APP下载

数据可携权权利客体研究:结构、效果与中国化

2022-05-27孙跃元

河南财经政法大学学报 2022年3期
关键词:客体个人信息权利

孙跃元

(中国政法大学 民商经济法学院,北京 100088)

2021年11月生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式引入备受争议的数据可携权(1)《个人信息保护法》中没有明确出现“数据可携权”术语,不同学者于数据可携权有不同称谓,丁晓东教授称其为数据携带权,申卫星教授称其为信息的可携带权,也有其他学者称其为信息迁移权。。《个人信息保护法》在第四十五条个人的查阅、复制权之下,第三款明确规定个人有请求数据转移的权利(2)《个人信息保护法》第四十五条第三款:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”。这意味着数据可携权正式纳入我国的个人信息保护法律体系。数据可携权的提出,为数据治理的多样性延伸提供了新的法理进路,但同时也对数权制度提出了新问题、新挑战。如何构建明确具体且强度适中的权利适用范围,是完善数据可携权理论框架的重要一环。我国《个人信息保护法》尚未从规范的角度界定出数据可携权客体的基本范畴,制约了权利体系化发展。法律制度作为规范和现实之间的协调者,需要围绕新型数据关系构建一套完备的制度体系和规则[1]。这便要求跨越传统权利体系的障碍,审慎构建大数据生态系统中的各项权利。

当前我国对数据可携权的研究主要集中在三个方面:一是以域外相关权利制度为研究对象,从权利构造层面对数据可携权进行介绍(3)此类相关论述可见高富平、余超《欧盟数据可携权评析》,《大数据》2016年第4期;谢琳、曾俊森《数据可携权之审视》,《电子知识产权》2019年第1期;卢家银《论隐私自治:数据迁移权的起源、挑战与利益平衡》,《新闻与传播研究》2019年第8期;汪庆华《数据可携带权的权利结构、法律效果与中国化》,《中国法律评论》2021年第3期。;二是论证我国引入数据可携权的可行性,由于存有争仪,多数持谨慎态度(4)此类相关论述可见卓力雄《数据携带权:基本概念,问题与中国应对》,《行政法学研究》2019年第6期;丁晓东《论数据携带权的属性影响与中国应用》,《法商研究》2020年第1期等。;三是研究数据可携权的中国化路径(5)此类相关论述可见金耀《数据可携权的法律构造与本土构建》,《法律科学(西北政法大学学报)》2021年第4期;付新华《数据可携权的欧美法律实践及本土化制度设计》,《河北法学》2019年第8期。。以上三个方面中,多数研究争论的焦点问题还是集中在数据可携权的正当性上面,即数据主体的信息可携是否应纳为权利的保护范围。否定说的主要理由有权利可能很难实现或带来新的风险,还可能因场景的不同而面临过宽或过窄的适用困境等[2]。不难看出,否定的观点也从侧面证明了数据可携权尚未成为一种成熟型权利,因此我国也亟须细化数据可携权的权利内容与行使,增强该法权的正当性与合理性。

当下,在权利理论架构下,我国具体深入至权利客体的研究较为薄弱,学界尚未有专门性成果产出,为了提升我国对网络空间的国际话语权和规则制定权,需要在前沿法律问题做突破。数据可携权作为一种新型权利,如何在中国化的过程中实现价值跃迁,需要从法律角度小心求证。数据可携权的权利客体研究不仅能从规范上完善该权利的形式逻辑,也相当于划定权利适用范围、界定初始权利分配,在实践中将直接影响对企业不法行为的判定,故而兼具理论和实践意义。本文以权利客体制度为切入,具有一定的补白意义,希冀为解决数据可携权应用中的矛盾和症结提供有益思考。

一、权利客体不确定导致法律关系模糊

在数据保护框架下,数据可携权能增强个人对数据控制力。在竞争法维度下,它被认为能够促进数据共享与流通,打破数据寡头化和数据垄断化,降低用户锁定从而促进创新和竞争[3]。当下,社会正在经历由资源经济向数字经济,由工业文明向数字文明的转变。数据作为重要生产资源,正在逐步改变原有的社会发展模式和利益分配模式,重塑社会结构。在数字经济驱动下,原有权益体系随着新型权利的扩张而重构。如何构建有序的数据流通秩序,保持个人隐私与数据利用的动态平衡,是数据治理的题中之义。

作为权利义务共同指向的对象[4],客体对民事权利构建的价值毋庸赘言。权利客体作为形式逻辑的工具,在权利的界定方面能起到基础性作用[5]。数据可携权权利客体的不确定性和不周延性随着新型数据法律关系的扩张日益凸显。如果权利客体的内涵或外延过于狭窄,会使权利流于形式而丧失意义,更有碍数据共享和流转;如果过于宽泛,会增加信息处理者的合规成本,甚至侵犯他人隐私权和个人信息权益[6]。目前数据可携权客体的不确定性直接导致相关主体的权利行使边界模糊,企业不法行为判定困难。用户、数据提供方、数据接收方三方主体的权利义务关系不甚明朗。因此本文聚焦于数据可携权客体研究,力图构建强度范围适中的数据可携权。

二、数据可携权下权利客体构建的困境分析

数据可携权的权利客体制度建构面临理论和现实的困境。法律是对过往经验的总结,它和发展的矛盾似乎永恒存在[7]。数据作为一种新型权利客体,它在数据可携权中的具体指向范围决定了权利初始分配。数据可携权权利客体的规范界定既关涉数据权益配置,又关涉数据开发与利用,同时还影响数据权益保护。本文将实践中数据可携权权利客体在权利适用边界上存在的问题归为以下三类,下文将详细论述。

