,不仅包括呼叫方信息,也包括呼入方信息。对此,第29条工作组的解释是,尽管同一份数据关涉到多个数据主体,但对于单个数据主体来说,这一份数据仍属于其个人数据,因此,其有权行使“数据可携带权”。只是对于数据接收方而言,对于所接收到的数据主体本人以外的其他第三方个人的数据,不可开展对第三方权利及自由有所损害的数据处理活动。
“提供给”数据控制者的数据包括两类数据:(1)数据控制者明知、或者积极获取的数据,例如通过电子表格方式由用户提交的数据,这在账户类信息中非常明显;(2)“提供”也包括数据控制者在提供服务的过程中,通过自动记录,“观察”(observe)得来的个人数据,比如搜索关键词记录,流量数据,位置数据等。但“提供给”数据控制者的数据并不包括:数据控制者根据用户提交的数据,以及其观测而获得的数据,通过算法加工而产生的分析数据,推测数据。例如控制者为用户建立的用户画像数据、信用评价数据等等,这些数据的产生离不开控制者的智力和资金投入,控制者对此类衍生数据也享有合法权益,不能完全交由用户行使转移权利。
3.对“数据可携权”适用的限定
GDPR条例对于可适用于“可携权”的情形做出了必要限定,第20条第4款要求:数据可携权的适用不能对他人的权利和自由产生负面影响。实践中,对他人的权利和自由可能产生负面影响的例子更多存在于“数据可携权”所涉及的数据中不仅包括请求行使该权利的数据主体,可能也包括其他个人数据。典型的例子就是前面所提到的通信录、通话记录、邮件往来记录等信息。这些信息属于请求行使“数据可携权”的用户,但同时也关联到与其有交互的其他用户。
在这种情形下,由于并没有机制使得其他用户了解到这种数据转移,对其他个人的权利产生负面影响的可能性会很大。比如对于通过“数据可携权”接收到数据的新的数据控制者而言,其可以面向其他用户开展市场营销服务,甚至是在未经其允许的情况下直接向其提供服务,从而侵犯了不知情的第三方个人的基本权益。
为了避免这种情形的发生,第29条工作组给出了一条非常艰难的解决路径。首先,涉及到此类情形的数据转移,获得数据的“新的”数据控制者所开展的数据处理活动应当仍能保证数据主体的唯一控制(sole control)。也就是说,这种数据转移只能服务于数据主体的个人或者家庭活动。例如个人可以将邮件通信录上传至云盘,用于个人的信息留存、备份目的。第三方云盘仅能提供此类存储服务,而不能超出“唯一控制”目的提供其他服务。获得数据的新的“数据控制者”不应当基于其商业目的,利用数据主体提供的其他第三方的个人数据开展商业活动,例如通过获得的新数据,丰富第三方的个人数据画像,或者创建第三方的个人数据档案。其次,为了防止对第三方个人产生危害,《个人数据可携带权指南》鼓励数据控制者能够对用户数据进行剔除,以保证尽可能最少的涉及到其他第三方数据。
考虑到这些数据已经通过“数据可携带”转移到了新的数据控制者手里,做到上述要求,无非是要求商业主体能够“洁身自律”不去触碰新数据,这无异于一种幻想。大多数数据保护规则会增加数据市场上新的竞争主体的进入门槛,因为它会限制对个人数据的收集和使用。但是数据可携权为市场参与者带来便利,它使收集个人数据变得更加便利,进而便利市场进入。数据可携权刺激竞争,对数据再使用有着积极的作用;但它也给市场参与者增加了合规负担,并且对于包含其他第三人情形的数据可携转移,对不知情第三方的权益保护的作用是积极的,还是消极的,目前的GDPR条例以及第29条工作组的指南似乎都没有给出明确的答案。
GDPR条例中对于“数据可携带权”的适用排除了对于他人的权利或自由产生负面影响的场景。而在实践中,可能相关的他人合法权利还包括商业秘密、知识产权(特别是软件版权)。但是,对这些权利的考虑并不必然可以拒绝用户提出适用“可携带权”的全部要求,在特定情形下,可以将涉及到他人合法权利的信息剔除之后提供给用户。在实践中,这种剔除工作本身也带来挑战。许多企业持有的数据资产没有达到知识产权保护的资格。这些数据不会产生知识产权冲突。但特殊的数据库权利区分可能会困难,因为数据库上存在多种权利,还有独立于系统的附加保护层,更不容易剥离。商业秘密也是如此,虽然信息是由用户提供的,但是并不排除它构成更广泛的商业秘密权的基础。22Inge Graef, Martin Husovec, Nadezhda Purtova:“Data Portability and Data Control Lessons for an Emerging Concept in EU Law”,TILBURG LAW SCHOOL LEGAL STUDIES RESEARCH PAPER SERIES,No.22/2017.而对于用户而言,其不能通过适用“数据可携带权”,对他人合法的知识产权权利予以侵害。
