用户数据携带权保护模式探讨
2024-04-12□文/郑硕张弛
□文/郑 硕 张 弛
(中国人民公安大学法学院 北京)
[提要]关于数据携带权的保护规制,有学者提出以完善相关规定的权利规制轨道以及以在竞争法框架下进行行为规制的结合模式。但就该规制模式而言,其在技术层面的介入明显不足,在预想的竞争法轨道中也面临着种种困境。通过对欧盟相关规制分析研究可以发现,其立法引入数据治理层面的规制并完善竞争者相应的事前义务。因此,原规制范式应当引入数据治理层面法律的参与,合理设置竞争主体相关事前合规义务,以架构出新的用户数据携带权保护体系。
在最近的研究中,有学者提出了数据携带权利规制与行为规制并行的模式,它结合了完善《个人信息保护法》的权利规制与主张将数据携带纳入竞争法规制的行为规制两条进路,对之前学界系列的研究成果进行了合理的总结,并为学界其他学者所认可。在这一模式下,数据携带的可携带数据范围、数据携带场景化行权范围以及竞争主体数据携带义务的完善等方面在各自轨道中均得到了相应的对策。
但若从用户权益保护的角度予以分析,在现有的法律框架下,这一模式并未对用户数据携带权益保护产生更多的增益,用户的相关救济仍然是由单一的权利规制进路所决定的。因此,本文将对数据携带权保护双轨并行模式的不足进行分析,结合国外具体实践经验,对原有模式模型进行相关完善,以期探寻出一条更能实现用户数据携带权充分保护的模式进路。
一、研究起点:关于用户数据携带保护研究综述
伴随着欧盟通用数据条例对于数据携带权的确立,在我国比较法研究领域也相应地产生了对于数据携带的研究热潮。而数据携带制度得到《个人信息保护法》立法确立之后,相关实践并未得到进一步推进,用户的数据携带权益也并未得到有效的保护。大部分学者认为数据携带权对于其他权益的侵袭是造成如今数据携带相关实践无法落地的重要原因,于是多数学者均从调试权利冲突的角度开始了研究。如,谢蔚、李文静认为应当在完善数据携带权相关制度的过程中引入比例原则进行动态调试;孙跃元认为,要在现有权利规定的基础上增加权利限制及除外规定的表述。
竞争法领域部分学者认为,由于数据携带可以给数据市场带来多重积极的竞争效应,因此数据携带权应作为一种补充性执法工具进一步引入到竞争法规制体系中。同时,这种思路也使部分学者看到了竞争法规制进路的可行性。如,张浩然认为,在各数据主体数据权益划分不明的背景之下,可以利用竞争法对市场力量的引导作用来保障用户数据携带权的实现。郭江兰则认为,对于数据携带的相应保护正是需要“权利化模式”和“行为规制模式”并行,两轨道的并行规制并不冲突,具体进路为在个人信息保护法中完善数据可携带权的权利规则以及在竞争法领域寻求对数据控制者更多的行为规制。
二、完善起点:双轨并行模式不足与困境分析
(一)技术层面介入的不足。对于数据携带权本身,其实质上可以划分为副本获取权以及其他一系列传输性权利,每个环节的实现都极大依赖于数据处理及传输技术的支持。因此,对于数据携带权的界定乃至保护而言,对于技术领域的介入是不可避免的。而在双轨并行的模式之下,对于技术层面的介入明显不能达到互操作性数据流通环境的规制引导要求。而若对此进行进一步分析,我们可以将主要原因总结为以下两点:
1、复杂技术场景下保护力度的不足。在权利规制轨道上,以《个人信息保护法》为框架进行完善的做法在理论上是完全可行的,也可以做到有效的介入。然而,纵使近年来国际立法有打破权利义务严格对应的倾向,但受制于由立法目的为起点的立法体例,权利法律对数据携带相关的义务列举并不能充分覆盖种种特殊的技术场景。对于行为规制而言,“行为规制模式”源于法律的不完备,利益尚未上升为权利,不宜进行绝对化与排他性的权利保护。而在双轨并行的模式之下,以维护竞争公平为目的的、与竞争相关的义务设计并不足以覆盖用户数据携带实践中所遇到的各种特殊技术场景。如,我国新修订的《反垄断法》较之前在内容上增加了许多规制数据竞争的条文,也对部分场景有所涉及,但在具体内容上过于概括、模糊,仍需其他规范性文件予以填补。
2、技术主导的缺位。早在数据携带权得到我国立法确立之前,就有学者注意到了构建技术主导的重要性,在本土化对策中提到了要分层次、分步骤建立互操作性标准的进路。实践中,数据控制者之间意图实现互操作性的文件格式往往不兼容,可能导致格式化问题或者图片、图表等内容的丢失。因此,建立数据技术主导不仅仅是推进数据携带实践的内在要求,放眼整个数据流通领域,这也是十分必要的。而在《个人数据保护法》层面,对于数据携带技术规制的设计是明显不足的。就像欧盟GDPR 在审议过程中就是否设立“技术标准”进行过讨论,而这一动议在其后的审议中删去了。但与我国不同的是,欧盟在其后的竞争立法及数据治理立法中通过对相关主体设立数据携带技术义务,而向着实现数据互操作性、可移植性的常态环境不断迈进。而我国并没有进一步的相应完善。