(一)“可识别”标准削弱权利客体的稳定性

数据作为一种生产力,是数字经济的内在驱动力量,有效的数据流通模式能起到正向制度激励的作用。《个人信息保护法》第四十五条将转移范围限定在“个人信息”(6)《个人信息保护法》第四十五条:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。,意指可转移数据的判断核心仍然是“已识别”与“可识别”相结合而定义的个人信息。而可识别理论由于自身存在类型化的疏漏,是否将“可识别”作为判断数据转移范围的标准仍存有疑虑。

个人信息的判断标准在不同层级的法律规范中莫衷一是。迄今位阶最高的《中华人民共和国民法典》(以下简称《民法典》)和《个人信息保护法》最终统一认定方法,即以可否识别特定自然人为基础,以信息的“直接识别”与“间接识别”为主要类型(7)《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《民法典》第一千零三十四条第二款规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。。用户个人信息被归纳为两大方面:可识别性和关联性。前者确定相关信息是否能清晰指向特定主体,后者则以“关联性”标准补充可识别性(8)《信息安全技术—个人信息安全规范》第三章的第一节对个人信息的“识别性”和“关联性”做了明确规定,附录中还对“识别”与“关联”的判定方式进行了阐明。。个人信息的外延随着政策流变而不断被扩张,司法实践中个人信息的范围日趋含混。例如,用户的网页浏览记录、消费信息、购物习惯,这些信息具有简单的指向性,可以确定其背后对应着一个抽象的主体。但是否能识别到具象化的特定自然人,实践中疑窦丛生。由此看出,“可识别性”标准本身有一定的理论缺陷,导致实践中对信息规范属性认定失准,引发对实质违法性的判断偏差[8]。以此为基础再审视数据可携权的范畴,不难看出,简单地以“个人信息”作为划分标准,会使可转移数据范围模糊不清,司法实践无所适从。

(二)边界过窄引发权利失效

数据可携权边界过窄会导致用户真正在意的数据无法被转移。例如购物网站的声誉信息、反馈评价,云服务器上储存的其他视频文件等。此类数据不具有可识别性,远未达到将自然人特定化的程度,无法落入可携权的范畴。而用户更关注的是此类数据的自由下载和移植,可能更希望将用户评价或前期积累的信誉信息便捷地转换于不同的购物平台[9]。数字经济下,反馈评价是声誉机制的引擎,甚至会影响正常的市场交易,例如,购物网站会参考支付宝信誉决定用户是否能够享受分期、免息和极速退款等消费优惠。此类数据若无法可携,数据可携权的功能将受极大程度的限制[10]。现有规范将“可识别”作为判断数据转移的标准,无法涵盖反馈评价、声誉信息等显然不是个人数据的数据类型。因而还须防范“权利天然扩张性”的禁锢导致数据无法被安全高效地流通和利用。

(三)边界过宽侵犯他人合法权益

1.侵犯其他信息主体的隐私权、个人信息权益。另一方面,数据可携权的边界过宽,可能会侵害他人的合法权益,打破他人对数据隐私的合理期待。数据可携权创制目的是为了增强用户对数据的控制力,保障用户数据隐私。过于宽泛的范围可能会使得第三人信息被违法收集,背离初衷。例如当用户转移社交网络平台中的个人信息时,会涉及大量第三人的数据。如聊天记录、照片、社交账号等。数据接收方在未获得第三人同意情况下,利用算法和大数据技术对其建档、营销,显然打破了第三人的合理隐私期待。脸书(Facebook)数据泄露事件充分反映出多数企业难以妥善处理不同主体的数据权益冲突问题[11]。剑桥分析公司(Cambridge Analytica)以做性格测试为由要求用户将部分Facebook信息授权给第三方程序,包括头像昵称、好友列表等。该公司以此分析出近5000万人的信息。虽然此案焦点在于Cambridge Analytica公司违法收集和使用5000万人信息,不涉数据可携权,但其隐含的风险却十分明显。在社交网络场景,如果赋予信息主体转移聊天记录、用户昵称等数据的权利,数据接收方可能会以用户数据可携权为违法阻却事由,在未获第三人授权前提下,非法收集和处理其个人信息。因此,界定权利范围时有必要考虑他人隐私期待问题。

2.侵犯企业知识产权或商业秘密。企业通过对用户使用服务或产品的行为痕迹分析,并且经过个性化和推荐性处理得到的数据,往往具有极高的数据使用价值。由于这些数据凝聚了企业的技术和财力投入,多数互联网平台将平台运营数据、用户数据视为商业秘密。腾讯在《开放平台开发者协议》中声称“用户数据的全部权利归属腾讯,且是腾讯的商业秘密”。如果用户对此类数据提出数据可携权,可能会削弱企业原有积累的数据优势,有侵犯数据转移方商业秘密和知识产权的风险。另一方面,数据可携权要求信息处理者提供充分的技术力量支持数据获取与移植。对于阿里、腾讯等大型互联网公司,其已具备雄厚的技术和资金储备。而对综合实力无法与之抗衡的中小企业,合规负担骤增,显然不利于构建良好的竞争秩序。

综上,数据可携权客体的不确定性和不周延性严重削弱权利行使的正当性和合理性。如何解释权利客体范围也直接关系到案件结果。例如上述脸书一案中,如果把“个人数据”扩大解释为“与数据主体有关的数据”,剑桥分析公司的行为则完全合法,判决结果会发生质的改变[12]。另一方面,权利客体范围若划定不当,可能对于企业投资数据驱动的行业具有反向激励的作用,削弱了个人和企业投资数据驱动服务和产品的意愿。