(三)“数据可携权”项下的法定义务
为了协助用户实现“数据可携权”,数据控制者负有相对应的法定义务。如在数据主体的请求下,以特定格式提供或者传输相关个人数据。为进一步澄清法定义务的内容,指南将数据控制者分为响应“数据可携带权”请求的数据控制者(data exporter)以及在此请求下接受相关数据的数据控制者(data importer)两类,以明确其法定义务的边界。
首先,对于响应“数据可携带权”请求的数据控制者(data exporter)来说,其只面向数据主体本人,并不负有检查数据接收者是否符合个人数据保护法各项要求的义务。因为从数据流转看,该数据接收者并不是由数据控制者挑选的,而是由数据主体本人决定的。也因此,数据控制者需要采取配套措施,以证明其向第三方传输的数据,是经数据主体本人请求的。另外,数据可携带权并不影响数据留存。数据控制者并不能以在将来有可能要为数据主体提供数据可携服务为由,超出数据处理目的的合理期限留存数据。这也意味着对于数据控制者已经删除,不再保留的数据,用户也无法主张“可携带权”。
在实践中,数据可携带的请求可能事实上是由数据处理者操作的,在数据控制者与数据处理者之间的合作协议中需要明确相关事宜。特别是根据GDPR条例第28条规定的“数据处理者”中明确:“数据处理者应当采取合适技术与组织措施、其处理方式符合本条例要求,并且保障数据主体权利”,对于联合的数据控制者,则应在协议中明确在处理“数据可携带权”请求时二者的责任分工。
其次,对于数据接收方(data importer)而言,其应当确保其通过“数据可携带”方式接收的数据应当与其数据处理活动是相关的,通过传输获得的数据不能超过其数据处理目的。超过必要范围的数据,数据接收方不得保存和处理。例如,在用户在电子邮件服务中,行使“数据可携带权”,将其邮件传输到一个安全的电子档案存储平台中,以实现用户“唯一控制”的备份存储目的。数据接收方并不需要去获取用户在上一家电子邮件服务中所有的电子邮件通信者的联系信息。
考虑到数据接收方也是GDPR条例所规范的数据控制者,因此,在其通过“数据可携带权”方式获取数据时,也应当符合GDPR条例第14条的相关规范,即“当个人数据并不是从数据主体本人处收集时,数据控制者应当提供的信息”的要求,向数据主体提供包括数据处理目的等相关必要信息。当然,数据接收方并不负有法定义务必需接受来自数据主体的个人数据。
再次,“数据可携权”并不影响用户行使其他数据权利类型。当用户发起“可携权”需求时,并不必然要求原数据控制者删除其个人数据。只要原数据控制者仍掌握和处理用户数据,则用户仍可以向其主张行使各项数据权利。 如果用户认为其“数据可携权”没有被充分满足,也可以通过主张其他权利,如数据访问权,来向数据控制者提出质疑。GDPR条例中规定的“数据可携带权”可能会与欧盟成员国的国内立法,或者其他行业领域的专门立法中规定的类似权利有重合现象。如果用户是依据其他行业的专门立法,来请求数据转移,则适用专门法,而非适用GDPR条例。例如,根据《欧盟支付服务指令》,用户可以将个人的银行账户信息转移给第三方的账户信息服务提供者。而当用户适用GDPR条例,主张“数据可携带权”时,其他专门立法并不必然凌驾于GDPR条例之上,这需要具体案例具体评估,以避免其他立法规定不合理的影响到GDPR条例的适用。
五、数据可携权等制度面临的质疑与挑战
“数据可携权”在欧盟2012年数据保护制度改革建议稿中一经提出,就面临了众多质疑。这一新创设的权利能够为用户提供便利,减少用户转换服务提供者的成本,从而能够更有效地促进业务竞争。但是深入研究会发现,有关锁定用户的成本以及用户转换服务时所遇到的阻碍问题完全可以通过竞争法来解决。