(二)竞争法规制层面的困境。就如上文所说,学界提出将数据携带权纳入竞争法规制的初衷并非是单纯的保护用户数据携带权益,而是有着更多的平衡数据市场竞争的考量。但若从机制运行以及司法成本视角予以考虑,这条进路在其理论正当性背后也存在着现实推进的困境。
在预处理工艺试验结果基础上进行响应面设计,采用Design-Expert 8.0.5软件对试验数据进行回归分析,并预测最佳配方。通过最小二乘法拟合二次多项方程,分析4个因素不同水平对马铃薯脆片综合评价的影响。
学界在相关领域的研究中认为,对于在现有反垄断法框架下进行的行为规制要持谨慎态度,即执法者要求经营者承担义务的前提,是经营者的行为违反竞争法的相关规定。而这一进路对经营主体的规制,更类似于经营主体触发传统竞争法框架规制的前提下,执法者所施加的附随义务。且不说这样的规制方式最终会给用户权益保护带来多大的增益,在实际执行中,这种方式的行为规制效益也不会特别明显。
由于数据这一新型生产要素的独特属性,在反垄断法相关垄断行为的认定范式中,市场分析、市场界定乃至于经营者集中审查模式都面临着几近颠覆性的冲击,这也就使得现有的竞争法模式的规制面临着极大的障碍。在如现今的执法体系中,以静态、价格竞争为核心的分析框架适用于以动态、非价格竞争的数字市场时面临着较强的局限性,同样,企业限制用户数据迁移或采取互操作性限制措施是否构成垄断行为的评价也具有不确定性。
三、域外经验:欧盟规制保护现状分析(表1)
表1 欧盟用户数据携带权保护体系一览表
(一)权利规制。数据携带权的首次提出,是在《通用数据保护条例》(以下简称《条例》)第20 条中,并由此使之成为一种新型数据权利。条文强调了数据控制者需对相应数据的互操作性以及传输的自动化负有保障义务,且相关处理要征得权利人一定形式的同意。《条例》除了对于个人数据定义的界定以外,在第20 条条文中的后两款规定了对于被擦除的数据不得行使权利。此外,欧盟第29 条工作组发布的《数据可携带权指南》进一步对《条例》中可携带数据的范围进行了进一步细化,“任何匿名或者与数据主体无关的数据不在数据可携带权请求范围内,但可以明确与数据主体联系起来的匿名数据仍属于可携带权范围”,由此我们可以看出《指南》对可携带数据的范围持“广义说”。但以此为基础、基于统计和分析的目的而得到的“推断数据”和“衍生数据”(主要是用户画像)不在可携带范围之内。这也意味着欧盟逐渐意识到对可携带数据的范围要结合特殊的技术背景进行约束的重要性。
(二)对竞争主体的事前规制。2021 年,欧盟出台了《数字市场法》(DAM),其规制对象为拥有市场主导地位的互联网公司(即守门人),该法律强制要求这些公司与它们的竞争对手和监管机构共享数据,并公平地推广其服务和产品。第6 条h 款中,《数字市场法》进一步规定了相关主体要确保用户活动中生成数据的可携带性,且要为用户提供技术工具协助携带权实现。这一规定标志着欧盟在竞争法层面以事前规制的模式为“守门人”设立了相关的数据携带义务。
(三)可移植性的技术主导。《欧盟数据法案》(以下简称《法案》)是一部直接对数据市场技术标准进行主导的典型法律文件。《法案》确定了欧盟的数据治理框架,构建了非个人数据的基础制度,推动数字经济发展。对于数据携带权益保护而言,法案规定了数据持有者维护数据携带用户权益以及保持数据互操作性的义务。与其他数据领域立法相比,其在用户数据携带权益保护方面有着以下特殊规定:
1、反歧视性规定。《法案》针对各种特殊情景进一步对用户的数据携带权进行保护,使得用户在各种特殊情形下也能很好地行权。第5 条直接规定了企业对用户数据携带的相应保障性义务,并要求数据服务者要在携带期间至少保障用户的最低服务标准。第23 条规定了数据处理服务的提供者要采取消除针对移植客户服务歧视,互操作性、开放性技术,逐步免去转换费用等措施,消除客户向类似服务主体移植其数据及其他数据资产的障碍。