三、数据可携权权利客体的理论续造

(一)权利客体研究的体系化价值

数据可携权权利客体研究有助于推动数据权利研究不断走向深入,同时也能拓展民事权利客体体系的广度和宽度,提升民事权利客体体系的层次性和规制力。权利客体最初仅作为经验意义上的财产或交易对象使用,并未纳入权利理论范畴。《德国民法典》将其确立为一项基本制度,权利客体成为德国民法形式理性的重要组成部分。我国的权利理论模式源自《德国民法典》,将客体纳入权利的构成要素,形成了较稳定的“主体—权利—客体”的权利分析模式[13]。作为民事权利界定的必要工具,客体成为权利具体化的必备要素,使物得以从财产范畴转为界定财产权的形式逻辑工具。这种界定作用最早体现在所有权上,以所有权和他物权为主要内容的物权法规则界定建立了民法“最基本的私域空间和权利秩序”[14]。古罗马法的财产观念是“物的实体化思维模式”,《德国民法典》明确规定物权的客体为物,排除以权利形式存在的无形物[15]。基于此,抽象法律关系和法律权利的体系化发展成为可能。

斯如学者所言,权利客体的属性“限定了权利人作用外部世界来达成目的的能力”[16],而数据可携权下权利客体的属性及范畴的确定是后续法律论证活动的基础。相对规范地界定出数据可携权的客体范畴不仅是权利体系发展的内在需求,更有利于厘清数据权利的规范边界,回应现行权利客体理论研究和实践发展需要。

(二)研究前提:个人信息权的正当性证成

关于数据可携带权的基础理论探讨无法回避的议题是数据权属。数据权利是数据保护立法的逻辑起点和重要组成部分,也是建立规则的重要前提。数据空间产生的现行立法体系无法调整意向权利后,新型数据权利脱离既有权利保障体系,产生的数据纠纷又缺少与新型数据处理行为相对应的法律接口[17]。此外,数据主体和数据处理者之间形成了强大的非对称力量,利益天平更多向拥有大量数据的企业倾斜[18]。为了保护数据主体的原始权利,需要构建出一套全新的权利谱系。

我国《个人信息保护法》将数据可携权置于个人查阅权、复制权之下,是个人信息权中获取权能的自然延伸。数据可携权与知情同意权、获取权、异议更正权、拒绝权、删除权等共同构建出我国个人信息权利体系(9)更多个人信息权利构建理论详见申卫星《论个人信息权的构建及其体系化》。。在个人信息保护领域,我国现有法律缺乏完整的权利制度体系设计。现行法中未使用“个人信息权”的相关表述,相应地,个人是否享有“数据可携权”这种“权利”也留有争议。尽管《民法典》人格权编增加了个人信息保护的制度框架,但仅从法益保护的角度规定个人信息受保护,没有正面明确其法律地位,“远未达到民法界分权利的使命和初心”[19]。我国《个人信息保护法》作为专门立法并未打破僵局,仍将个人信息停留在“权益”的地位(10)《个人信息保护法》第一条立法目的表述为“为了保护个人信息权益……”,第二条规定为“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。。但是在第四章“个人在个人信息处理活动中的权利”中,随处可见“个人有权……”的表述。如何理解此种“有权……”表述,是关于个人信息是否应当赋权的争论。持否定态度的主流观点认为赋权会阻碍数据流通与共享,若赋予排他性的控制权会遏制数字经济发展[20]。持肯定态度的一方主张对于个人信息“权利保护模式”优于“法益保护模式”,个人信息权不同于隐私权,并非是排斥绝对利用的消极权能,而具有实现信息共享价值的积极权能[21]。申卫星教授认为,个人信息的权利化不仅利于个人信息保护,还能促进信息的利用,避免个人信息使用长期处于无序的状态。个人信息权作为涵盖多种权利形态的集合体,其理论建制呼之欲出。个人信息权的正当性证成是数据可携权的前提与基础。数据可携权强调了个体有权决定个人数据的走向,即是否将其留存或者带离某一平台。

值得注意的是,数据可携权权利的确立是建立在个人数据财产权保护路径上的延伸和拓展。财产权是一定社会的物质资料占有、支配、流通和分配关系的法律表现。数据可携带权隐含的个人信息财产权能包括支配、流通和收益的面向,并不包括排他占有的面向。这在个人的数据支配和数据流通共享之间建立了一个动态平衡机制。

(三)权利客体的范畴指向:数据集

数据权属迄今仍处于悬而未决的状态,主要源自数据法律属性的不确定性。《民法典》在“民事权利”部分明确规定数据权益属于组成部分,但对于数据权益客体仍处于理论争论状态(11)《民法典》第一百二十七条:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”。数据可携权的具体权利客体难以确定,现有研究存在“数据信息论”“数据文件论”及“数据集合论”三类主要观点。“数据信息论”承认数据作为民事权利客体的正当性,数据承载着信息的经济利益和人格利益,两者具有一致性[22]。“数据符号论”严格区分符号层面的数据与内容层面的信息,排除了不具有独占性的信息,明确数据符号作为数据权益客体的可行性[23]。“数据集合”则指作为符号化的数据所形成的集合[24]。以上三种观点为研究数据可携权权利客体奠定了理论基础,体现了数据权利客体与物、知识产品和人格利益等传统民事权利客体的分野,彰显独立性。而从健全层次化的规制力角度来说,“数据集”的概念更符合区别机制的构建。笔者不揣简陋,拟从以下两点论证“数据集”作为数据可携权客体的可行性。

根据民法一般理论,民事权利客体应当具有客观确定性和效益性[25]。首先,数据集具有效益性。单一或独立存在的数据并不具有价值,即不能满足人的物质生活和精神需要。对于作为权利客体的数据集而言,只有按一定规则组合成具有独立价值的数据集才具有价值。其次,数据集相对客观确定,数据客观存在并以某种形式存储于介质之上,可被获取和利用。《中华人民共和国网络安全法》第七十六条将“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。可以看出,数据是以“电子数据”为限,实为信息的数字化表现形式和载体。此外,数据与信息是否应作区分的争论一直存在,也是具体确定数据可携权客体范畴的另一重要理论壁垒。笔者认为,从规范语义和权利适用方面,个人信息作为权利客体会引发权利设定偏差,不利于保护数据主体权利(12)前文已详细论述可识别性标准的弊端,此处不再赘述。。信息强调可识别性,表达的是对信息内容的关注,结合上文论述的“可识别”标准的弊端,未来明确权利客体范围时应以数据集为范畴,增强权利的正当性和合理性。