竞争法历经百年发展历史,已经形成了较为严密和成熟的基础理论,它不仅考虑到了用户的锁定成本,也考虑到了锁定还会带来一定的消费者福利,甚至一定的转换成本可以鼓励对新技术业务的投资,从长期来看是具有效率的。竞争法的适用是以企业在市场上具有显著市场地位,并滥用该地位损害正当的市场竞争为前提的,其规则适用具有复杂而严密的程序要求和违法构成要件。而根据GDPR条例规定,数据可携权作为用户的基本权利,可以被要求适用于任何一个机构,包括新兴企业在内。
美国学者皮特.斯怀尔(Peter Swire)与扬尼.拉各斯(Yianni Lagos)在《为什么数据可携权可能会降低消费者福利?》一文中对当时2013年的《条例(草稿)》中关于数据可携权的规定曾进行了全面的批判,认为数据可携权与竞争法机理背道而驰,动态效率和创新减少,以及会对数据安全等带来威胁。
(一)数据可携权的规定可能与竞争法背道而驰
数据可携性的观点是很有吸引力的,消费者也喜欢可以将数据轻松转移到新的服务商的便利性,但是,数据可携权的条款与美国反垄断法,甚至与欧盟竞争法并不吻合。竞争法中经营者滥用市场支配地位行为的前提是其被认定(或推定)具有市场支配地位。欧盟委员会认为,市场份额低于40%的公司较难具有市场支配地位;美国反垄断法对市场力量的要求也很高,除了高的市场份额外,经营者必须具备影响准入门槛的能力才可能被证明具有强的市场力量。但是,欧盟数据保护草案中规定的数据可携权适用于任何通过自动化方式处理数据的公司,包括初创公司,并不考量该经营者是否具有比较强的市场力量,这就与竞争法的规定相背离。
竞争执法机构很难对没有市场力量的中小企业(SMEs)采取执法行动,因此规范中小企业的数据可携权有三大可质疑之处。其一是中小企业很少有市场力量;其二是中小企业的合规负担相对于收益来说可能更重;其三是条例草案中还就数据转移模式进行了特别规定,提出了“export-import module”(EIM)的数据转出转入模式,这一命令远远超出了先前的关于互操作性的法律规则。如果小型软件公司从一开始就被要求编写EIM程序以遵守数据可携权,那创新就可能会受到影响。
观察数字经济的商业模式,“锁定”在很多场景下是一种理性的竞争选择,服务商会有动机避免用户随意切换。例如:尽管google+, 脸书面向用户提供其数据副本,但往往会对用户直接将个人数据转移向其他平台有所限制。脸书阻止谷歌浏览器Chrome直接将用户朋友关系导出,即使用户可以通过手动方式整理其个人社交网络档案信息,将个人照片、音视频下载整理。脸书的服务协议中也明确禁止用户通过自动化方式收集用户信息内容。23FACEBOOK 用户协议安全条款:未经允许,您不得通过自动化方式(例如:收获机器人、机器人、蜘蛛、scraper)收集用户信息内容。
在考察实现消费者福利目标的最佳方式时,美国和欧盟的竞争法有理性的适用规则,而不是条例草案关于“数据可携带权”的简单规定。对于数据的格式,条例草案条款要求数据以“结构化的”、“通用”的模式提供。尽管结构化的数据格式可以实现更简单的数据传输,但关键问题是,没有明确的工具可以确定哪些格式被认为是结构化的。一旦数据执法机构负责确定哪些格式是结构化的,它还需要确定该格式是否被普遍使用。结构化格式不一定是常用的,因为许多标准并没有被广泛采用。实践中,由数据执法机构来衡量消费者实际使用的数据格式的难度很大。
(二)数据可携权可能会减少动态效率和创新
数据可携权可能对动态效率和消费者福利产生重大影响。
首先,数据可携权创造了一个不正当的激励。条例草案规定:数据可携权仅适用于“以电子和常用结构化格式”处理数据的公司。根据条例草案的字面意思,公司如果决定不使用电子和结构化格式,就可以避免承担数据可携义务,包括提供具有EIM模式的数据格式。具有讽刺意味的是,这种旨在提高互操作性的措施可能导致企业减少使用促进互操作性的标准格式。随着使用非结构化格式的增加,数据可携权可能会加剧当前的数据锁定问题,而这正好与预期效果相反。