2、技术保障义务。虽然在GDPR 中,序言第68 条明确表示了“不应让数据控制者负有采用或维护技术兼容处理系统的义务”,但在《法案》中,部分条款从保护数据主体的角度出发,确实为相应的规制主体创设了与技术提供和保障相类似的义务。《法案》第23 条规定了数据处理服务的提供者有义务减少针对客户的技术限制。此外,《法案》还保证各种技术情形下的数据互操作性,从而为可携带性以及可移植性的实现打好基础。第29 条规定数据处理服务的提供者要保障各类数据处理服务及行为的互操作性以及数据、云数据、应用相关数据的可移植性。
四、模式纾困:用户数据携带权双规制保护体系的完善
相较于欧盟的数据携带规制保护体系,我国学界所提出的双轨并行的规制体系在架构进路上具有一定的相似导向。但欧盟在技术介入、用户权利救济层面上有着更完备的立法设计及表述。因此,对于规制保护模式的完善完全可以对相关的数据控制者施加更多的义务,用以充分保障用户权益,并引导、培育数据携带领域的健康发展。考虑到中小企业的合规压力等问题,我们可以在规制主体上予以义务程度或义务豁免的划分。基于这一考量,结合前文对双轨制规制体系的分析,笔者提出如下完善建议:
(一)技术规制设计:数据治理法的介入。从上文的分析不难看出,随着立法的深入,欧盟走上了以强制规制的介入方式来实现对技术主导层面的规制。在这一领域,多数研究认为,在竞争法框架下建立起全数据市场范围的技术主导,维护全领域的数据互操作性,不宜自上而下设立义务,而是应引入必需设施原则后通过事后执法来予以实现,而对于单一权利行使领域的互操作性的实现完全可以以义务制定的方式来进行。
不论是基于立法维度还是中小企业合规压力的考量,欧盟在GDPR 的框架下并没有形成系统且有效的技术规制体系,其相关的技术义务大多为数据治理性质的法律来予以填补的。采取此种进路,一来可以对技术层面进行充分的介入;二来可以更便于用户行使救济权利,更能节约司法成本。既可以对权利规制进行相关补充,又可以进一步细化行为规制。
而在数据携带层面,相应法律应对各复杂经营场景及技术场景的经营者义务进行罗列。若考虑到减轻经营主体合规压力这一因素,该法也应本着反歧视性的宗旨来保障用户数据携带的最基本利益。对于互操作性技术环境的保障,由于规制对象较为普遍,对于数据携带的格式和技术要求不应该过高,只要在广义上符合系统兼容的最低要求即可。而对于数据场景化的要求,要随着义务程度的加深而设置相应的主体范围,让对市场影响更多的主体承担更多的义务。
对于特殊领域下的数据携带规制,需要设置较高义务程度的,可以由该领域主管部门出台特殊适用规定。治理法要在条文中留下明确的但书条款后,建立起与特殊规定、条例的良性互动。
(二)事前规制设计:设立数据经营者合规义务。区别于事后干预的谦抑性,一旦确定介入后事前管制便可以前瞻性地提供市场竞争规则,并持续性地监督市场运行。虽然该模式面临着过度干预,影响产业结构变化的风险,但是面对数据携带这一高风险、急需政府介入培育的市场领域,这一模式便可以很好地发挥重塑市场生态的作用。且在进行相应规制时,竞争领域不必再拘泥于“结构-行为-绩效”的分析范式,行政机关以现有条文和合规义务作为举证的参考,大大减轻了传统模式的司法成本。另外,在立法设计上也便于对复杂场景进行覆盖。
考虑到数据携带内在的竞争效益,以及精准规制相应市场主体的必要,我们还是应该坚持竞争法介入行为规制。在此立场上引入事前规制思维便可以使规制体系在数据携带特殊场景之下弥补传统竞争法框架的不足,从而更好地发挥相应的行为规制作用。
具体而言,在我国现有《反垄断法》的相应框架下,可以以指南等形式对相关市场主体的行为予以引导,逐步建立起事前规制。在数据携带领域,首先要明确义务约束主体,明确平台及其他数据处理者的通知义务,明确合规监管方式。其次要以构建数据携带技术保障环境为引导,适当规定出相关市场主体的用户数据携带技术保障义务。对于义务程度而言,由于竞争法规制主体并不像数据治理法或促进法那样的普遍,因此在义务程度上的立法设置也可以较之更为直接。但出于对中小企业产生合规压力的考虑,建议可以综合主体差异以及实际场景予以界分或豁免。这样也可以更好地促进数据要素向中小企业一方流动,以便打破龙头企业的流量优势。(表2)
表2 用户数据携带权的规制保护体系一览表
综上,为了使数据携带制度能得到切实地推进和落实,对于用户数据携带权益的充分保护不可或缺。在培育数据要素市场大背景下,政府更要在各数据权利保护领域以及数据竞争领域加大对于行为及场景化因素的介入控制,并凭借介入和引导建立起常态化的数据流通体系,公民数据权益保护体系。在此价值基础上推行的义务划分、立法设置才更能符合时代背景下公民与市场的数据规制保护要求,推行体系化的数据市场培育举措,从而完成构建我国国际数据市场话语权的宏伟目标。