四、数据可携权下权利客体构建的原旨考察

数据可携权的具体制度设计不可脱离对其立法原旨的考察,否则有背离立法原意和初衷的危险。“对于数据可携带权之范围的解释必须要结合该权利设定的目的来进行。”[26]为了更加凸显数据可携权的立法原旨,本文将其与竞争法视域下的数据可携相对比,针对争议焦点定性纠偏,以期对此权利的客体制度构建进行方向把控。

(一)竞争法视角:与“数据可携”的关系

1.区别之厘清:数据可携权非“数据可携”。数据可携权作为个人信息权利体系中的一种,集中体现了个人信息的权利特征。有学者认为个人信息权利兼具人格权和财产权属性,旨在保护个人信息的自决利益[27]。另有观点认为,信息是人格权的客体,个人信息权是单一的人格权,至于经济价值部分可采用类似人格权商品化的方式来处理[28]。尽管存在争议,但理论界基本肯定个人信息权利的人格权属性。而作为个人信息权下的一项子权力,数据可携权人格权属性不言而喻。其立法原旨在于保障自然人的人格尊严和人格的全面发展,即加强个人对个人信息的控制力。后续的规则设计或整个权利建构也都应以加强个人控制力为主线。

在此基础上再审视竞争法领域的“数据可携”,会发现两者的本质区别。欧盟委员会在《适用欧共体条约第82条查处市场支配地位企业滥用性排他行为的执法重点指南》中明确指出,竞争法领域提出数据可携必须符合三个条件:企业具有市场支配地位、实施滥用行为、对竞争造成不利影响(13)Guidance on the Commissions Enforcement Priorities in Applying Article 82 of the EC Treaty to Abusive Exclusionary Conduct by Dominant Undertakings,2009/C 45/02.。典型案例如 Microsoft Corp.v.Commission of the European Communities一案,欧盟委员会要求微软向竞争对手提供可互操作性信息的前提是,微软在相关市场中具有支配地位,并且实施了滥用行为(14)Microsoft Corp v.Commission of the European Communities,https://curia.europa.eu/juris/showPdf.jsf?do cid=67518&doclang=EN,2021年9月13日访问。。竞争法领域的数据可携适用标准明显较严苛,其适用范围、使用条件、执法程序等均与数据可携权有本质区别。诚然,数据可携通过降低个人数据在不同平台或企业之间的转换成本,能减少头部企业的锁定和垄断,使个人能够按照自由意愿变更数字服务商,有效打破数据孤岛和促进竞争[29]。因此,数据可携权难以完全脱离竞争法补救措施的外观。

2.两者不可相混淆。多数学术观点并未将两者严格界分开,一味地寄希望于数据可携权来促进竞争[30]。并且围绕其是否可以与竞争法政策相衔接、是否能实质性促进竞争展开激烈的争论。否定其本土化构建可行性的理由如下。其一,数据可携权的适用主体是所有市场中的信息处理者,而竞争法通常要求对个案进行具体分析后,决定是否对信息处理者提出要求;其二,数据可携权要求信息处理者开发相应技术和接口实现数据的传输和接收,对资金和技术本就相对薄弱的中小企业来说,增加了合规的难度和负担,加大市场进入难度,不利于数字市场的良性竞争[31]。

笔者以为,如果一味地追求促进竞争的效果,忽视了加强个人信息自决的初衷,会对权利的具体设置产生不良影响。回归数据可携权的本质,其最初和最直接的目的是加强用户对个人数据的控制,适当平衡个人始终无法有效参与数据经济红利的现状。欧盟在《通用数据保护条例》(GDPR)的序言部分和《数据可携权指南》(Guidelines on the right to Data Protability)中强调,数据可携权旨在赋予数据主体在不同的IT环境中转移数据的权利(15)Guidelines on the right to data portability,p.4.。第29条工作组(16)第29条工作组是根据欧盟个人数据保护95指令(Directive 95/46/EC)成立的,是独立的欧洲数据保护和隐私咨询机构,已发布一系列较权威的指导意见。进一步解释,数据可携权有助于个人数据在不同服务提供者之间转换,促进欧盟数字化单一市场战略的实施。虽然也可能加剧信息处理者之间的竞争,但规范的是个人数据,而非竞争(17)Guidelines on the right to data portability,p.4.。因此有必要将竞争法与个人信息保护路径区分。

(二)“数据可携”对数据可携权的补强:经营者数据的转移

个人信息保护框架下的数据可携权适用范围小于“数据可携”,突出表现为经营者数据转移。“数据可携”是竞争法视域下的救济措施。数字经济下,数据市场高度集中,数据寡头控制着占绝对百分比的数据资源。一方面,拥有先发数据优势的互联网平台对其他经营者采取数据访问限制行为,另一方面,头部企业以实现“数据聚集”(data-drivenmergers)为目的,倾向于并购已积累大量用户数据的企业,继续巩固数据垄断优势,例如微软对领英的收购。其他竞争企业难以获取开展服务所必需的用户数据开展商业活动。此时,竞争法下的“数据可携”极大弥补了企业无法享有数据可携权的问题。虽然目前我国竞争法并没有直接对经营者数据开放进行规定,国务院反垄断委员会出台的《关于平台经济领域的反垄断指南》中删去其征求意见稿中关于数据在一定条件下可视为关键设施的规定。但自2020年以来,从阿里案到美团案,其执法力度之重不难看出我国已进入平台经济的强监管时代。