其次,实现消费者福利的主要考虑因素是如何为创新创造激励。数据可携权和互操作性的支持者通常认为更大的互操作性会导致更多的创新。但是,进入市场的成本降低后,在数据的互操作性也会减少创新。解决第一方和第二方之间的创新问题是一项复杂的任务。这种复杂性的问题须基于特定的市场特点而非一刀切的数据可携权规则。而过去的商业实践表明:科技行业的动态竞争才会产生更多创新。
科技市场的基本特征是一个玩家领先,然后成为市场领导者,往往拥有很大的市场份额。经济学家对这一现象提出了三个术语:先发优势(first-mover advantage)、网络效应(network effects)和倾覆效应(tipping effect)。业务创新的进入是昂贵而具有风险的,如果规则降低了进入市场的盈利水平,那么可以预期新业务中的创新将会减少。
竞争法鼓励创造动态效率的技术创新,但数据可携权的规则在市场竞争激烈的情况下,往往会减少创新。基于欧盟法规定的数据可携权制度,公司可能会因为预期收益较低而决定不进行风险投资,消费者可能会因此享受不到创新福利。
(三)数据可携权可能会带来数据安全风险
“数据可携权”最为突出的问题是对用户本人身份的验证问题,如果他人假借用户之名行使“数据可携带权”,将带来严重的数据安全问题。GDPR条例在总结过去制度经验的基础上,作出了不对用户身份作出验证的规定,其中第11条是关于不需要识别的处理,具体为:(1)如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别,控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。(2)对于第1段所规定的情形,如果控制者能够证明其不适合识别数据主体,如有可能,数据控制者应当告知数据主体。在此类情形下,除非数据主体为了行使第15至20条所规定的权利,需要提供额外信息而使得对其识别变得可能,第15至20条将不应适用。也就是说,如果数据处理并不需要识别用户身份,则数据控制者并不要求去获取更多的信息去验证用户身份,这实际上是出于保护用户身份安全的角度而设计的条款。相应地,在用户并不主张数据权利的情形下,包括主张(访问权、更正权、删除权、被遗忘权,可携带权)等权利,数据控制者没有义务去为这些权利的实现提供辅助。
当然,GDPR条例第12条规定了在没有身份信息的场景下,用户主张行使权利的情形。第12(2)规定:控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第11(2)条所规定的情形,当数据主体请求其行使第15至22条的权利,控制者不应拒绝,除非控制者能够证明其并不适宜识别数据主体。换言之,如果由用户发起数据权利主张,则应由用户提供相应额外的信息,以帮助数据控制者验证其身份,为后续实现权利提供基本的必要条件。需要澄清的是,验证身份并不必然代表验证用户的真实身份,而是需要验证主张数据权利的用户和服务中的数据主体的身份一致。因此,《个人数据可携带权指南》要求数据控制者不得因为验证的需要,而要求数据主体提供超过必要范围的个人信息用于验证。实践中,用户即可通过用户名、密码访问到个人数据,此类信息并没有披露出用户的真实身份,但同样满足了身份验证目的。考虑到数据可携带权可能带来数据转移后果,对数据主体本人的权益影响会更大,因此如何去确定身份验证标准仍需要深入探讨。
更为重要的是,在欧盟现有的数据保护基本权利框架内,数据可携带权这一新创制权利与个人现有的数据安全权利紧密相关。因此,定义数据可携权应充分认识到数据安全权的风险。欧盟法并没有关注到数据安全权利,数据可携权将带来安全风险,无障碍获取数据更是增加了额外的风险。如果将其应用于敏感信息领域,由于互联网上缺乏有效的认证机制更容易导致数据可携权在线服务面临安全挑战。
(四)“数据可携权”能否促进互操作性的实现
GDPR条例第20条规定:数据主体有权无障碍地将个人数据从其提供给的控制者那里传输给另一个控制者。在实践中,可能以下方式会构成“障碍”,即:(1)收费,或者是收取不合理费用;(2)数据格式缺乏互操作性;(3)没有数据访问入口;(4) 过分延迟;(5)在获取完整数据时过分复杂;(6)对可访问数据库增加复杂度等等。GDPR条例第20条(2)进一步规定:如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。需澄清的是,本款并不意味着要求数据控制者发展出与其他数据控制者相互可操作的数据处理系统,只是在客观上已经具备这种技术传输条件时,不得拒绝用户直接转移数据的请求。从方便数据传输的角度,GDPR条例第20条(1)实际上已经提出了具体的要求,包括结构化、可普遍使用、机器可读。这三点实际上可以看作是“可互操作”的最基本要求。
上述规定的核心是解决数据的再利用问题,即用最小的成本在实现用户转移数据的同时,也无缝实现对数据的再利用。以“机器可读”为例,传输的数据不仅包括数据内容本身,还需要包括相关元数据、以协助其他数据系统识别、提取相关数据。《个人数据可携带权指南》指出,数据控制者在考虑以何种数据格式提供数据时,应当考虑数据主体再利用该数据的场景,以有利于实现用户的数据再利用为目的。当然,这直接带来的问题是,对数据控制者作出如此之高的要求,是否已经超出了数据保护法的边界?不仅担负保护用户数据的责任,还需要考虑到数据的后续利用,甚至进一步要为第三方对数据的后续利用扫清障碍,提供尽可能多的信息,这是否已经违背了市场竞争中最基本原理?
对于计算机开放性的支持者而言,互操作性是一个理想的目标。1991年欧盟《计算机程序指令》允许第二方对第一方程序进行观察研究、复制必要的信息,以实现与第一方产品的互操作性。但到目前,并没有法律规定要求第一方提供EIM模式来帮助第二方实现互操作性。不可否认,互操作性具有十分强的吸引力。但与此同时,市场趋势也表明消费者也喜欢对互操作性有所限制的系统,典型如苹果系统。实际上这些限制有助于保护安全和隐私,降低应用程序获取不必要的个人数据所带来的风险。这些消费者偏好的例子表明,通过确定数据可携权,对所有在线服务提供商提出互操作性要求缺乏客观评判的尺度。
六、结语
本文系统讨论了隐私保护与市场竞争之间的关系,并从个人信息保护法的视角出发,探讨了个人信息保护制度对市场竞争的影响,特别以“知情-同意”这一核心的个人信息保护机制的不同模式来探讨其对效率、市场竞争的影响。
随着个人信息保护制度的发展,其中尤以欧盟GDPR条例为代表,个人信息保护制度与竞争法律制度产生了越来越密切的互动关系。GDPR条例中提出的数据可携权,是个人信息保护制度的一次极大扩张。正如欧盟竞争事务委员阿尔穆尼亚(Almunia)指出:“数据可携权已经直达了竞争政策的核心”,24Commissioner Almunia, “Competition and Personal Data Protection”, speech given at the Privacy Platform event:Competition and Privacy in Markets of Data in Brussels on November26, 2012, available at http://europa.eu/rapid/press-release_SPEECH-12-860_en.htm., last visited on Feb.24th, 2018.这直接产生了个人数据保护法与竞争法的竞合问题。竞争执法机构是否可以以数据控制者违反数据可携权的要求,开展竞争法执法?GDPR条例对数据可携权只有一个条文规范,尽管欧盟数据保护机构欧盟第29条工作组专门对争议极大的数据可携权发布了指南,但仍未解决数据可携权所带来的问题,而且,指南的相关说明还反映出欧盟立法者对数据可携权的考虑并不成熟,其初衷是为了增强用户对个人数据的控制权,但显然并没有对可能带来的竞争、安全问题开出良方。这些问题包括但不限于:在个人数据涉及到其他第三人时,如何在适用数据可携权规定的同时,避免对不知情第三人合法权利的损害?面向所有数据控制者都适用的数据可携权,如何解决中小企业的合规负担问题?数据可携权如何在保护用户合法权益的同时,为市场创新提供适当激励,作为个人信息保护执法机构是否有足够能力解决数据可携权带来的市场竞争扭曲问题?由此可知,关于大数据应用中个人信息保护法与竞争法关系问题的研究仅仅是一个开始,理论研究与实践探索还任重而道远。