国家市场监管总局于4月13日召开的指导会上强调依法从重从严处罚强迫平台企业实施“二选一”的行为。“二选一”等滥用市场支配地位的行为限制经营者选择,严重损害竞争。从美团案《行政处罚决定书》中可看出,平台意图以经营者自愿与其独家合作为由进行抗辩(18)国家市场监督管理总局行政处罚决定书国市监处罚〔2021〕74号。,但经营者在不同平台转移经营数据面临阻碍。经营者自己提供的数据,如产品数据、销售信息等,无法适用数据可携权。同时,用户提供的能够反映卖家信誉的服务评价等信息对经营者至关重要,关系到长期用户信任及品牌声誉。这些经营数据能否便捷地在平台之间转换决定了“二选一”困境的破解。竞争法补救措施视角下的数据可携可以涵盖所有类型的数据。无论是否是个人数据,只要是转换服务所必要的数据,经营者均可提出请求。无疑,竞争法视域下的“数据可携”在一定程度上补强了数据可携权在经营者数据的规制空白。

尽管我国确立数据可携权的目标,部分包括“聚焦于提升互操作性以化解数据垄断问题”[32],但具体制度设计时不可相混淆。有学者认为:“从强化用户控制的角度思考数据携带权,可以发现数据携带权正是数据个人控制权的逻辑终点。”[33]综上所述,笔者认为应从积极性、控制性权利的视角出发,在调节各方利益的基础上,对数据可携权的具体权利设置作规划。

五、比较:域外数据可携权下权利客体制度考察

(一)欧盟:以是不是推导数据为核心标准

1.欧盟法律政策中权利适用边界流变。欧盟《通用数据保护条例》最早实现其立法确权。随后,澳大利亚、美国、日本等国家均开始了积极的立法尝试。欧盟数据可携权的前身是访问权,1995年《个人数据保护指令》(EU Data Protection Directive)中第12条对访问权进行了规定,要求欧盟成员国应赋予数据主体拥有从控制者处获得数据的权利。2012年欧盟委员会首倡数据可携权,并发布建议修订的数据保护框架,即2012年草案(19)Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protectio n Regulation),COM(2012) 0011-0025/2012-2012/0011(COD).。该草案首次探寻了权利的适用边界。其第18条将数据可携权拆分为“数据副本获取权”和“数据转移权”,但两者的适用范围完全不同。据法条,用户可以获取任何数据控制者处理的数据,只要以电子化、结构化的形式。而可转移的数据包括用户基于同意或以合同为基础提供的数据,以及自动化系统产生和保存的数据(20)欧盟2012年数据保护框架(草案)中规定:“当个人数据以普遍使用的电子化和结构化的格式被处理时,数据主体有权从数据控制者处获得正在处理数据的副本,该副本应当采用普遍使用的电子化和结构化格式,并允许数据主体进一步的使用。如数据主体提供的个人数据,而且数据处理是基于同意或者合同,其有权将这些个人数据以及自动化处理系统保存的任何信息,以常用的电子格式移转到其他主体,而不受被撤回个人数据的控制者的阻碍。”。可转移和可获取的数据范围相互矛盾、模糊不清,同时也缺乏权利限制条款,权利边界的不确定性大大削弱了现实可操作性,因而其诞生之初便备受质疑。不可否认,尽管存在诸多疏漏,该草案创新性地从数据主体的视角设计数据流通规则,试图重塑用户和信息处理者之间的关系[34],并由此影响了之后的立法格局。

2014年欧洲议会再次对该法权定位和适用范围进行探索,并对2012年草案进行修订,将数据副本获取权与数据转移权合并。最终,该法权于2018年欧盟《通用数据保护条例》(GDPR)中予以确认。其第20条明确该法权有两方面的内容:一是数据主体有权获得其提供的个人数据副本(right to receive the personal data);二是一定条件下数据主体可以要求数据控制者直接向其他数据控制者移转其个人数据(right to have the personal data)(21)GDPR第20条:允许数据主体以结构化的、通用化和机器可读的格式接收他们提供给数据控制者的个人数据,并且不受阻碍地将这些数据传给另一个数据控制者。,并且将权利客体限定在“数据主体提供的与数据主体有关的个人数据”(22)See guidelines on the right to Data Protability 2017,https://iapp.org/media/pdf/resouce-center/WP29-201704-dataprotability-guidance.pdf,2021-5-24.。第20条第3款还规定了除外情形,即为了公共利益或行使公权力任务时,数据主体不得主张可携权。此外,值得注意的是,GDPR中关于个人信息的表述是personal data,直译为中文是“个人数据”。因此欧盟并未严格区分个人数据与个人信息,所以可携权是相对于个人数据而言的。较之于2021年草案,GDPR规定的数据可携权的权利构造更为严谨与完整,尤其是新增了具体限制条件,加强了权利的合理性和可操作性。2021年3月生效的《数据治理法案》(DGA)进一步强化GDPR中第20条规定,并强调在企业之间共享数据,允许使用个人数据(23)European data governance act:Shaping Europe’s digital future https://digital-strategy.ec.europa.eu/en/policies/data-governance-act,2021-9-26.。

通过梳理欧盟关于数据可携权的政策流变,不难看出其反复多变的立法过程中所考量的关键要素。欧盟最终保留该权利的同时,又增加诸多的限制条件和除外规定,鲜明地表达了欧盟立法者对数据可携权既欢迎又担忧的复杂态度[35]。

2.现有规范之局限性分析。尽管权利构造日趋完善,GDPR中“数据主体提供的个人数据”所涵盖范围仍不明确。面对外延极不稳定的“个人数据”,欧盟第29条工作组在《数据可携权指南》中进一步扩大解释为“用户行为记录、行踪轨迹、网页浏览历史以及搜索记录等”,并且将“数据主体提供”解释为两种情形:其一是数据主体有意和主动提供的个人数据,其二是数据主体通过使用服务或者设备所提供的观察数据(包括对用户行为观察后获得的个人数据)(24)See Guidelines on the right to Data Protability 2017,https://iapp.org/media/pdf/resouce-center/WP29-2017 04-dataprotability-guidance.pdf,2021-8-24.。但明确排除了对数据主体分析后得出的个人数据,即观测数据与衍生数据。换言之,判断的核心标准是用户原始数据还是基于此推导出的数据。2014年OECD隐私专家圆桌会议最先提出该区分方式。该区分方式普遍排除了基于大数据分析而形成的观测或衍生数据,但恰恰是这些数据在原始数据之上形成了数据增值[36]。

WP29的扩张解释并不能解决所有问题。典型场景如前文提到的社交网络平台,用户的聊天记录是否可以依据数据可携权要求移转给其他社交软件?此时首先须判断该聊天记录是否是数据可携权的客体。有学者认为聊天记录虽非用户主动提供,但由信息处理者观测得出,可作为观测数据被归入可携权客体的范畴[37]。但聊天记录会涉及第三人信息及隐私,企业很难根据现有规范明确判断可转移数据的范围。此外,在技术兼容性问题上,欧盟尚未有效平衡数据接收者和传输者之间的利益矛盾,并未对数据存储的互操作性做强制要求,导致数据可携仍有很大的不确定性[38]。尽管如此,欧盟数据可携权的制度优劣仍可为我国实践提供有益启示。

(二)美国:以约束平台竞争行为为主

美国政治体制是联邦和地方州的双轨制,其立法采取相对分散的进路。联邦立法最早是在个人医疗信息领域确立了数据可携权。从1996年《健康保险可携带和责任法案》到《个人可识别医疗信息隐私标准》,美国国会更看重个人对医疗信息的隐私权和控制权。除此之外,各州根据自身情况,制定了相当数量的法案。其中较具代表性的是2020年生效的《加州消费者隐私法案》(CCPA),其第1798条100(d)项明确规定了可携带权。根据该条规定,企业可以通过信件或电子方式将个人信息提供给消费者,允许消费者无障碍地将此信息传输给其他企业(25)《加州消费者隐私法案》1798条100(d):“企业从可验证消费者处收到要求访问个人信息的请求后,应立即采取措施向消费者免费披露和提供本节所要求的个人信息。个人信息的提供可通过信件或电子方式,如果以电子方式提供,信息应以便携方式提供并且在技术可行限度内采用易于使用的形式,以允许消费者无障碍地将此信息传输给其他单位。企业可以随时向消费者提供个人信息,但不应被要求在12个月期间内向消费者提供两次以上个人信息。”。除此之外,CCPA还增加了权利限制条款,将次数限定在一年两次(见下表)。

GDPR、CCPA和我国《个人信息保护法》下数据可携权权利客体比较

同时,相关企业的行业自律也有一定的探索。例如包括谷歌、Facebook及微软等大型互联网公司均加入的DataProtability.Org工作组,寻求不同网络应用之数据共享的解决方案[39]。然而,无论是联邦立法或行业自律,多数从竞争法的角度予以规制。典型案例如2013年FTC启动对谷歌的反垄断调查。谷歌限制用户将其在线广告平台AdWords的数据转移至其他竞争平台。但此案FTC并未明确平台是否有协助用户实现数据可携权的义务,关注点在其是否滥用市场支配地位。换言之,美国更倾向于通过竞争法规制数据垄断行为,间接实现数据可携的目标[40]。

总之,欧盟将数据可携权视为基本权利,强调其人格利益;美国主要规制平台滥用数据而实施排除或限制竞争的行为。欧美和我国权利客体范围详细比较见表一。除了欧美,世界多数国家已经或开始建构数据可携权制度。如印度2019年的《个人数据保护法案》、新加坡个人数据保护委员会(PDPC)的《数据可携与创新条款建议案》。我国也应尽快完善相关法律规范。

六、中国化:数据可携权的权利客体范畴之重构

数据可携权的权利范围重构应回归权利设计之初的语境,并与我国数字产业发展现状相协调。以此为基础再进一步判定应以何种角度和方式引入数据可携权,避免盲目移植以至水土不服。如何做到在强化个人对数据的控制的同时,促进数据共享和流通,需要缜密可行的制度设计和相关配套措施。本文对数据可携权权利客体的中国化模式提出以下建议。

(一)核心思路:以数据来源为标准,逐类识别权利客体

当下我国数据权属及其分配规则未明确,个人信息和平台数据相互交织,缺乏清晰的产权界定。如果以个人信息的“可识别”标准来严格划分个人信息和平台数据,会陷入理论和实践的困境(“可识别性”标准弊端前文已详细阐释,不再赘述)。本文认为,一个可行的路径设计是,摒弃现有的以“个人信息”作为权利客体,按照数据来源划定数据类型,逐类辨别是否落入数据可携范畴。具体来说,用户数据依来源可分为个人数据、观测数据和衍生数据。来源于信息主体主动提供的信息(如用户名、年龄、账户信息),属于用户的个人数据;企业对信息主体活动观察得到的原始数据(如智能穿戴设备收集的原始数据、浏览记录、活动日志等),属于用户使用设备或服务所产生的观测数据;企业以前两种数据为基础,利用算法、大数据技术再次加工创建的属于衍生数据。

首先来源于信息主体的个人数据,用户有权决定其流向并无争议。观测数据虽属于用户的原始数据但存在转移难度,衍生数据经企业加工处理后带有商业秘密的属性。针对这两种争议较大的数据,欧盟GDPR和美国CCPA认可观测数据的可转移性,CCPA选择性地将部分衍生数据纳入转移范围中(如用户消费习惯)。本文认为,以数据来源划定数据种类后,应排除观测数据和衍生数据,允许个人数据可携。以此简化数据转移范围的划定方法,增强权利的可操作性,具体理由有如下。

1.用户观测数据不应纳入可转移数据范围。根据我国现有法治环境及观测数据的特征,观测数据暂不适宜纳入可转移数据的范围。理由如下。其一,包含用户行为痕迹的观测数据尚未纳入个人信息的范畴,无法适用现有的个人信息保护机制。从个人信息的界定来看,现行法律未完全明确观测数据属于个人信息。仅在国家标准《信息安全技术个人信息安全规范》中将能够单独或与其他信息结合的“行为轨迹”信息界定为个人信息,但并不具有强制效力。事实上,司法实践中更倾向以“不具有可识别性”否认用户行为数据具有个人信息属性,从而默认信息处理者收集和使用信息的合法性(26)朱烨诉百度公司隐私权纠纷案,二审法院认为:百度公司收集的是不能识别用户个人身份的信息,此类数据不符合个人信息的可识别性要求;而且,相关网页只是对特定的用户进行推送,并没有公开用户的消费行为及其偏好,因此并没有打扰用户的安宁或对用户产生实质性损害。江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。。关于是否对个人信息进行扩张解释从而扩大其范畴,学界有不同的争论(27)支持的学者有丁晓东,参见丁晓东《用户画像、个性化推荐与个人信息保护》,《环球法律评论》2019年第5期。。从风险控制和消除寒蝉效应的角度出发,需要将用户轨迹信息纳入个人信息的范畴,使信息主体可以对其行使数据可携权,但目前并不适宜。过于宽泛的界定范围可能会带来个人信息保护资源分配不均、监管重心发生偏差等问题。

其二,用户的行为痕迹等观测数据中的个人数据和平台数据边界模糊。例如,信息处理者收集到的个人搜索记录、交通数据和位置数据,可能会包含平台创建的数据。如果数据可携权规定的数据只包含信息主体提供的个人数据,那么在迁移数据时会面临技术和成本的问题,因为迁移时还须将个人数据和平台创建的数据分别提取出来。因此,本文认为,目前暂不宜将用户观测数据纳入可携带范围。

2.衍生数据不应纳入可转移数据范围。衍生数据是信息处理者以用户提供的个人数据和观测数据为基础,进行推导、分析和预测而创建的数据(28)例如,银行对用户健康状况评估结果或者在风险管理和金融监管场景下生成的用户信息(例如,指定信用评分或者遵守反洗钱法的规定)不能被视为数据主体提供的数据。。信息处理者利用算法进行加工、计算、聚合,经脱敏处理而生成新的、有更高使用价值的数据。对于衍生数据的性质,学界有不同的观点。杨立新教授认为企业须投入巨大的财力和智慧,产出不同质量的衍生数据[41]。衍生数据应属于智力成果,是非物质化的知识形态的劳动产品。另一观点认为衍生数据的生成机制是算法的大量复制,属于算法、计算机的劳动成果,理应保护算法程序的独创性[42]。可以看出,衍生数据是否认定为人类智力劳动创造的精神财富或产品还存有争议,尚不能确定是否适用知识产权保护。但普遍认为企业创建的衍生数据早已脱离了用户的原生数据,其集中体现了企业的技术和财力优势,不再被视为用户的个人数据,故而衍生数据不能作为数据可携权的权利客体。

3.针对权属不明的数据,暂不纳入可转移范围。针对权属尚不明确的数据,如用户昵称、关系链数据、卖家信用评分、声誉信息等,由于其来源和性质的特殊性,难以将其明确归属为某类数据。丁晓东教授认为:用户头像、昵称数据不属于任何人,若可从公共途径获取,则可作为公共数据被任何人获取;而关系链数据涉及企业商业秘密和用户隐私期待,应采取审慎的态度[43]。当我们以限制的、和缓的态度看待数据可携权的现实应用,不难发现,当下暂不宜将此类权属不明的数据完全纳入可转移范围。典型案例如“头腾大战”关于用户数据的争议。此次争议中,腾讯主张微信和QQ产品平台上的头像、昵称、关系链数据等用户数据都属于腾讯的商业资源,未经其许可不得通过服务收集、存储、抓取或要求用户提供用户数据(29)《腾讯开放平台开发者协议》,https://wiki.open.qq.com/wiki/%E8%85%BE%E8%AE%AF%E5%BC%80%E6%94%BE%E5%B9%B3%E5%8F%B0%E5%BC%80%E5%8F%91%E8%80%85%E5%8D%8F%E8%AE%AE,2021年8月15日访问。。

天津市滨海新区人民法院公布的裁定书中肯定该观点(30)天津市滨海新区人民法院民事裁定书(2019)津0116民初2091号。。尽管腾讯的主张是否侵犯个人数据可携权存在争议,但可以肯定,司法实践中更倾向保护数据财产价值的发挥。本文认为,为了避免企业数据权利过度扩张损害用户利益,在不涉企业核心秘密且无正当理由的情形下,适当允许部分数据可携,如声誉信息和反馈评价数据。此时互联网平台可将数据可携视为一种柔性目标,尽量满足提供便捷的传输服务,避免边界过窄使权利失效。总之,为了稳定现有数字市场竞争秩序,防止企业间不正当竞争行为泛滥,应对争议数据采取和缓化路径。

(二)立法完善建议:增加权利限制条款和除外规定

建议《个人信息保护法》第四十五条第三款中增加数据可携权的权利限制条款和除外规定,明确权利行使的边界,同时建议选择宽泛的限制条款,类似于兜底条款。对比欧盟和美国对数据可携的权利适用规定,可以看出我国首先亟须完善之处在于权利限制款的缺失。因此,未来司法解释和行业指南等配套法律文件中应增加数据可携权的限制条款和除外规定。值得注意的是,欧盟最初引入该权利有其自身的产业发展考虑。欧盟互联网经济领域长期被美国IT巨头公司控制,初创和小型公司进入市场难度较大[44]。反观我国,数据经济方兴未艾,互联网公司在人口红利及宽松的政策下相继涌现并蓬勃发展。市场调研机构Synergy Research Group的最新数据显示,截止2020年底,全球20家主要云和互联网服务公司运营的超大规模数据中心总数为597个,美国占比38%,中国以10%的占比排第二名。我国成为唯一可与美国相抗衡的数据大国[45]。因此,为了避免削弱国内优势企业积累的数据优势,错失国际竞争的关键窗口期,有必要对数据可携权做出限制。然而本文建议选择宽泛的限制条款,原因有二:其一,数据可携权本身远未定型,对其认识也在不断深化;其二,该权利极易受技术发展的影响,具体影响因素尚不确定,宽泛的限制条款能留给司法足够的裁量空间。具体展开可包括两个方面的限制。

1.目的限制:超原目的范围应重新收集同意。针对涉他数据转移所带来的侵犯第三人合法利益的风险,本文认为,可以依据目的限制原则加以约束,涉他数据转移不得超越原有目的范围。借鉴欧盟WP29发布的《数据可携权指南》中的规定,数据控制者的处理行为如果对于控制者或第三方所追求的正当利益是必要的,可以依此获得合法权益(31)GDPR第6条第1款f项:“处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。”。《数据可携权指南》强调尤其当服务目的是“纯粹的个人或家庭活动”而处理个人数据时,若与第三方有关或有影响的,仍由该数据主体负责。例证之,若在社交网络平台之间转移通讯录数据,接收方需基于相同的目的处理该数据,即仅供信息主体使用联系地址,而不能深度挖掘和分析其好友关系、群关系来扩充和壮大其用户网和好友关系链。若接收数据方超越原有目的范围处理涉他数据,则需要重新收集第三方用户的同意。当然,信息处理者应尽量排除涉及他人的数据,降低第三方数据被传输的风险(32)WP29发布的《数据可携权指南》中也建议数据控制者(包括数据发送方和数据接收方)的主要做法是采用工具,让数据主体能选择他们希望接收或传输的相关数据,并且排除涉及他人的数据。这有助于进一步降低第三方个人数据被传输的风险。。

2.知识产权、商业秘密、公共利益限制:约束适用。转移数据若涉及企业商业秘密、知识产权,或基于公共利益而处理数据,则不适用数据可携权。例如在电商平台,用户若对衍生数据和部分观测数据请求数据转移,平台可能有失去前期数据积累的风险,算法技术的分析预测功效难以发挥,企业核心商业秘密易受影响。当下一些在线数字服务平台,主营业务是为顾客提供个性化定制服务(33)例如美国的True Fit公司,用户提供身高体重等信息,True Fit就会将这些数据和架上商品的尺码进行匹配,为用户筛选出每件商品最合适他们的尺码。,用户提供的个人信息构成企业的业务核心和商业秘密。对于这些企业,用户对此类数据提出数据可携权应受到约束。在数字化、监控日常化的当下,如何使用户基于法律赋权而重新获得主体性地位,同时充分调动信息处理者的积极性,需要小心探索。而针对公共利益优先的情形,包括卫生健康、科学研究等领域,此时应遵循价值位阶,让步于更高位阶的法益,显然数据可携权应受到约束。

(三)配套法律措施的完善建议

1.加快法律解释工作,制定实施细则。建议我国法律解释机关加快有关数据可携权的法律文件的解释工作,明确实务中数据可携权的衍生问题及提供操作指南,增强该权利在实务中的适用性。例如,以《民法典》《个人信息保护法》为根本依据,制定关于数据可携权的实施细则,建议按照上述判断权利客体的核心思路,明确权利行使范围、适用情形、一般规则和权利救济。只有及时有效的立法、执法、司法、守法活动,才能填补法律的真空。

2.出台国家标准或相关行业指南。数据可携权的本土化适用过程中,仅依靠《个人信息保护法》等“硬法”来搭建具体运行制度远远不够,还应当完善“软法”“硬法”兼具的协同治理工具箱。法律规则是显性的强制性规则,直接输出行为规范;而技术标准一般不具有强制力,对相关主体形成隐形约束。法律规则与技术标准如同机之两翼,两者须共同协调作用于数据可携权的治理路径。建议有关部门和行业协会协商讨论,共同建立通用的数据可携权具体实施标准,重点在数据类型、传输阶段、格式标准等方面建立完整的可通约性路径规划。

就权利规范而言,数据可携权的规定是初步和尝试性的。数据可携权涉及多个部门法,如民法、行政法、经济法等,不同部门法之间规制的侧重点也不同,难免有交叉、冲突。未来法律规范的完善,应当注重不同部门法之间的互相协调。在明确数据可携权最直接的目的是加强用户对个人数据的控制后,尤其应注意与竞争法领域的法律规定相协调,明确经营者数据转移的适用,从不同维度全面勾勒出数据可携权的权利适用边界。

七、结语

数字经济的深刻变革冲击原有的权利结构,如何构建一套完整的数据流动规则,保持隐私权和控制权的动态平衡,是数据驱动型经济良好发展的基础。涉及数据纠纷的案件中,如何解释数据可携权中的权利客体将最终影响案件处理结果的走向。该法权的中国化首先应确定核心思路,即摒弃现有的以“个人信息”为权利客体,按照数据来源划定数据类型,逐类辨别是否落入数据可携范畴。在个人数据基础上,排除观测数据和衍生数据,谨慎对待权属不明的数据。建议增加数据可携权的权利限制条款和除外规定,可选择宽泛的限制条款,主要包括目的限制和知识产权、商业秘密、公共利益限制两个方面。此外,需要加快出台数据可携权的实施细则、国家标准、行业指南等,力图构建出一套包括数据转移范围、一般规则、权利限制和救济等关键问题在内的规制体系。在保障用户对其数据的控制力的同时,促进数据财产价值的发挥,形成良性、稳定的数据市场竞争秩序。除了权利客体亟须重构外,许多问题都还未落地,未来还须要从政策层面提出完善建议和应对策略,积极回应现实需要。

猜你喜欢

客体个人信息权利
社会公正分配客体维度与道德情绪的双向互动
个人信息保护进入“法时代”
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
股东权利知多少(二)
股东权利知多少(一)
民法典应进一步完善侵害个人信息责任规定
浅议犯罪客体
权利套装
爱一个人